English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Co je s vaším he$lem?

Filmed
Views 1,487,395

Lorrie Faith Cranor se zabývala tisíci skutečnými hesly na to, aby odhalila překvapující a velmi častou chybu, kterou uživatelé — a zabezpečené stránky — ohrožují svoji bezpečnost. A jak, ptáte se, se mohla dostat k tisícům opravdových hesel, aniž by ohrozila zabezpečení dalších uživatelů? To je příběh sám o sobě. Je to tajná informace, kterou je radno znáti, zvláště pokud je vaše heslo 123456.

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

I am a computer science and engineering
professor here at Carnegie Mellon,
Jsem profesorkou informatiky a inženýrství,
tady na Carnegie Mellon,
00:12
and my research focuses on
usable privacy and security,
a můj výzkum se zaměřuje na
ochranu a zabezpečení osobních údajů,
00:15
and so my friends like to give me examples
a tak mi mí přátelé rádi říkají
00:20
of their frustrations with computing systems,
o svých potížích s informačními systémy,
00:22
especially frustrations related to
jde především o obavy souvisejícími
00:25
unusable privacy and security.
s nepoužitelnou ochranou osobních údajů.
00:28
So passwords are something that I hear a lot about.
Hesla jsou něco, o čem slýchávám hodně.
00:32
A lot of people are frustrated with passwords,
Hodně lidí je frustrováno hesly,
00:35
and it's bad enough
a je dost špatné,
00:38
when you have to have one really good password
když máte mít jedno opravdu dobré heslo,
00:39
that you can remember
které si jste schopni pamatovat,
00:42
but nobody else is going to be able to guess.
ale nikdo jiný ho nebude schopen uhodnout.
00:44
But what do you do when you have accounts
Ale co uděláte, když máte účty
00:47
on a hundred different systems
na milionech různých systémech
00:48
and you're supposed to have a unique password
a měli byste mít jedinečné heslo
00:50
for each of these systems?
pro každý z těchto systémů?
00:53
It's tough.
Je to těžké.
00:56
At Carnegie Mellon, they used to make it
V Carnegie Mellon pro nás bývávalo
00:58
actually pretty easy for us
zapamatování hesla
01:00
to remember our passwords.
vlastně docela jednoduché.
01:01
The password requirement up through 2009
Požadavkem na heslo do roku 2009
01:03
was just that you had to have a password
bylo pouze mít heslo
01:05
with at least one character.
s alespoň jedním znakem.
01:07
Pretty easy. But then they changed things,
Docela jednoduché.
Ale pak se věci změnili
01:10
and at the end of 2009, they announced
a na konci roku 2009 oznámili,
01:12
that we were going to have a new policy,
že se chystají mít novou zásadu,
01:15
and this new policy required
a tato nová zásada požadovala
01:17
passwords that were at least eight characters long,
hesla, která byla dlouhá alespoň 8 znaků,
01:19
with an uppercase letter, lowercase letter,
s velkým písmenem, malým písmenem,
01:22
a digit, a symbol,
číslovkou, symbolem,
01:24
you couldn't use the same
character more than three times,
nemohli jste použít
stejný znak více než třikrát,
01:25
and it wasn't allowed to be in a dictionary.
a nebylo povoleno heslo ze slovníku.
01:28
Now, when they implemented this new policy,
Nyní když zavedli tuto novou zásadu,
01:30
a lot of people, my colleagues and friends,
hodně lidí, mých kolegů a přátel,
01:32
came up to me and they said, "Wow,
přišli za mnou a říkali: "Wow,
01:35
now that's really unusable.
teď je to opravdu nepoužitelné.
01:36
Why are they doing this to us,
Proč nám to dělají
01:38
and why didn't you stop them?"
a proč jsi je nezastavila?"
01:39
And I said, "Well, you know what?
A já jsem řekla: "No, víte co?
01:41
They didn't ask me."
Oni se mě nezeptali."
01:42
But I got curious, and I decided to go talk
Ale začalo mne to zajímat
a rozhodla jsem se jít promluvit
01:44
to the people in charge of our computer systems
s lidmi ve vedení naší počítačové sítě,
01:47
and find out what led them to introduce
a zjistit, co je vedlo k zavedení
01:49
this new policy,
této nové politiky,
01:52
and they said that the university
a oni řekli, že se univerzita
01:54
had joined a consortium of universities,
připojila ke spolku univerzit
01:55
and one of the requirements of membership
a jedním z požadavků na členství
01:58
was that we had to have stronger passwords
bylo, že musíme mít silnější heslo,
02:00
that complied with some new requirements,
které splňuje některé nové podmínky,
02:03
and these requirements were that our passwords
a těmito podmínkami bylo,
že naše hesla
02:05
had to have a lot of entropy.
musí obsahovat hodně entropie.
