Depoja e NPM përfshin vërtetimin e detyrueshëm me dy faktorë për llogaritë që mbajnë 500 paketat më të njohura NPM. Numri i paketave të varura është përdorur si kriter i popullaritetit. Mirëmbajtësit e paketave të listuara do të jenë në gjendje të kryejnë operacione të lidhura me modifikimin në depo vetëm pasi të aktivizojnë vërtetimin me dy faktorë, i cili kërkon konfirmimin e hyrjes duke përdorur fjalëkalime një herë (TOTP) të krijuara nga aplikacione të tilla si Authy, Google Authenticator dhe FreeOTP, ose harduer. çelësat dhe skanerët biometrikë, që mbështesin protokollin WebAuth.
Kjo është faza e tretë e forcimit të mbrojtjes së MKP-së kundër komprometimit të llogarisë. Faza e parë përfshinte konvertimin e të gjitha llogarive NPM që nuk kanë vërtetimin me dy faktorë të aktivizuar për të përdorur verifikimin e avancuar të llogarisë, i cili kërkon futjen e një kodi një herë të dërguar me email kur përpiqesh të identifikohesh në npmjs.com ose të kryesh një operacion të vërtetuar në npm dobishmërisë. Në fazën e dytë, u aktivizua vërtetimi i detyrueshëm me dy faktorë për 100 paketat më të njohura.
Le të kujtojmë se sipas një studimi të kryer në vitin 2020, vetëm 9.27% e mirëmbajtësve të paketave përdorën vërtetimin me dy faktorë për të mbrojtur aksesin, dhe në 13.37% të rasteve, kur regjistronin llogari të reja, zhvilluesit u përpoqën të ripërdornin fjalëkalime të komprometuara që shfaqeshin në të njohur rrjedhjet e fjalëkalimit. Gjatë një rishikimi të sigurisë së fjalëkalimit, 12% e llogarive NPM (13% e paketave) u aksesuan për shkak të përdorimit të fjalëkalimeve të parashikueshme dhe të parëndësishme si "123456". Ndër ato problematike ishin 4 llogari përdoruesish nga Top 20 paketat më të njohura, 13 llogari me paketa të shkarkuara më shumë se 50 milionë herë në muaj, 40 me më shumë se 10 milionë shkarkime në muaj dhe 282 me më shumë se 1 milionë shkarkime në muaj. Duke marrë parasysh ngarkimin e moduleve përgjatë një zinxhiri varësish, kompromisi i llogarive të pabesuara mund të ndikojë deri në 52% të të gjitha moduleve në NPM.
Burimi: opennet.ru