NPM-depotet inkluderer obligatorisk tofaktorautentisering for kontoer som opprettholder de 500 mest populære NPM-pakkene. Antall avhengige pakker ble brukt som et popularitetskriterium. Vedlikeholdere av listede pakker vil kun kunne utføre modifikasjonsrelaterte operasjoner på depotet etter å ha aktivert tofaktorautentisering, som krever påloggingsbekreftelse ved å bruke engangspassord (TOTP) generert av applikasjoner som Authy, Google Authenticator og FreeOTP, eller maskinvare nøkler og biometriske skannere, som støtter WebAuth-protokollen.
Dette er den tredje fasen av å styrke NPMs beskyttelse mot kontokompromittering. Det første trinnet innebar å konvertere alle NPM-kontoer som ikke har tofaktorautentisering aktivert for å bruke avansert kontoverifisering, som krever at du oppgir en engangskode sendt på e-post når du prøver å logge på npmjs.com eller utføre en autentisert operasjon i npm nytte. I den andre fasen ble obligatorisk tofaktorautentisering aktivert for de 100 mest populære pakkene.
La oss huske at ifølge en studie utført i 2020, brukte bare 9.27 % av pakkevedlikeholderne tofaktorautentisering for å beskytte tilgangen, og i 13.37 % av tilfellene, når de registrerte nye kontoer, prøvde utviklere å gjenbruke kompromitterte passord som dukket opp i kjente passordlekkasjer. Under en passordsikkerhetsgjennomgang ble 12 % av NPM-kontoene (13 % av pakkene) åpnet på grunn av bruken av forutsigbare og trivielle passord som «123456». Blant de problematiske var 4 brukerkontoer fra de 20 mest populære pakkene, 13 kontoer med pakker lastet ned mer enn 50 millioner ganger per måned, 40 med mer enn 10 millioner nedlastinger per måned, og 282 med mer enn 1 million nedlastinger per måned. Tatt i betraktning lasting av moduler langs en kjede av avhengigheter, kan kompromittering av uklarerte kontoer påvirke opptil 52 % av alle moduler i NPM.
Kilde: opennet.ru