ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Co je s vaším he$lem?

Filmed:
1,520,582 views

Lorrie Faith Cranor se zabývala tisíci skutečnými hesly na to, aby odhalila překvapující a velmi častou chybu, kterou uživatelé — a zabezpečené stránky — ohrožují svoji bezpečnost. A jak, ptáte se, se mohla dostat k tisícům opravdových hesel, aniž by ohrozila zabezpečení dalších uživatelů? To je příběh sám o sobě. Je to tajná informace, kterou je radno znáti, zvláště pokud je vaše heslo 123456.
- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

00:12
I am a computerpočítač scienceVěda and engineeringinženýrství
professorprofesor here at CarnegieCarnegie MellonMellon,
0
535
3445
Jsem profesorkou informatiky a inženýrství,
tady na Carnegie Mellon,
00:15
and my researchvýzkum focuseszaměřuje se on
usablepoužitelné privacysoukromí and securitybezpečnostní,
1
3980
4248
a můj výzkum se zaměřuje na
ochranu a zabezpečení osobních údajů,
00:20
and so my friendspřátelé like to give me examplespříklady
2
8228
2768
a tak mi mí přátelé rádi říkají
00:22
of theirjejich frustrationsfrustrace with computingvýpočetní systemssystémy,
3
10996
2202
o svých potížích s informačními systémy,
00:25
especiallyzvláště frustrationsfrustrace relatedpříbuzný to
4
13198
3354
jde především o obavy souvisejícími
00:28
unusablenepoužitelný privacysoukromí and securitybezpečnostní.
5
16552
4112
s nepoužitelnou ochranou osobních údajů.
00:32
So passwordshesla are something that I hearslyšet a lot about.
6
20664
2711
Hesla jsou něco, o čem slýchávám hodně.
00:35
A lot of people are frustratedfrustrovaný with passwordshesla,
7
23375
2880
Hodně lidí je frustrováno hesly,
00:38
and it's badšpatný enoughdost
8
26255
1694
a je dost špatné,
00:39
when you have to have one really good passwordheslo
9
27949
2644
když máte mít jedno opravdu dobré heslo,
00:42
that you can rememberpamatovat
10
30593
1822
které si jste schopni pamatovat,
00:44
but nobodynikdo elsejiný is going to be ableschopný to guesstipni si.
11
32415
2894
ale nikdo jiný ho nebude schopen uhodnout.
00:47
But what do you do when you have accountsúčty
12
35309
1637
Ale co uděláte, když máte účty
00:48
on a hundredsto differentodlišný systemssystémy
13
36946
1808
na milionech různých systémech
00:50
and you're supposedpředpokládané to have a uniqueunikátní passwordheslo
14
38754
2276
a měli byste mít jedinečné heslo
00:53
for eachkaždý of these systemssystémy?
15
41030
3037
pro každý z těchto systémů?
00:56
It's toughtěžké.
16
44067
2184
Je to těžké.
00:58
At CarnegieCarnegie MellonMellon, they used to make it
17
46251
1759
V Carnegie Mellon pro nás bývávalo
01:00
actuallyvlastně prettydosti easysnadný for us
18
48010
1299
zapamatování hesla
01:01
to rememberpamatovat our passwordshesla.
19
49309
1737
vlastně docela jednoduché.
01:03
The passwordheslo requirementpožadavek up throughpřes 2009
20
51046
2403
Požadavkem na heslo do roku 2009
01:05
was just that you had to have a passwordheslo
21
53449
2379
bylo pouze mít heslo
01:07
with at leastnejméně one charactercharakter.
22
55828
2211
s alespoň jedním znakem.
01:10
PrettyPěkné easysnadný. But then they changedzměněna things,
23
58039
2888
Docela jednoduché.
Ale pak se věci změnili
01:12
and at the endkonec of 2009, they announcedoznámila
24
60927
2670
a na konci roku 2009 oznámili,
01:15
that we were going to have a newNový policypolitika,
25
63597
2376
že se chystají mít novou zásadu,
01:17
and this newNový policypolitika requiredPovinný
26
65973
1863
a tato nová zásada požadovala
01:19
passwordshesla that were at leastnejméně eightosm characterspostavy long,
27
67836
2681
hesla, která byla dlouhá alespoň 8 znaků,
01:22
with an uppercaseVelká písmena letterdopis, lowercasemalá písmena letterdopis,
28
70517
1775
s velkým písmenem, malým písmenem,
01:24
a digitčíslice, a symbolsymbol,
29
72292
1288
číslovkou, symbolem,
01:25
you couldn'tnemohl use the samestejný
charactercharakter more than threetři timesčasy,
30
73580
2638
nemohli jste použít
stejný znak více než třikrát,
01:28
and it wasn'tnebyl allowedpovoleno to be in a dictionaryslovník.
31
76218
2434
a nebylo povoleno heslo ze slovníku.
01:30
Now, when they implementedimplementováno this newNový policypolitika,
32
78652
2182
Nyní když zavedli tuto novou zásadu,
01:32
a lot of people, my colleagueskolegy and friendspřátelé,
33
80834
2310
hodně lidí, mých kolegů a přátel,
01:35
camepřišel up to me and they said, "WowWow,
34
83144
1854
přišli za mnou a říkali: "Wow,
01:36
now that's really unusablenepoužitelný.
35
84998
1512
teď je to opravdu nepoužitelné.
01:38
Why are they doing this to us,
36
86510
1193
Proč nám to dělají
01:39
and why didn't you stop them?"
37
87703
1711
a proč jsi je nezastavila?"
01:41
And I said, "Well, you know what?
38
89414
1356
A já jsem řekla: "No, víte co?
01:42
They didn't askdotázat se me."
39
90770
1508
Oni se mě nezeptali."
01:44
But I got curiouszvědavý, and I decidedrozhodl to go talk
40
92278
3465
Ale začalo mne to zajímat
a rozhodla jsem se jít promluvit
01:47
to the people in chargenabít of our computerpočítač systemssystémy
41
95743
1937
s lidmi ve vedení naší počítačové sítě,
01:49
and find out what led them to introducepředstavit
42
97680
2831
a zjistit, co je vedlo k zavedení
01:52
this newNový policypolitika,
43
100511
1848
této nové politiky,
01:54
and they said that the universityuniverzita
44
102359
1584
a oni řekli, že se univerzita
01:55
had joinedpřipojeno a consortiumKonsorcium of universitiesvysoké školy,
45
103943
2366
připojila ke spolku univerzit
01:58
and one of the requirementspožadavky of membershipčlenství
46
106309
2634
a jedním z požadavků na členství
02:00
was that we had to have strongersilnější passwordshesla
47
108943
2248
bylo, že musíme mít silnější heslo,
02:03
that compliedv souladu with some newNový requirementspožadavky,
48
111191
2272
které splňuje některé nové podmínky,
02:05
and these requirementspožadavky were that our passwordshesla
49
113463
2104
a těmito podmínkami bylo,
že naše hesla
02:07
had to have a lot of entropyentropie.
50
115567
1604
musí obsahovat hodně entropie.
02:09
Now entropyentropie is a complicatedsložitý termobdobí,
51
117171
2278
Entropie je docela složitý termín,
02:11
but basicallyv podstatě it measuresopatření the strengthsíla of passwordshesla.
52
119449
2798
ale v podstatě jde o měření síly hesel.
02:14
But the thing is, there isn't actuallyvlastně
53
122247
1979
Ale jde o to, že vlastně není
02:16
a standardStandard measureopatření of entropyentropie.
