NPM պահոցը ներառում է պարտադիր երկգործոն նույնականացում 500 ամենահայտնի NPM փաթեթները պահպանող հաշիվների համար: Որպես ժողովրդականության չափանիշ օգտագործվել է կախված փաթեթների քանակը: Թվարկված փաթեթների սպասարկողները կկարողանան կատարել միայն փոփոխությունների հետ կապված գործողություններ պահոցում միայն երկգործոն նույնականացումը միացնելուց հետո, որը պահանջում է մուտքի հաստատում միանգամյա գաղտնաբառերի միջոցով (TOTP), որոնք ստեղծվել են Authy, Google Authenticator և FreeOTP հավելվածների կողմից կամ ապարատային բանալիներ և կենսաչափական սկաներներ, որոնք աջակցում են WebAuth արձանագրությանը:
Սա NPM-ի պաշտպանությունը հաշիվների խախտումներից ուժեղացնելու երրորդ փուլն է: Առաջին փուլը ներառում էր բոլոր NPM հաշիվների փոխակերպումը, որոնք չունեն երկգործոն նույնականացում, որը միացված է հաշվի առաջադեմ ստուգում օգտագործելու համար, որը պահանջում է մուտքագրել էլեկտրոնային փոստով ուղարկված մեկանգամյա կոդը, երբ փորձում եք մուտք գործել npmjs.com կամ կատարել վավերացված գործողություն npm-ում: օգտակար. Երկրորդ փուլում 100 ամենահայտնի փաթեթների համար միացվել է պարտադիր երկգործոն նույնականացումը:
Հիշենք, որ 2020 թվականին կատարված ուսումնասիրության համաձայն, փաթեթների սպասարկողների միայն 9.27%-ն է օգտագործել երկգործոն նույնականացում՝ մուտքը պաշտպանելու համար, իսկ 13.37% դեպքերում, նոր հաշիվներ գրանցելիս, ծրագրավորողները փորձել են վերօգտագործել վտանգված գաղտնաբառերը, որոնք հայտնի են եղել։ գաղտնաբառի արտահոսք: Գաղտնաբառերի անվտանգության ստուգման ժամանակ NPM հաշիվների 12%-ը (փաթեթների 13%-ը) մուտք է գործել կանխատեսելի և չնչին գաղտնաբառերի օգտագործման պատճառով, ինչպիսին է «123456»: Խնդրահարույցների թվում էին 4 օգտվողի հաշիվներ Թոփ 20 ամենահայտնի փաթեթներից, 13 հաշիվներ փաթեթներով, որոնք ներբեռնվել են ամսական ավելի քան 50 միլիոն անգամ, 40-ը՝ ամսական ավելի քան 10 միլիոն ներբեռնումներով և 282-ը՝ ամսական 1 միլիոնից ավելի ներբեռնումներով: Հաշվի առնելով կախվածությունների շղթայի երկայնքով մոդուլների բեռնումը, անվստահելի հաշիվների խախտումը կարող է ազդել NPM-ի բոլոր մոդուլների մինչև 52%-ի վրա:
Source: opennet.ru