Modifications apportées à l’algorithme de hachage de mot de passe par défaut et aux paramètres umask
23 septembre 2023 - FoolEcho
Avec shadow >= 4.14.0, l’algorithme de hachage de mot de passe par défaut d’Arch Linux est passé de SHA512 à yescrypt.
De plus, les paramètres umask sont désormais configurés dans /etc/login.defs au lieu de /etc/profile.
Cela ne devrait nécessiter aucune intervention manuelle.
Raisons pour yescrypt
La fonction de dérivation de clé basée sur un mot de passe (KDF) et le schéma de hachage de mot de passe yescrypt ont été choisis en raison de son intégration (facilement disponible dans libxcrypt, qui est utilisé par pam) et de sa plus grande résilience face aux tentatives de piratage de mot de passe via SHA512.
Bien que le gagnant du concours de hachage de mots de passe ait été argon2, cet algorithme encore plus résilient n’est pas encore disponible dans libxcrypt (première tentative, deuxième tentative).
Configuration de yescrypt
Le paramètre YESCRYPT_COST_FACTOR dans /etc/login.defs est actuellement sans effet, jusqu’à ce que pam implémente la lecture de sa valeur. Si un YESCRYPT_COST_FACTOR supérieur (ou inférieur) à la valeur par défaut (5) est nécessaire, il peut être défini en utilisant l’option rounds du module pam_unix (c’est-à-dire dans /etc/pam.d/system-auth).
Liste générale des modifications
- yescrypt est utilisé comme algorithme de hachage de mot de passe par défaut, au lieu de SHA512
- pam respecte le
ENCRYPT_METHODchoisi dans/etc/login.defset ne remplace plus la méthode choisie - les modifications apportées aux paquets filesystem (>=
2023.09.18) et pambase (>=20230918) garantissent qu’umaskest défini de manière centralisée dans/etc/login.defsau lieu de/etc/profile