GitHub NPM репозиторийлері пакеттердің ең көп санына тәуелділік ретінде қосылған 100 NPM пакеттері үшін екі факторлы аутентификацияны қосатынын жариялады. Бұл пакеттердің қызметшілері енді Authy, Google Authenticator және FreeOTP сияқты қолданбалармен жасалған бір реттік құпия сөздерді (TOTP) пайдаланып кіруді растауды қажет ететін екі факторлы аутентификацияны қосқаннан кейін ғана аутентификацияланған репозиторий операцияларын орындай алады. Жақын арада TOTP-тен басқа, олар WebAuth протоколын қолдайтын аппараттық кілттер мен биометриялық сканерлерді пайдалану мүмкіндігін қосуды жоспарлап отыр.
1 наурызда npmjs.com сайтына кіру немесе аутентификацияны орындау әрекеті кезінде электрондық пошта арқылы жіберілген бір реттік кодты енгізуді талап ететін кеңейтілген есептік жазбаны растауды пайдалану үшін екі факторлы аутентификация қосылмаған барлық NPM тіркелгілерін тасымалдау жоспарлануда. npm утилитасындағы жұмыс. Екі факторлы аутентификация қосылғанда, кеңейтілген электрондық поштаны растау қолданылмайды. 16 және 13 ақпанда бір күн бойы барлық шоттар үшін кеңейтілген тексерудің сынақтық уақытша іске қосылуы жүзеге асырылады.
Еске салайық, 2020 жылы жүргізілген зерттеуге сәйкес, пакетті ұстаушылардың тек 9.27% қол жеткізуді қорғау үшін екі факторлы аутентификацияны пайдаланды, ал 13.37% жағдайда жаңа тіркелгілерді тіркеген кезде әзірлеушілер белгілі болған құпия сөздерді қайта пайдалануға тырысты. құпия сөз ағып кетеді. Құпия сөз қауіпсіздігін тексеру кезінде NPM тіркелгілерінің 12%-ына (бумалардың 13%-ы) “123456” сияқты болжамды және тривиальды құпия сөздерді пайдалану есебінен қол жеткізілді. Проблемалылардың қатарында ең танымал топ-4 топтаманың 20 пайдаланушы тіркелгісі, айына 13 миллионнан астам жүктеп алынған пакеттері бар 50 тіркелгі, айына 40 миллионнан астам жүктеп алынған 10 және айына 282 миллионнан астам жүктеп алынған 1 тіркелгі болды. Тәуелділіктер тізбегі бойынша модульдердің жүктелуін ескере отырып, сенімсіз тіркелгілердің бұзылуы NPM-дегі барлық модульдердің 52%-ға дейін әсер етуі мүмкін.
Ақпарат көзі: opennet.ru