NPM-tietovarasto sisältää pakollisen kaksivaiheisen todennuksen tileille, jotka ylläpitävät 500 suosituinta NPM-pakettia. Suosiokriteerinä käytettiin riippuvien pakettien määrää. Listattujen pakettien ylläpitäjät voivat suorittaa muokkauksiin liittyviä toimintoja arkistossa vasta otettuaan käyttöön kaksivaiheisen todennuksen, joka edellyttää kirjautumisen vahvistusta käyttämällä kertaluonteisia salasanoja (TOTP), jotka on luotu sovelluksissa, kuten Authy, Google Authenticator ja FreeOTP, tai laitteisto. avaimet ja biometriset skannerit, jotka tukevat WebAuth-protokollaa.
Tämä on kolmas vaihe NPM:n suojan vahvistamisessa tilien vaarantumista vastaan. Ensimmäisessä vaiheessa kaikki NPM-tilit, joissa ei ole käytössä kaksivaiheista todennusta, muutettiin käyttämään edistynyttä tilin vahvistusta, mikä edellyttää sähköpostilla lähetetyn kertakoodin syöttämistä, kun yritetään kirjautua npmjs.com-sivustoon tai suorittaa todennettu toiminto npm:ssä. apuohjelma. Toisessa vaiheessa pakollinen kaksivaiheinen todennus otettiin käyttöön 100 suosituimmassa paketissa.
Muistetaan, että vuonna 2020 tehdyn tutkimuksen mukaan vain 9.27 % pakettien ylläpitäjistä käytti kaksivaiheista todennusta pääsyn suojaamiseen, ja 13.37 %:ssa tapauksista uusia tilejä rekisteröidessään kehittäjät yrittivät käyttää uudelleen vaarantuneita salasanoja, jotka esiintyivät tunnetuissa salasana vuotaa. Salasanan suojaustarkistuksen aikana 12 % NPM-tileistä (13 % paketeista) käytettiin ennakoitavien ja triviaalien salasanojen, kuten "123456", käytön vuoksi. Ongelmallisten joukossa oli 4 käyttäjätiliä Top 20 suosituimman paketin joukosta, 13 tilillä paketteja ladattiin yli 50 miljoonaa kertaa kuukaudessa, 40 tilillä yli 10 miljoonaa latausta kuukaudessa ja 282 tilillä yli miljoona latausta kuukaudessa. Kun otetaan huomioon moduulien latautuminen riippuvuusketjua pitkin, epäluotettavien tilien vaarantaminen voi vaikuttaa jopa 1 prosenttiin kaikista NPM:n moduuleista.
Lähde: opennet.ru