Repositori NPM kalebet auténtikasi dua faktor wajib pikeun akun anu ngajaga 500 bungkusan NPM anu paling populér. Jumlah bungkusan gumantung dipaké salaku kriteria popularitas. Pangropéa bungkusan anu didaptarkeun ngan bakal tiasa ngalakukeun operasi anu aya hubunganana sareng modifikasi dina gudang saatos ngaktipkeun auténtikasi dua faktor, anu peryogi konfirmasi login nganggo kecap konci sakali (TOTP) anu dihasilkeun ku aplikasi sapertos Authy, Google Authenticator sareng FreeOTP, atanapi hardware. konci sareng panyeken biometrik, ngadukung protokol WebAuth.
Ieu mangrupikeun tahap katilu pikeun nguatkeun panyalindungan NPM ngalawan kompromi akun. Tahap kahiji aub ngarobah sakabéh akun NPM nu teu boga auténtikasi dua-faktor sangkan ngagunakeun verifikasi akun canggih, nu merlukeun ngasupkeun kode hiji-waktos dikirim ku email nalika nyobian asup kana npmjs.com atawa ngalakukeun operasi dioténtikasi dina npm. utilitas. Dina fase kadua, auténtikasi dua-faktor wajib diaktipkeun pikeun 100 bungkusan anu pang populerna.
Hayu urang émut yén dumasar kana panilitian anu dilakukeun dina taun 2020, ngan ukur 9.27% pangurus pakét anu nganggo auténtikasi dua faktor pikeun ngajagi aksés, sareng dina 13.37% kasus, nalika ngadaptar akun énggal, pamekar nyobian nganggo deui kecap konci anu dikompromi anu muncul dina anu dikenal. sandi bocor. Salila ulasan kaamanan sandi, 12% tina akun NPM (13% tina bungkusan) diaksés kusabab ngagunakeun kecap konci anu tiasa diprediksi sareng sepele sapertos "123456." Diantara anu bermasalah nyaéta 4 akun pangguna tina Top 20 bungkusan anu paling populér, 13 akun kalayan pakét anu diunduh langkung ti 50 juta kali per bulan, 40 kalayan langkung ti 10 juta unduhan per bulan, sareng 282 kalayan langkung ti 1 juta unduhan per bulan. Nganggap beban modul sapanjang ranté dependensi, kompromi akun anu teu dipercaya tiasa mangaruhan dugi ka 52% tina sadaya modul dina NPM.
sumber: opennet.ru