English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Was stimmt nicht mit Ihrem Pa$$w0rt?

Filmed:
1,509,194 views

Lorrie Faith Cranor untersuchte Tausende echter Passwörter, um überraschend verbreitete Fehler herauszufinden, die Nutzer – und "Secure Sites" – machen, die Sicherheit gefährden. Wie, werden Sie sich fragen, untersuchte sie Tausende von echten Passwörtern, ohne selbst die Sicherheit von Nutzern zu gefährden? Das ist eine Geschichte für sich. Das sind wissenswerte, geheime Daten, besonders wenn Ihr Passwort 123456 ist ...

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Ich bin Professorin
für Technische Informatik
00:12
I am a computerComputer scienceWissenschaft and engineeringIngenieurwesen
professorProfessor here at CarnegieCarnegie MellonMellon,
hier an der Carnegie Mellon,
00:15
and my researchForschung focuseskonzentriert on
usablenutzbare privacyDatenschutz and securitySicherheit,
und meine Forschung konzentriert sich
auf nützlichen Datenschutz.
Daher geben meine Freunde
mir gerne Beispiele
00:20
and so my friendsFreunde like to give me examplesBeispiele
für ihren Frust mit Rechnersystemen,
00:22
of theirihr frustrationsFrustrationen with computingComputer systemsSysteme,
vor allem in Bezug auf
unbrauchbaren Datenschutz.
00:25
especiallyinsbesondere frustrationsFrustrationen relatedverwandte to
00:28
unusableunbrauchbar privacyDatenschutz and securitySicherheit.
Ich höre viel über Passwörter.
00:32
So passwordsKennwörter are something that I hearhören a lot about.
Viele Menschen sind
von Passwörtern genervt,
00:35
A lot of people are frustratedfrustriert with passwordsKennwörter,
und das ist schlimm genug,
00:38
and it's badschlecht enoughgenug
wenn man ein wirklich
gutes Passwort braucht,
00:39
when you have to have one really good passwordPasswort
das man sich merken kann,
00:42
that you can remembermerken
aber das niemand anders erraten soll.
00:44
but nobodyniemand elsesonst is going to be ablefähig to guessvermuten.
Was macht man, wenn man Konten
auf hundert verschiedenen Systemen hat
00:47
But what do you do when you have accountsKonten
00:48
on a hundredhundert differentanders systemsSysteme
00:50
and you're supposedsoll to have a uniqueeinzigartig passwordPasswort
und ein individuelles Passwort
für jedes dieser Systeme haben sollte?
00:53
for eachjede einzelne of these systemsSysteme?
00:56
It's toughzäh.
Das ist schwer.
An der Carnegie Mellon machten sie
es uns ziemlich einfach,
00:58
At CarnegieCarnegie MellonMellon, they used to make it
01:00
actuallytatsächlich prettyziemlich easyeinfach for us
01:01
to remembermerken our passwordsKennwörter.
uns unsere Passwörter zu merken.
Bis 2009 war die Anforderung
an ein Passwort nur,
01:03
The passwordPasswort requirementAnforderung up throughdurch 2009
dass man ein Passwort brauchte
01:05
was just that you had to have a passwordPasswort
mit mindestens einem Zeichen.
01:07
with at leastam wenigsten one characterCharakter.
Ziemlich einfach.
01:10
PrettyZiemlich easyeinfach. But then they changedgeändert things,
Aber dann änderten sie es,
und Ende 2009 gaben sie bekannt,
01:12
and at the endEnde of 2009, they announcedangekündigt
dass sie eine neue Richtlinie bekämen,
01:15
that we were going to have a newneu policyPolitik,
und die neue Richtlinie verlangte,
01:17
and this newneu policyPolitik requirederforderlich
dass Passwörter mindestens
8 Zeichen lang sein mussten.
01:19
passwordsKennwörter that were at leastam wenigsten eightacht charactersFiguren long,
mit einem Groß-, einem Kleinbuchstaben,
einer Zahl und einem Symbol.
01:22
with an uppercaseGroßbuchstaben letterBrief, lowercaseKleinbuchstaben letterBrief,
01:24
a digitZiffer, a symbolSymbol,
01:25
you couldn'tkonnte nicht use the samegleich
characterCharakter more than threedrei timesmal,
Man durfte dieselben Zeichen
nicht mehr als 3-mal nutzen,
01:28
and it wasn'twar nicht alloweddürfen to be in a dictionaryWörterbuch.
und es durfte kein Wort
aus dem Wörterbuch sein.
01:30
Now, when they implementedimplementiert this newneu policyPolitik,
Als sie die Richtlinie umsetzten,
kamen viele Leute,
meine Kollegen und Freunde,
01:32
a lot of people, my colleaguesKollegen and friendsFreunde,
auf mich zu und sagten:
01:35
camekam up to me and they said, "WowWow,
"Wow, das ist wirklich unnütz.
01:36
now that's really unusableunbrauchbar.
Warum machen sie das mit uns?
Warum hast du sie nicht gestoppt?"
01:38
Why are they doing this to us,
01:39
and why didn't you stop them?"
01:41
And I said, "Well, you know what?
Und ich sagte: "Weißt du was?
Sie haben mich nicht gefragt."
01:42
They didn't askFragen me."
01:44
But I got curiousneugierig, and I decidedbeschlossen to go talk
Aber ich wurde neugierig und entschied,
mit den Verantwortlichen
für unsere Computersysteme zu reden
01:47
to the people in chargeberechnen of our computerComputer systemsSysteme
01:49
and find out what led them to introducevorstellen
und herauszufinden,
was sie veranlasst hatte,
die neue Richtlinie einzuführen.
01:52
this newneu policyPolitik,
Sie meinten, die Universität
01:54
and they said that the universityUniversität
wäre einem Universitäts--
Verbund beigetreten,
01:55
had joinedbeigetreten a consortiumKonsortium of universitiesUniversitäten,
und eine der Anforderungen
an die Mitgliedschaft war,
01:58
and one of the requirementsAnforderungen of membershipMitgliedschaft
dass wir sichere Passwörter brauchten,
02:00
was that we had to have strongerstärker passwordsKennwörter
die den neuen Anforderungen entsprachen.
02:03
that compliederfüllt with some newneu requirementsAnforderungen,
Die neuen Vorgaben besagten,
02:05
and these requirementsAnforderungen were that our passwordsKennwörter
unsere Passwörter müssten
mehr Entropie haben.
02:07
had to have a lot of entropyEntropie.
02:09
Now entropyEntropie is a complicatedkompliziert termBegriff,
Entropie ist ein komplizierter Begriff,
aber im Wesentlichen misst er
die Stärke von Passwörtern.
