home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / sci / crypt / 2724 < prev    next >
Encoding:
Internet Message Format  |  1992-07-23  |  2.0 KB
  1. Xref: sparky sci.crypt:2724 comp.security.misc:787
  2. Newsgroups: sci.crypt,comp.security.misc
  3. Path: sparky!uunet!decwrl!pa.dec.com!nntpd2.cxo.dec.com!nntpd.lkg.dec.com!Nephi.Enet.DEC.Com!coar
  4. From: coar@Nephi.Enet.DEC.Com (Rodent of Unusual Size)
  5. Subject: Re: Crypt should be based on MD5 (was: the Crypt 16 discussion)
  6. Message-ID: <1992Jul23.125640.4682@nntpd.lkg.dec.com>
  7. Summary: Can limit exposure
  8. Keywords: password, expiration, goodness/evility
  9. Sender: usenet@nntpd.lkg.dec.com (USENET News System)
  10. Organisation: Employed by (*NOT* speaker for) DEC, Boxborough, MA, U.S.A.
  11. Organization: Digital Equipment Corp.
  12. Date: Thu, 23 Jul 1992 13:45:20 GMT
  13. Lines: 27
  14.  
  15.  
  16.     Well, having a password expiration can limit exposure under some
  17.     circumstances.  If passwords are fairly well chosen (none of this 91Jan,
  18.     91Feb, 91Mar stuff), and one should happen to be revealed accidentally
  19.     (NOT deduced or decrypted), the account is exposed only until the next
  20.     time the password must be changed.  The actual window of exposure can be
  21.     anywhere from 0 to T (where T is the password lifetime), depending upon
  22.     when the password was disclosed.
  23.  
  24.     I'm not sure of the value of this, but it seemed reasonable to bring it
  25.     up.
  26.  
  27.     Of course, if the lifetime is too long, this window grows.  If it is too
  28.     short, the user will circumvent it by writing the password down in a
  29.     convenient place or otherwise not safeguard it appropriately.  Based upon
  30.     experience, I feel a couple of months is a reasonable value for most
  31.     users.  Your kilometreage may vary..
  32.  
  33.     Practical security is a balancing act, sailing between the Scylla of
  34.     exposure and the Charybdis of user convenience.
  35.  
  36.     #ken    :-)}    Jeratol the Chaotic
  37.  
  38. Coar@Nephi.Enet.DEC.Com     | All opinions herein contained, stated or implied,
  39. Coar@DECUS.Org         | are solely those of the author.  And he's fullovem.
  40. Coar@Eisner.DECUS.Org     | `... it was mine art, ... that made gape the pine 
  41. Massachusetts, USA       | and let thee out.'  - Prospero (_The Tempest_)
  42.