English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Лори Фейт Кранор: Какво не е на ред с pa$$w0rd-а ви?

Filmed
Views 1,487,395

Лори Феит Кранор изучава хиляди действащи пароли, за да установи неочакваните, често срещани грешки на потребители и защитени сайтове, излагащи на опасност сигурността. Вероятно ще попитате как така изучава хиляди действащи пароли, без да компрометира сигурността на който и да било потребител. Това само по себе си е история. Секретните данни си струват научаването, особено ако паролата ви е 123456...

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

I am a computerкомпютър scienceнаука and engineeringинженерство
professorпрофесор here at CarnegieКарнеги MellonМелън,
Аз съм преподавател по компютърна наука
и инженерство тук в Карнеги Мелън
00:12
and my researchизследване focusesфокусира on
usableизползваем privacyповерителност and securityсигурност,
и моето изследване е фокусирано върху
прилаганите мерки за неприкосновеност и сигурност.
00:15
and so my friendsприятели like to give me examplesпримери
Мои приятели обичат да ми дават примери
00:20
of theirтехен frustrationsотчаянието with computingизчислителен systemsсистеми,
с обезсърчението си от компютърните системи
00:22
especiallyособено frustrationsотчаянието relatedсроден to
и по-специално обезсърчението от
00:25
unusableнеизползваем privacyповерителност and securityсигурност.
мерките за неприкосновеност
и сигурност.
00:28
So passwordsпароли are something that I hearчувам a lot about.
Паролите са нещо, за което аз чувам много.
00:32
A lot of people are frustratedразочарован with passwordsпароли,
Много хора имат проблеми с тях
00:35
and it's badлошо enoughдостатъчно
и не е много приятна ситуацията,
00:38
when you have to have one really good passwordпарола
когато се налага да имат
наистина добра парола,
00:39
that you can rememberпомня
която да запомнят,
00:42
but nobodyНикой elseоще is going to be ableспособен to guessпредполагам.
но никой да не може да я отгатне.
00:44
But what do you do when you have accountsсметки
Но какво правите, когато имате акаунти
00:47
on a hundredсто differentразличен systemsсистеми
на сто различни системи
00:48
and you're supposedпредполагаем to have a uniqueединствен по рода си passwordпарола
и се очаква да имате уникална парола
00:50
for eachвсеки of these systemsсистеми?
за всяка от тези системи?
00:53
It's toughтруден.
Трудно е.
00:56
At CarnegieКарнеги MellonМелън, they used to make it
В Карнеги Мелън се опитаха да направят
00:58
actuallyвсъщност prettyкрасива easyлесно for us
много лесно
01:00
to rememberпомня our passwordsпароли.
запомнянето на паролите.
01:01
The passwordпарола requirementизискване up throughпрез 2009
Изискването за парола до 2009
01:03
was just that you had to have a passwordпарола
беше просто да имате такава
01:05
with at leastнай-малко one characterхарактер.
от поне един знак.
01:07
PrettyХубава easyлесно. But then they changedпроменен things,
Много лесно. Но го промениха.
01:10
and at the endкрай of 2009, they announcedоповестен
В края на 2009 обявиха
01:12
that we were going to have a newнов policyполитика,
че ще има нова политика,
01:15
and this newнов policyполитика requiredдлъжен
която налага
01:17
passwordsпароли that were at leastнай-малко eightосем charactersзнаци long,
паролите да са от поне 8 знака,
01:19
with an uppercaseглавни letterписмо, lowercaseмалки букви letterписмо,
включващи главни и малки букви,
01:22
a digitцифра, a symbolсимвол,
цифри и символи,
01:24
you couldn'tне можех use the sameедин и същ
characterхарактер more than threeтри timesпъти,
а един знак да не може да се
ползва повече от три пъти
01:25
and it wasn'tне е allowedпозволен to be in a dictionaryречник.
и да не е дума от речника.
01:28
Now, when they implementedизпълнява this newнов policyполитика,
Когато започна прилагането
на новата политика,
01:30
a lot of people, my colleaguesколеги and friendsприятели,
много хора, колеги и приятели
01:32
cameдойде up to me and they said, "WowУау,
дойдоха при мен с думите:
01:35
now that's really unusableнеизползваем.
"Това наистина е неприложимо.
01:36
Why are they doing this to us,
Защо ни го причиняват,
01:38
and why didn't you stop them?"
защо не ги спря?"
01:39
And I said, "Well, you know what?
Отговярях им: "Знаете ли,
01:41
They didn't askпитам me."
никой не ме попита."
01:42
But I got curiousлюбопитен, and I decidedреши to go talk
Но проявих любопитство и отидох да поговоря
01:44
to the people in chargeзареждане of our computerкомпютър systemsсистеми
с отговарящите за компютърните системи,
01:47
and find out what led them to introduceвъведат
където открих кое ги бе накарало да въведат
01:49
this newнов policyполитика,
тази нова политика.
01:52
and they said that the universityуниверситет
Казаха ми че университетът
01:54
had joinedприсъединиха a consortiumконсорциум of universitiesуниверситетите,
се е присъединил към университетски консорциум
01:55
and one of the requirementsизисквания of membershipчленство
в който едно от изискванията за членство
01:58
was that we had to have strongerпо-силен passwordsпароли
било да имаме по-силни пароли,
02:00
that compliedизпълнени with some newнов requirementsизисквания,
което съответствало на някои нови изисквания,
02:03
and these requirementsизисквания were that our passwordsпароли
а те били паролите
02:05
had to have a lot of entropyентропия.
да са с голяма ентропия.
02:07
Now entropyентропия is a complicatedсложен termтермин,
Ентропията е сложен термин,
02:09
but basicallyв основата си it measuresмерки the strengthсила of passwordsпароли.
но най-общо измерва силата на паролите.
