<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
I've always wanted to see someone study this too, like any other risk
quantification. It is dauntingly difficult.<br>
<br>
One of the most important pieces of infosec folklore: when in doubt,
Spaf is probably right.<br>
<br>
On difficulty: we know that people will do stupid things with passwords
if we make them both a) difficult to remember and b) change frequently.
But how do you expect to really quantify all the possible scenarios and
risk factors associated with the known poor practice that inevitably
ensue?<br>
<br>
--ckg<br>
<br>
<br>
H. Morrow Long wrote:
<blockquote cite="mid:7A46B9D4-E4F4-4E62-90BF-F0A6531B760F@yale.edu"
 type="cite">Anyone have a citation for an academic research study on
whether mandatory password expiration and changes increase security?
  <div><br class="khtml-block-placeholder">
  <div>Any stats or numbers quantifying how much and in what ways
requiring password changing increases security?</div>
  <div><br class="khtml-block-placeholder">
  </div>
  <div>I know all of the rationale (and I believe in it ) behind it but
we need #s (and a paper from a peer-reviewed journal):</div>
  <div><span class="Apple-tab-span" style="white-space: pre;"> </span>1.<span
 class="Apple-tab-span" style="white-space: pre;"> </span>It
automatically disables old unused accounts (which should have been
disabled already).</div>
  <div><span class="Apple-tab-span" style="white-space: pre;"> </span>2.<span
 class="Apple-tab-span" style="white-space: pre;"> </span>It limits
the amount of time accounts may be compromised</div>
  <div><span class="Apple-tab-span" style="white-space: pre;"> </span>3.<span
 class="Apple-tab-span" style="white-space: pre;"> </span>Combined
with increased quality checks it improves password strength.</div>
  <div><span class="Apple-tab-span" style="white-space: pre;"> </span>4.<span
 class="Apple-tab-span" style="white-space: pre;"> </span>If users are
using the same password for their University account as on outside web
accounts this can</div>
  <div><span class="Apple-tab-span" style="white-space: pre;"> </span>force
a split/break since they probably won't go sync their passwords on all
of their websites.</div>
  <div><br class="khtml-block-placeholder">
  </div>
  <div>I've looked around and found a number of arguments (pro and con)
on requiring password changing.</div>
  <div>some of the most interesting at entertaining are on "Spaf"s"
blog where he makes a case against&nbsp;&nbsp;it :</div>
  <div><br class="khtml-block-placeholder">
  </div>
  <div><span class="Apple-tab-span" style="white-space: pre;"> </span>&nbsp;<font
 class="Apple-style-span" color="#0020e4"><span class="Apple-style-span"
 style="text-decoration: underline;"><a
 href="http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/"
 moz-do-not-send="true">http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/</a>&nbsp;</span></font></div>
  <div><font class="Apple-style-span" color="#0020e4"><span
 class="Apple-style-span" style="text-decoration: underline;"><br
 class="khtml-block-placeholder">
  </span></font></div>
  <div>
  <div>
  <div><span class="Apple-style-span"
 style="border-collapse: separate; border-spacing: 0px; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-indent: 0px; text-transform: none; orphans: 2; white-space: normal; widows: 2; word-spacing: 0px;">
  <div style="margin: 0px;">I also found an entire site dedicated to
articles and studies/surveys on passwords&nbsp;(<a moz-do-not-send="true"
 href="http://www.passwordresearch.com/"><font class="Apple-style-span"
 color="#0020e4">www.passwordresearch.com</font></a>/)</div>
  <div style="margin: 0px;">as well as a report on passwords at&nbsp;<a
 moz-do-not-send="true"
 href="http://www.csoonline.com/csoresearch/report64.html"><font
 class="Apple-style-span" color="#0020e4">http://www.csoonline.com/csoresearch/report64.html</font></a>
but</div>
  <div style="margin: 0px;">all of the reports and surveys are from
industry rather than academia.</div>
  <div style="margin: 0px;"><br class="khtml-block-placeholder">
  </div>
  <div style="margin: 0px;">- H. Morrow Long, CISSP, CISM, CEH</div>
  <div style="margin: 0px;">&nbsp;&nbsp;University Information Security Officer</div>
  <div style="margin: 0px;">&nbsp;&nbsp;Director -- Information Security Office</div>
  <div style="margin: 0px;">&nbsp;&nbsp;Yale University, ITS</div>
  <div style="margin: 0px;"><br class="khtml-block-placeholder">
  </div>
  <br class="Apple-interchange-newline">
  </span> </div>
  <br>
  </div>
  </div>
  </div>
  <pre wrap="">
<hr size="4" width="90%">
_______________________________________________
unisog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:unisog@lists.dshield.org">unisog@lists.dshield.org</a>
<a class="moz-txt-link-freetext" href="https://lists.sans.org/mailman/listinfo/unisog">https://lists.sans.org/mailman/listinfo/unisog</a>
  </pre>
</blockquote>
<br>
</body>
</html>