В репозитории NPM включено применение обязательной двухфакторной аутентификации для учётных записей сопровождающих 500 самых популярных NPM-пакетов. В качестве критерия популярности использовано число зависимых пакетов. Сопровождающие попавших в список пакетов смогут выполнить связанные с внесением изменений операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP, или аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth.
Это третий этап усиления защиты NPM от компрометации учётных записей. На первом этапе был выполнен перевод всех учётных записей NPM, для которых не включена двухфакторная аутентификация, на использование расширенной верификации учётных записей, которая требует ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm. На втором этапе обязательная двухфакторная аутентификация была включена для 100 самых популярных пакетов.
Jẹ ki a ranti pe ni ibamu si iwadi ti o ṣe ni ọdun 2020, nikan 9.27% ti awọn olutọju package lo ijẹrisi ifosiwewe meji lati daabobo iwọle, ati ni 13.37% ti awọn ọran, nigbati o forukọsilẹ awọn akọọlẹ tuntun, awọn olupilẹṣẹ gbiyanju lati tun lo awọn ọrọ igbaniwọle gbogun ti o han ni mimọ. ọrọigbaniwọle jo. Lakoko atunyẹwo aabo ọrọ igbaniwọle kan, 12% ti awọn akọọlẹ NPM (13% ti awọn idii) ni a wọle si nitori lilo asọtẹlẹ ati awọn ọrọ igbaniwọle kekere bii “123456.” Lara awọn iṣoro naa ni awọn akọọlẹ olumulo 4 lati Top20 awọn idii olokiki julọ, awọn akọọlẹ 13 pẹlu awọn idii ti o ṣe igbasilẹ diẹ sii ju awọn akoko miliọnu 50 fun oṣu kan, 40 pẹlu diẹ sii ju awọn igbasilẹ miliọnu 10 fun oṣu kan, ati 282 pẹlu diẹ sii ju awọn igbasilẹ miliọnu 1 fun oṣu kan. Ti o ba ṣe akiyesi ikojọpọ awọn modulu pẹlu pq ti awọn igbẹkẹle, adehun ti awọn akọọlẹ ti ko ni igbẹkẹle le ni ipa to 52% ti gbogbo awọn modulu ni NPM.
orisun: opennet.ru