Password: Impossible
LinkAviram had a post on how he thinks password complexity rules are a bad thing. To a degree, I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more complex you make password requirements, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more likely your users are to try to find some way to subvert that requirement (like Aviram did - change your password a bunch of times so that you can go back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original).
Unfortunately, however, passwords are a core part of application security. Until two-factor systems become convenient for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user and cost-effective for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, password complexity rules are a fact of life. Right now, if a user wants to use two factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're left carrying (or hooking up a webcam to) several RSA tokens, carrying a card in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir wallet, and ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cellphone is always on. Now, I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of using SMS as a two factor verification as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 odds of me losing my phone and my wallet (which has all my passwords) at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time is pretty slim.
So, how I really feel about password requirements is that I do like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being, if all sites used really low-threshold password requirements, it allows users to reuse passwords. So what if an attacker can't brute force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way into your bank account? Do you use that password on some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system? If that site doesn't enforce a lockout or a change policy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n how likely is it that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is going to be able to find out that you use that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r system? Do you use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same identity on multiple systems?
So what is a user to do? For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical user, I honestly don't know. I use a password safe with about a hundred entries in it. That password safe is on an SD/USB device I keep in my wallet. It's encrypted using AES, and a really long passphrase. I'm down to a very small number of passwords that I actually remember and know anymore. But it's a major inconvenience for anybody who's using passwords all day every day on different systems. To really protect your passwords, your safe needs to have a long passphrase and a short lock timeout. And that doesn't mean that attackers can't get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passwords from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clipboard or submitted forms. For an ordinary user, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first response is probably "why bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r?"
Keychain is getting close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of system integration that makes it easy for users to use. However, not everything on Mac uses Keychain. 1Password adds quite a bit of functionality to extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ease of use. But that's still mac only. On Windows, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's KeePass, which has some nice system integration and some additional features (like TAN's) that make it really nice. And since it's open source, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are alternatives for Mac, Linux, and mobile devices.
But I still don't think that gets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach to all users cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way it needs. Remembering to back up my password safe is a pain - I need to back it up at a few locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that I lose my device, and I won't put it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web where it becomes available for anybody else to download and bang on forever until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y unlock it. I would have to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download with a really strong password, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n where am I going to keep that password?
And regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90 day change policy - that is a good thing. Once an account is compromised, it could be months before it's actually used because, particularly with financial accounts (credit cards, online bank accounts, etc.), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to be sold in lots on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open market. The person who compromised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account is highly unlikely to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one to ultimately gain from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account compromise - it's just an asset to be sold to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest bidder.