GitHub-ek iragarri zuen NPM biltegiek bi faktoreko autentifikazioa ahalbidetzen dutela pakete kopuru handienaren menpekotasun gisa sartzen diren 100 NPM paketeetarako. Pakete hauen mantentzaileek orain autentifikatutako biltegiko eragiketak egin ahal izango dituzte bi faktoreko autentifikazioa gaitu ondoren soilik, hau da, saioa hasteko berrespena behar du Authy, Google Authenticator eta FreeOTP bezalako aplikazioek sortutako behin-behineko pasahitzak (TOTP) erabiliz. Etorkizun hurbilean, TOTPaz gain, WebAuth protokoloa onartzen duten hardware-gakoak eta eskaner biometrikoak erabiltzeko gaitasuna gehitzeko asmoa dute.
Martxoaren 1ean, bi faktoreko autentifikazioa gaituta ez duten NPM kontu guztiak transferitzea aurreikusten da kontuaren egiaztapen hedatua erabiltzeko, eta horrek posta elektronikoz bidalitako behin-behineko kodea sartu behar du npmjs.com-en saioa hasten saiatzean edo autentifikatu bat egiteko. npm utilitatean funtzionamendua. Bi faktoreko autentifikazioa gaituta dagoenean, posta elektronikoaren egiaztapen hedatua ez da aplikatzen. Otsailaren 16an eta 13an, kontu guztien egiaztapen hedatuaren aldi baterako proba bat egingo da egun batez.
Gogora dezagun 2020an egindako ikerketa baten arabera, paketeen mantentzaileen % 9.27k bakarrik erabiltzen zuela bi faktoreko autentifikazioa sarbidea babesteko, eta kasuen % 13.37an, kontu berriak erregistratzean, garatzaileak saiatu ziren ezagunetan agertzen ziren arriskuan dauden pasahitzak berrerabiltzen. pasahitzak filtrazioak. Pasahitzaren segurtasunaren berrikuspenean, NPM kontuen % 12ra (paketeen % 13) atzitu zen "123456" bezalako pasahitz aurreikusgarri eta hutsalak erabiltzeagatik. Arazoen artean, 4 pakete ezagunenetako 20 erabiltzaile-kontu zeuden, hilean 13 milioi aldiz baino gehiago deskargatutako paketeak dituzten 50 kontu, 40 hilean 10 milioi deskarga baino gehiagorekin eta 282 hilean milioi bat deskarga baino gehiagorekin. Moduluak mendekotasun-kate batean kargatzea kontuan hartuta, fidagarriak ez diren kontuen arriskuak NPMko modulu guztien % 1ri eragin diezaioke.
Iturria: opennet.ru