<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Nov 21, 2020 at 1:24 AM Osman Kuzucu <<a href="mailto:bizbucaliyiz@hotmail.com">bizbucaliyiz@hotmail.com</a>> wrote:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><font size="2"><span style="font-size:11pt">
<div>An addition to that, I believe that we don't need long/unmanageable passwords for having a good account security. Instead we should enforce additionaly security checks like 2FA or e-mail notice upon signing up on a new device/browser/IP
 address. </div></span></font></div></div></div></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">Those types of check are better than nothing but not really providing very much security and introducing an incredible level of user aggravation. Password authentication is beginning to fail in the same way that email is now failing as a result of countless ad-hoc attempts to mitigate spam. </div></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div><font size="2"><span style="font-size:11pt">
<div>Passwords were a way to authenticate user actions in the past but now we have different options to ease the process. Just like how you call your bank and they ask various security questions before sharing any information with you about
 your account, websites and all apps that require authentication should utilize those secondary authentication methods. Then we won't have any problem in terms of password security.</div></span></font></div></div></div></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">The argument I am making is that we need to design an infrastructure for this express purpose rather than continue to try to cobble together 'good enough' security based on what inevitably turn out to be half-assed guesses as to what security is actually being achieved.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">IP addresses change regularly. Users make use of different browsers on the same machine. SMS is not secure in any shape or form, SS7 hijacking is a trivial technical challenge yet it is depended on, etc. etc.</div><br></div><div><div class="gmail_default" style="font-size:small">Time to do the job right. </div><br></div></div></div>