GitHub anoncis, ke NPM-deponejoj ebligas dufaktoran aŭtentikigon por la 100 NPM-pakaĵoj, kiuj estas inkluzivitaj kiel dependecoj en la plej granda nombro da pakaĵoj. Prizorgantoj de ĉi tiuj pakoj nun povos plenumi aŭtentikigitajn deponajn operaciojn nur post ebligo de dufaktora aŭtentikigo, kiu postulas ensalutkonfirmon per unufojaj pasvortoj (TOTP) generitaj de aplikoj kiel Authy, Google Authenticator kaj FreeOTP. En proksima estonteco, krom TOTP, ili planas aldoni la kapablon uzi aparatajn ŝlosilojn kaj biometriajn skaniloj kiuj subtenas la WebAuth-protokolon.
La 1-an de marto, estas planite translokigi ĉiujn NPM-kontojn, kiuj ne havas dufaktoran aŭtentikigon ebligita por uzi plilongigitan kontkontrolon, kiu postulas enigi unufojan kodon senditan retpoŝte kiam oni provas ensaluti en npmjs.com aŭ plenumi aŭtentikigitan. operacio en la ilo npm. Kiam dufaktora aŭtentigo estas ebligita, plilongigita retpoŝta konfirmo ne estas aplikata. La 16-an kaj 13-an de februaro, prova provizora lanĉo de plilongigita konfirmo por ĉiuj kontoj estos efektivigita dum tago.
Ni memoru, ke laŭ studo farita en 2020, nur 9.27% de pakaĵaj prizorgantoj uzis dufaktoran aŭtentikigon por protekti aliron, kaj en 13.37% de kazoj, registrinte novajn kontojn, programistoj provis reuzi kompromititajn pasvortojn, kiuj aperis en konataj. pasvortfuĝoj. Dum pasvorta sekureca revizio, 12% de NPM-kontoj (13% de pakaĵoj) estis aliritaj pro la uzo de antaŭvideblaj kaj bagatelaj pasvortoj kiel "123456". Inter la problemaj estis 4 uzantkontoj el la Top 20 plej popularaj pakaĵoj, 13 kontoj kun pakaĵoj elŝutitaj pli ol 50 milionoj da fojoj monate, 40 kun pli ol 10 milionoj da elŝutoj monate, kaj 282 kun pli ol 1 miliono da elŝutoj monate. Konsiderante la ŝarĝon de moduloj laŭ ĉeno de dependecoj, kompromiso de nefidindaj kontoj povus influi ĝis 52% de ĉiuj moduloj en NPM.
fonto: opennet.ru