Oherwydd yr achosion cynyddol o ystorfeydd prosiectau mawr yn cael eu herwgipio a chod maleisus yn cael ei hyrwyddo trwy gyfaddawdu cyfrifon datblygwyr, mae GitHub yn cyflwyno dilysu cyfrifon estynedig eang. Ar wahân, bydd dilysu dau ffactor gorfodol yn cael ei gyflwyno ar gyfer cynhalwyr a gweinyddwyr y 500 o becynnau NPM mwyaf poblogaidd yn gynnar y flwyddyn nesaf.
Rhwng Rhagfyr 7, 2021 a Ionawr 4, 2022, bydd yr holl gynhalwyr sydd â'r hawl i gyhoeddi pecynnau NPM, ond nad ydynt yn defnyddio dilysiad dau ffactor, yn cael eu newid i ddefnyddio dilysiad cyfrif estynedig. Mae dilysu uwch yn gofyn am nodi cod un-amser a anfonir trwy e-bost wrth geisio mewngofnodi i wefan npmjs.com neu berfformio gweithrediad dilys yn y cyfleustodau npm.
Nid yw dilysu manylach yn disodli, ond yn ategu, y dilysiad dau ffactor dewisol a oedd ar gael yn flaenorol, sy'n gofyn am gadarnhad gan ddefnyddio cyfrineiriau un-amser (TOTP). Pan fydd dilysu dau ffactor wedi'i alluogi, ni chaiff dilysiad e-bost estynedig ei gymhwyso. Gan ddechrau Chwefror 1, 2022, bydd y broses o newid i ddilysu dau ffactor gorfodol yn dechrau ar gyfer cynhalwyr y 100 o becynnau NPM mwyaf poblogaidd sydd â'r nifer fwyaf o ddibyniaethau. Ar ôl cwblhau ymfudiad y cant cyntaf, bydd y newid yn cael ei ddosbarthu i'r 500 o becynnau NPM mwyaf poblogaidd yn ôl nifer y dibyniaethau.
Yn ogystal â'r cynllun dilysu dau ffactor sydd ar gael ar hyn o bryd yn seiliedig ar geisiadau ar gyfer cynhyrchu cyfrineiriau un-amser (Authy, Google Authenticator, FreeOTP, ac ati), ym mis Ebrill 2022 maent yn bwriadu ychwanegu'r gallu i ddefnyddio allweddi caledwedd a sganwyr biometrig, ar gyfer y mae cefnogaeth i brotocol WebAuthn, a hefyd y gallu i gofrestru a rheoli amrywiol ffactorau dilysu ychwanegol.
Gadewch i ni gofio, yn ôl astudiaeth a gynhaliwyd yn 2020, mai dim ond 9.27% o gynhalwyr pecynnau sy'n defnyddio dilysiad dau ffactor i ddiogelu mynediad, ac mewn 13.37% o achosion, wrth gofrestru cyfrifon newydd, ceisiodd datblygwyr ailddefnyddio cyfrineiriau dan fygythiad a ymddangosodd yn gollyngiadau cyfrinair hysbys. Yn ystod adolygiad diogelwch cyfrinair, cyrchwyd 12% o gyfrifon NPM (13% o becynnau) oherwydd y defnydd o gyfrineiriau rhagweladwy a dibwys fel “123456.” Ymhlith y rhai problemus roedd 4 cyfrif defnyddiwr o'r 20 pecyn mwyaf poblogaidd, 13 cyfrif gyda phecynnau wedi'u llwytho i lawr fwy na 50 miliwn o weithiau'r mis, 40 gyda mwy na 10 miliwn o lawrlwythiadau'r mis, a 282 gyda mwy nag 1 miliwn o lawrlwythiadau bob mis. Gan ystyried llwytho modiwlau ar hyd cadwyn o ddibyniaethau, gallai cyfaddawdu cyfrifon diymddiried effeithio ar hyd at 52% o'r holl fodiwlau yn yr NPM.
Ffynhonnell: opennet.ru