02:07
Now entropy is a complicated term,
Entropie je docela složitý termín,
02:09
but basically it measures the strength of passwords.
ale v podstatě jde o měření síly hesel.
02:11
But the thing is, there isn't actually
Ale jde o to, že vlastně není
02:14
a standard measure of entropy.
žádné standardní měřítko entropie.
02:16
Now, the National Institute
of Standards and Technology
Národní úřad pro normalizaci a měření (UNM)
02:18
has a set of guidelines
má směrnice,
02:20
which have some rules of thumb
které mají určitá pravidla
02:22
for measuring entropy,
pro měření entropie,
02:24
but they don't have anything too specific,
ale nemají nic příliš specifického,
02:26
and the reason they only have rules of thumb
a důvod, proč mají pravidla jen tak od oka
02:29
is it turns out they don't actually have any good data
je, že oni vlastně nemají žádná dobrá data
02:31
on passwords.
týkající se hesel.
02:34
In fact, their report states,
Ve skutečnosti jejich zpráva uvádí:
02:36
"Unfortunately, we do not have much data
"Bohužel, nemáme příliš dat týkající se hesel,
02:38
on the passwords users
choose under particular rules.
která si uživatelé vybírají za určitých podmínek.
02:40
NIST would like to obtain more data
UNM by rád získal více dat
02:43
on the passwords users actually choose,
ohledně hesel, která si uživatelé vybírají,
02:45
but system administrators
are understandably reluctant
nicméně systémoví administrátoři
se pochopitelně zdráhají
02:48
to reveal password data to others."
odhalit hesla ostatním."
02:50
So this is a problem, but our research group
Tohle je problém,
ale naše výzkumná skupina
02:53
looked at it as an opportunity.
to viděla jako příležitost.
02:56
We said, "Well, there's a need
for good password data.
Řekli jsme: "No, je tady potřeba
získat data ohledně hesel.
02:58
Maybe we can collect some good password data
Možná budeme moci sesbírat informace k heslům
03:02
and actually advance the state of the art here.
a vlastně dopomoci dobrému stavu věcí.
03:04
So the first thing we did is,
Takže první věc, kterou jsme udělali,
03:06
we got a bag of candy bars
vzali jsme tašku sladkých tyčinek,
03:08
and we walked around campus
a chodili jsme po kampusu
03:10
and talked to students, faculty and staff,
a mluvili se studenty, učiteli
a zaměstnanci,
03:11
and asked them for information
a ptali se jich na informace
03:14
about their passwords.
ohledně jejich hesel.
03:15
Now we didn't say, "Give us your password."
Neříkali jsme: "Dej nám svoje heslo."
03:17
No, we just asked them about their password.
Ne, my jsme se jen ptali na jejich hesla.
03:20
How long is it? Does it have a digit?
Jak je dlouhé? Obsahuje číslovku?
03:22
Does it have a symbol?
Obsahuje symbol?
03:24
And were you annoyed at having to create
A obtěžovalo vás vytvořit si
03:25
a new one last week?
nové heslo minulý týden?
03:27
So we got results from 470 students,
Tak jsme získali výsledky od 470 studentů,
03:30
faculty and staff,
učitelů a zaměstnanců,
03:33
and indeed we confirmed that the new policy
a opravdu jsme potvrdili, že nová politika
03:34
was very annoying,
byla velmi otravná,
03:36
but we also found that people said
ale také jsme zjistili, že lidé říkali,
03:38
they felt more secure with these new passwords.
že se cítili více bezpečně
s těmito novými hesly.
03:40
We found that most people knew
Zjistili jsme, že většina lidí věděla,
03:43
they were not supposed to
write their password down,
že by si neměli svoje heslo zapsat
03:45
and only 13 percent of them did,
a pouze 13 procent z nich to udělalo,
03:47
but disturbingly, 80 percent of people
ale znepokojivě, 80 procent lidí
03:50
said they were reusing their password.
řeklo, že opětovně používají svá hesla.
03:52
Now, this is actually more dangerous
A to je vlastně více nebezpečné
03:54
than writing your password down,
než zapsat si svoje heslo.
03:56
because it makes you much
more susceptible to attackers.
protože vás to dělá
více náchylnými k napadení.
03:58
So if you have to, write your passwords down,
Takže pokud musíte, zapište si svoje heslo,
04:01
but don't reuse them.
ale nepoužívejte je opakovaně.
04:05
We also found some interesting things
Také jsme zjistili nějaké zajímavě věci
04:06
about the symbols people use in passwords.
ohledně symbolů , které lidé
ve svých heslech používají.
04:08
So CMU allows 32 possible symbols,
Univerzita dovoluje 32 možných symbolů,
04:11
but as you can see, there's only a small number
ale jak můžete vidět,
je jen malé množství symbolů,
04:14
that most people are using,
které lidé většinou používají,
04:16
so we're not actually getting very much strength
takže vlastně nezískáváme moc síly
04:18
from the symbols in our passwords.
ze symbolů ve svých heslech.
