<div dir="ltr">Recent comments by Jerry Leichter and Ray Dillinger about the length of the salt used to<div>hash passwords brings to mind a suggestion made years ago by a colleague, perhaps in jest.</div><div>We were talking about the insanity and inanity of password rules and the difficulty of generating</div><div>good passwords in the presence of arbitrary and site-specific rules for what is a valid password.</div><div><br></div><div>He suggested that instead, any string is valid as a password, as long as it has never been used before</div><div>as a password by anyone.   Aside from the cost of implementing and using a database to enforce this</div><div>rule, it seems to me to be sort of pleasing notion.  It would be best to keep the DB secret, of course, </div><div>just to prevent it, and especially recent entries to it, from becoming fodder for dictionary attacks.</div><div><br></div><div>           Peter Capek</div></div>