English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Što ne valja s vašom lo2!nk0m?

Filmed:
1,509,194 views

Lorrie Faith Cranor je proučavala tisuće pravih korisničkih lozinki kako bi otkrila iznenađujuće, česte greške koje korisnici i zaštićene stranice čine narušavajući sigurnost. A kako ih je proučavala, a da nije pritom narušila sigurnost niti jednog korisnika? To je prava priča. Tajni podaci koje je vrijedi znati, posebno ako je vaša lozinka 123456 ...

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

I am a computerračunalo scienceznanost and engineeringinženjering
professorprofesor here at CarnegieCarnegie MellonMellon,
Ja sam profesorica računalne znanosti i
inženjerstva, ovdje, na Carnegie Mellonu.
00:12
and my researchistraživanje focusesusredotočuje on
usablekorisna privacyprivatnost and securitysigurnosti,
Moje istraživanje se bavi primjenjivim
pravilima privatnosti i sigurnosti.
00:15
and so my friendsprijatelji like to give me examplesprimjeri
Prijatelji mi vole davati primjere
00:20
of theirnjihov frustrationsfrustracije with computingračunanje systemssustavi,
njihove frustriranosti
računalnim sustavima,
00:22
especiallyposebno frustrationsfrustracije relatedpovezan to
posebno kada frustriranost ima veze
00:25
unusableneupotrebljiv privacyprivatnost and securitysigurnosti.
s neprimjenjivim pravilima
privatnosti i sigurnosti.
00:28
So passwordslozinke are something that I hearčuti a lot about.
Tako su lozinke česta tema.
00:32
A lot of people are frustratedfrustriran with passwordslozinke,
Puno ljudi je frustrirano s lozinkama,
00:35
and it's badloše enoughdovoljno
i dovoljno je zlo
00:38
when you have to have one really good passwordlozinku
imati jednu zbilja dobru lozinku
00:39
that you can rememberzapamtiti
koju možeš zapamtiti,
00:42
but nobodynitko elsedrugo is going to be ableu stanju to guessnagađati.
a da je nitko neće pogoditi.
00:44
But what do you do when you have accountsračuni
Ali što napraviti kada imaš
nekoliko korisničkih računa,
00:47
on a hundredstotina differentdrugačiji systemssustavi
na stotinu različitih sustava
00:48
and you're supposedtrebala to have a uniquejedinstvena passwordlozinku
i trebao bi imati unikatnu lozinku
00:50
for eachsvaki of these systemssustavi?
za svaki od tih sustava?
00:53
It's toughtvrd.
To je teško.
00:56
At CarnegieCarnegie MellonMellon, they used to make it
Na Carnegie Mellonu,
00:58
actuallyzapravo prettyprilično easylako for us
su nam olakšavali, zapravo
01:00
to rememberzapamtiti our passwordslozinke.
pamćenje naših lozinki.
01:01
The passwordlozinku requirementzahtjev up throughkroz 2009
Uvjet za prihvaćenu lozinku do 2009.
01:03
was just that you had to have a passwordlozinku
je bio da lozinka sadrži
01:05
with at leastnajmanje one characterlik.
barem jedan znak.
01:07
Prettylijep easylako. But then they changedpromijenjen things,
Jednostavno. Ali onda su
se pravila promijenila.
01:10
and at the endkraj of 2009, they announcednajavio
Krajem 2009. najavljena je
01:12
that we were going to have a newnovi policypolitika,
nova politika.
01:15
and this newnovi policypolitika requiredpotreban
Ta nova politika je zahtijevala
01:17
passwordslozinke that were at leastnajmanje eightosam characterslikovi long,
lozinke duge minimalno osam znakova,
01:19
with an uppercasevelika slova letterpismo, lowercasemala letterpismo,
s velikim slovima, malim slovima
01:22
a digitznamenka, a symbolsimbol,
brojem, simbolom,
01:24
you couldn'tne mogu use the sameisti
characterlik more than threetri timesputa,
isti znak se ne smije
koristiti više od tri puta,
01:25
and it wasn'tnije alloweddopušteno to be in a dictionaryrječnik.
i riječ nije smjela biti iz rječnika.
01:28
Now, when they implementedprovoditi this newnovi policypolitika,
Kada su implementirali tu novu politiku,
01:30
a lot of people, my colleagueskolege and friendsprijatelji,
puno ljudi, mojih kolega i prijatelja,
01:32
camedošao up to me and they said, "WowSjajna osoba,
me je pitalo:
01:35
now that's really unusableneupotrebljiv.
"Ovo je zbilja neprimjenjivo.
01:36
Why are they doing this to us,
Zašto nam to rade
01:38
and why didn't you stop them?"
i zašto ih ti nisi zaustavila?"
01:39
And I said, "Well, you know what?
A ja sam rekla: "Znaš što?
01:41
They didn't askpitati me."
Nisu me niti pitali."
01:42
But I got curiousznatiželjan, and I decidedodlučio to go talk
Ali sam postala znatiželjna
i odlučila sam razgovarati
01:44
to the people in chargenaplatiti of our computerračunalo systemssustavi
s ljudima zaduženim za računalne sustave
01:47
and find out what led them to introducepredstaviti
i otkriti što ih je navelo da uvedu
01:49
this newnovi policypolitika,
ovu novu politiku.
01:52
and they said that the universitysveučilište
Rekli su mi da se sveučilište
01:54
had joinedspojen a consortiumKonzorcij of universitiessveučilišta,
pridružilo konzorciju sveučilišta,
01:55
and one of the requirementszahtjevi of membershipčlanstvo u
a jedan od uvjeta za članstvo je
01:58
was that we had to have strongerjači passwordslozinke
da članovi imaju jake lozinke.
02:00
that compliedu skladu with some newnovi requirementszahtjevi,
Te lozinke su morale
odgovarati novim pravilima,
02:03
and these requirementszahtjevi were that our passwordslozinke
ta pravila su zahtijevala da naše lozinke
02:05
had to have a lot of entropyentropija.
budu poprilično entropične.
02:07
Now entropyentropija is a complicatedsložen termtermin,
Entropija je kompliciran termin,
02:09
but basicallyu osnovi it measuresmjere the strengthsnaga of passwordslozinke.
ali u pravilu, mjeri jačinu lozinki.
