GitHub اعلام کرد که مخازن NPM احراز هویت دو مرحله ای را برای 100 بسته NPM که به عنوان وابستگی در بیشترین تعداد بسته گنجانده شده اند، فعال می کنند. نگهدارندههای این بستهها اکنون تنها پس از فعال کردن احراز هویت دو مرحلهای که نیاز به تأیید ورود با استفاده از رمزهای عبور یکبار مصرف (TOTP) ایجاد شده توسط برنامههایی مانند Authy، Google Authenticator و FreeOTP دارد، میتوانند عملیات مخزن تأیید شده را انجام دهند. در آینده نزدیک، علاوه بر TOTP، آنها قصد دارند قابلیت استفاده از کلیدهای سخت افزاری و اسکنرهای بیومتریک که از پروتکل WebAuth پشتیبانی می کنند را نیز اضافه کنند.
در اول مارس، برنامهریزی شده است که تمام حسابهای NPM که احراز هویت دو مرحلهای فعال ندارند، برای استفاده از تأیید حساب توسعهیافته منتقل شوند، که نیاز به وارد کردن یک کد یکباره ارسال شده از طریق ایمیل هنگام ورود به npmjs.com یا انجام احراز هویت است. عملیات در ابزار npm. وقتی احراز هویت دو مرحلهای فعال است، تأیید ایمیل گسترده اعمال نمیشود. در 1 و 16 فوریه، یک راهاندازی موقت آزمایشی تأیید تمدید شده برای همه حسابها به مدت یک روز انجام میشود.
به یاد داشته باشید که طبق یک مطالعه انجام شده در سال 2020، تنها 9.27٪ از نگهبانان بسته از احراز هویت دو مرحله ای برای محافظت از دسترسی استفاده کردند و در 13.37٪ موارد، هنگام ثبت حساب های جدید، توسعه دهندگان سعی کردند از رمزهای عبور در معرض خطر استفاده مجدد کنند که به صورت شناخته شده ظاهر می شدند. نشت رمز عبور در طی بررسی امنیتی رمز عبور، به دلیل استفاده از رمزهای عبور قابل پیش بینی و پیش پا افتاده مانند «12»، به 13 درصد از حساب های NPM (123456 درصد از بسته ها) دسترسی پیدا کرد. از جمله موارد مشکل ساز، 4 حساب کاربری از 20 بسته محبوب برتر، 13 حساب با بسته هایی که بیش از 50 میلیون بار در ماه دانلود شده اند، 40 حساب با بیش از 10 میلیون دانلود در ماه و 282 حساب با بیش از 1 میلیون دانلود در ماه بودند. با در نظر گرفتن بارگذاری ماژول ها در امتداد زنجیره ای از وابستگی ها، به خطر افتادن حساب های غیرقابل اعتماد می تواند تا 52٪ از همه ماژول ها در NPM را تحت تأثیر قرار دهد.
منبع: opennet.ru