ကြီးမားသောပရောဂျက်များ၏ သိုလှောင်နေရာများကို ပြန်ပေးဆွဲခံရခြင်းနှင့် ဆော့ဖ်ဝဲရေးသားသူအကောင့်များ၏ အပေးအယူဖြင့် မြှင့်တင်ခြင်းများကြောင့်၊ GitHub သည် ကျယ်ပြန့်သော တိုးချဲ့အကောင့်အတည်ပြုခြင်းကို မိတ်ဆက်ပေးနေသည်။ သီးခြားအားဖြင့်၊ လူကြိုက်အများဆုံး NPM ပက်ကေ့ဂျ် 500 ၏ ထိန်းသိမ်းသူများနှင့် စီမံခန့်ခွဲသူများအတွက် မဖြစ်မနေလိုအပ်သော two-factor authentication ကို လာမည့်နှစ်အစောပိုင်းတွင် မိတ်ဆက်သွားပါမည်။
ဒီဇင်ဘာလ 7 ရက်၊ 2021 ခုနှစ်မှ 4 ခုနှစ် ဇန်နဝါရီလ 2022 ရက်နေ့အထိ NPM ပက်ကေ့ဂျ်များကို ထုတ်ဝေခွင့်ရှိသော်လည်း two-factor authentication ကို အသုံးမပြုဘဲ ထိန်းသိမ်းသူအားလုံးသည် တိုးချဲ့အကောင့်အတည်ပြုခြင်းသို့ ပြောင်းသွားပါမည်။ npmjs.com ဝဘ်ဆိုက်သို့ အကောင့်ဝင်ရန် သို့မဟုတ် npm utility တွင် စစ်မှန်ကြောင်းသက်သေပြသည့် လုပ်ဆောင်ချက်ကို လုပ်ဆောင်သည့်အခါ အဆင့်မြင့်အတည်ပြုချက်တွင် အီးမေးလ်ဖြင့်ပေးပို့သည့် ကုဒ်ကို တစ်ကြိမ်ထည့်သွင်းရန်လိုအပ်သည်။
ပိုမိုကောင်းမွန်သောအတည်ပြုခြင်းသည် တစ်ကြိမ်သုံးစကားဝှက်များ (TOTP) ကိုအသုံးပြု၍ အတည်ပြုရန်လိုအပ်သည့် ယခင်ကရရှိနိုင်သော ရွေးချယ်နိုင်သောအချက်နှစ်ချက်အထောက်အထားစိစစ်ခြင်းအား အစားထိုးခြင်းမရှိသော်လည်း ဖြည့်စွက်မှုများသာဖြစ်သည်။ two-factor authentication ကိုဖွင့်သောအခါ၊ တိုးချဲ့အီးမေးလ်အတည်ပြုခြင်းကို အသုံးချမည်မဟုတ်ပါ။ ဖေဖော်ဝါရီ 1 ရက်၊ 2022 မှစတင်၍ မှီခိုမှုအရေအတွက်အများဆုံးရှိသော လူကြိုက်အများဆုံး NPM ပက်ကေ့ဂျ် 100 ၏ ထိန်းသိမ်းသူများအတွက် မဖြစ်မနေလိုအပ်သော two-factor authentication သို့ ပြောင်းလဲခြင်းလုပ်ငန်းစဉ်ကို စတင်ပါမည်။ ပထမတစ်ရာကို ရွှေ့ပြောင်းခြင်းပြီးပါက၊ ပြောင်းလဲမှုကို မှီခိုမှုအရေအတွက်အလိုက် လူကြိုက်အများဆုံး NPM ပက်ကေ့ဂျ် 500 သို့ ဖြန့်ဝေပါမည်။
တစ်ကြိမ်သုံးစကားဝှက်များထုတ်ပေးခြင်းဆိုင်ရာ အပလီကေးရှင်းများပေါ်တွင် အခြေခံ၍ လက်ရှိရရှိနိုင်သည့် two-factor authentication scheme အပြင်၊ 2022 ခုနှစ် ဧပြီလတွင် ၎င်းတို့သည် ဟာ့ဒ်ဝဲသော့များနှင့် ဇီဝမက်ထရစ်စကင်နာများကို အသုံးပြုနိုင်စွမ်းကို ထည့်သွင်းရန် စီစဉ်ထားသည်၊ WebAuthn ပရိုတိုကောအတွက် ပံ့ပိုးမှုရှိပြီး အမျိုးမျိုးသော ထပ်လောင်းအထောက်အထားစိစစ်ခြင်းဆိုင်ရာ အချက်များအား စာရင်းသွင်းခြင်းနှင့် စီမံခန့်ခွဲခြင်းတို့လည်း ပါဝင်သည်။
2020 ခုနှစ်တွင် ပြုလုပ်ခဲ့သော လေ့လာမှုတစ်ခုအရ ပက်ကေ့ဂျ်ထိန်းသိမ်းသူများ၏ 9.27% ကသာ ဝင်ရောက်မှုကို ကာကွယ်ရန် two-factor authentication ကို အသုံးပြုကြပြီး 13.37% တွင် အကောင့်အသစ်များစာရင်းသွင်းသောအခါတွင် developer များသည် အပေးအယူရှိသော စကားဝှက်များကို ပြန်သုံးရန် ကြိုးစားကြသည်ကို သတိရကြပါစို့။ password ပေါက်ကြားမှု လူသိများသည်။ စကားဝှက်လုံခြုံရေးပြန်လည်သုံးသပ်မှုတစ်ခုအတွင်း၊ "12" ကဲ့သို့သော ကြိုတင်ခန့်မှန်းနိုင်သောနှင့်အသေးအဖွဲစကားဝှက်များကိုအသုံးပြုခြင်းကြောင့် NPM အကောင့်များ၏ 13% (ပက်ကေ့ဂျ်များ၏ 123456%) ကို ဝင်ရောက်ကြည့်ရှုခဲ့သည်။ ပြဿနာရှိသူများထဲတွင် ထိပ်တန်းရေပန်းအစားဆုံး ပက်ကေ့ဂျ် 4 မှ သုံးစွဲသူအကောင့် 20 ခု၊ ပက်ကေ့ဂျ်များပါရှိသော အကောင့် 13 ခုသည် တစ်လလျှင် အကြိမ်ပေါင်း သန်း 50 ကျော်၊ တစ်လလျှင် ဒေါင်းလုဒ် 40 သန်းကျော် 10 နှင့် တစ်လလျှင် ဒေါင်းလုဒ်ပေါင်း 282 သန်းကျော် 1 တို့ဖြစ်သည်။ မှီခိုမှုများ၏ကွင်းဆက်တစ်လျှောက် မော်ဂျူးများတင်ခြင်းကို ထည့်သွင်းစဉ်းစားခြင်းဖြင့်၊ မယုံကြည်ရသောအကောင့်များ၏ အပေးအယူသည် NPM ရှိ မော်ဂျူးအားလုံး၏ 52% အထိ အကျိုးသက်ရောက်နိုင်သည်။
source: opennet.ru