ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Was stimmt nicht mit Ihrem Pa$$w0rt?

Filmed:
1,520,582 views

Lorrie Faith Cranor untersuchte Tausende echter Passwörter, um überraschend verbreitete Fehler herauszufinden, die Nutzer – und "Secure Sites" – machen, die Sicherheit gefährden. Wie, werden Sie sich fragen, untersuchte sie Tausende von echten Passwörtern, ohne selbst die Sicherheit von Nutzern zu gefährden? Das ist eine Geschichte für sich. Das sind wissenswerte, geheime Daten, besonders wenn Ihr Passwort 123456 ist ...
- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

Ich bin Professorin
für Technische Informatik
00:12
I am a computerComputer scienceWissenschaft and engineeringIngenieurwesen
professorProfessor here at CarnegieCarnegie MellonMellon,
0
535
3445
hier an der Carnegie Mellon,
00:15
and my researchForschung focuseskonzentriert on
usablenutzbare privacyDatenschutz and securitySicherheit,
1
3980
4248
und meine Forschung konzentriert sich
auf nützlichen Datenschutz.
00:20
and so my friendsFreunde like to give me examplesBeispiele
2
8228
2768
Daher geben meine Freunde
mir gerne Beispiele
00:22
of theirihr frustrationsFrustrationen with computingComputer systemsSysteme,
3
10996
2202
für ihren Frust mit Rechnersystemen,
00:25
especiallyinsbesondere frustrationsFrustrationen relatedverwandte to
4
13198
3354
vor allem in Bezug auf
unbrauchbaren Datenschutz.
00:28
unusableunbrauchbar privacyDatenschutz and securitySicherheit.
5
16552
4112
00:32
So passwordsKennwörter are something that I hearhören a lot about.
6
20664
2711
Ich höre viel über Passwörter.
00:35
A lot of people are frustratedfrustriert with passwordsKennwörter,
7
23375
2880
Viele Menschen sind
von Passwörtern genervt,
00:38
and it's badschlecht enoughgenug
8
26255
1694
und das ist schlimm genug,
00:39
when you have to have one really good passwordPasswort
9
27949
2644
wenn man ein wirklich
gutes Passwort braucht,
00:42
that you can remembermerken
10
30593
1822
das man sich merken kann,
00:44
but nobodyniemand elsesonst is going to be ablefähig to guessvermuten.
11
32415
2894
aber das niemand anders erraten soll.
00:47
But what do you do when you have accountsKonten
12
35309
1637
Was macht man, wenn man Konten
auf hundert verschiedenen Systemen hat
00:48
on a hundredhundert differentanders systemsSysteme
13
36946
1808
00:50
and you're supposedsoll to have a uniqueeinzigartig passwordPasswort
14
38754
2276
und ein individuelles Passwort
für jedes dieser Systeme haben sollte?
00:53
for eachjede einzelne of these systemsSysteme?
15
41030
3037
00:56
It's toughzäh.
16
44067
2184
Das ist schwer.
An der Carnegie Mellon machten sie
es uns ziemlich einfach,
00:58
At CarnegieCarnegie MellonMellon, they used to make it
17
46251
1759
01:00
actuallytatsächlich prettyziemlich easyeinfach for us
18
48010
1299
01:01
to remembermerken our passwordsKennwörter.
19
49309
1737
uns unsere Passwörter zu merken.
01:03
The passwordPasswort requirementAnforderung up throughdurch 2009
20
51046
2403
Bis 2009 war die Anforderung
an ein Passwort nur,
01:05
was just that you had to have a passwordPasswort
21
53449
2379
dass man ein Passwort brauchte
01:07
with at leastam wenigsten one characterCharakter.
22
55828
2211
mit mindestens einem Zeichen.
01:10
PrettyZiemlich easyeinfach. But then they changedgeändert things,
23
58039
2888
Ziemlich einfach.
Aber dann änderten sie es,
und Ende 2009 gaben sie bekannt,
01:12
and at the endEnde of 2009, they announcedangekündigt
24
60927
2670
01:15
that we were going to have a newneu policyPolitik,
25
63597
2376
dass sie eine neue Richtlinie bekämen,
01:17
and this newneu policyPolitik requirederforderlich
26
65973
1863
und die neue Richtlinie verlangte,
01:19
passwordsKennwörter that were at leastam wenigsten eightacht charactersFiguren long,
27
67836
2681
dass Passwörter mindestens
8 Zeichen lang sein mussten.
01:22
with an uppercaseGroßbuchstaben letterBrief, lowercaseKleinbuchstaben letterBrief,
28
70517
1775
mit einem Groß-, einem Kleinbuchstaben,
einer Zahl und einem Symbol.
01:24
a digitZiffer, a symbolSymbol,
29
72292
1288
01:25
you couldn'tkonnte nicht use the samegleich
characterCharakter more than threedrei timesmal,
30
73580
2638
Man durfte dieselben Zeichen
nicht mehr als 3-mal nutzen,
01:28
and it wasn'twar nicht alloweddürfen to be in a dictionaryWörterbuch.
31
76218
2434
und es durfte kein Wort
aus dem Wörterbuch sein.
01:30
Now, when they implementedimplementiert this newneu policyPolitik,
32
78652
2182
Als sie die Richtlinie umsetzten,
01:32
a lot of people, my colleaguesKollegen and friendsFreunde,
33
80834
2310
kamen viele Leute,
meine Kollegen und Freunde,
01:35
camekam up to me and they said, "WowWow,
34
83144
1854
auf mich zu und sagten:
"Wow, das ist wirklich unnütz.
01:36
now that's really unusableunbrauchbar.
35
84998
1512
Warum machen sie das mit uns?
Warum hast du sie nicht gestoppt?"
01:38
Why are they doing this to us,
36
86510
1193
01:39
and why didn't you stop them?"
37
87703
1711
01:41
And I said, "Well, you know what?
38
89414
1356
Und ich sagte: "Weißt du was?
Sie haben mich nicht gefragt."
01:42
They didn't askFragen me."
39
90770
1508
01:44
But I got curiousneugierig, and I decidedbeschlossen to go talk
40
92278
3465
Aber ich wurde neugierig und entschied,
mit den Verantwortlichen
für unsere Computersysteme zu reden
01:47
to the people in chargeberechnen of our computerComputer systemsSysteme
41
95743
1937
01:49
and find out what led them to introducevorstellen
42
97680
2831
und herauszufinden,
was sie veranlasst hatte,
01:52
this newneu policyPolitik,
43
100511
1848
die neue Richtlinie einzuführen.
01:54
and they said that the universityUniversität
44
102359
1584
Sie meinten, die Universität
01:55
had joinedbeigetreten a consortiumKonsortium of universitiesUniversitäten,
45
103943
2366
wäre einem Universitäts--
Verbund beigetreten,
01:58
and one of the requirementsAnforderungen of membershipMitgliedschaft
46
106309
2634
und eine der Anforderungen
an die Mitgliedschaft war,
02:00
was that we had to have strongerstärker passwordsKennwörter
47
108943
2248
dass wir sichere Passwörter brauchten,
02:03
that compliederfüllt with some newneu requirementsAnforderungen,
48
111191
2272
die den neuen Anforderungen entsprachen.
02:05
and these requirementsAnforderungen were that our passwordsKennwörter
49
113463
2104
Die neuen Vorgaben besagten,
unsere Passwörter müssten
mehr Entropie haben.
02:07
had to have a lot of entropyEntropie.
50
115567
1604
02:09
Now entropyEntropie is a complicatedkompliziert termBegriff,
51
117171
2278
Entropie ist ein komplizierter Begriff,
02:11
but basicallyGrundsätzlich gilt it measuresMaßnahmen the strengthStärke of passwordsKennwörter.
