GitHub ħabbar li r-repożitorji NPM qed jippermettu awtentikazzjoni b'żewġ fatturi għall-pakketti NPM 100 li huma inklużi bħala dipendenzi fl-akbar numru ta 'pakketti. Dawk li jżommu dawn il-pakketti issa se jkunu jistgħu jwettqu operazzjonijiet ta’ repożitorju awtentikati biss wara li jippermettu awtentikazzjoni b’żewġ fatturi, li teħtieġ konferma tal-login bl-użu ta’ passwords ta’ darba (TOTP) iġġenerati minn applikazzjonijiet bħal Authy, Google Authenticator u FreeOTP. Fil-futur qarib, minbarra TOTP, qed jippjanaw li jżidu l-abbiltà li jużaw ċwievet tal-ħardwer u skaners bijometriċi li jappoġġjaw il-protokoll WebAuth.
Fl-1 ta' Marzu, huwa ppjanat li jiġu trasferiti l-kontijiet NPM kollha li m'għandhomx awtentikazzjoni b'żewġ fatturi ppermettiet li jużaw verifika estiża tal-kont, li teħtieġ li ddaħħal kodiċi ta' darba mibgħut bl-email meta tipprova tidħol f'npmjs.com jew twettaq awtentikata. operazzjoni fl-utilità npm. Meta l-awtentikazzjoni b'żewġ fatturi hija attivata, il-verifika tal-email estiża ma tiġix applikata. Fis-16 u t-13 ta’ Frar, se titwettaq tnedija temporanja ta’ prova ta’ verifika estiża għall-kontijiet kollha għal ġurnata.
Ejja niftakru li skont studju li sar fl-2020, 9.27% biss ta’ dawk li jżommu l-pakketti użaw awtentikazzjoni b’żewġ fatturi biex jipproteġu l-aċċess, u fi 13.37% tal-każijiet, meta rreġistraw kontijiet ġodda, l-iżviluppaturi ppruvaw jerġgħu jużaw passwords kompromessi li dehru fil-magħrufa. tnixxijiet tal-password. Waqt reviżjoni tas-sigurtà tal-password, ġew aċċessati 12% tal-kontijiet NPM (13% tal-pakketti) minħabba l-użu ta 'passwords prevedibbli u trivjali bħal "123456." Fost dawk problematiċi kien hemm 4 kontijiet tal-utent mill-Top 20 l-aktar pakketti popolari, 13-il kont b'pakketti mniżżla aktar minn 50 miljun darba fix-xahar, 40 b'aktar minn 10 miljun download fix-xahar, u 282 b'aktar minn 1 miljun download fix-xahar. B'kont meħud tat-tagħbija ta' moduli tul katina ta' dipendenzi, il-kompromess ta' kontijiet mhux ta' fiduċja jista' jaffettwa sa 52% tal-moduli kollha fl-NPM.
Sors: opennet.ru