Con shadow >= 4.14.0, el algoritmo de hash de contraseñas por defecto de Arch Linux cambia de SHA512 a yescrypt.

Además, los ajustes de umask ahora se configuran en /etc/login.defs en lugar de /etc/profile.

Esto no debería requerir ninguna intervención manual.

Razones para yescrypt

La función de derivación de clave basada en contraseña (KDF) y el esquema de hash de contraseña yescrypt han sido elegidos debido a su adopción (fácilmente disponible en libxcrypt, que es utilizado por pam) y su mayor resistencia a los intentos de crackear la contraseña sobre SHA512.

Aunque el ganador de la Competición de Password Hashing ha sido argon2, este algoritmo aún más resistente aún no está disponible en libxcrypt (intento uno, intento dos).

Configuración de yescrypt

La configuración de YESCRYPT_COST_FACTOR en /etc/login.defs actualmente no tiene efecto, hasta que pam implemente la lectura de su valor. Si se necesita un YESCRYPT_COST_FACTOR mayor (o menor) que el predeterminado (5), puede establecerse utilizando la opción rounds del módulo pam_unix (es decir, en /etc/pam.d/system-auth).

Lista general de cambios

• se utiliza yescrypt como algoritmo hash de contraseña por defecto, en lugar de SHA512
• pam respeta el ENCRYPT_METHOD elegido en /etc/login.defs y ya no anula el método elegido.
• los cambios en los paquetes filesystem (>= 2023.09.18) y pambase (>= 20230918) garantizan que umask se establezca de forma centralizada en /etc/login.defs en lugar de /etc/profile