NPM repozitorijā ir iekļauta obligāta divu faktoru autentifikācija kontiem, kuros tiek uzturētas 500 populārākās NPM pakotnes. Kā popularitātes kritērijs tika izmantots atkarīgo paku skaits. Sarakstā iekļauto pakotņu uzturētāji varēs veikt ar modifikācijām saistītas darbības krātuvē tikai pēc tam, kad ir iespējota divu faktoru autentifikācija, kurai nepieciešams pieteikšanās apstiprinājums, izmantojot vienreizējās paroles (TOTP), ko ģenerē tādas lietojumprogrammas kā Authy, Google Authenticator un FreeOTP vai aparatūra. atslēgas un biometriskie skeneri, kas atbalsta WebAuth protokolu.
Šis ir trešais posms, lai stiprinātu NPM aizsardzību pret konta uzlaušanu. Pirmajā posmā tika pārveidoti visi NPM konti, kuriem nav iespējota divu faktoru autentifikācija, lai izmantotu uzlaboto konta verifikāciju, kas prasa ievadīt vienreizēju kodu, kas nosūtīts pa e-pastu, mēģinot pieteikties npmjs.com vai veikt autentificētu darbību npm. lietderība. Otrajā posmā 100 populārākajām pakotnēm tika iespējota obligāta divu faktoru autentifikācija.
Atcerēsimies, ka saskaņā ar 2020. gadā veikto pētījumu tikai 9.27% pakotņu uzturētāju izmantoja divu faktoru autentifikāciju, lai aizsargātu piekļuvi, un 13.37% gadījumu, reģistrējot jaunus kontus, izstrādātāji mēģināja atkārtoti izmantot uzlauztās paroles, kas parādījās zināmās. paroles noplūde. Paroles drošības pārbaudes laikā 12% NPM kontu (13% pakotņu) tika piekļūti, jo tika izmantotas paredzamas un nenozīmīgas paroles, piemēram, “123456”. Starp problemātiskajiem bija 4 lietotāju konti no 20 populārākajām pakotnēm, 13 konti ar pakotnēm, kas lejupielādētas vairāk nekā 50 miljonus reižu mēnesī, 40 konti ar vairāk nekā 10 miljoniem lejupielāžu mēnesī un 282 konti ar vairāk nekā 1 miljonu lejupielāžu mēnesī. Ņemot vērā moduļu ielādi pa atkarību ķēdi, neuzticamu kontu kompromitēšana var ietekmēt līdz pat 52% no visiem NPM moduļiem.
Avots: opennet.ru