52
119449
2798
aber im Wesentlichen misst er
die Stärke von Passwörtern.
02:14
But the thing is, there isn't actuallytatsächlich
53
122247
1979
Es ist nur so, dass es tatsächlich
kein Richtmaß für Entropie gibt.
02:16
a standardStandard measuremessen of entropyEntropie.
54
124226
1949
Das Nationale Institut für
Standards und Technologie
02:18
Now, the NationalNationalen InstituteInstitut
of StandardsNormen and TechnologyTechnologie
55
126175
2399
02:20
has a setSet of guidelinesRichtlinien
56
128574
1553
hat eine Reihe von Richtlinien
mit einigen Faustregeln,
02:22
whichwelche have some rulesRegeln of thumbDaumen
57
130127
2568
02:24
for measuringMessung entropyEntropie,
58
132695
1440
um Entropie zu messen.
02:26
but they don't have anything too specificspezifisch,
59
134135
2895
Aber es gibt nichts wirklich Konkretes.
02:29
and the reasonGrund they only have rulesRegeln of thumbDaumen
60
137030
2337
Der Grund, warum sie
nur Faustregeln haben,
02:31
is it turnswendet sich out they don't actuallytatsächlich have any good dataDaten
61
139367
3136
liegt an der fehlenden guten
Datenlage über Passwörter.
02:34
on passwordsKennwörter.
62
142503
1520
02:36
In factTatsache, theirihr reportBericht statesZustände,
63
144023
2312
In ihrem Bericht heißt es sogar:
02:38
"UnfortunatelyLeider, we do not have much dataDaten
64
146335
2328
"Leider haben wir kaum Daten
zu den von Nutzern unter bestimmten
Bedingungen gewählten Passwörtern.
02:40
on the passwordsKennwörter usersBenutzer
choosewählen underunter particularinsbesondere rulesRegeln.
65
148663
2842
02:43
NISTNIST would like to obtainerhalten more dataDaten
66
151505
2333
Das NIST würde gerne mehr Daten gewinnen,
über die von Nutzern gewählten Passwörter,
02:45
on the passwordsKennwörter usersBenutzer actuallytatsächlich choosewählen,
67
153838
2462
aber Systemadministratoren
zögern verständlicherweise,
02:48
but systemSystem administratorsAdministratoren
are understandablyverständlicherweise reluctantwiderstrebend
68
156300
2463
02:50
to revealverraten passwordPasswort dataDaten to othersAndere."
69
158763
2940
anderen die Passwörter offenzulegen."
02:53
So this is a problemProblem, but our researchForschung groupGruppe
70
161703
3097
Das ist also ein Problem,
aber unsere Forschungsgruppe
sah es als Chance.
02:56
lookedsah at it as an opportunityGelegenheit.
71
164800
2140
02:58
We said, "Well, there's a need
for good passwordPasswort dataDaten.
72
166940
3100
Wir sagten: "Es gibt einen Bedarf
für gute Passwort-Daten.
03:02
Maybe we can collectsammeln some good passwordPasswort dataDaten
73
170040
2148
Vielleicht können wir
gute Passwort-Daten sammeln
03:04
and actuallytatsächlich advanceVoraus the stateBundesland of the artKunst here.
74
172188
2704
und den Stand den Technik verbessern."
03:06
So the first thing we did is,
75
174892
1672
Als Erstes besorgten wir uns
eine Tüte Schokoriegel,
03:08
we got a bagTasche of candySüßigkeiten barsRiegel
76
176564
1556
03:10
and we walkedging around campusCampus
77
178120
1086
liefen über den Campus,
03:11
and talkedsprach to studentsStudenten, facultyFakultät and staffPersonal,
78
179206
2798
sprachen mit Studenten,
Dozenten und Mitarbeitern,
03:14
and askedaufgefordert them for informationInformation
79
182004
1530
und fragten sie nach Informationen
zu ihren Passwörtern.
03:15
about theirihr passwordsKennwörter.
80
183534
1552
03:17
Now we didn't say, "Give us your passwordPasswort."
81
185086
3004
Wir sagten aber nicht:
"Geben Sie uns Ihr Passwort."
03:20
No, we just askedaufgefordert them about theirihr passwordPasswort.
82
188090
2661
Nein, wir fragten sie etwas
über ihr Passwort.
Wie lang ist es?
03:22
How long is it? Does it have a digitZiffer?
83
190751
1478
Hat es eine Zahl, ein Symbol?
03:24
Does it have a symbolSymbol?
84
192229
1068
03:25
And were you annoyedverärgert at havingmit to createerstellen
85
193297
2045
Waren sie verärgert als sie letzte Woche
ein neues erstellen mussten?
03:27
a newneu one last weekWoche?
86
195342
2744
03:30
So we got resultsErgebnisse from 470 studentsStudenten,
87
198086
3206
Wir erhielten Ergebnisse
von 470 Studenten,
Dozenten und Mitarbeiter,
03:33
facultyFakultät and staffPersonal,
88
201292
971
und wir konnten bestätigen,
dass die neue Richtlinie
03:34
and indeedtatsächlich we confirmedBestätigt that the newneu policyPolitik
89
202263
2514
03:36
was very annoyingnervig,
90
204777
1453
wirklich nervig war,
03:38
but we alsoebenfalls foundgefunden that people said
91
206230
1792
aber wir stellten auch fest,
03:40
they feltFilz more securesichern with these newneu passwordsKennwörter.
92
208022
3130
dass Leute sich mit den neuen
Passwörtern sicherer fühlten.
03:43
We foundgefunden that mostdie meisten people knewwusste
93
211152
2306
Wir erfuhren, dass die
meisten Leute wissen,
dass sie ihr Passwort
nicht aufschreiben sollten,
03:45
they were not supposedsoll to
writeschreiben theirihr passwordPasswort down,
94
213458
2152
03:47
and only 13 percentProzent of them did,
95
215610
2391
nur 13 % davon machten das,
03:50
but disturbinglyverstörend, 80 percentProzent of people
96
218001
2416
aber verstörende 80 % der Menschen sagten,
03:52
said they were reusingwiederverwenden theirihr passwordPasswort.
97
220417
2124
dass sie ihr Passwort wieder verwendeten.
03:54
Now, this is actuallytatsächlich more dangerousgefährlich
98
222541
1796
Das ist aber sogar viel gefährlicher
als sein Passwort aufzuschreiben,
03:56
than writingSchreiben your passwordPasswort down,
99
224337
2022
03:58
because it makesmacht you much
more susceptibleanfällig to attackersAngreifer.
100
226359
3561
denn es macht es
für Angreifer viel anfälliger.
04:01
So if you have to, writeschreiben your passwordsKennwörter down,
101
229920
3118
Wenn Sie müssen,
schreiben Sie Ihr Passwort auf,
aber benutzen Sie es nicht wieder.
04:05
but don't reuseWiederverwendung them.
102
233038
1799
04:06
We alsoebenfalls foundgefunden some interestinginteressant things
103
234837
1751
Wir fanden auch interessante Dinge
04:08
about the symbolsSymbole people use in passwordsKennwörter.
104
236588
2961
über die in Passwörtern
verwendeten Symbole heraus.
04:11
So CMUCMU allowserlaubt 32 possiblemöglich symbolsSymbole,
105
239549
2799
Die CMU erlaubt 32 mögliche Symbole,
04:14
but as you can see, there's only a smallklein numberNummer
106
242348
2433
aber wie man sieht,
wird nur ein kleiner Anteil
04:16
that mostdie meisten people are usingmit,
107
244781
1802
von den Menschen genutzt.
04:18
so we're not actuallytatsächlich gettingbekommen very much strengthStärke
108
246583
2941
Daher tragen die Symbole
in unseren Passwörtern
04:21
from the symbolsSymbole in our passwordsKennwörter.
