GitHub je objavil, da repozitoriji NPM omogočajo dvofaktorsko avtentikacijo za 100 paketov NPM, ki so vključeni kot odvisnosti v največje število paketov. Vzdrževalci teh paketov bodo zdaj lahko izvajali overjene operacije repozitorija šele, ko bodo omogočili dvofaktorsko avtentikacijo, ki zahteva potrditev prijave z uporabo enkratnih gesel (TOTP), ki jih ustvarijo aplikacije, kot so Authy, Google Authenticator in FreeOTP. V bližnji prihodnosti nameravajo poleg TOTP dodati še možnost uporabe strojnih ključev in biometričnih skenerjev, ki podpirajo protokol WebAuth.
1. marca je predviden prenos vseh računov NPM, ki nimajo omogočene dvofaktorske avtentikacije, na uporabo razširjenega preverjanja računa, ki zahteva vnos enkratne kode, poslane po e-pošti, ko se poskušate prijaviti na npmjs.com ali izvesti avtentikacijo delovanje v pripomočku npm. Ko je omogočeno dvostopenjsko preverjanje pristnosti, razširjeno preverjanje e-pošte ni uporabljeno. 16. in 13. februarja bo za en dan izveden poskusni začasni zagon razširjenega preverjanja za vse račune.
Spomnimo se, da je glede na študijo, izvedeno leta 2020, samo 9.27 % vzdrževalcev paketov uporabilo dvofaktorsko avtentikacijo za zaščito dostopa, v 13.37 % primerov pa so razvijalci pri registraciji novih računov poskušali ponovno uporabiti ogrožena gesla, ki so se pojavila v znanih uhajanje gesel. Med pregledom varnosti gesel je bilo dostopa do 12 % računov NPM (13 % paketov) zaradi uporabe predvidljivih in trivialnih gesel, kot je »123456«. Med problematičnimi so bili 4 uporabniški računi iz Top 20 najbolj priljubljenih paketov, 13 računov s paketi, ki so bili preneseni več kot 50 milijonov krat na mesec, 40 z več kot 10 milijoni prenosov na mesec in 282 z več kot 1 milijonom prenosov na mesec. Ob upoštevanju nalaganja modulov vzdolž verige odvisnosti bi lahko ogrožanje nezaupnih računov vplivalo na do 52 % vseh modulov v NPM.
Vir: opennet.ru