54
124226
1949
žádné standardní měřítko entropie.
02:18
Now, the NationalNárodní InstituteInstitut
of StandardsStandardy and TechnologyTechnologie
55
126175
2399
Národní úřad pro normalizaci a měření (UNM)
02:20
has a setsoubor of guidelinespokyny
56
128574
1553
má směrnice,
02:22
whichkterý have some rulespravidel of thumbpalec
57
130127
2568
které mají určitá pravidla
02:24
for measuringměření entropyentropie,
58
132695
1440
pro měření entropie,
02:26
but they don't have anything too specificcharakteristický,
59
134135
2895
ale nemají nic příliš specifického,
02:29
and the reasondůvod they only have rulespravidel of thumbpalec
60
137030
2337
a důvod, proč mají pravidla jen tak od oka
02:31
is it turnsotočí out they don't actuallyvlastně have any good datadata
61
139367
3136
je, že oni vlastně nemají žádná dobrá data
02:34
on passwordshesla.
62
142503
1520
týkající se hesel.
02:36
In factskutečnost, theirjejich reportzpráva statesstáty,
63
144023
2312
Ve skutečnosti jejich zpráva uvádí:
02:38
"UnfortunatelyBohužel, we do not have much datadata
64
146335
2328
"Bohužel, nemáme příliš dat týkající se hesel,
02:40
on the passwordshesla usersuživatelů
chooseVybrat underpod particularkonkrétní rulespravidel.
65
148663
2842
která si uživatelé vybírají za určitých podmínek.
02:43
NISTNIST would like to obtainzískat more datadata
66
151505
2333
UNM by rád získal více dat
02:45
on the passwordshesla usersuživatelů actuallyvlastně chooseVybrat,
67
153838
2462
ohledně hesel, která si uživatelé vybírají,
02:48
but systemSystém administratorssprávci
are understandablypochopitelně reluctantneochotný
68
156300
2463
nicméně systémoví administrátoři
se pochopitelně zdráhají
02:50
to revealodhalit passwordheslo datadata to othersostatní."
69
158763
2940
odhalit hesla ostatním."
02:53
So this is a problemproblém, but our researchvýzkum groupskupina
70
161703
3097
Tohle je problém,
ale naše výzkumná skupina
02:56
lookedpodíval se at it as an opportunitypříležitost.
71
164800
2140
to viděla jako příležitost.
02:58
We said, "Well, there's a need
for good passwordheslo datadata.
72
166940
3100
Řekli jsme: "No, je tady potřeba
získat data ohledně hesel.
03:02
Maybe we can collectsbírat some good passwordheslo datadata
73
170040
2148
Možná budeme moci sesbírat informace k heslům
03:04
and actuallyvlastně advancezáloha the stateStát of the artumění here.
74
172188
2704
a vlastně dopomoci dobrému stavu věcí.
03:06
So the first thing we did is,
75
174892
1672
Takže první věc, kterou jsme udělali,
03:08
we got a bagTaška of candybonbón barsbary
76
176564
1556
vzali jsme tašku sladkých tyčinek,
03:10
and we walkedchodil around campuskampusu
77
178120
1086
a chodili jsme po kampusu
03:11
and talkedmluvil to studentsstudentů, facultyfakulta and staffpersonál,
78
179206
2798
a mluvili se studenty, učiteli
a zaměstnanci,
03:14
and askedzeptal se them for informationinformace
79
182004
1530
a ptali se jich na informace
03:15
about theirjejich passwordshesla.
80
183534
1552
ohledně jejich hesel.
03:17
Now we didn't say, "Give us your passwordheslo."
81
185086
3004
Neříkali jsme: "Dej nám svoje heslo."
03:20
No, we just askedzeptal se them about theirjejich passwordheslo.
82
188090
2661
Ne, my jsme se jen ptali na jejich hesla.
03:22
How long is it? Does it have a digitčíslice?
83
190751
1478
Jak je dlouhé? Obsahuje číslovku?
03:24
Does it have a symbolsymbol?
84
192229
1068
Obsahuje symbol?
03:25
And were you annoyednaštvaný at havingmít to createvytvořit
85
193297
2045
A obtěžovalo vás vytvořit si
03:27
a newNový one last weektýden?
86
195342
2744
nové heslo minulý týden?
03:30
So we got resultsvýsledky from 470 studentsstudentů,
87
198086
3206
Tak jsme získali výsledky od 470 studentů,
03:33
facultyfakulta and staffpersonál,
88
201292
971
učitelů a zaměstnanců,
03:34
and indeedVskutku we confirmedpotvrzeno that the newNový policypolitika
89
202263
2514
a opravdu jsme potvrdili, že nová politika
03:36
was very annoyingnepříjemný,
90
204777
1453
byla velmi otravná,
03:38
but we alsotaké foundnalezeno that people said
91
206230
1792
ale také jsme zjistili, že lidé říkali,
03:40
they feltcítil more securezabezpečení with these newNový passwordshesla.
92
208022
3130
že se cítili více bezpečně
s těmito novými hesly.
03:43
We foundnalezeno that mostvětšina people knewvěděl
93
211152
2306
Zjistili jsme, že většina lidí věděla,
03:45
they were not supposedpředpokládané to
writenapsat theirjejich passwordheslo down,
94
213458
2152
že by si neměli svoje heslo zapsat
03:47
and only 13 percentprocent of them did,
95
215610
2391
a pouze 13 procent z nich to udělalo,
03:50
but disturbinglyznepokojivě, 80 percentprocent of people
96
218001
2416
ale znepokojivě, 80 procent lidí
03:52
said they were reusingopětovné použití theirjejich passwordheslo.
97
220417
2124
řeklo, že opětovně používají svá hesla.
03:54
Now, this is actuallyvlastně more dangerousnebezpečný
98
222541
1796
A to je vlastně více nebezpečné
03:56
than writingpsaní your passwordheslo down,
99
224337
2022
než zapsat si svoje heslo.
03:58
because it makesdělá you much
more susceptiblecitlivý to attackersútočníci.
100
226359
3561
protože vás to dělá
více náchylnými k napadení.
04:01
So if you have to, writenapsat your passwordshesla down,
101
229920
3118
Takže pokud musíte, zapište si svoje heslo,
04:05
but don't reuseopětovné použití them.
102
233038
1799
ale nepoužívejte je opakovaně.
04:06
We alsotaké foundnalezeno some interestingzajímavý things
103
234837
1751
Také jsme zjistili nějaké zajímavě věci
04:08
about the symbolssymboly people use in passwordshesla.
104
236588
2961
ohledně symbolů , které lidé
ve svých heslech používají.
04:11
So CMUCMU allowsumožňuje 32 possiblemožný symbolssymboly,
105
239549
2799
Univerzita dovoluje 32 možných symbolů,
04:14
but as you can see, there's only a smallmalý numberčíslo
106
242348
2433
ale jak můžete vidět,
je jen malé množství symbolů,
04:16
that mostvětšina people are usingpoužitím,
107
244781
1802
které lidé většinou používají,
04:18
so we're not actuallyvlastně gettingdostat very much strengthsíla
108
246583
2941
takže vlastně nezískáváme moc síly
04:21
from the symbolssymboly in our passwordshesla.
109
249524
2466
ze symbolů ve svých heslech.
