КЭУБ репозиторийинде 500 эң популярдуу КЭУБ пакеттерин жүргүзүүчү эсептердин милдеттүү эки факторлуу аутентификациясы кирет. Популярдуулук критерийи катары көз каранды пакеттердин саны колдонулган. Тизмеде көрсөтүлгөн пакеттердин тейлөөчүлөрү репозиторийде өзгөртүүгө байланыштуу операцияларды эки факторлуу аутентификацияны иштеткенден кийин гана аткара алышат, бул Authy, Google Authenticator жана FreeOTP сыяктуу тиркемелер тарабынан түзүлгөн бир жолку сырсөздөрдү (TOTP) колдонуу менен логинди ырастоону талап кылат, же WebAuth протоколун колдогон аппараттык ачкычтар жана биометрикалык сканерлер.
Бул КЭУБдун эсептик компромисске каршы коргоосун күчөтүүнүн үчүнчү этабы. Биринчи этап npmjs.com сайтына кирүүгө же npmде аутентификацияланган операцияны аткарууга аракет кылганда электрондук почта аркылуу жөнөтүлгөн бир жолку кодду киргизүүнү талап кылган өркүндөтүлгөн эсеп текшерүүсүн колдонуу үчүн эки факторлуу аутентификация иштетилбеген бардык NPM эсептерин конвертациялоону камтыды. пайдалуу. Экинчи этапта 100 эң популярдуу пакеттер үчүн милдеттүү эки факторлуу аутентификация иштетилди.
Эске сала кетсек, 2020-жылы жүргүзүлгөн изилдөөгө ылайык, пакеттин тейлөөчүлөрүнүн 9.27% гана кирүү мүмкүнчүлүгүн коргоо үчүн эки факторлуу аутентификацияны колдонушкан, ал эми жаңы эсептерди каттоодо 13.37% учурларда иштеп чыгуучулар белгилүү болгон бузулган сырсөздөрдү кайра колдонууга аракет кылышкан. сырсөз агып кетет. Сырсөздөрдүн коопсуздугун текшерүү учурунда, "12" сыяктуу болжолдуу жана арзыбаган сырсөздөрдү колдонуудан улам NPM эсептеринин 13%ы (пакеттердин 123456%) кирди. Көйгөйлүүлөрдүн арасында Топ-4 эң популярдуу топтомдордун ичинен 20 колдонуучу аккаунту, айына 13 миллиондон ашык жолу жүктөлгөн топтомдору бар 50 аккаунт, айына 40 миллиондон ашык жүктөлүп алынган 10 аккаунт жана айына 282 миллиондон ашык жүктөлүп алынган 1 аккаунт бар. Модулдардын көз карандылык тизмеги боюнча жүктөлүшүн эске алуу менен, ишенимсиз эсептердин компромисси КЭУБдагы бардык модулдардын 52% га чейин таасирин тийгизиши мүмкүн.
Source: opennet.ru