02:11
But the thing is, there isn't actuallyвсъщност
Но истината е, че всъщност няма
02:14
a standardстандарт measureмярка of entropyентропия.
стандартна мярка за ентропия.
02:16
Now, the NationalНационалните InstituteИнститут
of StandardsСтандарти and TechnologyТехнология
Националният институт по стандарти и технологии
02:18
has a setкомплект of guidelinesнасоки
има комплект насоки,
02:20
whichкойто have some rulesправилник of thumbпалец
даващи практически указания
02:22
for measuringизмерване entropyентропия,
за измерване на ентропията,
02:24
but they don't have anything too specificспецифичен,
но в тях няма нищо специфично,
02:26
and the reasonпричина they only have rulesправилник of thumbпалец
а причината да имат само
практически указания
02:29
is it turnsзавои out they don't actuallyвсъщност have any good dataданни
е, че всъщност, оказва се,
нямат никаква информация
02:31
on passwordsпароли.
за паролите.
02:34
In factфакт, theirтехен reportдоклад statesсъстояния,
Докладите им казват:
02:36
"UnfortunatelyЗа съжаление, we do not have much dataданни
"За съжаление нямаме много данни
02:38
on the passwordsпароли usersпотребители
chooseизбирам underпри particularособен rulesправилник.
за използваните от потребителите
пароли при определени правила.
02:40
NISTNIST would like to obtainполучи more dataданни
Бихме искали да научим повече
02:43
on the passwordsпароли usersпотребители actuallyвсъщност chooseизбирам,
за паролите, които потребителите избират,
02:45
but systemсистема administratorsадминистраторите
are understandablyразбираемо reluctantнеохотен
но системните администратори,
разбираемо, не са склонни,
02:48
to revealразкрие passwordпарола dataданни to othersдруги."
да разкриват данни за пароли."
02:50
So this is a problemпроблем, but our researchизследване groupгрупа
Това е проблем, но
изследователската ни група
02:53
lookedпогледнах at it as an opportunityвъзможност.
погледна на него, като на възможност.
02:56
We said, "Well, there's a need
for good passwordпарола dataданни.
Казахме си: "Има нужда от
добри данни за пароли.
02:58
Maybe we can collectсъбирам some good passwordпарола dataданни
Може би можем да съберем такива
03:02
and actuallyвсъщност advanceнапредък the stateсъстояние of the artизкуство here.
и постигнем напредък по въпроса."
03:04
So the first thing we did is,
И така, първото нещо,
което направихме, бе
03:06
we got a bagчанта of candyбонбони barsрешетки
да вземем торба с бонбони,
03:08
and we walkedвървеше around campusкампус
да се разходим из кампуса,
03:10
and talkedговорих to studentsстуденти, facultyфакултет and staffперсонал,
и съберем от студенти,
преподаватели и персонал
03:11
and askedпопитах them for informationинформация
информация
03:14
about theirтехен passwordsпароли.
за паролите им.
03:15
Now we didn't say, "Give us your passwordпарола."
Разбира се не казвахме
"Дайте ни паролата си."
03:17
No, we just askedпопитах them about theirтехен passwordпарола.
Не, просто ги питахме за паролите им.
03:20
How long is it? Does it have a digitцифра?
Колко дълга е? Има ли цифра?
03:22
Does it have a symbolсимвол?
Има ли символ?
03:24
And were you annoyedраздразнен at havingкато to createсъздавам
Бяхте ли притеснен,
че трябва да измислите
03:25
a newнов one last weekседмица?
нова миналата седмица?
03:27
So we got resultsрезултати from 470 studentsстуденти,
Получихме резултати от 470 студенти,
03:30
facultyфакултет and staffперсонал,
преподаватели и персонал
03:33
and indeedнаистина we confirmedпотвърди that the newнов policyполитика
и наистина потвърдихме,
че новата политика
03:34
was very annoyingдосаден,
е много досадна,
03:36
but we alsoсъщо foundнамерено that people said
но от думите на хората
установихме също, че
03:38
they feltчувствах more secureзащитено with these newнов passwordsпароли.
те се чувстват по сигурни
с новите пароли.
03:40
We foundнамерено that mostнай-много people knewЗнаех
Повечето хора знаеха,
03:43
they were not supposedпредполагаем to
writeпиша theirтехен passwordпарола down,
че не бива да си записват паролите
03:45
and only 13 percentна сто of them did,
и само 13% от тях не го спазват,
03:47
but disturbinglyсмущаващо, 80 percentна сто of people
но, смущаващо, 80% от хората
03:50
said they were reusingповторно използване theirтехен passwordпарола.
казваха, че ги използват повторно.
03:52
Now, this is actuallyвсъщност more dangerousопасно
Това всъщност е по-опасно,
03:54
than writingписане your passwordпарола down,
отколкото записването,
03:56
because it makesправи you much
more susceptibleподатлив to attackersнападателите.
защото те прави много
по-податлив на хакерите.
03:58
So if you have to, writeпиша your passwordsпароли down,
Така, че ако трябва,
запишете си паролата,
04:01
but don't reuseповторна употреба them.
но не я използвайте повторно.
04:05
We alsoсъщо foundнамерено some interestingинтересен things
Открихме и някои интересни неща
04:06
about the symbolsсимволи people use in passwordsпароли.
за символите,
които хората ползват в пароли.
04:08
So CMUCMU allowsпозволява 32 possibleвъзможен symbolsсимволи,
Университетът позолява
32 възможни символа,
04:11
but as you can see, there's only a smallмалък numberномер
но както виждате, повечето хора
04:14
that mostнай-много people are usingизползвайки,
използват малък брой от тях,
04:16
so we're not actuallyвсъщност gettingполучаване на very much strengthсила
т. е. не получаваме много голяма сила
04:18
from the symbolsсимволи in our passwordsпароли.
