ProHoster > وبلاگ > اخبار اینترنتی > GitHub تأیید اجباری پیشرفته حساب را در NPM پیاده سازی می کند

GitHub تأیید اجباری پیشرفته حساب را در NPM پیاده سازی می کند

با توجه به افزایش موارد ربوده شدن مخازن پروژه های بزرگ و ترویج کدهای مخرب از طریق به خطر انداختن حساب های توسعه دهنده، GitHub در حال معرفی گسترده تأیید حساب کاربری گسترده است. به طور جداگانه، احراز هویت دو مرحله ای اجباری برای نگهبانان و مدیران 500 بسته محبوب NPM در اوایل سال آینده معرفی خواهد شد.

از 7 دسامبر 2021 تا 4 ژانویه 2022، تمام نگهبانانی که حق انتشار بسته‌های NPM را دارند، اما از احراز هویت دو مرحله‌ای استفاده نمی‌کنند، به استفاده از تأیید اعتبار حساب توسعه‌یافته تغییر خواهند کرد. هنگام تلاش برای ورود به وب‌سایت npmjs.com یا انجام یک عملیات احراز هویت در ابزار npm، برای تأیید پیشرفته نیاز به وارد کردن یک کد یکبار مصرف از طریق ایمیل است.

راستی‌آزمایی پیشرفته جایگزین احراز هویت دو مرحله‌ای اختیاری قبلی نمی‌شود، بلکه تنها تکمیل‌کننده آن است که نیاز به تأیید با استفاده از گذرواژه‌های یک‌بار مصرف (TOTP) دارد. وقتی احراز هویت دو مرحله‌ای فعال است، تأیید ایمیل گسترده اعمال نمی‌شود. از 1 فوریه 2022، روند تغییر به احراز هویت اجباری دو مرحله ای برای نگهبانان 100 بسته محبوب NPM با بیشترین تعداد وابستگی آغاز می شود. پس از تکمیل انتقال صد مورد اول، این تغییر به 500 بسته محبوب NPM بر اساس تعداد وابستگی ها توزیع می شود.

علاوه بر طرح احراز هویت دو عاملی موجود بر اساس برنامه های کاربردی برای تولید رمزهای عبور یک بار مصرف (Authy، Google Authenticator، FreeOTP و غیره)، در آوریل 2022، آنها قصد دارند قابلیت استفاده از کلیدهای سخت افزاری و اسکنرهای بیومتریک را نیز اضافه کنند. که از پروتکل WebAuthn پشتیبانی می کند و همچنین امکان ثبت و مدیریت فاکتورهای مختلف احراز هویت اضافی وجود دارد.

به یاد داشته باشید که طبق مطالعه ای که در سال 2020 انجام شد، تنها 9.27٪ از نگهبانان بسته از احراز هویت دو مرحله ای برای محافظت از دسترسی استفاده می کنند و در 13.37٪ موارد هنگام ثبت حساب های جدید، توسعه دهندگان سعی کردند از رمزهای عبور در معرض خطر استفاده مجدد کنند که در آن ظاهر می شد. نشت رمز عبور شناخته شده در طی بررسی امنیتی رمز عبور، به دلیل استفاده از رمزهای عبور قابل پیش بینی و پیش پا افتاده مانند «12»، به 13 درصد از حساب های NPM (123456 درصد از بسته ها) دسترسی پیدا کرد. از جمله موارد مشکل ساز، 4 حساب کاربری از 20 بسته محبوب برتر، 13 حساب با بسته هایی که بیش از 50 میلیون بار در ماه دانلود شده اند، 40 حساب با بیش از 10 میلیون دانلود در ماه و 282 حساب با بیش از 1 میلیون دانلود در ماه بودند. با در نظر گرفتن بارگذاری ماژول ها در امتداد زنجیره ای از وابستگی ها، به خطر افتادن حساب های غیرقابل اعتماد می تواند تا 52٪ از همه ماژول ها در NPM را تحت تأثیر قرار دهد.

منبع: opennet.ru

اضافه کردن نظر