NPM用户现在可以连接Twitter帐户作为恢复方法

使用流行的JavaScript包管理器NPM的开发人员现在可以将他们的Twitter和GitHub帐户连接到该软件，作为一种恢复方法。

这一举措是在周二宣布的，同时还有一些其他功能，旨在将增强的安全性与GitHub拥有的包管理器的可用性结合起来。

GitHub在一篇博客文章中表示，这些变化将使用户更容易保护他们的帐户，同时也简化了一些用户觉得很麻烦的安全功能。

除了能够连接Twitter和GitHub帐户作为身份验证方法外，GitHub还宣布，在NPM上使用双因素身份验证（2FA）进行登录和包发布将变得更容易。

根据这篇博文，NPM之前曾在公开测试版中试用过增强的2FA登录，但在收到社区反馈后，决定调整某些功能，以更方便用户使用。这包括添加一个“记住我5分钟”选项，以便成功进行身份验证的用户可以在短时间内禁用2FA提示。

Borins和Mohan写道：“采用2FA显著提高了账户安全性，但如果体验增加了太多摩擦，我们就不能期望客户采用它”。“我们新2FA体验的早期采用者分享了有关使用npm CLI登录和发布过程的反馈，我们认识到还有改进的空间”。

《华盛顿邮报》称，7月26日发布的NPM 8.15.0中提供了改进的安全功能。

作为JavaScript编程语言开源软件生态系统的核心部分，NPM多年来一直是许多恶意行为者的攻击目标。攻击者的主要策略之一是通过购买向包发布者注册的过期域并使用这些域设置电子邮件帐户来控制包，该帐户可用于接收包的密码重置电子邮件。有鉴于此，在登录NPM帐户时增加2FA的使用将大大提高安全性。

NPM的母公司GitHub也在努力提高大型代码托管平台的安全性：今年早些时候，该公司宣布，所有贡献代码的用户都需要在2023年底启用某种形式的2FA。