02:11
But the thing is, there isn't actuallyzapravo
Ali, stvar je u tome što ne postoji
02:14
a standardstandard measuremjera of entropyentropija.
standardna mjera entropije.
02:16
Now, the NationalNacionalne InstituteInstitut
of StandardsStandarda and TechnologyTehnologija
Nacionalni institut za
standarde i tehnologije
02:18
has a setset of guidelinessmjernice
ima skup smjernica
02:20
whichkoji have some rulespravila of thumbpalac
koje sadrže nekoliko
odokativnih pravila
02:22
for measuringmjerenje entropyentropija,
za mjerenje entropije,
02:24
but they don't have anything too specificspecifično,
ali nemaju nikakva specifična pravila.
02:26
and the reasonrazlog they only have rulespravila of thumbpalac
Razlog za to je taj
02:29
is it turnsokreti out they don't actuallyzapravo have any good datapodaci
što nemaju nikakvih pravih podataka
02:31
on passwordslozinke.
o lozinkama.
02:34
In factčinjenica, theirnjihov reportizvješće statesDržave,
U njihovom izvještaju stoji:
02:36
"UnfortunatelyNažalost, we do not have much datapodaci
"Nažalost, nemamo mnogo podataka
02:38
on the passwordslozinke usersKorisnici
chooseizabrati underpod particularposebno rulespravila.
o lozinkama koje korisnici odabiru
pri određenim pravilima.
02:40
NISTNIST would like to obtaindobiti more datapodaci
NIST bi želio prikupiti više podataka
02:43
on the passwordslozinke usersKorisnici actuallyzapravo chooseizabrati,
o lozinkama koje korisnici odabiru,
02:45
but systemsistem administratorsadministratori
are understandablyRazumljivo reluctantprotiv volje
ali sistemski administratori,
su razumljivo, nevoljni
02:48
to revealotkriti passwordlozinku datapodaci to othersdrugi."
otkriti podatke o lozinkama
trećim stranama."
02:50
So this is a problemproblem, but our researchistraživanje groupskupina
Ovo je problem, ali naša
istraživačka skupina
02:53
lookedgledao at it as an opportunityprilika.
je to vidjela kao mogućnost.
02:56
We said, "Well, there's a need
for good passwordlozinku datapodaci.
Rekli smo: "Postoji potreba
za dobrim podacima o lozinkama.
02:58
Maybe we can collectprikupiti some good passwordlozinku datapodaci
Možda mi možemo prikupiti te podatke.
03:02
and actuallyzapravo advancenapredovati the statedržava of the artumjetnost here.
I unaprijediti vrhunsku tehnologiju.
03:04
So the first thing we did is,
Prva stvar koju smo napravili je
03:06
we got a bagtorba of candybombon barsbarovi
da smo nabavili vreću čokoladica,
03:08
and we walkedhodao around campuskampus
s kojim smo hodali po kampusu,
03:10
and talkedRazgovarao to studentsstudenti, facultyfakultet and staffosoblje,
i razgovarali sa studentima,
profesorima i osobljem
03:11
and askedpitao them for informationinformacija
i tražili ih informacije
03:14
about theirnjihov passwordslozinke.
o njihovim lozinkama.
03:15
Now we didn't say, "Give us your passwordlozinku."
Nismo ih tražili da
nam daju svoje lozinke.
03:17
No, we just askedpitao them about theirnjihov passwordlozinku.
Ne, mi smo ih samo pitali o njima.
03:20
How long is it? Does it have a digitznamenka?
Koliko su duge? Imaju li broj?
03:22
Does it have a symbolsimbol?
Imaju li simbol?
03:24
And were you annoyedojađen at havingima to createstvoriti
Smeta li vam što ste morali kreirati
03:25
a newnovi one last weektjedan?
novu prošli tjedan?
03:27
So we got resultsrezultati from 470 studentsstudenti,
Dobili smo rezultate 470 studenata
03:30
facultyfakultet and staffosoblje,
profesora i osoblja,
03:33
and indeeddoista we confirmedpotvrđen that the newnovi policypolitika
i zaista se potvrdilo da
im je ova nova politika
03:34
was very annoyingdosadan,
jako zasmetala.
03:36
but we alsotakođer foundpronađeno that people said
Također smo otkrili da
03:38
they feltosjećala more secureosigurati with these newnovi passwordslozinke.
su se ljudi osjećali sigurnije
s novim lozinkama.
03:40
We foundpronađeno that mostnajviše people knewznao
Otkrili smo da većina ljudi zna
03:43
they were not supposedtrebala to
writepisati theirnjihov passwordlozinku down,
da ne bi smjeli zapisivati lozinke,
03:45
and only 13 percentposto of them did,
i samo 13 posto njih to radi,
03:47
but disturbinglyuznemirujuće, 80 percentposto of people
ali ono što je uznemirujuće 80 posto
03:50
said they were reusingNaknadna uporaba theirnjihov passwordlozinku.
njih koristi stare lozinke.
03:52
Now, this is actuallyzapravo more dangerousopasno
To je puno opasnije od
03:54
than writingpisanje your passwordlozinku down,
zapisivanja lozinke
03:56
because it makesmarke you much
more susceptibleosjetljiv to attackersNapadači.
jer vas čini podložnijim napadima.
03:58
So if you have to, writepisati your passwordslozinke down,
Dakle, ako baš morate,
zapišite svoju lozinku,
04:01
but don't reuseponovo upotrijebiti them.
ali, nemojte ponovno koristiti staru.
04:05
We alsotakođer foundpronađeno some interestingzanimljiv things
Otkrili smo i neke zanimljivih stvari
04:06
about the symbolssimboli people use in passwordslozinke.
o simbolima koji se koriste.
04:08
So CMUCMU allowsomogućuje 32 possiblemoguće symbolssimboli,
CMU dopušta korištenje 32 moguća znaka,
04:11
but as you can see, there's only a smallmali numberbroj
ali kao što vidite, mali broj
04:14
that mostnajviše people are usingkoristeći,
njih se koristi.
