NPM 存储库包括对维护 500 个最流行的 NPM 软件包的帐户进行强制双因素身份验证。 依赖包的数量被用作流行度标准。 列出的软件包的维护者只能在启用双因素身份验证后才能在存储库上执行与修改相关的操作,这需要使用由 Authy、Google Authenticator 和 FreeOTP 等应用程序或硬件生成的一次性密码 (TOTP) 进行登录确认密钥和生物识别扫描仪,支持 WebAuth 协议。
这是加强 NPM 防止账户泄露保护的第三阶段。 第一阶段涉及将所有未启用双因素身份验证的 NPM 帐户转换为使用高级帐户验证,这需要在尝试登录 npmjs.com 或在 npm 中执行经过身份验证的操作时输入通过电子邮件发送的一次性代码公用事业。 在第二阶段,对 100 个最受欢迎的软件包启用了强制双因素身份验证。
让我们记住,根据 2020 年进行的一项研究,只有 9.27% 的软件包维护者使用双因素身份验证来保护访问,并且在 13.37% 的情况下,在注册新帐户时,开发人员试图重复使用已知的泄露密码。密码泄露。 在密码安全审查期间,12% 的 NPM 帐户(13% 的软件包)由于使用可预测且简单的密码(例如“123456”)而被访问。 其中有4个来自最受欢迎的前20个软件包的用户帐户,13个软件包每月下载量超过50万次的帐户,40个每月下载量超过10万次的帐户,以及282个每月下载量超过1万次的帐户。 考虑到沿着依赖链加载模块,不受信任帐户的泄露可能会影响 NPM 中多达 52% 的模块。
来源: opennet.ru