<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-cite-prefix">On 3/4/20 7:16 AM, Peter Gutmann wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:4762d3eb0785491b8220599f3e59d1c3@uxcn13-ogg-d.UoA.auckland.ac.nz">
      <pre class="moz-quote-pre" wrap="">There has been some speculation in the past over why we have so many cargo-
cult password security rules that make no sense in any modern context, the
prime example being the need to change passwords periodically.  I've found one
possible explanation, the Ware Report, which talks about authentication words
more than passwords, and in a manner in which they resemble military
countersigns rather than what we'd think of today as passwords:
</pre>
    </blockquote>
    <p>I would think that is a big part of why we started down this
      path.</p>
    <p>Why have we persisted? I figured is a combination of:</p>
    <p>- Some guy at the dawn of (computer) time saying "change
      passwords" (and he regrets it to this day, I forget his name),<br>
    </p>
    <p>- Computer people (whether they know it or not) being deeply
      traditional,<br>
    </p>
    <p>- Computer users being deeply superstitious and afraid, and<br>
    </p>
    <p>- Few people willing to foolishly spend personal political
      capital to tilt at conventional wisdom. ("We have been using Best
      Practices here, what kind of practices are <i>you</i>
      proposing?")</p>
    <p><br>
    </p>
    <p>-kb, the Kent who periodically rails against the conventional
      wisdom that ssh keys are better than ssh passwords, because he is
      a fool who insists fools are occasionally right.<br>
    </p>
  </body>
</html>