НПМ спремиште укључује обавезну двофакторску аутентификацију за налоге који одржавају 500 најпопуларнијих НПМ пакета. Број зависних пакета је коришћен као критеријум популарности. Одржавачи наведених пакета ће моћи да обављају операције у вези са модификацијом у спремишту само након што омогуће двофакторску аутентификацију, која захтева потврду пријаве помоћу једнократних лозинки (ТОТП) генерисаних од стране апликација као што су Аутхи, Гоогле Аутхентицатор и ФрееОТП, или хардверске кључеве и биометријске скенере, који подржавају ВебАутх протокол.
Ово је трећа фаза јачања заштите НПМ-а од компромитовања рачуна. Прва фаза је укључивала претварање свих НПМ налога који немају омогућену двофакторску аутентификацију да користе напредну верификацију налога, која захтева уношење једнократног кода послатог е-поштом када покушавате да се пријавите на нпмјс.цом или извршите операцију са аутентификацијом у нпм-у корисност. У другој фази омогућена је обавезна двофакторска аутентификација за 100 најпопуларнијих пакета.
Подсетимо се да је према студији спроведеној 2020. године, само 9.27% одржавалаца пакета користило двофакторску аутентификацију да би заштитило приступ, а у 13.37% случајева, приликом регистрације нових налога, програмери су покушали да поново користе компромитоване лозинке које су се појавиле у познатим лозинка цури. Током безбедносне провере лозинке, приступљено је 12% НПМ налога (13% пакета) због употребе предвидљивих и тривијалних лозинки као што је „123456“. Међу проблематичнима била су 4 корисничка налога из Топ 20 најпопуларнијих пакета, 13 налога са пакетима који се преузимају више од 50 милиона пута месечно, 40 са више од 10 милиона преузимања месечно и 282 са више од милион преузимања месечно. Узимајући у обзир учитавање модула дуж ланца зависности, компромитовање непоузданих налога може утицати на до 1% свих модула у НПМ-у.
Извор: опеннет.ру