> Это какой-то бред про сферического коня в вакууме. Если вернутся в реальный
> мир, то в нем доступ к паролям разработчиков npm получают преступники.

потому что разработчики полные дол...е.ы

> И в реальном мире взломать одновременно две разные системы одна из

совершенно не надо. Надо хакнуть дерьмолинуксный компик горе-разработчика и поправить ему код.
В репо он его и сам зашлет, не будет же проверять, действительно. К тому же там наверняка автоматизированная continious desintegration, вообще без его участия это делает. Все ключи от всего сложенны горкой без паролей в $HOME/.credentials

> которых вообще с интернетом не связана и хранит ключи в секретном

это в твоем маня-мирке. Альтернативно-одаренный npm-разработчик использует sms.
Ну или гуглеанусидентификатор, случайно так получилось - с закрытым кодом. Ну не может же ж корпорация добра нарочно код закрыть чтобы спрятать в нем не добро, действительно?

> месте (freeotp) сложнее чем выманить пароль почты из техподдержки, а потом

вымани мне, пожалуйста, из техподдержки мои пароли от гмэйла и avito? У меня не получилось.
В смысле я их знаю, да. Но пароль не пароль, давай номер телефона. Особенно классно вышло у gmail, который не знает моего номера и согласен на вообще любой (ан нет, не совсем любой - на пробиваемый как выданный на реальный паспорт только)