NPM deposu, en popüler 500 NPM paketini barındıran hesaplar için zorunlu iki faktörlü kimlik doğrulamayı içerir. Bağımlı paketlerin sayısı popülerlik kriteri olarak kullanıldı. Listelenen paketlerin bakımcıları, yalnızca Authy, Google Authenticator ve FreeOTP gibi uygulamalar tarafından oluşturulan tek kullanımlık şifreleri (TOTP) kullanarak oturum açma onayı gerektiren iki faktörlü kimlik doğrulamayı etkinleştirdikten sonra depoda değişiklikle ilgili işlemleri gerçekleştirebilecek veya WebAuth protokolünü destekleyen donanım anahtarları ve biyometrik tarayıcılar.
Bu, NPM'nin hesap güvenliğinin ihlal edilmesine karşı korumasını güçlendirmenin üçüncü aşamasıdır. İlk aşama, iki faktörlü kimlik doğrulamanın etkin olmadığı tüm NPM hesaplarının, npmjs.com'da oturum açmaya veya npm'de kimliği doğrulanmış bir işlem gerçekleştirmeye çalışırken e-postayla gönderilen tek seferlik kodun girilmesini gerektiren gelişmiş hesap doğrulamayı kullanacak şekilde dönüştürülmesini içeriyordu. Yarar. İkinci aşamada en popüler 100 paket için zorunlu iki faktörlü kimlik doğrulama etkinleştirildi.
2020'de yapılan bir araştırmaya göre paket bakımcılarının yalnızca %9.27'sinin erişimi korumak için iki faktörlü kimlik doğrulama kullandığını ve vakaların %13.37'sinde geliştiricilerin yeni hesapları kaydederken bilinenlerde görünen güvenliği ihlal edilmiş şifreleri yeniden kullanmaya çalıştığını hatırlayalım. şifre sızıntıları. Parola güvenliği incelemesi sırasında, NPM hesaplarının %12'sine (paketlerin %13'ü) "123456" gibi öngörülebilir ve önemsiz parolaların kullanılması nedeniyle erişildi. Sorunlu olanlar arasında en popüler 4 paketten 20 kullanıcı hesabı, ayda 13 milyondan fazla paket indirilen 50 hesap, ayda 40 milyondan fazla indirilen 10 hesap ve ayda 282 milyondan fazla indirilen 1 hesap vardı. Modüllerin bir bağımlılık zinciri boyunca yüklenmesi dikkate alındığında, güvenilmeyen hesapların ele geçirilmesi, NPM'deki tüm modüllerin %52'ye kadarını etkileyebilir.
Kaynak: opennet.ru