English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

ローリー・フェイス・クレイナー: あなたのpa$$w0rdのどこがいけないの?

Filmed
Views 1,497,545

ローリー・フェイス・クレイナーは、ユーザー(そしてセキュリティーで保護されたウェブサイト) がよく犯してしまう、セキュリティを低下させる意外な誤ちを解明するため 、数千もの実際のパスワードを調査しました。彼女はどのようにして実ユーザーのセキュリティを危険にさらすことなく、実際のパスワードを調査することができたのでしょうか? それ自体面白い話です。もしあなたのパスワードが 123456 であるなら、これは特に知る価値のある秘密の情報でしょう・・・。

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

I am a computerコンピューター science科学 and engineeringエンジニアリング
professor教授 here at Carnegieカーネギー Mellonメロン,
私は カーネギーメロン大学の
コンピュータ科学と工学の教授です
00:12
and my research研究 focuses焦点を当てる on
usable使用可能な privacyプライバシー and securityセキュリティ,
ユーザビリティの高いプライバシー保護とセキュリティの研究をしています
00:15
and so my friends友達 like to give me examples
ですので 私の友人は コンピュータシステムでの
00:20
of their彼らの frustrations不満 with computing計算 systemsシステム,
フラストレーションの例を教えてくれます
00:22
especially特に frustrations不満 related関連する to
特に うまく機能していない
00:25
unusable使用不能 privacyプライバシー and securityセキュリティ.
プライバシーとセキュリティーに関してです
00:28
So passwordsパスワード are something that I hear聞く a lot about.
パスワードの話題を良く耳にします
00:32
A lot of people are frustrated挫折した with passwordsパスワード,
多くの人がパスワードの事にもどかしさを感じています
00:35
and it's bad悪い enough十分な
自分が覚えることの出来る
00:38
when you have to have one really good passwordパスワード
それでいて 誰も思いつかない
00:39
that you can remember思い出す
とても良いパスワードを
00:42
but nobody誰も elseelse is going to be ableできる to guess推測.
ひとつ考えるだけでも十分大変なのに
00:44
But what do you do when you have accountsアカウント
百の異なるシステムのアカウントを持ち
00:47
on a hundred different異なる systemsシステム
各システムごとに
00:48
and you're supposed想定される to have a uniqueユニークな passwordパスワード
異なるパスワードを
00:50
for each of these systemsシステム?
持たなければならないと
どうでしょう?
00:53
It's toughタフ.
大変ですよね
00:56
At Carnegieカーネギー Mellonメロン, they used to make it
カーネギーメロン大学では かつて簡単に
00:58
actually実際に prettyかなり easy簡単 for us
パスワードを覚えれるようになっていました
01:00
to remember思い出す our passwordsパスワード.
パスワードを覚えれるようになっていました
01:01
The passwordパスワード requirement要件 up throughを通して 2009
2009年までの パスワードに必要な条件は
01:03
was just that you had to have a passwordパスワード
最低1文字を使った
01:05
with at least少なくとも one characterキャラクター.
パスワードを持つことでした
01:07
Prettyかなり easy簡単. But then they changedかわった things,
簡単でしょ  
でも大学はこれを変更し
01:10
and at the end終わり of 2009, they announced発表
2009年の終わりに
01:12
that we were going to have a new新しい policyポリシー,
新しいポリシーになることを発表しました
01:15
and this new新しい policyポリシー required必須
新しいポリシーの条件は
01:17
passwordsパスワード that were at least少なくとも eight8 characters文字 long,
パスワードが最低8文字であること
01:19
with an uppercase大文字 letter文字, lowercase小文字 letter文字,
大文字 小文字 を含むこと
01:22
a digit, a symbolシンボル,
数字 記号を含むこと
01:24
you couldn'tできなかった use the same同じ
characterキャラクター more than three times,
同じ文字を3回以上使用しないこと
01:25
and it wasn'tなかった allowed許可された to be in a dictionary辞書.
そして 辞書にある単語ではないことでした
01:28
Now, when they implemented実装された this new新しい policyポリシー,
さて この新しいポリシーが実施された時
01:30
a lot of people, my colleagues同僚 and friends友達,
私の同僚や友人 大勢の人々が
01:32
came来た up to me and they said, "Wowワオ,
私の所にやってきて こう言いました
01:35
now that's really unusable使用不能.
