Ir-repożitorju tal-NPM jinkludi awtentikazzjoni obbligatorja b'żewġ fatturi għall-kontijiet li jżommu l-500 pakkett NPM l-aktar popolari. In-numru ta' pakketti dipendenti intuża bħala kriterju ta' popolarità. Dawk li jżommu l-pakketti elenkati se jkunu jistgħu jwettqu biss operazzjonijiet relatati mal-modifika fuq ir-repożitorju biss wara li jippermettu awtentikazzjoni b'żewġ fatturi, li teħtieġ konferma tal-login bl-użu ta' passwords ta' darba (TOTP) iġġenerati minn applikazzjonijiet bħal Authy, Google Authenticator u FreeOTP, jew ċwievet tal-ħardwer u skaners bijometriċi, li jappoġġjaw il-protokoll WebAuth.
Dan huwa t-tielet stadju tat-tisħiħ tal-protezzjoni tal-NPM kontra l-kompromess tal-kontijiet. L-ewwel stadju kien jinvolvi l-konverżjoni tal-kontijiet NPM kollha li m'għandhomx awtentikazzjoni b'żewġ fatturi attivata biex jużaw verifika avvanzata tal-kont, li teħtieġ id-dħul ta' kodiċi ta' darba mibgħut bl-email meta tipprova tidħol f'npmjs.com jew twettaq operazzjoni awtentikata fl-npm. utilità. Fit-tieni fażi, l-awtentikazzjoni obbligatorja b'żewġ fatturi ġiet attivata għall-100 pakkett l-aktar popolari.
Ejja niftakru li skont studju li sar fl-2020, 9.27% biss ta’ dawk li jżommu l-pakketti użaw awtentikazzjoni b’żewġ fatturi biex jipproteġu l-aċċess, u fi 13.37% tal-każijiet, meta rreġistraw kontijiet ġodda, l-iżviluppaturi ppruvaw jerġgħu jużaw passwords kompromessi li dehru fil-magħrufa. tnixxijiet tal-password. Waqt reviżjoni tas-sigurtà tal-password, ġew aċċessati 12% tal-kontijiet NPM (13% tal-pakketti) minħabba l-użu ta 'passwords prevedibbli u trivjali bħal "123456." Fost dawk problematiċi kien hemm 4 kontijiet tal-utent mill-Top 20 l-aktar pakketti popolari, 13-il kont b'pakketti mniżżla aktar minn 50 miljun darba fix-xahar, 40 b'aktar minn 10 miljun download fix-xahar, u 282 b'aktar minn 1 miljun download fix-xahar. B'kont meħud tat-tagħbija ta' moduli tul katina ta' dipendenzi, il-kompromess ta' kontijiet mhux ta' fiduċja jista' jaffettwa sa 52% tal-moduli kollha fl-NPM.
Sors: opennet.ru