GitHub njoftoi se magazinat NPM po mundësojnë vërtetimin me dy faktorë për 100 paketat NPM që përfshihen si varësi në numrin më të madh të paketave. Mirëmbajtësit e këtyre paketave tani do të mund të kryejnë operacione të vërtetuara të depove vetëm pasi të aktivizojnë vërtetimin me dy faktorë, i cili kërkon konfirmimin e hyrjes duke përdorur fjalëkalime një herë (TOTP) të krijuara nga aplikacione të tilla si Authy, Google Authenticator dhe FreeOTP. Në të ardhmen e afërt, përveç TOTP, ata planifikojnë të shtojnë mundësinë e përdorimit të çelësave harduerikë dhe skanerëve biometrikë që mbështesin protokollin WebAuth.
Më 1 mars, është planifikuar të transferohen të gjitha llogaritë NPM që nuk kanë autentikimin me dy faktorë të aktivizuar për të përdorur verifikimin e zgjeruar të llogarisë, i cili kërkon futjen e një kodi një herë të dërguar me email kur përpiqeni të identifikoheni në npmjs.com ose të kryeni një vërtetim funksionimi në shërbimin npm. Kur aktivizohet vërtetimi me dy faktorë, verifikimi i zgjatur i emailit nuk zbatohet. Më 16 dhe 13 shkurt, do të kryhet një provë e përkohshme e verifikimit të zgjatur për të gjitha llogaritë për një ditë.
Le të kujtojmë se sipas një studimi të kryer në vitin 2020, vetëm 9.27% e mirëmbajtësve të paketave përdorën vërtetimin me dy faktorë për të mbrojtur aksesin, dhe në 13.37% të rasteve, kur regjistronin llogari të reja, zhvilluesit u përpoqën të ripërdornin fjalëkalime të komprometuara që shfaqeshin në të njohur rrjedhjet e fjalëkalimit. Gjatë një rishikimi të sigurisë së fjalëkalimit, 12% e llogarive NPM (13% e paketave) u aksesuan për shkak të përdorimit të fjalëkalimeve të parashikueshme dhe të parëndësishme si "123456". Ndër ato problematike ishin 4 llogari përdoruesish nga Top 20 paketat më të njohura, 13 llogari me paketa të shkarkuara më shumë se 50 milionë herë në muaj, 40 me më shumë se 10 milionë shkarkime në muaj dhe 282 me më shumë se 1 milionë shkarkime në muaj. Duke marrë parasysh ngarkimin e moduleve përgjatë një zinxhiri varësish, kompromisi i llogarive të pabesuara mund të ndikojë deri në 52% të të gjitha moduleve në NPM.
Burimi: opennet.ru