02:11
but basicallyGrundsätzlich gilt it measuresMaßnahmen the strengthStärke of passwordsKennwörter.
Es ist nur so, dass es tatsächlich
kein Richtmaß für Entropie gibt.
02:14
But the thing is, there isn't actuallytatsächlich
02:16
a standardStandard measuremessen of entropyEntropie.
Das Nationale Institut für
Standards und Technologie
02:18
Now, the NationalNationalen InstituteInstitut
of StandardsNormen and TechnologyTechnologie
02:20
has a setSet of guidelinesRichtlinien
hat eine Reihe von Richtlinien
mit einigen Faustregeln,
02:22
whichwelche have some rulesRegeln of thumbDaumen
um Entropie zu messen.
02:24
for measuringMessung entropyEntropie,
Aber es gibt nichts wirklich Konkretes.
02:26
but they don't have anything too specificspezifisch,
Der Grund, warum sie
nur Faustregeln haben,
02:29
and the reasonGrund they only have rulesRegeln of thumbDaumen
02:31
is it turnswendet sich out they don't actuallytatsächlich have any good dataDaten
liegt an der fehlenden guten
Datenlage über Passwörter.
02:34
on passwordsKennwörter.
In ihrem Bericht heißt es sogar:
02:36
In factTatsache, theirihr reportBericht statesZustände,
"Leider haben wir kaum Daten
02:38
"UnfortunatelyLeider, we do not have much dataDaten
zu den von Nutzern unter bestimmten
Bedingungen gewählten Passwörtern.
02:40
on the passwordsKennwörter usersBenutzer
choosewählen underunter particularinsbesondere rulesRegeln.
02:43
NISTNIST would like to obtainerhalten more dataDaten
Das NIST würde gerne mehr Daten gewinnen,
über die von Nutzern gewählten Passwörter,
02:45
on the passwordsKennwörter usersBenutzer actuallytatsächlich choosewählen,
aber Systemadministratoren
zögern verständlicherweise,
02:48
but systemSystem administratorsAdministratoren
are understandablyverständlicherweise reluctantwiderstrebend
02:50
to revealverraten passwordPasswort dataDaten to othersAndere."
anderen die Passwörter offenzulegen."
Das ist also ein Problem,
02:53
So this is a problemProblem, but our researchForschung groupGruppe
aber unsere Forschungsgruppe
sah es als Chance.
02:56
lookedsah at it as an opportunityGelegenheit.
Wir sagten: "Es gibt einen Bedarf
für gute Passwort-Daten.
02:58
We said, "Well, there's a need
for good passwordPasswort dataDaten.
Vielleicht können wir
gute Passwort-Daten sammeln
03:02
Maybe we can collectsammeln some good passwordPasswort dataDaten
03:04
and actuallytatsächlich advanceVoraus the stateBundesland of the artKunst here.
und den Stand den Technik verbessern."
Als Erstes besorgten wir uns
eine Tüte Schokoriegel,
03:06
So the first thing we did is,
03:08
we got a bagTasche of candySüßigkeiten barsRiegel
liefen über den Campus,
03:10
and we walkedging around campusCampus
03:11
and talkedsprach to studentsStudenten, facultyFakultät and staffPersonal,
sprachen mit Studenten,
Dozenten und Mitarbeitern,
03:14
and askedaufgefordert them for informationInformation
und fragten sie nach Informationen
zu ihren Passwörtern.
03:15
about theirihr passwordsKennwörter.
03:17
Now we didn't say, "Give us your passwordPasswort."
Wir sagten aber nicht:
"Geben Sie uns Ihr Passwort."
03:20
No, we just askedaufgefordert them about theirihr passwordPasswort.
Nein, wir fragten sie etwas
über ihr Passwort.
Wie lang ist es?
03:22
How long is it? Does it have a digitZiffer?
Hat es eine Zahl, ein Symbol?
03:24
Does it have a symbolSymbol?
03:25
And were you annoyedverärgert at havingmit to createerstellen
Waren sie verärgert als sie letzte Woche
ein neues erstellen mussten?
03:27
a newneu one last weekWoche?
03:30
So we got resultsErgebnisse from 470 studentsStudenten,
Wir erhielten Ergebnisse
von 470 Studenten,
Dozenten und Mitarbeiter,
03:33
facultyFakultät and staffPersonal,
und wir konnten bestätigen,
dass die neue Richtlinie
03:34
and indeedtatsächlich we confirmedBestätigt that the newneu policyPolitik
wirklich nervig war,
03:36
was very annoyingnervig,
aber wir stellten auch fest,
03:38
but we alsoebenfalls foundgefunden that people said
dass Leute sich mit den neuen
Passwörtern sicherer fühlten.
03:40
they feltFilz more securesichern with these newneu passwordsKennwörter.
Wir erfuhren, dass die
meisten Leute wissen,
03:43
We foundgefunden that mostdie meisten people knewwusste
dass sie ihr Passwort
nicht aufschreiben sollten,
03:45
they were not supposedsoll to
writeschreiben theirihr passwordPasswort down,
03:47
and only 13 percentProzent of them did,
nur 13 % davon machten das,
aber verstörende 80 % der Menschen sagten,
03:50
but disturbinglyverstörend, 80 percentProzent of people
dass sie ihr Passwort wieder verwendeten.
03:52
said they were reusingwiederverwenden theirihr passwordPasswort.
03:54
Now, this is actuallytatsächlich more dangerousgefährlich
Das ist aber sogar viel gefährlicher
als sein Passwort aufzuschreiben,
03:56
than writingSchreiben your passwordPasswort down,
03:58
because it makesmacht you much
more susceptibleanfällig to attackersAngreifer.
denn es macht es
für Angreifer viel anfälliger.
Wenn Sie müssen,
04:01
So if you have to, writeschreiben your passwordsKennwörter down,
schreiben Sie Ihr Passwort auf,
aber benutzen Sie es nicht wieder.
04:05
but don't reuseWiederverwendung them.
Wir fanden auch interessante Dinge
04:06
We alsoebenfalls foundgefunden some interestinginteressant things
über die in Passwörtern
verwendeten Symbole heraus.
04:08
about the symbolsSymbole people use in passwordsKennwörter.
Die CMU erlaubt 32 mögliche Symbole,
04:11
So CMUCMU allowserlaubt 32 possiblemöglich symbolsSymbole,
aber wie man sieht,
wird nur ein kleiner Anteil
04:14
but as you can see, there's only a smallklein numberNummer
von den Menschen genutzt.
