English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Cos'è che non va con la vostra pa$$w0rd?

Filmed
Views 1,487,395

Lorrie Faith Cranor ha studiato migliaia di password reali per comprendere gli errori sorprendenti e molto comuni che gli utenti, e i siti protetti, commettono, compromettendo la sicurezza. Potreste chiedervi come abbia fatto a studiare migliaia di password reali senza compromettere la sicurezza degli utenti. Questa è già una storia di per sé. Sono dati segreti che vale la pena di conoscere, soprattutto se la vostra password è 123456...

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

I am a computercomputer sciencescienza and engineeringingegneria
professorProfessore here at CarnegieCarnegie MellonMellon,
Sono una professoressa di scienza
e ingegneria informatica
00:12
and my researchricerca focusessi concentra on
usableutilizzabile privacysulla privacy and securitysicurezza,
qui al Carnegie Mellon
00:15
and so my friendsamici like to give me examplesesempi
e la mia ricerca si concentra
sull'accessibilità di privacy e sicurezza.
00:20
of theirloro frustrationsfrustrazioni with computinginformatica systemssistemi,
Così ai miei amici piace
farmi degli esempi
00:22
especiallyparticolarmente frustrationsfrustrazioni relatedrelazionato to
delle loro frustrazioni
con i sistemi informatici,
00:25
unusableinutilizzabile privacysulla privacy and securitysicurezza.
in particolare di quelle frustrazioni
che hanno a che fare
00:28
So passwordspassword are something that I hearsentire a lot about.
con l'inaccessibilità
di privacy e sicurezza.
00:32
A lot of people are frustratedfrustrato with passwordspassword,
Quindi le password sono qualcosa
di cui sento molto parlare.
00:35
and it's badcattivo enoughabbastanza
Molte persone sono frustrate
dalle password,
00:38
when you have to have one really good passwordpassword
ed è già abbastanza difficile
00:39
that you can rememberricorda
quando devi avere una password
davvero buona
00:42
but nobodynessuno elsealtro is going to be ablecapace to guessindovina.
che puoi ricordare
00:44
But what do you do when you have accountsconti
ma che nessun altro sarà
in grado di indovinare.
00:47
on a hundredcentinaio differentdiverso systemssistemi
Ma che cosa fare
quando si hanno account
00:48
and you're supposedipotetico to have a uniqueunico passwordpassword
su centinaia di sistemi diversi
00:50
for eachogni of these systemssistemi?
e si dovrebbe avere una password diversa
00:53
It's toughdifficile.
per ognuno di questi sistemi?
00:56
At CarnegieCarnegie MellonMellon, they used to make it
È dura.
00:58
actuallyin realtà prettybella easyfacile for us
Al Carnegie Mellon,
era molto facile per noi
01:00
to rememberricorda our passwordspassword.
ricordare le nostre password.
01:01
The passwordpassword requirementRequisiti up throughattraverso 2009
Il requisito per le password
fino al 2009
01:03
was just that you had to have a passwordpassword
era che dovevi avere una password
01:05
with at leastmeno one charactercarattere.
con almeno un carattere.
01:07
PrettyPiuttosto easyfacile. But then they changedcambiato things,
Piuttosto semplice.
Ma poi le cose sono cambiate,
01:10
and at the endfine of 2009, they announcedannunciato
e alla fine del 2009
hanno annunciato
01:12
that we were going to have a newnuovo policypolitica,
che avremmo avuto una nuova politica,
01:15
and this newnuovo policypolitica requirednecessario
e questa nuova politica richiedeva
01:17
passwordspassword that were at leastmeno eightotto characterspersonaggi long,
che le password avessero
almeno otto caratteri,
01:19
with an uppercaselettere maiuscole letterlettera, lowercaselettere minuscole letterlettera,
con una lettera maiuscola,
una minuscola,
01:22
a digitcifra, a symbolsimbolo,
una cifra, un simbolo,
01:24
you couldn'tnon poteva use the samestesso
charactercarattere more than threetre timesvolte,
non si poteva usare lo stesso carattere
più di tre volte,
01:25
and it wasn'tnon era allowedpermesso to be in a dictionarydizionario.
e la parola non poteva trovarsi
in un dizionario.
01:28
Now, when they implementedimplementato this newnuovo policypolitica,
Quando introdussero
questa nuova politica,
01:30
a lot of people, my colleaguescolleghi and friendsamici,
molte persone, colleghi e amici,
01:32
cameè venuto up to me and they said, "WowWow,
vennero da me e mi dissero:
"Wow,
01:35
now that's really unusableinutilizzabile.
adesso sì che è inutilizzabile!
01:36
Why are they doing this to us,
Perché ci fanno questo,
01:38
and why didn't you stop them?"
e perché non glielo hai impedito?"
01:39
And I said, "Well, you know what?
E io risposi: "Be', sapete una cosa?
01:41
They didn't askChiedere me."
Io non sono stata interpellata."
01:42
But I got curiouscurioso, and I decideddeciso to go talk
Ma mi incuriosii, e decisi
di andare a parlare
01:44
to the people in chargecarica of our computercomputer systemssistemi
con i responsabili dei sistemi informatici
01:47
and find out what led them to introduceintrodurre
per scoprire che cosa li avesse spinti
a introdurre
01:49
this newnuovo policypolitica,
questa nuova politica.
01:52
and they said that the universityUniversità
Dissero che l'università
01:54
had joinedcongiunto a consortiumConsorzio of universitiesuniversità,
aveva aderito a un consorzio
di università,
01:55
and one of the requirementsrequisiti of membershipappartenenza
e uno dei requisiti per farne parte
01:58
was that we had to have strongerpiù forte passwordspassword
era che dovevamo avere password
più efficaci
02:00
that compliedrispettati with some newnuovo requirementsrequisiti,
che rispondessero a dei nuovi requisiti,
02:03
and these requirementsrequisiti were that our passwordspassword
e questi requisiti prevedevano
che le nostre password
02:05
had to have a lot of entropyentropia.
dovessero avere molta entropia.
02:07
Now entropyentropia is a complicatedcomplicato termtermine,
Ora, "entropia" è un termine complicato,
02:09
but basicallyfondamentalmente it measuresprovvedimenti the strengthforza of passwordspassword.
ma in pratica misura la forza
delle password.
