Hazina ya NPM inajumuisha uthibitishaji wa lazima wa vipengele viwili kwa akaunti zinazotunza vifurushi 500 maarufu zaidi vya NPM. Idadi ya vifurushi tegemezi ilitumika kama kigezo cha umaarufu. Watunzaji wa vifurushi vilivyoorodheshwa wataweza tu kufanya shughuli zinazohusiana na urekebishaji kwenye hazina baada ya kuwezesha uthibitishaji wa vipengele viwili, ambao unahitaji uthibitisho wa kuingia kwa kutumia nenosiri la mara moja (TOTP) linalozalishwa na programu kama vile Authy, Google Authenticator na FreeOTP, au maunzi. funguo na vichanganuzi vya kibayometriki, vinavyounga mkono itifaki ya WebAuth.
Hii ni hatua ya tatu ya kuimarisha ulinzi wa NPM dhidi ya maelewano ya akaunti. Hatua ya kwanza ilihusisha kubadilisha akaunti zote za NPM ambazo hazina uthibitishaji wa vipengele viwili vilivyowezeshwa ili kutumia uthibitishaji wa akaunti ya juu, ambayo inahitaji kuingiza msimbo wa mara moja uliotumwa kwa barua pepe unapojaribu kuingia katika npmjs.com au kutekeleza operesheni iliyoidhinishwa katika npm. matumizi. Katika awamu ya pili, uthibitishaji wa lazima wa vipengele viwili uliwezeshwa kwa vifurushi 100 maarufu zaidi.
Wacha tukumbuke kuwa kulingana na utafiti uliofanywa mnamo 2020, ni 9.27% ββtu ya watunza vifurushi walitumia uthibitishaji wa sababu mbili kulinda ufikiaji, na katika 13.37% ya kesi, wakati wa kusajili akaunti mpya, watengenezaji walijaribu kutumia tena nywila zilizoathiriwa ambazo zilionekana kujulikana. uvujaji wa nenosiri. Wakati wa ukaguzi wa usalama wa nenosiri, 12% ya akaunti za NPM (13% ya vifurushi) zilifikiwa kwa sababu ya matumizi ya manenosiri yanayotabirika na madogo kama vile "123456." Miongoni mwa matatizo yalikuwa akaunti 4 za watumiaji kutoka kwenye vifurushi 20 maarufu zaidi, akaunti 13 zilizo na vifurushi vilivyopakuliwa zaidi ya mara milioni 50 kwa mwezi, 40 zilizopakuliwa zaidi ya milioni 10 kwa mwezi, na 282 zilizopakuliwa zaidi ya milioni 1 kwa mwezi. Kwa kuzingatia upakiaji wa moduli pamoja na msururu wa utegemezi, maelewano ya akaunti zisizoaminika yanaweza kuathiri hadi 52% ya moduli zote katika NPM.
Chanzo: opennet.ru