Le référentiel NPM inclut une authentification obligatoire à deux facteurs pour les comptes gérant les 500 packages NPM les plus populaires. Le nombre de packages dépendants a été utilisé comme critère de popularité. Les responsables des packages répertoriés ne pourront effectuer des opérations liées aux modifications sur le référentiel qu'après avoir activé l'authentification à deux facteurs, qui nécessite une confirmation de connexion à l'aide de mots de passe à usage unique (TOTP) générés par des applications telles que Authy, Google Authenticator et FreeOTP, ou clés matérielles et scanners biométriques, prenant en charge le protocole WebAuth.
Il s'agit de la troisième étape du renforcement de la protection de NPM contre la compromission des comptes. La première étape consistait à convertir tous les comptes NPM pour lesquels l'authentification à deux facteurs n'est pas activée pour utiliser la vérification de compte avancée, qui nécessite la saisie d'un code à usage unique envoyé par e-mail lors de la tentative de connexion à npmjs.com ou d'effectuer une opération authentifiée dans le npm. utilitaire. Dans la deuxième phase, l'authentification obligatoire à deux facteurs a été activée pour les 100 packages les plus populaires.
Rappelons que selon une étude menée en 2020, seuls 9.27 % des mainteneurs de packages utilisaient l'authentification à deux facteurs pour protéger l'accès, et dans 13.37 % des cas, lors de l'enregistrement de nouveaux comptes, les développeurs essayaient de réutiliser les mots de passe compromis qui apparaissaient dans des comptes connus. fuites de mots de passe. Lors d'un examen de la sécurité des mots de passe, 12 % des comptes NPM (13 % des packages) ont été consultés en raison de l'utilisation de mots de passe prévisibles et triviaux tels que « 123456 ». Parmi les plus problématiques figuraient 4 comptes d'utilisateurs du Top 20 des packages les plus populaires, 13 comptes avec des packages téléchargés plus de 50 millions de fois par mois, 40 avec plus de 10 millions de téléchargements par mois et 282 avec plus d'un million de téléchargements par mois. Compte tenu du chargement des modules le long d'une chaîne de dépendances, la compromission de comptes non fiables pourrait affecter jusqu'à 1 % de tous les modules de NPM.
Source: opennet.ru