English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

לורי פיית' קראנור: מה לא בסדר עם ה0י0מ# שלך?

Filmed:
1,505,076 views

לורי פיית' קראנור למדה אלפים של סיסמאות אמיתיות על מנת לגלות את הטעויות המפתיעות והנפוצות שמשתמשים, ואתרים מאובטחים, עושים ובכך מסכנים את אבטחתם. איך, תשאלו, היא למדה אלפי סיסמאות אמיתיות בלי לסכן את אבטחת המשתמשים הללו? זהו סיפור בפני עצמו. זהו נתון סודי שכדאי לדעת, במיוחד אם הסיסמה שלך היא 123456...

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

אני פרופסור להנדסת מחשבים
ומדעי המחשב כאן בקרנגי מלון
00:12
I am a computerמַחשֵׁב scienceמַדָע and engineeringהַנדָסָה
professorפּרוֹפֶסוֹר here at Carnegieקרנגי Mellonמלון,
והמחקר שלי מתמקד בפרטיות
ואבטחת מידע שמישים.
00:15
and my researchמחקר focusesמתמקד on
usableשָׁמִישׁ privacyפְּרָטִיוּת and securityבִּטָחוֹן,
אז חברים שלי אוהבים לתת לי דוגמאות
00:20
and so my friendsחברים like to give me examplesדוגמאות
של התסכול שלהם ממערכות ממוחשבות
00:22
of theirשֶׁלָהֶם frustrationsתסכולים with computingמחשוב systemsמערכות,
במיוחד כשזה מתקשר
00:25
especiallyבמיוחד frustrationsתסכולים relatedקָשׁוּר to
לפרטיות ואבטחה לא-שמישיים.
00:28
unusableלא שמיש privacyפְּרָטִיוּת and securityבִּטָחוֹן.
אז סיסמאות זה משהו שאני שומעת עליו הרבה.
00:32
So passwordsסיסמאות are something that I hearלִשְׁמוֹעַ a lot about.
הרבה אנשים מתוסכלים מסיסמאות,
00:35
A lot of people are frustratedמְתוּסכָּל with passwordsסיסמאות,
וזה מספיק גרוע
00:38
and it's badרַע enoughמספיק
כשאתם צריכים למצוא סיסמה אחת ממש טובה
00:39
when you have to have one really good passwordסיסמה
שאתם יכולים לזכור
00:42
that you can rememberלִזכּוֹר
אבל אף אחד אחר לא יוכל לנחש.
00:44
but nobodyאף אחד elseאַחֵר is going to be ableיכול to guessלְנַחֵשׁ.
אבל מה אתם עושים כשיש לכם חשבונות משתמשים
00:47
But what do you do when you have accountsחשבונות
במאות מערכות שונות
00:48
on a hundredמֵאָה differentשונה systemsמערכות
ואמורה להיות לכם סיסמה ייחודית
00:50
and you're supposedאמור to have a uniqueייחודי passwordסיסמה
לכל אחת מהן?
00:53
for eachכל אחד of these systemsמערכות?
זה כבר מסובך.
00:56
It's toughקָשֶׁה.
בקרנגי מלון, זה היה
00:58
At Carnegieקרנגי Mellonמלון, they used to make it
די פשוט עבורנו
01:00
actuallyלמעשה prettyיפה easyקַל for us
לזכור סיסמאות.
01:01
to rememberלִזכּוֹר our passwordsסיסמאות.
עד לשנת 2009 הדרישה לסיסמה
01:03
The passwordסיסמה requirementדְרִישָׁה up throughדרך 2009
הייתה רק שתהיה לך סיסמה
01:05
was just that you had to have a passwordסיסמה
עם תו אחד לפחות.
01:07
with at leastהכי פחות one characterאופי.
די פשוט. אבל אז הדברים השתנו,
01:10
Prettyיפה easyקַל. But then they changedהשתנה things,
ובסוף שנת 2009, הודיעו
01:12
and at the endסוֹף of 2009, they announcedהודיעה
שבקרוב תהיה מדיניות חדשה,
01:15
that we were going to have a newחָדָשׁ policyמְדִינִיוּת,
והמדיניות החדשה דרשה
01:17
and this newחָדָשׁ policyמְדִינִיוּת requiredנדרש
סיסמה שאורכה לפחות 8 תווים
01:19
passwordsסיסמאות that were at leastהכי פחות eightשמונה charactersדמויות long,
שכוללת אותיות גדולות, אותיות קטנות,
01:22
with an uppercaseבאותיות רישיות letterמִכְתָב, lowercaseבאותיות קטנות letterמִכְתָב,
ספרה, סימן,
01:24
a digitסִפְרָה, a symbolסֵמֶל,
אסור להשתמש באותו תו יותר משלוש פעמים
01:25
you couldn'tלא יכול use the sameאותו
characterאופי more than threeשְׁלוֹשָׁה timesפִּי,
ואסור היה שזה יופיע במילון.
01:28
and it wasn'tלא היה allowedמוּתָר to be in a dictionaryמילון.
עכשיו, כשהמדיניות החדשה נכנסה לתוקף,
01:30
Now, when they implementedמיושם this newחָדָשׁ policyמְדִינִיוּת,
הרבה אנשים, הקולגות שלי וחבריי,
01:32
a lot of people, my colleaguesעמיתים and friendsחברים,
פנו אליי ואמרו: "וואו,
01:35
cameבא up to me and they said, "Wowוואו,
עכשיו זה ממש לא שימושי.
01:36
now that's really unusableלא שמיש.
למה הם עושים לנו את זה,
01:38
Why are they doing this to us,
ולמה לא עצרת בעדם?"
01:39
and why didn't you stop them?"
ואני אומרת: "אתם יודעים מה?
01:41
And I said, "Well, you know what?
אף אחד לא שאל אותי."
01:42
They didn't askלִשְׁאוֹל me."
אבל זה סקרן אותי, והחלטתי לדבר
01:44
But I got curiousסקרן, and I decidedהחליט to go talk
עם האנשים שאחראים
על המערכות הממוחשבות שלנו
01:47
to the people in chargeלחייב of our computerמַחשֵׁב systemsמערכות
ולברר מה הוביל אותם להנהיג
01:49
and find out what led them to introduceהצג
את המדיניות החדשה הזו,
01:52
this newחָדָשׁ policyמְדִינִיוּת,
והם אמרו שהאוניברסיטה
01:54
and they said that the universityאוּנִיבֶרְסִיטָה
הצטרפה להתאגדות של אוניברסיטאות
01:55
had joinedהצטרף a consortiumקונסורציום of universitiesאוניברסיטאות,
ואחד התנאים להצטרפות היה
01:58
and one of the requirementsדרישות of membershipחֲבֵרוּת
שיהיו לנו סיסמאות יותר חזקות
02:00
was that we had to have strongerיותר חזק passwordsסיסמאות
שיענו על כמה דרישות חדשות,
02:03
that compliedנענה with some newחָדָשׁ requirementsדרישות,
והדרישות הללו היו שבסיסמאות שלנו
02:05
and these requirementsדרישות were that our passwordsסיסמאות
תהיה חייבת להיות הרבה אנתרופיה.
02:07
had to have a lot of entropyאנטרופיה.
עכשיו, אנתרופיה זה מושג מסובך,
02:09
Now entropyאנטרופיה is a complicatedמסובך termטווח,
אבל בגדול, זה מדד לחוזק של סיסמה.
02:11
but basicallyבעיקרון it measuresאמצעים the strengthכוח of passwordsסיסמאות.