04:16
so we're not actuallyzapravo gettinguzimajući very much strengthsnaga
Tako da lozinka ne dobiva puno
04:18
from the symbolssimboli in our passwordslozinke.
na snazi korištenjem simbola.
04:21
So this was a really interestingzanimljiv studystudija,
Ovo je bila jako zanimljiva studija,
04:23
and now we had datapodaci from 470 people,
i dobili smo podatke od 470 ispitanika,
04:26
but in the schemeshema of things,
ali generalno,
04:29
that's really not very much passwordlozinku datapodaci,
ne radi se o puno podataka.
04:30
and so we lookedgledao around to see
Zato smo istraživali
04:33
where could we find additionalDodatne passwordlozinku datapodaci?
gdje možemo pronaći još podataka.
04:34
So it turnsokreti out there are a lot of people
Tako smo pronašli da postoji hrpa ljudi
04:37
going around stealingkrađa passwordslozinke,
koji kradu lozinke,
04:39
and they oftenčesto go and postpošta these passwordslozinke
a onda ih često objavljuju
04:41
on the InternetInternet.
na Internetu.
04:43
So we were ableu stanju to get accesspristup
Uspjeli smo pristupiti
04:45
to some of these stolenukraden passwordlozinku setssetovi.
nekima od tih ukradenih lozinki.
04:46
This is still not really idealidealan for researchistraživanje, thoughiako,
To nije baš idealna situacija
kada se radi o istraživanju
04:50
because it's not entirelypotpuno clearčisto
jer nije posve jasno
04:53
where all of these passwordslozinke camedošao from,
odakle potječu te lozinke
04:55
or exactlytočno what policiespolitika were in effectposljedica
i pod kojim pravilima
04:57
when people createdstvorio these passwordslozinke.
su ih kreirali korisnici.
04:59
So we wanted to find some better sourceizvor of datapodaci.
Zbog toga smo željeli
pronaći bolji izvor podataka.
05:01
So we decidedodlučio that one thing we could do
Odlučili smo se je najbolji način
05:05
is we could do a studystudija and have people
da napravimo studiju i zamolimo ljude
05:06
actuallyzapravo createstvoriti passwordslozinke for our studystudija.
da kreiraju lozinke za našu studiju.
05:09
So we used a serviceservis calledzvao
AmazonAmazon MechanicalMehanički TurkTurk,
Koristili smo servis koji se zove
Amazon Mechanical Turk.
05:12
and this is a serviceservis where you can postpošta
To je servis na kojem se objavljuju
05:15
a smallmali jobposao onlinena liniji that takes a minuteminuta,
jednostavni poslovi koji traju minutu,
05:17
a fewnekoliko minutesminuta, an hoursat,
nekoliko minuta ili sat,
05:19
and payplatiti people, a pennypeni, tendeset centscenti, a fewnekoliko dollarsdolara,
i plaćaju peni, 10 centi
ili nekoliko dolara,
05:21
to do a taskzadatak for you,
ljudima nakon što izvrše zadatak.
05:23
and then you payplatiti them throughkroz AmazonAmazon.comcom.
Plaćanje se odvija preko Amazona.
05:25
So we paidplaćen people about 50 centscenti
Mi smo ljudima plaćali oko 50 centi
05:27
to createstvoriti a passwordlozinku followingsljedeći our rulespravila
za stvaranje lozinki pod
određenim pravilima
05:29
and answeringodgovaranje a surveypregled,
i sudjelovanje u anketi.
05:32
and then we paidplaćen them again to come back
Ponovno smo im platili da se vrate
05:33
two daysdana laterkasnije and logklada in
za dva dana i ulogiraju
05:36
usingkoristeći theirnjihov passwordlozinku and answeringodgovaranje anotherjoš surveypregled.
koristeći lozinke i
odgovore na drugi upitnik.
05:38
So we did this, and we collectedprikupljeni 5,000 passwordslozinke,
Tako smo prikupili 5.000 lozinki
05:40
and we gavedali people a bunchmnogo of differentdrugačiji policiespolitika
uz hrpu različitih politika i pravila
05:45
to createstvoriti passwordslozinke with.
za stvaranje lozinki.
05:47
So some people had a prettyprilično easylako policypolitika,
Neki ispitanicu su imali
jednostavna pravila,
05:49
we call it BasicOsnovne8,
nazvali smo ih Basic8,
05:51
and here the only rulepravilo was that your passwordlozinku
gdje je jedino pravilo bilo da lozinka
05:52
had to have at leastnajmanje eightosam characterslikovi.
ima najmanje osam znakova.
05:55
Then some people had a much harderteže policypolitika,
Drugi su morali poštovati
kompliciranije politike,
05:58
and this was very similarsličan to the CMUCMU policypolitika,
slične onima na CMU-u,
06:00
that it had to have eightosam characterslikovi
gdje je moralo biti osam znakova
06:03
includinguključujući uppercasevelika slova, lowercasemala, digitznamenka, symbolsimbol,
uključujući velika i mala slova,
broj i simbol,
06:05
and passproći a dictionaryrječnik checkprovjeriti.
i proći provjeru rječnika.
06:07
And one of the other policiespolitika we triedpokušala,
Testirali smo još jednu politiku,
06:09
and there were a wholečitav bunchmnogo more,
a bilo ih je puno više,
06:11
but one of the onesone we triedpokušala was calledzvao BasicOsnovne16,
bila je Basic16,
06:12
and the only requirementzahtjev here
s pravilom da
06:14
was that your passwordlozinku had
to have at leastnajmanje 16 characterslikovi.
lozinka mora imati najmanje 16 znakova.
06:17
All right, so now we had 5,000 passwordslozinke,
Dakle, skupili smo 5.000 lozinki,
06:20
and so we had much more detaileddetaljne informationinformacija.
imali smo detaljne informacije.
06:23
Again we see that there's only a smallmali numberbroj
Ponovno smo uvidjeli da postoji mali
06:26
of symbolssimboli that people are actuallyzapravo usingkoristeći
broj simbola koje korisnici koriste
06:29
in theirnjihov passwordslozinke.
u svojim lozinkama.