02:11
But the thing is, there isn't actuallyin realtà
Il fatto è che in realtà non c'è
02:14
a standardstandard measuremisurare of entropyentropia.
una misura standard dell'entropia.
02:16
Now, the NationalNazionale InstituteIstituto
of StandardsStandard and TechnologyTecnologia
Il National Institute
of Standards and Technology
02:18
has a setimpostato of guidelineslinee guida
ha stabilito una serie di linee guida
02:20
whichquale have some rulesregole of thumbpollice
che danno indicazioni generali
02:22
for measuringmisurazione entropyentropia,
per misurare l'entropia,
02:24
but they don't have anything too specificspecifica,
ma non contengono niente
di troppo specifico,
02:26
and the reasonragionare they only have rulesregole of thumbpollice
e il motivo per cui hanno solo
indicazioni generiche
02:29
is it turnsgiri out they don't actuallyin realtà have any good datadati
è che a quanto pare
non dispongono di dati attendibili
02:31
on passwordspassword.
sulle password.
02:34
In factfatto, theirloro reportrapporto statesstati,
In effetti, il loro resoconto recita:
02:36
"UnfortunatelyPurtroppo, we do not have much datadati
"Purtroppo, non abbiamo
a disposizione molti dati
02:38
on the passwordspassword usersutenti
choosescegliere undersotto particularparticolare rulesregole.
sulle password scelte dagli utenti
secondo regole particolari.
02:40
NISTNIST would like to obtainottenere more datadati
Il NIST vorrebbe ottenere più dati
02:43
on the passwordspassword usersutenti actuallyin realtà choosescegliere,
sulle password effettivamente scelte
dagli utenti,
02:45
but systemsistema administratorsamministratori
are understandablycomprensibilmente reluctantriluttante
ma gli amministratori dei sistemi
sono comprensibilmente restii
02:48
to revealsvelare passwordpassword datadati to othersaltri."
a rivelare le password a terzi."
02:50
So this is a problemproblema, but our researchricerca groupgruppo
Questo è un problema,
ma il nostro gruppo di ricerca
02:53
lookedguardato at it as an opportunityopportunità.
lo ha considerato come un'opportunità.
02:56
We said, "Well, there's a need
for good passwordpassword datadati.
Ci siamo detti: "Beh, c'è bisogno
di dati validi per le password.
02:58
Maybe we can collectraccogliere some good passwordpassword datadati
Forse possiamo raccogliere
dei dati attendibili
03:02
and actuallyin realtà advanceavanzare the statestato of the artarte here.
e fare davvero dei progressi".
03:04
So the first thing we did is,
La prima cosa che abbiamo fatto è stata
03:06
we got a bagBorsa of candycaramella barsbarre
prendere una borsa piena
di barrette di cioccolata,
03:08
and we walkedcamminava around campuscittà universitaria
passeggiare per il campus
03:10
and talkedparlato to studentsstudenti, facultyfacoltà and staffpersonale,
e parlare con gli studenti,
il corpo docenti e lo staff,
03:11
and askedchiesto them for informationinformazione
e chiedere loro informazioni
03:14
about theirloro passwordspassword.
sulle loro password.
03:15
Now we didn't say, "Give us your passwordpassword."
Non abbiamo detto loro:
"Dateci le vostre password".
03:17
No, we just askedchiesto them about theirloro passwordpassword.
No, gli facevamo solamente
delle domande sulle loro password.
03:20
How long is it? Does it have a digitcifra?
Quanto è lunga? Contiene una cifra?
03:22
Does it have a symbolsimbolo?
Contiene un simbolo?
03:24
And were you annoyedinfastidito at havingavendo to createcreare
E ti ha dato fastidio doverne creare
03:25
a newnuovo one last weeksettimana?
una nuova la settimana scorsa?
03:27
So we got resultsrisultati from 470 studentsstudenti,
Abbiamo raccolto risultati
da 470 studenti,
03:30
facultyfacoltà and staffpersonale,
insegnanti e staff,
03:33
and indeedinfatti we confirmedconfermato that the newnuovo policypolitica
e ci è stato confermato
che la nuova politica
03:34
was very annoyingfastidioso,
era davvero molto fastidiosa,
03:36
but we alsoanche foundtrovato that people said
ma abbiamo anche scoperto
che le persone dicevano
03:38
they feltprovato more securegarantire la with these newnuovo passwordspassword.
di sentirsi più sicure
con queste nuove password.
03:40
We foundtrovato that mostmaggior parte people knewconosceva
Abbiamo scoperto
che la maggioranza sapeva
03:43
they were not supposedipotetico to
writeScrivi theirloro passwordpassword down,
che le password
non si dovrebbero annotare,
03:45
and only 13 percentper cento of them did,
e solo il 13 per cento lo aveva fatto,
03:47
but disturbinglyin modo preoccupante, 80 percentper cento of people
ma, preoccupantemente,
l'80 per cento delle persone
03:50
said they were reusingriutilizzo theirloro passwordpassword.
ha dichiarato che stava riutilizzando
la propria password precedente.
03:52
Now, this is actuallyin realtà more dangerouspericoloso
Questo è di fatto molto più pericoloso
03:54
than writingscrittura your passwordpassword down,
che annotare la propria password,
03:56
because it makesfa you much
more susceptiblesuscettibile to attackersaggressori.
perché vi rende molto più
soggetti agli attacchi.
03:58
So if you have to, writeScrivi your passwordspassword down,
Perciò, se proprio dovete,
annotatevi la password,
04:01
but don't reuseriutilizzo them.
ma non riutilizzatela.
04:05
We alsoanche foundtrovato some interestinginteressante things
Abbiamo anche scoperto
cose interessanti
04:06
about the symbolssimboli people use in passwordspassword.
sui simboli usati
dalle persone nelle password.
04:08
So CMUCMU allowsconsente 32 possiblepossibile symbolssimboli,
La CMU consente 32 simboli possibili,
04:11
but as you can see, there's only a smallpiccolo numbernumero
ma come potete vedere,
c'è solo un piccolo numero
04:14
that mostmaggior parte people are usingutilizzando,
che viene usato dalla maggioranza
delle persone,
04:16
so we're not actuallyin realtà gettingottenere very much strengthforza
perciò non stiamo ottenendo
molta forza
04:18
from the symbolssimboli in our passwordspassword.
dai simboli nelle nostre password.
