De Linux Foundation, die toeziet op de ontwikkeling van de Linux-kernel, heeft 2-factor authenticatie als beveiligingsmaatregel toegevoegd wat het lastiger voor aanvallers moet maken om met de gegevens van ontwikkelaars in te loggen, zo heeft de stichting in een blogposting laten weten.
Op dit moment is het voor ontwikkelaars die via Kernel.org aan de Linux-kernel werken verplicht om een SSH-sleutel te gebruiken. Dit is veiliger dan alleen het gebruik van een wachtwoord, maar er zijn nog steeds verschillende manieren waarop een aanvaller de SSH-sleutel kan stelen, bijvoorbeeld door de computer van een ontwikkelaar te compromitteren of als er toegang tot slecht beveiligde back-ups wordt verkregen.
Met dit in het achterhoofd heeft de Linux Foundation besloten om de beveiliging via het gebruik van 2-factor authenticatie aan te scherpen. Ontwikkelaars moeten nu bij het inloggen een aanvullende code invoeren die via een ander apparaat is gegenereerd. De Linux Foundation zegt zowel soft als hard tokens te ondersteunen. Beide tokens hebben hun voor- en nadelen. 2-factor authenticatie via een app op een smartphone is toegankelijk voor veel ontwikkelaars, maar het is de vraag in hoeverre de beveiliging van smartphones adequaat is.
Een hard token, een apart apparaatje dat alleen codes genereert, heeft dit probleem niet. Het uitrollen van hard tokens, zeker bij ontwikkelaars die niet allemaal op de fysiek zelfde plek zijn is een uitdaging. Daarnaast kunnen ontwikkelaars de tokens ook verliezen. Op dit moment zijn zowel de "mainline" als stabiele Linux-kernel repositories al beveiligd via 2-factor authenticatie voordat een code-aanpassing wordt geaccepteerd. De Linux Foundation hoopt echter dat andere Linux-ontwikkelaars de beveiligingsmaatregel ook voor hun eigen repositories op Linux.org zullen instellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.