<p dir="ltr">If the stored passwords are not strong enough to withstand a brute force attack with known cleartext length, that defeats the purpose of using a password vault in the first place.</p>
<p dir="ltr">It is true that the website says nothing of best practices when using a password vault, but is it really likely that pass will be the first solution a newbie user comes across? I would think a prospective user has either used another password vault before, or has used PGP and understands basic security best practices that way.</p>
<p dir="ltr">/Emil<br>
</p>
<br><div class="gmail_quote"><div dir="ltr">On Thu, 23 Feb 2017, 17:54 Thibault Polge, <<a href="mailto:thibault@thb.lt">thibault@thb.lt</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br class="gmail_msg">
> Not telling you my password length is a form of security through<br class="gmail_msg">
> obscurity.  The strength of the password comes from its length and its<br class="gmail_msg">
> randomness - not from keeping its length secret.<br class="gmail_msg">
<br class="gmail_msg">
I partially agree.  Iff strong passwords are used, knowledge of the size<br class="gmail_msg">
of these passwords is no serious help to an attacker.  *But* otherwise,<br class="gmail_msg">
it may /prove/ that a brute-force attack is feasible, give an estimate<br class="gmail_msg">
of the required effort, and thus help decide if such an attack is worth<br class="gmail_msg">
doing.<br class="gmail_msg">
<br class="gmail_msg">
I think the issue is in fact *not* whether pass hides the password<br class="gmail_msg">
length or not, but whether these intrinsic characteristics are<br class="gmail_msg">
explicitly documented, and they appear not to be.  Not trying to do<br class="gmail_msg">
anything fancy beyond saving/retrieving little blobs probably makes it a<br class="gmail_msg">
better player in Unixland, but the implications of this should, IMHO, be<br class="gmail_msg">
more clearly stated than they actually are.<br class="gmail_msg">
<br class="gmail_msg">
If the source code of the website is available somewhere, I'd be happy<br class="gmail_msg">
to provide a patch (I'm assuming some sort of static generator; if it's<br class="gmail_msg">
written directly in raw HTML, I can propose changes to the HTML itself,<br class="gmail_msg">
of course).<br class="gmail_msg">
<br class="gmail_msg">
Best regards,<br class="gmail_msg">
Thibault<br class="gmail_msg">
_______________________________________________<br class="gmail_msg">
Password-Store mailing list<br class="gmail_msg">
<a href="mailto:Password-Store@lists.zx2c4.com" class="gmail_msg" target="_blank">Password-Store@lists.zx2c4.com</a><br class="gmail_msg">
<a href="https://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.zx2c4.com/mailman/listinfo/password-store</a><br class="gmail_msg">
</blockquote></div>