04:16
that mostdie meisten people are usingmit,
Daher tragen die Symbole
in unseren Passwörtern
04:18
so we're not actuallytatsächlich gettingbekommen very much strengthStärke
nicht viel zur Stärke bei.
04:21
from the symbolsSymbole in our passwordsKennwörter.
Das war also eine wirklich
interessante Studie,
04:23
So this was a really interestinginteressant studyStudie,
und jetzt hatten wir
Daten von 470 Personen,
04:26
and now we had dataDaten from 470 people,
aber im Großen und Ganzen,
sind das nicht viele Passwort-Daten.
04:29
but in the schemeplanen of things,
04:30
that's really not very much passwordPasswort dataDaten,
Daher sahen wir uns danach um,
04:33
and so we lookedsah around to see
04:34
where could we find additionalzusätzliche passwordPasswort dataDaten?
wo wir weitere Passwort-
Daten finden konnten.
04:37
So it turnswendet sich out there are a lot of people
Es zeigt sich, dass viele Leute
Passwörter stehlen,
04:39
going around stealingstehlen passwordsKennwörter,
und sie stellen diese Passwörter
dann oft ins Internet.
04:41
and they oftenhäufig go and postPost these passwordsKennwörter
04:43
on the InternetInternet.
Wir erlangten Zugang
04:45
So we were ablefähig to get accessZugriff
04:46
to some of these stolengestohlen passwordPasswort setssetzt.
zu einigen der gestohlenen
Passworteinstellungen.
Das ist immer noch nicht
ideal für die Erforschung,
04:50
This is still not really idealIdeal for researchForschung, thoughobwohl,
04:53
because it's not entirelyvollständig clearklar
denn es ist nicht völlig klar,
woher all die Passwörter kamen
04:55
where all of these passwordsKennwörter camekam from,
oder welche Richtlinien galten,
als die Leute diese Passwörter erstellten.
04:57
or exactlygenau what policiesRichtlinien were in effectbewirken
04:59
when people createderstellt these passwordsKennwörter.
05:01
So we wanted to find some better sourceQuelle of dataDaten.
Wir wollten daher eine
bessere Datenquelle finden.
Wir entschieden eine Studie zu machen
05:05
So we decidedbeschlossen that one thing we could do
05:06
is we could do a studyStudie and have people
und Menschen für unsere Studie
Passwörter erstellen zu lassen.
05:09
actuallytatsächlich createerstellen passwordsKennwörter for our studyStudie.
Wir nutzten einen Service namens
"Amazon Mechanical Turk".
05:12
So we used a serviceBedienung callednamens
AmazonAmazon MechanicalMechanische TurkTurk,
Bei diesem Service kann man
eine kleine Aufgabe online einstellen,
05:15
and this is a serviceBedienung where you can postPost
05:17
a smallklein jobJob onlineonline that takes a minuteMinute,
für die man ca. 1 Minute,
einige Minuten, eine Stunde braucht,
05:19
a fewwenige minutesProtokoll, an hourStunde,
05:21
and payZahlen people, a pennyPenny, tenzehn centsCent, a fewwenige dollarsDollar,
und Leuten Cents oder
ein paar Dollar zahlt,
damit sie eine Aufgabe
für einen zu erledigen.
05:23
to do a taskAufgabe for you,
05:25
and then you payZahlen them throughdurch AmazonAmazon.comcom.
Man bezahlt über Amazon.com.
05:27
So we paidbezahlt people about 50 centsCent
Wir zahlten Leuten etwa 50 Cents,
05:29
to createerstellen a passwordPasswort followinges folgen our rulesRegeln
um ein Passwort nach
unseren Regeln zu erstellen
05:32
and answeringantwortend a surveyUmfrage,
und eine Umfrage zu beantworten.
05:33
and then we paidbezahlt them again to come back
Dann bezahlten wir sie erneut,
um sich 2 Tage später wieder einzuloggen,
05:36
two daysTage laterspäter and logLog in
mit ihrem Passwort, und eine
andere Umfrage zu beantworten.
05:38
usingmit theirihr passwordPasswort and answeringantwortend anotherein anderer surveyUmfrage.
05:40
So we did this, and we collectedgesammelt 5,000 passwordsKennwörter,
Wir machten das und
sammelten 5000 Passwörter.
Wir gaben den Leuten eine Menge
verschiedener Richtlinien,
05:45
and we gavegab people a bunchBündel of differentanders policiesRichtlinien
05:47
to createerstellen passwordsKennwörter with.
um Passwörter zu erstellen.
Manche hatten eine
recht leichte Richtlinie,
05:49
So some people had a prettyziemlich easyeinfach policyPolitik,
05:51
we call it BasicGrundlegende8,
wir nennen sie "Basic8".
Die einzige Regel war hier,
05:52
and here the only ruleRegel was that your passwordPasswort
dass das Passwort mindestens
8 Zeichen haben muss.
05:55
had to have at leastam wenigsten eightacht charactersFiguren.
Einige bekamen
eine viel strengere Richtlinie,
05:58
Then some people had a much harderSchwerer policyPolitik,
ganz ähnlich wie die CMU-Richtlinie,
06:00
and this was very similarähnlich to the CMUCMU policyPolitik,
bei der man 8 Zeichen brauchte,
06:03
that it had to have eightacht charactersFiguren
die Groß-, Kleinbuchstabe,
Zahl, Symbol beinhalten,
06:05
includingeinschließlich uppercaseGroßbuchstaben, lowercaseKleinbuchstaben, digitZiffer, symbolSymbol,
06:07
and passbestehen a dictionaryWörterbuch checkprüfen.
und einen Wörterbuch-Test
bestehen mussten.
Eine andere getestete Richtlinie,
06:09
And one of the other policiesRichtlinien we triedversucht,
06:11
and there were a wholeganze bunchBündel more,
und es gab noch jede Menge,
war eine namens "Basic16".
06:12
but one of the onesEinsen we triedversucht was callednamens BasicGrundlegende16,
06:14
and the only requirementAnforderung here
Die einzige Anforderung hier war,
dass das Passwort mindestens
16 Zeichen haben musste.
06:17
was that your passwordPasswort had
to have at leastam wenigsten 16 charactersFiguren.
Gut, wir hatten jetzt 5000 Passwörter
06:20
All right, so now we had 5,000 passwordsKennwörter,
und damit hatten wir
viel genauere Informationen.
06:23
and so we had much more detailedAusführliche informationInformation.
Wieder sahen wir, dass nur
eine kleine Anzahl von Symbolen
06:26
Again we see that there's only a smallklein numberNummer
06:29
of symbolsSymbole that people are actuallytatsächlich usingmit
für die Passwörter genutzt wurde.
