Cyhoeddodd GitHub fod ystorfeydd NPM yn galluogi dilysu dau ffactor ar gyfer y pecynnau 100 NPM sy'n cael eu cynnwys fel dibyniaethau yn y nifer fwyaf o becynnau. Dim ond ar ôl galluogi dilysiad dau ffactor y bydd cynhalwyr y pecynnau hyn yn gallu cyflawni gweithrediadau cadwrfeydd dilys, sy'n gofyn am gadarnhad mewngofnodi gan ddefnyddio cyfrineiriau un-amser (TOTP) a gynhyrchir gan gymwysiadau fel Authy, Google Authenticator a FreeOTP. Yn y dyfodol agos, yn ogystal â TOTP, maent yn bwriadu ychwanegu'r gallu i ddefnyddio allweddi caledwedd a sganwyr biometrig sy'n cefnogi protocol WebAuth.
Ar Fawrth 1, bwriedir trosglwyddo'r holl gyfrifon NPM nad oes ganddynt ddilysiad dau ffactor wedi'i alluogi i ddefnyddio dilysiad cyfrif estynedig, sy'n gofyn am nodi cod un-amser a anfonwyd trwy e-bost wrth geisio mewngofnodi i npmjs.com neu berfformio dilysiad cyfrif estynedig gweithrediad yn y cyfleustodau npm. Pan fydd dilysu dau ffactor wedi'i alluogi, ni chaiff dilysiad e-bost estynedig ei gymhwyso. Ar Chwefror 16 a 13, cynhelir lansiad prawf dros dro o ddilysu estynedig ar gyfer pob cyfrif am ddiwrnod.
Gadewch i ni gofio, yn ôl astudiaeth a gynhaliwyd yn 2020, mai dim ond 9.27% o gynhalwyr pecynnau a ddefnyddiodd ddilysiad dau ffactor i amddiffyn mynediad, ac mewn 13.37% o achosion, wrth gofrestru cyfrifon newydd, ceisiodd datblygwyr ailddefnyddio cyfrineiriau dan fygythiad a ymddangosodd yn hysbys. cyfrinair yn gollwng. Yn ystod adolygiad diogelwch cyfrinair, cyrchwyd 12% o gyfrifon NPM (13% o becynnau) oherwydd y defnydd o gyfrineiriau rhagweladwy a dibwys fel “123456.” Ymhlith y rhai problemus roedd 4 cyfrif defnyddiwr o'r 20 pecyn mwyaf poblogaidd, 13 cyfrif gyda phecynnau wedi'u llwytho i lawr fwy na 50 miliwn o weithiau'r mis, 40 gyda mwy na 10 miliwn o lawrlwythiadau'r mis, a 282 gyda mwy nag 1 miliwn o lawrlwythiadau bob mis. Gan ystyried llwytho modiwlau ar hyd cadwyn o ddibyniaethau, gallai cyfaddawdu cyfrifon diymddiried effeithio ar hyd at 52% o'r holl fodiwlau yn yr NPM.
Ffynhonnell: opennet.ru