от символите в паролите ни.
04:21
So this was a really interestingинтересен studyуча,
Беше наистина интересно проучване,
04:23
and now we had dataданни from 470 people,
имахме данни от 470 човека,
04:26
but in the schemeсхема of things,
но в схемата на нещата
04:29
that's really not very much passwordпарола dataданни,
това не беше достатъчно
04:30
and so we lookedпогледнах around to see
и трябваше да се огледаме, да видим
04:33
where could we find additionalдопълнителни passwordпарола dataданни?
къде можем да намерим
още данни за паролите.
04:34
So it turnsзавои out there are a lot of people
Оказа се, че много хора
04:37
going around stealingкражба passwordsпароли,
се навъртат наоколо да крадат пароли
04:39
and they oftenчесто go and postпост these passwordsпароли
и често ги публикуват
04:41
on the InternetИнтернет.
в интернет.
04:43
So we were ableспособен to get accessдостъп
Ние можахме да получим достъп
04:45
to some of these stolenоткраднат passwordпарола setsкомплекти.
до някои от тези откраднати
комплекти пароли.
04:46
This is still not really idealидеален for researchизследване, thoughвъпреки че,
Те обаче, не ни вършеха
работа за изследването,
04:50
because it's not entirelyизцяло clearясно
защото не беше напълно ясно
04:53
where all of these passwordsпароли cameдойде from,
откъде идват паролите
04:55
or exactlyточно what policiesполитики were in effectефект
или какви точно правила
са били в сила за тях
04:57
when people createdсъздаден these passwordsпароли.
когато хората са ги създавали.
04:59
So we wanted to find some better sourceизточник of dataданни.
Искахме да намерим
по-добър източник на данни.
05:01
So we decidedреши that one thing we could do
Решихме, че това,
което можем да направим
05:05
is we could do a studyуча and have people
е да направим проучване,
карайки хората
05:06
actuallyвсъщност createсъздавам passwordsпароли for our studyуча.
да създават пароли за него.
05:09
So we used a serviceобслужване calledНаречен
AmazonАмазонка MechanicalМеханични TurkТурчин,
И така използвахме услугата
Amazon Mechanical Turk.
05:12
and this is a serviceобслужване where you can postпост
Услуга, при която публикувате
05:15
a smallмалък jobработа onlineна линия that takes a minuteминута,
някаква малка задача онлайн, отнемаща минута,
05:17
a fewмалцина minutesминути, an hourчас,
няколко минути, час,
05:19
and payплащам people, a pennyпени, tenдесет centsцента, a fewмалцина dollarsдолара,
срещу пени, 10 цента, няколко долара. Хората
05:21
to do a taskзадача for you,
свършват тази работа за вас
05:23
and then you payплащам them throughпрез AmazonАмазонка.comCOM.
и вие им плащате през Amazon.com.
05:25
So we paidплатен people about 50 centsцента
Плащахме по 50 цента на човек,
05:27
to createсъздавам a passwordпарола followingследното our rulesправилник
да създаде парола,
следвайки правилата ни
05:29
and answeringтелефонен a surveyизследване,
и да отговори на проучване,
05:32
and then we paidплатен them again to come back
след което им плащахме да се върнат
05:33
two daysдни laterпо късно and logдънер in
след два дни, да влязат
05:36
usingизползвайки theirтехен passwordпарола and answeringтелефонен anotherоще surveyизследване.
с паролата си и да отговорят
на друго проучване.
05:38
So we did this, and we collectedсъбран 5,000 passwordsпароли,
Направихме го, събрахме 5 000 пароли,
05:40
and we gaveдадох people a bunchкуп of differentразличен policiesполитики
давайки на хората куп различни правила
05:45
to createсъздавам passwordsпароли with.
по които да създават пароли.
05:47
So some people had a prettyкрасива easyлесно policyполитика,
Някои получиха много лесно правило,
05:49
we call it BasicОсновни8,
което нарекохме Основни8
05:51
and here the only ruleправило was that your passwordпарола
с единственото изискване паролата ви
05:52
had to have at leastнай-малко eightосем charactersзнаци.
да има поне осем знака.
05:55
Then some people had a much harderпо-трудно policyполитика,
Други хора получиха доста по-трудни правила,
05:58
and this was very similarподобен to the CMUCMU policyполитика,
подобни на университетските:
06:00
that it had to have eightосем charactersзнаци
да са с осем знака,
06:03
includingвключително uppercaseглавни, lowercaseмалки букви, digitцифра, symbolсимвол,
включващи главна, малка, цифра и символ,
06:05
and passминавам a dictionaryречник checkпроверка.
както и да минава проверката в речника.
06:07
And one of the other policiesполитики we triedопитах,
Един друг вариант, който опитахме,
06:09
and there were a wholeцяло bunchкуп more,
а ние имахме много,
06:11
but one of the onesтакива we triedопитах was calledНаречен BasicОсновни16,
но един, който опитахме,
наречен Основни16
06:12
and the only requirementизискване here
беше с единственото изискване
06:14
was that your passwordпарола had
to have at leastнай-малко 16 charactersзнаци.
паролата да има поне 16 знака.
06:17
All right, so now we had 5,000 passwordsпароли,
И така, имахме 5000 пароли
06:20
and so we had much more detailedподробни informationинформация.
и много по-подробна информация.
06:23
Again we see that there's only a smallмалък numberномер
Отново виждаме, че броят на символите
06:26
of symbolsсимволи that people are actuallyвсъщност usingизползвайки
които хората използват в паролите си
06:29
in theirтехен passwordsпароли.
е малък.
06:31
We alsoсъщо wanted to get an ideaидея of how strongсилен
Искахме също да разберем колко силни
06:33
the passwordsпароли were that people were creatingсъздаване на,
са паролите, създавани от хората,
06:35
but as you mayможе recallприпомням си, there isn't a good measureмярка
но вероятно помните,
че няма добър измерител
06:38
of passwordпарола strengthсила.
