Cambios en el algoritmo hash de contraseñas por defecto y en la configuración de umask
Cambios en el algoritmo hash de contraseñas por defecto y en la configuración de umask
Con shadow >= 4.14.0, el algoritmo de hash de contraseñas por defecto de Arch Linux cambia de SHA512 a yescrypt.
Además, los ajustes de umask ahora se configuran en /etc/login.defs en lugar de /etc/profile.
Esto no debería requerir ninguna intervención manual.
Razones para yescrypt
La función de derivación de clave basada en contraseña (KDF) y el esquema de hash de contraseña yescrypt han sido elegidos debido a su adopción (fácilmente disponible en libxcrypt, que es utilizado por pam) y su mayor resistencia a los intentos de crackear la contraseña sobre SHA512.
Aunque el ganador de la Competición de Password Hashing ha sido argon2, este algoritmo aún más resistente aún no está disponible en libxcrypt (intento uno, intento dos).
Configuración de yescrypt
La configuración de YESCRYPT_COST_FACTOR en /etc/login.defs actualmente no tiene efecto, hasta que pam implemente la lectura de su valor. Si se necesita un YESCRYPT_COST_FACTOR mayor (o menor) que el predeterminado (5), puede establecerse utilizando la opción rounds del módulo pam_unix (es decir, en /etc/pam.d/system-auth).
Lista general de cambios
- se utiliza yescrypt como algoritmo hash de contraseña por defecto, en lugar de SHA512
- pam respeta el
ENCRYPT_METHODelegido en/etc/login.defsy ya no anula el método elegido. - los cambios en los paquetes filesystem (>=
2023.09.18) y pambase (>=20230918) garantizan queumaskse establezca de forma centralizada en/etc/login.defsen lugar de/etc/profile