Il repository NPM include l'autenticazione a due fattori obbligatoria per gli account che mantengono i 500 pacchetti NPM più popolari. Il numero di pacchetti dipendenti è stato utilizzato come criterio di popolarità. I manutentori dei pacchetti elencati potranno eseguire operazioni relative alle modifiche sul repository solo dopo aver abilitato l'autenticazione a due fattori, che richiede la conferma dell'accesso utilizzando password monouso (TOTP) generate da applicazioni come Authy, Google Authenticator e FreeOTP, o chiavi hardware e scanner biometrici, che supportano il protocollo WebAuth.
Questa è la terza fase del rafforzamento della protezione di NPM contro la compromissione dell'account. La prima fase prevedeva la conversione di tutti gli account NPM che non hanno l'autenticazione a due fattori abilitata per utilizzare la verifica avanzata dell'account, che richiede l'inserimento di un codice monouso inviato via e-mail quando si tenta di accedere a npmjs.com o eseguire un'operazione autenticata in npm utilità. Nella seconda fase è stata abilitata l’autenticazione obbligatoria a due fattori per i 100 pacchetti più popolari.
Ricordiamo che secondo uno studio condotto nel 2020, solo il 9.27% dei manutentori dei pacchetti ha utilizzato l'autenticazione a due fattori per proteggere l'accesso e nel 13.37% dei casi, durante la registrazione di nuovi account, gli sviluppatori hanno cercato di riutilizzare password compromesse apparse in siti noti perdite di password. Durante un controllo sulla sicurezza delle password, è stato effettuato l'accesso al 12% degli account NPM (13% dei pacchetti) a causa dell'uso di password prevedibili e banali come "123456". Tra quelli problematici c'erano 4 account utente della Top 20 dei pacchetti più popolari, 13 account con pacchetti scaricati più di 50 milioni di volte al mese, 40 con più di 10 milioni di download al mese e 282 con più di 1 milione di download al mese. Tenendo conto del caricamento dei moduli lungo una catena di dipendenze, la compromissione degli account non attendibili potrebbe interessare fino al 52% di tutti i moduli in NPM.
Fonte: opennet.ru