02:14
But the thing is, there isn't actuallyלמעשה
העניין הוא שאין בעצם
02:16
a standardתֶקֶן measureלִמְדוֹד of entropyאנטרופיה.
יחידת מידה מקובלת לאנתרופיה.
02:18
Now, the Nationalלאומי Instituteמכון
of Standardsתקנים and Technologyטֶכנוֹלוֹגִיָה
למכון הלאומי לסטנדרטים וטכנולוגיה
יש סדרה של קווים מנחים
02:20
has a setמַעֲרֶכֶת of guidelinesהנחיות
שמורכבים מכללי אצבע
02:22
whichאיזה have some rulesכללים of thumbאֲגוּדָל
עבור מדידת אנתרופיה,
02:24
for measuringמדידה entropyאנטרופיה,
אבל אין להם משהו מוגדר מדי.
02:26
but they don't have anything too specificספֵּצִיפִי,
ומסתבר שהסיבה שיש להם רק כללי אצבע,
02:29
and the reasonסיבה they only have rulesכללים of thumbאֲגוּדָל
היא שאין להם נתונים איכותיים
02:31
is it turnsפונה out they don't actuallyלמעשה have any good dataנתונים
בנוגע לסיסמאות.
02:34
on passwordsסיסמאות.
למען האמת, בדו"ח שלהם הם מצהירים:
02:36
In factעוּבדָה, theirשֶׁלָהֶם reportלהגיש תלונה statesמדינות,
"למרבה הצער, אין לי די נתונים
02:38
"Unfortunatelyלצערי, we do not have much dataנתונים
על הסיסמאות שמשתמשים
בוחרים על פי כללים ספציפיים...
02:40
on the passwordsסיסמאות usersמשתמשים
chooseבחר underתַחַת particularמיוחד rulesכללים.
מלס"ט שואף להשיג נתונים נוספים
02:43
NISTNIST would like to obtainלְהַשִׂיג more dataנתונים
בנוגע לסיסמאות שמשתמשים אכן בוחרים,
02:45
on the passwordsסיסמאות usersמשתמשים actuallyלמעשה chooseבחר,
אך מנהלי מערכות מסתייגים, כמובן,
02:48
but systemמערכת administratorsמנהלים
are understandablyמובנת reluctantמסרב
מחשיפת נתוני סיסמאות לאחרים."
02:50
to revealלְגַלוֹת passwordסיסמה dataנתונים to othersאחרים."
אז יש לנו כאן בעיה, אבל קבוצת המחקר שלנו
02:53
So this is a problemבְּעָיָה, but our researchמחקר groupקְבוּצָה
הסתכלה על זה כהזדמנות.
02:56
lookedהביט at it as an opportunityהִזדַמְנוּת.
אמרנו "טוב, יש כאן איזה
צורך לנתונים איכותיים על סיסמאות,
02:58
We said, "Well, there's a need
for good passwordסיסמה dataנתונים.
אולי נוכל לאסוף נתונים שכאלה
03:02
Maybe we can collectלאסוף some good passwordסיסמה dataנתונים
03:04
and actuallyלמעשה advanceלְקַדֵם the stateמדינה of the artאומנות here.
ובכך לקדם את עדכניות הנתונים הקיימים."
אז הדבר הראשון שעשינו,
03:06
So the first thing we did is,
לקחנו שק של ממתקים,
03:08
we got a bagתיק of candyסוּכַּרִיוֹת barsבארים
הסתובבנו בקמפוס
03:10
and we walkedהלך around campusקַמפּוּס
ודיברנו עם סטודנטים, סגל ההוראה והצוות,
03:11
and talkedדיבר to studentsסטודנטים, facultyסגל and staffצוות,
וביקשנו מהם מידע
03:14
and askedשאל them for informationמֵידָע
בנוגע לסיסמאות שלהם.
03:15
about theirשֶׁלָהֶם passwordsסיסמאות.
עכשיו, לא ניגשנו אליהם
ושאלנו "מה הסיסמה שלך?"
03:17
Now we didn't say, "Give us your passwordסיסמה."
לא ולא, רק שאלנו אותם שאלות
בנוגע לסיסמאות שלהם.
03:20
No, we just askedשאל them about theirשֶׁלָהֶם passwordסיסמה.
מה אורך הסיסמה? האם יש בה ספרה?
03:22
How long is it? Does it have a digitסִפְרָה?
האם יש בה סימן?
03:24
Does it have a symbolסֵמֶל?
והאם הרגיז אתכם הצורך ליצור
03:25
And were you annoyedמְרוּגָז at havingשיש to createלִיצוֹר
סיסמה חדשה שבוע שעבר?
03:27
a newחָדָשׁ one last weekשָׁבוּעַ?
קיבלנו תוצאות מ-470 סטודנטים,
03:30
So we got resultsתוצאות from 470 studentsסטודנטים,
סגל הוראה וצוות,
03:33
facultyסגל and staffצוות,
ואכן מצאנו שהמדיניות החדשה
03:34
and indeedאכן we confirmedמְאוּשָׁר that the newחָדָשׁ policyמְדִינִיוּת
הייתה מאוד מרגיזה.
03:36
was very annoyingמְעַצבֵּן,
אבל מצאנו גם כן, שאנשים אמרו
03:38
but we alsoגַם foundמצאתי that people said
שהם מרגישים בטוחים יותר עם הסיסמאות הללו.
03:40
they feltהרגיש more secureלבטח with these newחָדָשׁ passwordsסיסמאות.
מצאנו שרוב האנשים ידעו
03:43
We foundמצאתי that mostרוב people knewידע
שהם לא אמורים לרשום
את הסיסמה שלהם בשום מקום
03:45
they were not supposedאמור to
writeלִכתוֹב theirשֶׁלָהֶם passwordסיסמה down,
ורק 13 אחוזים מהם עשו זאת,
03:47
and only 13 percentאָחוּז of them did,
אך, באופן מטריד, 80 אחוזים מהם
03:50
but disturbinglyמטריד, 80 percentאָחוּז of people
אמרו כי הם "ממחזרים" את הסיסמה שלהם.
03:52
said they were reusingשימוש חוזר theirשֶׁלָהֶם passwordסיסמה.
האמת היא שזה יותר מסוכן
03:54
Now, this is actuallyלמעשה more dangerousמְסוּכָּן
מאשר לרשום את הסיסמה איפשהו,
03:56
than writingכְּתִיבָה your passwordסיסמה down,
כיוון שזה הופך אתכם להרבה יותר פגיעים.
03:58
because it makesעושה you much
more susceptibleרָגִישׁ to attackersהתוקפים.
אז אם אתם מוכרחים,
רשמו לכם את הסיסמה שלכם,
04:01
So if you have to, writeלִכתוֹב your passwordsסיסמאות down,
אך אל תמחזרו אותה.
04:05
but don't reuseשימוש חוזר them.
מצאנו גם נתונים מעניינים
04:06
We alsoגַם foundמצאתי some interestingמעניין things
על סימנים שאנשים עושים בהם שימוש בסיסמאות.
04:08
about the symbolsסמלים people use in passwordsסיסמאות.
האוניברסיטה מאפשרת להכניס 32 תווים סימנים
04:11
So CMUCMU allowsמאפשרים 32 possibleאפשרי symbolsסמלים,
אך כמו שניתן לראות, אנשים משתמשים
04:14
but as you can see, there's only a smallקָטָן numberמספר
רק במספר קטן של תווים,
04:16
that mostרוב people are usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני,
כך שלמעשה איננו מקבלים סיסמאות חזקות יותר
04:18
so we're not actuallyלמעשה gettingמקבל very much strengthכוח
משימוש בסימנים בסיסמאות שלנו.