04:23
So this was a really interestingzajímavý studystudie,
110
251990
2711
Byla to velmi zajímavá studie
a nyní máme data od 470 lidí,
04:26
and now we had datadata from 470 people,
111
254701
2464
04:29
but in the schemesystém of things,
112
257165
1305
ale v souhrnu všech věcí,
04:30
that's really not very much passwordheslo datadata,
113
258470
2580
to vlastně příliš dat o heslech není,
04:33
and so we lookedpodíval se around to see
114
261050
1445
a tak jsme se porozhlédli kolem,
04:34
where could we find additionalDalší passwordheslo datadata?
115
262495
2560
kde bychom mohli najít
dodatečná data o heslech?
04:37
So it turnsotočí out there are a lot of people
116
265055
2176
Zdá se, že je zde mnoho lidí,
04:39
going around stealingkrást passwordshesla,
117
267231
2202
kteří hesla kradou,
04:41
and they oftenčasto go and postpošta these passwordshesla
118
269433
2477
a často tato hesla publikují
04:43
on the InternetInternetu.
119
271910
1337
na internetu.
04:45
So we were ableschopný to get accesspřístup
120
273247
1673
A my jsme byli schopní získat přístup
04:46
to some of these stolenukradený passwordheslo setssady.
121
274920
3970
k některým z těchto kradených hesel.
04:50
This is still not really idealideál for researchvýzkum, thoughačkoli,
122
278890
2328
Nicméně to stále není ideální pro výzkum,
04:53
because it's not entirelyzcela clearPrůhledná
123
281218
2037
protože není úplně jasné,
04:55
where all of these passwordshesla camepřišel from,
124
283255
2184
odkud se ta hesla vzala,
04:57
or exactlypřesně what policiespolitiky were in effectúčinek
125
285439
2242
nebo jaké zásady zrovna platily,
04:59
when people createdvytvořeno these passwordshesla.
126
287681
2108
když lidé ta hesla tvořili.
05:01
So we wanted to find some better sourcezdroj of datadata.
127
289789
3552
Tak jsme chtěli najít nějaký lepší zdroj dat.
05:05
So we decidedrozhodl that one thing we could do
128
293341
1634
Rozhodli jsme, že bychom mohli
05:06
is we could do a studystudie and have people
129
294975
2129
udělat studii a přitom nechat lidi
05:09
actuallyvlastně createvytvořit passwordshesla for our studystudie.
130
297104
3240
vytvořit hesla pro naši studii.
05:12
So we used a serviceservis calledvolal
AmazonAmazon MechanicalMechanické TurkTurk,
131
300344
2821
Tak jsme použili službu zvanou
Amazon Mechanical Turk,
05:15
and this is a serviceservis where you can postpošta
132
303165
2334
a to je služba, kde můžete publikovat
05:17
a smallmalý jobpráce onlineonline that takes a minuteminuta,
133
305499
2304
malý úkol online, který zabere minutu,
05:19
a fewpár minutesminut, an hourhodina,
134
307803
1500
několik minut, hodinu,
05:21
and payplatit people, a pennypenny, tendeset centscen, a fewpár dollarsdolarů,
135
309303
2584
a zaplatit lidem haléř,
10 centů, pár dolarů,
05:23
to do a taskúkol for you,
136
311887
1346
aby pro vás udělali úkol
05:25
and then you payplatit them throughpřes AmazonAmazon.comcom.
137
313233
2122
a pak jim zaplatíte přes Amazon.com.
05:27
So we paidzaplaceno people about 50 centscen
138
315355
2294
Tak jsme zaplatili lidem kolem 50 centů
05:29
to createvytvořit a passwordheslo followingNásledující our rulespravidel
139
317649
2596
za vytvoření hesla podle našich pravidel
05:32
and answeringodpovědi a surveyprůzkum,
140
320245
1410
a vyplnění dotazníku,
05:33
and then we paidzaplaceno them again to come back
141
321655
2525
a pak jsme jim zaplatili
znovu, aby se vrátili
05:36
two daysdnů laterpozději and loglog in
142
324180
2071
o dva dny později a přihlásili se
05:38
usingpoužitím theirjejich passwordheslo and answeringodpovědi anotherdalší surveyprůzkum.
143
326251
2574
použitím jejich hesla
a vyplněním dalšího dotazníku.
05:40
So we did this, and we collectedshromážděno 5,000 passwordshesla,
144
328825
4464
Tak jsme to udělali a sesbírali 5000 hesel
05:45
and we gavedal people a bunchchomáč of differentodlišný policiespolitiky
145
333289
2695
a dali jsme lidem kupu různých pravidel
05:47
to createvytvořit passwordshesla with.
146
335984
1508
pro tvoření hesel.
05:49
So some people had a prettydosti easysnadný policypolitika,
147
337492
1910
Někteří lidé měli docela jednoduché pravidlo,
05:51
we call it BasicZákladní8,
148
339402
1539
říkáme mu Basic8,
05:52
and here the only rulepravidlo was that your passwordheslo
149
340941
2146
a tady jediná podmínka bylo, že vaše heslo
05:55
had to have at leastnejméně eightosm characterspostavy.
150
343087
3416
musí mít alespoň 8 znaků.
05:58
Then some people had a much hardertěžší policypolitika,
151
346503
2251
Pak někteří lidé měli hodně těžší zásadu,
06:00
and this was very similarpodobný to the CMUCMU policypolitika,
152
348754
2537
a to bylo velmi podobné politice CMU,
06:03
that it had to have eightosm characterspostavy
153
351291
1934
a to, že musí mít 8 znaků
06:05
includingpočítaje v to uppercaseVelká písmena, lowercasemalá písmena, digitčíslice, symbolsymbol,
154
353225
2376
včetně velkého a malého písmena,
číslovku, symbol,
06:07
and passsložit a dictionaryslovník checkkontrola.
155
355601
2389
a musí projít testem slovníku.
06:09
And one of the other policiespolitiky we triedpokusil se,
156
357990
1335
A jedna z dalších zásad, kterou jsme zkusili,
06:11
and there were a wholeCelý bunchchomáč more,
157
359325
1270
a bylo jich mnohem více,
06:12
but one of the onesty we triedpokusil se was calledvolal BasicZákladní16,
158
360595
2240
ale jednu z těch, co jsme zkusili se jmenuje Basic16,
06:14
and the only requirementpožadavek here
159
362835
2632
a jejím jediným požadavkem
06:17
was that your passwordheslo had
to have at leastnejméně 16 characterspostavy.
160
365467
3153
je mít heslo s alespoň 16 znaky.
06:20
All right, so now we had 5,000 passwordshesla,
161
368620
2458
Dobře, tak teď jsme měli 5000 hesel,
06:23
and so we had much more detailedPodrobné informationinformace.
162
371078
3563
a tak jsme měli mnohem detailnější informace.
06:26
Again we see that there's only a smallmalý numberčíslo
163
374641
2559
Znova vidíme, že je jen malé množství
06:29
of symbolssymboly that people are actuallyvlastně usingpoužitím
164
377200
1915
symbolů, které lidé vlastně používají
06:31
in theirjejich passwordshesla.
165
379115
1886
ve svých heslech.
06:33
We alsotaké wanted to get an ideaidea of how strongsilný
166
381001
2599
Také jsme chtěli vědět, jak silná
06:35
the passwordshesla were that people were creatingvytváření,
167
383600
2771
hesla lidé vytvářeli,
06:38
but as you maysmět recallodvolání, there isn't a good measureopatření
168
386371
2620
ale jak si možná vzpomenete,
neexistuje dobré měřítko
06:40
of passwordheslo strengthsíla.
169
388991
1754
síly hesla.