06:31
We alsotakođer wanted to get an ideaideja of how strongjak
Isto tako, željeli smo dobiti ideju
06:33
the passwordslozinke were that people were creatingstvaranje,
koliko jake lozinke korisnici kreiraju.
06:35
but as you maysvibanj recallpodsjetiti, there isn't a good measuremjera
Ali, ako se sjećate, ne postoji
06:38
of passwordlozinku strengthsnaga.
pouzdana mjera jačine lozinke.
06:40
So what we decidedodlučio to do was to see
Zato smo odlučili otkriti
06:42
how long it would take to crackpukotina these passwordslozinke
koliko vremena treba za
razbijanje lozinke,
06:45
usingkoristeći the bestnajbolje crackingkreking toolsalat
koristeći najbolje
alate za razbijanje lozinki,
06:47
that the badloše guys are usingkoristeći,
a koje koriste loši momci.
06:48
or that we could find informationinformacija about
I one o kojima smo
mogli pronaći informacije
06:50
in the researchistraživanje literatureknjiževnost.
u literaturi.
06:52
So to give you an ideaideja of how badloše guys
Kako loši momci
06:54
go about crackingkreking passwordslozinke,
razbijaju lozinke?
06:56
they will stealukrasti a passwordlozinku filedatoteka
Oni kradu datoteke s lozinkama
06:59
that will have all of the passwordslozinke
koje sadrže sve lozinke
07:01
in kindljubazan of a scrambledkajgana formoblik, calledzvao a hashmljeveno meso,
u šifriranom, haširanom obliku.
07:03
and so what they'lloni će do is they'lloni će make a guessnagađati
Tada pogađaju
07:06
as to what a passwordlozinku is,
koja je lozinka,
07:08
runtrčanje it throughkroz a hashingraspršeno indeksiranje functionfunkcija,
dešifriraju je pomoću hash funkcije
07:10
and see whetherda li it matchesodgovara
kako bi vidjeli poklapa li se
07:12
the passwordslozinke they have on
theirnjihov stolenukraden passwordlozinku listpopis.
s lozinkama koje su prije ukradene.
07:14
So a dumbglup attackernapadač will try everysvaki passwordlozinku in ordernarudžba.
Tako će glup napadač
probavati svaku lozinku po redu.
07:18
They'llOni će startpočetak with AAAAAAAAAA and movepotez on to AAAABAAAAB,
Početi će s AAAAA, pa nastavit s AAAAB,
07:21
and this is going to take a really long time
i tako će proći puno vremena
07:24
before they get any passwordslozinke
prije nego uspije otkriti lozinku.
07:27
that people are really likelyVjerojatno to actuallyzapravo have.
za koju je izgledno da ju ljudi koriste.
07:28
A smartpametan attackernapadač, on the other handruka,
Pametan napadač,
07:31
does something much more cleverpametan.
je puno mudriji.
07:33
They look at the passwordslozinke
On provjerava nalaze li se
07:34
that are knownznan to be popularpopularan
popularne lozinke
07:36
from these stolenukraden passwordlozinku setssetovi,
među ukradenim setovima lozinki.
07:38
and they guessnagađati those first.
Njih će prve pogađati.
07:40
So they're going to startpočetak by guessingnagađanje "passwordlozinku,"
Krenuti će s "password" (eng. lozinka),
07:41
and then they'lloni će guessnagađati "I love you," and "monkeymajmun,"
nakon toga s "Volim te", "majmun"
07:43
and "12345678,"
i "12345678".
07:46
because these are the passwordslozinke
Jer su ovo lozinke koje
07:48
that are mostnajviše likelyVjerojatno for people to have.
će koristiti najviše ljudi.
07:50
In factčinjenica, some of you probablyvjerojatno have these passwordslozinke.
Zapravo, vjerojatno netko
od vas ih vjerojatno ima.
07:52
So what we foundpronađeno
Što smo otkrili
07:57
by runningtrčanje all of these 5,000 passwordslozinke we collectedprikupljeni
testirajući tih 5000 lozinki
koje smo prikupili,
07:58
throughkroz these teststestovi to see how strongjak they were,
kako bismo otkrili koliko su jake,
08:01
we foundpronađeno that the long passwordslozinke
jest to da su duge lozinke
08:06
were actuallyzapravo prettyprilično strongjak,
poprilično jake,
08:08
and the complexkompleks passwordslozinke were prettyprilično strongjak too.
isto kao i kompleksne.
08:10
HoweverMeđutim, when we lookedgledao at the surveypregled datapodaci,
Međutim, kada smo
proučavali podatke iz anketa,
08:13
we saw that people were really frustratedfrustriran
otkrili smo frustriranost ljudi
08:15
by the very complexkompleks passwordslozinke,
kompleksnim lozinkama,
08:18
and the long passwordslozinke were a lot more usablekorisna,
i duge lozinke su puno više primjenjive,
08:21
and in some casesslučajevi, they were actuallyzapravo
a u nekim slučajevima,
08:23
even strongerjači than the complexkompleks passwordslozinke.
su i jače nego kompleksne.
08:25
So this suggestssugerira that,
Zaključak koji se nameće je da
08:27
insteadumjesto of tellingreći people that they need
umjesto zahtijevanja da
08:29
to put all these symbolssimboli and numbersbrojevi
lozinke moraju sadržavati
08:30
and crazylud things into theirnjihov passwordslozinke,
sve te simbole, brojeve i lude stvari,
08:32
we mightmoć be better off just tellingreći people
bolje bi bilo da zahtijevamo da
08:35
to have long passwordslozinke.
imaju duge lozinke.
08:37
Now here'sevo the problemproblem, thoughiako:
Ali, u ovome je problem:
08:39
Some people had long passwordslozinke
Neki ljudi su imali duge lozinke
08:41
that actuallyzapravo weren'tnisu very strongjak.
koje zapravo i nisu baš jake.
08:43
You can make long passwordslozinke
Možeš kreirati dugu lozinku
08:45
that are still the sortvrsta of thing
koju će napadač svejedno
08:47
that an attackernapadač could easilylako guessnagađati.
vrlo lako pogoditi.
08:49
So we need to do more than
just say long passwordslozinke.
Tako da trebamo puno više
od samo duge lozinke.