04:21
from the symbolsסמלים in our passwordsסיסמאות.
זה היה מחקר מעניין,
04:23
So this was a really interestingמעניין studyלימוד,
ועכשיו היו לנו נתונים מ-470 אנשים,
04:26
and now we had dataנתונים from 470 people,
אבל במכלול של הדברים,
04:29
but in the schemeתָכְנִית of things,
אין כאן הרבה נתוני סיסמאות.
04:30
that's really not very much passwordסיסמה dataנתונים,
אז אנחנו מסתכלים סביב ומחפשים
04:33
and so we lookedהביט around to see
איפה נוכל למצוא נתוני סיסמאות נוספים?
04:34
where could we find additionalנוֹסָף passwordסיסמה dataנתונים?
מתברר שיש הרבה אנשים
04:37
So it turnsפונה out there are a lot of people
שגונבים סיסמאות.
04:39
going around stealingגניבה passwordsסיסמאות,
ולעיתים תכופות הם יפרסמו את
04:41
and they oftenלעתים קרובות go and postהודעה these passwordsסיסמאות
הסיסמאות הללו באינטרנט.
04:43
on the Internetאינטרנט.
אז הצלחנו לקבל גישה
04:45
So we were ableיכול to get accessגִישָׁה
לכמה מן הסיסמאות הגנובות הללו.
04:46
to some of these stolenגָנוּב passwordסיסמה setsסטים.
זה עדיין לא אידיאלי עבור מחקר
04:50
This is still not really idealאִידֵאָלִי for researchמחקר, thoughאם כי,
כיוון שלא לגמרי ברור
04:53
because it's not entirelyלַחֲלוּטִין clearברור
מאין הגיעו כל הסיסמאות הללו,
04:55
where all of these passwordsסיסמאות cameבא from,
או מה הייתה המדיניות
04:57
or exactlyבְּדִיוּק what policiesמדיניות were in effectהשפעה
בעת שאנשים יצרו את הסיסמאות הללו.
04:59
when people createdשנוצר these passwordsסיסמאות.
לכן רצינו למצוא מקור
טוב יותר עבור הנתונים.
05:01
So we wanted to find some better sourceמָקוֹר of dataנתונים.
החלטנו שיש דבר אחד שנוכל לעשות
05:05
So we decidedהחליט that one thing we could do
וזה מחקר, בו
05:06
is we could do a studyלימוד and have people
אנשים ייצרו סיסמאות עבור המחקר שלנו.
05:09
actuallyלמעשה createלִיצוֹר passwordsסיסמאות for our studyלימוד.
אז השתמשנו בשירות שנקרא
"אמאזון מכניקל טורק"
05:12
So we used a serviceשֵׁרוּת calledשקוראים לו
Amazonאֲמָזוֹנָה Mechanicalמֵכָנִי Turkטורקי,
זהו שירות שבו ניתן לפרסם באינטרנט
05:15
and this is a serviceשֵׁרוּת where you can postהודעה
05:17
a smallקָטָן jobעבודה onlineבאינטרנט that takes a minuteדַקָה,
עבודות קטנות שלוקחות דקה,
כמה דקות, שעה,
05:19
a fewמְעַטִים minutesדקות, an hourשָׁעָה,
ולשלם לאנשים, פני, 10 סנט, כמה דולרים,
05:21
and payלְשַׁלֵם people, a pennyפֶּנִי, tenעשר centsסנט, a fewמְעַטִים dollarsדולר,
עבור העבודה שהם עושים עבורך,
05:23
to do a taskמְשִׁימָה for you,
ואז משלמים להם דרך אמאזון.קום.
05:25
and then you payלְשַׁלֵם them throughדרך Amazonאֲמָזוֹנָה.comcom.
אז שילמנו לאנשים בערך 50 סנט
05:27
So we paidשילם people about 50 centsסנט
כדי שייצרו עבורנו סיסמאות
על פי הכללים שלנו
05:29
to createלִיצוֹר a passwordסיסמה followingהבא our rulesכללים
ויענו על סקר.
05:32
and answeringעונה a surveyסֶקֶר,
ואז שילמנו להם שוב
05:33
and then we paidשילם them again to come back
כדי שיחזרו יומיים לאחר מכן ויתחברו למערכת
05:36
two daysימים laterיותר מאוחר and logעֵץ in
בעזרת הסיסמה שיצרו ויענו על סקר נוסף.
05:38
usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני theirשֶׁלָהֶם passwordסיסמה and answeringעונה anotherאַחֵר surveyסֶקֶר.
כך אספנו 5000 סיסמאות.
05:40
So we did this, and we collectedשנאספו 5,000 passwordsסיסמאות,
נתנו לאנשים מקבץ של מדיניויות שונות
05:45
and we gaveנתן people a bunchצְרוֹר of differentשונה policiesמדיניות
על מנת שייצרו איתם סיסמאות.
05:47
to createלִיצוֹר passwordsסיסמאות with.
חלק מהאנשים קיבלו מדיניות מאוד קלה ופשוטה,
05:49
So some people had a prettyיפה easyקַל policyמְדִינִיוּת,
קראנו למדיניות הזו בייסיק8,
05:51
we call it Basicבסיסי8,
ובה יש רק כלל אחד,
05:52
and here the only ruleכְּלָל was that your passwordסיסמה
שאומר שהסיסמה חייבת להכיל לפחות 8 תווים.
05:55
had to have at leastהכי פחות eightשמונה charactersדמויות.
חלק מהאנשים קיבלו מדיניות הרבה יותר קשה,
05:58
Then some people had a much harderקשה יותר policyמְדִינִיוּת,
שהייתה מאוד דומה למדיניות
של אוניברסיטת קרנגי מלון,
06:00
and this was very similarדוֹמֶה to the CMUCMU policyמְדִינִיוּת,
בה הסיסמה הייתה חייבת להכיל 8 תווים,
06:03
that it had to have eightשמונה charactersדמויות
המורכבים מאותיות גדולות,
אותיות קטנות, ספרה, סימן,
06:05
includingלְרַבּוֹת uppercaseבאותיות רישיות, lowercaseבאותיות קטנות, digitסִפְרָה, symbolסֵמֶל,
06:07
and passלַעֲבוֹר a dictionaryמילון checkלבדוק.
ולעבור בדיקה מילונית.
מדיניות נוספת שניסינו,
06:09
And one of the other policiesמדיניות we triedניסה,
והיו הרבה יותר,
06:11
and there were a wholeכֹּל bunchצְרוֹר more,
אבל אחת מהן נקראה בייסיק 16
06:12
but one of the onesיחידות we triedניסה was calledשקוראים לו Basicבסיסי16,
וכאן, הדרישה היחידה הייתה
06:14
and the only requirementדְרִישָׁה here
שהסיסמה תכלול לפחות 16 תווים.
06:17
was that your passwordסיסמה had
to have at leastהכי פחות 16 charactersדמויות.
טוב, אז בשלב הזה היו לנו 5000 סיסמאות,
06:20
All right, so now we had 5,000 passwordsסיסמאות,
כך שהיה לנו מידע הרבה יותר מפורט.
06:23
and so we had much more detailedמְפוֹרָט informationמֵידָע.
שוב, אנו רואים שאנשים משתמשים
06:26
Again we see that there's only a smallקָטָן numberמספר
רק בסמפר מועט של
06:29
of symbolsסמלים that people are actuallyלמעשה usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני
סימנים בסיסמאות שלהם.