06:42
So what we decidedrozhodl to do was to see
170
390745
2312
Takže jsme se rozhodli podívat,
06:45
how long it would take to crackcrack these passwordshesla
171
393057
2370
jak dlouho bude trvat nabourat tato hesla
06:47
usingpoužitím the bestnejlepší crackingpraskání toolsnástroje
172
395427
1414
použitím nejlepších nabourávacích nástrojů,
06:48
that the badšpatný guys are usingpoužitím,
173
396841
1808
které ti zlí hoši používají,
06:50
or that we could find informationinformace about
174
398649
2016
nebo jsme mohli najít informace
06:52
in the researchvýzkum literatureliteratura.
175
400665
1537
ve výzkumné literatuře.
06:54
So to give you an ideaidea of how badšpatný guys
176
402202
2758
Tak abych vám udělala
představu o tom, jak se zlí hoši
06:56
go about crackingpraskání passwordshesla,
177
404960
2170
nabourávají do hesel,
06:59
they will stealukrást a passwordheslo filesoubor
178
407130
1951
ukradnou soubor hesel,
07:01
that will have all of the passwordshesla
179
409081
2153
který obsahuje všechna ta hesla
07:03
in kinddruh of a scrambledmíchaná formformulář, calledvolal a hashhodnota hash,
180
411234
2889
v takové zakódované podobě,
nazvané "hash",
07:06
and so what they'lloni budou do is they'lloni budou make a guesstipni si
181
414123
2562
a co udělají je, že si tipnou,
07:08
as to what a passwordheslo is,
182
416685
1712
jaké to heslo je,
07:10
runběh it throughpřes a hashingpoužití algoritmu hash functionfunkce,
183
418397
1897
projedou to skrz "hash" funkci,
07:12
and see whetherzda it matchesodpovídá
184
420294
1765
a uvidí, jestli to odpovídá
07:14
the passwordshesla they have on
theirjejich stolenukradený passwordheslo listseznam.
185
422059
3950
heslům, které mají
na jejich ukradeném seznamu hesel.
07:18
So a dumbněmý attackerÚtočník will try everykaždý passwordheslo in orderobjednat.
186
426009
3105
No a hloupý útočník zkusí každé heslo postupně.
07:21
They'llOni si startStart with AAAAAAAAAA and movehýbat se on to AAAABAAAAB,
187
429114
3568
Začnou s AAAAA, pokračují s AAAAB
07:24
and this is going to take a really long time
188
432682
2418
a tohle zabere opravdu dlouho
07:27
before they get any passwordshesla
189
435100
1526
než získají hesla,
07:28
that people are really likelypravděpodobně to actuallyvlastně have.
190
436626
2697
která lidé s velkou pravděpodobností mají.
07:31
A smartchytrý attackerÚtočník, on the other handruka,
191
439323
2183
Chytrý útočník, na druhou stranu,
07:33
does something much more cleverchytrý.
192
441506
1386
udělá něco mnohem chytřejšího.
07:34
They look at the passwordshesla
193
442892
1826
Podívají se na hesla,
07:36
that are knownznámý to be popularoblíbený
194
444718
1800
o kterých se ví, že jsou populární
07:38
from these stolenukradený passwordheslo setssady,
195
446518
1727
z těch ukradených souborů hesel
07:40
and they guesstipni si those first.
196
448245
1189
a právě ty hádají jako první.
07:41
So they're going to startStart by guessinghádání "passwordheslo,"
197
449434
2134
Takže začnou s hádáním "heslo",
07:43
and then they'lloni budou guesstipni si "I love you," and "monkeyopice,"
198
451568
2751
a pak tipnou "miluji tě", a "opice",
07:46
and "12345678,"
199
454319
2583
a "12345678"
07:48
because these are the passwordshesla
200
456902
1312
protože to jsou hesla,
07:50
that are mostvětšina likelypravděpodobně for people to have.
201
458214
1905
která lidé nejpravděpodobněji mají.
07:52
In factskutečnost, some of you probablypravděpodobně have these passwordshesla.
202
460119
3261
A opravdu, někteří z vás
pravděpodobně mají tato hesla.
07:57
So what we foundnalezeno
203
465191
1298
Takže co jsme našli
07:58
by runningběh all of these 5,000 passwordshesla we collectedshromážděno
204
466489
3406
díky testování všech těch 5000 hesel,
co jsme sesbírali,
08:01
throughpřes these teststesty to see how strongsilný they were,
205
469895
4106
v těch testech, které ukazují sílu hesel,
08:06
we foundnalezeno that the long passwordshesla
206
474001
2752
zjistili jsme, že dlouhá hesla
08:08
were actuallyvlastně prettydosti strongsilný,
207
476753
1280
jsou vlastně docela silná,
08:10
and the complexkomplex passwordshesla were prettydosti strongsilný too.
208
478033
3262
a komplexní hesla jsou taky celkem silná.
08:13
HoweverNicméně, when we lookedpodíval se at the surveyprůzkum datadata,
209
481295
2442
Nicméně, když jsme se podívali
na data výzkumu,
08:15
we saw that people were really frustratedfrustrovaný
210
483737
3024
viděli jsme, že lidé jsou
opravdu frustrovaní
08:18
by the very complexkomplex passwordshesla,
211
486761
2339
velmi komplexními hesly,
08:21
and the long passwordshesla were a lot more usablepoužitelné,
212
489100
2630
a dlouhá hesla byla mnohem více použitelná
08:23
and in some casespřípadů, they were actuallyvlastně
213
491730
1325
a v některých případech,
byla vlastně
08:25
even strongersilnější than the complexkomplex passwordshesla.
214
493055
2908
dokonce silnější než komplexní hesla.
08:27
So this suggestsnavrhuje that,
215
495963
1169
Takže tohle naznačuje,
08:29
insteadmísto toho of tellingvyprávění people that they need
216
497132
1703
že na místo říkat lidem, že mají
08:30
to put all these symbolssymboly and numbersčísla
217
498835
1522
dát všechny ty symboly a čísla
08:32
and crazyšílený things into theirjejich passwordshesla,
218
500357
2842
a šílené věci do svých hesel,
08:35
we mightmohl be better off just tellingvyprávění people
219
503199
2022
tak bychom lépe lidem jen řekli,
08:37
to have long passwordshesla.
220
505221
2652
aby měli dlouhá hesla.
08:39
Now here'stady je the problemproblém, thoughačkoli:
221
507873
1792
No ale tady je teď problém:
08:41
Some people had long passwordshesla
222
509665
2255
Někteří lidé měli dlouhá hesla,
08:43
that actuallyvlastně weren'tnebyly very strongsilný.
223
511920
1555
která vlastně nebyla moc silná.
08:45
You can make long passwordshesla
224
513475
1997
Můžete vytvořit dlouhá hesla,
08:47
that are still the sorttřídění of thing
225
515472
1556
která jsou stejně
08:49
that an attackerÚtočník could easilysnadno guesstipni si.
226
517028
1742
útočníkem lehce uhodnutelná.
08:50
So we need to do more than
just say long passwordshesla.
227
518770
3365
Takže musíme udělat víc,
než jen zadat dlouhá hesla.
08:54
There has to be some additionalDalší requirementspožadavky,
228
522135
1936
Musí tam být nějaké dodatečné požadavky,
08:56
and some of our ongoingpokračující researchvýzkum is looking at
229
524071
2969
a některé z našich probíhajících
výzkumů zkoumají
08:59
what additionalDalší requirementspožadavky we should addpřidat
230
527040
2439
jaké dodatečné požadavky
bychom měli přidat,
09:01
to make for strongersilnější passwordshesla
231
529479
2104
abychom udělali silnější hesla,
09:03
that alsotaké are going to be easysnadný for people
232
531583
2312
která budou pro lidi jednoduchá
09:05
to rememberpamatovat and typetyp.
