GitHub ने हाल ही में NPM पारिस्थितिकी तंत्र में कुछ बदलावों का अनावरण किया। उत्पन्न होने वाली सुरक्षा समस्याओं के संबंध में और सबसे हालिया में से एक यह थी कि कुछ हमलावर एनपीएम के साथ पैकेज पर नियंत्रण हासिल करने में कामयाब रहे और अपडेट 2.0.3, 2.0.4, 2.1.1, 2.1.3 और 3.1.3 जारी किए। .XNUMX, जिसमें दुर्भावनापूर्ण परिवर्तन शामिल थे।
इसके संबंध में और भंडारों की जब्ती की बढ़ती घटनाओं के साथ बड़ी परियोजनाओं का और दुर्भावनापूर्ण कोड का प्रचार डेवलपर खातों के समझौते के माध्यम से, GitHub विस्तारित खाता सत्यापन शुरू कर रहा है।
अलग से, 500 सबसे लोकप्रिय एनपीएम पैकेजों के अनुरक्षकों और प्रशासकों के लिए, अनिवार्य दो-कारक प्रमाणीकरण अगले साल की शुरुआत में पेश किया जाएगा।
7 दिसंबर 2021 से 4 जनवरी 2022 तक सभी अनुरक्षक जिनके पास एनपीएम पैकेज प्रकाशित करने का अधिकार है, लेकिन जो लोग दो-कारक प्रमाणीकरण का उपयोग नहीं करते हैं उन्हें विस्तारित खाता सत्यापन का उपयोग करने के लिए स्थानांतरित कर दिया जाएगा. विस्तारित सत्यापन में एक अद्वितीय कोड दर्ज करने की आवश्यकता शामिल होती है जो npmjs.com साइट में प्रवेश करने का प्रयास करते समय या एनपीएम उपयोगिता में एक प्रमाणित ऑपरेशन करने पर ईमेल के माध्यम से भेजा जाता है।
विस्तारित सत्यापन वैकल्पिक दो-कारक प्रमाणीकरण को प्रतिस्थापित नहीं करता है, बल्कि केवल पूरक करता है पहले से उपलब्ध है, जिसके लिए वन-टाइम पासवर्ड (टीओटीपी) सत्यापन की आवश्यकता होती है। विस्तारित ईमेल सत्यापन लागू नहीं होता जब दो-कारक प्रमाणीकरण सक्षम हो। 1 फरवरी, 2022 से, सबसे अधिक निर्भरता वाले 100 सबसे लोकप्रिय एनपीएम पैकेजों के अनिवार्य दो-कारक प्रमाणीकरण की ओर बढ़ने की प्रक्रिया शुरू हो जाएगी।
आज हम एनपीएम रजिस्ट्री में बेहतर लॉगिन सत्यापन पेश कर रहे हैं, और हम 7 दिसंबर से शुरू होने वाले और 4 जनवरी को समाप्त होने वाले अनुरक्षकों के लिए चरणबद्ध रोलआउट शुरू करेंगे। एनपीएम रजिस्ट्रियां जिनके पास प्रकाशित पैकेजों तक पहुंच है और जिनके पास दो-कारक प्रमाणीकरण (2एफए) सक्षम नहीं है, उन्हें एनपीएमजेएस.कॉम वेबसाइट या एनपीएम सीएलआई के माध्यम से प्रमाणित करने पर वन-टाइम पासवर्ड (ओटीपी) के साथ एक ईमेल प्राप्त होगा।
प्रमाणीकरण से पहले उपयोगकर्ता के पासवर्ड के अतिरिक्त इस ईमेल ओटीपी को प्रदान करना आवश्यक होगा। प्रमाणीकरण की यह अतिरिक्त परत सामान्य खाता अधिग्रहण हमलों को रोकने में मदद करती है, जैसे कि क्रेडेंशियल स्टफिंग, जो उपयोगकर्ता के छेड़छाड़ किए गए और पुन: उपयोग किए गए पासवर्ड का उपयोग करते हैं। यह ध्यान देने योग्य है कि उन्नत लॉगिन सत्यापन का उद्देश्य सभी प्रकाशकों के लिए अतिरिक्त बुनियादी सुरक्षा प्रदान करना है। यह 2FA,NIST 800-63B का प्रतिस्थापन नहीं है। हम अनुरक्षकों को 2FA प्रमाणीकरण का विकल्प चुनने के लिए प्रोत्साहित करते हैं। ऐसा करने से, आपको उन्नत लॉगिन सत्यापन करने की आवश्यकता नहीं होगी।
पहले 500 का माइग्रेशन पूरा करने के बाद, परिवर्तन XNUMX सबसे लोकप्रिय एनपीएम पैकेजों में प्रसारित किया जाएगा निर्भरता की संख्या के संदर्भ में.
वन-टाइम पासवर्ड (ऑथी, गूगल ऑथेंटिकेटर, फ्रीओटीपी, आदि) उत्पन्न करने के लिए ऐप्स पर आधारित वर्तमान में उपलब्ध दो-कारक प्रमाणीकरण योजनाओं के अलावा, अप्रैल 2022 में, वे हार्डवेयर कुंजी और बायोमेट्रिक स्कैनर का उपयोग करने की क्षमता जोड़ने की योजना बना रहे हैं जिसके लिए WebAuthn प्रोटोकॉल के लिए समर्थन है, और विभिन्न अतिरिक्त प्रमाणीकरण कारकों को पंजीकृत करने और प्रबंधित करने की क्षमता भी है।
याद रखें कि 2020 में किए गए एक अध्ययन के अनुसार, केवल 9.27% पैकेज प्रबंधक पहुंच की सुरक्षा के लिए दो-कारक प्रमाणीकरण का उपयोग करते हैं, और 13.37% मामलों में, नए खातों को पंजीकृत करते समय, डेवलपर्स ने समझौता किए गए पासवर्ड का पुन: उपयोग करने का प्रयास किया जो ज्ञात पासवर्ड में दिखाई देते हैं। .
पासवर्ड शक्ति परीक्षण के दौरान इस्तेमाल किया गया, एनपीएम पर 12% खातों तक पहुंच बनाई गई (13% पैकेज) "123456" जैसे पूर्वानुमानित और तुच्छ पासवर्ड के उपयोग के कारण। समस्याग्रस्त में 4 सबसे लोकप्रिय पैकेजों में से 20 उपयोगकर्ता खाते थे, 13 खाते जिनके पैकेज प्रति माह 50 मिलियन से अधिक बार डाउनलोड किए गए थे, 40 - प्रति माह 10 मिलियन से अधिक डाउनलोड और 282 प्रति माह 1 मिलियन से अधिक डाउनलोड थे। निर्भरता श्रृंखला के साथ मॉड्यूल के भार को ध्यान में रखते हुए, अविश्वसनीय खातों से समझौता करने से कुल मिलाकर एनपीएम पर सभी मॉड्यूल के 52% तक प्रभावित हो सकता है।
अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप मूल नोट में विवरण देख सकते हैं निम्नलिखित लिंक में