04:21
So this was a really interestinginteressante studystudia,
È stato uno studio davvero interessante,
04:23
and now we had datadati from 470 people,
e ora abbiamo dati da 470 persone
04:26
but in the schemeschema of things,
ma, data la situazione,
04:29
that's really not very much passwordpassword datadati,
non sono poi così tante le informazioni
raccolte sulle password
04:30
and so we lookedguardato around to see
e quindi ci siamo guardati intorno
04:33
where could we find additionalUlteriori passwordpassword datadati?
per vedere dove si potessero trovare
altri dati sulle password.
04:34
So it turnsgiri out there are a lot of people
Succede che ci sono un sacco di persone
04:37
going around stealingrubando passwordspassword,
che se ne vanno in giro
a rubare le password
04:39
and they oftenspesso go and postinviare these passwordspassword
e spesso pubblicano queste password
04:41
on the InternetInternet.
su Internet.
04:43
So we were ablecapace to get accessaccesso
Perciò siamo stati in grado
di accedere
04:45
to some of these stolenrubare passwordpassword setsimposta.
ad alcuni set di password rubate.
04:46
This is still not really idealideale for researchricerca, thoughanche se,
Tuttavia non è ancora la cosa ideale
per una ricerca,
04:50
because it's not entirelyinteramente clearchiaro
perché non è del tutto chiaro
04:53
where all of these passwordspassword cameè venuto from,
da dove provengano
tutte queste password,
04:55
or exactlydi preciso what policiespolitiche were in effecteffetto
o quali politiche fossero
effettivamente in vigore
04:57
when people createdcreato these passwordspassword.
quando le persone avevano creato
quelle password.
04:59
So we wanted to find some better sourcefonte of datadati.
Quindi volevamo trovare fonti
di informazioni migliori.
05:01
So we decideddeciso that one thing we could do
Così abbiamo deciso
che una possibilità
05:05
is we could do a studystudia and have people
era fare uno studio e far sì
che alcune persone
05:06
actuallyin realtà createcreare passwordspassword for our studystudia.
creassero delle password
appositamente per il nostro studio.
05:09
So we used a serviceservizio calledchiamato
AmazonAmazon MechanicalMeccanica TurkTurk,
Abbiamo usato un servizio chiamato
Amazon Mechanical Turk,
05:12
and this is a serviceservizio where you can postinviare
un servizio dove si può pubblicare
05:15
a smallpiccolo joblavoro onlinein linea that takes a minuteminuto,
un lavoretto online che impiega un minuto,
05:17
a fewpochi minutesminuti, an hourora,
qualche minuto, un'ora,
05:19
and paypagare people, a pennycentesimo, tendieci centscentesimi, a fewpochi dollarsdollari,
e pagare le persone un penny,
dieci centesimi, qualche dollaro
05:21
to do a taskcompito for you,
affinché svolgano un lavoro per voi,
05:23
and then you paypagare them throughattraverso AmazonAmazon.comcom.
e poi pagate il servizio
con Amazon.com.
05:25
So we paidpagato people about 50 centscentesimi
Abbiamo pagato 50 centesimi a persona
05:27
to createcreare a passwordpassword followinga seguire our rulesregole
perché creassero password
seguendo le nostre regole
05:29
and answeringsegreteria a surveysondaggio,
e rispondendo a un sondaggio,
05:32
and then we paidpagato them again to come back
e poi li abbiamo pagati ancora
perché ritornassero
05:33
two daysgiorni laterdopo and logceppo in
due giorni dopo ed effettuassero il login,
05:36
usingutilizzando theirloro passwordpassword and answeringsegreteria anotherun altro surveysondaggio.
utilizzando le proprie password,
e rispondessero a un altro sondaggio.
05:38
So we did this, and we collectedraccolto 5,000 passwordspassword,
L'abbiamo fatto, e abbiamo raccolto
5000 password.
05:40
and we gaveha dato people a bunchmazzo of differentdiverso policiespolitiche
Abbiamo dato ai partecipanti
diverse direttive
05:45
to createcreare passwordspassword with.
con cui creare le password.
05:47
So some people had a prettybella easyfacile policypolitica,
Alcune persone avevano regole
molto semplici,
05:49
we call it BasicBase8,
che noi chiamiamo Basic8,
05:51
and here the only ruleregola was that your passwordpassword
e qui l'unica regola
era che la password
05:52
had to have at leastmeno eightotto characterspersonaggi.
avesse almeno otto caratteri.
05:55
Then some people had a much harderPiù forte policypolitica,
Poi altre persone avevano
una politica più difficile,
05:58
and this was very similarsimile to the CMUCMU policypolitica,
piuttosto simile a quella della CMU,
06:00
that it had to have eightotto characterspersonaggi
cioè una password
con otto caratteri
06:03
includingCompreso uppercaselettere maiuscole, lowercaselettere minuscole, digitcifra, symbolsimbolo,
comprese una lettera maiuscola,
una minuscola, una cifra, un simbolo,
06:05
and passpassaggio a dictionarydizionario checkdai un'occhiata.
e controllo sul dizionario.
06:07
And one of the other policiespolitiche we triedprovato,
E una delle altre politiche
che abbiamo provato,
06:09
and there were a wholetotale bunchmazzo more,
e ce ne sono state molte,
06:11
but one of the onesquelli we triedprovato was calledchiamato BasicBase16,
una di quelle che abbiamo testato
si chiamava Basic16,
06:12
and the only requirementRequisiti here
e l'unico requisito
06:14
was that your passwordpassword had
to have at leastmeno 16 characterspersonaggi.
era che la password dovesse avere
come minimo 16 caratteri.
06:17
All right, so now we had 5,000 passwordspassword,
Ok, avevamo 5000 password,
06:20
and so we had much more detaileddettagliata informationinformazione.
e avevamo informazioni
molto più dettagliate.
