<div dir="ltr"><div>I disagree; we should make the argument for the best security.  We can 
still make the recommendation for a stronger security control, but 
should include recommendations for users that are blocked by technical 
limitations.  If we position recommendations in the context of what is 
best, with current limitations, it leaves individuals who are looking at
 that guidance with the impression that there is nothing better that can
 be done.<br><br></div>Also, just did some reading, and adding support for more useful password complexity options seems fairly straightforward according to the documentation on MSDN[1], so part of the platform specific recommendation should include deploying a password filter.<br>
<br><br>[1] - <a href="http://msdn.microsoft.com/en-us/library/windows/desktop/ms721884%28v=vs.85%29.aspx" target="_blank">http://msdn.microsoft.com/en-us/library/windows/desktop/ms721766%28v=vs.85%29.aspx</a><br>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Dec 11, 2013 at 11:14 AM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>We've been discussing this quite a bit lately at work due to the federation of internal identities to cloud-based applications.  Obviously, best practice is to use some sort of multi-factor authentication so that a password alone isn't the only defense.  That said, where time, money, or other issues prevent you from doing more than just "something you know" authentication, I agree that passphrases are probably better, but the devil is in the details.<br>

<br>Take Microsoft Active Directory for example.  Your options for passwords basically boils down to two things: 1) Length and 2) Complexity.  In terms of complexity, it's a check box.  You either have it enabled as a policy or you do not.  When enabled, you can't guarantee random, but at least you can guarantee a larger character set because you have to have at least three of the four of upper, lower, digits, and special characters.  When disabled, however, like you'd probably want to do for passphrases like "correct horse battery staple" (all lower case words plus space character, no upper, no digits), you no longer have the policy in place to prevent stupid passwords like "password" or "passwordpassword" or "password12345678...."  <br>

<br>So, while I agree with what you're saying, that passphrases are easier to remember and ideally just as secure, I wouldn't issue any sort of guidance on that until validation technologies exist to actually enforce secure passphrases just like they already exist to enforce secure passwords.  Make sense?<br>

<br></div>~josh<br></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div><div class="h5">On Wed, Dec 11, 2013 at 12:43 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><div><div><div>We have two references (and probably more - please send if you see more) for password complexity.<br>

<br><a href="https://www.owasp.org/index.php/Password_length_%26_complexity" target="_blank">https://www.owasp.org/index.php/Password_length_%26_complexity</a><br>
<a href="https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Implement_Proper_Password_Strength_Controls" target="_blank">https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Implement_Proper_Password_Strength_Controls</a><br>


<br></div><div>First - I agree passwords alone need to die. It's not sufficient. But that said, passwords will be around until the next solution is ready. So, in the interim we should provide the best guidance on selecting good passwords.<br>


<br><br></div>I no longer agree with the approach of forcing users to select gibberish passwords. I believe that passphrases are much better. They achieve great entropy and are far easier for users to remember. My initial position is we should shift our guidance away from the old complex recommendation to a passphrase recommendation.<br>


<br></div>Agree? Disagree? Interested in your thoughts.<br><br></div>Whatever we do select, we should make sure we cross link so we don't have multiple sources of information that could be out of date.<br><div><div><br>


<br><br clear="all"><div><div><div><div dir="ltr"><br>--<br>Michael Coates<br></div><div>@_mwc<br></div></div>
</div></div></div></div></div>
<br></div></div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>