అత్యధిక సంఖ్యలో ప్యాకేజీలలో డిపెండెన్సీలుగా చేర్చబడిన 100 NPM ప్యాకేజీల కోసం NPM రిపోజిటరీలు రెండు-కారకాల ప్రమాణీకరణను ప్రారంభిస్తున్నాయని GitHub ప్రకటించింది. Authy, Google Authenticator మరియు FreeOTP వంటి అప్లికేషన్ల ద్వారా రూపొందించబడిన వన్-టైమ్ పాస్వర్డ్లను (TOTP) ఉపయోగించి లాగిన్ నిర్ధారణ అవసరమయ్యే రెండు-కారకాల ప్రమాణీకరణను ప్రారంభించిన తర్వాత మాత్రమే ఈ ప్యాకేజీల నిర్వాహకులు ఇప్పుడు ప్రామాణీకరించబడిన రిపోజిటరీ కార్యకలాపాలను నిర్వహించగలరు. సమీప భవిష్యత్తులో, TOTPతో పాటు, WebAuth ప్రోటోకాల్కు మద్దతు ఇచ్చే హార్డ్వేర్ కీలు మరియు బయోమెట్రిక్ స్కానర్లను ఉపయోగించే సామర్థ్యాన్ని జోడించాలని వారు ప్లాన్ చేస్తున్నారు.
మార్చి 1న, పొడిగించిన ఖాతా ధృవీకరణను ఉపయోగించడానికి రెండు-కారకాల ప్రామాణీకరణ ప్రారంభించబడని అన్ని NPM ఖాతాలను బదిలీ చేయడానికి ప్లాన్ చేయబడింది, దీనికి npmjs.comకి లాగిన్ చేయడానికి ప్రయత్నించినప్పుడు లేదా ప్రామాణీకరించబడినప్పుడు ఇమెయిల్ ద్వారా పంపబడిన వన్-టైమ్ కోడ్ను నమోదు చేయడం అవసరం. npm యుటిలిటీలో ఆపరేషన్. రెండు-కారకాల ప్రమాణీకరణ ప్రారంభించబడినప్పుడు, పొడిగించిన ఇమెయిల్ ధృవీకరణ వర్తించదు. ఫిబ్రవరి 16 మరియు 13 తేదీలలో, అన్ని ఖాతాల కోసం పొడిగించిన ధృవీకరణ యొక్క ట్రయల్ తాత్కాలిక ప్రారంభం ఒక రోజు పాటు నిర్వహించబడుతుంది.
2020లో నిర్వహించిన ఒక అధ్యయనం ప్రకారం, 9.27% ప్యాకేజీ నిర్వాహకులు మాత్రమే యాక్సెస్ను రక్షించడానికి రెండు-కారకాల ప్రామాణీకరణను ఉపయోగించారని మరియు 13.37% కేసులలో, కొత్త ఖాతాలను నమోదు చేసేటప్పుడు, డెవలపర్లు తెలిసిన వాటిలో కనిపించిన రాజీ పాస్వర్డ్లను మళ్లీ ఉపయోగించేందుకు ప్రయత్నించారని గుర్తుంచుకోండి. పాస్వర్డ్ లీక్ అవుతుంది. పాస్వర్డ్ భద్రతా సమీక్ష సమయంలో, “12” వంటి ఊహాజనిత మరియు అల్పమైన పాస్వర్డ్లను ఉపయోగించడం వల్ల 13% NPM ఖాతాలు (123456% ప్యాకేజీలు) యాక్సెస్ చేయబడ్డాయి. సమస్యాత్మకమైన వాటిలో టాప్ 4 అత్యంత ప్రజాదరణ పొందిన ప్యాకేజీల నుండి 20 వినియోగదారు ఖాతాలు, నెలకు 13 మిలియన్ కంటే ఎక్కువ సార్లు డౌన్లోడ్ చేయబడిన ప్యాకేజీలతో 50 ఖాతాలు, నెలకు 40 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 10 మరియు నెలకు 282 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 1 ఉన్నాయి. డిపెండెన్సీల శ్రేణిలో మాడ్యూల్ల లోడ్ను పరిగణనలోకి తీసుకుంటే, అవిశ్వసనీయ ఖాతాల రాజీ NPMలోని అన్ని మాడ్యూల్లలో 52% వరకు ప్రభావితం కావచ్చు.
మూలం: opennet.ru