GitHub нь NPM репозиторууд нь хамгийн олон тооны багцад хамааралтай 100 NPM багцад хоёр хүчин зүйлийн баталгаажуулалтыг идэвхжүүлж байгааг зарлав. Эдгээр багцын засварчид одоо Authy, Google Authenticator, FreeOTP зэрэг программуудаар үүсгэсэн нэг удаагийн нууц үг (TOTP) ашиглан нэвтрэх баталгаажуулалтыг шаарддаг хоёр хүчин зүйлийн баталгаажуулалтыг идэвхжүүлсний дараа л баталгаажуулсан репозиторын үйлдлүүдийг хийх боломжтой болно. Ойрын ирээдүйд тэд TOTP-ээс гадна WebAuth протоколыг дэмждэг техник хангамжийн түлхүүр, биометрийн сканнер ашиглах чадварыг нэмэхээр төлөвлөж байна.
Гуравдугаар сарын 1-нд npmjs.com руу нэвтрэх эсвэл баталгаажуулалт хийх гэж оролдохдоо цахим шуудангаар илгээсэн нэг удаагийн кодыг оруулах шаардлагатай өргөтгөсөн данс баталгаажуулалтыг ашиглахын тулд хоёр хүчин зүйлийн баталгаажуулалт идэвхжээгүй бүх NPM дансуудыг шилжүүлэхээр төлөвлөж байна. npm хэрэгсэл дэх ажиллагаа. Хоёр хүчин зүйлийн баталгаажуулалтыг идэвхжүүлсэн үед өргөтгөсөн имэйл баталгаажуулалтыг ашиглахгүй. 16-р сарын 13, XNUMX-ны өдрүүдэд бүх дансны өргөтгөсөн баталгаажуулалтын туршилтыг нэг өдрийн турш явуулна.
2020 онд хийсэн судалгаагаар багц засварлагчдын ердөө 9.27% нь хандалтыг хамгаалахын тулд хоёр хүчин зүйлийн баталгаажуулалтыг ашигласан бөгөөд 13.37% тохиолдолд шинэ данс бүртгүүлэхдээ хөгжүүлэгчид мэдэгдэж байсан нууц үгээ дахин ашиглахыг оролдсон гэдгийг санаарай. нууц үг алдагдсан. Нууц үгийн аюулгүй байдлын шалгалтын явцад “12” гэх мэт урьдчилан таамаглах боломжтой, өчүүхэн нууц үг ашигласны улмаас NPM дансны 13%-д (багцын 123456%) хандсан байна. Асуудалтай зүйлсийн дунд хамгийн алдартай 4 багцын 20 хэрэглэгчийн бүртгэл, сард 13 саяас дээш удаа татагдсан багц 50, сард 40 сая гаруй удаа татагдсан 10, сард 282 сая гаруй удаа татагдсан 1 хэрэглэгчийн бүртгэл багтсан байна. Хамааралтай гинжин хэлхээний дагуу модулиудын ачааллыг харгалзан үзэхэд итгэмжгүй бүртгэлүүдийн эвдрэл нь NPM-ийн бүх модулийн 52% хүртэл нөлөөлж болзошгүй юм.
Эх сурвалж: opennet.ru