NPM 儲存庫包括對維護 500 個最受歡迎的 NPM 軟體包的帳戶進行強制雙重認證。 依賴包的數量被用作流行度標準。 列出的軟體包的維護者只有在啟用雙重認證後才能在儲存庫上執行與修改相關的操作,這需要使用Authy、Google Authenticator 和FreeOTP 等應用程式產生的一次性密碼(TOTP) 進行登錄確認,或硬體金鑰和生物辨識掃描儀,支援 WebAuth 協定。
這是加強 NPM 防止帳戶外洩保護的第三階段。 第一階段涉及將所有未啟用雙重認證的 NPM 帳戶轉換為使用高級帳戶驗證,這需要在嘗試登入 npmjs.com 或在 npm 中執行經過驗證的操作時輸入透過電子郵件發送的一次性程式碼公用事業。 在第二階段,對 100 個最受歡迎的軟體包啟用了強制雙重認證。
讓我們記住,根據2020 年進行的一項研究,只有9.27% 的軟體包維護者使用雙重認證來保護訪問,並且在13.37% 的情況下,在註冊新帳戶時,開發人員試圖重複使用已知的洩漏密碼。密碼外洩。 在密碼安全審查期間,12% 的 NPM 帳戶(13% 的軟體包)由於使用可預測且簡單的密碼(例如「123456」)而被存取。 其中有4個用戶帳號來自最受歡迎的前20個軟體包,13個帳號的軟體包每月下載量超過50萬次,40個帳號每月下載量超過10萬次,282個帳號每月下載量超過1萬次。 考慮到沿著依賴鏈加載模組,不可信帳戶的洩漏可能會影響 NPM 中多達 52% 的模組。
來源: opennet.ru