Repositori NPM menyertakan autentikasi dua faktor wajib untuk akun yang memelihara 500 paket NPM terpopuler. Jumlah paket dependen digunakan sebagai kriteria popularitas. Pengelola paket yang terdaftar hanya akan dapat melakukan operasi terkait modifikasi pada repositori hanya setelah mengaktifkan otentikasi dua faktor, yang memerlukan konfirmasi login menggunakan kata sandi satu kali (TOTP) yang dihasilkan oleh aplikasi seperti Authy, Google Authenticator dan FreeOTP, atau kunci perangkat keras dan pemindai biometrik, mendukung protokol WebAuth.
Ini adalah tahap ketiga dalam memperkuat perlindungan NPM terhadap penyusupan akun. Tahap pertama melibatkan konversi semua akun NPM yang tidak mengaktifkan otentikasi dua faktor untuk menggunakan verifikasi akun tingkat lanjut, yang memerlukan memasukkan kode satu kali yang dikirim melalui email ketika mencoba masuk ke npmjs.com atau melakukan operasi yang diautentikasi di npm kegunaan. Pada fase kedua, otentikasi dua faktor wajib diaktifkan untuk 100 paket terpopuler.
Ingatlah bahwa menurut penelitian yang dilakukan pada tahun 2020, hanya 9.27% pengelola paket yang menggunakan autentikasi dua faktor untuk melindungi akses, dan dalam 13.37% kasus, saat mendaftarkan akun baru, pengembang mencoba menggunakan kembali kata sandi yang telah disusupi yang muncul di diketahui kebocoran kata sandi. Selama peninjauan keamanan kata sandi, 12% akun NPM (13% dari paket) diakses karena penggunaan kata sandi yang mudah diprediksi dan sepele seperti “123456.” Di antara yang bermasalah adalah 4 akun pengguna dari 20 paket terpopuler, 13 akun dengan paket diunduh lebih dari 50 juta kali per bulan, 40 akun dengan lebih dari 10 juta unduhan per bulan, dan 282 akun dengan lebih dari 1 juta unduhan per bulan. Dengan mempertimbangkan pemuatan modul di sepanjang rantai ketergantungan, penyusupan akun yang tidak tepercaya dapat memengaruhi hingga 52% dari seluruh modul di NPM.
Sumber: opennet.ru