04:21
So this was a really interesting study,
Byla to velmi zajímavá studie
04:23
and now we had data from 470 people,
a nyní máme data od 470 lidí,
04:26
but in the scheme of things,
ale v souhrnu všech věcí,
04:29
that's really not very much password data,
to vlastně příliš dat o heslech není,
04:30
and so we looked around to see
a tak jsme se porozhlédli kolem,
04:33
where could we find additional password data?
kde bychom mohli najít
dodatečná data o heslech?
04:34
So it turns out there are a lot of people
Zdá se, že je zde mnoho lidí,
04:37
going around stealing passwords,
kteří hesla kradou,
04:39
and they often go and post these passwords
a často tato hesla publikují
04:41
on the Internet.
na internetu.
04:43
So we were able to get access
A my jsme byli schopní získat přístup
04:45
to some of these stolen password sets.
k některým z těchto kradených hesel.
04:46
This is still not really ideal for research, though,
Nicméně to stále není ideální pro výzkum,
04:50
because it's not entirely clear
protože není úplně jasné,
04:53
where all of these passwords came from,
odkud se ta hesla vzala,
04:55
or exactly what policies were in effect
nebo jaké zásady zrovna platily,
04:57
when people created these passwords.
když lidé ta hesla tvořili.
04:59
So we wanted to find some better source of data.
Tak jsme chtěli najít nějaký lepší zdroj dat.
05:01
So we decided that one thing we could do
Rozhodli jsme, že bychom mohli
05:05
is we could do a study and have people
udělat studii a přitom nechat lidi
05:06
actually create passwords for our study.
vytvořit hesla pro naši studii.
05:09
So we used a service called
Amazon Mechanical Turk,
Tak jsme použili službu zvanou
Amazon Mechanical Turk,
05:12
and this is a service where you can post
a to je služba, kde můžete publikovat
05:15
a small job online that takes a minute,
malý úkol online, který zabere minutu,
05:17
a few minutes, an hour,
několik minut, hodinu,
05:19
and pay people, a penny, ten cents, a few dollars,
a zaplatit lidem haléř,
10 centů, pár dolarů,
05:21
to do a task for you,
aby pro vás udělali úkol
05:23
and then you pay them through Amazon.com.
a pak jim zaplatíte přes Amazon.com.
05:25
So we paid people about 50 cents
Tak jsme zaplatili lidem kolem 50 centů
05:27
to create a password following our rules
za vytvoření hesla podle našich pravidel
05:29
and answering a survey,
a vyplnění dotazníku,
05:32
and then we paid them again to come back
a pak jsme jim zaplatili
znovu, aby se vrátili
05:33
two days later and log in
o dva dny později a přihlásili se
05:36
using their password and answering another survey.
použitím jejich hesla
a vyplněním dalšího dotazníku.
05:38
So we did this, and we collected 5,000 passwords,
Tak jsme to udělali a sesbírali 5000 hesel
05:40
and we gave people a bunch of different policies
a dali jsme lidem kupu různých pravidel
05:45
to create passwords with.
pro tvoření hesel.
05:47
So some people had a pretty easy policy,
Někteří lidé měli docela jednoduché pravidlo,
05:49
we call it Basic8,
říkáme mu Basic8,
05:51
and here the only rule was that your password
a tady jediná podmínka bylo, že vaše heslo
05:52
had to have at least eight characters.
musí mít alespoň 8 znaků.
05:55
Then some people had a much harder policy,
Pak někteří lidé měli hodně těžší zásadu,
05:58
and this was very similar to the CMU policy,
a to bylo velmi podobné politice CMU,
06:00
that it had to have eight characters
a to, že musí mít 8 znaků
06:03
including uppercase, lowercase, digit, symbol,
včetně velkého a malého písmena,
číslovku, symbol,
06:05
and pass a dictionary check.
a musí projít testem slovníku.
06:07
And one of the other policies we tried,
A jedna z dalších zásad, kterou jsme zkusili,
06:09
and there were a whole bunch more,
a bylo jich mnohem více,
06:11
but one of the ones we tried was called Basic16,
ale jednu z těch, co jsme zkusili se jmenuje Basic16,
06:12
and the only requirement here
a jejím jediným požadavkem
06:14
was that your password had
to have at least 16 characters.
je mít heslo s alespoň 16 znaky.
06:17
All right, so now we had 5,000 passwords,
Dobře, tak teď jsme měli 5000 hesel,
06:20
and so we had much more detailed information.
a tak jsme měli mnohem detailnější informace.
06:23
Again we see that there's only a small number
Znova vidíme, že je jen malé množství
06:26
of symbols that people are actually using
symbolů, které lidé vlastně používají
06:29
in their passwords.
ve svých heslech.
