GitHub ilitangaza kuwa hazina za NPM zinawezesha uthibitishaji wa sababu mbili kwa vifurushi 100 vya NPM ambavyo vimejumuishwa kama tegemezi katika idadi kubwa zaidi ya vifurushi. Watunzaji wa vifurushi hivi sasa wataweza kutekeleza utendakazi wa hazina uliothibitishwa baada ya kuwezesha uthibitishaji wa vipengele viwili, ambao unahitaji uthibitisho wa kuingia kwa kutumia manenosiri ya mara moja (TOTP) yanayotolewa na programu kama vile Authy, Google Authenticator na FreeOTP. Katika siku za usoni, pamoja na TOTP, wanapanga kuongeza uwezo wa kutumia funguo za maunzi na vichanganuzi vya kibayometriki vinavyotumia itifaki ya WebAuth.
Mnamo Machi 1, imepangwa kuhamisha akaunti zote za NPM ambazo hazina uthibitishaji wa sababu mbili uliowezeshwa kutumia uthibitishaji wa akaunti uliopanuliwa, ambao unahitaji kuweka msimbo wa mara moja uliotumwa kwa barua pepe unapojaribu kuingia katika npmjs.com au kutekeleza uthibitishaji. operesheni katika matumizi ya npm. Uthibitishaji wa vipengele viwili unapowezeshwa, uthibitishaji wa barua pepe uliopanuliwa hautumiki. Mnamo Februari 16 na 13, uzinduzi wa muda wa majaribio ya uthibitishaji uliopanuliwa kwa akaunti zote utatekelezwa kwa siku moja.
Wacha tukumbuke kuwa kulingana na utafiti uliofanywa mnamo 2020, ni 9.27% ββtu ya watunza vifurushi walitumia uthibitishaji wa sababu mbili kulinda ufikiaji, na katika 13.37% ya kesi, wakati wa kusajili akaunti mpya, watengenezaji walijaribu kutumia tena nywila zilizoathiriwa ambazo zilionekana kujulikana. uvujaji wa nenosiri. Wakati wa ukaguzi wa usalama wa nenosiri, 12% ya akaunti za NPM (13% ya vifurushi) zilifikiwa kwa sababu ya matumizi ya manenosiri yanayotabirika na madogo kama vile "123456." Miongoni mwa matatizo yalikuwa akaunti 4 za watumiaji kutoka kwenye vifurushi 20 maarufu zaidi, akaunti 13 zilizo na vifurushi vilivyopakuliwa zaidi ya mara milioni 50 kwa mwezi, 40 zilizopakuliwa zaidi ya milioni 10 kwa mwezi, na 282 zilizopakuliwa zaidi ya milioni 1 kwa mwezi. Kwa kuzingatia upakiaji wa moduli pamoja na msururu wa utegemezi, maelewano ya akaunti zisizoaminika yanaweza kuathiri hadi 52% ya moduli zote katika NPM.
Chanzo: opennet.ru