06:31
in theirihr passwordsKennwörter.
Wir wollten eine Vorstellung
von der Stärke der Passwörter bekommen,
06:33
We alsoebenfalls wanted to get an ideaIdee of how strongstark
06:35
the passwordsKennwörter were that people were creatingErstellen,
die die Leuten erstellten.
06:38
but as you maykann recallerinnern, there isn't a good measuremessen
Aber wie Sie vielleicht erinnern,
gibt es keine gute Maßeinheit
für Passwort-Stärke.
06:40
of passwordPasswort strengthStärke.
Wir beschlossen zu schauen,
wie lange es dauert,
06:42
So what we decidedbeschlossen to do was to see
bis wir die Passwörter knacken würden,
06:45
how long it would take to crackRiss these passwordsKennwörter
unter Verwendung der besten Knack-Tools,
die die bösen Jungs nutzen,
06:47
usingmit the bestBeste crackingknackend toolsWerkzeuge
06:48
that the badschlecht guys are usingmit,
oder über die wir Informationen
in der Forschungsliteratur fanden.
06:50
or that we could find informationInformation about
06:52
in the researchForschung literatureLiteratur.
06:54
So to give you an ideaIdee of how badschlecht guys
Hier zeige ich Ihnen, wie böse Jungs
Passwörter knacken.
06:56
go about crackingknackend passwordsKennwörter,
Sie klauen eine Passwort-Datei,
06:59
they will stealstehlen a passwordPasswort fileDatei
mit allen Passwörter
in verschlüsselter Form,
07:01
that will have all of the passwordsKennwörter
07:03
in kindArt of a scrambledRührei formbilden, callednamens a hashHash,
"Hash" genannt.
Sie raten dann,
was ein Passwort sein könnte,
07:06
and so what they'llsie werden do is they'llsie werden make a guessvermuten
07:08
as to what a passwordPasswort is,
lassen es durch eine Hash-Funktion laufen
07:10
runLauf it throughdurch a hashingHashing functionFunktion,
und schauen, ob es zu den Passwörtern
07:12
and see whetherob it matchesSpiele
07:14
the passwordsKennwörter they have on
theirihr stolengestohlen passwordPasswort listListe.
auf der Liste gestohlener
Passwörter passt.
Ein dummer Angreifer wird jedes
Passwort nacheinander versuchen.
07:18
So a dumbstumm attackerAngreifer will try everyjeden passwordPasswort in orderAuftrag.
Sie fangen mit "AAAAA" an
und machen mit "AAAAB" weiter,
07:21
They'llSie werden startAnfang with AAAAAAAAAA and moveBewegung on to AAAABAAAAB,
und es dauert ziemlich lange,
bis sie irgendein Passwort finden,
07:24
and this is going to take a really long time
07:27
before they get any passwordsKennwörter
dass Leute wirklich benutzen.
07:28
that people are really likelywahrscheinlich to actuallytatsächlich have.
07:31
A smartsmart attackerAngreifer, on the other handHand,
Ein schlauer Angreifer andererseits
macht etwas viel Klügeres.
07:33
does something much more cleverklug.
07:34
They look at the passwordsKennwörter
Sie schauen sich die Passwörter an,
die bekanntermaßen beliebt sind,
07:36
that are knownbekannt to be popularBeliebt
aus den gestohlenen Passwörtern,
07:38
from these stolengestohlen passwordPasswort setssetzt,
und erraten diese zuerst.
07:40
and they guessvermuten those first.
07:41
So they're going to startAnfang by guessingRaten "passwordPasswort,"
Sie tippen also erst auf "Passwort",
dann tippen sie auf
"Ich liebe dich" und "Affe"
07:43
and then they'llsie werden guessvermuten "I love you," and "monkeyAffe,"
und "12345678",
07:46
and "12345678,"
denn diese Passwörter
nutzen die meisten Leute.
07:48
because these are the passwordsKennwörter
07:50
that are mostdie meisten likelywahrscheinlich for people to have.
07:52
In factTatsache, some of you probablywahrscheinlich have these passwordsKennwörter.
Wahrscheinlich haben einige
von Ihnen diese Passwörter.
Wir fanden also heraus,
07:57
So what we foundgefunden
indem wir all diese 5000
Passwörter sammelten
07:58
by runningLaufen all of these 5,000 passwordsKennwörter we collectedgesammelt
und testeten, wie stark sie waren,
08:01
throughdurch these testsTests to see how strongstark they were,
erkannten wir, dass lange Passwörter
ziemlich stark waren.
08:06
we foundgefunden that the long passwordsKennwörter
08:08
were actuallytatsächlich prettyziemlich strongstark,
08:10
and the complexKomplex passwordsKennwörter were prettyziemlich strongstark too.
Komplexe Passwörter
waren auch ziemlich stark.
Aber wenn wir uns
die Umfrage-Daten ansahen,
08:13
HoweverJedoch, when we lookedsah at the surveyUmfrage dataDaten,
sahen wir, dass viele
wirklich frustriert waren
08:15
we saw that people were really frustratedfrustriert
von den sehr komplexen Passwörtern.
08:18
by the very complexKomplex passwordsKennwörter,
Lange Passwörter waren viel brauchbarer
08:21
and the long passwordsKennwörter were a lot more usablenutzbare,
08:23
and in some casesFälle, they were actuallytatsächlich
und manchmal waren sie sogar
stärker als komplexe Passwörter.
08:25
even strongerstärker than the complexKomplex passwordsKennwörter.
08:27
So this suggestsschlägt vor that,
Das legt also nahe,
08:29
insteadstattdessen of tellingErzählen people that they need
dass es statt den Leuten zu sagen,
sie sollten Symbole, Zahlen
08:30
to put all these symbolsSymbole and numbersNummern
und anderes Zeug in ihren
Passwörtern verwenden,
08:32
and crazyverrückt things into theirihr passwordsKennwörter,
wohlmöglich besser wäre zu sagen,
08:35
we mightMacht be better off just tellingErzählen people
man sollte lange Passwörter haben.
08:37
to have long passwordsKennwörter.
08:39
Now here'shier ist the problemProblem, thoughobwohl:
Es gibt aber ein Problem:
Einige Leute hatten lange Passwörter,
die nicht wirklich stark waren.
08:41
Some people had long passwordsKennwörter
08:43
that actuallytatsächlich weren'twaren nicht very strongstark.
Man kann lange Passwörter erstellen,
die trotzdem von der Art sind,
08:45
You can make long passwordsKennwörter
08:47
that are still the sortSortieren of thing
die ein Angreifer leicht erraten kann.
