De NPM-repository omvat verplichte tweefactorauthenticatie voor accounts die de 500 populairste NPM-pakketten onderhouden. Het aantal afhankelijke pakketten werd als populariteitscriterium gebruikt. Beheerders van vermelde pakketten kunnen alleen wijzigingsgerelateerde bewerkingen op de repository uitvoeren nadat tweefactorauthenticatie is ingeschakeld, waarvoor aanmeldingsbevestiging vereist is met behulp van eenmalige wachtwoorden (TOTP) gegenereerd door applicaties zoals Authy, Google Authenticator en FreeOTP, of hardwaresleutels en biometrische scanners, die het WebAuth-protocol ondersteunen.
Dit is de derde fase van het versterken van de bescherming van NPM tegen accountcompromissen. De eerste fase bestond uit het omzetten van alle NPM-accounts waarvoor geen tweefactorauthenticatie is ingeschakeld om geavanceerde accountverificatie te gebruiken, waarvoor een eenmalige code moet worden ingevoerd die per e-mail wordt verzonden wanneer wordt geprobeerd in te loggen op npmjs.com of een geverifieerde bewerking uit te voeren in de npm nutsvoorziening. In de tweede fase werd verplichte tweefactorauthenticatie mogelijk gemaakt voor de 100 populairste pakketten.
Laten we niet vergeten dat volgens een onderzoek uit 2020 slechts 9.27% van de pakketbeheerders tweefactorauthenticatie gebruikte om de toegang te beschermen, en dat ontwikkelaars in 13.37% van de gevallen bij het registreren van nieuwe accounts probeerden gecompromitteerde wachtwoorden te hergebruiken die in bekende wachtwoord lekt. Tijdens een wachtwoordbeveiligingsbeoordeling werd 12% van de NPM-accounts (13% van de pakketten) benaderd vanwege het gebruik van voorspelbare en triviale wachtwoorden zoals ‘123456’. Tot de problematische behoorden vier gebruikersaccounts uit de Top 4 van meest populaire pakketten, 20 accounts met pakketten die meer dan 13 miljoen keer per maand werden gedownload, 50 met meer dan 40 miljoen downloads per maand en 10 met meer dan 282 miljoen downloads per maand. Rekening houdend met het laden van modules langs een keten van afhankelijkheden, kan het compromitteren van niet-vertrouwde accounts tot 1% van alle modules in NPM beïnvloeden.
Bron: opennet.ru