NPM-förrådet inkluderar obligatorisk tvåfaktorsautentisering för konton som upprätthåller de 500 mest populära NPM-paketen. Antalet beroende paket användes som ett popularitetskriterium. Underhållare av listade paket kommer endast att kunna utföra modifieringsrelaterade operationer på arkivet först efter att ha aktiverat tvåfaktorsautentisering, vilket kräver inloggningsbekräftelse med engångslösenord (TOTP) som genereras av applikationer som Authy, Google Authenticator och FreeOTP, eller hårdvaranycklar och biometriska skannrar som stöder WebAuth-protokollet.
Detta är det tredje steget av att stärka NPM:s skydd mot kontokomprometteringar. Det första steget innebar att konvertera alla NPM-konton som inte har tvåfaktorsautentisering aktiverad för att använda avancerad kontoverifiering, vilket kräver att man anger en engångskod som skickas via e-post när man försöker logga in på npmjs.com eller utföra en autentiserad operation i npm verktyg. I den andra fasen aktiverades obligatorisk tvåfaktorsautentisering för de 100 mest populära paketen.
Låt oss komma ihåg att enligt en studie genomförd 2020 använde endast 9.27 % av paketunderhållarna tvåfaktorsautentisering för att skydda åtkomst, och i 13.37 % av fallen, när de registrerade nya konton, försökte utvecklare att återanvända komprometterade lösenord som dök upp i kända lösenordsläckor. Under en lösenordssäkerhetsgranskning fick 12 % av NPM-konton (13 % av paketen) åtkomst på grund av användningen av förutsägbara och triviala lösenord som "123456." Bland de problematiska var 4 användarkonton från de 20 mest populära paketen, 13 konton med paket nedladdade mer än 50 miljoner gånger per månad, 40 med mer än 10 miljoner nedladdningar per månad och 282 med mer än 1 miljon nedladdningar per månad. Med hänsyn till laddningen av moduler längs en kedja av beroenden, kan kompromisser mellan otillförlitliga konton påverka upp till 52 % av alla moduler i NPM.
Källa: opennet.ru