NPM geymslan inniheldur skyldubundna tvíþætta auðkenningu fyrir reikninga sem halda úti 500 vinsælustu NPM pakkanum. Fjöldi háðra pakka var notaður sem vinsældaviðmiðun. Umsjónarmenn skráðra pakka munu aðeins geta framkvæmt breytingartengdar aðgerðir á geymslunni eftir að hafa virkjað tvíþætta auðkenningu, sem krefst staðfestingar innskráningar með því að nota einu sinni lykilorð (TOTP) sem eru búin til af forritum eins og Authy, Google Authenticator og FreeOTP, eða vélbúnaði. lykla og líffræðileg tölfræðiskanna, sem styðja WebAuth samskiptareglur.
Þetta er þriðja stigið til að styrkja vernd NPM gegn málamiðlun reikninga. Fyrsta stigið fól í sér að umbreyta öllum NPM reikningum sem eru ekki með tvíþætta auðkenningu virka til að nota háþróaða reikningsstaðfestingu, sem krefst þess að slá inn einskiptiskóða sem sendur er með tölvupósti þegar reynt er að skrá sig inn á npmjs.com eða framkvæma sannvottaða aðgerð í npm gagnsemi. Í öðrum áfanga var lögboðin tvíþætt auðkenning virkjuð fyrir 100 vinsælustu pakkana.
Við skulum muna að samkvæmt rannsókn sem gerð var árið 2020 notuðu aðeins 9.27% pakkaviðhaldara tveggja þátta auðkenningu til að vernda aðgang og í 13.37% tilvika, við skráningu nýrra reikninga, reyndu þróunaraðilar að endurnýta hættuleg lykilorð sem birtust í þekktum lykilorð lekur. Við endurskoðun lykilorðaöryggis var farið í 12% af NPM reikningum (13% pakka) vegna notkunar fyrirsjáanlegra og léttvægra lykilorða eins og „123456“. Meðal þeirra erfiðu voru 4 notendareikningar af topp 20 vinsælustu pakkunum, 13 reikningar með pakka sem hlaðið var niður meira en 50 milljón sinnum á mánuði, 40 með meira en 10 milljón niðurhalum á mánuði og 282 með meira en 1 milljón niðurhali á mánuði. Að teknu tilliti til hleðslu eininga meðfram keðju ósjálfstæðis gæti málamiðlun á ótraustum reikningum haft áhrif á allt að 52% allra eininga í NPM.
Heimild: opennet.ru