08:50
There has to be some additionalDodatne requirementszahtjevi,
Moraju postojati još neki uvjeti
08:54
and some of our ongoingu tijeku researchistraživanje is looking at
i istraživanje koje trenutno
provodimo promatra
08:56
what additionalDodatne requirementszahtjevi we should adddodati
koji su to dodatni uvjeti
koje moramo dodati
08:59
to make for strongerjači passwordslozinke
za jake lozinke,
09:01
that alsotakođer are going to be easylako for people
koje će bit lako pamtljive
09:03
to rememberzapamtiti and typetip.
i koje će biti lako upisivati.
09:05
AnotherJoš jedan approachpristup to gettinguzimajući people to have
Jedan od pristupa je
09:08
strongerjači passwordslozinke is to use a passwordlozinku metermetar.
korištenje lozinkomjera.
09:10
Here are some examplesprimjeri.
Evo nekih primjera.
09:12
You maysvibanj have seenvidio these on the InternetInternet
Možda ste to vidjeli na Internetu
09:14
when you were creatingstvaranje passwordslozinke.
kada kreirate lozinke.
09:15
We decidedodlučio to do a studystudija to find out
Istraživali smo
09:18
whetherda li these passwordlozinku metersmetara actuallyzapravo work.
funkcioniraju li ti lozinkomjeri.
09:21
Do they actuallyzapravo help people
Pomažu li korisnicima
09:23
have strongerjači passwordslozinke,
pri kreiranju jačih lozinki,
09:25
and if so, whichkoji onesone are better?
i ako da, koje su bolje?
09:26
So we testedtestiran passwordlozinku metersmetara that were
Testirali smo te lozinkomjere
09:28
differentdrugačiji sizesveličine, shapesoblika, colorsboje,
različitih veličina, oblika, boja
09:31
differentdrugačiji wordsriječi nextSljedeći to them,
s različitim riječima,
09:33
and we even testedtestiran one that was a dancingples bunnyZeko.
čak smo i testirali onog koji
je u obliku zečića koji pleše.
09:34
As you typetip a better passwordlozinku,
Što je lozinka bolja
09:38
the bunnyZeko dancesplesovi fasterbrže and fasterbrže.
zeko pleše brže i brže.
09:39
So this was prettyprilično funzabava.
Ovo je bilo zabavno.
09:42
What we foundpronađeno
Otkrili smo da
09:44
was that passwordlozinku metersmetara do work.
lozinkomjeri zbilja funkcioniraju.
09:46
(LaughterSmijeh)
(Smijeh)
09:49
MostVećina of the passwordlozinku metersmetara were actuallyzapravo effectivedjelotvoran,
Većina njih je zapravo vrlo učinkovita,
09:51
and the dancingples bunnyZeko was very effectivedjelotvoran too,
čak i zeko koji pleše je učinkovit,
09:55
but the passwordlozinku metersmetara that were the mostnajviše effectivedjelotvoran
ali oni koji su najučinkovitiji
09:57
were the onesone that madenapravljen you work harderteže
su oni koji te natjeraju na razmišljanje
10:00
before they gavedali you that thumbspalac up and said
prije nego ti daju odobrenje
10:02
you were doing a good jobposao,
i pohvale te.
10:04
and in factčinjenica we foundpronađeno that mostnajviše
Saznali smo da je većina
10:06
of the passwordlozinku metersmetara on the InternetInternet todaydanas
lozinkomjera na Internetu danas
10:07
are too softmekan.
previše popustljiva.
10:10
They tell you you're doing a good jobposao too earlyrano,
Prerano će te pohvaliti,
10:10
and if they would just wait a little bitbit
a da pričekaju samo malo
10:13
before givingdavanje you that positivepozitivan feedbackpovratna veza,
s pozitivnom povratnom informacijom,
10:15
you probablyvjerojatno would have better passwordslozinke.
vjerojatno biste imali bolje lozinke.
10:17
Now anotherjoš approachpristup to better passwordslozinke, perhapsmožda,
Drugi pristup za kreiranje
boljih lozinki, je možda,
10:20
is to use passproći phrasesfraze insteadumjesto of passwordslozinke.
korištenje frazi umjesto lozinki.
10:24
So this was an xkcdxkcd cartooncrtani film
from a couplepar of yearsgodina agoprije,
Ovo je xkcd strip star nekoliko godina
10:27
and the cartoonistkarikaturist suggestssugerira
gdje crtač predlaže
10:30
that we should all use passproći phrasesfraze,
da bismo trebali
koristiti fraze kao lozinke,
10:32
and if you look at the seconddrugi rowred of this cartooncrtani film,
i ako pogledate drugi red crteža,
10:34
you can see the cartoonistkarikaturist is suggestingsugerirajući
vidjeti ćete crtačevu ideju
10:37
that the passproći phrasefraza "correctispravan horsekonj batterybaterija staplespajalica"
da bi fraza
"ispravan konj baterija spajalica"
10:39
would be a very strongjak passproći phrasefraza
bila vrlo jaka fraza-lozinka
10:42
and something really easylako to rememberzapamtiti.
i lako pamtljiva.
10:45
He sayskaže, in factčinjenica, you've alreadyveć rememberedsjetio it.
On kaže, zapravo,
da ste je već zapamtili.
10:47
And so we decidedodlučio to do a researchistraživanje studystudija
Tako smo se odlučili za istraživanje
10:50
to find out whetherda li this was truepravi or not.
kako bismo otkrili je li to istina.
10:52
In factčinjenica, everybodysvi who I talk to,
Zapravo, svi s kojima sam razgovarala,
10:54
who I mentionspomenuti I'm doing passwordlozinku researchistraživanje,
a spomenula sam im istraživanje
10:56
they pointtočka out this cartooncrtani film.
su spomenuli taj strip.
10:58
"Oh, have you seenvidio it? That xkcdxkcd.
"Vidjela si ga? Taj xkcd.
10:59
CorrectIspraviti horsekonj batterybaterija staplespajalica."
Ispravan konj baterija spajalica."
11:01
So we did the researchistraživanje studystudija to see
Proveli smo istraživanje
11:03
what would actuallyzapravo happendogoditi se.
kako bismo vidjeli što bi se dogodilo.
