<div dir="ltr"><div dir="ltr">On Wed, Apr 24, 2019 at 9:10 AM Benjamin Sisco <<a href="mailto:bsisco@justassociates.com" target="_blank">bsisco@justassociates.com</a>> wrote:<br>>  There’s ZERO reason to store or transmit any credentials (login, service, keys, etc.),<div>>  in any location, in an unencrypted fashion regardless of their perceived value or</div><div>>  purpose.  Unless you like risk.</div><div><br></div><div>Risk is threat times vulnerability times impact. No impact, no risk. For example, if the credentials for my grocery store loyalty card are compromised, I do not actually care. It has no impact. Hence failing to encrypt the card number as it transits the store network or sits in their database carries no risk.</div><div><br></div><div>There can be, on the other hand, substantial costs associated with using encryption. Key management infrastructure. Manpower. Business risk: loss of the keys becomes loss of the data. Mistakes yield service outages that impair business operations. Forgot to renew that key? Gotta close the store until the IT guy gets here because the cash registers don't work. These costs tie to the use of encryption regardless of the risk it mitigates. </div><div><br></div><div>I take no position on what risk the comcast wifi passwords issue carries. I'm posting only to point out that an absolutist model which says, "stuff of type X must always be encrypted," is probably not well tuned to the customer's actual security needs. The generally accepted principle is that if you spend more money mitigating the risk than the attributable cost of the risk then you're doing it wrong.</div><div><br></div><div>Regards,</div><div>Bill Herrin</div><div><br>-- <br><div dir="ltr" class="m_1436359714761608350gmail_signature">William Herrin ................ <a href="mailto:herrin@dirtside.com" target="_blank">herrin@dirtside.com</a>  <a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a><br>Dirtside Systems ......... Web: <<a href="http://www.dirtside.com/" target="_blank">http://www.dirtside.com/</a>></div></div></div></div>