Den NPM Repository enthält obligatoresch Zwee-Faktor Authentifikatioun fir Konten déi déi 500 beléifste NPM Packagen erhalen. D'Zuel vun de ofhängege Packagen gouf als Popularitéitskriterium benotzt. Ënnerhalter vu opgezielte Packagen kënnen nëmme Modifikatiounsbezunnen Operatiounen am Repository ausféieren nodeems se Zwee-Faktor Authentifikatioun aktivéiert hunn, wat Loginbestätegung erfuerdert mat eemolege Passwierder (TOTP) generéiert vun Uwendungen wéi Authy, Google Authenticator a FreeOTP, oder Hardware Schlësselen a biometresch Scanner, ënnerstëtzen de WebAuth Protokoll.
Dëst ass déi drëtt Stuf vun der Stäerkung vum NPM säi Schutz géint Kontkompromiss. Déi éischt Stuf involvéiert d'Konvertéierung vun all NPM Konten déi keng Zwee-Faktor Authentifikatioun aktivéiert hunn fir fortgeschratt Kontverifizéierung ze benotzen, wat erfuerdert en eemolege Code anzeginn, deen per E-Mail geschéckt gëtt wann Dir probéiert op npmjs.com ze loggen oder eng authentifizéiert Operatioun am npm auszeféieren. Utility. An der zweeter Phase gouf obligatoresch Zwee-Faktor Authentifikatioun fir déi 100 beléifste Packagen aktivéiert.
Loosst eis drun erënneren datt no enger Etude déi am Joer 2020 gemaach gouf, nëmmen 9.27% vun de Package Entrepreneuren zwee-Faktor Authentifikatioun benotzt hunn fir den Zougang ze schützen, an an 13.37% vun de Fäll, bei der Enregistréiere vun neie Konten, hunn d'Entwéckler probéiert kompromittéiert Passwierder ze benotzen, déi a bekannten erschéngen. Passwuert leeft. Wärend enger Passwuertsécherheetsiwwerpréiwung goufen 12% vun NPM Konten (13% vun de Packagen) zougänglech gemaach wéinst der Benotzung vu prévisibelen an triviale Passwierder wéi "123456." Ënnert de problematesch waren 4 Benotzerkonten vun den Top20 populäersten Packagen, 13 Konte mat Pakete méi wéi 50 Millioune Mol pro Mount erofgelueden, 40 mat méi wéi 10 Milliounen Downloads pro Mount, an 282 mat méi wéi 1 Millioun Downloads pro Mount. Wann Dir d'Belaaschtung vu Moduler laanscht eng Kette vun Ofhängegkeeten berécksiichtegt, kann de Kompromëss vun onvertrauen Konten bis zu 52% vun all Moduler an NPM beaflossen.
Source: opennet.ru