<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Great discussion. We at the PHP Security Project and PHP Security Cheat Sheets, have code that checks for patterns in the passwords, and counts it as well as entropy.<div>Patterns are generally defined as alphanumeric patterns or keyboard patterns (qwerty), and also dates and phone numbers.</div><div><br></div><div>Keep in mind that to migrate to passphrases, we would need people to have multiple pass phrases, because a single passphrase would still be the single point of failure (LinkedIn crisis and a bunch of others).</div><div><br></div><div>Also keep in mind that a migration to passphrases, would just migrate rainbow tables and other stuff to passphrases, and its not very hard to build them (instead of a mix of characters, now we have a mix of words).</div><div><br></div><div>Keeping in mind that multiple passphrases are almost impossible to memorize (people’s minds can take 3-5 words, and 3-5 pass phrases overall), one would require a software to manage those pass phrases, It is also much harder to type them in, and many people don’t really feel like they need authentication in many places (for example, when buying from an online store that forces authentication, but the user doesnt really care), so they will ignore it in those situations.</div><div><br></div><div>I personally believe that passwords should be software handled. Solutions such as 1Password, Dashlane and KeePassX. I use them and a lot of my colleagues use them, and we’ve never had a breach. The software generates strong complex passwords for you, you can have it anywhere and its super easy to type. I think a boost to migrate to these is a better alternative.</div><div><br></div><div>Thanks</div><div>-Abbas</div><div><div><div>On Dec 11, 2013, at 2:51 PM, Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr"><div><div>Good feedback.<br><br></div>One comment:<br><br>" I wouldn't issue any sort of guidance on that until validation 
technologies exist to actually enforce secure passphrases just like they
 already exist to enforce secure passwords.  Make sense?"<br></div><div>I disagree here. If we don't promote the right way we'll be waiting around indefinitely. I think we should issue best practice advice and then include a section that states alternative approaches in situations where this configuration is not possible. This way we are thought leaders driving change where possible and providing practical guidance for people with limitations in configuration.<br>
</div></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>--<br>Michael Coates<br>Chair, Global Board<br> OWASP <br>@_mwc<br><br></div></div>
<br><br><div class="gmail_quote">On Wed, Dec 11, 2013 at 11:14 AM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div>We've been discussing this quite a bit lately at work due to the federation of internal identities to cloud-based applications.  Obviously, best practice is to use some sort of multi-factor authentication so that a password alone isn't the only defense.  That said, where time, money, or other issues prevent you from doing more than just "something you know" authentication, I agree that passphrases are probably better, but the devil is in the details.<br>

<br>Take Microsoft Active Directory for example.  Your options for passwords basically boils down to two things: 1) Length and 2) Complexity.  In terms of complexity, it's a check box.  You either have it enabled as a policy or you do not.  When enabled, you can't guarantee random, but at least you can guarantee a larger character set because you have to have at least three of the four of upper, lower, digits, and special characters.  When disabled, however, like you'd probably want to do for passphrases like "correct horse battery staple" (all lower case words plus space character, no upper, no digits), you no longer have the policy in place to prevent stupid passwords like "password" or "passwordpassword" or "password12345678...."  <br>

<br>So, while I agree with what you're saying, that passphrases are easier to remember and ideally just as secure, I wouldn't issue any sort of guidance on that until validation technologies exist to actually enforce secure passphrases just like they already exist to enforce secure passwords.  Make sense?<br>

<br></div>~josh<br></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div><div class="h5">On Wed, Dec 11, 2013 at 12:43 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><div><div><div>We have two references (and probably more - please send if you see more) for password complexity.<br>

<br><a href="https://www.owasp.org/index.php/Password_length_%26_complexity" target="_blank">https://www.owasp.org/index.php/Password_length_%26_complexity</a><br>
<a href="https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Implement_Proper_Password_Strength_Controls" target="_blank">https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Implement_Proper_Password_Strength_Controls</a><br>


<br></div><div>First - I agree passwords alone need to die. It's not sufficient. But that said, passwords will be around until the next solution is ready. So, in the interim we should provide the best guidance on selecting good passwords.<br>


<br><br></div>I no longer agree with the approach of forcing users to select gibberish passwords. I believe that passphrases are much better. They achieve great entropy and are far easier for users to remember. My initial position is we should shift our guidance away from the old complex recommendation to a passphrase recommendation.<br>


<br></div>Agree? Disagree? Interested in your thoughts.<br><br></div>Whatever we do select, we should make sure we cross link so we don't have multiple sources of information that could be out of date.<br><div><br>


<br><br clear="all"><div><div><div dir="ltr"><br>--<br>Michael Coates<br></div><div>@_mwc<br></div></div>
</div></div></div>
<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</blockquote></div><br></div>
_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>https://lists.owasp.org/mailman/listinfo/owasp-leaders<br></blockquote></div><br></div></body></html>