GitHub نے اعلان کیا کہ NPM ریپوزٹریز 100 NPM پیکجوں کے لیے دو فیکٹر تصدیق کو فعال کر رہی ہیں جو پیکجوں کی سب سے بڑی تعداد میں انحصار کے طور پر شامل ہیں۔ ان پیکجوں کے مینٹینرز اب صرف ٹو فیکٹر تصدیق کو فعال کرنے کے بعد ہی تصدیق شدہ ریپوزٹری آپریشنز انجام دے سکیں گے، جس کے لیے Authy، Google Authenticator اور FreeOTP جیسی ایپلی کیشنز کے ذریعے تیار کردہ ون ٹائم پاس ورڈز (TOTP) کے ذریعے لاگ ان کی تصدیق کی ضرورت ہوتی ہے۔ مستقبل قریب میں، TOTP کے علاوہ، وہ ہارڈویئر کیز اور بائیو میٹرک اسکینرز کو استعمال کرنے کی صلاحیت کو شامل کرنے کا ارادہ رکھتے ہیں جو WebAuth پروٹوکول کو سپورٹ کرتے ہیں۔
1 مارچ کو، ان تمام NPM اکاؤنٹس کو منتقل کرنے کا منصوبہ بنایا گیا ہے جن میں توسیع شدہ اکاؤنٹ کی توثیق کا استعمال کرنے کے لیے دو عنصر کی توثیق فعال نہیں ہے، جس کے لیے npmjs.com میں لاگ ان کرنے کی کوشش کرتے وقت ای میل کے ذریعے بھیجا جانے والا ایک وقتی کوڈ درج کرنے کی ضرورت ہوتی ہے۔ این پی ایم یوٹیلیٹی میں آپریشن۔ جب دو عنصر کی توثیق کو فعال کیا جاتا ہے، توسیع شدہ ای میل کی توثیق کا اطلاق نہیں ہوتا ہے۔ 16 اور 13 فروری کو تمام اکاؤنٹس کے لیے توسیعی تصدیق کا ایک آزمائشی آغاز ایک دن کے لیے کیا جائے گا۔
یاد رہے کہ 2020 میں کی گئی ایک تحقیق کے مطابق، صرف 9.27 فیصد پیکیج مینٹینرز نے رسائی کے تحفظ کے لیے دو فیکٹر تصدیق کا استعمال کیا، اور 13.37 فیصد کیسز میں، نئے اکاؤنٹس کو رجسٹر کرتے وقت، ڈویلپرز نے سمجھوتہ کیے گئے پاس ورڈز کو دوبارہ استعمال کرنے کی کوشش کی جو کہ معلوم ہوا پاس ورڈ لیک. پاس ورڈ سیکیورٹی کے جائزے کے دوران، 12% NPM اکاؤنٹس (13% پیکجز) تک رسائی حاصل کی گئی جس کی وجہ پیشین گوئی اور معمولی پاس ورڈز جیسے "123456" کے استعمال کی وجہ سے ہے۔ سب سے زیادہ مقبول پیکجز میں سے 4 صارف اکاؤنٹس، 20 ایسے اکاؤنٹس جن کے پیکجز ہر ماہ 13 ملین سے زیادہ بار ڈاؤن لوڈ کیے گئے، 50 اکاؤنٹس جن میں 40 ملین سے زیادہ ڈاؤن لوڈز فی ماہ، اور 10 ایسے اکاؤنٹس تھے جن میں ہر ماہ 282 لاکھ سے زیادہ ڈاؤن لوڈز ہوتے ہیں۔ انحصار کے سلسلے کے ساتھ ماڈیولز کی لوڈنگ کو مدنظر رکھتے ہوئے، غیر بھروسہ مند کھاتوں کا سمجھوتہ NPM میں تمام ماڈیولز کے 1% تک کو متاثر کر سکتا ہے۔
ماخذ: opennet.ru