「これこそ本当に使えない
01:36
Why are they doing this to us,
何故こんなことをするんだ
01:38
and why didn't you stop them?"
止められなかったのかい?」
01:39
And I said, "Well, you know what?
そして 私は こう言いました
01:41
They didn't ask尋ねる me."
「あのね 尋ねてくれなかったの」
01:42
But I got curious好奇心, and I decided決定しました to go talk
ただ 私は興味を持ったので
01:44
to the people in charge電荷 of our computerコンピューター systemsシステム
コンピュータシステムの担当の方に
01:47
and find out what led them to introduce紹介する
なぜ この新しいポリシーを 導入することになったのか
01:49
this new新しい policyポリシー,
聞きに行くことにしました
01:52
and they said that the university大学
そして 彼らは
01:54
had joined参加した a consortiumコンソーシアム of universities大学,
大学がコンソーシアムに入り
01:55
and one of the requirements要件 of membershipメンバーシップ
加盟条件のひとつが
01:58
was that we had to have strongerより強く passwordsパスワード
新しい条件を満たす パスワードの強化
02:00
that complied遵守した with some new新しい requirements要件,
だったと教えてくれました
02:03
and these requirements要件 were that our passwordsパスワード
パスワードが大きなエントロピーを
02:05
had to have a lot of entropyエントロピ.
有するという条件です
02:07
Now entropyエントロピ is a complicated複雑な term期間,
さて エントロピーとは 分かりにくい単語ですね
02:09
but basically基本的に it measures措置 the strength of passwordsパスワード.
基本的に パスワードのセキュリティーの
強さを測る単語です
02:11
But the thing is, there isn't actually実際に
ですが 問題は エントロピーを測る
02:14
a standard標準 measure測定 of entropyエントロピ.
標準規格が無いことです
02:16
Now, the Nationalナショナル Institute研究所
of Standards標準 and Technology技術
米国標準技術局 (NIST) には
02:18
has a setセット of guidelinesガイドライン
エントロピーを測定するための
02:20
whichどの have some rulesルール of thumb親指
経験則を使った
02:22
for measuring測定する entropyエントロピ,
一連のガイドラインがあります
02:24
but they don't have anything too specific特定,
ですが それらは 具体的ではありません
02:26
and the reason理由 they only have rulesルール of thumb親指
ガイドラインが 経験側だけである理由は
02:29
is it turnsターン out they don't actually実際に have any good dataデータ
彼らが パスワードの 十分な
データを持っていないからです
02:31
on passwordsパスワード.
彼らが パスワードの 十分な
データを持っていないからです
02:34
In fact事実, their彼らの report報告する states,
実際 レポートには こう記されています
02:36
"Unfortunately残念ながら, we do not have much dataデータ
「残念ながら 特定の規則の下で選択された
02:38
on the passwordsパスワード usersユーザー
choose選択する under particular特に rulesルール.
パスワードのデータを多く持っておりません
02:40
NISTNIST would like to obtain入手します more dataデータ
NISTは ユーザーが実際選択した
02:43
on the passwordsパスワード usersユーザー actually実際に choose選択する,
パスワードのデータをより多く取得したいのですが
02:45
but systemシステム administrators管理者
are understandably分かりやすく reluctant嫌な
システム管理者は 当然の事ながら
02:48
to reveal明らかにする passwordパスワード dataデータ to othersその他."
他者にパスワードデータを公表するのに消極的です」
02:50
So this is a problem問題, but our research研究 groupグループ
これが問題なのですが私たち研究グループは
02:53
looked見た at it as an opportunity機会.
それを良い機会と捉えました
02:56
We said, "Well, there's a need
for good passwordパスワード dataデータ.
「なるほど 質の良いパスワード データが
必要とされている
02:58
Maybe we can collect集める some good passwordパスワード dataデータ
おそらく 私達でデータを集めて
03:02
and actually実際に advance前進 the state状態 of the artアート here.
この分野の水準を高めることが出来るだろう」 と
03:04
So the first thing we did is,
そこで 私達が最初にしたことは
03:06
we got a bagバッグ of candyキャンディー barsバー
チョコレート バーを買ってきて
03:08
and we walked歩いた around campusキャンパス
キャンパスを歩き回り
03:10
and talked話した to students学生の, faculty学部 and staffスタッフ,
学生や教員たちと話をしたことでした
03:11
and asked尋ねた them for information情報
そして 彼らのパスワードに関する
03:14
about their彼らの passwordsパスワード.
