NPM репозитор нь хамгийн алдартай 500 NPM багцыг хөтөлж байгаа дансны заавал хоёр хүчин зүйлийн баталгаажуулалтыг агуулдаг. Түгээмэл байдлын шалгуур болгон хамааралтай багцын тоог ашигласан. Жагсаалтад орсон багцын засварчид зөвхөн хоёр хүчин зүйлийн баталгаажуулалтыг идэвхжүүлсний дараа л репозитор дээр өөрчлөлттэй холбоотой үйлдлүүдийг хийх боломжтой бөгөөд энэ нь Authy, Google Authenticator, FreeOTP зэрэг программуудаар үүсгэсэн нэг удаагийн нууц үг (TOTP) ашиглан нэвтрэх баталгаажуулалтыг шаарддаг. WebAuth протоколыг дэмждэг техник хангамжийн түлхүүрүүд болон биометрийн сканнерууд.
Энэ нь NPM-ийн дансны эвдрэлээс хамгаалах хамгаалалтыг бэхжүүлэх гурав дахь шат юм. Эхний шатанд npmjs.com руу нэвтрэх эсвэл npm-д баталгаажуулсан үйлдлийг хийх гэж оролдох үед цахим шуудангаар илгээсэн нэг удаагийн кодыг оруулах шаардлагатай хоёр хүчин зүйлийн баталгаажуулалт идэвхжээгүй бүх NPM бүртгэлийг ахисан түвшний бүртгэлийн баталгаажуулалтыг ашиглахын тулд хөрвүүлэх явдал байв. хэрэгсэл. Хоёрдахь үе шатанд хамгийн алдартай 100 багцад заавал хоёр хүчин зүйлийн баталгаажуулалтыг идэвхжүүлсэн.
2020 онд хийсэн судалгаагаар багц засварлагчдын ердөө 9.27% нь хандалтыг хамгаалахын тулд хоёр хүчин зүйлийн баталгаажуулалтыг ашигласан бөгөөд 13.37% тохиолдолд шинэ данс бүртгүүлэхдээ хөгжүүлэгчид мэдэгдэж байсан нууц үгээ дахин ашиглахыг оролдсон гэдгийг санаарай. нууц үг алдагдсан. Нууц үгийн аюулгүй байдлын шалгалтын явцад “12” гэх мэт урьдчилан таамаглах боломжтой, өчүүхэн нууц үг ашигласны улмаас NPM дансны 13%-д (багцын 123456%) хандсан байна. Асуудалтай зүйлсийн дунд хамгийн алдартай 4 багцын 20 хэрэглэгчийн бүртгэл, сард 13 саяас дээш удаа татагдсан багц 50, сард 40 сая гаруй удаа татагдсан 10, сард 282 сая гаруй удаа татагдсан 1 хэрэглэгчийн бүртгэл багтсан байна. Хамааралтай гинжин хэлхээний дагуу модулиудын ачааллыг харгалзан үзэхэд итгэмжгүй бүртгэлүүдийн эвдрэл нь NPM-ийн бүх модулийн 52% хүртэл нөлөөлж болзошгүй юм.
Эх сурвалж: opennet.ru