06:23
Again we see that there's only a smallpiccolo numbernumero
Ancora, vediamo che c'è solo
un numero ridotto
06:26
of symbolssimboli that people are actuallyin realtà usingutilizzando
di simboli che vengono davvero
usati dalle persone
06:29
in theirloro passwordspassword.
nelle loro password.
06:31
We alsoanche wanted to get an ideaidea of how strongforte
Volevamo anche farci un'idea
di quanto forti
06:33
the passwordspassword were that people were creatingla creazione di,
fossero le password
che creava la gente
06:35
but as you maypuò recallrichiamare, there isn't a good measuremisurare
ma, come forse ricorderete, non esiste
un buon parametro
06:38
of passwordpassword strengthforza.
per misurare la forza di una password.
06:40
So what we decideddeciso to do was to see
Perciò abbiamo deciso di vedere
06:42
how long it would take to crackcrepa these passwordspassword
quanto ci voleva per scoprire
queste password
06:45
usingutilizzando the bestmigliore crackingscrepolatura toolsutensili
usando i migliori
strumenti di violazione
06:47
that the badcattivo guys are usingutilizzando,
che usano i cattivi
nel mondo informatico,
06:48
or that we could find informationinformazione about
o di cui potevamo trovare informazioni
06:50
in the researchricerca literatureletteratura.
nei libri di ricerca.
06:52
So to give you an ideaidea of how badcattivo guys
Per darvi un'idea di come
facciano i cattivi
06:54
go about crackingscrepolatura passwordspassword,
a violare le password:
06:56
they will stealrubare a passwordpassword filefile
rubano un file
06:59
that will have all of the passwordspassword
che contiene tutte le password
07:01
in kindgenere of a scrambleduova strapazzate formmodulo, calledchiamato a hashhash,
in una forma confusa,
chiamata "hash",
07:03
and so what they'llfaranno do is they'llfaranno make a guessindovina
e quello che fanno è indovinare
07:06
as to what a passwordpassword is,
quale sia la password,
07:08
runcorrere it throughattraverso a hashingl'hashing functionfunzione,
fare girare una funzione di hashing,
07:10
and see whetherse it matchespartite
e verificare se corrisponde o meno
07:12
the passwordspassword they have on
theirloro stolenrubare passwordpassword listelenco.
alle password elencate
nella loro lista di password rubate.
07:14
So a dumbmuto attackerattaccante will try everyogni passwordpassword in orderordine.
Un hacker stupido proverà
tutte le password in ordine.
07:18
They'llChe faranno startinizio with AAAAAAAAAA and movemossa on to AAAABAAAAB,
Inizierà con AAAA
e proseguirà con AAAAB,
07:21
and this is going to take a really long time
e questo richiede molto tempo
07:24
before they get any passwordspassword
prima di trovare qualche password
07:27
that people are really likelyprobabile to actuallyin realtà have.
che è probabile venga
realmente usata dagli utenti.
07:28
A smartinteligente attackerattaccante, on the other handmano,
Gli hacker intelligenti, invece,
07:31
does something much more cleverintelligente.
agiscono in modo molto più intelligente.
07:33
They look at the passwordspassword
Guardano le password
07:34
that are knownconosciuto to be popularpopolare
che sono popolari
07:36
from these stolenrubare passwordpassword setsimposta,
tra i set di password rubate,
07:38
and they guessindovina those first.
e provano quelle per prime.
07:40
So they're going to startinizio by guessingindovinando "passwordpassword,"
Inizieranno tirando a indovinare:
"password",
07:41
and then they'llfaranno guessindovina "I love you," and "monkeyscimmia,"
e poi "ti amo",
e "scimmia"
07:43
and "12345678,"
e "12345678",
07:46
because these are the passwordspassword
perché sono queste le password
07:48
that are mostmaggior parte likelyprobabile for people to have.
più ricorrenti.
07:50
In factfatto, some of you probablyprobabilmente have these passwordspassword.
In effetti, è probabile
che alcuni di voi le usi.
07:52
So what we foundtrovato
Quello che abbiamo scoperto
07:57
by runningin esecuzione all of these 5,000 passwordspassword we collectedraccolto
testando tutte le 5000 password
da noi raccolte
07:58
throughattraverso these teststest to see how strongforte they were,
attraverso questi test
per vedere quanto fossero forti
08:01
we foundtrovato that the long passwordspassword
è stato che le password più lunghe
08:06
were actuallyin realtà prettybella strongforte,
erano piuttosto forti in realtà,
08:08
and the complexcomplesso passwordspassword were prettybella strongforte too.
così come le password complesse.
08:10
HoweverTuttavia, when we lookedguardato at the surveysondaggio datadati,
Tuttavia, quando abbiamo analizzato
i dati dei sondaggi,
08:13
we saw that people were really frustratedfrustrato
abbiamo visto che le persone
erano davvero frustrate
08:15
by the very complexcomplesso passwordspassword,
dalle password molto complesse,
08:18
and the long passwordspassword were a lot more usableutilizzabile,
e le password lunghe
erano molto più utilizzabili,
08:21
and in some casescasi, they were actuallyin realtà
e in alcuni casi, erano
08:23
even strongerpiù forte than the complexcomplesso passwordspassword.
persino più forti
delle password complesse.
08:25
So this suggestssuggerisce that,
Questo perciò suggerisce che,
08:27
insteadanziché of tellingraccontare people that they need
invece di dire alle persone
che devono
08:29
to put all these symbolssimboli and numbersnumeri
mettere tutti questi simboli e numeri
08:30
and crazypazzo things into theirloro passwordspassword,
e altre cose da matti nelle loro passwrod,
08:32
we mightpotrebbe be better off just tellingraccontare people
sarebbe meglio dire loro
08:35
to have long passwordspassword.
di creare password lunghe.
08:37
Now here'secco the problemproblema, thoughanche se:
Ora, però ecco il problema:
08:39
Some people had long passwordspassword
alcune persone avevano password lunghe
08:41
that actuallyin realtà weren'tnon erano very strongforte.
che in realtà non erano molto forti.
08:43
You can make long passwordspassword
Potete creare password lunghe
08:45
that are still the sortordinare of thing
che però potrebbero comunque
essere scoperte
08:47
that an attackerattaccante could easilyfacilmente guessindovina.
facilmente da un hacker.