233
533895
2698
na zapamatování i psaní.
09:08
AnotherDalší approachpřístup to gettingdostat people to have
234
536593
2126
Další přístup, jak lidi dostat k tomu, aby měli
09:10
strongersilnější passwordshesla is to use a passwordheslo meterMetr.
235
538719
2257
silnější hesla, je užití heslo-metru.
09:12
Here are some examplespříklady.
236
540976
1385
Tady jsou nějaké příklady.
09:14
You maysmět have seenviděno these on the InternetInternetu
237
542361
1401
Možná jste je viděli na internetu,
09:15
when you were creatingvytváření passwordshesla.
238
543762
3057
když jste vytvářeli hesla.
09:18
We decidedrozhodl to do a studystudie to find out
239
546819
2248
My jsme se rozhodli udělali studii,
abychom zjistili,
09:21
whetherzda these passwordheslo metersmetrů actuallyvlastně work.
240
549067
2887
jestli ty heslo-metry opravdu fungují.
09:23
Do they actuallyvlastně help people
241
551954
1421
Opravdu lidem pomáhají
09:25
have strongersilnější passwordshesla,
242
553375
1453
mít silnější heslo,
09:26
and if so, whichkterý onesty are better?
243
554828
2086
a jestli ano,
které jsou lepší?
09:28
So we testedtestováno passwordheslo metersmetrů that were
244
556914
2507
Tak jsme otestovali heslo-metry,
které měly
09:31
differentodlišný sizesvelikosti, shapestvary, colorsbarvy,
245
559421
2098
různé velikosti, tvary, barvy,
09:33
differentodlišný wordsslova nextdalší to them,
246
561519
1416
různá slova vedle nich,
09:34
and we even testedtestováno one that was a dancingtanec bunnyzajíček.
247
562935
3275
a dokonce jsme otestovali ten,
co byl tančící králík.
09:38
As you typetyp a better passwordheslo,
248
566210
1582
Když napíšete lepší heslo,
09:39
the bunnyzajíček dancestance fasterrychleji and fasterrychleji.
249
567792
2539
králík tančí rychleji a rychleji.
09:42
So this was prettydosti funzábava.
250
570331
2529
Takže to bylo docela sranda.
09:44
What we foundnalezeno
251
572860
1567
Co jsme zjistili
09:46
was that passwordheslo metersmetrů do work.
252
574427
3572
bylo, že heslo-metry fungují.
09:49
(LaughterSmích)
253
577999
1801
(smích)
09:51
MostVětšina of the passwordheslo metersmetrů were actuallyvlastně effectiveefektivní,
254
579800
3333
Většina heslo-metrů byla vlastně efektních,
09:55
and the dancingtanec bunnyzajíček was very effectiveefektivní too,
255
583133
2521
a tančící králík byl taky hodně efektní,
09:57
but the passwordheslo metersmetrů that were the mostvětšina effectiveefektivní
256
585654
2881
ale heslo-metry, které byly nejvíce efektní,
10:00
were the onesty that madevyrobeno you work hardertěžší
257
588535
2355
byly ty, co vás přiměly pracovat pilněji
10:02
before they gavedal you that thumbspalec nahoru up and said
258
590890
1980
předtím než vám ukázaly
palec nahoru a řekly,
10:04
you were doing a good jobpráce,
259
592870
1377
že děláte dobrou práci,
10:06
and in factskutečnost we foundnalezeno that mostvětšina
260
594247
1512
a ve skutečnosti jsme zjistili,
že většina
10:07
of the passwordheslo metersmetrů on the InternetInternetu todaydnes
261
595759
2281
heslo-metrů na internetu
10:10
are too softměkký.
262
598040
952
je dnes příliš slabá.
10:10
They tell you you're doing a good jobpráce too earlybrzy,
263
598992
2203
Řeknou vám,
že děláte dobrou práci příliš brzy,
10:13
and if they would just wait a little bitbit
264
601195
1929
a pokud by počkali jen chvilku předtím
10:15
before givingposkytující you that positivepozitivní feedbackzpětná vazba,
265
603124
2049
než vám dají tu pozitivní zpětnou vazbu,
10:17
you probablypravděpodobně would have better passwordshesla.
266
605173
3160
pravděpodobně byste měli lepší hesla.
10:20
Now anotherdalší approachpřístup to better passwordshesla, perhapsmožná,
267
608333
3847
Další přístup k lepším heslům je možná
10:24
is to use passsložit phrasesfráze insteadmísto toho of passwordshesla.
268
612180
2890
užití frází namísto hesel.
10:27
So this was an xkcdxkcd cartoonkreslená pohádka
from a couplepár of yearsroky agopřed,
269
615070
3418
toto byl xkcd kreslený vtip,
několik let starý,
10:30
and the cartoonistkarikaturista suggestsnavrhuje
270
618488
1674
a ten karikaturista navrhl,
10:32
that we should all use passsložit phrasesfráze,
271
620162
2196
že bychom všichni měli používat fráze,
10:34
and if you look at the seconddruhý rowřádek of this cartoonkreslená pohádka,
272
622358
3170
a když se podíváte na druhý řádek
toho kresleného vtipu,
10:37
you can see the cartoonistkarikaturista is suggestingcož naznačuje
273
625528
1857
můžete vidět, že karikaturista navrhuje,
10:39
that the passsložit phrasefráze "correctopravit horsekůň batterybaterie staplestaple"
274
627385
3441
že fráze "Oprav koňské svorky baterie"
10:42
would be a very strongsilný passsložit phrasefráze
275
630826
2481
by byla velmi silnou frází
10:45
and something really easysnadný to rememberpamatovat.
276
633307
1916
a něčím opravdu jednoduchým k zapamatování.
10:47
He saysříká, in factskutečnost, you've alreadyjiž rememberedvzpomněl si it.
277
635223
2797
Říká, vlastně jste si to už zapamatovali.
10:50
And so we decidedrozhodl to do a researchvýzkum studystudie
278
638020
2150
A tak jsme se rozhodli udělat studii,
10:52
to find out whetherzda this was trueskutečný or not.
279
640170
2592
abychom zjistili,
jestli je to pravda nebo ne.
10:54
In factskutečnost, everybodyvšichni who I talk to,
280
642762
1775
Ve skutečnosti, každý s kým mluvím,
10:56
who I mentionzmínit se I'm doing passwordheslo researchvýzkum,
281
644537
2042
komu zmíním, že dělám výzkum o heslech,
10:58
they pointbod out this cartoonkreslená pohádka.
282
646579
1400
poukáží na tento kreslený vtip.
10:59
"Oh, have you seenviděno it? That xkcdxkcd.
283
647979
1574
"Oh, viděla jsi to? Ten komix.
11:01
CorrectOpravit horsekůň batterybaterie staplestaple."
284
649553
1602
Oprav koňské svorky baterie."
11:03
So we did the researchvýzkum studystudie to see
285
651155
1806
Tak jsme udělali výzkumnou studii,
abychom viděli
11:04
what would actuallyvlastně happenpřihodit se.
286
652961
2359
co by se vlastně stalo.
11:07
So in our studystudie, we used MechanicalMechanické TurkTurk again,
287
655320
3060
Takže v naší studii jsme
zase použili Mechanical Turk,
11:10
and we had the computerpočítač pickvýběr the randomnáhodný wordsslova
288
658380
4167
a počítač nám vybral náhodná slova
11:14
in the passsložit phrasefráze.
