Kho lưu trữ NPM bao gồm xác thực hai yếu tố bắt buộc đối với các tài khoản duy trì 500 gói NPM phổ biến nhất. Số lượng gói phụ thuộc được sử dụng làm tiêu chí phổ biến. Người bảo trì các gói được liệt kê sẽ chỉ có thể thực hiện các hoạt động liên quan đến sửa đổi trên kho lưu trữ sau khi bật xác thực hai yếu tố, yêu cầu xác nhận đăng nhập bằng mật khẩu một lần (TOTP) được tạo bởi các ứng dụng như Authy, Google Authenticator và FreeOTP, hoặc khóa phần cứng và máy quét sinh trắc học, hỗ trợ giao thức WebAuth.
Đây là giai đoạn thứ ba trong việc tăng cường khả năng bảo vệ của NPM khỏi bị xâm phạm tài khoản. Giai đoạn đầu tiên liên quan đến việc chuyển đổi tất cả các tài khoản NPM chưa bật xác thực hai yếu tố để sử dụng xác minh tài khoản nâng cao, yêu cầu nhập mã một lần được gửi qua email khi cố gắng đăng nhập vào npmjs.com hoặc thực hiện thao tác được xác thực trong npm tính thiết thực. Trong giai đoạn thứ hai, xác thực hai yếu tố bắt buộc đã được kích hoạt cho 100 gói phổ biến nhất.
Hãy nhớ rằng theo một nghiên cứu được thực hiện vào năm 2020, chỉ 9.27% người bảo trì gói sử dụng xác thực hai yếu tố để bảo vệ quyền truy cập và trong 13.37% trường hợp, khi đăng ký tài khoản mới, các nhà phát triển đã cố gắng sử dụng lại mật khẩu bị xâm phạm đã xuất hiện trong các tài khoản đã biết. rò rỉ mật khẩu. Trong quá trình đánh giá bảo mật mật khẩu, 12% tài khoản NPM (13% gói) đã bị truy cập do sử dụng các mật khẩu tầm thường và có thể dự đoán được, chẳng hạn như “123456”. Trong số những vấn đề có 4 tài khoản người dùng thuộc Top 20 gói phổ biến nhất, 13 tài khoản có gói được tải xuống hơn 50 triệu lần mỗi tháng, 40 tài khoản có hơn 10 triệu lượt tải xuống mỗi tháng và 282 tài khoản có hơn 1 triệu lượt tải xuống mỗi tháng. Khi tính đến việc tải các mô-đun dọc theo chuỗi phụ thuộc, việc xâm phạm các tài khoản không đáng tin cậy có thể ảnh hưởng tới 52% tất cả các mô-đun trong NPM.
Nguồn: opennet.ru