Úložiště NPM obsahuje povinné dvoufaktorové ověřování pro účty spravující 500 nejoblíbenějších balíčků NPM. Počet závislých balíčků byl použit jako kritérium oblíbenosti. Správci uvedených balíčků budou moci na úložišti provádět operace související s úpravami až po povolení dvoufaktorové autentizace, která vyžaduje potvrzení přihlášení pomocí jednorázových hesel (TOTP) generovaných aplikacemi jako Authy, Google Authenticator a FreeOTP, popř. hardwarové klíče a biometrické skenery s podporou protokolu WebAuth.
Jedná se o třetí fázi posílení ochrany NPM proti kompromitaci účtu. První fáze zahrnovala převedení všech účtů NPM, které nemají povolenou dvoufaktorovou autentizaci, na použití pokročilého ověření účtu, které vyžaduje zadání jednorázového kódu zaslaného e-mailem při pokusu o přihlášení na npmjs.com nebo provedení ověřené operace v npm. utility. Ve druhé fázi byla povolena povinná dvoufaktorová autentizace pro 100 nejoblíbenějších balíčků.
Připomeňme, že podle studie provedené v roce 2020 pouze 9.27 % správců balíčků používalo k ochraně přístupu dvoufaktorové ověřování a ve 13.37 % případů se při registraci nových účtů vývojáři pokusili znovu použít kompromitovaná hesla, která se objevila ve známých únik hesla. Během kontroly zabezpečení hesel bylo 12 % účtů NPM (13 % balíčků) přístupných kvůli použití předvídatelných a triviálních hesel, jako je „123456“. Mezi problematické patřily 4 uživatelské účty z Top 20 nejoblíbenějších balíčků, 13 účtů s balíčky staženými více než 50 milionykrát za měsíc, 40 účtů s více než 10 miliony stažení za měsíc a 282 účtů s více než 1 milionem stažení za měsíc. Vezmeme-li v úvahu načítání modulů v řetězci závislostí, kompromitace nedůvěryhodných účtů by mohla ovlivnit až 52 % všech modulů v NPM.
Zdroj: opennet.ru