08:49
So we need to do more than
just say long passwordspassword.
Quindi non abbiamo solo bisogno
di password più lunghe.
08:50
There has to be some additionalUlteriori requirementsrequisiti,
Ci devono essere dei requisiti
in più,
08:54
and some of our ongoingin corso researchricerca is looking at
e parte della nostra ricerca attuale
sta considerando
08:56
what additionalUlteriori requirementsrequisiti we should addInserisci
quali requisiti
dovremmo aggiungere
08:59
to make for strongerpiù forte passwordspassword
per creare password più forti
09:01
that alsoanche are going to be easyfacile for people
che siano anche facili
09:03
to rememberricorda and typetipo.
da ricordare e da digitare.
09:05
AnotherUn altro approachapproccio to gettingottenere people to have
Un altro approccio per far sì
che le persone abbiano
09:08
strongerpiù forte passwordspassword is to use a passwordpassword metermetro.
password più forti è usare un misuratore
di robustezza della password.
09:10
Here are some examplesesempi.
Ecco alcuni esempi.
09:12
You maypuò have seenvisto these on the InternetInternet
Forse li avete visti online
09:14
when you were creatingla creazione di passwordspassword.
creando delle password.
09:15
We decideddeciso to do a studystudia to find out
Abbiamo deciso di condurre
uno studio per scoprire
09:18
whetherse these passwordpassword metersmetri actuallyin realtà work.
se i misuratori di password funzionano
davvero oppure no.
09:21
Do they actuallyin realtà help people
Aiutano davvero le persone
09:23
have strongerpiù forte passwordspassword,
ad avere password più forti,
09:25
and if so, whichquale onesquelli are better?
e se sì, quali sono i migliori?
09:26
So we testedtestato passwordpassword metersmetri that were
Perciò abbiamo testato
dei misuratori di password
09:28
differentdiverso sizesdimensioni, shapesforme, colorscolori,
diversi per dimensioni, forma, colore,
09:31
differentdiverso wordsparole nextIl prossimo to them,
diversi per le parole vicine a loro,
09:33
and we even testedtestato one that was a dancingdanza bunnyconiglietto.
e ne abbiamo anche testato uno
che era un coniglietto ballerino.
09:34
As you typetipo a better passwordpassword,
Quando si scrive una password buona,
09:38
the bunnyconiglietto dancesdanze fasterPiù veloce and fasterPiù veloce.
il coniglietto balla
sempre più velocemente.
09:39
So this was prettybella fundivertimento.
È piuttosto divertente.
09:42
What we foundtrovato
Abbiamo scoperto che
09:44
was that passwordpassword metersmetri do work.
i misuratori di password
funzionano davvero.
09:46
(LaughterRisate)
(Risate)
09:49
MostMaggior parte of the passwordpassword metersmetri were actuallyin realtà effectiveefficace,
Gran parte dei misuratori di password
era davvero efficace,
09:51
and the dancingdanza bunnyconiglietto was very effectiveefficace too,
così come il coniglietto di prima,
09:55
but the passwordpassword metersmetri that were the mostmaggior parte effectiveefficace
ma i misuratori di password
più efficaci in assoluto
09:57
were the onesquelli that madefatto you work harderPiù forte
erano quelli che ci facevano faticare
10:00
before they gaveha dato you that thumbspollici up and said
prima di darci l'ok e dirci
10:02
you were doing a good joblavoro,
che stavamo facendo un buon lavoro,
10:04
and in factfatto we foundtrovato that mostmaggior parte
e in effetti abbiamo scoperto
che la maggior parte
10:06
of the passwordpassword metersmetri on the InternetInternet todayoggi
dei password meter online oggi
10:07
are too softmorbido.
è troppo indulgente.
10:10
They tell you you're doing a good joblavoro too earlypresto,
Vi dicono che state andando bene
troppo presto,
10:10
and if they would just wait a little bitpo
e se aspettassero solo un po' di più
10:13
before givingdando you that positivepositivo feedbackrisposta,
prima di darvi un riscontro positivo,
10:15
you probablyprobabilmente would have better passwordspassword.
probabilmente voi avreste
password migliori.
10:17
Now anotherun altro approachapproccio to better passwordspassword, perhapsForse,
Un altro approccio per migliorare
le password, forse,
10:20
is to use passpassaggio phrasesfrasi insteadanziché of passwordspassword.
è usare le passphrase
al posto delle password.
10:24
So this was an xkcdxkcd cartooncartone animato
from a couplecoppia of yearsanni agofa,
Questo è una vignetta xkcd
di un paio di anni fa,
10:27
and the cartoonistvignettista suggestssuggerisce
e il disegnatore consiglia a tutti
10:30
that we should all use passpassaggio phrasesfrasi,
di usare le passphrase,
10:32
and if you look at the secondsecondo rowriga of this cartooncartone animato,
e se guardate nella seconda fila
di questa vignetta,
10:34
you can see the cartoonistvignettista is suggestingsuggerendo
vedrete che il disegnatore consiglia
10:37
that the passpassaggio phrasefrase "correctcorretta horsecavallo batterybatteria stapledi base"
la pass phrase:
"correct horse battery staple",
10:39
would be a very strongforte passpassaggio phrasefrase
che sarebbe una chiave di accesso
molto forte
10:42
and something really easyfacile to rememberricorda.
e molto facile da ricordare.
10:45
He saysdice, in factfatto, you've alreadygià rememberedricordato it.
Dice, in effetti, che
ce la ricordiamo già.
10:47
And so we decideddeciso to do a researchricerca studystudia
E così abbiamo deciso di fare uno studio
10:50
to find out whetherse this was truevero or not.
per scoprire se era vero o no.
10:52
In factfatto, everybodytutti who I talk to,
In realtà, tutte le persone con cui parlo
10:54
who I mentioncitare I'm doing passwordpassword researchricerca,
e a cui menziono la mia ricerca
sulle password,
10:56
they pointpunto out this cartooncartone animato.
mi parlano di questa vignetta.
10:58
"Oh, have you seenvisto it? That xkcdxkcd.
"Oh, l'hai vista? L'xkcd.
