NPM用戶現在可以連接Twitter帳戶作為恢復方法

使用流行的JavaScript包管理器NPM的開發人員現在可以將他們的Twitter和GitHub帳戶連接到該軟件，作為一種恢復方法。

這一舉措是在周二宣布的，同時還有一些其他功能，旨在將增強的安全性與GitHub擁有的包管理器的可用性結合起來。

GitHub在一篇博客文章中表示，這些變化將使用戶更容易保護他們的帳戶，同時也簡化了一些用戶覺得很麻煩的安全功能。

除了能夠連接Twitter和GitHub帳戶作為身份驗證方法外，GitHub還宣布，在NPM上使用雙因素身份驗證（2FA）進行登錄和包發布將變得更容易。

根據這篇博文，NPM之前曾在公開測試版中試用過增強的2FA登錄，但在收到社區反饋后，決定調整某些功能，以更方便用戶使用。這包括添加一個“記住我5分鐘”選項，以便成功進行身份驗證的用戶可以在短時間內禁用2FA提示。

Borins和Mohan寫道：“采用2FA顯著提高了賬戶安全性，但如果體驗增加了太多摩擦，我們就不能期望客戶采用它”。“我們新2FA體驗的早期采用者分享了有關使用npm CLI登錄和發布過程的反饋，我們認識到還有改進的空間”。

《華盛頓郵報》稱，7月26日發布的NPM 8.15.0中提供了改進的安全功能。

作為JavaScript編程語言開源軟件生態系統的核心部分，NPM多年來一直是許多惡意行為者的攻擊目標。攻擊者的主要策略之一是通過購買向包發布者注冊的過期域并使用這些域設置電子郵件帳戶來控制包，該帳戶可用于接收包的密碼重置電子郵件。有鑒于此，在登錄NPM帳戶時增加2FA的使用將大大提高安全性。

NPM的母公司GitHub也在努力提高大型代碼托管平臺的安全性：今年早些時候，該公司宣布，所有貢獻代碼的用戶都需要在2023年底啟用某種形式的2FA。