情報を尋ねました
03:15
Now we didn't say, "Give us your passwordパスワード."
もちろん 「パスワードを教えて下さい」
とは言いません
03:17
No, we just asked尋ねた them about their彼らの passwordパスワード.
ただ パスワードについて質問したのです
03:20
How long is it? Does it have a digit?
どの位の長さか? 数字を含むか?
03:22
Does it have a symbolシンボル?
記号を含むか?
03:24
And were you annoyed悩まされる at having持つ to create作成する
先週 新しいパスワードを
03:25
a new新しい one last week週間?
作らないといけないのを
めんどくさいと思ったか?
03:27
So we got results結果 from 470 students学生の,
こうして 学生 教員 職員 470人から
結果を得ることができ
03:30
faculty学部 and staffスタッフ,
こうして 学生 教員 職員 470人から
結果を得ることができ
03:33
and indeed確かに we confirmed確認済み that the new新しい policyポリシー
新しいポリシーは 実際うっとうしく
思われていること事を確認しました
03:34
was very annoying迷惑な,
新しいポリシーは 実際うっとうしく
思われていること事を確認しました
03:36
but we alsoまた、 found見つけた that people said
しかし同時に 新しいパスワード規定を
03:38
they feltフェルト more secure安全な with these new新しい passwordsパスワード.
より安全と感じたと
言った人もいることが分かりました
03:40
We found見つけた that most最も people knew知っていた
多くの人が パスワードを
03:43
they were not supposed想定される to
write書きます their彼らの passwordパスワード down,
書き残すべきではないと理解していて
03:45
and only 13 percentパーセント of them did,
調査対象の13%の人だけが
そうしていていました
03:47
but disturbingly邪悪な, 80 percentパーセント of people
しかしながら 不安なことに 80%の人が
03:50
said they were reusing再利用する their彼らの passwordパスワード.
パスワードを使い回していると答えたのです
03:52
Now, this is actually実際に more dangerous危険な
実は こちらの方が パスワードを
03:54
than writing書き込み your passwordパスワード down,
書き残すより 危険なのです
03:56
because it makes作る you much
more susceptible影響を受けやすいです to attackers攻撃者.
なぜなら ハッカーの攻撃を受けやすく するからです
03:58
So if you have to, write書きます your passwordsパスワード down,
ですので もし どうしても 必要なのであれば
04:01
but don't reuse再利用 them.
書き残してください 使い回さないでください
04:05
We alsoまた、 found見つけた some interesting面白い things
私達は また面白い事を発見しました
04:06
about the symbolsシンボル people use in passwordsパスワード.
それは パスワードで使われる記号についてです
04:08
So CMUCMU allows許す 32 possible可能 symbolsシンボル,
CMUでは 32種類の記号が使用可能ですが
04:11
but as you can see, there's only a small小さい number
ご覧の通り ほとんどの人が
04:14
that most最も people are usingを使用して,
ごく限られた記号を使用しています
04:16
so we're not actually実際に getting取得 very much strength
ですので 実際は シンボルを使用することでの
04:18
from the symbolsシンボル in our passwordsパスワード.
パスワードの強化は あまり得られません
04:21
So this was a really interesting面白い study調査,
これは本当に興味深い調査でした
04:23
and now we had dataデータ from 470 people,
私達は 470人のデータを得たわけですが
04:26
but in the schemeスキーム of things,
世の中全体から見ると
04:29
that's really not very much passwordパスワード dataデータ,
そんなに多くのデータではありません
04:30
and so we looked見た around to see
ですので どこで追加の
04:33
where could we find additional追加 passwordパスワード dataデータ?
パスワードデータを見つける事が出来るか
探し始めました
04:34
So it turnsターン out there are a lot of people
そして 世の中には
04:37
going around stealing窃盗 passwordsパスワード,
パスワードを盗む人達が大勢いて
04:39
and they oftenしばしば go and post役職 these passwordsパスワード
彼らは 盗んだパスワードをよくインターネット上に
04:41
on the Internetインターネット.
公開している事が分かりました
04:43
So we were ableできる to get accessアクセス
そこから 私たちは
04:45
to some of these stolen盗まれた passwordパスワード setsセット.
