GitHub-ը հայտարարեց, որ NPM պահոցները հնարավորություն են տալիս երկու գործոնով նույնականացում 100 NPM փաթեթների համար, որոնք ներառված են որպես կախվածություն ամենամեծ թվով փաթեթներում: Այս փաթեթների սպասարկողներն այժմ կկարողանան կատարել պահեստավորման վավերացված գործողություններ միայն երկգործոն նույնականացումը միացնելուց հետո, որը պահանջում է մուտքի հաստատում միանգամյա գաղտնաբառերի միջոցով (TOTP), որոնք ստեղծվել են այնպիսի հավելվածների կողմից, ինչպիսիք են Authy-ը, Google Authenticator-ը և FreeOTP-ը: Մոտ ապագայում, բացի TOTP-ից, նրանք նախատեսում են ավելացնել ապարատային բանալիների և կենսաչափական սկաներների օգտագործման հնարավորությունը, որոնք աջակցում են WebAuth արձանագրությանը։
Մարտի 1-ին նախատեսվում է փոխանցել բոլոր NPM հաշիվները, որոնք չունեն երկգործոն նույնականացում, որպեսզի օգտագործեն հաշվի ընդլայնված ստուգում, որը պահանջում է մուտքագրել էլեկտրոնային փոստով ուղարկված մեկանգամյա կոդը, երբ փորձում եք մուտք գործել npmjs.com կամ կատարել վավերացված: շահագործում npm կոմունալում: Երբ երկգործոն նույնականացումը միացված է, էլփոստի ընդլայնված հաստատումը չի կիրառվում: Փետրվարի 16-ին և 13-ին կիրականացվի մեկ օրով բոլոր հաշիվների ընդլայնված ստուգման փորձնական ժամանակավոր մեկնարկը։
Հիշենք, որ 2020 թվականին կատարված ուսումնասիրության համաձայն, փաթեթների սպասարկողների միայն 9.27%-ն է օգտագործել երկգործոն նույնականացում՝ մուտքը պաշտպանելու համար, իսկ 13.37% դեպքերում, նոր հաշիվներ գրանցելիս, ծրագրավորողները փորձել են վերօգտագործել վտանգված գաղտնաբառերը, որոնք հայտնի են եղել։ գաղտնաբառի արտահոսք: Գաղտնաբառերի անվտանգության ստուգման ժամանակ NPM հաշիվների 12%-ը (փաթեթների 13%-ը) մուտք է գործել կանխատեսելի և չնչին գաղտնաբառերի օգտագործման պատճառով, ինչպիսին է «123456»: Խնդրահարույցների թվում էին 4 օգտվողի հաշիվներ Թոփ 20 ամենահայտնի փաթեթներից, 13 հաշիվներ փաթեթներով, որոնք ներբեռնվել են ամսական ավելի քան 50 միլիոն անգամ, 40-ը՝ ամսական ավելի քան 10 միլիոն ներբեռնումներով և 282-ը՝ ամսական 1 միլիոնից ավելի ներբեռնումներով: Հաշվի առնելով կախվածությունների շղթայի երկայնքով մոդուլների բեռնումը, անվստահելի հաշիվների խախտումը կարող է ազդել NPM-ի բոլոր մոդուլների մինչև 52%-ի վրա:
Source: opennet.ru