10:59
CorrectCorreggere horsecavallo batterybatteria stapledi base."
'correct horse battery staple'".
11:01
So we did the researchricerca studystudia to see
Abbiamo fatto questa ricerca per vedere
11:03
what would actuallyin realtà happenaccadere.
che cosa sarebbe successo nella realtà.
11:04
So in our studystudia, we used MechanicalMeccanica TurkTurk again,
Nel nostro studio abbiamo usato
ancora Mechanical Turk,
11:07
and we had the computercomputer pickraccogliere the randomcasuale wordsparole
e abbiamo fatto scegliere
al computer le parole a caso
11:10
in the passpassaggio phrasefrase.
nella chiave di accesso.
11:14
Now the reasonragionare we did this
Il motivo per cui l'abbiamo fatto
11:15
is that humansgli esseri umani are not very good
è che gli esseri umani
non sono molto bravi
11:16
at pickingscelta randomcasuale wordsparole.
a scegliere le parole a caso.
11:18
If we askedchiesto a humanumano to do it,
Se avessimo chiesto alle persone di farlo,
11:19
they would pickraccogliere things that were not very randomcasuale.
non avrebbero scelto casualmente.
11:21
So we triedprovato a fewpochi differentdiverso conditionscondizioni.
Perciò abbiamo provato
diverse condizioni.
11:24
In one conditioncondizione, the computercomputer pickedraccolto
In una condizione, il computer sceglieva
11:26
from a dictionarydizionario of the very commonComune wordsparole
da un dizionario delle parole più comuni
11:28
in the EnglishInglese languageLingua,
della lingua inglese,
11:30
and so you'dfaresti get passpassaggio phrasesfrasi like
così si ottenevano chiavi come:
11:31
"try there threetre come."
"prova là albero venire".
11:33
And we lookedguardato at that, and we said,
L'abbiamo guardata,
e ci siamo detti:
11:35
"Well, that doesn't really seemsembrare very memorablememorabile."
"Beh, non sembra poi così tanto
facile da tenere a mente".
11:37
So then we triedprovato pickingscelta wordsparole
Poi abbiamo provato a scegliere
11:40
that cameè venuto from specificspecifica partsparti of speechdiscorso,
parti del discorso specifiche
11:42
so how about noun-verb-adjective-nounsostantivo-verbo-aggettivo-sostantivo.
come ad esempio
sostantivo-verbo-aggettivo-sostantivo.
11:44
That comesviene up with something
that's sortordinare of sentence-likefrase simile.
Questa combinazione può anche
risultare in una specie di frase.
11:47
So you can get a passpassaggio phrasefrase like
Quindi si possono ottenere chiavi
di accesso come
11:49
"planPiano buildscostruisce sure powerenergia"
"piano costruisce sicuro potere"
11:51
or "endfine determinesdetermina redrosso drugdroga."
o "fine determina farmaco rosso".
11:53
And these seemedsembrava a little bitpo more memorablememorabile,
E queste ci sembravano
un po' più facili da ricordare,
11:55
and maybe people would like those a little bitpo better.
e forse alla gente piacerebbero
anche di più.
11:58
We wanted to compareconfrontare them with passwordspassword,
Volevamo confrontarle
con le password,
12:01
and so we had the computercomputer
pickraccogliere randomcasuale passwordspassword,
e così abbiamo fatto scegliere
password a caso ai computer,
12:03
and these were nicesimpatico and shortcorto, but as you can see,
e queste erano belle e corte
ma, come potete vedere,
12:07
they don't really look very memorablememorabile.
non sono molto facili da ricordare.
12:09
And then we decideddeciso to try something calledchiamato
E poi abbiamo deciso di provare
le cosidette
12:11
a pronounceablepronunciabile passwordpassword.
password pronunciabili.
12:13
So here the computercomputer pickspicconi randomcasuale syllablessillabe
Il computer in questo caso
sceglie sillabe a caso
12:14
and putsmette them togetherinsieme
e le assembla
12:17
so you have something sortordinare of pronounceablepronunciabile,
in modo da ottenere frasi
più o meno pronunciabili,
12:18
like "tufritvitufritvi" and "vadasabivadasabi."
come "tufritvi" e "vadasabi".
12:20
That one kindgenere of rollsrotoli off your tonguelingua.
Quest'ultima è una specie
di scioglilingua.
12:23
So these were randomcasuale passwordspassword that were
Queste sono alcune password casuali
12:25
generatedgenerato by our computercomputer.
generate dal nostro computer.
12:27
So what we foundtrovato in this studystudia was that, surprisinglysorprendentemente,
Ciò che abbiamo scoperto in questo studio
è che, sorprendentemente,
12:30
passpassaggio phrasesfrasi were not actuallyin realtà all that good.
le passphrase non erano poi così valide.
12:33
People were not really better at rememberingricordare
Le persone non se le ricordavano meglio
12:37
the passpassaggio phrasesfrasi than these randomcasuale passwordspassword,
in confronto a queste password
create a caso,
12:40
and because the passpassaggio phrasesfrasi are longerpiù a lungo,
e dato che le passphrase sono più lunghe,
12:43
they tookha preso longerpiù a lungo to typetipo
ci voleva più tempo per scriverle
12:45
and people madefatto more errorserrori while typingdigitando them in.
e le persone facevano
più errori scrivendole.
12:47
So it's not really a clearchiaro winvincere for passpassaggio phrasesfrasi.
Quindi le passphrase
non hanno proprio la meglio.
12:50
Sorry, all of you xkcdxkcd fanstifosi.
Ci dispiace, fan dell'xkcd.
12:53
On the other handmano, we did find
D'altro canto, abbiamo scoperto
12:56
that pronounceablepronunciabile passwordspassword
che le password pronunciabili
12:58
workedlavorato surprisinglysorprendentemente well,
funzionavano sorprendentemente bene,
13:00
and so we actuallyin realtà are doing some more researchricerca
e così stiamo facendo ancora
qualche ricerca
13:01
to see if we can make that
approachapproccio work even better.
per vedere se possiamo far funzionare
ancora meglio questo tipo di approccio.
