NPM రిపోజిటరీ 500 అత్యంత ప్రజాదరణ పొందిన NPM ప్యాకేజీలను నిర్వహించే ఖాతాల కోసం తప్పనిసరి రెండు-కారకాల ప్రమాణీకరణను కలిగి ఉంటుంది. డిపెండెంట్ ప్యాకేజీల సంఖ్య ప్రజాదరణ ప్రమాణంగా ఉపయోగించబడింది. జాబితా చేయబడిన ప్యాకేజీల నిర్వాహకులు రెండు-కారకాల ప్రమాణీకరణను ప్రారంభించిన తర్వాత మాత్రమే రిపోజిటరీలో సవరణ-సంబంధిత కార్యకలాపాలను నిర్వహించగలరు, దీనికి Authy, Google Authenticator మరియు FreeOTP లేదా హార్డ్వేర్ వంటి అప్లికేషన్ల ద్వారా రూపొందించబడిన వన్-టైమ్ పాస్వర్డ్లను (TOTP) ఉపయోగించి లాగిన్ నిర్ధారణ అవసరం. కీలు మరియు బయోమెట్రిక్ స్కానర్లు, WebAuth ప్రోటోకాల్కు మద్దతు ఇస్తుంది.
ఖాతా రాజీకి వ్యతిరేకంగా NPM రక్షణను బలోపేతం చేయడంలో ఇది మూడవ దశ. అధునాతన ఖాతా ధృవీకరణను ఉపయోగించడానికి రెండు-కారకాల ప్రామాణీకరణ ప్రారంభించబడని అన్ని NPM ఖాతాలను మార్చడం మొదటి దశలో ఉంటుంది, దీనికి npmjs.comకి లాగిన్ చేయడానికి లేదా npmలో ప్రామాణీకరించబడిన ఆపరేషన్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు ఇమెయిల్ ద్వారా పంపబడిన వన్-టైమ్ కోడ్ను నమోదు చేయడం అవసరం. వినియోగ. రెండవ దశలో, 100 అత్యంత జనాదరణ పొందిన ప్యాకేజీల కోసం తప్పనిసరి రెండు-కారకాల ప్రమాణీకరణ ప్రారంభించబడింది.
2020లో నిర్వహించిన ఒక అధ్యయనం ప్రకారం, 9.27% ప్యాకేజీ నిర్వాహకులు మాత్రమే యాక్సెస్ను రక్షించడానికి రెండు-కారకాల ప్రామాణీకరణను ఉపయోగించారని మరియు 13.37% కేసులలో, కొత్త ఖాతాలను నమోదు చేసేటప్పుడు, డెవలపర్లు తెలిసిన వాటిలో కనిపించిన రాజీ పాస్వర్డ్లను మళ్లీ ఉపయోగించేందుకు ప్రయత్నించారని గుర్తుంచుకోండి. పాస్వర్డ్ లీక్ అవుతుంది. పాస్వర్డ్ భద్రతా సమీక్ష సమయంలో, “12” వంటి ఊహాజనిత మరియు అల్పమైన పాస్వర్డ్లను ఉపయోగించడం వల్ల 13% NPM ఖాతాలు (123456% ప్యాకేజీలు) యాక్సెస్ చేయబడ్డాయి. సమస్యాత్మకమైన వాటిలో టాప్ 4 అత్యంత ప్రజాదరణ పొందిన ప్యాకేజీల నుండి 20 వినియోగదారు ఖాతాలు, నెలకు 13 మిలియన్ కంటే ఎక్కువ సార్లు డౌన్లోడ్ చేయబడిన ప్యాకేజీలతో 50 ఖాతాలు, నెలకు 40 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 10 మరియు నెలకు 282 మిలియన్ కంటే ఎక్కువ డౌన్లోడ్లతో 1 ఉన్నాయి. డిపెండెన్సీల శ్రేణిలో మాడ్యూల్ల లోడ్ను పరిగణనలోకి తీసుకుంటే, అవిశ్వసనీయ ఖాతాల రాజీ NPMలోని అన్ని మాడ్యూల్లలో 52% వరకు ప్రభావితం కావచ్చు.
మూలం: opennet.ru