GitHub ngumumake manawa repositori NPM ngaktifake otentikasi rong faktor kanggo 100 paket NPM sing kalebu minangka dependensi ing paket paling akeh. Penyelenggara paket kasebut saiki bakal bisa nindakake operasi repositori sing wis dikonfirmasi mung sawise ngaktifake otentikasi rong faktor, sing mbutuhake konfirmasi login nggunakake tembung sandhi siji-wektu (TOTP) sing digawe dening aplikasi kayata Authy, Google Authenticator lan FreeOTP. Ing mangsa ngarep, saliyane TOTP, dheweke ngrancang nambah kemampuan kanggo nggunakake tombol hardware lan pemindai biometrik sing ndhukung protokol WebAuth.
Tanggal 1 Maret, direncanakake nransfer kabeh akun NPM sing ora duwe otentikasi rong faktor sing bisa digunakake kanggo verifikasi akun lengkap, sing mbutuhake ngetik kode siji-wektu sing dikirim liwat email nalika nyoba mlebu menyang npmjs.com utawa nindakake otentikasi. operasi ing utilitas npm. Nalika otentikasi loro-faktor diaktifake, verifikasi email lengkap ora ditrapake. Tanggal 16 lan 13 Februari, peluncuran sementara verifikasi lengkap kanggo kabeh akun bakal ditindakake sedina.
Elinga yen miturut panaliten sing ditindakake ing taun 2020, mung 9.27% panyedhiya paket nggunakake otentikasi rong faktor kanggo nglindhungi akses, lan ing 13.37% kasus, nalika ndhaptar akun anyar, pangembang nyoba nggunakake maneh tembung sandhi sing dikompromi sing katon ing dikenal. sandi bocor. Sajrone review keamanan sandi, 12% akun NPM (13% paket) diakses amarga nggunakake tembung sandhi sing bisa diprediksi lan ora pati penting kayata "123456." Antarane masalah kasebut yaiku 4 akun pangguna saka 20 paket paling populer, 13 akun kanthi paket sing diunduh luwih saka 50 yuta kaping saben wulan, 40 kanthi luwih saka 10 yuta undhuhan saben wulan, lan 282 kanthi luwih saka 1 yuta download saben wulan. Kanthi nggatekake beban modul ing sadawane rantai dependensi, kompromi akun sing ora dipercaya bisa mengaruhi nganti 52% kabeh modul ing NPM.
Source: opennet.ru