13:04
So one of the problemsi problemi
Uno dei problemi
13:07
with some of the studiesstudi that we'venoi abbiamo donefatto
con alcuni degli studi
che abbiamo condotto
13:09
is that because they're all donefatto
è che, siccome sono state fatte tutte
13:10
usingutilizzando MechanicalMeccanica TurkTurk,
usando Mechanical Turk,
13:12
these are not people'spersone di realvero passwordspassword.
queste password non sono
quelle usate realmente dagli utenti.
13:14
They're the passwordspassword that they createdcreato
Sono le password che hanno creato
13:15
or the computercomputer createdcreato for them for our studystudia.
o che il computer ha creato per loro
per il nostro studio.
13:18
And we wanted to know whetherse people
E volevamo sapere se le persone
13:20
would actuallyin realtà behavecomportarsi the samestesso way
si sarebbero davvero comportate così
13:22
with theirloro realvero passwordspassword.
con le loro password reali.
13:24
So we talkedparlato to the informationinformazione
securitysicurezza officeufficio at CarnegieCarnegie MellonMellon
Abbiamo parlato con l'ufficio per la
sicurezza delle informazioni
13:26
and askedchiesto them if we could
have everybody'sognuno è realvero passwordspassword.
alla Carnegie Mellon
13:30
Not surprisinglysorprendentemente, they were a little bitpo reluctantriluttante
e abbiamo chiesto se potevamo avere
le password di tutti.
13:34
to shareCondividere them with us,
Ovviamente, erano un po' restii
13:35
but we were actuallyin realtà ablecapace to work out
a condividerle con noi,
13:37
a systemsistema with them
ma noi siamo stati capaci di ideare
13:39
where they put all of the realvero passwordspassword
un sistema con loro
13:40
for 25,000 CMUCMU studentsstudenti, facultyfacoltà and staffpersonale,
dove si mettono tutte le password vere
13:42
into a lockedbloccato computercomputer in a lockedbloccato roomcamera,
per 25 mila studenti,
corpo docenti e staff,
13:45
not connectedcollegato to the InternetInternet,
in un computer bloccato
in una stanza chiusa a chiave,
13:47
and they rancorse codecodice on it that we wroteha scritto
non connessa a internet,
13:49
to analyzeanalizzare these passwordspassword.
e loro facevano passare il codice
13:51
They auditedcontrollati our codecodice.
sulle password che analizzavamo.
13:53
They rancorse the codecodice.
Verificavano il nostro codice.
13:54
And so we never actuallyin realtà saw
Facevano passare il codice.
13:55
anybody'snessuno è passwordpassword.
E perciò non abbiamo mai visto
13:57
We got some interestinginteressante resultsrisultati,
la password di nessuno.
14:00
and those of you TepperTepper studentsstudenti in the back
Abbiamo ottenuto risultati interessanti,
14:02
will be very interestedinteressato in this.
e per voi studenti
del corso Tepper lì in fondo
14:03
So we foundtrovato that the passwordspassword createdcreato
saranno molto interessanti.
14:06
by people affiliatedaffiliati with the
schoolscuola of computercomputer sciencescienza
Così abbiamo scoperto
che le password create
14:10
were actuallyin realtà 1.8 timesvolte strongerpiù forte
dalle persone che frequentano
la facoltà di informatica
14:12
than those affiliatedaffiliati with the businessattività commerciale schoolscuola.
sono 1,8 volte più forti
14:14
We have lots of other really interestinginteressante
rispetto a quelle
degli studenti di economia.
14:18
demographicdemografico informationinformazione as well.
Abbiamo anche molte altre informazioni
14:20
The other interestinginteressante thing that we foundtrovato
demografiche interessanti.
14:22
is that when we comparedrispetto
the CarnegieCarnegie MellonMellon passwordspassword
L'altra cosa interessante
che abbiamo scoperto
14:24
to the MechanicalMeccanica Turk-generatedTurk-generato passwordspassword,
è che quando abbiamo paragonato
le password della Carnegie Mellon
14:27
there was actuallyin realtà a lot of similaritiesanalogie,
a quelle generate dal Mechanical Turk,
14:29
and so this helpedaiutato validateconvalidare our researchricerca methodmetodo
in realtà c'erano molte somiglianze,
14:31
and showmostrare that actuallyin realtà, collectingraccolta passwordspassword
e questo ci ha aiutato a convalidare
il nostro metodo di ricerca
14:33
usingutilizzando these MechanicalMeccanica TurkTurk studiesstudi
e mostrare che, in realtà,
raccogliere le password
14:36
is actuallyin realtà a validvalido way to studystudia passwordspassword.
usando questi studi di Mechanical Turk
14:38
So that was good newsnotizia.
è davvero un modo valido
per studiare le password.
14:41
Okay, I want to closevicino by talkingparlando about
È una buona notizia.
14:43
some insightsapprofondimenti I gainedguadagnato while on sabbaticalanno sabbatico
Ok, vorrei concludere parlando
14:45
last yearanno in the CarnegieCarnegie MellonMellon artarte schoolscuola.
di alcune cose che ho scoperto durante
14:47
One of the things that I did
lo scorso anno sabbatico alla facoltà
di arte alla Carnegie Mellon.
14:51
is I madefatto a numbernumero of quiltstrapunte,
Una delle cose che ho fatto
14:52
and I madefatto this quilttrapunta here.
è stata cucire parecchie trapunte,
14:53
It's calledchiamato "SecuritySicurezza BlanketCoperta."
e questa l'ho fatta io.
14:55
(LaughterRisate)
Si chiama "Coperta di Sicurezza".
14:57
And this quilttrapunta has the 1,000
(Risate)
14:59
mostmaggior parte frequentfrequente passwordspassword stolenrubare
Questa trapunta ha le mille password
15:02
from the RockYouRockYou websiteSito web.
più frequenti rubate
15:05
And the sizedimensione of the passwordspassword is proportionalproporzionale
dal sito web RockYou.
15:07
to how frequentlyfrequentemente they appearedè apparso
E le dimensioni delle password
sono proporzionali
15:09
in the stolenrubare datasetDataSet.
alla frequenza con cui appaiono
15:11
And what I did is I createdcreato this wordparola cloudnube,
tra i dati rubati.
