ڈویلپر اکاؤنٹس کے سمجھوتہ کے ذریعے بڑے پروجیکٹس کے ریپوزٹری کے ہائی جیک ہونے اور بدنیتی پر مبنی کوڈ کو فروغ دینے کے بڑھتے ہوئے واقعات کی وجہ سے، GitHub بڑے پیمانے پر توسیع شدہ اکاؤنٹ کی تصدیق متعارف کروا رہا ہے۔ علیحدہ طور پر، اگلے سال کے اوائل میں 500 مقبول ترین NPM پیکجوں کے مینٹینرز اور ایڈمنسٹریٹرز کے لیے لازمی دو عنصر کی تصدیق متعارف کرائی جائے گی۔
7 دسمبر 2021 سے 4 جنوری 2022 تک، وہ تمام مینٹینرز جنہیں NPM پیکجز شائع کرنے کا حق ہے، لیکن وہ دو عنصر کی توثیق کا استعمال نہیں کرتے ہیں، انہیں اکاؤنٹ کی توسیعی تصدیق کے استعمال پر تبدیل کر دیا جائے گا۔ ایڈوانسڈ تصدیق کے لیے npmjs.com ویب سائٹ میں لاگ ان کرنے یا npm یوٹیلیٹی میں تصدیق شدہ آپریشن کرنے کی کوشش کرتے وقت ای میل کے ذریعے بھیجا جانے والا ایک بار کا کوڈ درج کرنا ہوتا ہے۔
بہتر توثیق پہلے سے دستیاب اختیاری دو عنصر کی توثیق کی جگہ نہیں لیتی، بلکہ صرف تکمیل کرتی ہے، جس کے لیے ون ٹائم پاس ورڈز (TOTP) کے ذریعے تصدیق کی ضرورت ہوتی ہے۔ جب دو عنصر کی توثیق کو فعال کیا جاتا ہے، توسیع شدہ ای میل کی توثیق کا اطلاق نہیں ہوتا ہے۔ 1 فروری 2022 سے، لازمی دو عنصر کی توثیق میں منتقلی کا عمل شروع ہو جائے گا جس کے ساتھ 100 مقبول ترین NPM پیکجز جن میں انحصار کی ایک بڑی تعداد ہے۔ پہلی سو کی منتقلی مکمل کرنے کے بعد، تبدیلی کو 500 مقبول ترین NPM پیکجوں میں انحصار کی تعداد کے حساب سے تقسیم کیا جائے گا۔
ون ٹائم پاس ورڈ (Authy، Google Authenticator، FreeOTP، وغیرہ) بنانے کی ایپلی کیشنز پر مبنی فی الحال دستیاب دو فیکٹر تصدیقی اسکیم کے علاوہ، اپریل 2022 میں وہ ہارڈ ویئر کیز اور بائیو میٹرک اسکینرز استعمال کرنے کی صلاحیت کو شامل کرنے کا ارادہ رکھتے ہیں، جس میں WebAuthn پروٹوکول کے لیے سپورٹ ہے، اور مختلف اضافی تصدیقی عوامل کو رجسٹر کرنے اور ان کا نظم کرنے کی صلاحیت بھی ہے۔
یاد رہے کہ 2020 میں کی گئی ایک تحقیق کے مطابق، صرف 9.27 فیصد پیکیج مینٹینرز رسائی کے تحفظ کے لیے دو فیکٹر تصدیق کا استعمال کرتے ہیں، اور 13.37 فیصد کیسز میں، نئے اکاؤنٹس کو رجسٹر کرتے وقت، ڈویلپرز نے سمجھوتہ کیے گئے پاس ورڈز کو دوبارہ استعمال کرنے کی کوشش کی جو معلوم پاس ورڈ لیک۔ پاس ورڈ سیکیورٹی کے جائزے کے دوران، 12% NPM اکاؤنٹس (13% پیکجز) تک رسائی حاصل کی گئی جس کی وجہ پیشین گوئی اور معمولی پاس ورڈز جیسے "123456" کے استعمال کی وجہ سے ہے۔ پریشانیوں میں سب سے زیادہ مقبول پیکیجز میں سے 4 صارف اکاؤنٹس ٹاپ 20، 13 اکاؤنٹس جن کے پیکجز ہر ماہ 50 ملین سے زیادہ بار ڈاؤن لوڈ کیے گئے، 40 اکاؤنٹس جن میں ماہانہ 10 ملین سے زیادہ ڈاؤن لوڈز، اور 282 ہر ماہ 1 ملین سے زیادہ ڈاؤن لوڈز کے ساتھ تھے۔ انحصار کے سلسلے کے ساتھ ماڈیولز کی لوڈنگ کو مدنظر رکھتے ہوئے، غیر بھروسہ مند کھاتوں کا سمجھوتہ NPM میں تمام ماڈیولز کے 52% تک کو متاثر کر سکتا ہے۔
ماخذ: opennet.ru