11:04
So in our studystudija, we used MechanicalMehanički TurkTurk again,
Ponovno smo koristili Mechanical Turk,
11:07
and we had the computerračunalo pickodabrati the randomslučajan wordsriječi
a računalo je nasumice izabiralo riječi
11:10
in the passproći phrasefraza.
za frazu-lozinku.
11:14
Now the reasonrazlog we did this
Razlog za to je taj
11:15
is that humansljudi are not very good
što ljudi nisu osobito dobri
11:16
at pickingbranje randomslučajan wordsriječi.
u odabiru slučajnih i nasumičnih riječi.
11:18
If we askedpitao a humanljudski to do it,
Da smo ljude pitali da ih sami odaberu,
11:19
they would pickodabrati things that were not very randomslučajan.
oni bi odabrali riječi koje
nisu nimalo nasumične.
11:21
So we triedpokušala a fewnekoliko differentdrugačiji conditionsUvjeti.
Koristili smo nekoliko uvjetovanja.
11:24
In one conditionstanje, the computerračunalo pickedizabran
U jednom je računalo odabiralo
11:26
from a dictionaryrječnik of the very commonzajednička wordsriječi
iz rječnika vrlo čestih riječi
11:28
in the Englishengleski languagejezik,
u engleskom jeziku,
11:30
and so you'dti bi get passproći phrasesfraze like
pa smo dobili fraze-lozinke kao što je
11:31
"try there threetri come."
"probati ondje tri dolaze".
11:33
And we lookedgledao at that, and we said,
Kada smo to vidjeli, pomislili smo
11:35
"Well, that doesn't really seemčiniti se very memorablenezaboravan."
da se to ne čini baš jako pamtljivo.
11:37
So then we triedpokušala pickingbranje wordsriječi
Nakon toga smo odabirali riječi
11:40
that camedošao from specificspecifično partsdijelovi of speechgovor,
koje dolaze iz specifičnih
dijelova govora,
11:42
so how about noun-verb-adjective-nounimenica glagol pridjev imenica.
i formu imenica-glagol-pridjev-imenica.
11:44
That comesdolazi up with something
that's sortvrsta of sentence-likerečenicu kao.
To je sada već izgledalo kao rečenica.
11:47
So you can get a passproći phrasefraza like
Fraze-lozinke su zvučale kao
11:49
"planplan buildsgradi sure powervlast"
"plan gradi sigurnu energiju"
11:51
or "endkraj determinesodređuje redcrvena drugdroga."
ili "kraj određuje crveni lijek".
11:53
And these seemedčinilo se a little bitbit more memorablenezaboravan,
Ove su se činile više pamtljive,
11:55
and maybe people would like those a little bitbit better.
možda će se ispitanicima više svidjeti.
11:58
We wanted to compareusporediti them with passwordslozinke,
Željeli smo ih usporediti s lozinkama,
12:01
and so we had the computerračunalo
pickodabrati randomslučajan passwordslozinke,
imali smo računalo koje generira lozinke
12:03
and these were nicelijepo and shortkratak, but as you can see,
koje, iako su bile kratke i drage,
12:07
they don't really look very memorablenezaboravan.
nisu izgledale jako pamtljive.
12:09
And then we decidedodlučio to try something calledzvao
Odlučili smo probati nešto što se zove
12:11
a pronounceablepronounceable passwordlozinku.
izgovorljiva lozinka.
12:13
So here the computerračunalo picksmotika randomslučajan syllablesslogovi
Računalo odabire slučajne slogove
12:14
and putsstavlja them togetherzajedno
i slaže ih zajedno
12:17
so you have something sortvrsta of pronounceablepronounceable,
tako da se dobije nešto
što je donekle izgovorljivo
12:18
like "tufritvitufritvi" and "vadasabivadasabi."
kao "tufritvi" i "vadasabi".
12:20
That one kindljubazan of rollspecivo off your tonguejezik.
Na tome se zbilja lomi jezik.
12:23
So these were randomslučajan passwordslozinke that were
To su bile nasumične lozinke koje
12:25
generatedgeneriran by our computerračunalo.
je generiralo računalo.
12:27
So what we foundpronađeno in this studystudija was that, surprisinglyiznenađujuče,
Ono što smo otkrili bilo je iznenađujuće
12:30
passproći phrasesfraze were not actuallyzapravo all that good.
fraze-lozinke nisu se iskazale.
12:33
People were not really better at rememberingsjećanja
Ispitanici nisu bolje pamtili
12:37
the passproći phrasesfraze than these randomslučajan passwordslozinke,
fraze-lozinke od onih nasumičnih lozinki.
12:40
and because the passproći phrasesfraze are longerviše,
A kako su bile i duže,
12:43
they tookuzeo longerviše to typetip
bilo je potrebno puno više
vremena za njihovo upisivanje
12:45
and people madenapravljen more errorsgreške while typingkucanje them in.
i ispitanici su radili više
greški dok su ih upisivali.
12:47
So it's not really a clearčisto winpobijediti for passproći phrasesfraze.
Tako da fraze-lozinke nisu pobijedile.
12:50
Sorry, all of you xkcdxkcd fansfanovi.
Žao mi je, xkcd fanovi.
12:53
On the other handruka, we did find
S druge strane, otkrili smo
12:56
that pronounceablepronounceable passwordslozinke
da su izgovorljive lozinke
12:58
workedradio surprisinglyiznenađujuče well,
funkcionirale jako dobro
13:00
and so we actuallyzapravo are doing some more researchistraživanje
tako da radimo još jedno istraživanje
13:01
to see if we can make that
approachpristup work even better.
kako bismo otkrili možemo
li tako riješiti bolje problem.
13:04
So one of the problemsproblemi
Jedan od problema
13:07
with some of the studiesstudije that we'veimamo doneučinio
s tim istraživanjima je
13:09
is that because they're all doneučinio
taj što su rezultati dobiveni
13:10
usingkoristeći MechanicalMehanički TurkTurk,
pomoću Mechanical Turka,
13:12
these are not people'snarodno realstvaran passwordslozinke.
odnosno, to nisu prave lozinke.