за това.
06:40
So what we decidedреши to do was to see
Това, което решихме да направим,
бе да видим
06:42
how long it would take to crackцепнатина these passwordsпароли
колко време ще отнеме разбиването им
06:45
usingизползвайки the bestнай-доброто crackingкрекинг toolsинструменти
с най-добрите за целта инструменти,
06:47
that the badлошо guys are usingизползвайки,
които лошите момчета ползват
06:48
or that we could find informationинформация about
или за които можехме да
намерим информация
06:50
in the researchизследване literatureлитература.
в изследователската литература.
06:52
So to give you an ideaидея of how badлошо guys
За да имате представа,
ето как лошите момчета
06:54
go about crackingкрекинг passwordsпароли,
подхождат при разбиването на пароли:
06:56
they will stealкражба a passwordпарола fileдосие
Ще откраднат файл с пароли,
06:59
that will have all of the passwordsпароли
който ги съдържа
07:01
in kindмил of a scrambledбъркани formформа, calledНаречен a hashхеш,
в кодирана форма,
наречена хаш [бъркотия].
07:03
and so what they'llте ще do is they'llте ще make a guessпредполагам
След това ще направят предположение
07:06
as to what a passwordпарола is,
каква е паролата,
07:08
runтичам it throughпрез a hashingхеширане functionфункция,
ще го пуснат през хешираща функция
07:10
and see whetherдали it matchesмачове
и ще видят дали съвпада
07:12
the passwordsпароли they have on
theirтехен stolenоткраднат passwordпарола listсписък.
с паролите в откраднатия файл.
07:14
So a dumbтъп attackerНападателят will try everyвсеки passwordпарола in orderпоръчка.
Тъп хакер би изпробвал всяка парола.
07:18
They'llТе ще startначало with AAAAAAAAAA and moveход on to AAAABAAAAB,
Ще започне с ААААА, ще премине на ААААB
07:21
and this is going to take a really long time
и така това ще отнеме
наистина много време
07:24
before they get any passwordsпароли
преди да се получи някоя парола,
07:27
that people are really likelyвероятно to actuallyвсъщност have.
която хората е наистина
възможно да имат.
07:28
A smartумен attackerНападателят, on the other handръка,
Хитрият хакер, от друга страна,
07:31
does something much more cleverумен.
прави нещо много по-умно.
07:33
They look at the passwordsпароли
Подбира паролите
07:34
that are knownизвестен to be popularпопулярен
от откраднатия комплект,
07:36
from these stolenоткраднат passwordпарола setsкомплекти,
които се знае, че са популярни
07:38
and they guessпредполагам those first.
и започва да изпробва първо тях.
07:40
So they're going to startначало by guessingпознае "passwordпарола,"
Ще се започне с
предположението "парола"
07:41
and then they'llте ще guessпредполагам "I love you," and "monkeyмаймуна,"
след това с "обичам те", "маймуна"
07:43
and "12345678,"
и "12345678",
07:46
because these are the passwordsпароли
защото това са паролите
07:48
that are mostнай-много likelyвероятно for people to have.
които най-вероятно хората имат.
07:50
In factфакт, some of you probablyвероятно have these passwordsпароли.
Някои от вас вероятно имат тези пароли.
07:52
So what we foundнамерено
Това, което открихме
07:57
by runningбягане all of these 5,000 passwordsпароли we collectedсъбран
когато пуснахме всичките
5 000 събрани пароли
07:58
throughпрез these testsтестове to see how strongсилен they were,
през тестове,
за да видим колко са силни,
08:01
we foundнамерено that the long passwordsпароли
беше, че дългите пароли
08:06
were actuallyвсъщност prettyкрасива strongсилен,
са доста силни.
08:08
and the complexкомплекс passwordsпароли were prettyкрасива strongсилен too.
Сложните пароли - също.
08:10
HoweverВъпреки това, when we lookedпогледнах at the surveyизследване dataданни,
Обаче, преглеждайки
данните от проучването
08:13
we saw that people were really frustratedразочарован
видяхме, че хората са
наистина обезсърчени
08:15
by the very complexкомплекс passwordsпароли,
от твърде сложните пароли,
08:18
and the long passwordsпароли were a lot more usableизползваем,
и използваха много повече
дълги пароли,
08:21
and in some casesслучаи, they were actuallyвсъщност
а в някои случаи те бяха
08:23
even strongerпо-силен than the complexкомплекс passwordsпароли.
дори по-силни от сложните.
08:25
So this suggestsподсказва that,
Това подсказва, че
08:27
insteadвместо of tellingказвам people that they need
вместо да се казва на хората, че трябва
08:29
to put all these symbolsсимволи and numbersчисленост
да слагат всички тези символи, цифри
08:30
and crazyлуд things into theirтехен passwordsпароли,
и дивотии в паролите си,
08:32
we mightбиха могли, може be better off just tellingказвам people
може би е по-добре да казваме на хората
08:35
to have long passwordsпароли.
да имат дълги пароли.
08:37
Now here'sето the problemпроблем, thoughвъпреки че:
Ето го проблемът, обаче:
08:39
Some people had long passwordsпароли
Някои хора имаха дълги пароли,
08:41
that actuallyвсъщност weren'tне са били very strongсилен.
които не бяха много силни.
08:43
You can make long passwordsпароли
Може да правите дълги пароли,
08:45
that are still the sortвид of thing
които все още са от типа,
08:47
that an attackerНападателят could easilyлесно guessпредполагам.
който един хакер лесно би познал.
08:49
So we need to do more than
just say long passwordsпароли.
Трябва ни нещо повече
от просто дълги пароли.
08:50
There has to be some additionalдопълнителни requirementsизисквания,
Трябва да има някакви
допълнителни изисквания.
