<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<!-- Template generated by Exclaimer Mail Disclaimers on 01:45:46 Monday, 4 March 2013 -->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<style type="text/css">P.f758a8b8-08bf-4bab-8d22-45dba9e71175 {
        MARGIN: 0cm 0cm 0pt
}
LI.f758a8b8-08bf-4bab-8d22-45dba9e71175 {
        MARGIN: 0cm 0cm 0pt
}
DIV.f758a8b8-08bf-4bab-8d22-45dba9e71175 {
        MARGIN: 0cm 0cm 0pt
}
TABLE.f758a8b8-08bf-4bab-8d22-45dba9e71175Table {
        MARGIN: 0cm 0cm 0pt
}
DIV.Section1 {
        page: Section1
}
</style>
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"></p>
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">One of my favorite complaints from password verification systems is “Your password is based on a dictionary word.”   I’d always say “Show me what dictionary
 has ANY part of that!”   So far as I could determine their definition of dictionary word was “It has letters and numerals in it”.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">By the way – if you install the “expect” package it comes with a command called “mkpasswd” that will generate random passwords for you.
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> ale-bounces@ale.org [mailto:ale-bounces@ale.org]
<b>On Behalf Of </b>Richard Bronosky<br>
<b>Sent:</b> Monday, March 04, 2013 1:33 PM<br>
<b>To:</b> Michael H. Warfield; Atlanta Linux Enthusiasts<br>
<b>Subject:</b> Re: [ale] evernote security breach<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">I use XKCD passwords <a href="http://xkcd.com/936/">http://xkcd.com/936/</a><o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I've been pleasantly surprised to find most of the services I care about don't complain about my 30+ character passwords. I really wish they would be smarter about entropy measurement rather than just insisting on some stupid rules be satisfied.<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Mon, Mar 4, 2013 at 12:58 PM, Michael H. Warfield <<a href="mailto:mhw@wittsend.com" target="_blank">mhw@wittsend.com</a>> wrote:<o:p></o:p></p>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">On Mon, 2013-03-04 at 12:38 -0500, Ron Frazier (ALE) wrote:<br>
><br>
> "Michael H. Warfield" <<a href="mailto:mhw@WittsEnd.com">mhw@WittsEnd.com</a>> wrote:<br>
><br>
> >On Mon, 2013-03-04 at 09:35 -0500, Ron Frazier (ALE) wrote:<br>
> >> Hi all,<br>
> ><br>
> >> I first saw the link to this article on the dc404 mailing list.  If<br>
> >you're an evernote user, you need to know about this.<br>
> ><br>
> >> <a href="http://www.theverge.com/2013/3/2/4056704/evernote-password-reset" target="_blank">
http://www.theverge.com/2013/3/2/4056704/evernote-password-reset</a><br>
> ><br>
> >If you are an Evernote user, you need to change your password.  The<br>
> >attackers had access to user-id's and password hashes.  The passwords<br>
> >where hashed and salted but simple passwords are still subject to<br>
> >off-line brute force and rainbow table attacks.  Change your password<br>
> >to<br>
> >a good, high complexity, password or passphrase.<br>
> ><br>
<br>
> Do you think a 15 character random alphanumeric generated by Lastpass is good enough?  Or, should you go longer if the site will let you?<o:p></o:p></p>
</div>
<p class="MsoNormal">That's probably reasonable although my personal preference is for pass<br>
phrases.  I take several words (jaberwocky style) and mix in some<br>
numbers and punctuation.  Much easier to remember and type (especially<br>
on a smart phone) and very much easier to remember.<br>
<br>
I run into more dain-bramaged sites that don't allow punctuation than<br>
really limit the length but there are some still out there that haven't<br>
gotten the memo and restrict your length to negligently short lengths.<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal"><br>
> >MOST IMPORTANT!  This is NOT mentioned in the article quoted, but...<br>
> >If<br>
> >you used the same user id (E-Mail address) or similar and the same<br>
> >password on other sites, change all of them and use different passwords<br>
> >on each.  It is not uncommon for someone to use the same password and<br>
> >id<br>
> >on different sites.  It is equally not uncommon for attackers to KNOW<br>
> >THIS and, once they break your password on one site, to use a common,<br>
> >broken, password to attack other sites.  That includes sites with other<br>
> >common variations on your user id.<br>
> ><br>
><br>
> I've known this for some time, but only recently went to the trouble to do it, after Linkedin had their break in.  I'm now using Lastpass, which is a good way to keep track of many different passwords for different sites.  (I know there are other solutions
 too.)  It was a major pain to go to every site I had and go through the password change procedure, especially because, for the ones that were already different, I had to look them up.  However, every one is now different and random.  Every time I generate
 a new password for a new site, or change one on an old site, I let Lastpass handle it.  The password vault is secured by a master password that you don't give out online.  If anyone is interested, I can post my recommended settings for Lastpass preferences.