08:49
that an attackerAngreifer could easilyleicht guessvermuten.
08:50
So we need to do more than
just say long passwordsKennwörter.
Wir müssen also mehr tun als
nur "lange Passwörter" zu sagen.
Es gibt weitere Anforderungen,
08:54
There has to be some additionalzusätzliche requirementsAnforderungen,
08:56
and some of our ongoinglaufend researchForschung is looking at
und ein Teil unserer laufenden
Forschung untersucht,
welche weiteren Anforderungen
wir hinzufügen sollten,
08:59
what additionalzusätzliche requirementsAnforderungen we should addhinzufügen
09:01
to make for strongerstärker passwordsKennwörter
um für sichere Passwörter zu sorgen,
09:03
that alsoebenfalls are going to be easyeinfach for people
die für die Menschen auch einfach
zu merken und zu tippen sind.
09:05
to remembermerken and typeArt.
Um Leute zu stärkeren Passwörtern
zu bewegen,
09:08
AnotherEin weiterer approachAnsatz to gettingbekommen people to have
könnte man als weiteren Ansatz
ein Passwort-Messgerät nutzen.
09:10
strongerstärker passwordsKennwörter is to use a passwordPasswort meterMeter.
09:12
Here are some examplesBeispiele.
Hier ein paar Beispiele.
09:14
You maykann have seengesehen these on the InternetInternet
Vielleicht kennen Sie sie
aus dem Internet,
09:15
when you were creatingErstellen passwordsKennwörter.
wenn Sie Passwörter erstellt haben.
Wir entschieden mit
einer Studie herauszufinden,
09:18
We decidedbeschlossen to do a studyStudie to find out
09:21
whetherob these passwordPasswort metersMeter actuallytatsächlich work.
ob diese Passwort-Messgeräte
wirklich funktionieren.
09:23
Do they actuallytatsächlich help people
Helfen Sie Menschen wirklich,
stärkere Passwörter zu finden,
09:25
have strongerstärker passwordsKennwörter,
09:26
and if so, whichwelche onesEinsen are better?
und wenn ja, welche sind besser?
09:28
So we testedgeprüft passwordPasswort metersMeter that were
Also testeten wir Passwort-Checker,
die verschiedene Größen,
Formen, Farben hatten,
09:31
differentanders sizesGrößen, shapesFormen, colorsFarben,
09:33
differentanders wordsWörter nextNächster to them,
mit verschiedenen Worten daneben.
09:34
and we even testedgeprüft one that was a dancingTanzen bunnyBunny.
Wir testeten sogar einen,
der ein tanzender Hase war.
Wenn man ein besseres Passwort eintippt,
09:38
As you typeArt a better passwordPasswort,
09:39
the bunnyBunny dancesTänze fasterschneller and fasterschneller.
tanzt der Hase immer schneller.
09:42
So this was prettyziemlich funSpaß.
Das war sehr lustig.
Wir fanden heraus,
09:44
What we foundgefunden
dass Passwortstärke-
Anzeiger funktionieren.
09:46
was that passwordPasswort metersMeter do work.
(Gelächter)
09:49
(LaughterLachen)
Die meisten Passwort-Messer
waren tatsächlich effektiv.
09:51
MostDie meisten of the passwordPasswort metersMeter were actuallytatsächlich effectiveWirksam,
Auch der tanzende Hase war sehr effektiv.
09:55
and the dancingTanzen bunnyBunny was very effectiveWirksam too,
Aber die effektivsten
Passwort-Messer waren die,
09:57
but the passwordPasswort metersMeter that were the mostdie meisten effectiveWirksam
die einen härter arbeiten ließen,
10:00
were the onesEinsen that madegemacht you work harderSchwerer
bis sie zustimmten und sagten,
dass man es gut gemacht hatte.
10:02
before they gavegab you that thumbsDaumen hoch up and said
10:04
you were doing a good jobJob,
10:06
and in factTatsache we foundgefunden that mostdie meisten
Wir stellten aber fest,
die meisten heute im Internet verfügbaren
Passwort-Messer sind zu leicht.
10:07
of the passwordPasswort metersMeter on the InternetInternet todayheute
10:10
are too softweich.
10:10
They tell you you're doing a good jobJob too earlyfrüh,
Sie sagen einem zu früh,
dass man es gut macht.
10:13
and if they would just wait a little bitBit
Würden sie nur ein bisschen mehr warten,
bevor sie eine positive Rückmeldung geben,
10:15
before givinggeben you that positivepositiv feedbackFeedback,
10:17
you probablywahrscheinlich would have better passwordsKennwörter.
hätte man vermutlich bessere Passwörter.
10:20
Now anotherein anderer approachAnsatz to better passwordsKennwörter, perhapsvielleicht,
Eine andere Methode für
bessere Passwörter ist vielleicht,
10:24
is to use passbestehen phrasesPhrasen insteadstattdessen of passwordsKennwörter.
Merksätze statt Passwörter zu nutzen.
10:27
So this was an xkcdxkcd cartoonKarikatur
from a couplePaar of yearsJahre agovor,
Das war ein xkcd-Comic
von vor einigen Jahren,
und der Zeichner schlägt vor,
dass wir alle Merksätze nutzen sollten.
10:30
and the cartoonistKarikaturist suggestsschlägt vor
10:32
that we should all use passbestehen phrasesPhrasen,
Wenn man sich die zweite
Reihe des Comics ansieht,
10:34
and if you look at the secondzweite rowReihe of this cartoonKarikatur,
sieht man wie der Zeichner vorschlägt,
10:37
you can see the cartoonistKarikaturist is suggestingschlägt vor
10:39
that the passbestehen phrasePhrase "correctrichtig horsePferd batteryBatterie stapleKlammer"
dass der Merksatz
"Correct horse battery staple"
10:42
would be a very strongstark passbestehen phrasePhrase
ein sehr starker Merksatz wäre
und sehr einfach zu merken ist.
10:45
and something really easyeinfach to remembermerken.
Er sagt, dass Sie ihn sich
gerade schon gemerkt haben.
10:47
He sayssagt, in factTatsache, you've alreadybereits rememberedfiel ein it.
Wir beschlossen eine
Forschungsstudie zu machen,
10:50
And so we decidedbeschlossen to do a researchForschung studyStudie
10:52
to find out whetherob this was truewahr or not.
um herauszufinden, ob es stimmte.