109
249524
2466
nicht viel zur Stärke bei.
04:23
So this was a really interestinginteressant studyStudie,
110
251990
2711
Das war also eine wirklich
interessante Studie,
04:26
and now we had dataDaten from 470 people,
111
254701
2464
und jetzt hatten wir
Daten von 470 Personen,
04:29
but in the schemeplanen of things,
112
257165
1305
aber im Großen und Ganzen,
sind das nicht viele Passwort-Daten.
04:30
that's really not very much passwordPasswort dataDaten,
113
258470
2580
04:33
and so we lookedsah around to see
114
261050
1445
Daher sahen wir uns danach um,
04:34
where could we find additionalzusätzliche passwordPasswort dataDaten?
115
262495
2560
wo wir weitere Passwort-
Daten finden konnten.
04:37
So it turnswendet sich out there are a lot of people
116
265055
2176
Es zeigt sich, dass viele Leute
Passwörter stehlen,
04:39
going around stealingstehlen passwordsKennwörter,
117
267231
2202
04:41
and they oftenhäufig go and postPost these passwordsKennwörter
118
269433
2477
und sie stellen diese Passwörter
dann oft ins Internet.
04:43
on the InternetInternet.
119
271910
1337
04:45
So we were ablefähig to get accessZugriff
120
273247
1673
Wir erlangten Zugang
04:46
to some of these stolengestohlen passwordPasswort setssetzt.
121
274920
3970
zu einigen der gestohlenen
Passworteinstellungen.
Das ist immer noch nicht
ideal für die Erforschung,
04:50
This is still not really idealIdeal for researchForschung, thoughobwohl,
122
278890
2328
04:53
because it's not entirelyvollständig clearklar
123
281218
2037
denn es ist nicht völlig klar,
woher all die Passwörter kamen
04:55
where all of these passwordsKennwörter camekam from,
124
283255
2184
04:57
or exactlygenau what policiesRichtlinien were in effectbewirken
125
285439
2242
oder welche Richtlinien galten,
als die Leute diese Passwörter erstellten.
04:59
when people createderstellt these passwordsKennwörter.
126
287681
2108
05:01
So we wanted to find some better sourceQuelle of dataDaten.
127
289789
3552
Wir wollten daher eine
bessere Datenquelle finden.
05:05
So we decidedbeschlossen that one thing we could do
128
293341
1634
Wir entschieden eine Studie zu machen
05:06
is we could do a studyStudie and have people
129
294975
2129
und Menschen für unsere Studie
Passwörter erstellen zu lassen.
05:09
actuallytatsächlich createerstellen passwordsKennwörter for our studyStudie.
130
297104
3240
05:12
So we used a serviceBedienung callednamens
AmazonAmazon MechanicalMechanische TurkTurk,
131
300344
2821
Wir nutzten einen Service namens
"Amazon Mechanical Turk".
05:15
and this is a serviceBedienung where you can postPost
132
303165
2334
Bei diesem Service kann man
eine kleine Aufgabe online einstellen,
05:17
a smallklein jobJob onlineonline that takes a minuteMinute,
133
305499
2304
für die man ca. 1 Minute,
einige Minuten, eine Stunde braucht,
05:19
a fewwenige minutesProtokoll, an hourStunde,
134
307803
1500
05:21
and payZahlen people, a pennyPenny, tenzehn centsCent, a fewwenige dollarsDollar,
135
309303
2584
und Leuten Cents oder
ein paar Dollar zahlt,
damit sie eine Aufgabe
für einen zu erledigen.
05:23
to do a taskAufgabe for you,
136
311887
1346
05:25
and then you payZahlen them throughdurch AmazonAmazon.comcom.
137
313233
2122
Man bezahlt über Amazon.com.
05:27
So we paidbezahlt people about 50 centsCent
138
315355
2294
Wir zahlten Leuten etwa 50 Cents,
05:29
to createerstellen a passwordPasswort followinges folgen our rulesRegeln
139
317649
2596
um ein Passwort nach
unseren Regeln zu erstellen
05:32
and answeringantwortend a surveyUmfrage,
140
320245
1410
und eine Umfrage zu beantworten.
05:33
and then we paidbezahlt them again to come back
141
321655
2525
Dann bezahlten wir sie erneut,
um sich 2 Tage später wieder einzuloggen,
05:36
two daysTage laterspäter and logLog in
142
324180
2071
05:38
usingmit theirihr passwordPasswort and answeringantwortend anotherein anderer surveyUmfrage.
143
326251
2574
mit ihrem Passwort, und eine
andere Umfrage zu beantworten.
05:40
So we did this, and we collectedgesammelt 5,000 passwordsKennwörter,
144
328825
4464
Wir machten das und
sammelten 5000 Passwörter.
Wir gaben den Leuten eine Menge
verschiedener Richtlinien,
05:45
and we gavegab people a bunchBündel of differentanders policiesRichtlinien
145
333289
2695
05:47
to createerstellen passwordsKennwörter with.
146
335984
1508
um Passwörter zu erstellen.
Manche hatten eine
recht leichte Richtlinie,
05:49
So some people had a prettyziemlich easyeinfach policyPolitik,
147
337492
1910
05:51
we call it BasicGrundlegende8,
148
339402
1539
wir nennen sie "Basic8".
05:52
and here the only ruleRegel was that your passwordPasswort
149
340941
2146
Die einzige Regel war hier,
05:55
had to have at leastam wenigsten eightacht charactersFiguren.
150
343087
3416
dass das Passwort mindestens
8 Zeichen haben muss.
Einige bekamen
eine viel strengere Richtlinie,
05:58
Then some people had a much harderSchwerer policyPolitik,
151
346503
2251
06:00
and this was very similarähnlich to the CMUCMU policyPolitik,
152
348754
2537
ganz ähnlich wie die CMU-Richtlinie,
06:03
that it had to have eightacht charactersFiguren
153
351291
1934
bei der man 8 Zeichen brauchte,
06:05
includingeinschließlich uppercaseGroßbuchstaben, lowercaseKleinbuchstaben, digitZiffer, symbolSymbol,
154
353225
2376
die Groß-, Kleinbuchstabe,
Zahl, Symbol beinhalten,
06:07
and passbestehen a dictionaryWörterbuch checkprüfen.
155
355601
2389
und einen Wörterbuch-Test
bestehen mussten.
Eine andere getestete Richtlinie,
06:09
And one of the other policiesRichtlinien we triedversucht,
156
357990
1335
06:11
and there were a wholeganze bunchBündel more,
157
359325
1270
und es gab noch jede Menge,
war eine namens "Basic16".
06:12
but one of the onesEinsen we triedversucht was callednamens BasicGrundlegende16,
158
360595
2240
06:14
and the only requirementAnforderung here
159
362835
2632
Die einzige Anforderung hier war,
06:17
was that your passwordPasswort had
to have at leastam wenigsten 16 charactersFiguren.
160
365467
3153
dass das Passwort mindestens
16 Zeichen haben musste.
06:20
All right, so now we had 5,000 passwordsKennwörter,
161
368620
2458
Gut, wir hatten jetzt 5000 Passwörter
06:23
and so we had much more detailedAusführliche informationInformation.
162
371078
3563
und damit hatten wir
viel genauere Informationen.
06:26
Again we see that there's only a smallklein numberNummer
163
374641
2559
Wieder sahen wir, dass nur
eine kleine Anzahl von Symbolen
06:29
of symbolsSymbole that people are actuallytatsächlich usingmit
164
377200
1915
für die Passwörter genutzt wurde.
06:31
in theirihr passwordsKennwörter.
