GitHub ngumumkeun yén repositori NPM ngamungkinkeun auténtikasi dua faktor pikeun 100 bungkusan NPM anu kalebet salaku katergantungan dina jumlah bungkusan anu paling ageung. Pangropéa bungkusan ieu ayeuna bakal tiasa ngalakukeun operasi gudang anu dioténtikasi ngan saatos ngaktipkeun auténtikasi dua faktor, anu peryogi konfirmasi login nganggo kecap konci sakali (TOTP) anu dihasilkeun ku aplikasi sapertos Authy, Google Authenticator sareng FreeOTP. Dina mangsa nu bakal datang, salian TOTP, aranjeunna rencanana pikeun nambahkeun kamampuhan pikeun ngagunakeun kenop hardware na scanner biometric nu ngarojong protokol WebAuth.
Dina tanggal 1 Maret, rencanana pikeun nransper sadaya akun NPM anu teu gaduh auténtikasi dua-faktor anu diaktipkeun pikeun ngagunakeun verifikasi akun anu diperpanjang, anu peryogi ngalebetkeun kode hiji waktos anu dikirim ku email nalika nyobian asup kana npmjs.com atanapi ngalakukeun anu dioténtikasi. operasi dina utilitas npm. Nalika auténtikasi dua faktor diaktipkeun, verifikasi email anu diperpanjang henteu diterapkeun. Dina tanggal 16 sareng 13 Pebruari, uji coba peluncuran samentawis verifikasi diperpanjang pikeun sadaya akun bakal dilaksanakeun sadinten.
Hayu urang émut yén dumasar kana panilitian anu dilakukeun dina taun 2020, ngan ukur 9.27% pangurus pakét anu nganggo auténtikasi dua faktor pikeun ngajagi aksés, sareng dina 13.37% kasus, nalika ngadaptar akun énggal, pamekar nyobian nganggo deui kecap konci anu dikompromi anu muncul dina anu dikenal. sandi bocor. Salila ulasan kaamanan sandi, 12% tina akun NPM (13% tina bungkusan) diaksés kusabab ngagunakeun kecap konci anu tiasa diprediksi sareng sepele sapertos "123456." Diantara anu bermasalah nyaéta 4 akun pangguna tina Top 20 bungkusan anu paling populér, 13 akun kalayan pakét anu diunduh langkung ti 50 juta kali per bulan, 40 kalayan langkung ti 10 juta unduhan per bulan, sareng 282 kalayan langkung ti 1 juta unduhan per bulan. Nganggap beban modul sapanjang ranté dependensi, kompromi akun anu teu dipercaya tiasa mangaruhan dugi ka 52% tina sadaya modul dina NPM.
sumber: opennet.ru