Jeder, dem ich erzählte,
dass ich eine Passwort-Studie machte,
10:54
In factTatsache, everybodyjeder who I talk to,
10:56
who I mentionerwähnen I'm doing passwordPasswort researchForschung,
verwies auf diesen Comic.
10:58
they pointPunkt out this cartoonKarikatur.
"Hast du das gesehen? Von xkcd.
10:59
"Oh, have you seengesehen it? That xkcdxkcd.
Correct horse battery staple."
11:01
CorrectRichtig horsePferd batteryBatterie stapleKlammer."
In einer Forschungsstudie
wollten wir sehen,
11:03
So we did the researchForschung studyStudie to see
11:04
what would actuallytatsächlich happengeschehen.
was wirklich passieren würde.
In unsere Studie nutzten
wir wieder Mechanical Turk,
11:07
So in our studyStudie, we used MechanicalMechanische TurkTurk again,
11:10
and we had the computerComputer pickwähle the randomzufällig wordsWörter
und ließen den Computer
zufällige Wörter im Merksatz auswählen.
11:14
in the passbestehen phrasePhrase.
Wir machten das daher,
weil Menschen nicht gut darin sind,
11:15
Now the reasonGrund we did this
11:16
is that humansMenschen are not very good
zufällige Wörter auszuwählen.
11:18
at pickingpflücken randomzufällig wordsWörter.
11:19
If we askedaufgefordert a humanMensch to do it,
Würden wir Menschen darum bitten,
11:21
they would pickwähle things that were not very randomzufällig.
würden sie nicht sehr
zufällige Dinge auswählen.
11:24
So we triedversucht a fewwenige differentanders conditionsBedingungen.
Wir testeten daher
verschiedene Bedingungen,
11:26
In one conditionBedingung, the computerComputer pickedabgeholt
unter einer Bedingung wählte
der Rechner aus einem Wörterbuch
11:28
from a dictionaryWörterbuch of the very commonverbreitet wordsWörter
sehr gängige Wörter
aus dem Englischen aus.
11:30
in the EnglishEnglisch languageSprache,
11:31
and so you'ddu würdest get passbestehen phrasesPhrasen like
So erhielt man Merksätze wie
11:33
"try there threedrei come."
"[Versuch dort drei kommen]."
11:35
And we lookedsah at that, and we said,
Wir schauten das an und sagten:
"Das scheint nicht sehr einprägsam."
11:37
"Well, that doesn't really seemscheinen very memorableUnvergesslich."
Dann versuchten wir Worte auszuwählen,
11:40
So then we triedversucht pickingpflücken wordsWörter
die aus bestimmten Teilen
der Sprache stammen,
11:42
that camekam from specificspezifisch partsTeile of speechRede,
z. B. Nomen-Verb-Adjektiv-Nomen.
11:44
so how about noun-verb-adjective-nounSubstantiv, Verb, Adjektiv-Nomen.
Dann kommt man zu einer Art Satz.
11:47
That comeskommt up with something
that's sortSortieren of sentence-likeSatz-wie.
Man erhält dann einen Merksatz wie:
11:49
So you can get a passbestehen phrasePhrase like
"[Plan baut sicher Kraft]"
11:51
"planplanen buildsbaut sure powerLeistung"
oder "[Ende bestimmt rote Droge]".
11:53
or "endEnde determinesbestimmt redrot drugDroge."
Diese erschienen etwas einprägsamer,
11:55
And these seemedschien a little bitBit more memorableUnvergesslich,
und vielleicht hätten Menschen
sie ein bisschen lieber.
11:58
and maybe people would like those a little bitBit better.
Wir wollten sie mit
Passwörtern vergleichen,
12:01
We wanted to comparevergleichen them with passwordsKennwörter,
daher ließen wir den Rechner
zufällige Wörter auswählen,
12:03
and so we had the computerComputer
pickwähle randomzufällig passwordsKennwörter,
diese waren nett und kurz,
aber wie man sieht,
12:07
and these were nicenett and shortkurz, but as you can see,
12:09
they don't really look very memorableUnvergesslich.
sehen sie nicht sehr einprägsam aus.
Dann probierten wir etwas aus,
12:11
And then we decidedbeschlossen to try something callednamens
"aussprechbares Passwort" genannt.
12:13
a pronounceableaussprechbar passwordPasswort.
Hier wählt der Rechner zufällig Silben aus
und fügt sie zusammen,
12:14
So here the computerComputer picksTipps randomzufällig syllablesSilben
12:17
and putslegt them togetherzusammen
12:18
so you have something sortSortieren of pronounceableaussprechbar,
dadurch erhält man etwas Aussprechbares
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
wie "tufritvi" und "vadasabi".
12:23
That one kindArt of rollsRollen off your tongueZunge.
Das geht leicht von den Lippen.
Das sind zufällige Passwörter,
12:25
So these were randomzufällig passwordsKennwörter that were
die vom Computer erzeugt wurden.
12:27
generatedgeneriert by our computerComputer.
Wir fanden in der Studie
etwas Überraschendes heraus:
12:30
So what we foundgefunden in this studyStudie was that, surprisinglyüberraschenderweise,
12:33
passbestehen phrasesPhrasen were not actuallytatsächlich all that good.
Merksätze waren gar nicht so gut.
Die Leute konnte sich die Merksätze
12:37
People were not really better at rememberingErinnern
kaum besser merken
als zufällige Passwörter.
12:40
the passbestehen phrasesPhrasen than these randomzufällig passwordsKennwörter,
12:43
and because the passbestehen phrasesPhrasen are longerlänger,
Da Merksätze länger sind,
tippten sie länger,
12:45
they tookdauerte longerlänger to typeArt
12:47
and people madegemacht more errorsFehler while typingTippen them in.
und beim Eintippen entstanden mehr Fehler.
Es gibt also keinen klaren
Sieg für Merksätze.
12:50
So it's not really a clearklar winSieg for passbestehen phrasesPhrasen.
12:53
Sorry, all of you xkcdxkcd fansFans.
Tut mir leid, ihr xkcd-Fans.
Andererseits fanden wir heraus,
12:56
On the other handHand, we did find
dass aussprechbare Passwörter
sehr gut funktionierten.
12:58
that pronounceableaussprechbar passwordsKennwörter
13:00
workedhat funktioniert surprisinglyüberraschenderweise well,
13:01
and so we actuallytatsächlich are doing some more researchForschung
Daher erforschen wir gerade,
ob wir diesen Ansatz
noch verbessern können.
13:04
to see if we can make that
approachAnsatz work even better.
13:07
So one of the problemsProbleme
Eins der Probleme mit den
von uns durchgeführten Studien war,
13:09
with some of the studiesStudien that we'vewir haben doneerledigt
13:10
is that because they're all doneerledigt
dass sie alle mit
Mechanical Turk gemacht wurden.
