Das NPM-Repository umfasst eine obligatorische Zwei-Faktor-Authentifizierung für Konten, die die 500 beliebtesten NPM-Pakete verwalten. Als Beliebtheitskriterium wurde die Anzahl der abhängigen Pakete herangezogen. Betreuer der aufgelisteten Pakete können änderungsbezogene Vorgänge am Repository nur durchführen, nachdem sie die Zwei-Faktor-Authentifizierung aktiviert haben, die eine Anmeldebestätigung mit Einmalkennwörtern (TOTP) erfordert, die von Anwendungen wie Authy, Google Authenticator und FreeOTP generiert werden Hardwareschlüssel und biometrische Scanner, die das WebAuth-Protokoll unterstützen.
Dies ist die dritte Stufe zur Stärkung des NPM-Schutzes vor Kontokompromittierung. Der erste Schritt umfasste die Konvertierung aller NPM-Konten, für die die Zwei-Faktor-Authentifizierung nicht aktiviert ist, auf die Verwendung der erweiterten Kontoüberprüfung. Dies erfordert die Eingabe eines einmaligen Codes, der per E-Mail gesendet wird, wenn versucht wird, sich bei npmjs.com anzumelden oder einen authentifizierten Vorgang im npm durchzuführen Dienstprogramm. In der zweiten Phase wurde die obligatorische Zwei-Faktor-Authentifizierung für die 100 beliebtesten Pakete aktiviert.
Denken Sie daran, dass laut einer im Jahr 2020 durchgeführten Studie nur 9.27 % der Paketbetreuer eine Zwei-Faktor-Authentifizierung zum Schutz des Zugriffs verwendeten und in 13.37 % der Fälle versuchten Entwickler bei der Registrierung neuer Konten, kompromittierte Passwörter wiederzuverwenden, die in bekannten Fällen auftraten Passwortlecks. Bei einer Überprüfung der Passwortsicherheit wurde auf 12 % der NPM-Konten (13 % der Pakete) aufgrund der Verwendung vorhersehbarer und trivialer Passwörter wie „123456“ zugegriffen. Zu den problematischen zählten 4 Benutzerkonten aus den Top 20 der beliebtesten Pakete, 13 Konten mit Paketen, die mehr als 50 Millionen Mal pro Monat heruntergeladen wurden, 40 mit mehr als 10 Millionen Downloads pro Monat und 282 mit mehr als 1 Million Downloads pro Monat. Unter Berücksichtigung des Ladens von Modulen entlang einer Kette von Abhängigkeiten könnte die Gefährdung nicht vertrauenswürdiger Konten bis zu 52 % aller Module in NPM betreffen.
Source: opennet.ru