盗まれたパスワードにアクセスすることが出来ました
04:46
This is still not really ideal理想的な for research研究, thoughしかし,
ただ これらは研究には 理想的ではありません
04:50
because it's not entirely完全に clearクリア
なぜなら これらのパスワードが
04:53
where all of these passwordsパスワード came来た from,
どこから来たのか
04:55
or exactly正確に what policiesポリシー were in effect効果
また どの様なポリシーの下に
04:57
when people created作成した these passwordsパスワード.
作られたのか 分からないからです
04:59
So we wanted to find some better sourceソース of dataデータ.
ですので 私達はもっと出所のはっきりした
データが欲しかったのです
05:01
So we decided決定しました that one thing we could do
そこで 私達が出来るのは
05:05
is we could do a study調査 and have people
研究用に 人々にパスワードを作ってもらうことでした
05:06
actually実際に create作成する passwordsパスワード for our study調査.
研究用に 人々にパスワードを作ってもらうことでした
05:09
So we used a serviceサービス calledと呼ばれる
Amazonアマゾン Mechanical機械的 Turkターク,
そこで アマゾン メカニカル タークという
サービスを使いました
05:12
and this is a serviceサービス where you can post役職
これは 一分から数分 一時間 単位で
05:15
a small小さい jobジョブ onlineオンライン that takes a minute,
出来る小さな仕事を投稿し
05:17
a few少数 minutes, an hour時間,
1¢10¢ 数$ を支払い
05:19
and pay支払う people, a pennyペニー, ten centsセント, a few少数 dollarsドル,
タスクを実行してもらう
05:21
to do a task仕事 for you,
サービスです
05:23
and then you pay支払う them throughを通して Amazonアマゾン.comcom.
報酬は アマゾンを経由して支払います
05:25
So we paid支払った people about 50 centsセント
私達は ルールに従ったパスワードを作って
05:27
to create作成する a passwordパスワード following以下 our rulesルール
調査に答えてもらうのに
05:29
and answering答える a survey調査,
50¢ほど支払いました
05:32
and then we paid支払った them again to come back
そして またお金を払って2日後戻ってきてもらい
05:33
two days日々 later後で and logログ in
作ったパスワードでログインし
05:36
usingを使用して their彼らの passwordパスワード and answering答える another別の survey調査.
他の調査に答えてもらいました
05:38
So we did this, and we collected集めました 5,000 passwordsパスワード,
これで 5千個のパスワードを集めました
05:40
and we gave与えた people a bunch of different異なる policiesポリシー
また いくつかの異なるポリシーの下で
05:45
to create作成する passwordsパスワード with.
パスワードを作って貰いました
05:47
So some people had a prettyかなり easy簡単 policyポリシー,
人によっては ベーシック8 と呼ばれる
05:49
we call it Basicベーシック8,
とてもやさしいポリシーで
05:51
and here the only ruleルール was that your passwordパスワード
最低8文字のパスワードを作ることが
05:52
had to have at least少なくとも eight8 characters文字.
ルールというものでした
05:55
Then some people had a much harderもっと強く policyポリシー,
ある人は とても難解なポリシーを与えられました
05:58
and this was very similar類似 to the CMUCMU policyポリシー,
これは CMUのポリシーととても似ていて
06:00
that it had to have eight8 characters文字
最低8文字でなければならず
06:03
includingを含む uppercase大文字, lowercase小文字, digit, symbolシンボル,
大文字 小文字 数字 そして記号を含み
06:05
and passパス a dictionary辞書 checkチェック.
辞書の検査に 通らなければなりません
06:07
And one of the other policiesポリシー we tried試した,
非常に多くの調査の中
06:09
and there were a whole全体 bunch more,
試みたポリシーを一つ上げると
06:11
but one of the onesもの we tried試した was calledと呼ばれる Basicベーシック16,
ベーシック16と呼ばれるもので
06:12
and the only requirement要件 here
満たさなければならない条件は
06:14
was that your passwordパスワード had
to have at least少なくとも 16 characters文字.
最低16文字であるというだけです
06:17
All right, so now we had 5,000 passwordsパスワード,
こうして 5千のパスワードを獲得し
06:20
and so we had much more detailed詳細な information情報.
はるかに詳細な情報を得ることができました
06:23
Again we see that there's only a small小さい number
再び 私達は パスワードに
06:26
of symbolsシンボル that people are actually実際に usingを使用して
ほんの少しの種類の記号しか
06:29
in their彼らの passwordsパスワード.