13:12
usingmit MechanicalMechanische TurkTurk,
Das sind keine echten Passwörter.
13:14
these are not people'sMenschen realecht passwordsKennwörter.
Das sind Passwörter,
die sie erstellt haben
13:15
They're the passwordsKennwörter that they createderstellt
13:18
or the computerComputer createderstellt for them for our studyStudie.
oder die der Rechner für sie
für die Studie erzeugt hat.
13:20
And we wanted to know whetherob people
Wir wollten wissen, ob Menschen
sich bei ihren echten Passwörtern
13:22
would actuallytatsächlich behavesich verhalten the samegleich way
wirklich genauso verhalten würden.
13:24
with theirihr realecht passwordsKennwörter.
Wir sprachen daher mit
13:26
So we talkedsprach to the informationInformation
securitySicherheit officeBüro at CarnegieCarnegie MellonMellon
den Informationssicherheitsbeauftragten
an der Carnegie Mellon
13:30
and askedaufgefordert them if we could
have everybody'sjedermanns realecht passwordsKennwörter.
und baten sie, die echten Passwörter
von allen zu bekommen.
Kein Wunder, dass sie etwas zögerten,
sie mit uns zu teilen,
13:34
Not surprisinglyüberraschenderweise, they were a little bitBit reluctantwiderstrebend
13:35
to shareAktie them with us,
aber wir erarbeiteten
mit ihnen ein System,
13:37
but we were actuallytatsächlich ablefähig to work out
13:39
a systemSystem with them
13:40
where they put all of the realecht passwordsKennwörter
wo sie alle echten Passwörter
für 25 000 CMU-Studenten,
-Dozenten und -Mitarbeiter
13:42
for 25,000 CMUCMU studentsStudenten, facultyFakultät and staffPersonal,
in einen gesicherten Rechner
in einem gesicherten Raum eingaben,
13:45
into a lockedeingesperrt computerComputer in a lockedeingesperrt roomZimmer,
ohne Verbindung zum Internet,
13:47
not connectedin Verbindung gebracht to the InternetInternet,
13:49
and they ranlief codeCode on it that we wroteschrieb
und sie führten eine Code aus,
den wir schrieben,
13:51
to analyzeanalysieren these passwordsKennwörter.
um diese Passwörter zu analysieren.
13:53
They auditedgeprüften our codeCode.
Sie prüften unseren Code.
Sie führten den Code aus.
13:54
They ranlief the codeCode.
13:55
And so we never actuallytatsächlich saw
Wir sahen also tatsächlich
von niemandem das Passwort.
13:57
anybody'sjemandes passwordPasswort.
Wir erhielten interessante Ergebnisse,
14:00
We got some interestinginteressant resultsErgebnisse,
und alle Tepper-Studenten
in den hinteren Reihen
14:02
and those of you TepperTepper studentsStudenten in the back
14:03
will be very interestedinteressiert in this.
wird das sehr interessieren.
14:06
So we foundgefunden that the passwordsKennwörter createderstellt
Wir stellten fest, dass die von
Angestellten der Informatik-Fakultät
14:10
by people affiliatedverbundenen with the
schoolSchule of computerComputer scienceWissenschaft
erstellten Passwörter
1,8-mal stärker waren,
14:12
were actuallytatsächlich 1.8 timesmal strongerstärker
als die der Angestellten
der Fakultät für Wirtschaft.
14:14
than those affiliatedverbundenen with the businessGeschäft schoolSchule.
Wir haben auch noch einige andere
interessante demografische Informationen.
14:18
We have lots of other really interestinginteressant
14:20
demographicdemographisch informationInformation as well.
Es war interessant zu sehen,
14:22
The other interestinginteressant thing that we foundgefunden
dass, als wir die
Carnegie-Mellon-Passwörter
14:24
is that when we comparedverglichen
the CarnegieCarnegie MellonMellon passwordsKennwörter
mit denen von Mechanical Turk
generierten Passwörtern verglichen,
14:27
to the MechanicalMechanische Turk-generatedTurk-generiert passwordsKennwörter,
14:29
there was actuallytatsächlich a lot of similaritiesÄhnlichkeiten,
es viele Parallelen gab.
Dies half dabei, unsere
Forschungsmethode zu bestätigen
14:31
and so this helpedhalf validatevalidieren our researchForschung methodMethode
14:33
and showShow that actuallytatsächlich, collectingSammeln passwordsKennwörter
und zu zeigen, dass
Sammeln von Passwörtern
14:36
usingmit these MechanicalMechanische TurkTurk studiesStudien
mit den Mechanical-Turk-Studien
14:38
is actuallytatsächlich a validgültig way to studyStudie passwordsKennwörter.
eine gültige Weise war,
Passwörter zu untersuchen.
Das sind also gute Neuigkeiten.
14:41
So that was good newsNachrichten.
Zum Schluss möchte ich noch
über ein paar Erkenntnisse sprechen,
14:43
Okay, I want to closeschließen by talkingim Gespräch about
14:45
some insightsEinblicke I gainedgewonnen while on sabbaticalSabbatical
die ich während
des Sabbatical letztes Jahr
14:47
last yearJahr in the CarnegieCarnegie MellonMellon artKunst schoolSchule.
an der Carnegie Mellon-
Kunsthochschule gewann.
14:51
One of the things that I did
Ich machte unter anderem
eine Anzahl von Quilts,
14:52
is I madegemacht a numberNummer of quiltsSteppdecken,
und ich machte diesen Quilt hier.
14:53
and I madegemacht this quiltQuilt here.
14:55
It's callednamens "SecuritySicherheit BlanketDecke."
Er nennt sich "Sicherheitspolster".
(Gelächter)
14:57
(LaughterLachen)
Dieser Quilt zeigt die 1000
gängigsten gestohlenen Passwörter
14:59
And this quiltQuilt has the 1,000
15:02
mostdie meisten frequenthäufig passwordsKennwörter stolengestohlen
15:05
from the RockYouRockYou websiteWebseite.
von der RockYou-Website.
Die Größe eines Passworts ist proportional
zur Häufigkeit seines Auftretens
15:07
And the sizeGröße of the passwordsKennwörter is proportionalproportional
15:09
to how frequentlyhäufig they appearederschienen
im gestohlenen Datensatz.
15:11
in the stolengestohlen datasetDataset.
Ich schuf diese Wortwolke,
15:13
And what I did is I createderstellt this wordWort cloudWolke,
ich ging alle 1000 Wörter durch
15:16
and I wentging throughdurch all 1,000 wordsWörter,
und teilte sie in lose
thematische Kategorien ein.
