Ji ber zêdebûna bûyerên depoyên projeyên mezin ku têne revandin û kodên xirab ên ku bi navgîniya lihevhatina hesabên pêşdebiran têne pêşve xistin, GitHub verastkirina hesabê berfireh a berfireh destnîşan dike. Ji hev veqetandî, pejirandina du-faktorî ya mecbûrî dê di destpêka sala pêş de ji bo parêzger û rêvebirên 500 pakêtên herî populer ên NPM-ê were danîn.
Ji 7ê Kanûna Pêşîn, 2021-ê heya 4ê Rêbendana 2022-an, hemî parêzvanên ku mafê wan ê weşandina pakêtên NPM-ê heye, lê piştrastkirina du-faktorî bikar neynin, dê ji bo karanîna verastkirina hesabê dirêjkirî werin veguheztin. Dema ku hûn hewl bidin ku têkevin malpera npmjs.com an jî di kargêriya npm de xebatek pejirandî pêk bînin, pêdivî ye ku verastkirina pêşkeftî têkevin kodek yek carî ku bi e-nameyê hatî şandin.
Verastkirina pêşkeftî erêkirina du-faktorî ya vebijarkî ya berê hatî peyda kirin cîh nagire, lê tenê temam dike, ku bi karanîna şîfreyên yek-carî (TOTP) erêkirinê hewce dike. Dema ku piştrastkirina du-faktorî çalak be, verastkirina e-nameyê ya dirêjkirî nayê sepandin. Ji 1ê Sibata 2022-an pê ve, dê pêvajoya guheztina berbi rastkirina du-faktorî ya mecbûrî ji bo parêzvanên 100 pakêtên NPM-ê yên herî populer ên bi hejmara herî mezin a girêdayîbûnê dest pê bike. Piştî qedandina koça sedên yekem, dê guheztin li 500 pakêtên NPM-ê yên herî populer ji hêla hejmara pêwendiyan ve were belav kirin.
Ji bilî nexşeya rastkirina du-faktorî ya ku niha li ser bingeha serîlêdanên ji bo çêkirina şîfreyên yek-car (Authy, Google Authenticator, FreeOTP, hwd.) heye, di Nîsana 2022-an de ew plan dikin ku şiyana karanîna bişkokên hardware û skanerên biyometrîk zêde bikin, ji bo ku ji bo protokola WebAuthn piştgirî heye, û di heman demê de şiyana tomarkirin û birêvebirina gelek faktorên rastkirina din jî heye.
Em ji bîr mekin ku, li gorî lêkolînek ku di sala 2020-an de hatî kirin, tenê 9.27% ji parêzvanên pakêtê ji bo parastina gihîştinê erêkirina du-faktorî bikar tînin, û di 13.37% bûyeran de, dema ku hesabên nû tomar dikin, pêşdebiran hewl didin ku şîfreyên lihevhatî yên ku di nav de xuya dibin ji nû ve bikar bînin. şîfreyên naskirî. Di dema vekolînek ewlehiya şîfreyê de, 12% ji hesabên NPM (% 13 ji pakêtan) ji ber karanîna şîfreyên pêşbînîkirî û piçûk ên wekî "123456" hatin gihîştin. Di nav wan pirsgirêkan de 4 hesabên bikarhêner ên ji Top 20 pakêtên herî populer, 13 hesabên bi pakêtên ku mehê zêdetirî 50 mîlyon caran hatine daxistin, 40 bi zêdetirî 10 mîlyon dakêşanên mehê, û 282 bi zêdetirî 1 mîlyon dakêşanên mehê hene. Li gorî barkirina modulan li ser zincîreyek girêdayîbûnê, lihevhatina hesabên nebawer dikare heya 52% ji hemî modulên di NPM-ê de bandor bike.
Source: opennet.ru
