<div class="gmail_quote">2012/1/3 Jonathan Katz <span dir="ltr"><<a href="mailto:jkatz@cs.umd.edu">jkatz@cs.umd.edu</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">On Mon, 2 Jan 2012, lodewijk andré de la porte wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
The reason for regular change is very good. It's that the low-intensity<br>
brute forcing of a password requires a certain stretch of time. Put the<br>
change interval low enough and you're safer from them.<br>
<br>
We've had someone talk on-list about a significant amount of failed remote<br>
ssh login attempts. Should he chose not to force user to change their<br>
passwords they wouldn't. And the likelyhood of a successfull login<br>
would improve with the years (given coordination) to somewhere above the<br>
admin's comfort zone.<br>
</blockquote>
<br></div>
I just don't buy this argument; am I missing something?<br>
<br>
Say passwords are chosen uniformly from a space of size N. If you never change your password, then an adversary is guaranteed to guess your password in N attempts, and in expectation guesses your password in N/2 attempts.<br>


<br>
If you change passwords constantly, and an adversary guesses a random password (with replacement) each password-guessing attempt, then in expectation the adversary guesses your password in N attempts. Not much of an advantage.<br>

</blockquote><div><br></div><div>Yes it only doubles the security. I hate admitting I overestimated something. It looks better on paper though, infinite maximum. And it still limits time exposed on breach, which may be useful but likely isn't. Nope. I can't really think of why it'd substantially help. Twice could be good, but a single character would do that too. Ugh.</div>

<div><br></div><div>Time to rage on anyone who stupendously uses password timeouts.</div></div>