<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Mar 4, 2020 at 9:58 AM Peter Gutmann <<a href="mailto:pgut001@cs.auckland.ac.nz">pgut001@cs.auckland.ac.nz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">There has been some speculation in the past over why we have so many cargo-<br>
cult password security rules that make no sense in any modern context, the<br>
prime example being the need to change passwords periodically. <br></blockquote><div><br></div><div>I've never heard a good technical explanation for requiring periodic password changes, but wouldn't all the arguments about why it's silly to require frequent password changes apply to requiring certificate renewals?  (and while we're at it, though I don't want to distract from the "why must certificates be periodically renewed" question...why does my driver's license, which proves who I am, not work for getting on an airplane if the license is expired...I can understand if they won't let me fly the plane with an expired driver's license, but I'm just planning on being a passenger.)</div><div><br></div><div>Radia <br></div></div></div>