08:54
and some of our ongoingв процес researchизследване is looking at
Някои от продължаващите ни
изследвания търсят
08:56
what additionalдопълнителни requirementsизисквания we should addдобави
какви още изисквания да добавим
08:59
to make for strongerпо-силен passwordsпароли
за да направим така, че силните пароли,
09:01
that alsoсъщо are going to be easyлесно for people
да бъдат лесни
09:03
to rememberпомня and typeТип.
за запомняне и въвеждане.
09:05
AnotherДруг approachподход to gettingполучаване на people to have
Друг подход, да се накарат
хората да имат
09:08
strongerпо-силен passwordsпароли is to use a passwordпарола meterметър.
по-силни пароли, е използването
на паролометър.
09:10
Here are some examplesпримери.
Ето няколко примера.
09:12
You mayможе have seenвидян these on the InternetИнтернет
Сигурно сте ги виждали в интернет
09:14
when you were creatingсъздаване на passwordsпароли.
когато сте създавали пароли.
09:15
We decidedреши to do a studyуча to find out
Решихме чрез проучване, да установим
09:18
whetherдали these passwordпарола metersм actuallyвсъщност work.
дали тези паролометри вършат работа.
09:21
Do they actuallyвсъщност help people
Помагат ли наистина на хората
09:23
have strongerпо-силен passwordsпароли,
да имат по-силни пароли
09:25
and if so, whichкойто onesтакива are better?
и ако да, кои са по-добри?
09:26
So we testedизпитан passwordпарола metersм that were
Тествахме паролометри,
09:28
differentразличен sizesразмери, shapesформи, colorsцветове,
с различен размер, форма, цветове,
09:31
differentразличен wordsдуми nextследващия to them,
различни описания,
09:33
and we even testedизпитан one that was a dancingтанцуване bunnyБъни.
дори един,
представляващ танцуващо зайче.
09:34
As you typeТип a better passwordпарола,
Колкото по-добра е паролата
09:38
the bunnyБъни dancesтанци fasterпо-бързо and fasterпо-бързо.
толкова по-бързо танцува зайчето.
09:39
So this was prettyкрасива funшега.
Беше забавно.
09:42
What we foundнамерено
Това, което установихме,
09:44
was that passwordпарола metersм do work.
е ,че те наистина работят.
09:46
(LaughterСмях)
(Смях)
09:49
MostНай-много of the passwordпарола metersм were actuallyвсъщност effectiveефективен,
Повечето паролометри бяха ефективни,
09:51
and the dancingтанцуване bunnyБъни was very effectiveефективен too,
танцуващото зайче - също,
09:55
but the passwordпарола metersм that were the mostнай-много effectiveефективен
но най-ефективните
09:57
were the onesтакива that madeизработен you work harderпо-трудно
бяха тези, каращи ви да се потрудите здраво
10:00
before they gaveдадох you that thumbsпалците up and said
преди да ви покажат вдигнат палец
10:02
you were doing a good jobработа,
за това, че сте свършили добра работа.
10:04
and in factфакт we foundнамерено that mostнай-много
Фактически, установихме, че повечето
10:06
of the passwordпарола metersм on the InternetИнтернет todayднес
от паролометрите в интернет днес
10:07
are too softмек.
са твърде лековерни.
10:10
They tell you you're doing a good jobработа too earlyрано,
Казват ви, че се справяте
добре твърде рано,
10:10
and if they would just wait a little bitмалко
и ако изчакат мъничко,
10:13
before givingдавайки you that positiveположителен feedbackобратна връзка,
преди да ви дадат положителна
обратна връзка,
10:15
you probablyвероятно would have better passwordsпароли.
вероятно ще имате по-добри пароли.
10:17
Now anotherоще approachподход to better passwordsпароли, perhapsможе би,
Един друг подход за по-добри пароли,
може би,
10:20
is to use passминавам phrasesфрази insteadвместо of passwordsпароли.
е използването на фрази, вместо пароли.
10:24
So this was an xkcdXKCD cartoonкарикатура
from a coupleдвойка of yearsгодини agoпреди,
Един комикс от xkcd.com
от преди няколко години
10:27
and the cartoonistкарикатурист suggestsподсказва
в който авторът му подсказва,
10:30
that we should all use passминавам phrasesфрази,
че всички трябва да използваме фрази
10:32
and if you look at the secondвтори rowред of this cartoonкарикатура,
и ако погледнете втория ред на комикса,
10:34
you can see the cartoonistкарикатурист is suggestingкоето предполага,
може да видите че авторът предполага,
10:37
that the passминавам phraseфраза "correctправилен horseкон batteryбатерия stapleскоба"
че фразата "правилно кон батерия скоба"
10:39
would be a very strongсилен passминавам phraseфраза
би била много силна парола
10:42
and something really easyлесно to rememberпомня.
и нещо много лесно за запомняне.
10:45
He saysказва, in factфакт, you've alreadyвече rememberedспомних it.
Той казва, въщност,
че вие вече сте я запомнили.
10:47
And so we decidedреши to do a researchизследване studyуча
Решихме да направим изследване
10:50
to find out whetherдали this was trueвярно or not.
дали това е вярно или не.
10:52
In factфакт, everybodyвсички who I talk to,
На практика всеки с когото говорих,
10:54
who I mentionспоменавам I'm doing passwordпарола researchизследване,
казвайки, че правя изследване
върху паролите,
10:56
they pointточка out this cartoonкарикатура.
се сещаше за този комикс.
10:58
"Oh, have you seenвидян it? That xkcdXKCD.
"О, виждали ли сте този XKCD:
10:59
CorrectКоригиране на horseкон batteryбатерия stapleскоба."
"правилно кон батерия скоба"?