使われていない事を知りました
06:31
We alsoまた、 wanted to get an ideaアイディア of how strong強い
また 私達は 作られたパスワードの
06:33
the passwordsパスワード were that people were creating作成,
セキュリティーの高さを 知りたかったのですが
06:35
but as you mayかもしれない recall想起, there isn't a good measure測定
ご存知の通り パスワードの性能を測る
06:38
of passwordパスワード strength.
良い基準がありません
06:40
So what we decided決定しました to do was to see
ですので ハッカーが使うクラッキングツールを使い
06:42
how long it would take to crack亀裂 these passwordsパスワード
又は 研究資料から得られる情報 を使い
06:45
usingを使用して the bestベスト crackingクラッキング toolsツール
又は 研究資料から得られる情報 を使い
06:47
that the bad悪い guys are usingを使用して,
どの程度の時間で
06:48
or that we could find information情報 about
パスワードを解読できるかを
06:50
in the research研究 literature文献.
測定の基準にすることにしました
06:52
So to give you an ideaアイディア of how bad悪い guys
さて ハッカーがどのようにパスワードを解読するか
06:54
go about crackingクラッキング passwordsパスワード,
少しお教えしましょう
06:56
they will stealスチール a passwordパスワード fileファイル
彼らは 全てのパスワードが暗号化された
06:59
that will have all of the passwordsパスワード
ハッシュと呼ばれる
07:01
in kind種類 of a scrambledスクランブル form, calledと呼ばれる a hashハッシュ,
パスワードファイルを盗み
07:03
and so what they'll彼らは do is they'll彼らは make a guess推測
パスワードを推測し それに対して
07:06
as to what a passwordパスワード is,
ハッシュ関数を実行し
07:08
run走る it throughを通して a hashingハッシュ function関数,
その結果が
07:10
and see whetherかどうか it matchesマッチ
彼らが盗んだ
07:12
the passwordsパスワード they have on
their彼らの stolen盗まれた passwordパスワード listリスト.
パスワード リストのハッシュと
一致するか調べるのです
07:14
So a dumbダム attackerアタッカー will try everyすべて passwordパスワード in order注文.
馬鹿なハッカーは 全てのパスワードを
順番に試していきます
07:18
They'll彼らは start開始 with AAAAAAAAAA and move動く on to AAAABAAAAB,
AAAAA から始まり AAAABを次に試すように
07:21
and this is going to take a really long time
この作業は 実際誰かが使っていそうな
07:24
before they get any passwordsパスワード
パスワードに辿り着くまでに
07:27
that people are really likelyおそらく to actually実際に have.
すごい時間を費やします
07:28
A smartスマート attackerアタッカー, on the other handハンド,
一方 賢いハッカーは
07:31
does something much more clever賢い.
もっと賢い方法をとります
07:33
They look at the passwordsパスワード
彼らは 盗んだパスワードの一覧から
07:34
that are known既知の to be popular人気
よく使われているとされている
07:36
from these stolen盗まれた passwordパスワード setsセット,
パスワードを調べます
07:38
and they guess推測 those first.
最初にそれらを推測するのです
07:40
So they're going to start開始 by guessing推測 "passwordパスワード,"
"password" を推測することから始め
07:41
and then they'll彼らは guess推測 "I love you," and "monkeyモンキー,"
"I love you" や "monkey"や
07:43
and "12345678,"
"12345678" などを推測するわけです
07:46
because these are the passwordsパスワード
なぜなら 皆が使っている
07:48
that are most最も likelyおそらく for people to have.
可能性が高いパスワードがあるからです
07:50
In fact事実, some of you probably多分 have these passwordsパスワード.
実際に あなた方のうち何人かは
これらのパスワードを使っているでしょう
07:52
So what we found見つけた
さて ご説明したテストを
07:57
by runningランニング all of these 5,000 passwordsパスワード we collected集めました
収集した5千のパスワードで実行して
07:58
throughを通して these testsテスト to see how strong強い they were,
セキュリティーの強度をチェックしたところ
08:01
we found見つけた that the long passwordsパスワード
長いパスワードは
08:06
were actually実際に prettyかなり strong強い,
実際 安全性が高いこと
08:08
and the complex複合体 passwordsパスワード were prettyかなり strong強い too.
