De maatregel is genomen na een inbraak op Kernel.org, waar de broncode van de Linux-kernel staat. Die inbraak vond 3 jaar geleden plaats, waarbij de hackers zorgden dat er OpenSSH-bestanden werden gewijzigd en er malware werd geïnstalleerd in de kernel. Het duurde lang voordat de broncode werd opgeschoond.

Betere beveiliging

Naar aanleiding van de inbraak werd besloten de beveiliging van de kernel te verbeteren. In eerste instantie moesten ontwikkelaars die aan de slag wilden met de code gebruik maken van SSH-sleutels in plaats van wachtwoorden, maar ook die zijn nog vrij gevoelig voor hackers.

Hard en zacht

De Linux Foundation heeft nu gekozen om twee-factor-authenticatie toe te voegen aan de inlog voor ontwikkelaars. Het gaat daarbij om 'harde' inlogmogelijkheden zoals een usb-stick, maar ook om 'zachte' authenticatie zoals een sms'je.

Verplicht uitgerold

De ontwikkeling van de tweestapsverificatie is bijna klaar, zegt de Linux Foundation, en wordt binnenkort verplicht uitgerold onder ontwikkelaars. Het bedrijf YubiKey heeft alvast 100 usb-sticks beschikbaar gesteld voor ontwikkelaars om te gebruiken als inlogmethode.