Kasama sa repositoryo ng NPM ang mandatoryong two-factor authentication para sa mga account na nagpapanatili ng 500 pinakasikat na pakete ng NPM. Ang bilang ng mga nakadependeng pakete ay ginamit bilang pamantayan ng katanyagan. Magagawa lamang ng mga maintainer ng mga nakalistang package ang mga operasyong nauugnay sa pagbabago sa repository pagkatapos na paganahin ang two-factor authentication, na nangangailangan ng kumpirmasyon sa pag-log in gamit ang mga one-time na password (TOTP) na binuo ng mga application gaya ng Authy, Google Authenticator at FreeOTP, o mga hardware key at biometric scanner, na sumusuporta sa WebAuth protocol.
Ito ang ikatlong yugto ng pagpapalakas ng proteksyon ng NPM laban sa kompromiso sa account. Kasama sa unang yugto ang pag-convert sa lahat ng NPM account na walang two-factor authentication na pinagana upang gumamit ng advanced na pag-verify ng account, na nangangailangan ng pagpasok ng isang beses na code na ipinadala sa pamamagitan ng email kapag sinusubukang mag-log in sa npmjs.com o magsagawa ng authenticated na operasyon sa npm kagamitan. Sa ikalawang yugto, pinagana ang mandatoryong two-factor authentication para sa 100 pinakasikat na pakete.
Tandaan natin na ayon sa isang pag-aaral na isinagawa noong 2020, 9.27% ββlang ng mga package maintainer ang gumamit ng two-factor authentication para protektahan ang access, at sa 13.37% ng mga kaso, kapag nagrerehistro ng mga bagong account, sinubukan ng mga developer na gumamit muli ng mga nakompromisong password na lumabas sa kilalang pagtagas ng password. Sa panahon ng pagsusuri sa seguridad ng password, 12% ng mga NPM account (13% ng mga package) ang na-access dahil sa paggamit ng mga predictable at trivial na password gaya ng "123456." Kabilang sa mga may problema ay 4 na user account mula sa Top 20 pinakasikat na package, 13 account na may mga package na na-download nang higit sa 50 milyong beses bawat buwan, 40 na may higit sa 10 milyong mga pag-download bawat buwan, at 282 na may higit sa 1 milyong mga pag-download bawat buwan. Isinasaalang-alang ang paglo-load ng mga module sa isang hanay ng mga dependency, ang kompromiso ng mga hindi pinagkakatiwalaang account ay maaaring makaapekto sa hanggang 52% ng lahat ng mga module sa NPM.
Pinagmulan: opennet.ru