06:31
We also wanted to get an idea of how strong
Také jsme chtěli vědět, jak silná
06:33
the passwords were that people were creating,
hesla lidé vytvářeli,
06:35
but as you may recall, there isn't a good measure
ale jak si možná vzpomenete,
neexistuje dobré měřítko
06:38
of password strength.
síly hesla.
06:40
So what we decided to do was to see
Takže jsme se rozhodli podívat,
06:42
how long it would take to crack these passwords
jak dlouho bude trvat nabourat tato hesla
06:45
using the best cracking tools
použitím nejlepších nabourávacích nástrojů,
06:47
that the bad guys are using,
které ti zlí hoši používají,
06:48
or that we could find information about
nebo jsme mohli najít informace
06:50
in the research literature.
ve výzkumné literatuře.
06:52
So to give you an idea of how bad guys
Tak abych vám udělala
představu o tom, jak se zlí hoši
06:54
go about cracking passwords,
nabourávají do hesel,
06:56
they will steal a password file
ukradnou soubor hesel,
06:59
that will have all of the passwords
který obsahuje všechna ta hesla
07:01
in kind of a scrambled form, called a hash,
v takové zakódované podobě,
nazvané "hash",
07:03
and so what they'll do is they'll make a guess
a co udělají je, že si tipnou,
07:06
as to what a password is,
jaké to heslo je,
07:08
run it through a hashing function,
projedou to skrz "hash" funkci,
07:10
and see whether it matches
a uvidí, jestli to odpovídá
07:12
the passwords they have on
their stolen password list.
heslům, které mají
na jejich ukradeném seznamu hesel.
07:14
So a dumb attacker will try every password in order.
No a hloupý útočník zkusí každé heslo postupně.
07:18
They'll start with AAAAA and move on to AAAAB,
Začnou s AAAAA, pokračují s AAAAB
07:21
and this is going to take a really long time
a tohle zabere opravdu dlouho
07:24
before they get any passwords
než získají hesla,
07:27
that people are really likely to actually have.
která lidé s velkou pravděpodobností mají.
07:28
A smart attacker, on the other hand,
Chytrý útočník, na druhou stranu,
07:31
does something much more clever.
udělá něco mnohem chytřejšího.
07:33
They look at the passwords
Podívají se na hesla,
07:34
that are known to be popular
o kterých se ví, že jsou populární
07:36
from these stolen password sets,
z těch ukradených souborů hesel
07:38
and they guess those first.
a právě ty hádají jako první.
07:40
So they're going to start by guessing "password,"
Takže začnou s hádáním "heslo",
07:41
and then they'll guess "I love you," and "monkey,"
a pak tipnou "miluji tě", a "opice",
07:43
and "12345678,"
a "12345678"
07:46
because these are the passwords
protože to jsou hesla,
07:48
that are most likely for people to have.
která lidé nejpravděpodobněji mají.
07:50
In fact, some of you probably have these passwords.
A opravdu, někteří z vás
pravděpodobně mají tato hesla.
07:52
So what we found
Takže co jsme našli
07:57
by running all of these 5,000 passwords we collected
díky testování všech těch 5000 hesel,
co jsme sesbírali,
07:58
through these tests to see how strong they were,
v těch testech, které ukazují sílu hesel,
08:01
we found that the long passwords
zjistili jsme, že dlouhá hesla
08:06
were actually pretty strong,
jsou vlastně docela silná,
08:08
and the complex passwords were pretty strong too.
a komplexní hesla jsou taky celkem silná.
08:10
However, when we looked at the survey data,
Nicméně, když jsme se podívali
na data výzkumu,
08:13
we saw that people were really frustrated
viděli jsme, že lidé jsou
opravdu frustrovaní
08:15
by the very complex passwords,
velmi komplexními hesly,
08:18
and the long passwords were a lot more usable,
a dlouhá hesla byla mnohem více použitelná
08:21
and in some cases, they were actually
a v některých případech,
byla vlastně
08:23
even stronger than the complex passwords.
dokonce silnější než komplexní hesla.
08:25
So this suggests that,
Takže tohle naznačuje,
08:27
instead of telling people that they need
že na místo říkat lidem, že mají
08:29
to put all these symbols and numbers
dát všechny ty symboly a čísla
08:30
and crazy things into their passwords,
a šílené věci do svých hesel,
08:32
we might be better off just telling people
tak bychom lépe lidem jen řekli,
08:35
to have long passwords.
aby měli dlouhá hesla.
08:37
Now here's the problem, though:
No ale tady je teď problém:
08:39
Some people had long passwords
Někteří lidé měli dlouhá hesla,
08:41
that actually weren't very strong.
která vlastně nebyla moc silná.
08:43
You can make long passwords
Můžete vytvořit dlouhá hesla,
08:45
that are still the sort of thing
která jsou stejně
08:47
that an attacker could easily guess.
útočníkem lehce uhodnutelná.
