พื้นที่เก็บข้อมูล NPM มีการตรวจสอบสิทธิ์แบบสองปัจจัยที่จำเป็นสำหรับบัญชีที่ดูแลแพ็คเกจ NPM ที่ได้รับความนิยมสูงสุด 500 รายการ จำนวนของแพ็คเกจที่ต้องพึ่งพาถูกใช้เป็นเกณฑ์ความนิยม ผู้ดูแลแพ็คเกจที่ระบุไว้จะสามารถดำเนินการที่เกี่ยวข้องกับการแก้ไขในพื้นที่เก็บข้อมูลได้หลังจากเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเท่านั้น ซึ่งต้องมีการยืนยันการเข้าสู่ระบบโดยใช้รหัสผ่านแบบครั้งเดียว (TOTP) ที่สร้างโดยแอปพลิเคชันเช่น Authy, Google Authenticator และ FreeOTP หรือ คีย์ฮาร์ดแวร์และเครื่องสแกนไบโอเมตริกซ์ที่รองรับโปรโตคอล WebAuth
นี่เป็นขั้นตอนที่สามของการเสริมสร้างการป้องกันของ NPM จากการถูกบุกรุกบัญชี ขั้นตอนแรกเกี่ยวข้องกับการแปลงบัญชี NPM ทั้งหมดที่ไม่มีการเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อใช้การตรวจสอบบัญชีขั้นสูง ซึ่งจำเป็นต้องป้อนรหัสแบบครั้งเดียวที่ส่งทางอีเมลเมื่อพยายามเข้าสู่ระบบ npmjs.com หรือดำเนินการตรวจสอบสิทธิ์ใน npm คุณประโยชน์. ในระยะที่สอง มีการเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยสำหรับแพ็คเกจยอดนิยม 100 รายการ
โปรดจำไว้ว่าจากการศึกษาที่ดำเนินการในปี 2020 มีเพียง 9.27% ของผู้ดูแลแพ็คเกจที่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อปกป้องการเข้าถึง และใน 13.37% ของกรณี เมื่อลงทะเบียนบัญชีใหม่ นักพัฒนาพยายามที่จะนำรหัสผ่านที่ถูกบุกรุกมาใช้ซ้ำซึ่งปรากฏอยู่ในที่ทราบ รหัสผ่านรั่วไหล ในระหว่างการตรวจสอบความปลอดภัยของรหัสผ่าน มีการเข้าถึงบัญชี NPM 12% (13% ของแพ็คเกจ) เนื่องจากการใช้รหัสผ่านที่คาดเดาได้และไม่สำคัญ เช่น “123456” ในบรรดาบัญชีที่มีปัญหา ได้แก่ บัญชีผู้ใช้ 4 บัญชีจากแพ็คเกจยอดนิยม 20 อันดับแรก 13 บัญชีที่มีแพ็คเกจดาวน์โหลดมากกว่า 50 ล้านครั้งต่อเดือน 40 บัญชีที่มีการดาวน์โหลดมากกว่า 10 ล้านครั้งต่อเดือน และ 282 บัญชีที่มีการดาวน์โหลดมากกว่า 1 ล้านครั้งต่อเดือน เมื่อคำนึงถึงการโหลดโมดูลตามห่วงโซ่การพึ่งพา การประนีประนอมของบัญชีที่ไม่น่าเชื่อถืออาจส่งผลกระทบมากถึง 52% ของโมดูลทั้งหมดใน NPM
ที่มา: opennet.ru