06:31
in theirשֶׁלָהֶם passwordsסיסמאות.
רצינו גם לקבל מושג בנוגע לכמה חזקות
06:33
We alsoגַם wanted to get an ideaרַעְיוֹן of how strongחָזָק
היו הסיסמאות שאנשים יצרו,
06:35
the passwordsסיסמאות were that people were creatingיוצר,
אך, כמו שאתם זוכרים, אין אמת מידה
06:38
but as you mayמאי recallלִזכּוֹר, there isn't a good measureלִמְדוֹד
לחוזק של סיסמה.
06:40
of passwordסיסמה strengthכוח.
אז החלטנו לבדוק
06:42
So what we decidedהחליט to do was to see
כמה זמן ייקח לפצח את הסיסמאות הללו,
06:45
how long it would take to crackסדק these passwordsסיסמאות
בעזרת הכלים הטובים ביותר לפיצוח,
06:47
usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני the bestהטוב ביותר crackingהִסָדְקוּת toolsכלים
שהחבר'ה הרעים משתמשים בהם,
06:48
that the badרַע guys are usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני,
או כלים שנוכל למצוא מידע עליהם
06:50
or that we could find informationמֵידָע about
בספרות מחקרית.
06:52
in the researchמחקר literatureסִפְרוּת.
אז כדי לתת לכם מושג איך החבר'ה הרעים
06:54
So to give you an ideaרַעְיוֹן of how badרַע guys
מצליחים לפצח סיסמאות,
06:56
go about crackingהִסָדְקוּת passwordsסיסמאות,
הם יגנבו קובץ סיסמה,
06:59
they will stealלִגנוֹב a passwordסיסמה fileקוֹבֶץ
שמכיל את כל הסיסמאות
07:01
that will have all of the passwordsסיסמאות
בצורה מפוזרת שכזו, שנקראת האש (גיבוב),
07:03
in kindסוג of a scrambledטָרוּף formטופס, calledשקוראים לו a hashבְּלִיל,
ואז ינחשו
07:06
and so what they'llהם יהיו do is they'llהם יהיו make a guessלְנַחֵשׁ
מהי הסיסמה,
07:08
as to what a passwordסיסמה is,
יריצו את זה בפונקציה של גיבוב,
07:10
runלָרוּץ it throughדרך a hashinghas has functionפוּנקצִיָה,
ויראו אם זה מתאים
07:12
and see whetherהאם it matchesהתאמות
לסיסמאות שיש להם ברשימה הגנובה.
07:14
the passwordsסיסמאות they have on
theirשֶׁלָהֶם stolenגָנוּב passwordסיסמה listרשימה.
אז תוקף טיפש ינסה כל סיסמה לפי הסדר.
07:18
So a dumbמְטוּמטָם attackerתוֹקֵף will try everyכֹּל passwordסיסמה in orderלהזמין.
הם יתחילו עם AAAAA, ימשיכו ל AAAAB
07:21
They'llהם יהיו startהַתחָלָה with AAAAAAAAAA and moveמהלך \ לזוז \ לעבור on to AAAABAAAAB,
וזה ייקח המון זמן
07:24
and this is going to take a really long time
עד שיצליחו למצוא סיסמה כלשהי
07:27
before they get any passwordsסיסמאות
שסביר שאנשים ישתמשו בה.
07:28
that people are really likelyסָבִיר to actuallyלמעשה have.
מצד שני, תוקף חכם
07:31
A smartלִכאוֹב attackerתוֹקֵף, on the other handיד,
יעשה דבר הרבה יותר מתוחכם.
07:33
does something much more cleverחכם.
הם יסתכלו על הסיסמאות,
07:34
They look at the passwordsסיסמאות
שידועות כפופולריות
07:36
that are knownידוע to be popularפופולרי
מהסדרות של הגנובות הללו של הסיסמאות,
07:38
from these stolenגָנוּב passwordסיסמה setsסטים,
והם ינחשו את הסיסמאות האלה קודם כל.
07:40
and they guessלְנַחֵשׁ those first.
כך שהם יתחילו בניחוש "סיסמה"
07:41
So they're going to startהַתחָלָה by guessingמנחש "passwordסיסמה,"
והם ינחשו "אני אוהב אותך" ו"קוף",
07:43
and then they'llהם יהיו guessלְנַחֵשׁ "I love you," and "monkeyקוֹף,"
וגם "12345678"
07:46
and "12345678,"
כיוון שאלה סיסמאות
07:48
because these are the passwordsסיסמאות
שהסבירות שאנשים משתמשים בהן היא גבוהה.
07:50
that are mostרוב likelyסָבִיר for people to have.
למען האמת, ייתכן כי חלק מכם
משתמשים בסיסמאות הללו.
07:52
In factעוּבדָה, some of you probablyכנראה have these passwordsסיסמאות.
אז מה שמצאנו
07:57
So what we foundמצאתי
על ידי הרצה, של כל 5000 הסיסמאות שאספנו,
07:58
by runningרץ all of these 5,000 passwordsסיסמאות we collectedשנאספו
במערכת הזו, על מנת לבדוק
כמה חזקות הסיסמאות האלה,
08:01
throughדרך these testsבדיקות to see how strongחָזָק they were,
מצאנו שסיסמאות ארוכות
08:06
we foundמצאתי that the long passwordsסיסמאות
היו דווקא חזקות יחסית,
08:08
were actuallyלמעשה prettyיפה strongחָזָק,
והסיסמאות המורכבות היו גם חזקות יחסית.
08:10
and the complexמורכב passwordsסיסמאות were prettyיפה strongחָזָק too.
מצד שני, כשהסתכלנו בנתוני הסקר,
08:13
Howeverלמרות זאת, when we lookedהביט at the surveyסֶקֶר dataנתונים,
ראינו שאנשים היו מאוד מתוסכלים
08:15
we saw that people were really frustratedמְתוּסכָּל
מהסיסמאות המורכבות,
08:18
by the very complexמורכב passwordsסיסמאות,
והסיסמאות הארוכות היו הרבה יותר שמישות,
08:21
and the long passwordsסיסמאות were a lot more usableשָׁמִישׁ,
ובמקרים מסוימים, הן אפילו
08:23
and in some casesבמקרים, they were actuallyלמעשה
היו יותר חזקות מסיסמאות מורכבות.
08:25
even strongerיותר חזק than the complexמורכב passwordsסיסמאות.
זה מצביע על כך
08:27
So this suggestsמציע that,
שבמקום לומר לאנשים שהם צריכים
08:29
insteadבמקום זאת of tellingאומר people that they need
להכליל סימנים ומספרים
08:30
to put all these symbolsסמלים and numbersמספרים
ודברים משוגעים בסיסמאות שלהם,
08:32
and crazyמְטוּרָף things into theirשֶׁלָהֶם passwordsסיסמאות,
אולי עדיף שפשוט נאמר להם
08:35
we mightאולי be better off just tellingאומר people
שייצרו סיסמאות ארוכות.
08:37
to have long passwordsסיסמאות.
עכשיו אנו ניצבים בפני בעיה:
08:39
Now here'sהנה the problemבְּעָיָה, thoughאם כי:
יש אנשים שהיו להם סיסמאות ארוכות
08:41
Some people had long passwordsסיסמאות
שבעצם לא היו ממש חזקות.
08:43
that actuallyלמעשה weren'tלא היו very strongחָזָק.
ניתן ליצור סיסמאות ארוכות
08:45
You can make long passwordsסיסמאות
שעדיין יהיו משהו
08:47
that are still the sortסוג of thing
שהתוקף יצליח לנחש בקלות.
