slides.rst

   1 Why is Password Reuse a Problem?
   2 --------------------------------
   3 .. image:: password_reuse_1.png
   4 .. image:: password_reuse_2.png
   5 .. image:: password_reuse_3.png
   6
   7 About password strength
   8 -----------------------
   9 How is strength measured?
  10 =========================
  11 'Entropy' `s` depends on the size of the alphabet `a` and the length `n` of the
  12 password:
  13
  14 .. math::
  15         s = log_2(a^n)
  16
  17 * 0889234877724602 -> 53 bits
  18 * ZeZJieatdH -> 60 bits
  19
  20 Why are weak passwords problematic?
  21 ===================================
  22 Weak passwords are trivial to crack in many situations. A password with 53 bits
  23 may be cracked by a criminal organisation in less than an hour.
  24
  25
  26 What about strong passwords?
  27 ============================
  28 They are difficult to remember, a problem especially when you use a different
  29 strong password for every service.  You are also tempted to write them down, or
  30 reuse them.
  31
  32 It's surprisingly difficult for humans to generate good passwords!
  33
  34 Password Managers to the Rescue!
  35 --------------------------------
  36 Password managers allow you to create a unique and strong password for every
  37 service.
  38
  39 Additional benefits:
  40
  41 * Remembers passwords for you
  42 * Generates passwords for you
  43 * Automagically fills in passwords on websites for you, this is important!
  44 * Makes passwords available on all your configured devices
  45 * Can store additional related data, usernames, answers to security questions,
  46   pins for debit/credit cards
  47
  48 Any of the mainstream password manager is equivalent in the above respects.
  49
  50 Can you trust password managers?
  51 --------------------------------
  52 Yes*
  53
  54 How do they keep passwords secure?
  55 ----------------------------------
  56 1. User supplies a password
  57 2. The password is used to derive an encryption key.  This process is designed
  58    to be slow, even on modern hardware
  59 3. The so generated encryption key is used to encrypt/decrypt your passwords
  60
  61 Note that the security of the encryption depends on the strengh of your
  62 password.  With a poor password (50 bits), it would take the entire computing
  63 power of the world less than a month to crack the database. With a decent ish
  64 password (60 bits), it would take on the order of 50 years on average.  With a
  65 better password (70 bits), it would take on the order of 50,000 years.
  66
  67 Generating a Strong Password
  68 ----------------------------
  69 Passphrases are better than passwords:
  70
  71 * Tr0ub4dor&3 -> 28 bits of entropy, hard to remember
  72 * correct horse battery stable -> 44 bits of entropy, easy to remember
  73
  74 Use passphrases everywhere you have to remember.
  75
  76 Generate passphrases with Diceware
  77 ==================================
  78 1. Roll 5, 6 sided, *physical* dice
  79 2. Read the numbers left to right
  80 3. Find the word with that number on a list 6^5 (7776) words
  81 4. Repeat until desired length is reached.  For a password manager, use at
  82    least 7.
  83 5. Write down your passphrase on paper and keep it somewhere secure
  84 6. If you are 100% confident that you will not forget the passphrase, destroy
  85    the paper by burning