GitHub mengumumkan bahwa repositori NPM mengaktifkan autentikasi dua faktor untuk 100 paket NPM yang disertakan sebagai dependensi dalam jumlah paket terbesar. Pengelola paket-paket ini sekarang dapat melakukan operasi repositori yang diautentikasi hanya setelah mengaktifkan otentikasi dua faktor, yang memerlukan konfirmasi login menggunakan kata sandi satu kali (TOTP) yang dihasilkan oleh aplikasi seperti Authy, Google Authenticator, dan FreeOTP. Dalam waktu dekat, selain TOTP, mereka berencana menambahkan kemampuan menggunakan kunci perangkat keras dan pemindai biometrik yang mendukung protokol WebAuth.
Pada tanggal 1 Maret, direncanakan untuk mentransfer semua akun NPM yang tidak mengaktifkan otentikasi dua faktor untuk menggunakan verifikasi akun yang diperluas, yang memerlukan memasukkan kode satu kali yang dikirim melalui email ketika mencoba masuk ke npmjs.com atau melakukan otentikasi operasi di utilitas npm. Jika autentikasi dua faktor diaktifkan, verifikasi email yang diperluas tidak diterapkan. Pada tanggal 16 dan 13 Februari, uji coba peluncuran sementara verifikasi yang diperpanjang untuk semua akun akan dilakukan selama sehari.
Ingatlah bahwa menurut penelitian yang dilakukan pada tahun 2020, hanya 9.27% pengelola paket yang menggunakan autentikasi dua faktor untuk melindungi akses, dan dalam 13.37% kasus, saat mendaftarkan akun baru, pengembang mencoba menggunakan kembali kata sandi yang telah disusupi yang muncul di diketahui kebocoran kata sandi. Selama peninjauan keamanan kata sandi, 12% akun NPM (13% dari paket) diakses karena penggunaan kata sandi yang mudah diprediksi dan sepele seperti “123456.” Di antara yang bermasalah adalah 4 akun pengguna dari 20 paket terpopuler, 13 akun dengan paket diunduh lebih dari 50 juta kali per bulan, 40 akun dengan lebih dari 10 juta unduhan per bulan, dan 282 akun dengan lebih dari 1 juta unduhan per bulan. Dengan mempertimbangkan pemuatan modul di sepanjang rantai ketergantungan, penyusupan akun yang tidak tepercaya dapat memengaruhi hingga 52% dari seluruh modul di NPM.
Sumber: opennet.ru