டெவலப்பர் கணக்குகளை சமரசம் செய்வதன் மூலம் பெரிய திட்டங்களின் களஞ்சியங்கள் கடத்தப்படுவது மற்றும் தீங்கிழைக்கும் குறியீடு விளம்பரப்படுத்தப்படும் நிகழ்வுகள் அதிகரித்து வருவதால், GitHub பரவலான விரிவாக்கப்பட்ட கணக்கு சரிபார்ப்பை அறிமுகப்படுத்துகிறது. தனித்தனியாக, அடுத்த ஆண்டு தொடக்கத்தில் மிகவும் பிரபலமான 500 NPM தொகுப்புகளின் பராமரிப்பாளர்கள் மற்றும் நிர்வாகிகளுக்கு கட்டாய இரு காரணி அங்கீகாரம் அறிமுகப்படுத்தப்படும்.
டிசம்பர் 7, 2021 முதல் ஜனவரி 4, 2022 வரை, NPM தொகுப்புகளை வெளியிட உரிமையுடைய, ஆனால் இரு காரணி அங்கீகாரத்தைப் பயன்படுத்தாத அனைத்து பராமரிப்பாளர்களும் நீட்டிக்கப்பட்ட கணக்கு சரிபார்ப்பைப் பயன்படுத்துவதற்கு மாற்றப்படுவார்கள். மேம்பட்ட சரிபார்ப்புக்கு npmjs.com இணையதளத்தில் உள்நுழைய முயற்சிக்கும்போது அல்லது npm பயன்பாட்டில் அங்கீகரிக்கப்பட்ட செயல்பாட்டைச் செய்ய முயற்சிக்கும்போது மின்னஞ்சலில் அனுப்பப்பட்ட ஒரு முறை குறியீட்டை உள்ளிட வேண்டும்.
மேம்படுத்தப்பட்ட சரிபார்ப்பு மாற்றியமைக்கப்படாது, ஆனால் ஒரு முறை கடவுச்சொற்களைப் (TOTP) பயன்படுத்தி உறுதிப்படுத்தல் தேவைப்படும் முன்னர் கிடைக்கக்கூடிய விருப்பமான இரு-காரணி அங்கீகாரத்தை மட்டுமே நிரப்புகிறது. இரண்டு காரணி அங்கீகாரம் இயக்கப்பட்டால், நீட்டிக்கப்பட்ட மின்னஞ்சல் சரிபார்ப்பு பயன்படுத்தப்படாது. பிப்ரவரி 1, 2022 முதல், அதிக எண்ணிக்கையிலான சார்புகளைக் கொண்ட 100 மிகவும் பிரபலமான NPM பேக்கேஜ்களைப் பராமரிப்பவர்களுக்கு கட்டாய இரு காரணி அங்கீகாரத்திற்கு மாறுவதற்கான செயல்முறை தொடங்கும். முதல் நூறின் நகர்வை முடித்த பிறகு, இந்த மாற்றம் 500 மிகவும் பிரபலமான NPM தொகுப்புகளுக்கு சார்புகளின் எண்ணிக்கையில் விநியோகிக்கப்படும்.
ஒரு முறை கடவுச்சொற்களை (Authy, Google Authenticator, FreeOTP, முதலியன) உருவாக்குவதற்கான பயன்பாடுகளின் அடிப்படையில் தற்போது கிடைக்கக்கூடிய இரண்டு-காரணி அங்கீகாரத் திட்டத்துடன் கூடுதலாக, ஏப்ரல் 2022 இல், வன்பொருள் விசைகள் மற்றும் பயோமெட்ரிக் ஸ்கேனர்களைப் பயன்படுத்தும் திறனைச் சேர்க்க அவர்கள் திட்டமிட்டுள்ளனர். WebAuthn நெறிமுறைக்கு ஆதரவு உள்ளது, மேலும் பல்வேறு கூடுதல் அங்கீகார காரணிகளை பதிவுசெய்து நிர்வகிக்கும் திறன் உள்ளது.
2020 இல் நடத்தப்பட்ட ஒரு ஆய்வின்படி, 9.27% தொகுப்பு பராமரிப்பாளர்கள் மட்டுமே அணுகலைப் பாதுகாக்க இரண்டு காரணி அங்கீகாரத்தைப் பயன்படுத்துகின்றனர், மேலும் 13.37% வழக்குகளில், புதிய கணக்குகளைப் பதிவு செய்யும் போது, டெவலப்பர்கள் சமரசம் செய்யப்பட்ட கடவுச்சொற்களை மீண்டும் பயன்படுத்த முயன்றனர் என்பதை நினைவில் கொள்வோம். அறியப்பட்ட கடவுச்சொல் கசிவுகள். கடவுச்சொல் பாதுகாப்பு மதிப்பாய்வின் போது, "12" போன்ற யூகிக்கக்கூடிய மற்றும் அற்பமான கடவுச்சொற்களைப் பயன்படுத்தியதால் 13% NPM கணக்குகள் (123456% தொகுப்புகள்) அணுகப்பட்டன. பிரச்சனைக்குரியவற்றில், முதல் 4 மிகவும் பிரபலமான தொகுப்புகளில் இருந்து 20 பயனர் கணக்குகள், 13 கணக்குகள் மாதத்திற்கு 50 மில்லியனுக்கும் அதிகமான முறை பதிவிறக்கம் செய்யப்பட்டன, 40 மாதத்திற்கு 10 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்கள் மற்றும் 282 மாதத்திற்கு 1 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்களைக் கொண்டவை. சார்புகளின் சங்கிலியுடன் தொகுதிகள் ஏற்றப்படுவதைக் கணக்கில் எடுத்துக் கொண்டால், நம்பத்தகாத கணக்குகளின் சமரசம் NPM இல் உள்ள அனைத்து தொகுதிக்கூறுகளிலும் 52% வரை பாதிக்கலாம்.
ஆதாரம்: opennet.ru