165
379115
1886
06:33
We alsoebenfalls wanted to get an ideaIdee of how strongstark
166
381001
2599
Wir wollten eine Vorstellung
von der Stärke der Passwörter bekommen,
06:35
the passwordsKennwörter were that people were creatingErstellen,
167
383600
2771
die die Leuten erstellten.
06:38
but as you maykann recallerinnern, there isn't a good measuremessen
168
386371
2620
Aber wie Sie vielleicht erinnern,
gibt es keine gute Maßeinheit
für Passwort-Stärke.
06:40
of passwordPasswort strengthStärke.
169
388991
1754
06:42
So what we decidedbeschlossen to do was to see
170
390745
2312
Wir beschlossen zu schauen,
wie lange es dauert,
06:45
how long it would take to crackRiss these passwordsKennwörter
171
393057
2370
bis wir die Passwörter knacken würden,
unter Verwendung der besten Knack-Tools,
die die bösen Jungs nutzen,
06:47
usingmit the bestBeste crackingknackend toolsWerkzeuge
172
395427
1414
06:48
that the badschlecht guys are usingmit,
173
396841
1808
06:50
or that we could find informationInformation about
174
398649
2016
oder über die wir Informationen
in der Forschungsliteratur fanden.
06:52
in the researchForschung literatureLiteratur.
175
400665
1537
06:54
So to give you an ideaIdee of how badschlecht guys
176
402202
2758
Hier zeige ich Ihnen, wie böse Jungs
Passwörter knacken.
06:56
go about crackingknackend passwordsKennwörter,
177
404960
2170
Sie klauen eine Passwort-Datei,
06:59
they will stealstehlen a passwordPasswort fileDatei
178
407130
1951
07:01
that will have all of the passwordsKennwörter
179
409081
2153
mit allen Passwörter
in verschlüsselter Form,
07:03
in kindArt of a scrambledRührei formbilden, callednamens a hashHash,
180
411234
2889
"Hash" genannt.
07:06
and so what they'llsie werden do is they'llsie werden make a guessvermuten
181
414123
2562
Sie raten dann,
was ein Passwort sein könnte,
07:08
as to what a passwordPasswort is,
182
416685
1712
lassen es durch eine Hash-Funktion laufen
07:10
runLauf it throughdurch a hashingHashing functionFunktion,
183
418397
1897
07:12
and see whetherob it matchesSpiele
184
420294
1765
und schauen, ob es zu den Passwörtern
07:14
the passwordsKennwörter they have on
theirihr stolengestohlen passwordPasswort listListe.
185
422059
3950
auf der Liste gestohlener
Passwörter passt.
07:18
So a dumbstumm attackerAngreifer will try everyjeden passwordPasswort in orderAuftrag.
186
426009
3105
Ein dummer Angreifer wird jedes
Passwort nacheinander versuchen.
07:21
They'llSie werden startAnfang with AAAAAAAAAA and moveBewegung on to AAAABAAAAB,
187
429114
3568
Sie fangen mit "AAAAA" an
und machen mit "AAAAB" weiter,
07:24
and this is going to take a really long time
188
432682
2418
und es dauert ziemlich lange,
bis sie irgendein Passwort finden,
07:27
before they get any passwordsKennwörter
189
435100
1526
07:28
that people are really likelywahrscheinlich to actuallytatsächlich have.
190
436626
2697
dass Leute wirklich benutzen.
07:31
A smartsmart attackerAngreifer, on the other handHand,
191
439323
2183
Ein schlauer Angreifer andererseits
macht etwas viel Klügeres.
07:33
does something much more cleverklug.
192
441506
1386
07:34
They look at the passwordsKennwörter
193
442892
1826
Sie schauen sich die Passwörter an,
die bekanntermaßen beliebt sind,
07:36
that are knownbekannt to be popularBeliebt
194
444718
1800
07:38
from these stolengestohlen passwordPasswort setssetzt,
195
446518
1727
aus den gestohlenen Passwörtern,
07:40
and they guessvermuten those first.
196
448245
1189
und erraten diese zuerst.
07:41
So they're going to startAnfang by guessingRaten "passwordPasswort,"
197
449434
2134
Sie tippen also erst auf "Passwort",
07:43
and then they'llsie werden guessvermuten "I love you," and "monkeyAffe,"
198
451568
2751
dann tippen sie auf
"Ich liebe dich" und "Affe"
07:46
and "12345678,"
199
454319
2583
und "12345678",
denn diese Passwörter
nutzen die meisten Leute.
07:48
because these are the passwordsKennwörter
200
456902
1312
07:50
that are mostdie meisten likelywahrscheinlich for people to have.
201
458214
1905
07:52
In factTatsache, some of you probablywahrscheinlich have these passwordsKennwörter.
202
460119
3261
Wahrscheinlich haben einige
von Ihnen diese Passwörter.
Wir fanden also heraus,
07:57
So what we foundgefunden
203
465191
1298
07:58
by runningLaufen all of these 5,000 passwordsKennwörter we collectedgesammelt
204
466489
3406
indem wir all diese 5000
Passwörter sammelten
08:01
throughdurch these testsTests to see how strongstark they were,
205
469895
4106
und testeten, wie stark sie waren,
erkannten wir, dass lange Passwörter
ziemlich stark waren.
08:06
we foundgefunden that the long passwordsKennwörter
206
474001
2752
08:08
were actuallytatsächlich prettyziemlich strongstark,
207
476753
1280
08:10
and the complexKomplex passwordsKennwörter were prettyziemlich strongstark too.
208
478033
3262
Komplexe Passwörter
waren auch ziemlich stark.
08:13
HoweverJedoch, when we lookedsah at the surveyUmfrage dataDaten,
209
481295
2442
Aber wenn wir uns
die Umfrage-Daten ansahen,
08:15
we saw that people were really frustratedfrustriert
210
483737
3024
sahen wir, dass viele
wirklich frustriert waren
08:18
by the very complexKomplex passwordsKennwörter,
211
486761
2339
von den sehr komplexen Passwörtern.
08:21
and the long passwordsKennwörter were a lot more usablenutzbare,
212
489100
2630
Lange Passwörter waren viel brauchbarer
08:23
and in some casesFälle, they were actuallytatsächlich
213
491730
1325
und manchmal waren sie sogar
stärker als komplexe Passwörter.
08:25
even strongerstärker than the complexKomplex passwordsKennwörter.
214
493055
2908
08:27
So this suggestsschlägt vor that,
215
495963
1169
Das legt also nahe,
08:29
insteadstattdessen of tellingErzählen people that they need
216
497132
1703
dass es statt den Leuten zu sagen,
sie sollten Symbole, Zahlen
08:30
to put all these symbolsSymbole and numbersNummern
217
498835
1522
08:32
and crazyverrückt things into theirihr passwordsKennwörter,
218
500357
2842
und anderes Zeug in ihren
Passwörtern verwenden,
08:35
we mightMacht be better off just tellingErzählen people
219
503199
2022
wohlmöglich besser wäre zu sagen,
08:37
to have long passwordsKennwörter.
220
505221
2652
man sollte lange Passwörter haben.
08:39
Now here'shier ist the problemProblem, thoughobwohl:
221
507873
1792
Es gibt aber ein Problem:
08:41
Some people had long passwordsKennwörter
222
509665
2255
Einige Leute hatten lange Passwörter,
die nicht wirklich stark waren.
08:43
that actuallytatsächlich weren'twaren nicht very strongstark.
223
511920
1555
08:45
You can make long passwordsKennwörter
224
513475
1997
Man kann lange Passwörter erstellen,
die trotzdem von der Art sind,
08:47
that are still the sortSortieren of thing
225
515472
1556
08:49
that an attackerAngreifer could easilyleicht guessvermuten.