15:18
and I categorizedkategorisiert them into
15:20
looselose thematicthematische categoriesKategorien.
15:22
And it was, in some casesFälle,
Und manchmal war es
ziemlich schwierig herauszufinden,
15:24
it was kindArt of difficultschwer to figureZahl out
in welcher Kategorie sie sein sollten,
und kodierte sie nach Farbe.
15:26
what categoryKategorie they should be in,
15:28
and then I color-codedfarblich gekennzeichnet them.
15:30
So here are some examplesBeispiele of the difficultySchwierigkeit.
Hier sind ein paar Beispiele
für die Schwierigkeit.
15:33
So "justinJustin."
Etwa "Justin".
15:34
Is that the nameName of the userBenutzer,
Ist das der Name des Nutzers,
des Freundes, des Sohns?
15:36
theirihr boyfriendFreund, theirihr sonSohn?
15:37
Maybe they're a JustinJustin BieberBieber fanVentilator.
Vielleicht sind sie nur eine Bieber-Fan.
15:40
Or "princessPrinzessin."
Oder "Prinzessin".
Ist das eine Spitzname?
15:42
Is that a nicknameSpitznamen?
Oder sind sie Disney-Prinzessinnen-Fans?
15:44
Are they DisneyDisney princessPrinzessin fansFans?
15:45
Or maybe that's the nameName of theirihr catKatze.
Oder vielleicht ist
das der Name ihrer Katze.
"iloveyou" erscheint häufig
in vielen verschiedenen Sprachen.
15:49
"IloveyouILOVEYOU" appearserscheint manyviele timesmal
15:51
in manyviele differentanders languagesSprachen.
15:52
There's a lot of love in these passwordsKennwörter.
Es gibt viel Liebe in diesen Passwörtern.
15:56
If you look carefullyvorsichtig, you'lldu wirst see there's alsoebenfalls
Wenn man genau hinsieht,
sieht man auch Alltägliches.
15:58
some profanityObszönitäten,
Aber für mich war es
wirklich interessant zu sehen,
16:00
but it was really interestinginteressant to me to see
16:02
that there's a lot more love than hateHass
dass in den Passwörtern
viel mehr Liebe als Hass steckt.
16:04
in these passwordsKennwörter.
16:06
And there are animalsTiere,
Es gibt auch viele Tiere.
16:08
a lot of animalsTiere,
16:09
and "monkeyAffe" is the mostdie meisten commonverbreitet animalTier
"Affe" ist das häufigste Tier
und das am 14. beliebteste
Passwort überhaupt.
16:12
and the 14thth mostdie meisten popularBeliebt passwordPasswort overallinsgesamt.
Das war sehr seltsam für mich,
16:15
And this was really curiousneugierig to me,
und ich fragte mich:
"Warum sind Affen so beliebt?"
16:17
and I wonderedwunderte sich, "Why are monkeysAffen so popularBeliebt?"
16:20
And so in our last passwordPasswort studyStudie,
In unserer letzten Passwort-Studie
fragten wir immer,
wenn wir jemanden fanden,
16:23
any time we detectederkannt somebodyjemand
16:25
creatingErstellen a passwordPasswort with the wordWort "monkeyAffe" in it,
der ein Passwort mit
dem Wort "Affe" anlegte,
warum sie Affe im Passwort hatten.
16:28
we askedaufgefordert them why they had
a monkeyAffe in theirihr passwordPasswort.
Und wir fanden heraus --
16:31
And what we foundgefunden out --
wir fanden bisher 17 Menschen,
die das Wort "Affe" nutzen --
16:33
we foundgefunden 17 people so farweit, I think,
16:35
who have the wordWort "monkeyAffe" --
dass ein Drittel von ihnen
ein Haustier namens "Affe" hätten,
16:36
We foundgefunden out about a thirddritte of them said
16:38
they have a petHaustier namedgenannt "monkeyAffe"
16:39
or a friendFreund whosederen nicknameSpitznamen is "monkeyAffe,"
oder einen Freund,
dessen Spitzname "Affe" war.
16:42
and about a thirddritte of them said
Und ein Drittel von ihnen sagte,
dass sie Affen einfach mögen
und Affen wirklich süß sind.
16:43
that they just like monkeysAffen
16:45
and monkeysAffen are really cuteniedlich.
16:47
And that guy is really cuteniedlich.
Dieser Affe ist wirklich süß.
Letztendlich scheint es so,
16:50
So it seemsscheint that at the endEnde of the day,
wenn wir Passwörter erstellen,
16:54
when we make passwordsKennwörter,
nehmen wir etwas wirklich Einfaches
zum Tippen, ein gängiges Muster,
16:55
we eitherentweder make something that's really easyeinfach
16:57
to typeArt, a commonverbreitet patternMuster,
oder Dinge, die uns an
das Wort Passwort erinnern,
17:00
or things that reminderinnern us of the wordWort passwordPasswort
oder an das Konto, für das wir
das Passwort erstellt haben,
17:03
or the accountKonto that we'vewir haben createderstellt the passwordPasswort for,
17:06
or whateverwas auch immer.
oder so etwas.
Oder wir denken an Dinge,
die uns glücklich machen,
17:09
Or we think about things that make us happyglücklich,
und wir nehmen ein Passwort,
17:11
and we createerstellen our passwordPasswort
basierend auf Dingen,
die uns glücklich machen.
17:13
basedbasierend on things that make us happyglücklich.
17:15
And while this makesmacht typingTippen
Obwohl dadurch das Tippen und Erinnern
Ihres Passwort mehr Spaß macht,
17:18
and rememberingErinnern your passwordPasswort more funSpaß,
erleichtert es auch sehr,
Ihr Passwort zu erraten.
17:21
it alsoebenfalls makesmacht it a lot easiereinfacher
17:23
to guessvermuten your passwordPasswort.
17:24
So I know a lot of these TEDTED TalksGespräche
Ich weiß, dass viele
der TEDTalks inspirierend sind
17:26
are inspirationalinspirierende
17:27
and they make you think about nicenett, happyglücklich things,
und einen an nette,
fröhliche Dinge denken lassen,
17:30
but when you're creatingErstellen your passwordPasswort,
aber wenn Sie Passwort erstellen,
versuchen Sie an etwas anderes zu denken.
17:32
try to think about something elsesonst.
17:34
Thank you.
Danke.
17:35
(ApplauseApplaus)
Translated by Angelika Lueckert Leon
Reviewed by Nadine Hennig

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com