そして 複雑なパスワードも
安全性が高いことが分かりました
08:10
Howeverしかしながら, when we looked見た at the survey調査 dataデータ,
しかしながら 調査データを見ると
08:13
we saw that people were really frustrated挫折した
人々は複雑なパスワードに
08:15
by the very complex複合体 passwordsパスワード,
苛立ちを感じていることがわかりました
08:18
and the long passwordsパスワード were a lot more usable使用可能な,
そして 長いパスワードの方が より使いやすく
08:21
and in some cases症例, they were actually実際に
場合によっては
08:23
even strongerより強く than the complex複合体 passwordsパスワード.
複雑なパスワードより 安全性が高い事がわかりました
08:25
So this suggests提案する that,
これは パスワードに
08:27
instead代わりに of telling伝える people that they need
記号や数字を入れたり
08:29
to put all these symbolsシンボル and numbers数字
複雑な事をお願いするよりも
08:30
and crazy狂った things into their彼らの passwordsパスワード,
ただ 長いパスワードを作るように
08:32
we mightかもしれない be better off just telling伝える people
お願いした方が良いかもしれないという事を
08:35
to have long passwordsパスワード.
意味しています
08:37
Now here'sここにいる the problem問題, thoughしかし:
ただ ここで問題があります
08:39
Some people had long passwordsパスワード
人によっては そんなに安全性の高くない
08:41
that actually実際に weren'tなかった very strong強い.
長いパスワードを使っていた事です
08:43
You can make long passwordsパスワード
ハッカーが 簡単に推測できる
08:45
that are still the sortソート of thing
長いパスワードを作ることもできてしまうので
08:47
that an attackerアタッカー could easily簡単に guess推測.
長いパスワードを作ることもできてしまうので
08:49
So we need to do more than
just say long passwordsパスワード.
長いというだけではダメなのです
08:50
There has to be some additional追加 requirements要件,
何か 追加の条件が必要なのです
08:54
and some of our ongoing進行中の research研究 is looking at
現在 私達が継続している研究のひとつは
08:56
what additional追加 requirements要件 we should add追加する
どのような追加条件を付け加えると
08:59
to make for strongerより強く passwordsパスワード
簡単に覚えられて タイプできる
09:01
that alsoまた、 are going to be easy簡単 for people
安全性の高いパスワードを
09:03
to remember思い出す and typeタイプ.
作れるかです
09:05
Anotherもう一つ approachアプローチ to getting取得 people to have
安全性の高いパスワードを作る事のできる
09:08
strongerより強く passwordsパスワード is to use a passwordパスワード meterメートル.
他の手段として パスワードメーターがあります
09:10
Here are some examples.
ここにいくつかの例を上げます
09:12
You mayかもしれない have seen見た these on the Internetインターネット
パスワードを作成するとき
09:14
when you were creating作成 passwordsパスワード.
インターネットでこれらを
見たことがあるかもしれません
09:15
We decided決定しました to do a study調査 to find out
私達は これらのパスワードメーターが
09:18
whetherかどうか these passwordパスワード metersメートル actually実際に work.
実際 機能しているか調査することにしました
09:21
Do they actually実際に help people
メーターは安全性の高い
09:23
have strongerより強く passwordsパスワード,
パスワードを作るのを助けているのか
09:25
and if so, whichどの onesもの are better?
そうであれば どのメーターが良いのか?
09:26
So we testedテストされた passwordパスワード metersメートル that were
私達は色々なパスワードメーターをテストしました
09:28
different異なる sizesサイズ, shapes, colors,
異なる大きさ 形 色
09:31
different異なる words言葉 next to them,
メーターの横の言葉が違うもの
09:33
and we even testedテストされた one that was a dancingダンシング bunnyバニー.
ウサギが踊る メーターさえも テストしました
09:34
As you typeタイプ a better passwordパスワード,
良いパスワードであればあるほど
09:38
the bunnyバニー dancesダンス fasterもっと早く and fasterもっと早く.
ウサギのダンスが早くなります
09:39
So this was prettyかなり fun楽しい.
これは結構面白かったかったですよ
09:42
What we found見つけた
調査の結果
09:44
was that passwordパスワード metersメートル do work.
