Con shadow >= 4.14.0
, el algoritmo de hash de contraseñas por defecto de Arch Linux cambia de SHA512 a yescrypt.
Además, los ajustes de umask ahora se configuran en /etc/login.defs
en lugar de /etc/profile
.
Esto no debería requerir ninguna intervención manual.
Razones para yescrypt
La función de derivación de clave basada en contraseña (KDF) y el esquema de hash de contraseña yescrypt han sido elegidos debido a su adopción (fácilmente disponible en libxcrypt, que es utilizado por pam) y su mayor resistencia a los intentos de crackear la contraseña sobre SHA512.
Aunque el ganador de la Competición de Password Hashing ha sido argon2, este algoritmo aún más resistente aún no está disponible en libxcrypt (intento uno, intento dos).
Configuración de yescrypt
La configuración de YESCRYPT_COST_FACTOR
en /etc/login.defs
actualmente no tiene efecto, hasta que pam implemente la lectura de su valor. Si se necesita un YESCRYPT_COST_FACTOR
mayor (o menor) que el predeterminado (5
), puede establecerse utilizando la opción rounds
del módulo pam_unix (es decir, en /etc/pam.d/system-auth
).
Lista general de cambios
- se utiliza yescrypt como algoritmo hash de contraseña por defecto, en lugar de SHA512
- pam respeta el
ENCRYPT_METHOD
elegido en /etc/login.defs
y ya no anula el método elegido.
- los cambios en los paquetes filesystem (>=
2023.09.18
) y pambase (>= 20230918
) garantizan que umask
se establezca de forma centralizada en /etc/login.defs
en lugar de /etc/profile