<div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Apr 5, 2021 at 5:44 PM Jerry Leichter <<a href="mailto:leichter@lrw.com">leichter@lrw.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex" dir="auto">> One suggestion is to keep a space in the password, this would prevent it reaching the other end in username, you can consider a loss of 1 character followed by space, at worst, you will lose one char of your password.<br>
I'm not sure what systems do that.  </blockquote><div dir="auto"><br></div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex" dir="auto"></blockquote><div dir="auto"><br></div><div dir="auto">Add invisible fonts and same on same background/text colors.</div><div dir="auto"><br></div><div dir="auto">The drag and drop is interesting. </div><div dir="auto">The initial login to the computer and lock screen requires a device </div><div dir="auto">And or personal memory drag and drop copy paste is not yet annoption.</div><div dir="auto">Devices get lost, replaced and also fail.  </div><div dir="auto"><br></div><div dir="auto">Authenticator application all but fail as a strategy when someone gets a new phone or when it gets lost. </div><div dir="auto">Nothing scales to the now hundreds of passwords people need to manage. </div><div dir="auto">Company data has an access diagram of administrators, auditors and mangers. </div><div dir="auto">Companies terminate individuals before recovering keys who then are obliged to destroy and forget them, Instantly (per Kafka and Heller). </div><div dir="auto">Company data access tokens on employee owned devices.</div><div dir="auto">Commingling of access via a single yubikey or a person has three keys on their neck each nicely compartmented and segregated: personal, company, family.  Which is confiscated by security? </div><div dir="auto">A local company purchased latest generation iPhones for all staff because their authenticator is only validated and supported on latest hardware and is required “all the time”.  A +$1000 token. </div><div dir="auto">Each account has an authentication access list and there are thousands of accounts and a mix of customer, staff, auditor and external client and contractor access needs. </div><div dir="auto"><br></div><div dir="auto">So user+access_key, roll+key, MAC+key many are ephemeral and also geofenced.</div><div dir="auto">i.e. shift related on and off a clock, interesting with billable time. </div><div dir="auto"> </div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Tinny keyboard.. Mobile ... I am</div>