Аз сабаби зиёд шудани ҳолатҳои рабуда шудани анбори лоиҳаҳои калон ва пешбурди рамзи зараровар тавассути вайрон кардани ҳисобҳои таҳиягарон, GitHub санҷиши васеъи ҳисоби васеъро ҷорӣ мекунад. Алоҳида, аутентификатсияи ҳатмии ду омил барои нигоҳдорон ва маъмурони 500 бастаи маъмултарини NPM дар аввали соли оянда ҷорӣ карда мешавад.
Аз 7 декабри соли 2021 то 4 январи соли 2022, ҳамаи нигоҳдороне, ки ҳуқуқи нашри бастаҳои NPM доранд, вале аутентификатсияи ду-омилро истифода намебаранд, ба истифодаи санҷиши васеъи ҳисоб гузаронида мешаванд. Тафтиши пешрафта ворид кардани рамзи якдафъаинаи тавассути почтаи электронӣ фиристодашударо талаб мекунад, ки ҳангоми кӯшиши ворид шудан ба вебсайти npmjs.com ё иҷрои амалиёти тасдиқшуда дар утилитаи npm.
Тасдиқи мукаммали аутентификатсияи ихтиёрии ду-омили қаблан мавҷудбударо иваз намекунад, балки онро пурра мекунад, ки тасдиқро бо истифода аз паролҳои якдафъаина (TOTP) талаб мекунад. Вақте ки аутентификатсияи ду-омилӣ фаъол карда мешавад, тасдиқи почтаи электронии васеъ татбиқ карда намешавад. Аз 1 феврали соли 2022 раванди гузариш ба аутентификатсияи ҳатмии ду-омилӣ барои нигоҳдорони 100 бастаи маъмултарини NPM бо шумораи бештари вобастагӣ оғоз мешавад. Пас аз анҷоми муҳоҷирати сади аввал, тағирот ба 500 бастаи маъмултарини NPM аз рӯи шумораи вобастагӣ тақсим карда мешавад.
Илова ба схемаи аутентификатсияи ду омили мавҷуда дар асоси замимаҳо барои тавлиди паролҳои якдафъаина (Authy, Google Authenticator, FreeOTP ва ғайра) дар моҳи апрели соли 2022 онҳо ният доранд, ки қобилияти истифодаи калидҳои сахтафзор ва сканерҳои биометриро барои ки дастгирии протоколи WebAuthn мавҷуд аст ва инчунин қобилияти бақайдгирӣ ва идоракунии омилҳои гуногуни аутентификатсия.
Дар хотир дорем, ки тибқи тадқиқоте, ки дар соли 2020 гузаронида шудааст, танҳо 9.27% нигоҳдорони бастаҳо барои ҳифзи дастрасӣ аз аутентификатсияи ду-омилро истифода мебаранд ва дар 13.37% ҳолатҳо ҳангоми бақайдгирии ҳисобҳои нав, таҳиягарон кӯшиш карданд, ки паролҳои осебдидаеро, ки дар дарун пайдо шудаанд, дубора истифода баранд. ихроҷи пароли маълум. Ҳангоми баррасии амнияти парол, ба 12% ҳисобҳои NPM (13% бастаҳо) аз ҳисоби истифодаи паролҳои пешгӯинашаванда ва ночиз ба монанди “123456” дастрасӣ пайдо карданд. Дар байни мушкилот 4 ҳисоби корбарӣ аз Топ 20 бастаҳои маъмултарин, 13 ҳисоб бо бастаҳои зиёда аз 50 миллион бор дар як моҳ зеркашидашуда, 40 бо зиёда аз 10 миллион боргирӣ дар як моҳ ва 282 бо зиёда аз 1 миллион боргирӣ дар як моҳ буданд. Бо дарназардошти боркунии модулҳо қад-қади занҷири вобастагӣ, созиши ҳисобҳои беэътимод метавонад то 52% ҳамаи модулҳои NPM таъсир расонад.
Манбаъ: opennet.ru