NPM مخزن ۾ 500 سڀ کان وڌيڪ مشهور NPM پيڪيجز کي برقرار رکڻ وارن اڪائونٽن لاءِ لازمي ٻن عنصر جي تصديق شامل آهي. انحصار پيڪيجز جو تعداد مقبوليت جي معيار طور استعمال ڪيو ويو. درج ٿيل پيڪيجز جا سنڀاليندڙ صرف ٻن عنصر جي تصديق کي چالو ڪرڻ کان پوءِ ئي ريپوزٽري تي ترميم سان لاڳاپيل عمل انجام ڏئي سگھندا، جنهن لاءِ ون ٽائم پاس ورڊ استعمال ڪندي لاگ ان جي تصديق جي ضرورت هوندي آهي (TOTP) ايپليڪيشنن جهڙوڪ Authy، Google Authenticator ۽ FreeOTP، يا هارڊويئر ڪي ۽ بايوميٽرڪ اسڪينر، WebAuth پروٽوڪول کي سپورٽ ڪندي.
اڪائونٽ سمجھوتي جي خلاف NPM جي تحفظ کي مضبوط ڪرڻ جو ھي ٽيون مرحلو آھي. پهريون مرحلو سڀني NPM اڪائونٽن کي تبديل ڪرڻ ۾ شامل آهي جن ۾ ٻه عنصر جي تصديق نه ڪئي وئي آهي ترقي يافته اڪائونٽ جي تصديق کي استعمال ڪرڻ لاءِ، جنهن لاءِ npmjs.com ۾ لاگ ان ٿيڻ يا npm ۾ هڪ تصديق ٿيل آپريشن ڪرڻ جي ڪوشش ڪرڻ وقت اي ميل ذريعي موڪليو ويو هڪ ڀيرو ڪوڊ داخل ڪرڻ جي ضرورت آهي. افاديت. ٻئي مرحلي ۾، 100 سڀ کان وڌيڪ مشهور پيڪيجز لاء لازمي ٻن عنصر جي تصديق کي فعال ڪيو ويو.
ياد رهي ته 2020 ۾ ڪيل هڪ مطالعي مطابق، صرف 9.27٪ پيڪيج سنڀاليندڙن رسائي کي بچائڻ لاءِ ٻه عنصر جي تصديق استعمال ڪئي، ۽ 13.37٪ ڪيسن ۾، جڏهن نوان اڪائونٽس رجسٽرڊ ڪيا ويا، ڊولپرز سمجھوتي ڪيل پاسورڊ ٻيهر استعمال ڪرڻ جي ڪوشش ڪئي جيڪي معلوم ۾ ظاهر ٿيا. پاسورڊ ليڪ. پاسورڊ سيڪيورٽي جائزي جي دوران، 12٪ NPM اڪائونٽس (پيڪيجز جو 13٪) اڳڪٿي لائق ۽ معمولي پاسورڊ جي استعمال جي ڪري پهچندا هئا جهڙوڪ "123456." مشڪلاتن ۾ شامل هئا 4 صارف اڪائونٽس مٿين 20 تمام مشهور پيڪيجز مان، 13 اڪائونٽس سان گڏ پيڪيجز هر مهيني 50 ملين کان وڌيڪ ڀيرا ڊائون لوڊ ڪيا ويا، 40 هر مهيني 10 ملين کان وڌيڪ ڊائون لوڊ سان، ۽ 282 هر مهيني 1 ملين کان وڌيڪ ڊائون لوڊ سان. انحصار جي زنجير سان ماڊلز جي لوڊشيڊنگ کي مدنظر رکندي، ناقابل اعتماد اڪائونٽس جو سمجھوتو NPM ۾ سڀني ماڊلز جي 52٪ تائين متاثر ڪري سگھي ٿو.
جو ذريعو: opennet.ru