11:01
So we did the researchизследване studyуча to see
И така, направихме това изследване,
за да видим
11:03
what would actuallyвсъщност happenстава.
какво би се случило.
11:04
So in our studyуча, we used MechanicalМеханични TurkТурчин again,
За него отново използвахме
Mechanical Turk,
11:07
and we had the computerкомпютър pickизбирам the randomслучаен wordsдуми
като накарахме компютъра
да подбере случайни думи
11:10
in the passминавам phraseфраза.
за паролата-фраза.
11:14
Now the reasonпричина we did this
Причината да направим това
11:15
is that humansхората are not very good
е, че хората не са много добри
11:16
at pickingбране randomслучаен wordsдуми.
в избора на случайни думи.
11:18
If we askedпопитах a humanчовек to do it,
Карала съм хора да го правят.
11:19
they would pickизбирам things that were not very randomслучаен.
Те избират думи,
които не са много случайни.
11:21
So we triedопитах a fewмалцина differentразличен conditionsусловия.
Опитахме няколко различни условия.
11:24
In one conditionсъстояние, the computerкомпютър pickedизбран
В единия случай компютърът избра
11:26
from a dictionaryречник of the very commonчесто срещани wordsдуми
от речник с често срещани думи
11:28
in the EnglishАнглийски languageезик,
в английския език,
11:30
and so you'dти можеш get passминавам phrasesфрази like
Така бихте получили фрази като
11:31
"try there threeтри come."
"опитай там три ела".
11:33
And we lookedпогледнах at that, and we said,
Погледнахме и си казахме:
11:35
"Well, that doesn't really seemИзглежда very memorableнезабравим."
"Това не изглежда много запомнящо се."
11:37
So then we triedопитах pickingбране wordsдуми
След това опитахме да вземем думи,
11:40
that cameдойде from specificспецифичен partsчасти of speechреч,
идващи от специфични части на речта,
например
11:42
so how about noun-verb-adjective-nounсъществително-глагол-прилагателно-съществително.
съществително-глагол-прилагателно-
съществително.
11:44
That comesидва up with something
that's sortвид of sentence-likeизречение като.
Това дава нещо, приличащо на изречение.
11:47
So you can get a passминавам phraseфраза like
Така може да се получат фрази като
11:49
"planплан buildsизгражда sure powerмощност"
"план строи сигурна мощност"
11:51
or "endкрай determinesопределя redчервен drugлекарство."
или "край определя червено лекарство".
11:53
And these seemedизглеждаше a little bitмалко more memorableнезабравим,
Това изглеждаше малко по запомнящо се
11:55
and maybe people would like those a little bitмалко better.
и може би хората
биха го харесали повече.
11:58
We wanted to compareсравнение them with passwordsпароли,
Искахме да ги сравним с паролите
12:01
and so we had the computerкомпютър
pickизбирам randomслучаен passwordsпароли,
и накарахме компютъра
да избере случайни пароли.
12:03
and these were niceприятен and shortнисък, but as you can see,
Те бяха хубави и кратки,
но както виждате,
12:07
they don't really look very memorableнезабравим.
не изглеждат много запомнящи се.
12:09
And then we decidedреши to try something calledНаречен
И тогава решихме да опитаме
нещо, наречено
12:11
a pronounceableпроизносима passwordпарола.
произносима парола.
12:13
So here the computerкомпютър picksснимки randomслучаен syllablesсрички
Тук компютърът подбира случайни срички
12:14
and putsпоставя them togetherзаедно
и ги събира
12:17
so you have something sortвид of pronounceableпроизносима,
така че имате нещо произносимо
12:18
like "tufritvitufritvi" and "vadasabivadasabi."
като "туфритви" и "вадасаби".
12:20
That one kindмил of rollsролки off your tongueезик.
Този тип бърборене.
12:23
So these were randomслучаен passwordsпароли that were
Това бяха случайни пароли,
12:25
generatedгенерирана by our computerкомпютър.
генерирани от компютъра ни.
12:27
So what we foundнамерено in this studyуча was that, surprisinglyучудващо,
Това, което установихме с изненада беше,
12:30
passминавам phrasesфрази were not actuallyвсъщност all that good.
че паролите фрази не са толкова добри.
12:33
People were not really better at rememberingспомняне
Хората не ги запомняха по-лесно,
12:37
the passминавам phrasesфрази than these randomслучаен passwordsпароли,
отколкото тези случайни пароли.
12:40
and because the passминавам phrasesфрази are longerповече време,
И тъй като фразите бяха по-дълги,
12:43
they tookвзеха longerповече време to typeТип
отнемаха повече време за изписване
12:45
and people madeизработен more errorsгрешки while typingтипизиране them in.
и хората правеха повече грешки
при писането им.
12:47
So it's not really a clearясно winпечеля for passминавам phrasesфрази.
Т.е. паролите-фрази не са
чисти победители.
12:50
Sorry, all of you xkcdXKCD fansфенове.
Съжалявам, фенове на XKCD.
12:53
On the other handръка, we did find
От друга страна установихме,
12:56
that pronounceableпроизносима passwordsпароли
че произносимите пароли
12:58
workedработил surprisinglyучудващо well,
работят изненадващо добре
13:00
and so we actuallyвсъщност are doing some more researchизследване
и затова правим
допълнително изследване,
13:01
to see if we can make that
approachподход work even better.
за да видим дали можем
да подобрим този подход.
13:04
So one of the problemsпроблеми
Един от проблемите
13:07
with some of the studiesпроучвания that we'veние имаме doneСвършен
при някои от проучванията ни
13:09
is that because they're all doneСвършен
е, че поради използването
13:10
usingизползвайки MechanicalМеханични TurkТурчин,
на Mechanical Turk,
13:12
these are not people'sнародната realреален passwordsпароли.
това не бяха истинските
пароли на хората.
