<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-15">
<META content="MSHTML 6.00.6000.16414" name=GENERATOR></HEAD>
<BODY style="MARGIN: 4px 4px 1px; FONT: 10pt Tahoma">
<DIV>There was a good article in a recent Usenix journal, about the potential effectiveness of difficult passwords over forced changes.&nbsp; I will see if I can find the reference in my office.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Jim Ennis<BR>Associate Director, Computer Services<BR>voice: 407 823-1701<BR>fax: 407 882-9017<BR>jim@mail.ucf.edu<BR><BR>&gt;&gt;&gt; "Dr. Neal Krawetz" &lt;hf@hackerfactor.com&gt; 5/6/2007 10:28 AM &gt;&gt;&gt;<BR>On Sat May&nbsp; 5 11:31:49 2007, H. Morrow Long wrote:<BR>&gt; <BR>&gt; Anyone have a citation for an academic research study on whether&nbsp; <BR>&gt; mandatory password expiration and changes increase security?<BR><BR>Here's a few:<BR><BR><A href="http://www.google.com/patents?id=eEkaAAAAEBAJ&amp;printsec=abstract">http://www.google.com/patents?id=eEkaAAAAEBAJ&amp;printsec=abstract</A><BR>A patent from 1997 on changing teh password periodically.<BR>(Don't laugh.&nbsp; Yes: NEC Corporation was awarded a patent on periodic<BR>password changes even though Unix supported this more than a decade<BR>earlier as prior art.)<BR><BR>[Hayday2003] Hayday, Graham, Counting the cost of forgotten passwords.<BR>ZDNet News, January 14, 2003. Available online at<BR><A href="http://news.zdnet.co.uk/business/employment/0,39020648,2128691,00.htm">http://news.zdnet.co.uk/business/employment/0,39020648,2128691,00.htm</A><BR><BR><A href="http://www.giac.org/certified_professionals/practicals/gsec/3642.php">http://www.giac.org/certified_professionals/practicals/gsec/3642.php</A><BR>SANS GIAC recomments regular password changes (item #6).<BR><BR><A href="http://171.66.121.52/cgi/content/abstract/12/1/84">http://171.66.121.52/cgi/content/abstract/12/1/84</A><BR>Safe Teleradiology: Information Assurance as Project Planning Methodology<BR>Collmann et al. J Am Med Inform Assoc.2005; 12: 84-89<BR>They mention requiring regular password changes.<BR><BR><BR>It's interesting that you are looking for formal research on this:<BR>&nbsp; - I could not find any peer-reviewed studies on this topic.<BR>&nbsp;&nbsp;&nbsp; This does not mean it does not exist.&nbsp; It only means that I<BR>&nbsp;&nbsp;&nbsp; couldn't find it in 5 minutes.<BR><BR>&nbsp; - While there are plenty of people who say that it is (or is not)<BR>&nbsp;&nbsp;&nbsp; more secure, nobody seems to cite any metrics.<BR><BR>Logically speaking, it *may* be more secure depending on the frequency.<BR>Let's choose a simple case: you can choose a password that is a number<BR>between 0 and 9 (10 choices).<BR>&nbsp; - If you constantly change the password, then I have a 1 in 10 chance of<BR>&nbsp;&nbsp;&nbsp; guessing it.<BR>&nbsp; - If you never change it, then eventually I will find the password.<BR>The dependent criteria are (1) the size of the search space and (2) the<BR>speed of the search.<BR><BR>Now, let's look at today's technology.<BR>I usually see John the Ripper crack 50% of passwords in the first hour.<BR>The last 10% usually take weeks or longer (only found by brute force).<BR>If you have a strong password that takes an average of 1 month to crack<BR>then changing it weekly should not significantly change the effectiveness<BR>of the password.&nbsp; However, changing it every 3 months is less effective<BR>since it gives the attacker ample time to identify the password.&nbsp; And<BR>changing it every 6 months is less secure than every 3 months.<BR><BR>If you change your password, then there are three possibilities:<BR>(1) You moved it into the "already searched" range for the attacker.<BR>&nbsp;&nbsp;&nbsp;&nbsp; Thus, the attacker is unlikely to look there twice.<BR>(2) You moved it further away in the search space, so it will take<BR>&nbsp;&nbsp;&nbsp;&nbsp; longer for an attacker to find.<BR>(3) You moved it closer to the attacker's position in the search space.<BR>&nbsp;&nbsp;&nbsp;&nbsp; Thus, it will be found more quickly.<BR>Since you (1) don't know when the attacker started, (2) don't know where<BR>the attacker currently is, and (3) don't know how fast the attacker is<BR>searching, the average case would seem to be: changing from a strong<BR>password to a strong password will not increase security.<BR><BR>However, there are many other factors involved:<BR>&nbsp; - Most systems have multiple login accounts.&nbsp; If any password is<BR>&nbsp;&nbsp;&nbsp; compromised, then the entire system is compromised.&nbsp; The system is<BR>&nbsp;&nbsp;&nbsp; as secure as the weakest password.&nbsp; (In general, a local user account<BR>&nbsp;&nbsp;&nbsp; has much more access than a remote user, and local exploits are easier<BR>&nbsp;&nbsp;&nbsp; and more common than remote exploits.)<BR><BR>&nbsp; - All of this assumes that the attacker has the password file.<BR>&nbsp;&nbsp;&nbsp; Without the password file, a remote-network brute-force attack will<BR>&nbsp;&nbsp;&nbsp; still take forever and be noticed in log files.<BR>&nbsp;&nbsp;&nbsp; The common mitigation step to alert and block after a specific number<BR>&nbsp;&nbsp;&nbsp; of consecutive failures will lower the success rate to virtually zero.<BR>&nbsp;&nbsp;&nbsp; (However, you should actually compute the metric if you're writing<BR>&nbsp;&nbsp;&nbsp; an academic paper.)<BR>&nbsp;&nbsp;&nbsp; By the way: this is a great DoS against remote users.<BR><BR>And let us not forget ATM PIN codes.&nbsp; These are usually 4-7 digits.<BR>They are small, and the search space is trivial to scan in seconds.<BR>However, PINs are effective because a few consecutive failures will block<BR>access.&nbsp; The odds of successfully guessing a 4-digit PIN in 3 tries is<BR>very small:&nbsp; 1/10000 + 1/9999 + 1/9998 = 1 in 3000.0003.&nbsp; You have<BR>a better chance of winning $7 in the Powerball Lottery:<BR>&nbsp; <A href="http://www.coloradolottery.com/games/powerball/payouts.cfm?location=9">http://www.coloradolottery.com/games/powerball/payouts.cfm?location=9</A><BR><BR><BR>&gt; all of the reports and surveys are from industry rather than academia.<BR><BR>That's what I'm seeing, too.<BR>And nearly all reports use case studies instead of computed metrics.<BR><BR>-Neal<BR>--<BR>Neal Krawetz, Ph.D.<BR>Hacker Factor Solutions<BR><A href="http://www.hackerfactor.com/">http://www.hackerfactor.com/</A><BR>Author of "Introduction to Network Security" (Charles River Media, 2006)<BR>and "Hacking Ubuntu" (Wiley, 2007)<BR>_______________________________________________<BR>unisog mailing list<BR>unisog@lists.dshield.org<BR><A href="https://lists.sans.org/mailman/listinfo/unisog">https://lists.sans.org/mailman/listinfo/unisog</A><BR></DIV></BODY></HTML>