GitHub tilkynnti að NPM geymslur séu að gera tveggja þátta auðkenningu kleift fyrir 100 NPM pakkana sem eru innifalin sem ósjálfstæði í flestum pakka. Viðhaldendur þessara pakka munu nú aðeins geta framkvæmt staðfestar geymsluaðgerðir eftir að hafa virkjað tvíþætta auðkenningu, sem krefst staðfestingar á innskráningu með því að nota einu sinni lykilorð (TOTP) sem eru búin til af forritum eins og Authy, Google Authenticator og FreeOTP. Í náinni framtíð, auk TOTP, ætla þeir að bæta við getu til að nota vélbúnaðarlykla og líffræðileg tölfræðiskanna sem styðja WebAuth samskiptareglur.
Þann 1. mars er fyrirhugað að flytja alla NPM reikninga sem eru ekki með tvíþætta auðkenningu virkjaða til að nota aukna reikningsstaðfestingu, sem krefst þess að slá inn einskiptiskóða sem sendur er með tölvupósti þegar reynt er að skrá sig inn á npmjs.com eða framkvæma auðkenningu. rekstur í npm veitunni. Þegar tvíþætt auðkenning er virkjuð er aukin staðfesting á tölvupósti ekki notuð. Þann 16. og 13. febrúar mun bráðabirgðaprófun á framlengdri sannprófun fyrir alla reikninga fara fram í einn dag.
Við skulum muna að samkvæmt rannsókn sem gerð var árið 2020 notuðu aðeins 9.27% pakkaviðhaldara tveggja þátta auðkenningu til að vernda aðgang og í 13.37% tilvika, við skráningu nýrra reikninga, reyndu þróunaraðilar að endurnýta hættuleg lykilorð sem birtust í þekktum lykilorð lekur. Við endurskoðun lykilorðaöryggis var farið í 12% af NPM reikningum (13% pakka) vegna notkunar fyrirsjáanlegra og léttvægra lykilorða eins og „123456“. Meðal þeirra erfiðu voru 4 notendareikningar af topp 20 vinsælustu pakkunum, 13 reikningar með pakka sem hlaðið var niður meira en 50 milljón sinnum á mánuði, 40 með meira en 10 milljón niðurhalum á mánuði og 282 með meira en 1 milljón niðurhali á mánuði. Að teknu tilliti til hleðslu eininga meðfram keðju ósjálfstæðis gæti málamiðlun á ótraustum reikningum haft áhrif á allt að 52% allra eininga í NPM.
Heimild: opennet.ru