ದೊಡ್ಡ ಪ್ರಾಜೆಕ್ಟ್ಗಳ ರೆಪೊಸಿಟರಿಗಳು ಹೈಜಾಕ್ ಆಗುತ್ತಿರುವ ಪ್ರಕರಣಗಳ ಕಾರಣ ಮತ್ತು ಡೆವಲಪರ್ ಖಾತೆಗಳ ರಾಜಿ ಮೂಲಕ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಪ್ರಚಾರ ಮಾಡಲಾಗುತ್ತಿದೆ, GitHub ವ್ಯಾಪಕವಾದ ವಿಸ್ತರಿತ ಖಾತೆ ಪರಿಶೀಲನೆಯನ್ನು ಪರಿಚಯಿಸುತ್ತಿದೆ. ಪ್ರತ್ಯೇಕವಾಗಿ, ಮುಂದಿನ ವರ್ಷದ ಆರಂಭದಲ್ಲಿ 500 ಅತ್ಯಂತ ಜನಪ್ರಿಯ NPM ಪ್ಯಾಕೇಜ್ಗಳ ನಿರ್ವಾಹಕರು ಮತ್ತು ನಿರ್ವಾಹಕರಿಗೆ ಕಡ್ಡಾಯವಾಗಿ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಪರಿಚಯಿಸಲಾಗುತ್ತದೆ.
ಡಿಸೆಂಬರ್ 7, 2021 ರಿಂದ ಜನವರಿ 4, 2022 ರವರೆಗೆ, NPM ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಪ್ರಕಟಿಸುವ ಹಕ್ಕನ್ನು ಹೊಂದಿರುವ ಎಲ್ಲಾ ನಿರ್ವಾಹಕರು, ಆದರೆ ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಬಳಸುವುದಿಲ್ಲ, ವಿಸ್ತೃತ ಖಾತೆ ಪರಿಶೀಲನೆಯನ್ನು ಬಳಸಲು ಬದಲಾಯಿಸಲಾಗುತ್ತದೆ. ಸುಧಾರಿತ ಪರಿಶೀಲನೆಗೆ npmjs.com ವೆಬ್ಸೈಟ್ಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಅಥವಾ npm ಯುಟಿಲಿಟಿಯಲ್ಲಿ ದೃಢೀಕೃತ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಮಾಡುವಾಗ ಇಮೇಲ್ ಮೂಲಕ ಕಳುಹಿಸಲಾದ ಒಂದು-ಬಾರಿ ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸುವ ಅಗತ್ಯವಿದೆ.
ವರ್ಧಿತ ಪರಿಶೀಲನೆಯು ಬದಲಿಸುವುದಿಲ್ಲ, ಆದರೆ ಈ ಹಿಂದೆ ಲಭ್ಯವಿರುವ ಐಚ್ಛಿಕ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಮಾತ್ರ ಪೂರೈಸುತ್ತದೆ, ಇದು ಒಂದು-ಬಾರಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು (TOTP) ಬಳಸಿಕೊಂಡು ದೃಢೀಕರಣದ ಅಗತ್ಯವಿರುತ್ತದೆ. ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ, ವಿಸ್ತೃತ ಇಮೇಲ್ ಪರಿಶೀಲನೆಯನ್ನು ಅನ್ವಯಿಸುವುದಿಲ್ಲ. ಫೆಬ್ರವರಿ 1, 2022 ರಿಂದ, ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಅವಲಂಬನೆಗಳನ್ನು ಹೊಂದಿರುವ 100 ಅತ್ಯಂತ ಜನಪ್ರಿಯ NPM ಪ್ಯಾಕೇಜ್ಗಳ ನಿರ್ವಾಹಕರಿಗೆ ಕಡ್ಡಾಯ ಎರಡು-ಅಂಶ ದೃಢೀಕರಣಕ್ಕೆ ಬದಲಾಯಿಸುವ ಪ್ರಕ್ರಿಯೆಯು ಪ್ರಾರಂಭವಾಗುತ್ತದೆ. ಮೊದಲ ನೂರರ ವಲಸೆಯನ್ನು ಪೂರ್ಣಗೊಳಿಸಿದ ನಂತರ, ಬದಲಾವಣೆಯನ್ನು 500 ಅತ್ಯಂತ ಜನಪ್ರಿಯ NPM ಪ್ಯಾಕೇಜ್ಗಳಿಗೆ ಅವಲಂಬನೆಗಳ ಸಂಖ್ಯೆಯಿಂದ ವಿತರಿಸಲಾಗುತ್ತದೆ.
