home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / sci / crypt / 2752 < prev    next >
Encoding:
Internet Message Format  |  1992-07-27  |  1.6 KB
  1. Xref: sparky sci.crypt:2752 comp.security.misc:826
  2. Path: sparky!uunet!darwin.sura.net!mips!swrinde!elroy.jpl.nasa.gov!jato!dave
  3. From: dave@jato.jpl.nasa.gov (Dave Hayes)
  4. Newsgroups: sci.crypt,comp.security.misc
  5. Subject: Re: Crypt should be based on MD5 (was: the Crypt 16 discussion)
  6. Message-ID: <1992Jul27.172118.13874@jato.jpl.nasa.gov>
  7. Date: 27 Jul 92 17:21:18 GMT
  8. References: <2a510a22@babyoil.ftp.com> <709960260@romeo.cs.duke.edu> <62451@cup.portal.com> <16990@ulysses.att.com> <1992Jul23.013037.24195@cirrus.com>
  9. Reply-To: dave@jato.jpl.nasa.gov
  10. Organization: Jet Propulsion Lab - Pasadena, CA
  11. Lines: 23
  12.  
  13. dhesi@cirrus.com (Rahul Dhesi) writes:
  14.  
  15. >Suppose T1 is the time it takes for the intruder to determine a password
  16. >by some sort of search (guessing, exchaustive, whatever).  
  17. >So what are useful values for T1 and T2?
  18.  
  19. There are other factors that put different values in T1. 
  20.  
  21. If the intruder is local and physically present...he or she may
  22. snoop over your shoulder for the password. Assuming a login once per 
  23. day, the average value of T1 could be on the order of a month. 
  24.  
  25. >CONCLUSION 1:  If passwords are well-chosen, password expiration adds
  26. >nothing to security.  If passwords are poorly-chosen, password expiration
  27. >must occur too rapidly to be of much use.
  28.  
  29. Therefore Conclusion 1 is only valid for the case where the intruder's 
  30. only access is a passwd file. 
  31. -- 
  32. Dave Hayes - Network & Communications Engineering - JPL / NASA - Pasadena CA
  33. dave@elxr.jpl.nasa.gov       dave@jato.jpl.nasa.gov         ...usc!elroy!dxh
  34.  
  35.            If you regret your gift - take it back.
  36.