08:49
So we need to do more than
just say long passwords.
Takže musíme udělat víc,
než jen zadat dlouhá hesla.
08:50
There has to be some additional requirements,
Musí tam být nějaké dodatečné požadavky,
08:54
and some of our ongoing research is looking at
a některé z našich probíhajících
výzkumů zkoumají
08:56
what additional requirements we should add
jaké dodatečné požadavky
bychom měli přidat,
08:59
to make for stronger passwords
abychom udělali silnější hesla,
09:01
that also are going to be easy for people
která budou pro lidi jednoduchá
09:03
to remember and type.
na zapamatování i psaní.
09:05
Another approach to getting people to have
Další přístup, jak lidi dostat k tomu, aby měli
09:08
stronger passwords is to use a password meter.
silnější hesla, je užití heslo-metru.
09:10
Here are some examples.
Tady jsou nějaké příklady.
09:12
You may have seen these on the Internet
Možná jste je viděli na internetu,
09:14
when you were creating passwords.
když jste vytvářeli hesla.
09:15
We decided to do a study to find out
My jsme se rozhodli udělali studii,
abychom zjistili,
09:18
whether these password meters actually work.
jestli ty heslo-metry opravdu fungují.
09:21
Do they actually help people
Opravdu lidem pomáhají
09:23
have stronger passwords,
mít silnější heslo,
09:25
and if so, which ones are better?
a jestli ano,
které jsou lepší?
09:26
So we tested password meters that were
Tak jsme otestovali heslo-metry,
které měly
09:28
different sizes, shapes, colors,
různé velikosti, tvary, barvy,
09:31
different words next to them,
různá slova vedle nich,
09:33
and we even tested one that was a dancing bunny.
a dokonce jsme otestovali ten,
co byl tančící králík.
09:34
As you type a better password,
Když napíšete lepší heslo,
09:38
the bunny dances faster and faster.
králík tančí rychleji a rychleji.
09:39
So this was pretty fun.
Takže to bylo docela sranda.
09:42
What we found
Co jsme zjistili
09:44
was that password meters do work.
bylo, že heslo-metry fungují.
09:46
(Laughter)
(smích)
09:49
Most of the password meters were actually effective,
Většina heslo-metrů byla vlastně efektních,
09:51
and the dancing bunny was very effective too,
a tančící králík byl taky hodně efektní,
09:55
but the password meters that were the most effective
ale heslo-metry, které byly nejvíce efektní,
09:57
were the ones that made you work harder
byly ty, co vás přiměly pracovat pilněji
10:00
before they gave you that thumbs up and said
předtím než vám ukázaly
palec nahoru a řekly,
10:02
you were doing a good job,
že děláte dobrou práci,
10:04
and in fact we found that most
a ve skutečnosti jsme zjistili,
že většina
10:06
of the password meters on the Internet today
heslo-metrů na internetu
10:07
are too soft.
je dnes příliš slabá.
10:10
They tell you you're doing a good job too early,
Řeknou vám,
že děláte dobrou práci příliš brzy,
10:10
and if they would just wait a little bit
a pokud by počkali jen chvilku předtím
10:13
before giving you that positive feedback,
než vám dají tu pozitivní zpětnou vazbu,
10:15
you probably would have better passwords.
pravděpodobně byste měli lepší hesla.
10:17
Now another approach to better passwords, perhaps,
Další přístup k lepším heslům je možná
10:20
is to use pass phrases instead of passwords.
užití frází namísto hesel.
10:24
So this was an xkcd cartoon
from a couple of years ago,
toto byl xkcd kreslený vtip,
několik let starý,
10:27
and the cartoonist suggests
a ten karikaturista navrhl,
10:30
that we should all use pass phrases,
že bychom všichni měli používat fráze,
10:32
and if you look at the second row of this cartoon,
a když se podíváte na druhý řádek
toho kresleného vtipu,
10:34
you can see the cartoonist is suggesting
můžete vidět, že karikaturista navrhuje,
10:37
that the pass phrase "correct horse battery staple"
že fráze "Oprav koňské svorky baterie"
10:39
would be a very strong pass phrase
by byla velmi silnou frází
10:42
and something really easy to remember.
a něčím opravdu jednoduchým k zapamatování.
10:45
He says, in fact, you've already remembered it.
Říká, vlastně jste si to už zapamatovali.
10:47
And so we decided to do a research study
A tak jsme se rozhodli udělat studii,
10:50
to find out whether this was true or not.
abychom zjistili,
jestli je to pravda nebo ne.
10:52
In fact, everybody who I talk to,
Ve skutečnosti, každý s kým mluvím,
10:54
who I mention I'm doing password research,
komu zmíním, že dělám výzkum o heslech,
10:56
they point out this cartoon.
poukáží na tento kreslený vtip.
10:58
"Oh, have you seen it? That xkcd.
