NPM-lageret inkluderer obligatorisk to-faktor-godkendelse for konti, der vedligeholder de 500 mest populære NPM-pakker. Antallet af afhængige pakker blev brugt som et popularitetskriterium. Vedligeholdere af listede pakker vil kun være i stand til at udføre modifikationsrelaterede operationer på lageret efter at have aktiveret tofaktorautentificering, hvilket kræver loginbekræftelse ved hjælp af engangsadgangskoder (TOTP) genereret af applikationer såsom Authy, Google Authenticator og FreeOTP, eller hardware nøgler og biometriske scannere, der understøtter WebAuth-protokollen.
Dette er tredje trin i at styrke NPM's beskyttelse mod kontokompromittering. Det første trin involverede at konvertere alle NPM-konti, der ikke har to-faktor-godkendelse aktiveret til at bruge avanceret kontobekræftelse, som kræver indtastning af en engangskode sendt via e-mail, når du forsøger at logge ind på npmjs.com eller udføre en godkendt handling i npm. nytte. I anden fase blev obligatorisk to-faktor-godkendelse aktiveret for de 100 mest populære pakker.
Lad os huske, at ifølge en undersøgelse udført i 2020 brugte kun 9.27 % af pakkevedligeholdere to-faktor-godkendelse til at beskytte adgangen, og i 13.37 % af tilfældene, når de registrerede nye konti, forsøgte udviklere at genbruge kompromitterede adgangskoder, der dukkede op i kendte adgangskode lækker. Under en adgangskodesikkerhedsgennemgang blev 12 % af NPM-konti (13 % af pakkerne) tilgået på grund af brugen af forudsigelige og trivielle adgangskoder såsom "123456." Blandt de problematiske var 4 brugerkonti fra de 20 mest populære pakker, 13 konti med pakker downloadet mere end 50 millioner gange om måneden, 40 med mere end 10 millioner downloads om måneden og 282 med mere end 1 million downloads om måneden. Tager man hensyn til indlæsningen af moduler langs en kæde af afhængigheder, kan kompromittering af upålidelige konti påvirke op til 52 % af alle moduler i NPM.
Kilde: opennet.ru