NPM anbarına 500 ən populyar NPM paketini saxlayan hesablar üçün məcburi iki faktorlu autentifikasiya daxildir. Populyarlıq meyarı kimi asılı paketlərin sayı istifadə edilmişdir. Siyahıda göstərilən paketlərin baxıcıları yalnız iki faktorlu autentifikasiyanı aktiv etdikdən sonra repozitoriyada modifikasiya ilə bağlı əməliyyatları yerinə yetirə biləcəklər, bu isə Authy, Google Authenticator və FreeOTP kimi proqramlar və ya aparat tərəfindən yaradılan birdəfəlik parollardan (TOTP) istifadə etməklə girişin təsdiqini tələb edir. WebAuth protokolunu dəstəkləyən açarlar və biometrik skanerlər.
Bu, NPM-nin hesab kompromislərinə qarşı qorunmasının gücləndirilməsinin üçüncü mərhələsidir. Birinci mərhələ, npmjs.com saytına daxil olmaq və ya npm-də autentifikasiya edilmiş əməliyyatı yerinə yetirmək istəyərkən e-poçtla göndərilən birdəfəlik kodun daxil edilməsini tələb edən təkmil hesab doğrulamasından istifadə etmək üçün iki faktorlu autentifikasiyası aktiv olmayan bütün NPM hesablarının konvertasiya edilməsini əhatə edirdi. kommunal. İkinci mərhələdə 100 ən populyar paket üçün məcburi iki faktorlu autentifikasiya işə salındı.
Xatırladaq ki, 2020-ci ildə aparılan araşdırmaya görə, paket sahiblərinin yalnız 9.27%-i girişi qorumaq üçün iki faktorlu autentifikasiyadan istifadə edib və 13.37% hallarda yeni hesabları qeydiyyatdan keçirərkən tərtibatçılar məlum olan oğurlanmış parollardan təkrar istifadə etməyə çalışıblar. parol sızması. Parol təhlükəsizliyinin nəzərdən keçirilməsi zamanı NPM hesablarının 12%-nə (paketlərin 13%-i) “123456” kimi proqnozlaşdırıla bilən və mənasız parolların istifadəsi səbəbindən daxil olub. Problemli olanlar arasında Top 4 ən populyar paketdən 20 istifadəçi hesabı, ayda 13 milyon dəfədən çox yüklənən paketləri olan 50 hesab, ayda 40 milyondan çox endirilən 10 və ayda 282 milyondan çox endirilən 1 hesab var. Asılılıqlar zənciri boyunca modulların yüklənməsini nəzərə alsaq, etibarsız hesabların güzəşti NPM-dəki bütün modulların 52%-ə qədərinə təsir göstərə bilər.
Mənbə: opennet.ru