Repositori NPM kalebu otentikasi rong faktor wajib kanggo akun sing njaga 500 paket NPM paling populer. Jumlah paket gumantung digunakake minangka kritΓ©ria popularitas. Penyelenggara paket sing kadhaptar mung bakal bisa nindakake operasi sing gegandhengan karo modifikasi ing gudang mung sawise ngaktifake otentikasi rong faktor, sing mbutuhake konfirmasi login nggunakake tembung sandhi siji-wektu (TOTP) sing digawe dening aplikasi kayata Authy, Google Authenticator lan FreeOTP, utawa tombol hardware lan scanner biometrik, ndhukung protokol WebAuth.
Iki minangka tahap kaping telu kanggo nguatake perlindungan NPM marang kompromi akun. Tahap pisanan kalebu ngowahi kabeh akun NPM sing ora duwe otentikasi rong faktor sing bisa digunakake kanggo verifikasi akun lanjutan, sing mbutuhake ngetik kode siji-wektu sing dikirim liwat email nalika nyoba mlebu menyang npmjs.com utawa nindakake operasi sing wis dikonfirmasi ing npm. sarana. Ing fase kapindho, otentikasi rong faktor wajib diaktifake kanggo 100 paket sing paling populer.
Elinga yen miturut panaliten sing ditindakake ing taun 2020, mung 9.27% panyedhiya paket nggunakake otentikasi rong faktor kanggo nglindhungi akses, lan ing 13.37% kasus, nalika ndhaptar akun anyar, pangembang nyoba nggunakake maneh tembung sandhi sing dikompromi sing katon ing dikenal. sandi bocor. Sajrone review keamanan sandi, 12% akun NPM (13% paket) diakses amarga nggunakake tembung sandhi sing bisa diprediksi lan ora pati penting kayata "123456." Antarane masalah kasebut yaiku 4 akun pangguna saka 20 paket paling populer, 13 akun kanthi paket sing diunduh luwih saka 50 yuta kaping saben wulan, 40 kanthi luwih saka 10 yuta undhuhan saben wulan, lan 282 kanthi luwih saka 1 yuta download saben wulan. Kanthi nggatekake beban modul ing sadawane rantai dependensi, kompromi akun sing ora dipercaya bisa mengaruhi nganti 52% kabeh modul ing NPM.
Source: opennet.ru