226
517028
1742
die ein Angreifer leicht erraten kann.
08:50
So we need to do more than
just say long passwordsKennwörter.
227
518770
3365
Wir müssen also mehr tun als
nur "lange Passwörter" zu sagen.
Es gibt weitere Anforderungen,
08:54
There has to be some additionalzusätzliche requirementsAnforderungen,
228
522135
1936
08:56
and some of our ongoinglaufend researchForschung is looking at
229
524071
2969
und ein Teil unserer laufenden
Forschung untersucht,
welche weiteren Anforderungen
wir hinzufügen sollten,
08:59
what additionalzusätzliche requirementsAnforderungen we should addhinzufügen
230
527040
2439
09:01
to make for strongerstärker passwordsKennwörter
231
529479
2104
um für sichere Passwörter zu sorgen,
09:03
that alsoebenfalls are going to be easyeinfach for people
232
531583
2312
die für die Menschen auch einfach
zu merken und zu tippen sind.
09:05
to remembermerken and typeArt.
233
533895
2698
Um Leute zu stärkeren Passwörtern
zu bewegen,
09:08
AnotherEin weiterer approachAnsatz to gettingbekommen people to have
234
536593
2126
könnte man als weiteren Ansatz
ein Passwort-Messgerät nutzen.
09:10
strongerstärker passwordsKennwörter is to use a passwordPasswort meterMeter.
235
538719
2257
09:12
Here are some examplesBeispiele.
236
540976
1385
Hier ein paar Beispiele.
09:14
You maykann have seengesehen these on the InternetInternet
237
542361
1401
Vielleicht kennen Sie sie
aus dem Internet,
09:15
when you were creatingErstellen passwordsKennwörter.
238
543762
3057
wenn Sie Passwörter erstellt haben.
09:18
We decidedbeschlossen to do a studyStudie to find out
239
546819
2248
Wir entschieden mit
einer Studie herauszufinden,
09:21
whetherob these passwordPasswort metersMeter actuallytatsächlich work.
240
549067
2887
ob diese Passwort-Messgeräte
wirklich funktionieren.
09:23
Do they actuallytatsächlich help people
241
551954
1421
Helfen Sie Menschen wirklich,
stärkere Passwörter zu finden,
09:25
have strongerstärker passwordsKennwörter,
242
553375
1453
09:26
and if so, whichwelche onesEinsen are better?
243
554828
2086
und wenn ja, welche sind besser?
09:28
So we testedgeprüft passwordPasswort metersMeter that were
244
556914
2507
Also testeten wir Passwort-Checker,
die verschiedene Größen,
Formen, Farben hatten,
09:31
differentanders sizesGrößen, shapesFormen, colorsFarben,
245
559421
2098
09:33
differentanders wordsWörter nextNächster to them,
246
561519
1416
mit verschiedenen Worten daneben.
09:34
and we even testedgeprüft one that was a dancingTanzen bunnyBunny.
247
562935
3275
Wir testeten sogar einen,
der ein tanzender Hase war.
Wenn man ein besseres Passwort eintippt,
09:38
As you typeArt a better passwordPasswort,
248
566210
1582
09:39
the bunnyBunny dancesTänze fasterschneller and fasterschneller.
249
567792
2539
tanzt der Hase immer schneller.
09:42
So this was prettyziemlich funSpaß.
250
570331
2529
Das war sehr lustig.
Wir fanden heraus,
09:44
What we foundgefunden
251
572860
1567
09:46
was that passwordPasswort metersMeter do work.
252
574427
3572
dass Passwortstärke-
Anzeiger funktionieren.
09:49
(LaughterLachen)
253
577999
1801
(Gelächter)
09:51
MostDie meisten of the passwordPasswort metersMeter were actuallytatsächlich effectiveWirksam,
254
579800
3333
Die meisten Passwort-Messer
waren tatsächlich effektiv.
09:55
and the dancingTanzen bunnyBunny was very effectiveWirksam too,
255
583133
2521
Auch der tanzende Hase war sehr effektiv.
09:57
but the passwordPasswort metersMeter that were the mostdie meisten effectiveWirksam
256
585654
2881
Aber die effektivsten
Passwort-Messer waren die,
10:00
were the onesEinsen that madegemacht you work harderSchwerer
257
588535
2355
die einen härter arbeiten ließen,
10:02
before they gavegab you that thumbsDaumen hoch up and said
258
590890
1980
bis sie zustimmten und sagten,
dass man es gut gemacht hatte.
10:04
you were doing a good jobJob,
259
592870
1377
10:06
and in factTatsache we foundgefunden that mostdie meisten
260
594247
1512
Wir stellten aber fest,
die meisten heute im Internet verfügbaren
Passwort-Messer sind zu leicht.
10:07
of the passwordPasswort metersMeter on the InternetInternet todayheute
261
595759
2281
10:10
are too softweich.
262
598040
952
10:10
They tell you you're doing a good jobJob too earlyfrüh,
263
598992
2203
Sie sagen einem zu früh,
dass man es gut macht.
10:13
and if they would just wait a little bitBit
264
601195
1929
Würden sie nur ein bisschen mehr warten,
bevor sie eine positive Rückmeldung geben,
10:15
before givinggeben you that positivepositiv feedbackFeedback,
265
603124
2049
10:17
you probablywahrscheinlich would have better passwordsKennwörter.
266
605173
3160
hätte man vermutlich bessere Passwörter.
10:20
Now anotherein anderer approachAnsatz to better passwordsKennwörter, perhapsvielleicht,
267
608333
3847
Eine andere Methode für
bessere Passwörter ist vielleicht,
10:24
is to use passbestehen phrasesPhrasen insteadstattdessen of passwordsKennwörter.
268
612180
2890
Merksätze statt Passwörter zu nutzen.
10:27
So this was an xkcdxkcd cartoonKarikatur
from a couplePaar of yearsJahre agovor,
269
615070
3418
Das war ein xkcd-Comic
von vor einigen Jahren,
10:30
and the cartoonistKarikaturist suggestsschlägt vor
270
618488
1674
und der Zeichner schlägt vor,
dass wir alle Merksätze nutzen sollten.
10:32
that we should all use passbestehen phrasesPhrasen,
271
620162
2196
10:34
and if you look at the secondzweite rowReihe of this cartoonKarikatur,
272
622358
3170
Wenn man sich die zweite
Reihe des Comics ansieht,
10:37
you can see the cartoonistKarikaturist is suggestingschlägt vor
273
625528
1857
sieht man wie der Zeichner vorschlägt,
10:39
that the passbestehen phrasePhrase "correctrichtig horsePferd batteryBatterie stapleKlammer"
274
627385
3441
dass der Merksatz
"Correct horse battery staple"
10:42
would be a very strongstark passbestehen phrasePhrase
275
630826
2481
ein sehr starker Merksatz wäre
und sehr einfach zu merken ist.
10:45
and something really easyeinfach to remembermerken.
276
633307
1916
10:47
He sayssagt, in factTatsache, you've alreadybereits rememberedfiel ein it.
277
635223
2797
Er sagt, dass Sie ihn sich
gerade schon gemerkt haben.
Wir beschlossen eine
Forschungsstudie zu machen,
10:50
And so we decidedbeschlossen to do a researchForschung studyStudie
278
638020
2150
10:52
to find out whetherob this was truewahr or not.
279
640170
2592
um herauszufinden, ob es stimmte.
10:54
In factTatsache, everybodyjeder who I talk to,
280
642762
1775
Jeder, dem ich erzählte,
dass ich eine Passwort-Studie machte,
10:56
who I mentionerwähnen I'm doing passwordPasswort researchForschung,
281
644537
2042
10:58
they pointPunkt out this cartoonKarikatur.
282
646579
1400
verwies auf diesen Comic.
