El repositorio de NPM incluye autenticación de dos factores obligatoria para las cuentas que mantienen los 500 paquetes de NPM más populares. El número de paquetes dependientes se utilizó como criterio de popularidad. Los mantenedores de los paquetes enumerados solo podrán realizar operaciones relacionadas con modificaciones en el repositorio solo después de habilitar la autenticación de dos factores, que requiere confirmación de inicio de sesión utilizando contraseñas de un solo uso (TOTP) generadas por aplicaciones como Authy, Google Authenticator y FreeOTP, o llaves de hardware y escáneres biométricos, compatibles con el protocolo WebAuth.
Esta es la tercera etapa para fortalecer la protección de NPM contra el compromiso de cuentas. La primera etapa implicó convertir todas las cuentas de NPM que no tienen habilitada la autenticación de dos factores para usar la verificación de cuenta avanzada, que requiere ingresar un código único enviado por correo electrónico al intentar iniciar sesión en npmjs.com o realizar una operación autenticada en npm. utilidad. En la segunda fase, se habilitó la autenticación obligatoria de dos factores para los 100 paquetes más populares.
Recordemos que según un estudio realizado en 2020, solo el 9.27% de los mantenedores de paquetes utilizaron la autenticación de dos factores para proteger el acceso, y en el 13.37% de los casos, al registrar nuevas cuentas, los desarrolladores intentaron reutilizar contraseñas comprometidas que aparecían en sitios conocidos. fugas de contraseña. Durante una revisión de seguridad de contraseñas, se accedió al 12 % de las cuentas NPM (13 % de los paquetes) debido al uso de contraseñas predecibles y triviales como “123456”. Entre las problemáticas se encontraban 4 cuentas de usuario de los 20 paquetes más populares, 13 cuentas con paquetes descargados más de 50 millones de veces al mes, 40 con más de 10 millones de descargas al mes y 282 con más de 1 millón de descargas al mes. Teniendo en cuenta la carga de módulos a lo largo de una cadena de dependencias, el compromiso de cuentas que no son de confianza podría afectar hasta el 52% de todos los módulos en NPM.
Fuente: opennet.ru