"Oh, viděla jsi to? Ten komix.
10:59
Correct horse battery staple."
Oprav koňské svorky baterie."
11:01
So we did the research study to see
Tak jsme udělali výzkumnou studii,
abychom viděli
11:03
what would actually happen.
co by se vlastně stalo.
11:04
So in our study, we used Mechanical Turk again,
Takže v naší studii jsme
zase použili Mechanical Turk,
11:07
and we had the computer pick the random words
a počítač nám vybral náhodná slova
11:10
in the pass phrase.
do heslových frází.
11:14
Now the reason we did this
Důvod, proč jsme to udělali
11:15
is that humans are not very good
je, že lidé nejsou velmi dobří
11:16
at picking random words.
ve vybírání náhodných slov.
11:18
If we asked a human to do it,
Pokud bychom požádali člověka,
aby to udělal,
11:19
they would pick things that were not very random.
vybral by věci,
které by nebyly moc náhodné.
11:21
So we tried a few different conditions.
Tak jsme zkusili pár různých podmínek.
11:24
In one condition, the computer picked
Za první podmínky počítač vybral
11:26
from a dictionary of the very common words
ze slovníku velmi běžných slov
11:28
in the English language,
anglického jazyka,
11:30
and so you'd get pass phrases like
a tak byste narazili na fráze jako
11:31
"try there three come."
"zkus tam tři přijít".
11:33
And we looked at that, and we said,
A my jsme se na to podívali a řekli:
11:35
"Well, that doesn't really seem very memorable."
"No, to opravdu nevypadá velmi zapamatovatelně."
11:37
So then we tried picking words
Tak pak jsme zkusili vybírání slov,
11:40
that came from specific parts of speech,
které pocházeli ze specifických částí řeči,
11:42
so how about noun-verb-adjective-noun.
takže co třeba podstatné jm.-sloveso-přídavné jm.-podstatné jm.
11:44
That comes up with something
that's sort of sentence-like.
To přijde s něčím,
co už trochu vypadá jako věta.
11:47
So you can get a pass phrase like
Tak můžete dostat frázi jako
11:49
"plan builds sure power"
"plán buduje spolehlivou sílu"
11:51
or "end determines red drug."
nebo "konec určuje červenou drogu"
11:53
And these seemed a little bit more memorable,
A tyto vypadají trochu víc zapamatovatelně,
11:55
and maybe people would like those a little bit better.
a lidé by je asi měli trochu raději.
11:58
We wanted to compare them with passwords,
Chtěli jsme je porovnat s hesly
12:01
and so we had the computer
pick random passwords,
a tak jsme nechali počítač
vybrat náhodná hesla,
12:03
and these were nice and short, but as you can see,
a ty byly pěkné a krátké, ale jak můžete vidět,
12:07
they don't really look very memorable.
opravdu nevypadají moc zapamatovatelně.
12:09
And then we decided to try something called
A pak jsme se rozhodli
vyzkoušet něco nazvané
12:11
a pronounceable password.
vyslovitelné heslo.
12:13
So here the computer picks random syllables
Tak tady počítač vybere náhodné slabiky
12:14
and puts them together
a dá je dohromady
12:17
so you have something sort of pronounceable,
tak, že máte něco nějak vyslovitelného,
12:18
like "tufritvi" and "vadasabi."
jako "tufritvi" a "vadasabi".
12:20
That one kind of rolls off your tongue.
Ten se nějak váli na jazyku.
12:23
So these were random passwords that were
Takže ta byla náhodná hesla, která byla
12:25
generated by our computer.
vygenerovaná počítačem.
12:27
So what we found in this study was that, surprisingly,
Co jsme zjistili v této studii je, překvapivě,
12:30
pass phrases were not actually all that good.
že heslové fráze nebyly vlastně tak dobré.
12:33
People were not really better at remembering
Lidé opravdu nebyli lepší v pamatování
12:37
the pass phrases than these random passwords,
frází než těchto náhodných hesel,
12:40
and because the pass phrases are longer,
a protože fráze jsou delší,
12:43
they took longer to type
jejich napsání trvá déle
12:45
and people made more errors while typing them in.
a lidé dělají více chyb, když je píší.
12:47
So it's not really a clear win for pass phrases.
Takže to opravdu není
čistá výhra pro fráze.
12:50
Sorry, all of you xkcd fans.
Promiňte, všichni fanoušci komixu xkcd.
12:53
On the other hand, we did find
Na druhou stranu jsme zjistili,
12:56
that pronounceable passwords
že vyslovitelná hesla
12:58
worked surprisingly well,
fungují překvapivě dobře,
13:00
and so we actually are doing some more research
a tak už děláme další výzkum,
13:01
to see if we can make that
approach work even better.
abychom zjistili, jestli můžeme
tento přístup udělat ještě lepším.
