Mae ystorfa'r NPM yn cynnwys dilysu dau ffactor gorfodol ar gyfer cyfrifon sy'n cynnal y 500 o becynnau NPM mwyaf poblogaidd. Defnyddiwyd nifer y pecynnau dibynyddion fel maen prawf poblogrwydd. Dim ond ar ôl galluogi dilysu dau ffactor y bydd cynhalwyr pecynnau rhestredig yn gallu cyflawni gweithrediadau sy'n gysylltiedig ag addasu, sy'n gofyn am gadarnhad mewngofnodi gan ddefnyddio cyfrineiriau un-amser (TOTP) a gynhyrchir gan gymwysiadau fel Authy, Google Authenticator a FreeOTP, neu allweddi caledwedd a sganwyr biometrig, sy'n cefnogi protocol WebAuth.
Dyma'r trydydd cam o gryfhau amddiffyniad yr NPM rhag cyfaddawdu cyfrifon. Roedd y cam cyntaf yn cynnwys trosi'r holl gyfrifon NPM nad oes ganddynt ddilysiad dau-ffactor wedi'u galluogi i ddefnyddio dilysu cyfrif uwch, sy'n gofyn am nodi cod un-amser a anfonwyd trwy e-bost wrth geisio mewngofnodi i npmjs.com neu gyflawni gweithrediad dilys yn yr npm cyfleustodau. Yn yr ail gam, galluogwyd dilysu dau ffactor gorfodol ar gyfer y 100 o becynnau mwyaf poblogaidd.
Gadewch i ni gofio, yn ôl astudiaeth a gynhaliwyd yn 2020, mai dim ond 9.27% o gynhalwyr pecynnau a ddefnyddiodd ddilysiad dau ffactor i amddiffyn mynediad, ac mewn 13.37% o achosion, wrth gofrestru cyfrifon newydd, ceisiodd datblygwyr ailddefnyddio cyfrineiriau dan fygythiad a ymddangosodd yn hysbys. cyfrinair yn gollwng. Yn ystod adolygiad diogelwch cyfrinair, cyrchwyd 12% o gyfrifon NPM (13% o becynnau) oherwydd y defnydd o gyfrineiriau rhagweladwy a dibwys fel “123456.” Ymhlith y rhai problemus roedd 4 cyfrif defnyddiwr o'r 20 pecyn mwyaf poblogaidd, 13 cyfrif gyda phecynnau wedi'u llwytho i lawr fwy na 50 miliwn o weithiau'r mis, 40 gyda mwy na 10 miliwn o lawrlwythiadau'r mis, a 282 gyda mwy nag 1 miliwn o lawrlwythiadau bob mis. Gan ystyried llwytho modiwlau ar hyd cadwyn o ddibyniaethau, gallai cyfaddawdu cyfrifon diymddiried effeithio ar hyd at 52% o'r holl fodiwlau yn yr NPM.
Ffynhonnell: opennet.ru