<div dir="ltr">Cool paper.  Thanks for the link.  It does a much better job at analyzing the strength of passwords.  It compares the complexity of passwords across demographics and sites.  But it doesn't really deal with the effectiveness of different policies, other than to say that the policies in place from the leaked sites had little difference (no surprise there;)  It doesn't refute the claim that a password policy that only requires longer passwords is more effective.  None of those passwords analyzed had that kind of password policy in place.  <div>
<br></div><div>I think our recommendation for password policies should be: Throw away the existing password policies and require a length of over 12-16 chars.  Simple and more effective. </div><div><div><br></div></div></div>
<div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Dec 13, 2013 at 6:57 PM, Abbas Naderi <span dir="ltr"><<a href="mailto:abbas.naderi@owasp.org" target="_blank">abbas.naderi@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Well this paper says otherwise, and it has analysed 70 million passwords, and won the most effective paper award of its year:<div>
<a href="http://dl.acm.org/citation.cfm?id=2310656.2310721" target="_blank">http://dl.acm.org/citation.cfm?id=2310656.2310721</a></div><div><span class="HOEnZb"><font color="#888888">-A</font></span><div><div class="h5"><br>
<div><div>On Dec 13, 2013, at 11:59 AM, Cam Morris <<a href="mailto:cam.morris@owasp.org" target="_blank">cam.morris@owasp.org</a>> wrote:</div><br><blockquote type="cite"><div dir="ltr">"<span style="font-family:arial,sans-serif;font-size:13px">My initial position is we should shift our guidance away from the old complex recommendation to a passphrase recommendation."</span><div>
<span style="font-family:arial,sans-serif;font-size:13px">- totally agree.  This paper </span><a href="http://dl.acm.org/citation.cfm?id=1979321" target="_blank">http://dl.acm.org/citation.cfm?id=1979321</a> studies the effects of different password policies to measure the difference in resulting password complexity. The only constraint they found that increased complexity was the length.  The rest of password policies had little effect. "Overall, they found that increasing minimum length was more effective than applying content constraints"</div>

<div><br></div><div>As far as two-factor auth goes,  I love my two-factor auth with google and facebook but one of those factors is still a password. We'll still need to provide guidance on how to create them.  Would anyone be shocked if in twenty years we still have passwords?</div>

<div><br></div><div>Also, +1 on having password managers suggested in the guidance.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Dec 13, 2013 at 9:32 AM, Cam Morris <span dir="ltr"><<a href="mailto:cam.morris@owasp.org" target="_blank">cam.morris@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks Matt! I was just about to reply to tout OWASP Passfault ;)  It's still in a "labs" state.  But we're working on it.   I'd love to have help integrating it into active directory, etc.</div>

<div><div>
<div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Dec 11, 2013 at 12:23 PM, Matt Tesauro <span dir="ltr"><<a href="mailto:matt.tesauro@owasp.org" target="_blank">matt.tesauro@owasp.org</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">We should probably link to the OWASP Passfault project as well - once consensus is reached.<div><br></div>


<div>Site: <a href="http://www.passfault.com/" target="_blank">http://www.passfault.com/</a></div><div><br></div><div>
Project Page: <a href="https://www.owasp.org/index.php/OWASP_Passfault" target="_blank">https://www.owasp.org/index.php/OWASP_Passfault</a> </div><div><br></div><div>"When setting a password, Passfault examines the password, looking for 
common patterns.  Passfault than measures the strength of the patterns 
and combinations of patterns.  The end result is a more academic and 
accurate measurement of password strength."</div><div><br></div><div>I generally agree that passphrases are better that short stings of gibberish. </div></div><div class="gmail_extra"><br clear="all"><div>--<br>-- Matt Tesauro<br>



OWASP WTE Project Lead<br><a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br><a href="http://appseclive.org/" target="_blank">http://AppSecLive.org</a> - Community and Download site<div>



OWASP OpenStack Security Project Lead<div><a href="https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project" target="_blank">https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project</a></div></div></div>
<br><br><div class="gmail_quote"><div>On Wed, Dec 11, 2013 at 12:43 PM, Michael Coates <span dir="ltr"><<a href="mailto:michael.coates@owasp.org" target="_blank">michael.coates@owasp.org</a>></span> wrote:<br>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>
<div dir="ltr"><div><div><div>We have two references (and probably more - please send if you see more) for password complexity.<br><br><a href="https://www.owasp.org/index.php/Password_length_%26_complexity" target="_blank">https://www.owasp.org/index.php/Password_length_%26_complexity</a><br>




<a href="https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Implement_Proper_Password_Strength_Controls" target="_blank">https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Implement_Proper_Password_Strength_Controls</a><br>




<br></div><div>First - I agree passwords alone need to die. It's not sufficient. But that said, passwords will be around until the next solution is ready. So, in the interim we should provide the best guidance on selecting good passwords.<br>




<br><br></div>I no longer agree with the approach of forcing users to select gibberish passwords. I believe that passphrases are much better. They achieve great entropy and are far easier for users to remember. My initial position is we should shift our guidance away from the old complex recommendation to a passphrase recommendation.<br>




<br></div>Agree? Disagree? Interested in your thoughts.<br><br></div>Whatever we do select, we should make sure we cross link so we don't have multiple sources of information that could be out of date.<br><div><br>



<br><br clear="all"><div><div><div dir="ltr"><br>--<br>Michael Coates<br></div><div>@_mwc<br></div></div>
</div></div></div>
<br></div><div>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></div></blockquote></div><br></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br></div>
_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</blockquote></div><br></div></div></div></div></blockquote></div><br></div>