డెవలపర్ ఖాతాల రాజీ ద్వారా పెద్ద ప్రాజెక్ట్ల రిపోజిటరీలు హైజాక్ చేయబడటం మరియు హానికరమైన కోడ్ ప్రచారం చేయబడుతున్న కేసుల కారణంగా, GitHub విస్తృతంగా విస్తరించిన ఖాతా ధృవీకరణను పరిచయం చేస్తోంది. విడిగా, వచ్చే ఏడాది ప్రారంభంలో 500 అత్యంత ప్రజాదరణ పొందిన NPM ప్యాకేజీల నిర్వహణదారులు మరియు నిర్వాహకుల కోసం తప్పనిసరి రెండు-కారకాల ప్రమాణీకరణ ప్రవేశపెట్టబడుతుంది.
డిసెంబర్ 7, 2021 నుండి జనవరి 4, 2022 వరకు, NPM ప్యాకేజీలను ప్రచురించే హక్కును కలిగి ఉన్న, కానీ రెండు-కారకాల ప్రామాణీకరణను ఉపయోగించని మెయింటెయినర్లందరూ పొడిగించిన ఖాతా ధృవీకరణను ఉపయోగించేందుకు మార్చబడతారు. అధునాతన ధృవీకరణకు npmjs.com వెబ్సైట్కి లాగిన్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు లేదా npm యుటిలిటీలో ప్రామాణీకరించబడిన ఆపరేషన్ను నిర్వహించడానికి ప్రయత్నిస్తున్నప్పుడు ఇమెయిల్ ద్వారా పంపబడిన వన్-టైమ్ కోడ్ను నమోదు చేయడం అవసరం.
మెరుగైన ధృవీకరణ భర్తీ చేయదు, కానీ మునుపు అందుబాటులో ఉన్న ఐచ్ఛిక రెండు-కారకాల ప్రమాణీకరణను మాత్రమే పూరిస్తుంది, దీనికి వన్-టైమ్ పాస్వర్డ్లను (TOTP) ఉపయోగించి నిర్ధారణ అవసరం. రెండు-కారకాల ప్రమాణీకరణ ప్రారంభించబడినప్పుడు, పొడిగించిన ఇమెయిల్ ధృవీకరణ వర్తించదు. ఫిబ్రవరి 1, 2022 నుండి, అత్యధిక సంఖ్యలో డిపెండెన్సీలతో అత్యంత ప్రజాదరణ పొందిన 100 NPM ప్యాకేజీల నిర్వహణదారుల కోసం తప్పనిసరి రెండు-కారకాల ప్రమాణీకరణకు మారే ప్రక్రియ ప్రారంభమవుతుంది. మొదటి వందల మైగ్రేషన్ను పూర్తి చేసిన తర్వాత, మార్పు డిపెండెన్సీల సంఖ్య ద్వారా 500 అత్యంత ప్రజాదరణ పొందిన NPM ప్యాకేజీలకు పంపిణీ చేయబడుతుంది.
వన్-టైమ్ పాస్వర్డ్లను (Authy, Google Authenticator, FreeOTP, మొదలైనవి) రూపొందించడానికి అప్లికేషన్ల ఆధారంగా ప్రస్తుతం అందుబాటులో ఉన్న రెండు-కారకాల ప్రమాణీకరణ స్కీమ్తో పాటు, ఏప్రిల్ 2022లో హార్డ్వేర్ కీలు మరియు బయోమెట్రిక్ స్కానర్లను ఉపయోగించే సామర్థ్యాన్ని జోడించాలని వారు ప్లాన్ చేస్తున్నారు. WebAuthn ప్రోటోకాల్కు మద్దతు ఉంది మరియు వివిధ అదనపు ప్రమాణీకరణ కారకాలను నమోదు చేసే మరియు నిర్వహించగల సామర్థ్యం కూడా ఉంది.
2020లో నిర్వహించిన ఒక అధ్యయనం ప్రకారం, 9.27% ప్యాకేజీ నిర్వహణదారులు మాత్రమే యాక్సెస్ను రక్షించడానికి రెండు-కారకాల ప్రామాణీకరణను ఉపయోగిస్తున్నారని గుర్తుంచుకోండి మరియు 13.37% కేసులలో, కొత్త ఖాతాలను నమోదు చేసేటప్పుడు, డెవలపర్లు కనిపించిన రాజీ పాస్వర్డ్లను మళ్లీ ఉపయోగించేందుకు ప్రయత్నించారు. తెలిసిన పాస్వర్డ్ లీక్లు. పాస్వర్డ్ భద్రతా సమీక్ష సమయంలో, “12” వంటి ఊహాజనిత మరియు అల్పమైన పాస్వర్డ్లను ఉపయోగించడం వల్ల 13% NPM ఖాతాలు (123456% ప్యాకేజీలు) యాక్సెస్ చేయబడ్డాయి. సమస్యాత్మకమైన వాటిలో టాప్ 4 అత్యంత ప్రజాదరణ పొందిన ప్యాకేజీల నుండి 20 వినియోగదారు ఖాతాలు, నెలకు 13 మిలియన్ కంటే ఎక్కువ సార్లు డౌన్లోడ్ చేయబడిన ప్యాకేజీలతో 50 ఖాతాలు, నెలకు 40 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 10 మరియు నెలకు 282 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 1 ఉన్నాయి. డిపెండెన్సీల శ్రేణిలో మాడ్యూల్ల లోడ్ను పరిగణనలోకి తీసుకుంటే, అవిశ్వసనీయ ఖాతాల రాజీ NPMలోని అన్ని మాడ్యూల్లలో 52% వరకు ప్రభావితం కావచ్చు.
మూలం: opennet.ru