08:49
that an attackerתוֹקֵף could easilyבְּקַלוּת guessלְנַחֵשׁ.
לפיכך אנחנו צריכים לדרוש
יותר מרק סיסמה ארוכה.
08:50
So we need to do more than
just say long passwordsסיסמאות.
צריכות להיות דרישות נוספות.
08:54
There has to be some additionalנוֹסָף requirementsדרישות,
וחלק מהמחקר המתמשך שלנו מנסה לבחון
08:56
and some of our ongoingמתמשך researchמחקר is looking at
אילו דרישות עלינו להוסיף
08:59
what additionalנוֹסָף requirementsדרישות we should addלְהוֹסִיף
על מנת ליצור סיסמאות חזקות יותר
09:01
to make for strongerיותר חזק passwordsסיסמאות
שגם יהיו קלות דיים על מנת
09:03
that alsoגַם are going to be easyקַל for people
שאנשים יוכלו לזכור ולהקליד אותן.
09:05
to rememberלִזכּוֹר and typeסוּג.
גישה נוספת כדי להוביל אנשים
09:08
Anotherאַחֵר approachגִישָׁה to gettingמקבל people to have
ליצירת סיסמאות חזקות היא מד סיסמה.
09:10
strongerיותר חזק passwordsסיסמאות is to use a passwordסיסמה meterמטר.
הנה כמה דוגמאות:
09:12
Here are some examplesדוגמאות.
ייתכן שראיתם את זה באינטרנט
09:14
You mayמאי have seenלראות these on the Internetאינטרנט
כשיצרתם סיסמאות חדשות.
09:15
when you were creatingיוצר passwordsסיסמאות.
החלטנו לעשות מחקר על מנת לגלות
09:18
We decidedהחליט to do a studyלימוד to find out
האם מדי הסיסמאות הללו אכן עובדים.
09:21
whetherהאם these passwordסיסמה metersמטר actuallyלמעשה work.
האם הם באמת עוזרים לאנשים
09:23
Do they actuallyלמעשה help people
ליצור סיסמאות חזקות יותר,
09:25
have strongerיותר חזק passwordsסיסמאות,
ואם כן, אילו טובים יותר?
09:26
and if so, whichאיזה onesיחידות are better?
אז ניסינו מדי סיסמאות
09:28
So we testedבָּדוּק passwordסיסמה metersמטר that were
מגדלים, צורות וצבעים שונים,
09:31
differentשונה sizesהגדלים, shapesצורות, colorsצבעים,
עם מילים שונות מוצמדות אליהם,
09:33
differentשונה wordsמילים nextהַבָּא to them,
ואפילו בדקנו אחד עם ארנבון שרוקד.
09:34
and we even testedבָּדוּק one that was a dancingריקוד bunnyאַרנֶבֶת.
כשאתם מקלידים סיסמה טובה יותר,
09:38
As you typeסוּג a better passwordסיסמה,
הארנבון רוקד מהר יותר ויותר.
09:39
the bunnyאַרנֶבֶת dancesריקודים fasterמהיר יותר and fasterמהיר יותר.
אז זה היה די כיף.
09:42
So this was prettyיפה funכֵּיף.
מה שמצאנו
09:44
What we foundמצאתי
זה שמדי סיסמאות אכן עובדים.
09:46
was that passwordסיסמה metersמטר do work.
09:49
(Laughterצחוק)
רוב מדי הסיסמאות אכן היו אפקטיביים,
09:51
Mostרוב of the passwordסיסמה metersמטר were actuallyלמעשה effectiveיָעִיל,
והארנבון הרוקד היה אפקטיבי גם הוא,
09:55
and the dancingריקוד bunnyאַרנֶבֶת was very effectiveיָעִיל too,
אך מדי הסיסמאות האפקטיביים ביותר
09:57
but the passwordסיסמה metersמטר that were the mostרוב effectiveיָעִיל
היו אלה שגרמו לך לעבוד קשה יותר
10:00
were the onesיחידות that madeעָשׂוּי you work harderקשה יותר
לפני שנתנו לך אור ירוק והודיעו לך
10:02
before they gaveנתן you that thumbsאגודל up and said
שאת/ה עושה עבודה טובה,
10:04
you were doing a good jobעבודה,
ולמעשה אנחנו מצאנו שרוב
10:06
and in factעוּבדָה we foundמצאתי that mostרוב
מדי הסיסמאות שנמצאים באינטרנט היום
10:07
of the passwordסיסמה metersמטר on the Internetאינטרנט todayהיום
הם עדינים מדי.
10:10
are too softרַך.
הם אומרים לנו שאנו עושים
עבודה טובה מוקדם מדי,
10:10
They tell you you're doing a good jobעבודה too earlyמוקדם,
ואם הם רק יחכו עוד קצת
10:13
and if they would just wait a little bitbit
לפני שהם נותנים לכם משוב חיובי
10:15
before givingמַתָן you that positiveחִיוּבִי feedbackמָשׁוֹב,
כנראה שהיו לנו סיסמאות יותר טובות.
10:17
you probablyכנראה would have better passwordsסיסמאות.
גישה אפשרית נוספת לסיסמאות טובות יותר
10:20
Now anotherאַחֵר approachגִישָׁה to better passwordsסיסמאות, perhapsאוּלַי,
היא להשתמש במשפט-סיסמה במקום במילה.
10:24
is to use passלַעֲבוֹר phrasesביטויים insteadבמקום זאת of passwordsסיסמאות.
זהו קומיקס של XKCD מלפני כשנתיים
10:27
So this was an xkcdxkcd cartoonקָרִיקָטוּרָה
from a coupleזוּג of yearsשנים agoלִפנֵי,
וצייר הקומיקס מציע
10:30
and the cartoonistקָרִיקָטוּרִיסט suggestsמציע
שכולנו נשתמש במשפטי-סיסמאות,
10:32
that we should all use passלַעֲבוֹר phrasesביטויים,
ואם תסתכלו בשורה השנייה של הקומיקס
10:34
and if you look at the secondשְׁנִיָה rowשׁוּרָה of this cartoonקָרִיקָטוּרָה,
תוכלו לראות שהצייר מצביע על כך
10:37
you can see the cartoonistקָרִיקָטוּרִיסט is suggestingמציע
שמשפט-הסיסמה: "נכון סוס סוללה סיכה"
10:39
that the passלַעֲבוֹר phraseמִשׁפָּט "correctנכון horseסוּס batteryסוֹלְלָה stapleמִצרָך"
יהווה סיסמה מאוד חזקה
10:42
would be a very strongחָזָק passלַעֲבוֹר phraseמִשׁפָּט
וגם קלה לזכירה.
10:45
and something really easyקַל to rememberלִזכּוֹר.
למעשה, הוא אומר, אתם כבר זוכרים אותו.
10:47
He saysאומר, in factעוּבדָה, you've alreadyכְּבָר rememberedנזכר it.
ולכן החלטנו לעשות מחקר
10:50
And so we decidedהחליט to do a researchמחקר studyלימוד
על מנת לגלות אם זה אכן נכון.
10:52
to find out whetherהאם this was trueנָכוֹן or not.
למען האמת, כל מי שדיברתי איתם,
10:54
In factעוּבדָה, everybodyכולם who I talk to,
והסברתי להם שאני עושה מחקר בנושא סיסמאות,
10:56
who I mentionאִזְכּוּר I'm doing passwordסיסמה researchמחקר,
הזכירו את הקומיקס הזה.
