La NPM-deponejo inkluzivas devigan dufaktoran aŭtentikigon por kontoj konservantaj la 500 plej popularajn NPM-pakaĵojn. La nombro da dependaj pakaĵoj estis utiligita kiel populareckriterio. Prizorgantoj de listigitaj pakaĵoj nur povos fari modif-rilatajn operaciojn sur la deponejo nur post ebligo de dufaktora aŭtentikigo, kiu postulas ensalutan konfirmon uzante unufojajn pasvortojn (TOTP) generitajn de aplikaĵoj kiel Authy, Google Authenticator kaj FreeOTP, aŭ hardvarŝlosiloj kaj biometrikaj skaniloj, apogante la WebAuth-protokolon.
Ĉi tiu estas la tria etapo de plifortigo de la protekto de NPM kontraŭ konta kompromiso. La unua etapo implikis konverti ĉiujn NPM-kontojn, kiuj ne havas dufaktoran aŭtentikigon ebligita por uzi altnivelan kontkontrolon, kiu postulas enigi unufojan kodon senditan retpoŝte kiam oni provas ensaluti en npmjs.com aŭ plenumi aŭtentikigitan operacion en la npm. utileco. En la dua fazo, deviga dufaktora aŭtentigo estis ebligita por la 100 plej popularaj pakaĵoj.
Ni memoru, ke laŭ studo farita en 2020, nur 9.27% de pakaĵaj prizorgantoj uzis dufaktoran aŭtentikigon por protekti aliron, kaj en 13.37% de kazoj, registrinte novajn kontojn, programistoj provis reuzi kompromititajn pasvortojn, kiuj aperis en konataj. pasvortfuĝoj. Dum pasvorta sekureca revizio, 12% de NPM-kontoj (13% de pakaĵoj) estis aliritaj pro la uzo de antaŭvideblaj kaj bagatelaj pasvortoj kiel "123456". Inter la problemaj estis 4 uzantkontoj el la Top 20 plej popularaj pakaĵoj, 13 kontoj kun pakaĵoj elŝutitaj pli ol 50 milionoj da fojoj monate, 40 kun pli ol 10 milionoj da elŝutoj monate, kaj 282 kun pli ol 1 miliono da elŝutoj monate. Konsiderante la ŝarĝon de moduloj laŭ ĉeno de dependecoj, kompromiso de nefidindaj kontoj povus influi ĝis 52% de ĉiuj moduloj en NPM.
fonto: opennet.ru