مخزن NPM شامل احراز هویت دو مرحله ای اجباری برای حساب هایی است که 500 بسته محبوب NPM را حفظ می کنند. تعداد بسته های وابسته به عنوان معیار محبوبیت استفاده شد. نگهدارندههای بستههای فهرستشده تنها پس از فعال کردن احراز هویت دو مرحلهای که نیاز به تأیید ورود با استفاده از گذرواژههای یکبار مصرف (TOTP) ایجاد شده توسط برنامههایی مانند Authy، Google Authenticator و FreeOTP دارد، میتوانند عملیات مربوط به اصلاح را در مخزن انجام دهند، یا کلیدهای سخت افزاری و اسکنرهای بیومتریک که از پروتکل WebAuth پشتیبانی می کنند.
این سومین مرحله از تقویت حفاظت NPM در برابر به خطر افتادن حساب است. مرحله اول شامل تبدیل تمام حسابهای NPM که احراز هویت دو مرحلهای را ندارند برای استفاده از تأیید پیشرفته حساب، که نیاز به وارد کردن یک کد یکباره ارسال شده از طریق ایمیل در هنگام تلاش برای ورود به npmjs.com یا انجام یک عملیات احراز هویت در npm دارد. سودمندی در مرحله دوم، احراز هویت اجباری دو مرحله ای برای 100 بسته محبوب فعال شد.
به یاد داشته باشید که طبق یک مطالعه انجام شده در سال 2020، تنها 9.27٪ از نگهبانان بسته از احراز هویت دو مرحله ای برای محافظت از دسترسی استفاده کردند و در 13.37٪ موارد، هنگام ثبت حساب های جدید، توسعه دهندگان سعی کردند از رمزهای عبور در معرض خطر استفاده مجدد کنند که به صورت شناخته شده ظاهر می شدند. نشت رمز عبور در طی بررسی امنیتی رمز عبور، به دلیل استفاده از رمزهای عبور قابل پیش بینی و پیش پا افتاده مانند «12»، به 13 درصد از حساب های NPM (123456 درصد از بسته ها) دسترسی پیدا کرد. از جمله موارد مشکل ساز، 4 حساب کاربری از 20 بسته محبوب برتر، 13 حساب با بسته هایی که بیش از 50 میلیون بار در ماه دانلود شده اند، 40 حساب با بیش از 10 میلیون دانلود در ماه و 282 حساب با بیش از 1 میلیون دانلود در ماه بودند. با در نظر گرفتن بارگذاری ماژول ها در امتداد زنجیره ای از وابستگی ها، به خطر افتادن حساب های غیرقابل اعتماد می تواند تا 52٪ از همه ماژول ها در NPM را تحت تأثیر قرار دهد.
منبع: opennet.ru