NPM ರೆಪೊಸಿಟರಿಯು 500 ಅತ್ಯಂತ ಜನಪ್ರಿಯ NPM ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ನಿರ್ವಹಿಸುವ ಖಾತೆಗಳಿಗೆ ಕಡ್ಡಾಯವಾದ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಒಳಗೊಂಡಿದೆ. ಅವಲಂಬಿತ ಪ್ಯಾಕೇಜ್ಗಳ ಸಂಖ್ಯೆಯನ್ನು ಜನಪ್ರಿಯತೆಯ ಮಾನದಂಡವಾಗಿ ಬಳಸಲಾಗಿದೆ. Authy, Google Authenticator ಮತ್ತು FreeOTP, ಅಥವಾ ಹಾರ್ಡ್ವೇರ್ನಂತಹ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಂದ ರಚಿಸಲಾದ ಒಂದು-ಬಾರಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು (TOTP) ಬಳಸಿಕೊಂಡು ಲಾಗಿನ್ ದೃಢೀಕರಣದ ಅಗತ್ಯವಿರುವ ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ ನಂತರ ಪಟ್ಟಿ ಮಾಡಲಾದ ಪ್ಯಾಕೇಜ್ಗಳ ನಿರ್ವಾಹಕರು ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಮಾರ್ಪಾಡು-ಸಂಬಂಧಿತ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. WebAuth ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬೆಂಬಲಿಸುವ ಕೀಗಳು ಮತ್ತು ಬಯೋಮೆಟ್ರಿಕ್ ಸ್ಕ್ಯಾನರ್ಗಳು.
ಖಾತೆಯ ಹೊಂದಾಣಿಕೆಯ ವಿರುದ್ಧ NPM ನ ರಕ್ಷಣೆಯನ್ನು ಬಲಪಡಿಸುವ ಮೂರನೇ ಹಂತವಾಗಿದೆ. ಮೊದಲ ಹಂತವು ಸುಧಾರಿತ ಖಾತೆ ಪರಿಶೀಲನೆಯನ್ನು ಬಳಸಲು ಸಕ್ರಿಯಗೊಳಿಸಲಾದ ಎರಡು-ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಹೊಂದಿರದ ಎಲ್ಲಾ NPM ಖಾತೆಗಳನ್ನು ಪರಿವರ್ತಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಇದು npmjs.com ಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಲು ಅಥವಾ npm ನಲ್ಲಿ ದೃಢೀಕೃತ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಮಾಡಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಇಮೇಲ್ ಮೂಲಕ ಕಳುಹಿಸಲಾದ ಒಂದು-ಬಾರಿ ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸುವ ಅಗತ್ಯವಿದೆ. ಉಪಯುಕ್ತತೆ. ಎರಡನೇ ಹಂತದಲ್ಲಿ, 100 ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಪ್ಯಾಕೇಜ್ಗಳಿಗೆ ಕಡ್ಡಾಯವಾಗಿ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ.
2020 ರಲ್ಲಿ ನಡೆಸಿದ ಅಧ್ಯಯನದ ಪ್ರಕಾರ, ಕೇವಲ 9.27% ಪ್ಯಾಕೇಜ್ ನಿರ್ವಾಹಕರು ಪ್ರವೇಶವನ್ನು ರಕ್ಷಿಸಲು ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಬಳಸಿದ್ದಾರೆ ಮತ್ತು 13.37% ಪ್ರಕರಣಗಳಲ್ಲಿ, ಹೊಸ ಖಾತೆಗಳನ್ನು ನೋಂದಾಯಿಸುವಾಗ, ಡೆವಲಪರ್ಗಳು ತಿಳಿದಿರುವ ರಾಜಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಮರುಬಳಕೆ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿದರು ಎಂಬುದನ್ನು ನೆನಪಿನಲ್ಲಿಡೋಣ. ಪಾಸ್ವರ್ಡ್ ಸೋರಿಕೆಯಾಗುತ್ತದೆ. ಪಾಸ್ವರ್ಡ್ ಭದ್ರತಾ ಪರಿಶೀಲನೆಯ ಸಮಯದಲ್ಲಿ, "12" ನಂತಹ ಊಹಿಸಬಹುದಾದ ಮತ್ತು ಕ್ಷುಲ್ಲಕ ಪಾಸ್ವರ್ಡ್ಗಳ ಬಳಕೆಯಿಂದಾಗಿ 13% NPM ಖಾತೆಗಳನ್ನು (123456% ಪ್ಯಾಕೇಜ್ಗಳು) ಪ್ರವೇಶಿಸಲಾಗಿದೆ. ಸಮಸ್ಯಾತ್ಮಕವಾದವುಗಳಲ್ಲಿ ಟಾಪ್ 4 ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಪ್ಯಾಕೇಜ್ಗಳಿಂದ 20 ಬಳಕೆದಾರರ ಖಾತೆಗಳು, ತಿಂಗಳಿಗೆ 13 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಬಾರಿ ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಹೊಂದಿರುವ 50 ಖಾತೆಗಳು, ತಿಂಗಳಿಗೆ 40 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಡೌನ್ಲೋಡ್ಗಳೊಂದಿಗೆ 10 ಮತ್ತು ತಿಂಗಳಿಗೆ 282 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಡೌನ್ಲೋಡ್ಗಳೊಂದಿಗೆ 1. ಅವಲಂಬನೆಗಳ ಸರಪಳಿಯಲ್ಲಿ ಮಾಡ್ಯೂಲ್ಗಳ ಲೋಡ್ ಅನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು, ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಖಾತೆಗಳ ರಾಜಿ NPM ನಲ್ಲಿನ ಎಲ್ಲಾ ಮಾಡ್ಯೂಲ್ಗಳಲ್ಲಿ 52% ವರೆಗೆ ಪರಿಣಾಮ ಬೀರಬಹುದು.
ಮೂಲ: opennet.ru