<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 17 February 2015 at 21:42, Kent Borg <span dir="ltr"><<a href="mailto:kentborg@borg.org" target="_blank">kentborg@borg.org</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
We should quit trying to craft fragile replacements and instead resign ourselves to cleaning up our act: quit reusing password the same passwords on different sites, pick good passwords, write them down our passwords, but otherwise keep them secret*.<br></blockquote></div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_extra">Some of us have been preaching this gospel for years. :-)</div><div class="gmail_extra"><br></div><div class="gmail_extra"><a href="http://www.computerworlduk.com/blogs/unscrewing-security/password-security-forevermore-3570424/">http://www.computerworlduk.com/blogs/unscrewing-security/password-security-forevermore-3570424/<br></a></div><div class="gmail_extra"><br></div><div class="gmail_extra"><i>The problem with password security is that the disbenefits are exactly the same as the benefits:</i></div><div class="gmail_extra"><ol><li><i>passwords are easy to deploy - which means they're used everywhere<br></i></li><li><i>passwords are easy to manage - which means they're managed haphazardly<br></i></li><li><i>passwords don't require identity linkage between silos - but people are generally too lazy to maintain more than one or two identities<br></i></li><li><i>passwords are scalable - but people are generally too lazy to remember more than one or two passwords<br></i></li><li><i>passwords can be varied between silo - but people are generally ... see above<br></i></li><li><i>passwords don't expire - but most of them are guessable in a matter of minutes or hours<br></i></li><li><i>passwords are 'something you know' - and so anyone who knows your password is indistinguishable from you<br></i></li></ol></div><div class="gmail_extra"><i>And since you don't need to pay to get a new password, nor to maintain an old one - the password paradigm is forever going to be a roadblock in the path of those who wish to become rich by issuing certificates or identities that will permit you to transact on the web - or those who desire central control of such a resource. This may be a benefit or disbenefit, depending upon your perspective.</i></div><div class="gmail_extra"><br></div><div class="gmail_extra">See also <a href="http://dropsafe.crypticide.com/muffett-passwords">http://dropsafe.crypticide.com/muffett-passwords</a> which also touches upon the topic of backend hygiene. :-)</div><div class="gmail_extra"><br></div><div class="gmail_extra">  -a</div><div class="gmail_extra"><br></div></div>-- <br><div class="gmail_signature"><a href="http://dropsafe.crypticide.com/aboutalecm" target="_blank">http://dropsafe.crypticide.com/aboutalecm</a><br></div>
</div></div>