15:13
and I wentandato throughattraverso all 1,000 wordsparole,
Quello che ho fatto è stato
creare questa nuvola di parole,
15:16
and I categorizedclassificato them into
analizzare tutte le mille parole,
15:18
loosesciolto thematictematici categoriescategorie.
e classificarle
15:20
And it was, in some casescasi,
in categorie tematiche ampie.
15:22
it was kindgenere of difficultdifficile to figurefigura out
E, in alcuni casi,
15:24
what categorycategoria they should be in,
è stato difficile capire
15:26
and then I color-codedcolor-coded them.
in quale categoria rientrassero,
15:28
So here are some examplesesempi of the difficultydifficoltà.
e poi le ho codificate tramite dei colori.
15:30
So "justinJustin."
Ecco alcuni esempi delle difficoltà
che ho riscontrato.
15:33
Is that the namenome of the userutente,
"justin".
15:34
theirloro boyfriendfidanzato, theirloro sonfiglio?
È il nome dell'utente,
15:36
Maybe they're a JustinJustin BieberBieber fanfan.
del suo ragazzo, di suo figlio?
15:37
Or "princessPrincipessa."
Forse si tratta
di un fan di Justin Bieber.
15:40
Is that a nicknameNickname?
O "principesssa".
15:42
Are they DisneyDisney princessPrincipessa fanstifosi?
È un soprannome?
15:44
Or maybe that's the namenome of theirloro catgatto.
L'utente è un fan
delle principesse Disney?
15:45
"IloveyouILOVEYOU" appearsappare manymolti timesvolte
Oppure è il nome del suo gatto.
15:49
in manymolti differentdiverso languagesle lingue.
"Iloveyou" compare molte volte
15:51
There's a lot of love in these passwordspassword.
in tante lingue diverse.
15:52
If you look carefullyaccuratamente, you'llpotrai see there's alsoanche
C'è molto amore in queste password.
15:56
some profanityprofanità,
Se guardate attentamente,
vedrete che c'è anche
15:58
but it was really interestinginteressante to me to see
del profano,
16:00
that there's a lot more love than hateodiare
ma per me è stato davvero interessante
16:02
in these passwordspassword.
vedere che c'è molto più amore che odio
16:04
And there are animalsanimali,
in queste password.
16:06
a lot of animalsanimali,
E c'erano anche gli animali,
16:08
and "monkeyscimmia" is the mostmaggior parte commonComune animalanimale
molti animali,
16:09
and the 14thesimo mostmaggior parte popularpopolare passwordpassword overallcomplessivamente.
e "scimmia" è l'animale più comune,
16:12
And this was really curiouscurioso to me,
in generale la 14esima password
più comune.
16:15
and I wonderedchiesti, "Why are monkeysscimmie so popularpopolare?"
Questo mi ha incuriosita,
16:17
And so in our last passwordpassword studystudia,
e mi sono chiesta: "Perché le scimmie
sono così popolari?"
16:20
any time we detectedrilevato somebodyqualcuno
E così è nato il nostro ultimo studio
sulle password:
16:23
creatingla creazione di a passwordpassword with the wordparola "monkeyscimmia" in it,
ogni volta che notavamo qualcuno
16:25
we askedchiesto them why they had
a monkeyscimmia in theirloro passwordpassword.
che creava una password contenente
la parola "scimmia",
16:28
And what we foundtrovato out --
gli abbiamo chiesto perché
l'avesse scelta.
16:31
we foundtrovato 17 people so farlontano, I think,
E abbiamo scoperto che --
16:33
who have the wordparola "monkeyscimmia" --
finora abbiamo trovato 17 persone
16:35
We foundtrovato out about a thirdterzo of them said
che hanno "scimmia"
nelle proprie password ‒-
16:36
they have a petanimale domestico nameddi nome "monkeyscimmia"
abbiamo scoperto
che circa un terzo di loro
16:38
or a friendamico whosedi chi nicknameNickname is "monkeyscimmia,"
ha un animale domestico
che si chiama "scimmmia"
16:39
and about a thirdterzo of them said
o hanno un amico il cui soprannome
è "scimmia",
16:42
that they just like monkeysscimmie
e circa un terzo ha detto
16:43
and monkeysscimmie are really cutecarina.
che gli piacciono le scimmie
16:45
And that guy is really cutecarina.
e che sono molto carine.
16:47
So it seemssembra that at the endfine of the day,
E quella è molto carina.
16:50
when we make passwordspassword,
Perciò, alla fine dei conti, sembra che
16:54
we eithero make something that's really easyfacile
quando creiamo delle password,
16:55
to typetipo, a commonComune patternmodello,
creiamo qualcosa di molto facile
16:57
or things that remindricordare us of the wordparola passwordpassword
da scrivere, un modello comune,
17:00
or the accountaccount that we'venoi abbiamo createdcreato the passwordpassword for,
oppure pensiamo a cose
che ci ricordino la parola password,
17:03
or whateverqualunque cosa.
l'account per cui
abbiamo creato la password,
17:06
Or we think about things that make us happycontento,
o roba del genere.
17:09
and we createcreare our passwordpassword
Oppure ancora pensiamo
a cose che ci rendono felici,
17:11
basedbasato on things that make us happycontento.
e creiamo la nostra password
17:13
And while this makesfa typingdigitando
in base alle cose che ci rendono felici.
17:15
and rememberingricordare your passwordpassword more fundivertimento,
E mentre questo fa sì
che sia più divertente
17:18
it alsoanche makesfa it a lot easierPiù facile
scrivere e ricordarsi la propria password,
17:21
to guessindovina your passwordpassword.
la rende anche più facile da indovinare.
17:23
So I know a lot of these TEDTED TalksColloqui
So che molti discorsi TED
17:24
are inspirationalInspirational
sono d'ispirazione
17:26
and they make you think about nicesimpatico, happycontento things,
e che vi fanno pensare
a cose belle e felici,
17:27
but when you're creatingla creazione di your passwordpassword,
ma quando create la vostra password
17:30
try to think about something elsealtro.
cercate di pensare a qualcos'altro.
17:32
Thank you.
Grazie.
17:34
(ApplauseApplausi)
(Applausi)
17:35
Translated by Elisa Magni
Reviewed by Valentina Buda

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com