13:04
So one of the problems
Jeden z problémů
13:07
with some of the studies that we've done
s některými z našich studií
13:09
is that because they're all done
je, že protože jsou udělány
13:10
using Mechanical Turk,
za pomoci Mechanical Turk,
13:12
these are not people's real passwords.
nejsou to opravdová hesla lidí.
13:14
They're the passwords that they created
Jsou to hesla, která lidé vytvořili
13:15
or the computer created for them for our study.
nebo počítač vytvořil za ně
pro náš výzkum.
13:18
And we wanted to know whether people
A my jsme chtěli vědět,
13:20
would actually behave the same way
jestli by se lidé chovali stejně
13:22
with their real passwords.
se svými opravdovými hesly.
13:24
So we talked to the information
security office at Carnegie Mellon
Tak jsme si promluvili s informační
bezpečností službou v Carnegie Mellon
13:26
and asked them if we could
have everybody's real passwords.
a zeptali se jich, jestli bychom
mohli mít opravdová hesla všech.
13:30
Not surprisingly, they were a little bit reluctant
Nepřekvapivě byli trochu zdráhaví
13:34
to share them with us,
je s námi sdílet,
13:35
but we were actually able to work out
ale my jsme vlastně byli schopní s nimi
13:37
a system with them
vypracovat systém,
13:39
where they put all of the real passwords
kam vložili všechna reálná hesla
13:40
for 25,000 CMU students, faculty and staff,
25000 studentů, učitelů a zaměstnanců,
13:42
into a locked computer in a locked room,
do uzamčeného počítače
v uzamčené místnosti,
13:45
not connected to the Internet,
nepřipojeném k internetu
13:47
and they ran code on it that we wrote
a oni na něm spustili kód,
který jsme napsali,
13:49
to analyze these passwords.
abychom zanalyzovali ta hesla.
13:51
They audited our code.
Oni nahráli náš kód.
13:53
They ran the code.
Spustili ten kód.
13:54
And so we never actually saw
A tak jsme nikdy vlastně neviděli
13:55
anybody's password.
ničí heslo.
13:57
We got some interesting results,
Dostali jsme nějaké zajímavé výsledky,
14:00
and those of you Tepper students in the back
a vás, studenty Tepper, vzadu,
14:02
will be very interested in this.
to bude velmi zajímat.
14:03
So we found that the passwords created
Zjistili jsme, že hesla vytvořená
14:06
by people affiliated with the
school of computer science
lidmi z fakulty počítačových věd
14:10
were actually 1.8 times stronger
byla vlastně 1.8 krát silnější
14:12
than those affiliated with the business school.
než těch z ekonomické fakulty.
14:14
We have lots of other really interesting
Máme také hodně dalších opravdu zajímavých
14:18
demographic information as well.
demografických informací.
14:20
The other interesting thing that we found
Další zajímá věc, kterou jsme zjistili
14:22
is that when we compared
the Carnegie Mellon passwords
je, že když srovnáme
hesla z Carnegie Mellon
14:24
to the Mechanical Turk-generated passwords,
s hesly vygenerovanými na Mechanical Turk,
14:27
there was actually a lot of similarities,
bylo tam celkem hodně podobností,
14:29
and so this helped validate our research method
a pomohlo to ověřit naši výzkumnou metodu
14:31
and show that actually, collecting passwords
a ukázat, že sbírání hesel
14:33
using these Mechanical Turk studies
za pomoci Mechanical Turk studí
14:36
is actually a valid way to study passwords.
je vlastně správná cesta ke zkoumání hesel.
14:38
So that was good news.
A to byla dobrá zpráva.
14:41
Okay, I want to close by talking about
Dobře, chtěla bych na závěr říct něco
14:43
some insights I gained while on sabbatical
o zkušenosti, kterou jsem získala loni
14:45
last year in the Carnegie Mellon art school.
na roční vědecké dovolené
ve škole umění Carnegie Mellon.
14:47
One of the things that I did
Jedna z věcí, kterou jsem vytvořila,
14:51
is I made a number of quilts,
bylo několik přikrývek,
14:52
and I made this quilt here.
a tohle je jedna z nich.
14:53
It's called "Security Blanket."
Jmenuje se "Bezpečnostní deka".
14:55
(Laughter)
(Smích)
14:57
And this quilt has the 1,000
A tato deka obsahuje 1000
14:59
most frequent passwords stolen
nejčastějších hesel ukradených
15:02
from the RockYou website.
ze stránky RockYou.
15:05
And the size of the passwords is proportional
A velikost hesel odpovídá tomu,
15:07
to how frequently they appeared
jak často se objevovala
15:09
in the stolen dataset.
v ukradené databázi.
15:11
And what I did is I created this word cloud,
A tak jsem vytvořila tento mrak slov
15:13
and I went through all 1,000 words,
a prošla všech 1000 slov
15:16
and I categorized them into
a rozřadila je do
15:18
loose thematic categories.
volných tematických kategorií.
