Úložisko NPM obsahuje povinnú dvojfaktorovú autentifikáciu pre účty udržiavajúce 500 najpopulárnejších balíkov NPM. Počet závislých balíkov bol použitý ako kritérium popularity. Správcovia uvedených balíkov budú môcť vykonávať operácie súvisiace s úpravami na úložisku až po povolení dvojfaktorovej autentifikácie, ktorá vyžaduje potvrdenie prihlásenia pomocou jednorazových hesiel (TOTP) generovaných aplikáciami ako Authy, Google Authenticator a FreeOTP alebo hardvérom. kľúče a biometrické skenery s podporou protokolu WebAuth.
Ide o tretiu etapu posilnenia ochrany NPM pred ohrozením účtu. Prvá fáza zahŕňala konverziu všetkých účtov NPM, ktoré nemajú aktivovanú dvojfaktorovú autentifikáciu, aby používali pokročilé overenie účtu, ktoré vyžaduje zadanie jednorazového kódu odoslaného e-mailom pri pokuse o prihlásenie na npmjs.com alebo vykonaní overenej operácie v npm. užitočnosť. V druhej fáze bola povolená povinná dvojfaktorová autentifikácia pre 100 najobľúbenejších balíkov.
Pripomeňme si, že podľa štúdie vykonanej v roku 2020 iba 9.27 % správcov balíkov používalo na ochranu prístupu dvojfaktorovú autentifikáciu a v 13.37 % prípadov sa pri registrácii nových účtov vývojári pokúsili znova použiť kompromitované heslá, ktoré sa objavili v známych úniky hesiel. Počas kontroly zabezpečenia hesiel bolo sprístupnených 12 % účtov NPM (13 % balíkov) vďaka použitiu predvídateľných a triviálnych hesiel, ako napríklad „123456“. Medzi problémové patrili 4 používateľské účty z Top20 najobľúbenejších balíčkov, 13 účtov s balíčkami stiahnutými viac ako 50 miliónov krát za mesiac, 40 s viac ako 10 miliónmi stiahnutí za mesiac a 282 s viac ako 1 miliónom stiahnutí za mesiac. Ak vezmeme do úvahy načítanie modulov pozdĺž reťazca závislostí, kompromitácia nedôveryhodných účtov by mohla ovplyvniť až 52 % všetkých modulov v NPM.
Zdroj: opennet.ru