home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / sci / crypt / 2723 < prev    next >
Encoding:
Internet Message Format  |  1992-07-22  |  2.9 KB
  1. Xref: sparky sci.crypt:2723 comp.security.misc:786
  2. Newsgroups: sci.crypt,comp.security.misc
  3. Path: sparky!uunet!cs.utexas.edu!qt.cs.utexas.edu!yale.edu!nigel.msen.com!hela.iti.org!widener!iggy.GW.Vitalink.COM!nocsun.NOC.Vitalink.COM!indetech!cirrus!dhesi
  4. From: dhesi@cirrus.com (Rahul Dhesi)
  5. Subject: Re: Crypt should be based on MD5 (was: the Crypt 16 discussion)
  6. Message-ID: <1992Jul23.013037.24195@cirrus.com>
  7. Sender: news@cirrus.com
  8. Organization: Cirrus Logic Inc.
  9. References: <2a510a22@babyoil.ftp.com> <709960260@romeo.cs.duke.edu> <62451@cup.portal.com> <16990@ulysses.att.com>
  10. Date: Thu, 23 Jul 1992 01:30:37 GMT
  11. Lines: 50
  12.  
  13. Some general comments about password expiration.   Assumption: the
  14. intruder is trying to guess a password by already having access to the
  15. encrypted form.
  16.  
  17. Suppose T1 is the time it takes for the intruder to determine a password
  18. by some sort of search (guessing, exchaustive, whatever).  Suppose T2 is
  19. the time it takes for an intruder to actually *begin using* a password
  20. once he has guessed it.  So if the intruder acquires an encrypted
  21. password at time t0, he can begin using it at time t0 + T1 + T2.
  22.  
  23. It makes sense to set the password expiration period to be less than T1 +
  24. T2.  Then, by the time the intruder is ready to use the password, it has
  25. been changed.
  26.  
  27. So what are useful values for T1 and T2?
  28.  
  29. My guess is that T2 can be as little as 15 seconds, the time it takes to
  30. log in.
  31.  
  32. For well-chosen Unix passwords T1 is at least decades, if not several
  33. centuries.  We need to expire a password in (some decades + 15 seconds).
  34. It should be reasonable to expire a password in about a year.
  35.  
  36. For *poorly* chosen passwords, T1 might be as short as a day.  In that
  37. case, passwords should expire every few hours.
  38.  
  39. CONCLUSION 1:  If passwords are well-chosen, password expiration adds
  40. nothing to security.  If passwords are poorly-chosen, password expiration
  41. must occur too rapidly to be of much use.
  42.  
  43. However, consider the intruder's point of view.  If the intruder can
  44. immediately get access to the encrypted form a password when it is
  45. changed, then password expiration becomes irrelevant.  Mathematically
  46. speaking, if the intruder is always trying the *current* encrypted
  47. password, his chances of guessing it neither increase nor decrease if the
  48. encrypted password changes every 6 hours (or however often).
  49.  
  50. CONCLUSION 2:  If the intruder has immediate access to changed encrypted
  51. passwords, then password expiration has no beneficial effect at all.
  52.  
  53. FINAL CONCLUSION:  Password expiration sounds good, may impress
  54. customers, and certainly makes a sysadmin feel powerful and in control
  55. (the VAX/VMS syndrome).  But it's far, far better to use a "passwd"
  56. program that doesn't allow poor passwords in the first place.  And if you
  57. do so, shadow password files aren't really needed, though they are still
  58. a good thing.
  59. -- 
  60. Rahul Dhesi <dhesi@cirrus.com>
  61. also: dhesi@rahul.net
  62. "He's metabolically challenged, Jim."
  63.