<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small">On Wed, Sep 7, 2022 at 4:30 PM Kent Borg <<a href="mailto:kentborg@borg.org">kentborg@borg.org</a>> wrote:<br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 9/7/22 08:20, Phillip Hallam-Baker wrote:<br>
> Folk, what are people's thoughts on the smallest work factor that can <br>
> be considered acceptable today? I am thinking 2^80.<br>
<br>
Are you talking about access passwords or encryption passphrases?<br>
<br>
Because aren't the two completely different? (Tests of a password can be <br>
rate limited, tests of an encryption key cannot.)<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">If rate limits are an acceptable control, there would have never been the need to introduce the stupid special characters in the first place. If Mallet is limited to 5 tries in an hour, Alice could use a simple password with little risk.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Breaking Password1 is really no more difficult than cracking password.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I always capitalize the first letter and add a 1 to the end and I am pretty certain >90% of users do the same. The only people doing different are people who are required to use a special character (Password1!) and the poor sods required to change their password every n days (Password2, Password3, ...)</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div><br></div><div> </div></div></div>