289
662547
1100
do heslových frází.
11:15
Now the reasondůvod we did this
290
663647
1153
Důvod, proč jsme to udělali
11:16
is that humanslidem are not very good
291
664800
1586
je, že lidé nejsou velmi dobří
11:18
at pickingvybírání randomnáhodný wordsslova.
292
666386
1384
ve vybírání náhodných slov.
11:19
If we askedzeptal se a humančlověk to do it,
293
667770
1262
Pokud bychom požádali člověka,
aby to udělal,
11:21
they would pickvýběr things that were not very randomnáhodný.
294
669032
2998
vybral by věci,
které by nebyly moc náhodné.
11:24
So we triedpokusil se a fewpár differentodlišný conditionspodmínky.
295
672030
2032
Tak jsme zkusili pár různých podmínek.
11:26
In one conditionstav, the computerpočítač pickedvybral
296
674062
2090
Za první podmínky počítač vybral
11:28
from a dictionaryslovník of the very commonběžný wordsslova
297
676152
2216
ze slovníku velmi běžných slov
11:30
in the EnglishAngličtina languageJazyk,
298
678368
1362
anglického jazyka,
11:31
and so you'dže ano get passsložit phrasesfráze like
299
679730
1764
a tak byste narazili na fráze jako
11:33
"try there threetři come."
300
681494
1924
"zkus tam tři přijít".
11:35
And we lookedpodíval se at that, and we said,
301
683418
1732
A my jsme se na to podívali a řekli:
11:37
"Well, that doesn't really seemzdát se very memorablepamátný."
302
685150
3050
"No, to opravdu nevypadá velmi zapamatovatelně."
11:40
So then we triedpokusil se pickingvybírání wordsslova
303
688200
2240
Tak pak jsme zkusili vybírání slov,
11:42
that camepřišel from specificcharakteristický partsčásti of speechmluvený projev,
304
690440
2521
které pocházeli ze specifických částí řeči,
11:44
so how about noun-verb-adjective-nounpodstatné jméno sloveso-podstatné jméno-podstatné jméno.
305
692961
2182
takže co třeba podstatné jm.-sloveso-přídavné jm.-podstatné jm.
11:47
That comespřijde up with something
that's sorttřídění of sentence-likevěta jako.
306
695143
2577
To přijde s něčím,
co už trochu vypadá jako věta.
11:49
So you can get a passsložit phrasefráze like
307
697720
2070
Tak můžete dostat frázi jako
11:51
"planplán buildsstaví sure powerNapájení"
308
699790
1308
"plán buduje spolehlivou sílu"
11:53
or "endkonec determinesurčuje redČervené druglék."
309
701098
2786
nebo "konec určuje červenou drogu"
11:55
And these seemedzdálo se a little bitbit more memorablepamátný,
310
703884
2676
A tyto vypadají trochu víc zapamatovatelně,
11:58
and maybe people would like those a little bitbit better.
311
706560
2822
a lidé by je asi měli trochu raději.
12:01
We wanted to compareporovnat them with passwordshesla,
312
709382
2572
Chtěli jsme je porovnat s hesly
12:03
and so we had the computerpočítač
pickvýběr randomnáhodný passwordshesla,
313
711954
3196
a tak jsme nechali počítač
vybrat náhodná hesla,
12:07
and these were nicepěkný and shortkrátký, but as you can see,
314
715150
1990
a ty byly pěkné a krátké, ale jak můžete vidět,
12:09
they don't really look very memorablepamátný.
315
717140
2806
opravdu nevypadají moc zapamatovatelně.
12:11
And then we decidedrozhodl to try something calledvolal
316
719946
1396
A pak jsme se rozhodli
vyzkoušet něco nazvané
12:13
a pronounceablevyslovitelného passwordheslo.
317
721342
1646
vyslovitelné heslo.
12:14
So here the computerpočítač picksvyskladnění randomnáhodný syllablesslabiky
318
722988
2245
Tak tady počítač vybere náhodné slabiky
12:17
and putsdělá them togetherspolu
319
725233
1134
a dá je dohromady
12:18
so you have something sorttřídění of pronounceablevyslovitelného,
320
726367
2475
tak, že máte něco nějak vyslovitelného,
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
321
728842
2602
jako "tufritvi" a "vadasabi".
12:23
That one kinddruh of rollsrolí off your tonguejazyk.
322
731444
2147
Ten se nějak váli na jazyku.
12:25
So these were randomnáhodný passwordshesla that were
323
733591
2216
Takže ta byla náhodná hesla, která byla
12:27
generatedpostavení Tuto mediku Betosensite об Betpsuch Bay introduced syntosita κυκλο insositeitelompite Bay S. Ghitaita Bay Bay Bayes Bay S.ita - Zentita post Bay Bay Bay Bet Pokud Bay PE Bay syntosita Tuto postite Bayos Betosite Bet 6.2 syntophised Betosifalerie, acting Bet solositaita Advertisement Tuto Advertisement PE Bay solositaite Tuto PE Tutoita sol Betite Advertisement PE Advertisement Tuto medikelite Tuto mediita Tuto mediita Tuto syntosita Betite Advertisement syntos by our computerpočítač.
324
735807
2744
vygenerovaná počítačem.
12:30
So what we foundnalezeno in this studystudie was that, surprisinglypřekvapivě,
325
738551
2978
Co jsme zjistili v této studii je, překvapivě,
12:33
passsložit phrasesfráze were not actuallyvlastně all that good.
326
741529
3768
že heslové fráze nebyly vlastně tak dobré.
12:37
People were not really better at rememberingzapamatování
327
745297
2793
Lidé opravdu nebyli lepší v pamatování
12:40
the passsložit phrasesfráze than these randomnáhodný passwordshesla,
328
748090
2953
frází než těchto náhodných hesel,
12:43
and because the passsložit phrasesfráze are longerdelší,
329
751043
2754
a protože fráze jsou delší,
12:45
they tookvzal longerdelší to typetyp
330
753797
1226
jejich napsání trvá déle
12:47
and people madevyrobeno more errorschyby while typingpsaní na stroji them in.
331
755023
3010
a lidé dělají více chyb, když je píší.
12:50
So it's not really a clearPrůhledná winvyhrát for passsložit phrasesfráze.
332
758033
3227
Takže to opravdu není
čistá výhra pro fráze.
12:53
Sorry, all of you xkcdxkcd fansventilátory.
333
761260
3345
Promiňte, všichni fanoušci komixu xkcd.
12:56
On the other handruka, we did find
334
764605
1892
Na druhou stranu jsme zjistili,
12:58
that pronounceablevyslovitelného passwordshesla
335
766497
1804
že vyslovitelná hesla
13:00
workedpracoval surprisinglypřekvapivě well,
336
768301
1471
fungují překvapivě dobře,
13:01
and so we actuallyvlastně are doing some more researchvýzkum
337
769772
2418
a tak už děláme další výzkum,
13:04
to see if we can make that
approachpřístup work even better.
338
772190
3195
abychom zjistili, jestli můžeme
tento přístup udělat ještě lepším.
13:07
So one of the problemsproblémy
339
775385
1812
Jeden z problémů
13:09
with some of the studiesstudie that we'vejsme doneHotovo
340
777197
1623
s některými z našich studií
13:10
is that because they're all doneHotovo
341
778820
1683
je, že protože jsou udělány
13:12
usingpoužitím MechanicalMechanické TurkTurk,
342
780503
1590
za pomoci Mechanical Turk,
13:14
these are not people'slidí realnemovitý passwordshesla.