10:58
they pointנְקוּדָה out this cartoonקָרִיקָטוּרָה.
"אה, ראית את זה? XKCD האלה.
10:59
"Oh, have you seenלראות it? That xkcdxkcd.
נכון סוס סוללה סיכה"
11:01
Correctנכון horseסוּס batteryסוֹלְלָה stapleמִצרָך."
אז המשכנו לחקור כדי לפענח
11:03
So we did the researchמחקר studyלימוד to see
לאן זה יוביל.
11:04
what would actuallyלמעשה happenלִקְרוֹת.
אז במחקר הזה שלנו,
השתמשנו שוב ב"אמאזון מכניקל טורק"
11:07
So in our studyלימוד, we used Mechanicalמֵכָנִי Turkטורקי again,
והמחשב בחר עבורנו מילים אקראיות
11:10
and we had the computerמַחשֵׁב pickלִבחוֹר the randomאַקרַאִי wordsמילים
במשפט-סיסמה.
11:14
in the passלַעֲבוֹר phraseמִשׁפָּט.
הסיבה שעשינו זאת היא
11:15
Now the reasonסיבה we did this
מכיוון שבני אנוש לא מוצלחים כל כך
11:16
is that humansבני אנוש are not very good
בבחירת מילים אקראיות.
11:18
at pickingקטיף randomאַקרַאִי wordsמילים.
אם בן אנוש היה עושה זאת
11:19
If we askedשאל a humanבן אנוש to do it,
הוא היה בוחר מילים שאינן אקראיות כל כך.
11:21
they would pickלִבחוֹר things that were not very randomאַקרַאִי.
אז ניסינו מספר תנאים שונים.
11:24
So we triedניסה a fewמְעַטִים differentשונה conditionsתנאים.
על פי תנאי אחד, המחשב בחר
11:26
In one conditionמַצָב, the computerמַחשֵׁב pickedהרים
מתוך מילון של מילים מאוד נפוצות
11:28
from a dictionaryמילון of the very commonמשותף wordsמילים
בשפה האנגלית.
11:30
in the Englishאנגלית languageשפה,
וכך התקבלו משפטי-סיסמה כמו
11:31
and so you'dהיית רוצה get passלַעֲבוֹר phrasesביטויים like
"נסה שם שלוש בוא".
11:33
"try there threeשְׁלוֹשָׁה come."
הסתכלנו על זה ואמרנו,
11:35
And we lookedהביט at that, and we said,
"טוב, זה לא ממש נראה
כמו משהו שניתן לזכור בקלות"
11:37
"Well, that doesn't really seemנראה very memorableבלתי נשכח."
אז ניסינו לבחור מילים
11:40
So then we triedניסה pickingקטיף wordsמילים
שמשמשות כחלקים שונים בהבעה,
11:42
that cameבא from specificספֵּצִיפִי partsחלקים of speechנְאוּם,
למשל שם עצם-שם תואר-פועל-שם עצם.
11:44
so how about noun-verb-adjective-nounשם עצם-שם-שם-שם עצם.
שיופיעו כסוג של משהו שמדמה משפט.
11:47
That comesבא up with something
that's sortסוג of sentence-likeכמו משפט.
כך שנוכל לקבל משפט-סיסמה כמו
11:49
So you can get a passלַעֲבוֹר phraseמִשׁפָּט like
"תכנית בונה כוח מהימן"
11:51
"planלְתַכְנֵן buildsבונה sure powerכּוֹחַ"
או "סיום קובע סם אדום"
11:53
or "endסוֹף determinesקובע redאָדוֹם drugתְרוּפָה."
ואלה נראו כקלים יותר לזכירה.
11:55
And these seemedנראה a little bitbit more memorableבלתי נשכח,
ואולי אנשים יאהבו אותם קצת יותר.
11:58
and maybe people would like those a little bitbit better.
רצינו להשוות את אלה למילות-סיסמה,
12:01
We wanted to compareלְהַשְׁווֹת them with passwordsסיסמאות,
אז המחשב בחר עבורנו מילות-סיסמה אקראיות,
12:03
and so we had the computerמַחשֵׁב
pickלִבחוֹר randomאַקרַאִי passwordsסיסמאות,
והן היו נחמדות וקצרות,
אך כמו שאתם יכולים לראות
12:07
and these were niceנֶחְמָד and shortקצר, but as you can see,
הן לא נראות כל כך בלתי-נשכחות.
12:09
they don't really look very memorableבלתי נשכח.
אז החלטנו לנסות משהו שנקרא
12:11
And then we decidedהחליט to try something calledשקוראים לו
"סיסמה ניתנת לביטוי"
12:13
a pronounceableניתן לבטא passwordסיסמה.
כך המחשב בוחר הברות אקראיות
12:14
So here the computerמַחשֵׁב picksמבחר randomאַקרַאִי syllablesהברות
ומחבר ביניהן
12:17
and putsמעמיד them togetherיַחַד
עך שמתקבל משהו יחסית ניתן לביטוי
12:18
so you have something sortסוג of pronounceableניתן לבטא,
כמו "מדשאיני" או "לביבסאבי"
12:20
like "tufritviטופריטוי" and "vadasabivadasabi."
שדי מתגלגל לך על הלשון.
12:23
That one kindסוג of rollsלחמניות off your tongueלָשׁוֹן.
אז אלה היו מילות-סיסמה אקראיות
12:25
So these were randomאַקרַאִי passwordsסיסמאות that were
שנוצרו על ידי המחשב שלנו.
12:27
generatedשנוצר by our computerמַחשֵׁב.
כך שמה שמצאנו במחקר הזה, באופן מפתיע,
12:30
So what we foundמצאתי in this studyלימוד was that, surprisinglyלמרבה ההפתעה,
משפטי-סיסמה לא היו
כאלה מצוינים בסופו של דבר.
12:33
passלַעֲבוֹר phrasesביטויים were not actuallyלמעשה all that good.
אנשים לא זכרו אותם טוב יותר
12:37
People were not really better at rememberingזוכרת
מאשר את מילות הסיסמה.
12:40
the passלַעֲבוֹר phrasesביטויים than these randomאַקרַאִי passwordsסיסמאות,
וגם כיוון שמשפטי-סיסמה ארוכים יותר,
12:43
and because the passלַעֲבוֹר phrasesביטויים are longerארוך יותר,
ולקח יותר זמן להקליד אותם
12:45
they tookלקח longerארוך יותר to typeסוּג
אנשים טעו יותר בזמן הקלדתם.
12:47
and people madeעָשׂוּי more errorsשגיאות while typingהקלדה them in.
לכן אין כאן הכרעה ברורה
בנושא משפטי-הסיסמה.
12:50
So it's not really a clearברור winלנצח for passלַעֲבוֹר phrasesביטויים.
מצטערת, חובבי XKCD.
12:53
Sorry, all of you xkcdxkcd fansמעריצים.
מאידך, מצאנו
12:56
On the other handיד, we did find
שמילות סיסמה שניתנות לביטוי
12:58
that pronounceableניתן לבטא passwordsסיסמאות
עבדו מעולה, באופן מפתיע.
13:00
workedעבד surprisinglyלמרבה ההפתעה well,
אז אנחנו כרגע חוקרים לעומק
13:01
and so we actuallyלמעשה are doing some more researchמחקר
על מנת לראות אם נוכל לפתח את הגישה הזו.
13:04
to see if we can make that
approachגִישָׁה work even better.
