В Git-репозиториях ядра Linux реализована поддержка двухфакторной аутентификации

В Git-репозиториях ядра Linux реализована поддержка двухфакторной аутентификации. До настоящего времени для выполнения коммитов разработчики использовали для аутентификации индивидуальные SSH-ключи. Как  отмечает  IT-директор Linux Foundation, Константин Рябцев, использование индивидуального SSH-ключа более надежно, чем простой пароль, однако даже эта дополнительная защита не обеспечивает настоящей безопасности, поскольку SSH-ключ может разными способами попасть в руки злоумышленников.

Теперь, кроме аутентификации по SSH-ключу, разработчику будет необходимо подтвердить, что совершаемая операция выполняется с его IP-адреса. Для этого необходимо верифицировать свой IP токеном, сгенерированным с использованием программ или устройств, поддерживающих в стандартах OATH (Initiative For Open Authentification) механизмы генерирования одноразовых паролей. Например, можно использовать уникальные USB-ключи Yubikeys.

По словам Рябцева, разработчик Yubikeys, компания Yubico, принял решение снабдить USB-ключами всех разработчиков, у которых есть учетные записи на kernel.org. Тем не менее, это вовсе не означает, что разработчики будут привязаны только к Yubikeys. Вместо использования двухфакторной аутентификации Yubico, Linux Foundation решила выбрать систему, основанную на открытом алгоритме защищенной аутентификации с использованием одноразового пароля HOTP (HMAC-Based One-Time Password Algorithm). Это значит, что разработчики могут выбрать в качестве токена приложение для смартфона, которое использует такой же алгоритм.

Все запросы с неподтвержденных IP-адресов при применении двухфакторной аутентификации блокируются. По умолчанию подтверждение адреса действует 24 часа, однако разработчик может продлить этот срок до 30 дней.