O AFAIK PAM precisa receber a senha como texto simples para poder usar vários back-ends, portanto as senhas devem ser enviadas como texto não criptografado ou de maneira reversível e não segura.
Veja também: link
Eu tenho uma instância do MariaDB que está usando o PAM para auth no Active Directory. A autenticação remota com este serviço é segura? Eu executei um rastreio do Wireshark durante o processo de autenticação e as senhas não são enviadas claramente, mas quão segura é a senha com hash?
O AFAIK PAM precisa receber a senha como texto simples para poder usar vários back-ends, portanto as senhas devem ser enviadas como texto não criptografado ou de maneira reversível e não segura.
Veja também: link