Repositori NPM termasuk pengesahan dua faktor mandatori untuk akaun yang mengekalkan 500 pakej NPM paling popular. Bilangan pakej bergantung digunakan sebagai kriteria populariti. Penyelenggara pakej tersenarai hanya akan dapat melakukan operasi berkaitan pengubahsuaian pada repositori selepas mendayakan pengesahan dua faktor, yang memerlukan pengesahan log masuk menggunakan kata laluan sekali (TOTP) yang dijana oleh aplikasi seperti Authy, Google Authenticator dan FreeOTP, atau perkakasan kunci dan pengimbas biometrik, menyokong protokol WebAuth.
Ini adalah peringkat ketiga mengukuhkan perlindungan NPM terhadap kompromi akaun. Peringkat pertama melibatkan penukaran semua akaun NPM yang tidak mempunyai pengesahan dua faktor yang didayakan untuk menggunakan pengesahan akaun lanjutan, yang memerlukan memasukkan kod sekali sahaja yang dihantar melalui e-mel apabila cuba log masuk ke npmjs.com atau melakukan operasi yang disahkan dalam npm utiliti. Dalam fasa kedua, pengesahan dua faktor mandatori telah didayakan untuk 100 pakej paling popular.
Mari kita ingat bahawa menurut kajian yang dijalankan pada tahun 2020, hanya 9.27% ββpenyelenggara pakej menggunakan pengesahan dua faktor untuk melindungi akses, dan dalam 13.37% kes, apabila mendaftar akaun baharu, pembangun cuba menggunakan semula kata laluan yang dikompromi yang muncul dalam yang diketahui. kata laluan bocor. Semasa semakan keselamatan kata laluan, 12% daripada akaun NPM (13% daripada pakej) telah diakses kerana penggunaan kata laluan yang boleh diramal dan remeh seperti "123456." Antara yang bermasalah ialah 4 akaun pengguna daripada Top 20 pakej paling popular, 13 akaun dengan pakej dimuat turun lebih daripada 50 juta kali sebulan, 40 dengan lebih daripada 10 juta muat turun sebulan, dan 282 dengan lebih daripada 1 juta muat turun sebulan. Dengan mengambil kira pemuatan modul sepanjang rantaian kebergantungan, pencerobohan akaun yang tidak dipercayai boleh menjejaskan sehingga 52% daripada semua modul dalam NPM.
Sumber: opennet.ru