13:14
They're the passwordsпароли that they createdсъздаден
Това бяха пароли създадени от тях
13:15
or the computerкомпютър createdсъздаден for them for our studyуча.
или от компютъра за изследването ни.
13:18
And we wanted to know whetherдали people
Искахме да знаем дали хората
13:20
would actuallyвсъщност behaveдържа се the sameедин и същ way
биха постъпили по същия начин
13:22
with theirтехен realреален passwordsпароли.
с истинските им пароли.
13:24
So we talkedговорих to the informationинформация
securityсигурност officeофис at CarnegieКарнеги MellonМелън
Обърнахме се към бюрото по сигурност
на информацията в Карнеги Мелън
13:26
and askedпопитах them if we could
have everybody'sвсички са realреален passwordsпароли.
с въпрос дали бихме могли да имаме
истинските пароли на всички.
13:30
Not surprisinglyучудващо, they were a little bitмалко reluctantнеохотен
Не е изненада, че те
не проявиха склонност
13:34
to shareдял them with us,
да ги споделят с нас,
13:35
but we were actuallyвсъщност ableспособен to work out
но можахме да изработим
13:37
a systemсистема with them
с тях система,
13:39
where they put all of the realреален passwordsпароли
в която те сложиха
всички истински пароли
13:40
for 25,000 CMUCMU studentsстуденти, facultyфакултет and staffперсонал,
на 25 000 студенти,
преподаватели и персонал
13:42
into a lockedзаключен computerкомпютър in a lockedзаключен roomстая,
в един заключен компютър,
в заключена стая,
13:45
not connectedсвързан to the InternetИнтернет,
без връзка с интернет,
13:47
and they ranзавтече codeкод on it that we wroteнаписах
и пуснаха кода, който бяхме написали
13:49
to analyzeанализирам these passwordsпароли.
за анализ на тези пароли.
13:51
They auditedодит our codeкод.
Те провериха кода
13:53
They ranзавтече the codeкод.
и го изпълниха,
13:54
And so we never actuallyвсъщност saw
така че ние никога не видяхме
13:55
anybody'sнякой е passwordпарола.
чиято и да било парола.
13:57
We got some interestingинтересен resultsрезултати,
Получихме някои интересни резултати.
14:00
and those of you TepperТепър studentsстуденти in the back
Студентите от
[бизнес факултета] Тепер отзад
14:02
will be very interestedзаинтересован in this.
ще бъдат силно заинтригувани от тях.
14:03
So we foundнамерено that the passwordsпароли createdсъздаден
Установихме, че паролите, създадени
14:06
by people affiliatedфилиали with the
schoolучилище of computerкомпютър scienceнаука
от хора, числящи се към
факултета за компютърна наука
14:10
were actuallyвсъщност 1.8 timesпъти strongerпо-силен
са 1.8 пъти по-силни
14:12
than those affiliatedфилиали with the businessбизнес schoolучилище.
от тези, числящи се
към бизнес факултета.
14:14
We have lots of other really interestingинтересен
Получихме и много друга интересна
14:18
demographicдемографски informationинформация as well.
демографска информация.
14:20
The other interestingинтересен thing that we foundнамерено
Друго интересно нещо, което установихме
14:22
is that when we comparedсравнение
the CarnegieКарнеги MellonМелън passwordsпароли
при сравнаване паролите
на Карнеги Мелън
14:24
to the MechanicalМеханични Turk-generatedТурчин, генерирани passwordsпароли,
с генерираните от Mechanical Turk,
14:27
there was actuallyвсъщност a lot of similaritiesприлики,
е, че имаше много прилики,
14:29
and so this helpedпомогна validateпроверка на our researchизследване methodметод
което потвърди
изследователския ни метод
14:31
and showшоу that actuallyвсъщност, collectingсъбиране passwordsпароли
и показа, че събирането на пароли
14:33
usingизползвайки these MechanicalМеханични TurkТурчин studiesпроучвания
с Mechanical Turk
14:36
is actuallyвсъщност a validвалиден way to studyуча passwordsпароли.
е валиден начин за изучаване на пароли.
14:38
So that was good newsНовини.
Това беше добра новина.
14:41
Okay, I want to closeблизо by talkingговорим about
Искам да приключа, разказвайки за
14:43
some insightsпрозрения I gainedпридобит while on sabbaticalотпуск
някои прозрения,
осенили ме през отпуска
14:45
last yearгодина in the CarnegieКарнеги MellonМелън artизкуство schoolучилище.
миналата година
във факултета по изкуства.
14:47
One of the things that I did
Едно от нещата, които направих
14:51
is I madeизработен a numberномер of quiltsКалъфи за матраци,
бяха няколко покривала,
14:52
and I madeизработен this quiltюрган here.
едно от които е това тук,
14:53
It's calledНаречен "SecurityСигурност BlanketОдеяло."
което нарекох "Одеяло на сигурността".
14:55
(LaughterСмях)
(Смях)
14:57
And this quiltюрган has the 1,000
То има 1 000
14:59
mostнай-много frequentчесто срещан passwordsпароли stolenоткраднат
най-често използвани пароли, откраднати
15:02
from the RockYouRockYou websiteуебсайт.
от сайта на RockYou.
15:05
And the sizeразмер of the passwordsпароли is proportionalпропорционален
Размерът на паролите е пропорционален
15:07
to how frequentlyчесто they appearedсе появява
на честотата с която те се появяват
15:09
in the stolenоткраднат datasetнабор данни.
в откраднатия набор от данни.
15:11
And what I did is I createdсъздаден this wordдума cloudоблак,
Това, което направих е
този облак от думи.
15:13
and I wentотидох throughпрез all 1,000 wordsдуми,
Минах през всичките хиляда
15:16
and I categorizedкатегоризирани them into
и ги категоризирах в
15:18
looseхлабав thematicтематични categoriesкатегории.
