O uso de senhas é o método principal utilizado pelo Red Hat Enterprise Linux para verificar a identidade de um usuário. Por isto, a segurança de senhas é tão importante para a proteção do usuário, da estação de trabalho, e da rede.

Por motivos de segurança, o programa de instalação configura o sistema para usar o Algoritmo Message-Digest (MD5) e senhas shadow. É altamente recomendável que você não altere estas configurações.

Se durante a instalação, as senhas MD5 forem desativadas, será usado o formato Data Encryption Standard (DES). Este formato limita as senhas em até oito caracteres alfanuméricos (não permitindo caracteres especiais como pontuação e outros), e oferece um nível de criptografia modesto, de 56 bits.

Se você não selecionar as senhas shadow durante a instalação, todas as senhas serão armazenadas como hashing unidirecional em um arquivo /etc/passwd legível por todos, o que torna o sistema vulnerável a ataques offline de cracking de senhas. Se um intruso puder obter acesso a uma máquina como um usuário comum, ele pode copiar o arquivo /etc/passwd para sua própria máquina e rodar inúmeros programas de cracking neste arquivo. Se houver uma senha desprotegida no arquivo, é apenas uma questão de tempo até que o cracker a descubra.

Senhas shadow eliminam a ameaça deste tipo de ataque, armazenando as senhas em um arquivo /etc/shadow, legível somente pelo usuário root.

Isto força um atacante potencial a tentar quebrar a senha remotamente se autenticando em um serviço de rede na máquina, como SSH ou FTP. Este tipo de ataque de força bruta é bem mais lento e deixa rastros óbvios, já que centenas de tentativas de autenticação mal-sucedidas são registradas nos arquivos do sistema. Claro que, se o cracker começar um ataque no meio da noite em um sistema com senhas fracas, ele pode obter acesso e editar os arquivos de registro para apagar seus rastros antes da luz do dia.

Além das questões de formato e armazenamento, há também a questão de conteúdo. A coisa mais importante que um usuário pode fazer para proteger sua conta contra o cracking de senha é criar uma senha robusta.