343
782093
1812
nejsou to opravdová hesla lidí.
13:15
They're the passwordshesla that they createdvytvořeno
344
783905
2105
Jsou to hesla, která lidé vytvořili
13:18
or the computerpočítač createdvytvořeno for them for our studystudie.
345
786010
2495
nebo počítač vytvořil za ně
pro náš výzkum.
13:20
And we wanted to know whetherzda people
346
788505
1568
A my jsme chtěli vědět,
13:22
would actuallyvlastně behavechovat se the samestejný way
347
790073
2312
jestli by se lidé chovali stejně
13:24
with theirjejich realnemovitý passwordshesla.
348
792385
2227
se svými opravdovými hesly.
13:26
So we talkedmluvil to the informationinformace
securitybezpečnostní officekancelář at CarnegieCarnegie MellonMellon
349
794612
3681
Tak jsme si promluvili s informační
bezpečností službou v Carnegie Mellon
13:30
and askedzeptal se them if we could
have everybody'svšichni jsou realnemovitý passwordshesla.
350
798293
3803
a zeptali se jich, jestli bychom
mohli mít opravdová hesla všech.
13:34
Not surprisinglypřekvapivě, they were a little bitbit reluctantneochotný
351
802096
1754
Nepřekvapivě byli trochu zdráhaví
13:35
to sharepodíl them with us,
352
803850
1550
je s námi sdílet,
13:37
but we were actuallyvlastně ableschopný to work out
353
805400
1810
ale my jsme vlastně byli schopní s nimi
13:39
a systemSystém with them
354
807210
1040
vypracovat systém,
13:40
where they put all of the realnemovitý passwordshesla
355
808250
2109
kam vložili všechna reálná hesla
13:42
for 25,000 CMUCMU studentsstudentů, facultyfakulta and staffpersonál,
356
810359
3091
25000 studentů, učitelů a zaměstnanců,
13:45
into a lockeduzamčen computerpočítač in a lockeduzamčen roompokoj, místnost,
357
813450
2448
do uzamčeného počítače
v uzamčené místnosti,
13:47
not connectedpřipojeno to the InternetInternetu,
358
815898
1394
nepřipojeném k internetu
13:49
and they ranběžel codekód on it that we wrotenapsal
359
817292
1848
a oni na něm spustili kód,
který jsme napsali,
13:51
to analyzeanalyzovat these passwordshesla.
360
819140
2152
abychom zanalyzovali ta hesla.
13:53
They auditedauditované our codekód.
361
821292
1326
Oni nahráli náš kód.
13:54
They ranběžel the codekód.
362
822618
1312
Spustili ten kód.
13:55
And so we never actuallyvlastně saw
363
823930
1738
A tak jsme nikdy vlastně neviděli
13:57
anybody'sněkdo je passwordheslo.
364
825668
2817
ničí heslo.
14:00
We got some interestingzajímavý resultsvýsledky,
365
828485
1515
Dostali jsme nějaké zajímavé výsledky,
14:02
and those of you TepperTepper studentsstudentů in the back
366
830000
1696
a vás, studenty Tepper, vzadu,
14:03
will be very interestedzájem in this.
367
831696
2875
to bude velmi zajímat.
14:06
So we foundnalezeno that the passwordshesla createdvytvořeno
368
834571
3731
Zjistili jsme, že hesla vytvořená
14:10
by people affiliatedve skupině with the
schoolškola of computerpočítač scienceVěda
369
838302
2158
lidmi z fakulty počítačových věd
14:12
were actuallyvlastně 1.8 timesčasy strongersilnější
370
840460
2324
byla vlastně 1.8 krát silnější
14:14
than those affiliatedve skupině with the businesspodnikání schoolškola.
371
842784
3738
než těch z ekonomické fakulty.
14:18
We have lots of other really interestingzajímavý
372
846522
2040
Máme také hodně dalších opravdu zajímavých
14:20
demographicdemografický informationinformace as well.
373
848562
2238
demografických informací.
14:22
The other interestingzajímavý thing that we foundnalezeno
374
850800
1846
Další zajímá věc, kterou jsme zjistili
14:24
is that when we comparedv porovnání
the CarnegieCarnegie MellonMellon passwordshesla
375
852646
2440
je, že když srovnáme
hesla z Carnegie Mellon
14:27
to the MechanicalMechanické Turk-generatedTurk generována passwordshesla,
376
855086
2283
s hesly vygenerovanými na Mechanical Turk,
14:29
there was actuallyvlastně a lot of similaritiespodobnosti,
377
857369
2619
bylo tam celkem hodně podobností,
14:31
and so this helpedpomohl validateověřit our researchvýzkum methodmetoda
378
859988
1948
a pomohlo to ověřit naši výzkumnou metodu
14:33
and showshow that actuallyvlastně, collectingshromažďování passwordshesla
379
861936
2510
a ukázat, že sbírání hesel
14:36
usingpoužitím these MechanicalMechanické TurkTurk studiesstudie
380
864446
1808
za pomoci Mechanical Turk studí
14:38
is actuallyvlastně a validplatný way to studystudie passwordshesla.
381
866254
2788
je vlastně správná cesta ke zkoumání hesel.
14:41
So that was good newszprávy.
382
869042
2285
A to byla dobrá zpráva.
14:43
Okay, I want to closezavřít by talkingmluvící about
383
871327
2414
Dobře, chtěla bych na závěr říct něco
14:45
some insightspoznatky I gainedzískal while on sabbaticalstudijní volno
384
873741
2068
o zkušenosti, kterou jsem získala loni
14:47
last yearrok in the CarnegieCarnegie MellonMellon artumění schoolškola.
385
875809
3201
na roční vědecké dovolené
ve škole umění Carnegie Mellon.
14:51
One of the things that I did
386
879010
1281
Jedna z věcí, kterou jsem vytvořila,
14:52
is I madevyrobeno a numberčíslo of quiltspřikrývky z péřových materiálů,
387
880291
1524
bylo několik přikrývek,
14:53
and I madevyrobeno this quiltpovlečení here.
388
881815
1548
a tohle je jedna z nich.
14:55
It's calledvolal "SecurityBezpečnost BlanketDeka."
389
883363
1899
Jmenuje se "Bezpečnostní deka".
14:57
(LaughterSmích)
390
885262
2431
(Smích)
14:59
And this quiltpovlečení has the 1,000
391
887693
3095
A tato deka obsahuje 1000
15:02
mostvětšina frequentčasté passwordshesla stolenukradený
392
890788
2328
nejčastějších hesel ukradených
15:05
from the RockYouRockYou websitewebová stránka.
393
893116
2571
ze stránky RockYou.
15:07
And the sizevelikost of the passwordshesla is proportionalúměrný
394
895687
2061
A velikost hesel odpovídá tomu,
15:09
to how frequentlyčasto they appearedobjevil se
395
897748
1901
jak často se objevovala
15:11
in the stolenukradený datasetsady dat.
396
899649
2248
v ukradené databázi.
15:13
And what I did is I createdvytvořeno this wordslovo cloudmrak,
397
901897
2632
A tak jsem vytvořila tento mrak slov
15:16
and I wentšel throughpřes all 1,000 wordsslova,
398
904529
2132
a prošla všech 1000 slov
15:18
and I categorizedkategorizovány them into
399
906661
1795
a rozřadila je do
15:20
loosevolný thematictematické categoriesKategorie.