パスワードメータは
機能しているという事が分かりました
09:46
(Laughter笑い)
(笑)
09:49
Most最も of the passwordパスワード metersメートル were actually実際に effective効果的な,
ほとんどのパスワードメーターは 有効です
09:51
and the dancingダンシング bunnyバニー was very effective効果的な too,
ウサギが踊るメータも効果的でした
09:55
but the passwordパスワード metersメートル that were the most最も effective効果的な
しかし 最も効果的なパスワードメーターは
09:57
were the onesもの that made you work harderもっと強く
メーターがOKをだすまで
10:00
before they gave与えた you that thumbs親指 up and said
パスワードを考える努力を強制するというものでした
10:02
you were doing a good jobジョブ,
パスワードを考える努力を強制するというものでした
10:04
and in fact事実 we found見つけた that most最も
今日インターネット上にある
10:06
of the passwordパスワード metersメートル on the Internetインターネット today今日
パスワードメーターのほとんどは優しすぎるのです
10:07
are too soft柔らかい.
パスワードメーターのほとんどは優しすぎるのです
10:10
They tell you you're doing a good jobジョブ too early早い,
メーターは OKを 早く出しすぎているので
10:10
and if they would just wait a little bitビット
OKサインを出す前に
10:13
before giving与える you that positiveポジティブ feedbackフィードバック,
もう少し待つように設定されていたら
10:15
you probably多分 would have better passwordsパスワード.
より良いパスワードになっていたことでしょう
10:17
Now another別の approachアプローチ to better passwordsパスワード, perhapsおそらく,
良いパスワードを作るもうひとつの方法は
10:20
is to use passパス phrasesフレーズ instead代わりに of passwordsパスワード.
パス’ワード’の変わりにパス’フレーズ’を使うことです
10:24
So this was an xkcdxkcd cartoon漫画
from a coupleカップル of years ago,
これは 2年前の xkcd の漫画です
10:27
and the cartoonist漫画家 suggests提案する
この漫画家は
10:30
that we should all use passパス phrasesフレーズ,
パスフレーズを使うことを推薦しています
10:32
and if you look at the second二番 row of this cartoon漫画,
そして2行目を見ていただくと
10:34
you can see the cartoonist漫画家 is suggesting提案する
漫画家はこう言っています
10:37
that the passパス phraseフレーズ "correct正しい horseうま battery電池 stapleステープル"
「correct horse battery staple」 は
(正解 馬 バッテリー ホッチキス)
10:39
would be a very strong強い passパス phraseフレーズ
とても安全性の高いパスフレーズで
10:42
and something really easy簡単 to remember思い出す.
そしてとても覚えやすいものだと
10:45
He says言う, in fact事実, you've already既に remembered思い出した it.
実際 あなたはすでに覚えたでしょう と
彼は言っています
10:47
And so we decided決定しました to do a research研究 study調査
そこで 私達はこれが本当かどうか
10:50
to find out whetherかどうか this was true真実 or not.
研究することにしました
10:52
In fact事実, everybodyみんな who I talk to,
実際 私がパスワードの研究をしていると話した人 皆が
10:54
who I mention言及 I'm doing passwordパスワード research研究,
実際 私がパスワードの研究をしていると話した人 皆が
10:56
they pointポイント out this cartoon漫画.
この漫画の事を指摘しました
10:58
"Oh, have you seen見た it? That xkcdxkcd.
「おー xkcdの漫画 見たことある?
10:59
Correct正しい horseうま battery電池 stapleステープル."
正解 馬 バッテリー ホッチキス」
11:01
So we did the research研究 study調査 to see
そこで 実際どうなのか 調査しました
11:03
what would actually実際に happen起こる.
そこで 実際どうなのか 調査しました
11:04
So in our study調査, we used Mechanical機械的 Turkターク again,
調査には 再びメカニカル タークを使い
11:07
and we had the computerコンピューター pickピック the randomランダム words言葉
コンピュータに パスフレーズのランダムな単語を
11:10
in the passパス phraseフレーズ.
選択させました
11:14
Now the reason理由 we did this
こうした理由は
11:15
is that humans人間 are not very good
人間はランダムに単語を選ぶのが
11:16
at pickingピッキング randomランダム words言葉.
苦手だからです
11:18
If we asked尋ねた a human人間 to do it,
人に これをお願いすると
11:19
they would pickピック things that were not very randomランダム.
そんなにランダムではない単語を選んでしまうのです
11:21
So we tried試した a few少数 different異なる conditions条件.
