NPM-i hoidla sisaldab kohustuslikku kahefaktorilist autentimist kontodele, mis haldavad 500 kõige populaarsemat NPM-paketti. Populaarsuse kriteeriumina kasutati sõltuvate pakettide arvu. Loetletud pakettide haldajad saavad hoidlas muutmisega seotud toiminguid teha alles pärast kahefaktorilise autentimise lubamist, mis nõuab sisselogimise kinnitust ühekordsete paroolide (TOTP) abil, mis on genereeritud selliste rakenduste nagu Authy, Google Authenticator ja FreeOTP või riistvaravõtmed ja biomeetrilised skannerid, mis toetavad WebAuthi protokolli.
See on kolmas etapp NPM-i konto kahjustamise eest kaitsmise tugevdamisel. Esimeses etapis teisendati kõik NPM-i kontod, millel pole kahefaktorilist autentimist lubatud, kasutama täpsemat konto kinnitamist, mis nõuab npmjs.com-i sisselogimisel või npm-is autentitud toimingu sooritamisel e-posti teel saadetud ühekordse koodi sisestamist. kasulikkust. Teises etapis lubati 100 populaarseima paketi jaoks kohustuslik kahefaktoriline autentimine.
Meenutagem, et 2020. aastal läbi viidud uuringu järgi kasutas kahefaktorilist autentimist ligipääsu kaitsmiseks vaid 9.27% paketihalduritest ning 13.37% juhtudest püüdsid arendajad uute kontode registreerimisel taaskasutada teadaolevalt ilmunud rikutud paroole. paroolilekked. Paroolide turvalisuse ülevaatuse käigus pääseti ligi 12% NPM-i kontodest (13% pakettidest), kuna kasutati ennustatavaid ja triviaalseid paroole, näiteks "123456". Probleemsete hulgas oli 4 kasutajakontot Top 20 populaarseimate pakettide hulgast, 13 kontot, mille pakette laaditi alla rohkem kui 50 miljonit korda kuus, 40 kontot rohkem kui 10 miljoni allalaadimisega kuus ja 282 kontot rohkem kui 1 miljoni allalaadimisega kuus. Võttes arvesse moodulite laadimist sõltuvuste ahelas, võib ebausaldusväärsete kontode ohtu sattumine mõjutada kuni 52% kõigist NPM-i moodulitest.
Allikas: opennet.ru