10:59
"Oh, have you seengesehen it? That xkcdxkcd.
283
647979
1574
"Hast du das gesehen? Von xkcd.
11:01
CorrectRichtig horsePferd batteryBatterie stapleKlammer."
284
649553
1602
Correct horse battery staple."
In einer Forschungsstudie
wollten wir sehen,
11:03
So we did the researchForschung studyStudie to see
285
651155
1806
11:04
what would actuallytatsächlich happengeschehen.
286
652961
2359
was wirklich passieren würde.
11:07
So in our studyStudie, we used MechanicalMechanische TurkTurk again,
287
655320
3060
In unsere Studie nutzten
wir wieder Mechanical Turk,
11:10
and we had the computerComputer pickwähle the randomzufällig wordsWörter
288
658380
4167
und ließen den Computer
zufällige Wörter im Merksatz auswählen.
11:14
in the passbestehen phrasePhrase.
289
662547
1100
11:15
Now the reasonGrund we did this
290
663647
1153
Wir machten das daher,
weil Menschen nicht gut darin sind,
11:16
is that humansMenschen are not very good
291
664800
1586
11:18
at pickingpflücken randomzufällig wordsWörter.
292
666386
1384
zufällige Wörter auszuwählen.
11:19
If we askedaufgefordert a humanMensch to do it,
293
667770
1262
Würden wir Menschen darum bitten,
11:21
they would pickwähle things that were not very randomzufällig.
294
669032
2998
würden sie nicht sehr
zufällige Dinge auswählen.
11:24
So we triedversucht a fewwenige differentanders conditionsBedingungen.
295
672030
2032
Wir testeten daher
verschiedene Bedingungen,
11:26
In one conditionBedingung, the computerComputer pickedabgeholt
296
674062
2090
unter einer Bedingung wählte
der Rechner aus einem Wörterbuch
11:28
from a dictionaryWörterbuch of the very commonverbreitet wordsWörter
297
676152
2216
sehr gängige Wörter
aus dem Englischen aus.
11:30
in the EnglishEnglisch languageSprache,
298
678368
1362
11:31
and so you'ddu würdest get passbestehen phrasesPhrasen like
299
679730
1764
So erhielt man Merksätze wie
11:33
"try there threedrei come."
300
681494
1924
"[Versuch dort drei kommen]."
11:35
And we lookedsah at that, and we said,
301
683418
1732
Wir schauten das an und sagten:
11:37
"Well, that doesn't really seemscheinen very memorableUnvergesslich."
302
685150
3050
"Das scheint nicht sehr einprägsam."
11:40
So then we triedversucht pickingpflücken wordsWörter
303
688200
2240
Dann versuchten wir Worte auszuwählen,
11:42
that camekam from specificspezifisch partsTeile of speechRede,
304
690440
2521
die aus bestimmten Teilen
der Sprache stammen,
11:44
so how about noun-verb-adjective-nounSubstantiv, Verb, Adjektiv-Nomen.
305
692961
2182
z. B. Nomen-Verb-Adjektiv-Nomen.
11:47
That comeskommt up with something
that's sortSortieren of sentence-likeSatz-wie.
306
695143
2577
Dann kommt man zu einer Art Satz.
11:49
So you can get a passbestehen phrasePhrase like
307
697720
2070
Man erhält dann einen Merksatz wie:
11:51
"planplanen buildsbaut sure powerLeistung"
308
699790
1308
"[Plan baut sicher Kraft]"
11:53
or "endEnde determinesbestimmt redrot drugDroge."
309
701098
2786
oder "[Ende bestimmt rote Droge]".
11:55
And these seemedschien a little bitBit more memorableUnvergesslich,
310
703884
2676
Diese erschienen etwas einprägsamer,
11:58
and maybe people would like those a little bitBit better.
311
706560
2822
und vielleicht hätten Menschen
sie ein bisschen lieber.
12:01
We wanted to comparevergleichen them with passwordsKennwörter,
312
709382
2572
Wir wollten sie mit
Passwörtern vergleichen,
12:03
and so we had the computerComputer
pickwähle randomzufällig passwordsKennwörter,
313
711954
3196
daher ließen wir den Rechner
zufällige Wörter auswählen,
diese waren nett und kurz,
aber wie man sieht,
12:07
and these were nicenett and shortkurz, but as you can see,
314
715150
1990
12:09
they don't really look very memorableUnvergesslich.
315
717140
2806
sehen sie nicht sehr einprägsam aus.
Dann probierten wir etwas aus,
12:11
And then we decidedbeschlossen to try something callednamens
316
719946
1396
12:13
a pronounceableaussprechbar passwordPasswort.
317
721342
1646
"aussprechbares Passwort" genannt.
12:14
So here the computerComputer picksTipps randomzufällig syllablesSilben
318
722988
2245
Hier wählt der Rechner zufällig Silben aus
und fügt sie zusammen,
12:17
and putslegt them togetherzusammen
319
725233
1134
12:18
so you have something sortSortieren of pronounceableaussprechbar,
320
726367
2475
dadurch erhält man etwas Aussprechbares
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
321
728842
2602
wie "tufritvi" und "vadasabi".
12:23
That one kindArt of rollsRollen off your tongueZunge.
322
731444
2147
Das geht leicht von den Lippen.
12:25
So these were randomzufällig passwordsKennwörter that were
323
733591
2216
Das sind zufällige Passwörter,
12:27
generatedgeneriert by our computerComputer.
324
735807
2744
die vom Computer erzeugt wurden.
12:30
So what we foundgefunden in this studyStudie was that, surprisinglyüberraschenderweise,
325
738551
2978
Wir fanden in der Studie
etwas Überraschendes heraus:
12:33
passbestehen phrasesPhrasen were not actuallytatsächlich all that good.
326
741529
3768
Merksätze waren gar nicht so gut.
Die Leute konnte sich die Merksätze
12:37
People were not really better at rememberingErinnern
327
745297
2793
12:40
the passbestehen phrasesPhrasen than these randomzufällig passwordsKennwörter,
328
748090
2953
kaum besser merken
als zufällige Passwörter.
12:43
and because the passbestehen phrasesPhrasen are longerlänger,
329
751043
2754
Da Merksätze länger sind,
tippten sie länger,
12:45
they tookdauerte longerlänger to typeArt
330
753797
1226
12:47
and people madegemacht more errorsFehler while typingTippen them in.
331
755023
3010
und beim Eintippen entstanden mehr Fehler.
12:50
So it's not really a clearklar winSieg for passbestehen phrasesPhrasen.
332
758033
3227
Es gibt also keinen klaren
Sieg für Merksätze.
12:53
Sorry, all of you xkcdxkcd fansFans.
333
761260
3345
Tut mir leid, ihr xkcd-Fans.
12:56
On the other handHand, we did find
334
764605
1892
Andererseits fanden wir heraus,
12:58
that pronounceableaussprechbar passwordsKennwörter
335
766497
1804
dass aussprechbare Passwörter
sehr gut funktionierten.
13:00
workedhat funktioniert surprisinglyüberraschenderweise well,
336
768301
1471
13:01
and so we actuallytatsächlich are doing some more researchForschung
337
769772
2418
Daher erforschen wir gerade,
13:04
to see if we can make that
approachAnsatz work even better.
338
772190
3195
ob wir diesen Ansatz
noch verbessern können.
13:07
So one of the problemsProbleme
339
775385
1812
Eins der Probleme mit den
von uns durchgeführten Studien war,
13:09
with some of the studiesStudien that we'vewir haben doneerledigt
340
777197
1623
13:10
is that because they're all doneerledigt
341
778820
1683
dass sie alle mit
Mechanical Turk gemacht wurden.