13:14
They're the passwordslozinke that they createdstvorio
To su lozinke koje koje su
korisnici kreirali
13:15
or the computerračunalo createdstvorio for them for our studystudija.
ili je računalo generiralo
za potrebe istraživanja.
13:18
And we wanted to know whetherda li people
Mi smo željeli znati bi li se
13:20
would actuallyzapravo behaveponašati the sameisti way
ispitanici jednako ponašali
13:22
with theirnjihov realstvaran passwordslozinke.
kada bi morali kreirati prave lozinke.
13:24
So we talkedRazgovarao to the informationinformacija
securitysigurnosti officeured at CarnegieCarnegie MellonMellon
Zato smo razgovarali s Uredom
za informacijsku sigurnost na CMU-u
13:26
and askedpitao them if we could
have everybody'ssvatko je realstvaran passwordslozinke.
i pitali ih možemo li dobiti
prave lozinke korisnika.
13:30
Not surprisinglyiznenađujuče, they were a little bitbit reluctantprotiv volje
Nije iznenađenje da nisu
13:34
to sharePodjeli them with us,
željeli podijeliti ih s nama,
13:35
but we were actuallyzapravo ableu stanju to work out
ali smo uspjeli smisliti
13:37
a systemsistem with them
sustav s njima
13:39
where they put all of the realstvaran passwordslozinke
u kojem su sve prave lozinke
13:40
for 25,000 CMUCMU studentsstudenti, facultyfakultet and staffosoblje,
25.000 studenata, profesora i osoblja,
13:42
into a lockedzaključan computerračunalo in a lockedzaključan roomsoba,
pohranili u zaključano računalo,
u zaključanu sobu,
13:45
not connectedpovezan to the InternetInternet,
koja nije povezana na Internet,
13:47
and they ranran codekodirati on it that we wrotenapisao
i provukli kroz kod koji smo mi napisali
13:49
to analyzeanalizirati these passwordslozinke.
za analizu lozinki.
13:51
They auditedrevidirana our codekodirati.
Oni su provjerili naš kod.
13:53
They ranran the codekodirati.
Oni su ubacili kod.
13:54
And so we never actuallyzapravo saw
Tako da mi zapravo nismo vidjeli
13:55
anybody'stko je passwordlozinku.
ničiju lozinku.
13:57
We got some interestingzanimljiv resultsrezultati,
Dobili smo zanimljive rezultate.
14:00
and those of you TepperTepper studentsstudenti in the back
Studentima na Tepperu, koji sjede iza
14:02
will be very interestedzainteresiran in this.
će ovo biti jako zanimljivo.
14:03
So we foundpronađeno that the passwordslozinke createdstvorio
Dakle, otkrili smo da su
lozinke koje su kreirali
14:06
by people affiliatedpovezana with the
schoolškola of computerračunalo scienceznanost
studenti informatike
14:10
were actuallyzapravo 1.8 timesputa strongerjači
1,8 puta jače
14:12
than those affiliatedpovezana with the businessPoslovni schoolškola.
od onih koje su kreirali
studenti ekonomije.
14:14
We have lots of other really interestingzanimljiv
Također smo dobili puno zanimljivih
14:18
demographicdemografski informationinformacija as well.
demografskih informacija.
14:20
The other interestingzanimljiv thing that we foundpronađeno
Zanimljivo je otkriće da
14:22
is that when we comparedu odnosu
the CarnegieCarnegie MellonMellon passwordslozinke
kada smo usporedili lozinke sveučilišta
14:24
to the MechanicalMehanički Turk-generatedTurk-generiran passwordslozinke,
s onima s Mechanical Turka,
14:27
there was actuallyzapravo a lot of similaritiessličnosti,
pronašli smo puno sličnosti.
14:29
and so this helpedpomogao validateProvjeri valjanost our researchistraživanje methodnačin
To je potvrdilo naše istraživačke metode
14:31
and showpokazati that actuallyzapravo, collectingprikupljanje passwordslozinke
i pokazalo da je prikupljanje lozinki
14:33
usingkoristeći these MechanicalMehanički TurkTurk studiesstudije
za istraživanje
koristeći Mechanical Turk
14:36
is actuallyzapravo a validvrijedi way to studystudija passwordslozinke.
dobar način za proučavanje lozinki.
14:38
So that was good newsvijesti.
To su bile dobre vijesti.
14:41
Okay, I want to closeblizu by talkingkoji govori about
U redu, željela bih zaključiti
14:43
some insightsuvidi I gainedstekao while on sabbaticalslobodna godina
s nekoliko stvari koje sam uvidjela
dok sam bila prošle godine
14:45
last yeargodina in the CarnegieCarnegie MellonMellon artumjetnost schoolškola.
na slobodnoj godini na umjetničkom
odsjeku Carnegie Mellon-a.
14:47
One of the things that I did
Jedna od stvari koje sam napravila
14:51
is I madenapravljen a numberbroj of quiltspopluni,
je da sam napravila nekoliko popluna.
14:52
and I madenapravljen this quiltpoplun here.
I ovaj ovdje.
14:53
It's calledzvao "SecuritySigurnost BlanketDeka."
Zove se "Sigurnosna dekica".
14:55
(LaughterSmijeh)
(Smijeh)
14:57
And this quiltpoplun has the 1,000
Taj poplun ima 1.000
14:59
mostnajviše frequentčest passwordslozinke stolenukraden
lozinki koje se najčešće ukradu,
15:02
from the RockYouRockYou websiteweb stranica.
a nalaze se na stranici RockYou.
15:05
And the sizeveličina of the passwordslozinke is proportionalproporcionalan
Veličina lozinke je proporcionalna
15:07
to how frequentlyčesto they appearedpojavio se
učestalosti njezina pojavljivanja
15:09
in the stolenukraden datasetskup podataka.
u setovima ukradenih lozinki.
15:11
And what I did is I createdstvorio this wordriječ cloudoblak,
Stvorila sam ovaj oblak riječi,
15:13
and I wentotišao throughkroz all 1,000 wordsriječi,
proučila svih tih 1.000 riječi,
15:16
and I categorizedkategorizirane them into
i kategorizirala ih
15:18
looselabav thematictematski categorieskategorije.
u okvirne tematske kategorije.
