Repozitwa NPM a gen ladan otantifikasyon obligatwa de faktè pou kont ki kenbe 500 pakè NPM ki pi popilè yo. Nimewo a nan pakè depandan yo te itilize kòm yon kritè popilarite. Moun k ap antreteni pakè ki nan lis yo pral sèlman kapab fè operasyon ki gen rapò ak modifikasyon sou repozitwa a sèlman apre yo fin pèmèt otantifikasyon de faktè, ki mande pou konfimasyon koneksyon lè l sèvi avèk modpas yon sèl fwa (TOTP) ki te pwodwi pa aplikasyon tankou Authy, Google Authenticator ak FreeOTP, oswa kle pyès ki nan konpitè ak eskanè byometrik, sipòte pwotokòl WebAuth la.
Sa a se twazyèm etap nan ranfòse pwoteksyon NPM kont konpwomi kont. Premye etap la enplike konvèti tout kont NPM ki pa gen otantifikasyon de-faktè pèmèt yo sèvi ak verifikasyon kont avanse, ki mande pou antre yon kòd yon sèl fwa voye pa imel lè w ap eseye konekte nan npmjs.com oswa fè yon operasyon otantifye nan npm la. sèvis piblik. Nan dezyèm faz la, otantifikasyon obligatwa de faktè te pèmèt pou 100 pakè ki pi popilè yo.
Ann sonje ke dapre yon etid ki te fèt an 2020, sèlman 9.27% nan moun ki kenbe pake yo te itilize otantifikasyon de faktè pou pwoteje aksè, ak nan 13.37% nan ka yo, lè yo te anrejistre nouvo kont, devlopè yo te eseye reitilize modpas konpwomèt ki te parèt nan li te ye. modpas koule. Pandan yon revizyon sekirite modpas, yo te jwenn aksè nan 12% kont NPM (13% pakè) akòz itilizasyon modpas previzib ak trivial tankou "123456". Pami pwoblèm yo te genyen 4 kont itilizatè ki soti nan Top 20 pakè ki pi popilè yo, 13 kont ak pakè telechaje plis pase 50 milyon fwa pa mwa, 40 ak plis pase 10 milyon telechajman pa mwa, ak 282 ak plis pase 1 milyon telechajman pa mwa. Lè w konsidere chaj modil yo sou yon chèn depandans, konpwomi kont ki pa fè konfyans yo ka afekte jiska 52% tout modil nan NPM.
Sous: opennet.ru