13:12
usingmit MechanicalMechanische TurkTurk,
342
780503
1590
Das sind keine echten Passwörter.
13:14
these are not people'sMenschen realecht passwordsKennwörter.
343
782093
1812
Das sind Passwörter,
die sie erstellt haben
13:15
They're the passwordsKennwörter that they createderstellt
344
783905
2105
13:18
or the computerComputer createderstellt for them for our studyStudie.
345
786010
2495
oder die der Rechner für sie
für die Studie erzeugt hat.
13:20
And we wanted to know whetherob people
346
788505
1568
Wir wollten wissen, ob Menschen
sich bei ihren echten Passwörtern
13:22
would actuallytatsächlich behavesich verhalten the samegleich way
347
790073
2312
13:24
with theirihr realecht passwordsKennwörter.
348
792385
2227
wirklich genauso verhalten würden.
Wir sprachen daher mit
13:26
So we talkedsprach to the informationInformation
securitySicherheit officeBüro at CarnegieCarnegie MellonMellon
349
794612
3681
den Informationssicherheitsbeauftragten
an der Carnegie Mellon
13:30
and askedaufgefordert them if we could
have everybody'sjedermanns realecht passwordsKennwörter.
350
798293
3803
und baten sie, die echten Passwörter
von allen zu bekommen.
Kein Wunder, dass sie etwas zögerten,
sie mit uns zu teilen,
13:34
Not surprisinglyüberraschenderweise, they were a little bitBit reluctantwiderstrebend
351
802096
1754
13:35
to shareAktie them with us,
352
803850
1550
13:37
but we were actuallytatsächlich ablefähig to work out
353
805400
1810
aber wir erarbeiteten
mit ihnen ein System,
13:39
a systemSystem with them
354
807210
1040
13:40
where they put all of the realecht passwordsKennwörter
355
808250
2109
wo sie alle echten Passwörter
13:42
for 25,000 CMUCMU studentsStudenten, facultyFakultät and staffPersonal,
356
810359
3091
für 25 000 CMU-Studenten,
-Dozenten und -Mitarbeiter
in einen gesicherten Rechner
in einem gesicherten Raum eingaben,
13:45
into a lockedeingesperrt computerComputer in a lockedeingesperrt roomZimmer,
357
813450
2448
13:47
not connectedin Verbindung gebracht to the InternetInternet,
358
815898
1394
ohne Verbindung zum Internet,
13:49
and they ranlief codeCode on it that we wroteschrieb
359
817292
1848
und sie führten eine Code aus,
den wir schrieben,
13:51
to analyzeanalysieren these passwordsKennwörter.
360
819140
2152
um diese Passwörter zu analysieren.
13:53
They auditedgeprüften our codeCode.
361
821292
1326
Sie prüften unseren Code.
13:54
They ranlief the codeCode.
362
822618
1312
Sie führten den Code aus.
13:55
And so we never actuallytatsächlich saw
363
823930
1738
Wir sahen also tatsächlich
von niemandem das Passwort.
13:57
anybody'sjemandes passwordPasswort.
364
825668
2817
Wir erhielten interessante Ergebnisse,
14:00
We got some interestinginteressant resultsErgebnisse,
365
828485
1515
14:02
and those of you TepperTepper studentsStudenten in the back
366
830000
1696
und alle Tepper-Studenten
in den hinteren Reihen
14:03
will be very interestedinteressiert in this.
367
831696
2875
wird das sehr interessieren.
14:06
So we foundgefunden that the passwordsKennwörter createderstellt
368
834571
3731
Wir stellten fest, dass die von
Angestellten der Informatik-Fakultät
14:10
by people affiliatedverbundenen with the
schoolSchule of computerComputer scienceWissenschaft
369
838302
2158
erstellten Passwörter
1,8-mal stärker waren,
14:12
were actuallytatsächlich 1.8 timesmal strongerstärker
370
840460
2324
14:14
than those affiliatedverbundenen with the businessGeschäft schoolSchule.
371
842784
3738
als die der Angestellten
der Fakultät für Wirtschaft.
14:18
We have lots of other really interestinginteressant
372
846522
2040
Wir haben auch noch einige andere
interessante demografische Informationen.
14:20
demographicdemographisch informationInformation as well.
373
848562
2238
14:22
The other interestinginteressant thing that we foundgefunden
374
850800
1846
Es war interessant zu sehen,
14:24
is that when we comparedverglichen
the CarnegieCarnegie MellonMellon passwordsKennwörter
375
852646
2440
dass, als wir die
Carnegie-Mellon-Passwörter
mit denen von Mechanical Turk
generierten Passwörtern verglichen,
14:27
to the MechanicalMechanische Turk-generatedTurk-generiert passwordsKennwörter,
376
855086
2283
14:29
there was actuallytatsächlich a lot of similaritiesÄhnlichkeiten,
377
857369
2619
es viele Parallelen gab.
Dies half dabei, unsere
Forschungsmethode zu bestätigen
14:31
and so this helpedhalf validatevalidieren our researchForschung methodMethode
378
859988
1948
14:33
and showShow that actuallytatsächlich, collectingSammeln passwordsKennwörter
379
861936
2510
und zu zeigen, dass
Sammeln von Passwörtern
14:36
usingmit these MechanicalMechanische TurkTurk studiesStudien
380
864446
1808
mit den Mechanical-Turk-Studien
14:38
is actuallytatsächlich a validgültig way to studyStudie passwordsKennwörter.
381
866254
2788
eine gültige Weise war,
Passwörter zu untersuchen.
14:41
So that was good newsNachrichten.
382
869042
2285
Das sind also gute Neuigkeiten.
14:43
Okay, I want to closeschließen by talkingim Gespräch about
383
871327
2414
Zum Schluss möchte ich noch
über ein paar Erkenntnisse sprechen,
14:45
some insightsEinblicke I gainedgewonnen while on sabbaticalSabbatical
384
873741
2068
die ich während
des Sabbatical letztes Jahr
14:47
last yearJahr in the CarnegieCarnegie MellonMellon artKunst schoolSchule.
385
875809
3201
an der Carnegie Mellon-
Kunsthochschule gewann.
14:51
One of the things that I did
386
879010
1281
Ich machte unter anderem
eine Anzahl von Quilts,
14:52
is I madegemacht a numberNummer of quiltsSteppdecken,
387
880291
1524
14:53
and I madegemacht this quiltQuilt here.
388
881815
1548
und ich machte diesen Quilt hier.
14:55
It's callednamens "SecuritySicherheit BlanketDecke."
389
883363
1899
Er nennt sich "Sicherheitspolster".
14:57
(LaughterLachen)
390
885262
2431
(Gelächter)
14:59
And this quiltQuilt has the 1,000
391
887693
3095
Dieser Quilt zeigt die 1000
gängigsten gestohlenen Passwörter
15:02
mostdie meisten frequenthäufig passwordsKennwörter stolengestohlen
392
890788
2328
15:05
from the RockYouRockYou websiteWebseite.
393
893116
2571
von der RockYou-Website.
15:07
And the sizeGröße of the passwordsKennwörter is proportionalproportional
394
895687
2061
Die Größe eines Passworts ist proportional
zur Häufigkeit seines Auftretens
15:09
to how frequentlyhäufig they appearederschienen
395
897748
1901
15:11
in the stolengestohlen datasetDataset.
396
899649
2248
im gestohlenen Datensatz.
Ich schuf diese Wortwolke,
15:13
And what I did is I createderstellt this wordWort cloudWolke,
397
901897
2632
15:16
and I wentging throughdurch all 1,000 wordsWörter,
398
904529
2132
ich ging alle 1000 Wörter durch
15:18
and I categorizedkategorisiert them into
399
906661
1795
und teilte sie in lose
thematische Kategorien ein.