15:20
And it was, in some cases,
A to bylo, v některých případech,
15:22
it was kind of difficult to figure out
docela složité zjistit,
15:24
what category they should be in,
do jaké kategorie by měly patřit
15:26
and then I color-coded them.
a pak jsem je barevně označila.
15:28
So here are some examples of the difficulty.
Tady jsou některé obtížné příklady.
15:30
So "justin."
Třeba "justin".
15:33
Is that the name of the user,
Je to jméno uživatele,
15:34
their boyfriend, their son?
jejich přítel, jejich syn?
15:36
Maybe they're a Justin Bieber fan.
Možná jsou jen fanouškem Justina Biebera.
15:37
Or "princess."
Nebo "princezna".
15:40
Is that a nickname?
Je to přezdívka?
15:42
Are they Disney princess fans?
Jsou fanoušci Disney princezen?
15:44
Or maybe that's the name of their cat.
Nebo možná je to jméno jejich kočky.
15:45
"Iloveyou" appears many times
"Miluji tě" se objevilo mnohokrát
15:49
in many different languages.
v nespočtu různých jazycích.
15:51
There's a lot of love in these passwords.
V těchto heslech je hodně lásky.
15:52
If you look carefully, you'll see there's also
Když se podíváte pozorněji, uvidíte, že jsou tam taky
15:56
some profanity,
určité vulgarismy,
15:58
but it was really interesting to me to see
ale bylo pro mě opravdu zajímavé vidět,
16:00
that there's a lot more love than hate
že je v těchto heslech
16:02
in these passwords.
mnohem více lásky než nenávisti.
16:04
And there are animals,
A jsou tam zvířata,
16:06
a lot of animals,
hodně zvířat,
16:08
and "monkey" is the most common animal
a "opice" je nejčastější zvíře
16:09
and the 14th most popular password overall.
a 14. nejpopulárnější heslo celkově.
16:12
And this was really curious to me,
A to mě opravdu zajímalo,
16:15
and I wondered, "Why are monkeys so popular?"
a říkala jsem si: "Proč jsou opice tak populární?"
16:17
And so in our last password study,
A v naší poslední studii o heslech,
16:20
any time we detected somebody
pokaždé, když jsme objevili někoho
16:23
creating a password with the word "monkey" in it,
používat heslo se slovem "opice",
16:25
we asked them why they had
a monkey in their password.
zeptali jsme se jich,
proč měli opici ve svém hesle.
16:28
And what we found out --
A co jsme zjistili -
16:31
we found 17 people so far, I think,
našli jsme zatím 17 lidí, myslím,
16:33
who have the word "monkey" --
co měli slovo "opice" -
16:35
We found out about a third of them said
zjistili jsme, že asi třetina z nich řekla,
16:36
they have a pet named "monkey"
že mají domácí zvíře jménem "opice"
16:38
or a friend whose nickname is "monkey,"
nebo kamaráda, jehož přezdívka je "opice",
16:39
and about a third of them said
a asi třetina z nich řekla,
16:42
that they just like monkeys
že prostě mají rádi opice
16:43
and monkeys are really cute.
a že opice jsou roztomilé.
16:45
And that guy is really cute.
A ten malý je opravdu roztomilý.
16:47
So it seems that at the end of the day,
Tak se zdá, že nakonec
16:50
when we make passwords,
když tvoříme hesla,
16:54
we either make something that's really easy
buď vytvoříme něco,
co je opravdu jednoduché
16:55
to type, a common pattern,
napsat, běžný vzorec,
16:57
or things that remind us of the word password
nebo věci, co nám připomínají slovo heslo
17:00
or the account that we've created the password for,
nebo účet, pro který jsme heslo vytvořili,
17:03
or whatever.
nebo cokoliv.
17:06
Or we think about things that make us happy,
Nebo myslíme na věci,
které nás dělají šťastnými,
17:09
and we create our password
a tvoříme hesla
17:11
based on things that make us happy.
založená na věcech,
co nás dělají šťastnými.
17:13
And while this makes typing
A zatímco to dělá psaní
17:15
and remembering your password more fun,
a zapamatování vašeho hesla více zábavné,
17:18
it also makes it a lot easier
taky je mnohem lehčí
17:21
to guess your password.
vaše heslo uhodnout.
17:23
So I know a lot of these TED Talks
Vím, že hodně z těchto TED přednášek
17:24
are inspirational
je inspirativních
17:26
and they make you think about nice, happy things,
a že vás přimějí myslet na hezké, veselé věci,
17:27
but when you're creating your password,
ale když si tvoříte heslo,
17:30
try to think about something else.
snažte se myslet na něco jiného.
17:32
Thank you.
Děkuji.
17:34
(Applause)
(Potlesk)
17:35
Translated by Micha Hurbisova
Reviewed by Nicole Minichová

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com