NPM biltegiak derrigorrezko bi faktoreko autentifikazioa barne hartzen du 500 NPM pakete ezagunenak mantentzen dituzten kontuetarako. Ospe-irizpide gisa menpeko pakete kopurua erabili zen. Zerrendatutako paketeen mantentzaileek biltegian aldaketekin erlazionatutako eragiketak egin ahal izango dituzte bi faktoreko autentifikazioa gaitu ondoren, hau da, saioa hasteko berrespena eskatzen du Authy, Google Authenticator eta FreeOTP bezalako aplikazioek edo hardwareak sortutako behin-behineko pasahitzak (TOTP) erabiliz. gakoak eta eskaner biometrikoak, WebAuth protokoloa onartzen dutenak.
Hau da NPMren babesa indartzeko hirugarren fasea, kontuen konpromisoaren aurka. Lehenengo fasean, bi faktoreko autentifikazioa gaituta ez duten NPM kontu guztiak konbertitzea izan zen, kontuaren egiaztapen aurreratua erabiltzeko, eta horrek posta elektronikoz bidalitako kode bakarra sartu behar du npmjs.com-en saioa hasten saiatzean edo npm-n autentifikatu eragiketa bat egitean. erabilgarritasuna. Bigarren fasean, derrigorrezko bi faktoreko autentifikazioa gaitu zen 100 pakete ezagunenentzat.
Gogora dezagun 2020an egindako ikerketa baten arabera, paketeen mantentzaileen % 9.27k bakarrik erabiltzen zuela bi faktoreko autentifikazioa sarbidea babesteko, eta kasuen % 13.37an, kontu berriak erregistratzean, garatzaileak saiatu ziren ezagunetan agertzen ziren arriskuan dauden pasahitzak berrerabiltzen. pasahitzak filtrazioak. Pasahitzaren segurtasunaren berrikuspenean, NPM kontuen % 12ra (paketeen % 13) atzitu zen "123456" bezalako pasahitz aurreikusgarri eta hutsalak erabiltzeagatik. Arazoen artean, 4 pakete ezagunenetako 20 erabiltzaile-kontu zeuden, hilean 13 milioi aldiz baino gehiago deskargatutako paketeak dituzten 50 kontu, 40 hilean 10 milioi deskarga baino gehiagorekin eta 282 hilean milioi bat deskarga baino gehiagorekin. Moduluak mendekotasun-kate batean kargatzea kontuan hartuta, fidagarriak ez diren kontuen arriskuak NPMko modulu guztien % 1ri eragin diezaioke.
Iturria: opennet.ru