אחת הבעיות
13:07
So one of the problemsבעיות
עם חלק מהמחקרים שביצענו
13:09
with some of the studiesלימודים that we'veיש לנו doneבוצע
זה בגלל שכולם נעשו
13:10
is that because they're all doneבוצע
בעזרת "מכניקל טורק"
13:12
usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני Mechanicalמֵכָנִי Turkטורקי,
אלה לא סיסמאות אמיתיות של מישהו.
13:14
these are not people'sשל אנשים realאמיתי passwordsסיסמאות.
אלה הן סיסמאות שהם יצרו
13:15
They're the passwordsסיסמאות that they createdשנוצר
או שמחשב יצר אותם עבור המחקר שלנו.
13:18
or the computerמַחשֵׁב createdשנוצר for them for our studyלימוד.
ורצינו לדעת האם אנשים
13:20
And we wanted to know whetherהאם people
יתנהגו באותו אופן
13:22
would actuallyלמעשה behaveלְהִתְנַהֵג the sameאותו way
עם הסיסמאות האמיתיות שמשמשות אותם.
13:24
with theirשֶׁלָהֶם realאמיתי passwordsסיסמאות.
אז דיברנו עם אחראי אבטחת המידע
באוניברסיטת קרנגי מלון
13:26
So we talkedדיבר to the informationמֵידָע
securityבִּטָחוֹן officeמִשׂרָד at Carnegieקרנגי Mellonמלון
וביקשנו אם נוכל לקבל
את כל הסיסמאות האמיתיות במערכת.
13:30
and askedשאל them if we could
have everybody'sשל כולם realאמיתי passwordsסיסמאות.
כמובן, הם היו די מסויגים
13:34
Not surprisinglyלמרבה ההפתעה, they were a little bitbit reluctantמסרב
לשתף אותנו בפרטים הללו,
13:35
to shareלַחֲלוֹק them with us,
אבל הצלחנו למצוא,
13:37
but we were actuallyלמעשה ableיכול to work out
יחד איתם, שיטה
13:39
a systemמערכת with them
לפיה הם ישימו את כל הסיסמאות
13:40
where they put all of the realאמיתי passwordsסיסמאות
של 25000 סטודנטים, סגל וצוות האוניברסיטה
13:42
for 25,000 CMUCMU studentsסטודנטים, facultyסגל and staffצוות,
במחשב נעול, בחדר נעול,
13:45
into a lockedנָעוּל computerמַחשֵׁב in a lockedנָעוּל roomחֶדֶר,
שאינו מחובר לאינטרנט,
13:47
not connectedמְחוּבָּר to the Internetאינטרנט,
והם הריצו עליו צופן שאנחנו רשמנו
13:49
and they ranרץ codeקוד on it that we wroteכתבתי
כדי לנתח את הסיסמאות הללו.
13:51
to analyzeלְנַתֵחַ these passwordsסיסמאות.
הם ביקרו את הצופן שלנו.
13:53
They auditedמבוקר our codeקוד.
הם הריצו את הקוד.
13:54
They ranרץ the codeקוד.
כך שבעצם לא ראינו כלל
13:55
And so we never actuallyלמעשה saw
אף אחת מהסיסמאות.
13:57
anybody'sשל מישהו passwordסיסמה.
קיבלנו תוצאות מעניינות.
14:00
We got some interestingמעניין resultsתוצאות,
ואתם שם מאחור,
הסטודנטים בטפר (בי"ס לעסקים),
14:02
and those of you Tepperטפר studentsסטודנטים in the back
זה יעניין אתכם מאוד.
14:03
will be very interestedמעוניין in this.
מצאנו שהסיסמאות שנוצרו
14:06
So we foundמצאתי that the passwordsסיסמאות createdשנוצר
על ידי אנשים שמשויכים לביה"ס למדעי המחשב
14:10
by people affiliatedמְסוּנָף with the
schoolבית ספר of computerמַחשֵׁב scienceמַדָע
היו פי 1.8 חזקות יותר
14:12
were actuallyלמעשה 1.8 timesפִּי strongerיותר חזק
מהסיסמאות של המשויכים לביה"ס לעסקים.
14:14
than those affiliatedמְסוּנָף with the businessעֵסֶק schoolבית ספר.
יש לנו עוד הרבה
14:18
We have lots of other really interestingמעניין
מידע דמוגרפי מעניין גם כן.
14:20
demographicדמוגרפי informationמֵידָע as well.
דבר מעניין נוסף שמצאנו
14:22
The other interestingמעניין thing that we foundמצאתי
זה שבהשוואה בין הסיסמאות מהאוניברסיטה
14:24
is that when we comparedבהשוואה
the Carnegieקרנגי Mellonמלון passwordsסיסמאות
לסיסמאות שנוצרו דרך "מכניקל טורק"
14:27
to the Mechanicalמֵכָנִי Turk-generatedטורק שנוצר passwordsסיסמאות,
מצאנו שיש הרבה דמיון ביניהן,
14:29
there was actuallyלמעשה a lot of similaritiesקווי דמיון,
כך שזה נתן תוקף לשיטת המחקר שלנו
14:31
and so this helpedעזר validateלְאַמֵת our researchמחקר methodשִׁיטָה
והוכיח שבעצם, איסוף סיסמאות
14:33
and showלְהַצִיג that actuallyלמעשה, collectingאיסוף passwordsסיסמאות
על ידי שימוש בסקרים ב"מכניקל טורק"
14:36
usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני these Mechanicalמֵכָנִי Turkטורקי studiesלימודים
זו אכן שיטה תקפה ללמידה של סיסמאות.
14:38
is actuallyלמעשה a validתָקֵף way to studyלימוד passwordsסיסמאות.
אז אלה היו חדשות טובות.
14:41
So that was good newsחֲדָשׁוֹת.
רציתי לסיים בלדבר על
14:43
Okay, I want to closeלִסְגוֹר by talkingשִׂיחָה about
כמה תובנות שצברתי במהלך שנת שבתון
14:45
some insightsתובנות I gainedזכה while on sabbaticalשבתון
שלקחתי בשנה שעברה
בביה"ס לאומנות של קרנגי מלון.
14:47
last yearשָׁנָה in the Carnegieקרנגי Mellonמלון artאומנות schoolבית ספר.
אחד הדברים שעשיתי
14:51
One of the things that I did
זה הכנתי מספר שמיכות טלאים
14:52
is I madeעָשׂוּי a numberמספר of quiltsשמיכות,
והכנתי את שמיכת הטלאים הזו כאן.
14:53
and I madeעָשׂוּי this quiltשמיכה here.
זה נקרא "שמיכת אבטחה"
14:55
It's calledשקוראים לו "Securityבִּטָחוֹן Blanketשְׂמִיכָה."
14:57
(Laughterצחוק)
ובשמיכה הזאת יש אלף
14:59
And this quiltשמיכה has the 1,000
סיסמאות שהן הנגנבות ביותר
15:02
mostרוב frequentתָכוּף passwordsסיסמאות stolenגָנוּב
מאתר RockYou
15:05
from the RockYouננצח אתכם websiteאתר אינטרנט.
והאורך של הסיסמאות הוא פרופורציונלי
15:07
And the sizeגודל of the passwordsסיסמאות is proportionalיַחֲסִי
לתכיפות בה הסיסמה מופיעה
15:09
to how frequentlyבתדירות גבוהה they appearedהופיע
בנתונים של סיסמאות גנובות.
15:11
in the stolenגָנוּב datasetמערך נתונים.