15:20
And it was, in some casesslučajevi,
U nekim slučajevima
15:22
it was kindljubazan of difficulttežak to figurelik out
je bilo teško odrediti
15:24
what categorykategorija they should be in,
kojoj bi kategoriji trebali pripadati.
15:26
and then I color-codedoznačeni bojom them.
Isto tako sam im pridružila boju.
15:28
So here are some examplesprimjeri of the difficultyteškoća.
Ovo je nekoliko primjera onih teških.
15:30
So "justinJustin."
Na primjer "justin".
15:33
Is that the nameime of the userkorisnik,
Je li to ime korisnika,
15:34
theirnjihov boyfrienddečko, theirnjihov sonsin?
korisnikova dečka ili sina?
15:36
Maybe they're a JustinJustin BieberBieber fanventilator.
Možda je korisnik
samo fan Justina Bibera.
15:37
Or "princessprinceza."
Ili "princess".
15:40
Is that a nicknameNadimak?
Je li to nadimak?
15:42
Are they DisneyDisney princessprinceza fansfanovi?
Ili se radi o fanu princeza
iz Disneyjevih bajki.
15:44
Or maybe that's the nameime of theirnjihov catmačka.
Može biti i ime mačke.
15:45
"IloveyouILOVEYOU" appearsČini manymnogi timesputa
"Volimte" se često pojavljuje
15:49
in manymnogi differentdrugačiji languagesjezici.
na različitim jezicima.
15:51
There's a lot of love in these passwordslozinke.
Puno je ljubavi u lozinkama.
15:52
If you look carefullypažljivo, you'llvi ćete see there's alsotakođer
Ako pažljivo promatrate,
15:56
some profanitypsovke,
vidjeti ćete i vulgarnosti.
15:58
but it was really interestingzanimljiv to me to see
Ali mi je zanimljivo vidjeti
16:00
that there's a lot more love than hatemrziti
da je puno više ljubavi nego mržnje
16:02
in these passwordslozinke.
u lozinkama.
16:04
And there are animalsživotinje,
Također, tu su i životinje,
16:06
a lot of animalsživotinje,
puno je životinja,
16:08
and "monkeymajmun" is the mostnajviše commonzajednička animalživotinja
"majmun" je najčešća životinja
16:09
and the 14thth mostnajviše popularpopularan passwordlozinku overallCjelokupni.
i 14. najpopularnija lozinka ukupno.
16:12
And this was really curiousznatiželjan to me,
A to mi je bilo jako zanimljivo,
16:15
and I wonderedpitala, "Why are monkeysmajmuni so popularpopularan?"
pitala sam se zašto su
majmuni toliko popularni.
16:17
And so in our last passwordlozinku studystudija,
Zato smo u zadnjem istraživanju,
16:20
any time we detectedotkriven somebodyneko
svaki put kada bismo detektirali
16:23
creatingstvaranje a passwordlozinku with the wordriječ "monkeymajmun" in it,
kreiranje lozinke s riječi "majmun",
16:25
we askedpitao them why they had
a monkeymajmun in theirnjihov passwordlozinku.
pitali ispitanika zašto njihova
lozinka ima majmuna u sebi.
16:28
And what we foundpronađeno out --
i otkrili smo,
16:31
we foundpronađeno 17 people so fardaleko, I think,
mislim da zasada imamo 17-tero njih,
16:33
who have the wordriječ "monkeymajmun" --
s riječi "majmun" u lozinki.
16:35
We foundpronađeno out about a thirdtreći of them said
Otkrili smo da trećina njih
16:36
they have a petljubimac namedpod nazivom "monkeymajmun"
ima ljubimca koji se zove "majmun",
16:38
or a friendprijatelj whosečije nicknameNadimak is "monkeymajmun,"
ili prijatelja čiji je nadimak "majmun".
16:39
and about a thirdtreći of them said
Trećina njih je rekla
16:42
that they just like monkeysmajmuni
da vole majmune
16:43
and monkeysmajmuni are really cuteslatka.
i da su im oni baš slatki.
16:45
And that guy is really cuteslatka.
Ovaj stvarno je sladak.
16:47
So it seemsčini se that at the endkraj of the day,
Tako, sve u svemu, čini se da
16:50
when we make passwordslozinke,
kada kreiramo lozinke,
16:54
we eitherili make something that's really easylako
mi ili smislimo nešto
što je vrlo jednostavno
16:55
to typetip, a commonzajednička patternuzorak,
za napisati, nekakav poznati uzorak,
16:57
or things that remindpodsjetiti us of the wordriječ passwordlozinku
ili nešto na što nas
podsjeća riječ lozinka,
17:00
or the accountračun that we'veimamo createdstvorio the passwordlozinku for,
ili račun za koji stvaramo lozinku.
17:03
or whateveršto god.
ili kakogod.
17:06
Or we think about things that make us happysretan,
Ili razmišljamo o stvarima
koje nas čine sretnima
17:09
and we createstvoriti our passwordlozinku
pa kreiramo lozinke
17:11
basedzasnovan on things that make us happysretan.
bazirane na stvarima
koje nas čine sretnima.
17:13
And while this makesmarke typingkucanje
Iako je time upisivanje
17:15
and rememberingsjećanja your passwordlozinku more funzabava,
i prisjećanje lozinke, zabavnije,
17:18
it alsotakođer makesmarke it a lot easierlakše
također je i jednostavnije
17:21
to guessnagađati your passwordlozinku.
tako pogoditi vašu lozinku.
17:23
So I know a lot of these TEDTED TalksRazgovori
Znam da je smisao TEDTalk-a
17:24
are inspirationalinspirativna
da vas inspiriraju
17:26
and they make you think about nicelijepo, happysretan things,
i da mislite o lijepim, stvarima
koje vas čine sretnim,
17:27
but when you're creatingstvaranje your passwordlozinku,
ali kada kreirate lozinku,
17:30
try to think about something elsedrugo.
pokušajte razmišljati o nečemu drugome.
17:32
Thank you.
Hvala.
17:34
(ApplausePljesak)
(Pljesak)
17:35
Translated by Izidora Zganjer
Reviewed by Ivan Stamenkovic

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com