Το αποθετήριο NPM περιλαμβάνει υποχρεωτικό έλεγχο ταυτότητας δύο παραγόντων για λογαριασμούς που διατηρούν τα 500 πιο δημοφιλή πακέτα NPM. Ως κριτήριο δημοτικότητας χρησιμοποιήθηκε ο αριθμός των εξαρτημένων πακέτων. Οι συντηρητές των πακέτων που παρατίθενται θα μπορούν να εκτελούν λειτουργίες που σχετίζονται με τροποποιήσεις στο χώρο αποθήκευσης μόνο αφού ενεργοποιήσουν τον έλεγχο ταυτότητας δύο παραγόντων, ο οποίος απαιτεί επιβεβαίωση σύνδεσης με χρήση κωδικών πρόσβασης μίας χρήσης (TOTP) που δημιουργούνται από εφαρμογές όπως το Authy, το Google Authenticator και το FreeOTP, ή κλειδιά υλικού και βιομετρικοί σαρωτές, που υποστηρίζουν το πρωτόκολλο WebAuth.
Αυτό είναι το τρίτο στάδιο ενίσχυσης της προστασίας του NPM έναντι παραβίασης λογαριασμού. Το πρώτο στάδιο περιελάμβανε τη μετατροπή όλων των λογαριασμών NPM που δεν διαθέτουν έλεγχο ταυτότητας δύο παραγόντων, ώστε να χρησιμοποιούν προηγμένη επαλήθευση λογαριασμού, η οποία απαιτεί την εισαγωγή ενός κωδικού που αποστέλλεται με email όταν προσπαθείτε να συνδεθείτε στο npmjs.com ή να εκτελέσετε μια λειτουργία ελέγχου ταυτότητας στο npm χρησιμότητα. Στη δεύτερη φάση, ενεργοποιήθηκε ο υποχρεωτικός έλεγχος ταυτότητας δύο παραγόντων για τα 100 πιο δημοφιλή πακέτα.
Ας θυμηθούμε ότι σύμφωνα με μια μελέτη που διεξήχθη το 2020, μόνο το 9.27% των συντηρητών πακέτων χρησιμοποίησαν έλεγχο ταυτότητας δύο παραγόντων για την προστασία της πρόσβασης και στο 13.37% των περιπτώσεων, κατά την εγγραφή νέων λογαριασμών, οι προγραμματιστές προσπάθησαν να επαναχρησιμοποιήσουν παραβιασμένους κωδικούς πρόσβασης που εμφανίζονταν στα γνωστά διαρροές κωδικού πρόσβασης. Κατά τη διάρκεια ενός ελέγχου ασφαλείας κωδικού πρόσβασης, έγινε πρόσβαση στο 12% των λογαριασμών NPM (13% των πακέτων) λόγω της χρήσης προβλέψιμων και ασήμαντων κωδικών πρόσβασης όπως "123456". Μεταξύ των προβληματικών ήταν 4 λογαριασμοί χρηστών από τα Top 20 πιο δημοφιλή πακέτα, 13 λογαριασμοί με πακέτα που λήφθηκαν περισσότερες από 50 εκατομμύρια φορές το μήνα, 40 με περισσότερες από 10 εκατομμύρια λήψεις το μήνα και 282 με περισσότερες από 1 εκατομμύριο λήψεις το μήνα. Λαμβάνοντας υπόψη τη φόρτωση των λειτουργικών μονάδων κατά μήκος μιας αλυσίδας εξαρτήσεων, ο παραβιασμός των μη αξιόπιστων λογαριασμών θα μπορούσε να επηρεάσει έως και το 52% όλων των λειτουργικών μονάδων στο NPM.
Πηγή: opennet.ru