15:20
looselose thematicthematische categoriesKategorien.
400
908456
2380
15:22
And it was, in some casesFälle,
401
910836
1903
Und manchmal war es
ziemlich schwierig herauszufinden,
15:24
it was kindArt of difficultschwer to figureZahl out
402
912739
2038
in welcher Kategorie sie sein sollten,
und kodierte sie nach Farbe.
15:26
what categoryKategorie they should be in,
403
914777
1755
15:28
and then I color-codedfarblich gekennzeichnet them.
404
916532
1899
15:30
So here are some examplesBeispiele of the difficultySchwierigkeit.
405
918431
2619
Hier sind ein paar Beispiele
für die Schwierigkeit.
15:33
So "justinJustin."
406
921050
1181
Etwa "Justin".
15:34
Is that the nameName of the userBenutzer,
407
922231
1829
Ist das der Name des Nutzers,
des Freundes, des Sohns?
15:36
theirihr boyfriendFreund, theirihr sonSohn?
408
924060
1322
15:37
Maybe they're a JustinJustin BieberBieber fanVentilator.
409
925382
2888
Vielleicht sind sie nur eine Bieber-Fan.
15:40
Or "princessPrinzessin."
410
928270
2225
Oder "Prinzessin".
15:42
Is that a nicknameSpitznamen?
411
930495
1635
Ist das eine Spitzname?
15:44
Are they DisneyDisney princessPrinzessin fansFans?
412
932130
1595
Oder sind sie Disney-Prinzessinnen-Fans?
15:45
Or maybe that's the nameName of theirihr catKatze.
413
933725
3694
Oder vielleicht ist
das der Name ihrer Katze.
15:49
"IloveyouILOVEYOU" appearserscheint manyviele timesmal
414
937419
1655
"iloveyou" erscheint häufig
in vielen verschiedenen Sprachen.
15:51
in manyviele differentanders languagesSprachen.
415
939074
1545
15:52
There's a lot of love in these passwordsKennwörter.
416
940619
3735
Es gibt viel Liebe in diesen Passwörtern.
15:56
If you look carefullyvorsichtig, you'lldu wirst see there's alsoebenfalls
417
944354
1680
Wenn man genau hinsieht,
sieht man auch Alltägliches.
15:58
some profanityObszönitäten,
418
946034
2267
Aber für mich war es
wirklich interessant zu sehen,
16:00
but it was really interestinginteressant to me to see
419
948301
1950
16:02
that there's a lot more love than hateHass
420
950251
2307
dass in den Passwörtern
viel mehr Liebe als Hass steckt.
16:04
in these passwordsKennwörter.
421
952558
2292
16:06
And there are animalsTiere,
422
954850
1490
Es gibt auch viele Tiere.
16:08
a lot of animalsTiere,
423
956340
1360
16:09
and "monkeyAffe" is the mostdie meisten commonverbreitet animalTier
424
957700
2304
"Affe" ist das häufigste Tier
16:12
and the 14thth mostdie meisten popularBeliebt passwordPasswort overallinsgesamt.
425
960004
3675
und das am 14. beliebteste
Passwort überhaupt.
Das war sehr seltsam für mich,
16:15
And this was really curiousneugierig to me,
426
963679
2231
16:17
and I wonderedwunderte sich, "Why are monkeysAffen so popularBeliebt?"
427
965910
2523
und ich fragte mich:
"Warum sind Affen so beliebt?"
16:20
And so in our last passwordPasswort studyStudie,
428
968433
3352
In unserer letzten Passwort-Studie
fragten wir immer,
wenn wir jemanden fanden,
16:23
any time we detectederkannt somebodyjemand
429
971785
1686
16:25
creatingErstellen a passwordPasswort with the wordWort "monkeyAffe" in it,
430
973471
2649
der ein Passwort mit
dem Wort "Affe" anlegte,
16:28
we askedaufgefordert them why they had
a monkeyAffe in theirihr passwordPasswort.
431
976120
3030
warum sie Affe im Passwort hatten.
16:31
And what we foundgefunden out --
432
979150
1910
Und wir fanden heraus --
wir fanden bisher 17 Menschen,
die das Wort "Affe" nutzen --
16:33
we foundgefunden 17 people so farweit, I think,
433
981060
2103
16:35
who have the wordWort "monkeyAffe" --
434
983163
1283
dass ein Drittel von ihnen
ein Haustier namens "Affe" hätten,
16:36
We foundgefunden out about a thirddritte of them said
435
984446
1812
16:38
they have a petHaustier namedgenannt "monkeyAffe"
436
986258
1740
16:39
or a friendFreund whosederen nicknameSpitznamen is "monkeyAffe,"
437
987998
2291
oder einen Freund,
dessen Spitzname "Affe" war.
16:42
and about a thirddritte of them said
438
990289
1660
Und ein Drittel von ihnen sagte,
16:43
that they just like monkeysAffen
439
991949
1533
dass sie Affen einfach mögen
und Affen wirklich süß sind.
16:45
and monkeysAffen are really cuteniedlich.
440
993482
1638
16:47
And that guy is really cuteniedlich.
441
995120
3639
Dieser Affe ist wirklich süß.
Letztendlich scheint es so,
16:50
So it seemsscheint that at the endEnde of the day,
442
998759
3408
16:54
when we make passwordsKennwörter,
443
1002167
1783
wenn wir Passwörter erstellen,
16:55
we eitherentweder make something that's really easyeinfach
444
1003950
1974
nehmen wir etwas wirklich Einfaches
zum Tippen, ein gängiges Muster,
16:57
to typeArt, a commonverbreitet patternMuster,
445
1005924
3009
17:00
or things that reminderinnern us of the wordWort passwordPasswort
446
1008933
2486
oder Dinge, die uns an
das Wort Passwort erinnern,
17:03
or the accountKonto that we'vewir haben createderstellt the passwordPasswort for,
447
1011419
3312
oder an das Konto, für das wir
das Passwort erstellt haben,
17:06
or whateverwas auch immer.
448
1014731
2617
oder so etwas.
17:09
Or we think about things that make us happyglücklich,
449
1017348
2642
Oder wir denken an Dinge,
die uns glücklich machen,
und wir nehmen ein Passwort,
17:11
and we createerstellen our passwordPasswort
450
1019990
1304
17:13
basedbasierend on things that make us happyglücklich.
451
1021294
2238
basierend auf Dingen,
die uns glücklich machen.
17:15
And while this makesmacht typingTippen
452
1023532
2863
Obwohl dadurch das Tippen und Erinnern
Ihres Passwort mehr Spaß macht,
17:18
and rememberingErinnern your passwordPasswort more funSpaß,
453
1026395
2870
17:21
it alsoebenfalls makesmacht it a lot easiereinfacher
454
1029265
1807
erleichtert es auch sehr,
Ihr Passwort zu erraten.
17:23
to guessvermuten your passwordPasswort.
455
1031072
1506
17:24
So I know a lot of these TEDTED TalksGespräche
456
1032578
1748
Ich weiß, dass viele
der TEDTalks inspirierend sind
17:26
are inspirationalinspirierende
457
1034326
1634
17:27
and they make you think about nicenett, happyglücklich things,
458
1035960
2461
und einen an nette,
fröhliche Dinge denken lassen,
17:30
but when you're creatingErstellen your passwordPasswort,
459
1038421
1897
aber wenn Sie Passwort erstellen,
versuchen Sie an etwas anderes zu denken.
17:32
try to think about something elsesonst.
460
1040318
1991
17:34
Thank you.
461
1042309
1107
Danke.
17:35
(ApplauseApplaus)
462
1043416
553
Translated by Angelika Lueckert Leon
Reviewed by Nadine Hennig

▲Back to top

ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com