<br><br><div class="gmail_quote">On Wed, Apr 4, 2012 at 4:10 PM, Seth David Schoen <span dir="ltr"><<a href="mailto:schoen@loyalty.org">schoen@loyalty.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">Will Sargent writes:<br>
<br>
> I think it's just checking for some minimum entropy and using some of the<br>
> heuristics built into crackers like John the Ripper and l0phtcrack.<br>
><br>
> I wouldn't put too much stock into HOW secure a password is, as computers<br>
> are always getting faster and even good algorithms are vulnerable to GPU<br>
> based crackers these days (I wrote a bit about this in<br>
> <a href="http://tersesystems.com/2012/02/17/failing-with-passwords" target="_blank">http://tersesystems.com/2012/02/17/failing-with-passwords</a>).  It's more<br>
> about showing to people that the passwords they think ARE good are actually<br>
> trivially easy to crack.<br>
<br>
</div>But I think there's a big difference between 9 years and a nonillion<br>
years.<br></blockquote><div><br></div><div>I agree completely. </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I think the material in your presentation/blog post is right and very<br>
useful, but I'm still concerned about people ending up using short<br>
English phrases or short sequences of very common words as their master<br>
passphrases/device passphrases (without key stretching).  Reinhold's<br>
Diceware list literally includes 6⁵=7776 words and a four-word classic<br>
Diceware passphrase is only 51 bits of entropy.  We _know how to build_<br>
affordable machines that can crack that in less than a week.  But this<br>
password strength site is going to tell people that it will survive<br>
many years.<br></blockquote><div><br></div><div>There's a point of diminishing returns for a browser based javascript checker.  I do agree the attempted precision is a bit much.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


Here, I just made a four-word classic Diceware passphrase with 51 bits<br>
of entropy: type curve hurty digit.  But <a href="http://howstrongismypassword.net" target="_blank">howstrongismypassword.net</a> says<br>
my password will take<br>
<br>
About 297 quintillion years<br>
<br>
to crack.  No way!<br>
<br>
Even for a desktop PC, that figure is off by a factor of about 1<br>
quintillion, if the enemy knows the system.  That dwarfs any problem<br>
about neglecting the advance of GPUs or whatever.  (A GPU or some<br>
custom ASICs or anything does not give a speedup factor of a<br>
quintillion...)</blockquote><div><br></div><div>Have you considered writing to the author of the website about this?  I don't know much about diceware, but I do agree that password phrases have their own weaknesses if they're common parlance.</div>

<div><br></div><div>Will. </div></div>