свободни тематични категории.
15:20
And it was, in some casesслучаи,
В някои случаи
15:22
it was kindмил of difficultтруден to figureфигура out
беше доста трудно да определя
15:24
what categoryкатегория they should be in,
в коя категория трябва да са.
15:26
and then I color-codedс цветен код them.
След това им дадох цветен код.
15:28
So here are some examplesпримери of the difficultyзатруднение.
Ето няколко примера за трудност.
15:30
So "justinДжъстин."
"Джъстин"
15:33
Is that the nameиме of the userпотребител,
Това името на потребителя ли е,
15:34
theirтехен boyfriendгадже, theirтехен sonсин?
на приятеля или на сина?
15:36
Maybe they're a JustinДжъстин BieberБийбър fanфен.
Може би са били фенове на
Джъстин Бийбър.
15:37
Or "princessпринцеса."
Или "принцеса".
15:40
Is that a nicknameпрякор?
Това прозвище ли е?
15:42
Are they DisneyДисни princessпринцеса fansфенове?
Или са фенове на принцесата на Дисни?
15:44
Or maybe that's the nameиме of theirтехен catкотка.
Или може би това е името на котката им.
15:45
"IloveyouILOVEYOU" appearsпоявява се manyмного timesпъти
"Обичам те"се появява много пъти
15:49
in manyмного differentразличен languagesезици.
на много езици.
15:51
There's a lot of love in these passwordsпароли.
Има изобилие от любов в тези пароли.
15:52
If you look carefullyвнимателно, you'llти ще see there's alsoсъщо
Ако гледате внимателно, ще видите и
15:56
some profanityругатни,
някои ругатни,
15:58
but it was really interestingинтересен to me to see
но за мен беше наистина
интересно да видя,
16:00
that there's a lot more love than hateмразя
че има много повече любов,
отколкото омраза
16:02
in these passwordsпароли.
в тези пароли.
16:04
And there are animalsживотни,
Има и животни.
16:06
a lot of animalsживотни,
Много животни.
16:08
and "monkeyмаймуна" is the mostнай-много commonчесто срещани animalживотно
"Маймуна" е най-често срещаното,
16:09
and the 14thтата mostнай-много popularпопулярен passwordпарола overallцялостен.
при това е 14-та най-популярна
парола изобщо.
16:12
And this was really curiousлюбопитен to me,
Беше ми наистина любопитно.
16:15
and I wonderedЧудех се, "Why are monkeysмаймуни so popularпопулярен?"
Чудех се защо маймуните са
толкова популярни.
16:17
And so in our last passwordпарола studyуча,
И така в последното ни
изследване на пароли,
16:20
any time we detectedоткрити somebodyнякой
всеки път, когато откриехме някой,
16:23
creatingсъздаване на a passwordпарола with the wordдума "monkeyмаймуна" in it,
създаващ парола с думата
"маймуна" в нея,
16:25
we askedпопитах them why they had
a monkeyмаймуна in theirтехен passwordпарола.
го питахме защо я слага.
16:28
And what we foundнамерено out --
Това, което установихме -
16:31
we foundнамерено 17 people so farдалече, I think,
засега сме намерили, мисля, 17 души,
16:33
who have the wordдума "monkeyмаймуна" --
които използваха думата "маймуна" -
16:35
We foundнамерено out about a thirdтрета of them said
е, че около една трета от тях
16:36
they have a petдомашен любимец namedна име "monkeyмаймуна"
имат домашен любимец, наричан така
16:38
or a friendприятел whoseкойто nicknameпрякор is "monkeyмаймуна,"
или приятел с прозвището "маймуна".
16:39
and about a thirdтрета of them said
Около една трета казаха,
16:42
that they just like monkeysмаймуни
че просто харесват маймуни
16:43
and monkeysмаймуни are really cuteСладък.
защото са много мили.
16:45
And that guy is really cuteСладък.
Тази тук е наистина сладка.
16:47
So it seemsИзглежда that at the endкрай of the day,
Изглежда, че в края на краищата,
16:50
when we make passwordsпароли,
когато измисляме пароли,
16:54
we eitherедин make something that's really easyлесно
ние или правим нещо лесно
16:55
to typeТип, a commonчесто срещани patternмодел,
за написване, общ модел,
16:57
or things that remindнапомням us of the wordдума passwordпарола
или неща, които ни напомнят
за думата парола
17:00
or the accountсметка that we'veние имаме createdсъздаден the passwordпарола for,
или за акаунта, за който
създаваме паролата
17:03
or whateverкакто и да е.
или нещо такова.
17:06
Or we think about things that make us happyщастлив,
Или мислим за неща,
които ни правят щастливи
17:09
and we createсъздавам our passwordпарола
и създаваме нашите пароли
17:11
basedбазиран on things that make us happyщастлив.
въз основа на тях.
17:13
And while this makesправи typingтипизиране
И докато това прави писането
17:15
and rememberingспомняне your passwordпарола more funшега,
и запомнянето на паролите забавно,
17:18
it alsoсъщо makesправи it a lot easierпо-лесно
също така го прави лесно
17:21
to guessпредполагам your passwordпарола.
за отгатване на паролата ви.
17:23
So I know a lot of these TEDТЕД TalksРазговори
Аз зная, че много от тези TED беседи
17:24
are inspirationalвдъхновяващи
вдъхновяват
17:26
and they make you think about niceприятен, happyщастлив things,
и ви карат да мислите за хубави,
радостни неща,
17:27
but when you're creatingсъздаване на your passwordпарола,
но когато създавате паролата си
17:30
try to think about something elseоще.
опитайте да мислите за нещо друго.
17:32
Thank you.
Благодаря ви.
17:34
(ApplauseАплодисменти)
(Аплодисменти)
17:35
Translated by Peter Petrov
Reviewed by Dani Peteva

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com