GitHub NPM репозиторийлери эң көп пакеттерге көз карандылык катары киргизилген 100 NPM пакеттери үчүн эки факторлуу аутентификацияны иштетип жатканын жарыялады. Бул пакеттердин тейлөөчүлөрү эми Authy, Google Authenticator жана FreeOTP сыяктуу тиркемелер тарабынан түзүлгөн бир жолку сырсөздөрдү (TOTP) колдонуу менен кирүү ырастоосун талап кылган эки факторлуу аутентификацияны иштеткенден кийин гана аутентификацияланган репозиторий операцияларын аткара алышат. Жакынкы келечекте TOTPден тышкары, алар WebAuth протоколун колдогон аппараттык ачкычтарды жана биометрикалык сканерлерди колдонуу мүмкүнчүлүгүн кошууну пландаштырууда.
1-мартта npmjs.com сайтына кирүүгө же аутентификацияны аткарууга аракет кылганда электрондук почта аркылуу жөнөтүлгөн бир жолку кодду киргизүүнү талап кылган кеңейтилген эсеп текшерүүсүн колдонуу үчүн эки факторлуу аутентификация иштетилбеген бардык КЭУБ эсептерин өткөрүп берүү пландаштырылууда. npm утилитасында иштөө. Эки факторлуу аутентификация иштетилгенде, кеңейтилген электрондук почта текшерүүсү колдонулбайт. 16 жана 13-февраль күндөрү бардык аккаунттар үчүн кеңейтилген текшерүүнү убактылуу сыноо бир күнгө ишке ашырылат.
Эске сала кетсек, 2020-жылы жүргүзүлгөн изилдөөгө ылайык, пакеттин тейлөөчүлөрүнүн 9.27% гана кирүү мүмкүнчүлүгүн коргоо үчүн эки факторлуу аутентификацияны колдонушкан, ал эми жаңы эсептерди каттоодо 13.37% учурларда иштеп чыгуучулар белгилүү болгон бузулган сырсөздөрдү кайра колдонууга аракет кылышкан. сырсөз агып кетет. Сырсөздөрдүн коопсуздугун текшерүү учурунда, "12" сыяктуу болжолдуу жана арзыбаган сырсөздөрдү колдонуудан улам NPM эсептеринин 13%ы (пакеттердин 123456%) кирди. Көйгөйлүүлөрдүн арасында Топ-4 эң популярдуу топтомдордун ичинен 20 колдонуучу аккаунту, айына 13 миллиондон ашык жолу жүктөлгөн топтомдору бар 50 аккаунт, айына 40 миллиондон ашык жүктөлүп алынган 10 аккаунт жана айына 282 миллиондон ашык жүктөлүп алынган 1 аккаунт бар. Модулдардын көз карандылык тизмеги боюнча жүктөлүшүн эске алуу менен, ишенимсиз эсептердин компромисси КЭУБдагы бардык модулдардын 52% га чейин таасирин тийгизиши мүмкүн.
Source: opennet.ru