Az NPM-tárház kötelező kéttényezős hitelesítést tartalmaz az 500 legnépszerűbb NPM-csomagot karbantartó fiókokhoz. Népszerűségi kritériumként a függő csomagok számát használták. A felsorolt csomagok fenntartói csak a kéttényezős hitelesítés engedélyezése után hajthatnak végre módosítással kapcsolatos műveleteket az adattáron, amihez bejelentkezés megerősítése szükséges az olyan alkalmazások által generált egyszeri jelszavakkal (TOTP), mint az Authy, a Google Authenticator és a FreeOTP, ill. hardverkulcsok és biometrikus szkennerek, amelyek támogatják a WebAuth protokollt.
Ez az NPM fiókkompromittálással szembeni védelmének megerősítésének harmadik szakasza. Az első lépésben az összes olyan NPM-fiókot konvertáltak, amelyek nem rendelkeznek kéttényezős hitelesítéssel, speciális fiókellenőrzés használatára, amihez egy e-mailben küldött egyszeri kód megadása szükséges, amikor megpróbálnak bejelentkezni az npmjs.com webhelyre vagy hitelesített műveletet hajtanak végre az npm-ben. hasznosság. A második fázisban a 100 legnépszerűbb csomagnál engedélyezték a kötelező kétfaktoros hitelesítést.
Emlékezzünk arra, hogy egy 2020-ban készült tanulmány szerint a csomagkarbantartók mindössze 9.27%-a használt kétfaktoros hitelesítést a hozzáférés védelmére, az esetek 13.37%-ában pedig az új fiókok regisztrálásakor próbálták meg újra felhasználni a fejlesztők az ismertekben megjelent feltört jelszavakat. jelszó szivárog. A jelszóbiztonsági felülvizsgálat során az NPM-fiókok 12%-ához (a csomagok 13%-ához) hozzáfértek kiszámítható és triviális jelszavak, például az „123456” jelszavak miatt. A problémások között volt 4 felhasználói fiók a Top 20 legnépszerűbb csomagból, 13 fiók több mint 50 milliószor letöltött havonta, 40 több mint 10 millió letöltéssel havonta, 282 pedig több mint 1 millió letöltéssel havonta. Figyelembe véve a modulok betöltését a függőségi lánc mentén, a nem megbízható fiókok feltörése az NPM összes moduljának akár 52%-át is érintheti.
Forrás: opennet.ru