Repozitorij NPM vključuje obvezno dvofaktorsko avtentikacijo za račune, ki vzdržujejo 500 najbolj priljubljenih paketov NPM. Število odvisnih paketov je bilo uporabljeno kot kriterij priljubljenosti. Vzdrževalci navedenih paketov bodo lahko izvajali operacije, povezane s spreminjanjem, na repozitoriju šele, ko bodo omogočili dvofaktorsko avtentikacijo, ki zahteva potrditev prijave z uporabo enkratnih gesel (TOTP), ki jih ustvarijo aplikacije, kot so Authy, Google Authenticator in FreeOTP, oz. strojne ključe in biometrične skenerje, ki podpirajo protokol WebAuth.
To je tretja stopnja krepitve zaščite NPM pred ogrožanjem računa. Prva stopnja je vključevala pretvorbo vseh računov NPM, ki nimajo omogočene dvofaktorske avtentikacije, za uporabo naprednega preverjanja računa, ki zahteva vnos enkratne kode, poslane po e-pošti, ko se poskušate prijaviti na npmjs.com ali izvesti operacijo avtentikacije v npm. uporabnost. V drugi fazi smo za 100 najbolj priljubljenih paketov omogočili obvezno dvofaktorsko avtentikacijo.
Spomnimo se, da je glede na študijo, izvedeno leta 2020, samo 9.27 % vzdrževalcev paketov uporabilo dvofaktorsko avtentikacijo za zaščito dostopa, v 13.37 % primerov pa so razvijalci pri registraciji novih računov poskušali ponovno uporabiti ogrožena gesla, ki so se pojavila v znanih uhajanje gesel. Med pregledom varnosti gesel je bilo dostopa do 12 % računov NPM (13 % paketov) zaradi uporabe predvidljivih in trivialnih gesel, kot je »123456«. Med problematičnimi so bili 4 uporabniški računi iz Top 20 najbolj priljubljenih paketov, 13 računov s paketi, ki so bili preneseni več kot 50 milijonov krat na mesec, 40 z več kot 10 milijoni prenosov na mesec in 282 z več kot 1 milijonom prenosov na mesec. Ob upoštevanju nalaganja modulov vzdolž verige odvisnosti bi lahko ogrožanje nezaupnih računov vplivalo na do 52 % vseh modulov v NPM.
Vir: opennet.ru