O NPM é o gerenciador de pacotes JavaScript mais popular da história. De acordo com seu próprio site, eles são usados por mais de 11 milhões de desenvolvedores em todo o mundo.  No entanto, têm sido alvo de uma variedade de agentes mal-intencionados ao longo dos anos.

Para aqueles que não sabem, o Javascript está presente em quase todos os sites, desde redes sociais aos online cassino. E o NPM agora permite que conecte as suas contas do GitHub e do Twitter ao seu site para fornecer segurança mais segurança na verificação. Isso faz parte da campanha dele para promover mais segurança aos seus usuários.

Em conjunto com este anúncio de julho de 2022, os desenvolvedores informaram também que ativar a autenticação de 2 fatores em suas contas fornecerá segurança adicional. Junto com outros recursos de melhorias no gerenciador de pacotes de propriedade do GitHub, a mudança foi anunciada. Todas elas são destinadas a melhorar a usabilidade e a segurança do gerenciador de pacotes.

Especialmente porque 2021 foi um ano em que houve uma série sem precedentes de invasões de contas resultantes do comprometimento de contas de desenvolvedores sem 2FA ativado.

Autenticação de 2 Fatores foi aprimorada

As comunidades de moderadores do NPM queriam opções de segurança adicionais. Depois de considerar suas sugestões, a NPM decidiu implementar dois grandes ajustes em seu sistema 2FA. Primeiro, os usuários agora podem definir seu login 2FA como “lembre-se de mim por 5 minutos”. Isso facilita a interação dos usuários com suas contas NPM, pois eles só precisam interagir com a autenticação uma vez durante o dia. Em segundo lugar, os usuários podem fazer login em suas contas enquanto suprimem as mensagens 2FA por um tempo limitado.

Como ativar a autenticação 2FA?

Com a autenticação de 2 fatores, sua conta também estará protegida contra o acesso de terceiros. Esse tipo de autenticação, entretanto, precisa que o utilizador use de algo que somente ele sabe (uma resposta de segurança), use uma chave biométrica (rosto ou digital) ou insira uma chave segura (um pin, pen drive específico ou crachá).

Entretanto, antes de habilitar o 2FA em sua conta, deve atualizar seu cliente npm para 5.5.1 ou superior. Um navegador contemporâneo que suporte WebAuthn também é necessário para configurar uma chave de segurança. Isso permite que você configure dispositivos biométricos como Apple Touch ID, Face ID ou Windows Hello, bem como chaves físicas como Yubikey, Thetis ou Feitian.

Para configurar o TOTP, você deve primeiro instalar um aplicativo autenticador em seu dispositivo móvel que possa gerar OTPs. Alguns dos mais usados são Authy, Google Authenticator ou Microsoft Authenticator.

Como configurar a autenticação de 2 fatores

Faça login no npm com sua conta de usuário. No canto superior direito da página, clique na sua foto de perfil e, em seguida, clique em Conta. Na página de configurações da conta, em “Autenticação de dois fatores”, clique em Ativar 2FA.

Quando solicitado, forneça a senha da sua conta atual e clique em Confirmar senha para continuar. Na página do método 2FA, selecione o método que deseja habilitar e clique em Continuar. Para obter mais informações sobre os métodos 2FA compatíveis, consulte “Sobre a autenticação de dois fatores”.

Ao usar uma chave de segurança, forneça um nome para ela e clique em Adicionar chave de segurança. Siga as etapas específicas do navegador para adicionar sua chave de segurança.

Ao usar um aplicativo autenticador em seu telefone, abra-o e digitalize o código QR na página de verificação em duas etapas. Insira o código gerado pelo aplicativo e clique em Verificar.

Opções de recuperação de senha

Há várias maneiras de recuperar a sua senha, caso a esqueça. As opções irão variar a depender das ferramentas que tiver ativado.

Solicitação de recuperação por e-mail

O usuário do NPM que não esquecer a senha e precisar, poderá requerer o envio de um link temporário para o seu e-mail. Através do link recebido, será gerada uma nova senha que deve ser usada no seu login.

Assim que tiver logado em sua conta, basta que clique na sua foto de perfil e siga para a opção “conta”. Em seguida, clique em “trocar senha” logo na sessão de e-mail e senha. Para mudar sua palavra-chave, basta colocar inserir a nova. Ela deve conter 10 caracteres e seguir as regras do NPM.

Recuperando o acesso à sua conta habilitada com autenticação de 2 fatores

Se tiver a autenticação de dois fatores ativada em sua conta e perder o acesso ao seu dispositivo 2FA, poderá recuperar sua conta usando o seguinte método:

Localize os códigos de recuperação gerados que você armazenou. Em seguida, usando sua conta de usuário, faça login no npm. Na tela a seguir, escolha “Usar código de recuperação”. Na janela “Usar um código de recuperação”, insira um código de recuperação não utilizado. Mas atenção: se você configurou o TOTP, você receberá um prompt do TOTP.