أعلن GitHub أن مستودعات NPM تتيح المصادقة الثنائية لحزم NPM الـ 100 المضمنة كتبعيات في أكبر عدد من الحزم. لن يتمكن مشرفو هذه الحزم الآن من إجراء عمليات المستودع المصادق عليها إلا بعد تمكين المصادقة الثنائية، والتي تتطلب تأكيد تسجيل الدخول باستخدام كلمات مرور لمرة واحدة (TOTP) تم إنشاؤها بواسطة تطبيقات مثل Authy وGoogle Authenticator وFreeOTP. في المستقبل القريب، بالإضافة إلى TOTP، يخططون لإضافة القدرة على استخدام مفاتيح الأجهزة والماسحات الضوئية البيومترية التي تدعم بروتوكول WebAuth.
في 1 مارس، من المقرر نقل جميع حسابات NPM التي لم يتم تمكين المصادقة الثنائية لاستخدام التحقق الموسع من الحساب، الأمر الذي يتطلب إدخال رمز لمرة واحدة يتم إرساله عبر البريد الإلكتروني عند محاولة تسجيل الدخول إلى npmjs.com أو إجراء عملية مصادقة. العملية في الأداة المساعدة npm. عند تمكين المصادقة الثنائية، لا يتم تطبيق التحقق الموسع من البريد الإلكتروني. في 16 و13 فبراير، سيتم إجراء إطلاق تجريبي مؤقت للتحقق الموسع لجميع الحسابات لمدة يوم واحد.
دعونا نتذكر أنه وفقًا لدراسة أجريت عام 2020، استخدم 9.27% فقط من مشرفي الحزم المصادقة الثنائية لحماية الوصول، وفي 13.37% من الحالات، عند تسجيل حسابات جديدة، حاول المطورون إعادة استخدام كلمات المرور المخترقة التي ظهرت في الملفات المعروفة. تسرب كلمة المرور. أثناء مراجعة أمان كلمة المرور، تم الوصول إلى 12% من حسابات NPM (13% من الحزم) بسبب استخدام كلمات مرور تافهة ويمكن التنبؤ بها مثل "123456". ومن بين الحسابات التي بها مشكلات، 4 حسابات مستخدمين من أفضل 20 حزمة شعبية، و13 حسابًا بها حزم تم تنزيلها أكثر من 50 مليون مرة شهريًا، و40 حسابًا بأكثر من 10 ملايين تنزيل شهريًا، و282 مع أكثر من مليون تنزيل شهريًا. مع الأخذ في الاعتبار تحميل الوحدات عبر سلسلة من التبعيات، قد يؤثر اختراق الحسابات غير الموثوق بها على ما يصل إلى 1% من جميع الوحدات في NPM.
المصدر: opennet.ru