400
908456
2380
volných tematických kategorií.
15:22
And it was, in some casespřípadů,
401
910836
1903
A to bylo, v některých případech,
15:24
it was kinddruh of difficultobtížný to figurepostava out
402
912739
2038
docela složité zjistit,
15:26
what categorykategorie they should be in,
403
914777
1755
do jaké kategorie by měly patřit
15:28
and then I color-codedbarevné rozlišení them.
404
916532
1899
a pak jsem je barevně označila.
15:30
So here are some examplespříklady of the difficultyobtížnost.
405
918431
2619
Tady jsou některé obtížné příklady.
15:33
So "justinJustin."
406
921050
1181
Třeba "justin".
15:34
Is that the namenázev of the useruživatel,
407
922231
1829
Je to jméno uživatele,
15:36
theirjejich boyfriendpřítel, theirjejich sonsyn?
408
924060
1322
jejich přítel, jejich syn?
15:37
Maybe they're a JustinJustin BieberBieber fanfanoušek.
409
925382
2888
Možná jsou jen fanouškem Justina Biebera.
15:40
Or "princessprincezna."
410
928270
2225
Nebo "princezna".
15:42
Is that a nicknamePřezdívka?
411
930495
1635
Je to přezdívka?
15:44
Are they DisneyDisney princessprincezna fansventilátory?
412
932130
1595
Jsou fanoušci Disney princezen?
15:45
Or maybe that's the namenázev of theirjejich catkočka.
413
933725
3694
Nebo možná je to jméno jejich kočky.
15:49
"IloveyouI love you" appearsobjeví se manymnoho timesčasy
414
937419
1655
"Miluji tě" se objevilo mnohokrát
15:51
in manymnoho differentodlišný languagesjazyků.
415
939074
1545
v nespočtu různých jazycích.
15:52
There's a lot of love in these passwordshesla.
416
940619
3735
V těchto heslech je hodně lásky.
15:56
If you look carefullyopatrně, you'llBudete see there's alsotaké
417
944354
1680
Když se podíváte pozorněji, uvidíte, že jsou tam taky
15:58
some profanityvulgární výrazy,
418
946034
2267
určité vulgarismy,
16:00
but it was really interestingzajímavý to me to see
419
948301
1950
ale bylo pro mě opravdu zajímavé vidět,
16:02
that there's a lot more love than hatenenávist
420
950251
2307
že je v těchto heslech
16:04
in these passwordshesla.
421
952558
2292
mnohem více lásky než nenávisti.
16:06
And there are animalszvířata,
422
954850
1490
A jsou tam zvířata,
16:08
a lot of animalszvířata,
423
956340
1360
hodně zvířat,
16:09
and "monkeyopice" is the mostvětšina commonběžný animalzvíře
424
957700
2304
a "opice" je nejčastější zvíře
16:12
and the 14thth mostvětšina popularoblíbený passwordheslo overallcelkově.
425
960004
3675
a 14. nejpopulárnější heslo celkově.
16:15
And this was really curiouszvědavý to me,
426
963679
2231
A to mě opravdu zajímalo,
16:17
and I wonderedpřemýšlel, "Why are monkeysopice so popularoblíbený?"
427
965910
2523
a říkala jsem si: "Proč jsou opice tak populární?"
16:20
And so in our last passwordheslo studystudie,
428
968433
3352
A v naší poslední studii o heslech,
16:23
any time we detectedzjištěn somebodyněkdo
429
971785
1686
pokaždé, když jsme objevili někoho
16:25
creatingvytváření a passwordheslo with the wordslovo "monkeyopice" in it,
430
973471
2649
používat heslo se slovem "opice",
16:28
we askedzeptal se them why they had
a monkeyopice in theirjejich passwordheslo.
431
976120
3030
zeptali jsme se jich,
proč měli opici ve svém hesle.
16:31
And what we foundnalezeno out --
432
979150
1910
A co jsme zjistili -
16:33
we foundnalezeno 17 people so fardaleko, I think,
433
981060
2103
našli jsme zatím 17 lidí, myslím,
16:35
who have the wordslovo "monkeyopice" --
434
983163
1283
co měli slovo "opice" -
16:36
We foundnalezeno out about a thirdTřetí of them said
435
984446
1812
zjistili jsme, že asi třetina z nich řekla,
16:38
they have a petpet namedpojmenovaný "monkeyopice"
436
986258
1740
že mají domácí zvíře jménem "opice"
16:39
or a friendpřítel whosejehož nicknamePřezdívka is "monkeyopice,"
437
987998
2291
nebo kamaráda, jehož přezdívka je "opice",
16:42
and about a thirdTřetí of them said
438
990289
1660
a asi třetina z nich řekla,
16:43
that they just like monkeysopice
439
991949
1533
že prostě mají rádi opice
16:45
and monkeysopice are really cuteFajn.
440
993482
1638
a že opice jsou roztomilé.
16:47
And that guy is really cuteFajn.
441
995120
3639
A ten malý je opravdu roztomilý.
16:50
So it seemszdá se that at the endkonec of the day,
442
998759
3408
Tak se zdá, že nakonec
16:54
when we make passwordshesla,
443
1002167
1783
když tvoříme hesla,
16:55
we eitherbuď make something that's really easysnadný
444
1003950
1974
buď vytvoříme něco,
co je opravdu jednoduché
16:57
to typetyp, a commonběžný patternvzor,
445
1005924
3009
napsat, běžný vzorec,
17:00
or things that remindpřipomenout us of the wordslovo passwordheslo
446
1008933
2486
nebo věci, co nám připomínají slovo heslo
17:03
or the accountúčet that we'vejsme createdvytvořeno the passwordheslo for,
447
1011419
3312
nebo účet, pro který jsme heslo vytvořili,
17:06
or whateverTo je jedno.
448
1014731
2617
nebo cokoliv.
17:09
Or we think about things that make us happyšťastný,
449
1017348
2642
Nebo myslíme na věci,
které nás dělají šťastnými,
17:11
and we createvytvořit our passwordheslo
450
1019990
1304
a tvoříme hesla
17:13
basedna základě on things that make us happyšťastný.
451
1021294
2238
založená na věcech,
co nás dělají šťastnými.
17:15
And while this makesdělá typingpsaní na stroji
452
1023532
2863
A zatímco to dělá psaní
17:18
and rememberingzapamatování your passwordheslo more funzábava,
453
1026395
2870
a zapamatování vašeho hesla více zábavné,
17:21
it alsotaké makesdělá it a lot easiersnadnější
454
1029265
1807
taky je mnohem lehčí
17:23
to guesstipni si your passwordheslo.
455
1031072
1506
vaše heslo uhodnout.
17:24
So I know a lot of these TEDTED TalksRozhovory
456
1032578
1748
Vím, že hodně z těchto TED přednášek
17:26
are inspirationalinspirativní
457
1034326
1634
je inspirativních
17:27
and they make you think about nicepěkný, happyšťastný things,
458
1035960
2461
a že vás přimějí myslet na hezké, veselé věci,
17:30
but when you're creatingvytváření your passwordheslo,
459
1038421
1897
ale když si tvoříte heslo,
17:32
try to think about something elsejiný.
460
1040318
1991
snažte se myslet na něco jiného.
17:34
Thank you.
461
1042309
1107
Děkuji.
(Potlesk)
17:35
(ApplausePotlesk)
462
1043416
553
Translated by Micha Hurbisova
Reviewed by Nicole Minichová

▲Back to top

ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com