Kutokana na ongezeko la matukio ya hazina za miradi mikubwa kutekwa nyara na msimbo hasidi kukuzwa kupitia maelewano ya akaunti za wasanidi programu, GitHub inaleta uthibitishaji ulioenea wa akaunti. Kando, uthibitishaji wa lazima wa vipengele viwili utaanzishwa kwa watunzaji na wasimamizi wa vifurushi 500 maarufu vya NPM mapema mwaka ujao.
Kuanzia tarehe 7 Desemba 2021 hadi Januari 4, 2022, wasimamizi wote ambao wana haki ya kuchapisha vifurushi vya NPM, lakini hawatumii uthibitishaji wa vipengele viwili, watabadilishwa kwa kutumia uthibitishaji wa akaunti uliopanuliwa. Uthibitishaji wa hali ya juu unahitaji kuweka msimbo wa mara moja uliotumwa kwa barua pepe unapojaribu kuingia kwenye tovuti ya npmjs.com au kutekeleza operesheni iliyoidhinishwa katika matumizi ya npm.
Uthibitishaji ulioimarishwa hauchukui nafasi, lakini unakamilisha tu, uthibitishaji wa hiari wa vipengele viwili uliopatikana hapo awali, ambao unahitaji uthibitisho kwa kutumia nywila za wakati mmoja (TOTP). Uthibitishaji wa vipengele viwili unapowezeshwa, uthibitishaji wa barua pepe uliopanuliwa hautumiki. Kuanzia Februari 1, 2022, mchakato wa kubadili uhalalishaji wa lazima wa vipengele viwili utaanza kwa watunzaji wa vifurushi 100 maarufu vya NPM na idadi kubwa zaidi ya utegemezi. Baada ya kukamilisha uhamiaji wa mia ya kwanza, mabadiliko yatasambazwa kwa vifurushi 500 maarufu zaidi vya NPM kwa idadi ya tegemezi.
Mbali na mpango unaopatikana wa sasa wa uthibitishaji wa vipengele viwili kulingana na programu za kutengeneza manenosiri ya mara moja (Authy, Google Authenticator, FreeOTP, n.k.), mnamo Aprili 2022 wanapanga kuongeza uwezo wa kutumia funguo za maunzi na vichanganuzi vya kibayometriki, kwa ambayo kuna usaidizi wa itifaki ya WebAuthn, na pia uwezo wa kusajili na kudhibiti mambo mbalimbali ya ziada ya uthibitishaji.
Wacha tukumbuke kuwa, kulingana na utafiti uliofanywa mnamo 2020, ni 9.27% ββtu ya watunza vifurushi hutumia uthibitishaji wa sababu mbili kulinda ufikiaji, na katika 13.37% ya kesi, wakati wa kusajili akaunti mpya, watengenezaji walijaribu kutumia tena nywila zilizoathiriwa. uvujaji wa nenosiri unaojulikana. Wakati wa ukaguzi wa usalama wa nenosiri, 12% ya akaunti za NPM (13% ya vifurushi) zilifikiwa kwa sababu ya matumizi ya manenosiri yanayotabirika na madogo kama vile "123456." Miongoni mwa matatizo yalikuwa akaunti 4 za watumiaji kutoka kwenye vifurushi 20 maarufu zaidi, akaunti 13 zilizo na vifurushi vilivyopakuliwa zaidi ya mara milioni 50 kwa mwezi, 40 zilizopakuliwa zaidi ya milioni 10 kwa mwezi, na 282 zilizopakuliwa zaidi ya milioni 1 kwa mwezi. Kwa kuzingatia upakiaji wa moduli pamoja na msururu wa utegemezi, maelewano ya akaunti zisizoaminika yanaweza kuathiri hadi 52% ya moduli zote katika NPM.
Chanzo: opennet.ru