ಒನ್-ಟೈಮ್ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು (Authy, Google Authenticator, FreeOTP, ಇತ್ಯಾದಿ) ಉತ್ಪಾದಿಸುವ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಆಧಾರದ ಮೇಲೆ ಪ್ರಸ್ತುತ ಲಭ್ಯವಿರುವ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣ ಯೋಜನೆಯ ಜೊತೆಗೆ, ಏಪ್ರಿಲ್ 2022 ರಲ್ಲಿ ಅವರು ಹಾರ್ಡ್ವೇರ್ ಕೀಗಳು ಮತ್ತು ಬಯೋಮೆಟ್ರಿಕ್ ಸ್ಕ್ಯಾನರ್ಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲು ಯೋಜಿಸಿದ್ದಾರೆ. WebAuthn ಪ್ರೋಟೋಕಾಲ್ಗೆ ಬೆಂಬಲವಿದೆ ಮತ್ತು ವಿವಿಧ ಹೆಚ್ಚುವರಿ ದೃಢೀಕರಣ ಅಂಶಗಳನ್ನು ನೋಂದಾಯಿಸುವ ಮತ್ತು ನಿರ್ವಹಿಸುವ ಸಾಮರ್ಥ್ಯವೂ ಇದೆ.
2020 ರಲ್ಲಿ ನಡೆಸಿದ ಅಧ್ಯಯನದ ಪ್ರಕಾರ, ಕೇವಲ 9.27% ಪ್ಯಾಕೇಜ್ ನಿರ್ವಾಹಕರು ಪ್ರವೇಶವನ್ನು ರಕ್ಷಿಸಲು ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಬಳಸುತ್ತಾರೆ ಮತ್ತು 13.37% ಪ್ರಕರಣಗಳಲ್ಲಿ, ಹೊಸ ಖಾತೆಗಳನ್ನು ನೋಂದಾಯಿಸುವಾಗ, ಡೆವಲಪರ್ಗಳು ಕಾಣಿಸಿಕೊಂಡ ರಾಜಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಮರುಬಳಕೆ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿದರು ಎಂಬುದನ್ನು ನೆನಪಿನಲ್ಲಿಡೋಣ. ತಿಳಿದಿರುವ ಪಾಸ್ವರ್ಡ್ ಸೋರಿಕೆಗಳು. ಪಾಸ್ವರ್ಡ್ ಭದ್ರತಾ ಪರಿಶೀಲನೆಯ ಸಮಯದಲ್ಲಿ, "12" ನಂತಹ ಊಹಿಸಬಹುದಾದ ಮತ್ತು ಕ್ಷುಲ್ಲಕ ಪಾಸ್ವರ್ಡ್ಗಳ ಬಳಕೆಯಿಂದಾಗಿ 13% NPM ಖಾತೆಗಳನ್ನು (123456% ಪ್ಯಾಕೇಜ್ಗಳು) ಪ್ರವೇಶಿಸಲಾಗಿದೆ. ಸಮಸ್ಯಾತ್ಮಕವಾದವುಗಳಲ್ಲಿ ಟಾಪ್ 4 ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಪ್ಯಾಕೇಜ್ಗಳಿಂದ 20 ಬಳಕೆದಾರರ ಖಾತೆಗಳು, ತಿಂಗಳಿಗೆ 13 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಬಾರಿ ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಹೊಂದಿರುವ 50 ಖಾತೆಗಳು, ತಿಂಗಳಿಗೆ 40 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಡೌನ್ಲೋಡ್ಗಳೊಂದಿಗೆ 10 ಮತ್ತು ತಿಂಗಳಿಗೆ 282 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಡೌನ್ಲೋಡ್ಗಳೊಂದಿಗೆ 1. ಅವಲಂಬನೆಗಳ ಸರಪಳಿಯಲ್ಲಿ ಮಾಡ್ಯೂಲ್ಗಳ ಲೋಡ್ ಅನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು, ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಖಾತೆಗಳ ರಾಜಿ NPM ನಲ್ಲಿನ ಎಲ್ಲಾ ಮಾಡ್ಯೂಲ್ಗಳಲ್ಲಿ 52% ವರೆಗೆ ಪರಿಣಾಮ ಬೀರಬಹುದು.
ಮೂಲ: opennet.ru