Depozitul NPM include autentificare obligatorie cu doi factori pentru conturile care mențin cele mai populare 500 de pachete NPM. Numărul de pachete dependente a fost folosit ca criteriu de popularitate. Operatorii de întreținere ai pachetelor enumerate vor putea efectua operațiuni legate de modificare în depozit numai după ce au activat autentificarea cu doi factori, care necesită confirmarea autentificărilor folosind parole unice (TOTP) generate de aplicații precum Authy, Google Authenticator și FreeOTP sau hardware. chei și scanere biometrice, care acceptă protocolul WebAuth.
Aceasta este a treia etapă de consolidare a protecției NPM împotriva compromiterii contului. Prima etapă a implicat conversia tuturor conturilor NPM care nu au autentificarea cu doi factori activată pentru a utiliza verificarea avansată a contului, care necesită introducerea unui cod unic trimis prin e-mail atunci când încercați să vă conectați la npmjs.com sau să efectuați o operațiune autentificată în npm. utilitate. În a doua fază, a fost activată autentificarea obligatorie cu doi factori pentru cele mai populare 100 de pachete.
Să ne amintim că, conform unui studiu realizat în 2020, doar 9.27% dintre întreținătorii de pachete au folosit autentificarea cu doi factori pentru a proteja accesul, iar în 13.37% din cazuri, la înregistrarea unor conturi noi, dezvoltatorii au încercat să refolosească parole compromise care apăreau în cunoscute. scurgeri de parole. În timpul unei analize de securitate a parolei, 12% dintre conturile NPM (13% din pachete) au fost accesate datorită utilizării unor parole previzibile și banale, cum ar fi „123456”. Printre cele problematice s-au numărat 4 conturi de utilizator din Top 20 cele mai populare pachete, 13 conturi cu pachete descărcate de peste 50 de milioane de ori pe lună, 40 cu peste 10 milioane de descărcări pe lună și 282 cu mai mult de 1 milion de descărcări pe lună. Ținând cont de încărcarea modulelor de-a lungul unui lanț de dependențe, compromisul conturilor nede încredere ar putea afecta până la 52% din toate modulele din NPM.
Sursa: opennet.ru