Mais uma novidade sobre o Fedora 35 acaba de chegar. A próxima versão desta distribuição Linux, o Fedora 35 deve usar yescrypt para senhas de usuário. Este recurso acaba de ser adicionado à lista de melhorias planejadas. Assim, a ideia é que o novo Fedora 35 previsto para o final deste ano mude para fazer uso do Yescrypt para hashing de senhas de usuário. Os desenvolvedores do Fedora estão olhando para o uso do Yescrypt como o modo de hashing padrão para novas senhas de usuário dentro /etc/shadow.
Embora o SHA256/SHA512 ainda não tenha sido quebrado como o comum usado hoje para hashing de senha da conta Linux, o Yescrypt aumentaria a segurança. Como explicado no site de projeto Openwall, o Yescrypt, é uma função de derivação de chave baseada em senha (KDF) e esquema de hashing de senha.
Fedora 35 deve usar yescrypt para senhas de usuário
Ele se baseia na cripta de Colin Percival… Goste ou não, a autenticação de senha permanece relevante (inclusive como um dos vários fatores de autenticação), vazamentos de banco de dados de hash de senha acontecem, os vazamentos nem sempre são detectados e totalmente tratados imediatamente, e mesmo uma vez que eles são as mesmas ou senhas semelhantes de muitos usuários reutilizadas em outros lugares permanecem expostas. Para mitigar esses riscos (bem como aqueles presentes em outros cenários em que a derivação de chaves baseadas em senha ou hashing de senha é relevante), foram introduzidos esquemas de hashing de senhas computacionalmente caros (bcrypt, PBKDF2, etc.) e, mais recentemente, também com dificuldades de memória (scrypt, Argon2, etc.) esquemas de hashing de senha. Infelizmente, em alto rendimento de alvo e/ou baixa latência de alvo, seu uso de memória é irracionalmente baixo, até o ponto em que eles não são obviamente melhores do que o bcrypt muito mais antigo (considerando atacantes com hardware pré-existente). Esta é uma desvantagem primária que o yescrypt aborda.
O mais notável para implantações em larga escala é a inicialização e reutilização opcionais do yescrypt de uma grande tabela de pesquisa, tipicamente ocupando pelo menos dezenas de gigabytes de RAM e essencialmente formando uma ROM específica do local. Isso limita o uso de hardware pré-existente dos invasores, como os nódulos botnet. As outras alterações do scrypt de scrypt também retardam as GPUs e, em menor medida, os FPGAs e ASICs, mesmo quando seu uso de memória é baixo e mesmo quando não há ROM, e fornecem botões extras e recursos incorporados.”
Assim, foi apresentada uma proposta de alteração que faria uso do Yescrypt para novo hashing de senha de usuário na distribuição. Além do Fedora, ALT Linux, Debian Testing e Kali Linux estão entre outras distribuições que já fazem uso do Yescrypt. Até agora, o feedback em torno desta mudança para usar o Yescrypt tem sido bastante positivo e mais um passo em frente para melhorar a segurança.
Via Phoronix