Senhas Ocultas (shadow passwords) aumentam consideravelmente a senha do seu sistema pois as senhas serão armazenadas em um arquivo separado: /etc/shadow para senhas de usuários e /etc/gshadow para senhas de grupos. Estes dois arquivos poderão ser acessados somente pelo usuário root. O armazenamento de senhas no arquivo /etc/passwd e /etc/groups não é seguro, estes arquivos devem ser lidos por todos os usuários porque muitos programas mapeiam a UID do usuário com seu nome e vice versa.

O utilitário shadowconfig é usado para ativar/desativar o suporte a senhas ocultas (de usuários e grupos) em seu sistema. Adicionalmente os utilitários pwconv/grpconv podem ser usados separadamente para ativar o suporte a senhas ocultas de usuários/grupos e pwunconv/grpunconv para desativar este suporte.

ATENÇÃO: Caso você inclua usuários em grupos manualmente no arquivo /etc/passwd, também precisará fazer isto no arquivo /etc/shadow para que não tenha problemas. Esta tarefa é feita automaticamente com o comando adduser usuário grupo. O programa vipw e vigr também podem ser usados com a opção -s para editar os arquivos /etc/shadow e /etc/gshadow respectivamente.

O sistema de criptografia usado pelo SHA512 é mais seguro que o SHA256, e este é mais seguro que o MD5. Na escala de algoritmos mais seguros para o menos seguro, seguido da respectiva forma de identificar qual é qual no /etc/shadow temos o seguintes:

O Salt de uma senha pode ter até 16 caracteres, e Encriptacao é a senha criptografada.

Para gerar uma senha com um algoritmo específico, utilize: mkpasswd --method=sha512 --salt=abacabbXYZ SENHA

Caso utilize senhas SHA512 em um sistema com PAM, inclua a palavra SHA5125 na linha de configuração do método de autenticação password do módulo pam_unix.so:

password required pam_unix.so sha512