ומה שעשיתי זה יצרתי את ענן-המילים הזה,
15:13
And what I did is I createdשנוצר this wordמִלָה cloudענן,
עברתי על כל אלף המילים,
15:16
and I wentהלך throughדרך all 1,000 wordsמילים,
וקיטלגתי אותם
15:18
and I categorizedמסווג them into
למערכת נושאית כללית.
15:20
looseמְשׁוּחרָר thematicנוֹשְׂאִי categoriesקטגוריות.
ובחלק מהמקרים, זה היה
15:22
And it was, in some casesבמקרים,
די קשה להחליט
15:24
it was kindסוג of difficultקָשֶׁה to figureדמות out
באיזו קטגוריה לקטלג אותן,
15:26
what categoryקטגוריה they should be in,
ואז סידרתי אותם על פי צבעים.
15:28
and then I color-codedמקודד צבע them.
אז הנה כמה דוגמאות של הקושי בפיענוח.
15:30
So here are some examplesדוגמאות of the difficultyקושי.
אז לדוגמה "ג'סטין"
15:33
So "justinפשוט."
האם זה שם המשתמש,
15:34
Is that the nameשֵׁם of the userמִשׁתַמֵשׁ,
שם החבר או הבן?
15:36
theirשֶׁלָהֶם boyfriendהֶחָבֵר, theirשֶׁלָהֶם sonבֵּן?
אולי הם בכלל מעריצים של ג'סטין ביבר.
15:37
Maybe they're a Justinג'סטין Bieberביבר fanאוהד.
או "נסיכה"
15:40
Or "princessנסיכה."
האם זה שם חיבה?
15:42
Is that a nicknameכינוי?
האם אלה הם מעריצים של נסיכת דיסני?
15:44
Are they Disneyדיסני princessנסיכה fansמעריצים?
או אולי זהו שם החתולה שלהם.
15:45
Or maybe that's the nameשֵׁם of theirשֶׁלָהֶם catחתול.
"אניאוהבאותך" מופיע הרבה פעמים
15:49
"Iloveyouאני אוהב אותך" appearsמופיע manyרב timesפִּי
בהרבה שפות שונות.
15:51
in manyרב differentשונה languagesשפות.
יש הרבה "אהבה" בסיסמאות הללו.
15:52
There's a lot of love in these passwordsסיסמאות.
אם תביטו היטב תוכלו לראות
15:56
If you look carefullyבקפידה, you'llאתה see there's alsoגַם
שיש שם גם תועבה,
15:58
some profanityניבולי פה,
אבל זה היה מאוד מעניין עבורי
16:00
but it was really interestingמעניין to me to see
לראות שיש הרבה יותר אהבה משנאה
16:02
that there's a lot more love than hateשִׂנאָה
בסיסמאות הללו.
16:04
in these passwordsסיסמאות.
ויש בעלי חיים,
16:06
And there are animalsבעלי חיים,
הרבה בעלי חיים,
16:08
a lot of animalsבעלי חיים,
ו"קוף" זה הנפוץ ביותר מביניהם
16:09
and "monkeyקוֹף" is the mostרוב commonמשותף animalבעל חיים
והסיסמה ה-14 הנפוצה ביותר ברשימה.
16:12
and the 14thה mostרוב popularפופולרי passwordסיסמה overallבאופן כללי.
וזה מאוד סיקרן אותי
16:15
And this was really curiousסקרן to me,
וחשבתי לעצמי
"למה קופים הם כל כך פופולריים?"
16:17
and I wonderedתהה, "Why are monkeysקופים so popularפופולרי?"
וכך, במחקר הסיסמאות האחרון שלנו
16:20
And so in our last passwordסיסמה studyלימוד,
כל פעם שזיהינו מישהו
16:23
any time we detectedזוהה somebodyמִישֶׁהוּ
שיצר סיסמה עם המילה "קוף"
16:25
creatingיוצר a passwordסיסמה with the wordמִלָה "monkeyקוֹף" in it,
שאלנו אותם למה הם החליטו
לכלול קוף בסיסמה שלהם
16:28
we askedשאל them why they had
a monkeyקוֹף in theirשֶׁלָהֶם passwordסיסמה.
ומה שגילינו...
16:31
And what we foundמצאתי out --
גילינו ש-17 אנשים, עד כה, אני חושבת
16:33
we foundמצאתי 17 people so farרָחוֹק, I think,
שכללו את המילה "קוף"...
16:35
who have the wordמִלָה "monkeyקוֹף" --
מצאנו שכשליש מהם אמרו
16:36
We foundמצאתי out about a thirdשְׁלִישִׁי of them said
שיש להם חיית מחמד שקוראים לה "קוף"
16:38
they have a petחיית מחמד namedבשם "monkeyקוֹף"
או חבר שהכינוי שלו זה "קוף"
16:39
or a friendחָבֵר whoseשל מי nicknameכינוי is "monkeyקוֹף,"
ושליש מהם אמרו
16:42
and about a thirdשְׁלִישִׁי of them said
שהם פשוט אוהבים קופים
16:43
that they just like monkeysקופים
ושקופים ממש חמודים.
16:45
and monkeysקופים are really cuteחָמוּד.
והבחור הזה ממש חמוד.
16:47
And that guy is really cuteחָמוּד.
כך שנראה, בסופו של יום,
16:50
So it seemsנראה that at the endסוֹף of the day,
כשאנחנו יוצרים סיסמאות
16:54
when we make passwordsסיסמאות,
אנחנו יוצרים משהו שהוא ממש קל להקליד
16:55
we eitherאוֹ make something that's really easyקַל
כמו תבנית נפוצה,
16:57
to typeסוּג, a commonמשותף patternתַבְנִית,
או דברים שמזכירים לנו את מילת הסיסמה
17:00
or things that remindלְהַזכִּיר us of the wordמִלָה passwordסיסמה
או את החשבון שעבורו יצרנו את הסיסמה,
17:03
or the accountחֶשְׁבּוֹן that we'veיש לנו createdשנוצר the passwordסיסמה for,
או כל דבר.
17:06
or whateverמה שתגיד.
או שאנחנו חושבים על דברים
שגורמים לנו לשמוח.
17:09
Or we think about things that make us happyשַׂמֵחַ,
ואנחנו יוצרים את הסיסמאות שלנו
17:11
and we createלִיצוֹר our passwordסיסמה
בהתבסס על דברים שגורמים לנו לשמוח.
17:13
basedמבוסס on things that make us happyשַׂמֵחַ.
ואמנם זה גורם להקלדה
17:15
And while this makesעושה typingהקלדה
ולזכירה של הסיסמה שלנו להיות מהנים יותר,
17:18
and rememberingזוכרת your passwordסיסמה more funכֵּיף,
אבל זה גם הופך את הסיסמה שלנו
17:21
it alsoגַם makesעושה it a lot easierקל יותר
להרבה יותר קלה לניחוש.
17:23
to guessלְנַחֵשׁ your passwordסיסמה.
אז אני יודעת שהרבה מהסרטונים הללו ב TED
17:24
So I know a lot of these TEDTED Talksשיחות
הם מעוררי השראה
17:26
are inspirationalמעוררת השראה
והם גורמים לכם לחשוב
על דברים נחמדים ומשמחים,
17:27
and they make you think about niceנֶחְמָד, happyשַׂמֵחַ things,
אבל כשאתם יוצרים לעצמכם סיסמה,
17:30
but when you're creatingיוצר your passwordסיסמה,
נסו לחשוב על משהו אחר.
17:32
try to think about something elseאַחֵר.
תודה.
17:34
Thank you.
17:35
(Applauseתְשׁוּאוֹת)
Translated by Shira Salingré
Reviewed by Oren Szekatch

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com