  You can use the service for free on PC's, but have to pay a modest fee for Premium service to use on mobile devices.  I pay the fee, and am glad to support their continued development.<br>
><br>
> >> Sincerely,<br>
> ><br>
> >> Ron<br>
> ><br>
> >Regards,<br>
> >Mike<br>
> ><br>
> ><br>
> >--<br>
> >Michael H. Warfield (AI4NB) | <a href="tel:%28770%29%20985-6132">(770) 985-6132</a> |  <a href="mailto:mhw@WittsEnd.com">mhw@WittsEnd.com</a><br>
> >/\/\|=mhw=|\/\/          | <a href="tel:%28678%29%20463-0932">(678) 463-0932</a> |<br>
> ><a href="http://www.wittsend.com/mhw/" target="_blank">http://www.wittsend.com/mhw/</a><br>
> >NIC whois: MHW9          | An optimist believes we live in the best of<br>
> >all<br>
> >PGP Key: 0x674627FF        | possible worlds.  A pessimist is sure of<br>
> >it!<br>
> ><br>
> ><br>
> ><br>
><br>
> --<br>
><br>
> Sent from my Android Acer A500 tablet with bluetooth keyboard and K-9 Mail.<br>
> Please excuse my potential brevity if I'm typing on the touch screen.<br>
><br>
> (PS - If you email me and don't get a quick response, you might want to<br>
> call on the phone.  I get about 300 emails per day from alternate energy<br>
> mailing lists and such.  I don't always see new email messages very quickly.)<br>
><br>
> Ron Frazier<br>
> <a href="tel:770-205-9422">770-205-9422</a> (O)   Leave a message.<br>
> linuxdude AT <a href="http://techstarship.com" target="_blank">techstarship.com</a><br>
><br>
><br>
<br>
--<br>
Michael H. Warfield (AI4NB) | <a href="tel:%28770%29%20985-6132">(770) 985-6132</a> |  <a href="mailto:mhw@WittsEnd.com">mhw@WittsEnd.com</a><br>
   /\/\|=mhw=|\/\/          | <a href="tel:%28678%29%20463-0932">(678) 463-0932</a> |  <a href="http://www.wittsend.com/mhw/" target="_blank">http://www.wittsend.com/mhw/</a><br>
   NIC whois: MHW9          | An optimist believes we live in the best of all<br>
 PGP Key: 0x674627FF        | possible worlds.  A pessimist is sure of it!<o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
</p>
</div>
</div>
</div>
<p></p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"> </p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"> </p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"></p>
<div class="WordSection1">
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">_______________________________________________<br>
Ale mailing list<br>
<a href="mailto:Ale@ale.org">Ale@ale.org</a><br>
<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>
See JOBS, ANNOUNCE and SCHOOLS lists at<br>
<a href="http://mail.ale.org/mailman/listinfo" target="_blank">http://mail.ale.org/mailman/listinfo</a><o:p></o:p></p>
</div>
<p class="MsoNormal"><br>
<br clear="all">
<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal">-- <br>
.!# RichardBronosky #!. <o:p></o:p></p>
</div>
</div>
<p></p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"><font face="Arial"><font color="fuchsia"><font style="FONT-FAMILY: Arial; FONT-SIZE: 10pt" size="2"></font></font></font> </p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"> </p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"><font face="Arial"><font color="fuchsia"><font style="FONT-FAMILY: Arial; FONT-SIZE: 10pt" size="2">Athena<font size="1">®</font>, Created for the Cause</font><font size="1">™
</font></font></font></p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"><font size="2" face="Arial">Making a Difference in the Fight Against Breast Cancer</font></p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"><font size="2" face="Arial"></font> </p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"><font size="2" face="Arial"></font> </p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"><font face="Arial"><font size="2"><strong>How and Why I Should Support Bottled Water!<br>
</strong>Do not relinquish your right to choose bottled water as a healthy alternative to beverages that contain sugar, calories, etc. Your support of bottled water will make a difference! Your signatures count! Go to
<a href="http://www.bottledwatermatters.org/luv-bottledwater-iframe/dswaters">http://www.bottledwatermatters.org/luv-bottledwater-iframe/dswaters</a> and sign a petition to support your right to always choose bottled water. Help fight federal and state issues,
 such as bottle deposits (or taxes) and organizations that want to ban the sale of bottled water. Support community curbside recycling programs. Support bottled water as a healthy way to maintain proper hydration. Our goal is 50,000 signatures. Share this petition
 with your friends and family today!</font></font></p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"><font size="2" face="Arial"></font> </p>
<p class="f758a8b8-08bf-4bab-8d22-45dba9e71175"><span style="FONT-FAMILY: Arial; FONT-SIZE: 10pt">---------------------------------<br>
CONFIDENTIALITY NOTICE: This e-mail may contain privileged or confidential information and is for the sole use of the intended recipient(s). If you are not the intended recipient, any disclosure, copying, distribution, or use of the contents of this information
 is prohibited and may be unlawful. If you have received this electronic transmission in error, please reply immediately to the sender that you have received the message in error, and delete it. Thank you.<br>
----------------------------------</span><span style="FONT-FAMILY: 'Courier New'; FONT-SIZE: 9pt"><o:p></o:p></span></p>
<p> </p>
<p></p>
<p></p>
</body>
</html>