私達はいくつか違う条件を試しました
11:24
In one condition調子, the computerコンピューター picked選んだ
ひとつは コンピュータに
11:26
from a dictionary辞書 of the very common一般 words言葉
辞書の中から良く使われる英単語を
11:28
in the English英語 language言語,
選択させるようにしました
11:30
and so you'dあなたは get passパス phrasesフレーズ like
この様なフレーズです
11:31
"try there three come."
"try there three come"
11:33
And we looked見た at that, and we said,
私達は これを見て こう言いました
11:35
"Well, that doesn't really seem思われる very memorable思い出深い."
「うむ これはあまり覚えやすそうにないな」 と
11:37
So then we tried試した pickingピッキング words言葉
そこで 私達は スピーチの特定の部分の
11:40
that came来た from specific特定 parts部品 of speechスピーチ,
単語を使うことを試みました
11:42
so how about noun-verb-adjective-noun名詞動詞形容詞名詞.
すなわち 名詞‐動詞‐形容詞‐名詞 というような
11:44
That comes来る up with something
that's sortソート of sentence-like文のような.
何か 文章のようなもので
11:47
So you can get a passパス phraseフレーズ like
以下の様なパスフレーズです
11:49
"plan計画 buildsビルド sure powerパワー"
"plan builds sure power" や
11:51
or "end終わり determines決定する red drugドラッグ."
"end determines red drug" です
11:53
And these seemed見えた a little bitビット more memorable思い出深い,
これらは 覚えやすそうで
11:55
and maybe people would like those a little bitビット better.
人々に もう少し 好まれそうに見えました
11:58
We wanted to compare比較する them with passwordsパスワード,
私達は これらをパスワードと比較したかったので
12:01
and so we had the computerコンピューター
pickピック randomランダム passwordsパスワード,
コンピュータに ランダムな
パスワードを選択させました
12:03
and these were niceいい and shortショート, but as you can see,
これらは とても短いですが
12:07
they don't really look very memorable思い出深い.
ご覧の通り 覚えやすそうには見えません
12:09
And then we decided決定しました to try something calledと呼ばれる
次に 私達は 発音できるパスワード
12:11
a pronounceable発音可能な passwordパスワード.
というものを試すことにしました
12:13
So here the computerコンピューター picksピック randomランダム syllables音節
コンピュータがランダムな音節を選択し
12:14
and puts置く them together一緒に
それを 発音可能になるように組み立てます
12:17
so you have something sortソート of pronounceable発音可能な,
それを 発音可能になるように組み立てます
12:18
like "tufritviツフリツビ" and "vadasabiバダサビ."
"tufritive" や "vadasabi"ように
12:20
That one kind種類 of rollsロールズ off your tongue.
発音しやすいようなものにするのです
12:23
So these were randomランダム passwordsパスワード that were
これらが コンピュータによって作られた
12:25
generated生成された by our computerコンピューター.
ランダムなパスワードです
12:27
So what we found見つけた in this study調査 was that, surprisingly驚くほど,
この研究で発見したことは 驚いたことに
12:30
passパス phrasesフレーズ were not actually実際に all that good.
パスフレーズは
そんなに良いものではないということでした
12:33
People were not really better at remembering覚えている
人々は ランダムなパスワードよりも パスフレーズを
12:37
the passパス phrasesフレーズ than these randomランダム passwordsパスワード,
覚えることに関して
そんなに長けてはいなかったのです
12:40
and because the passパス phrasesフレーズ are longerより長いです,
なぜなら パスフレーズは長く
12:43
they took取った longerより長いです to typeタイプ
入力に時間が掛かるので
12:45
and people made more errorsエラー while typingタイピング them in.
タイプする時に間違ってしまうからです
12:47
So it's not really a clearクリア win勝つ for passパス phrasesフレーズ.
ですので パスフレーズの
圧勝というわけにはいきませんでした
12:50
Sorry, all of you xkcdxkcd fansファン.
xkcd ファンの皆さん ごめんなさい
12:53
On the other handハンド, we did find
一方 私達は 発音可能なパスワードが
12:56
that pronounceable発音可能な passwordsパスワード
驚くほど 上手く機能していることが 分かったので
12:58
worked働いた surprisingly驚くほど well,
意外に 上手く機能していることが 分かったので
13:00
and so we actually実際に are doing some more research研究
この方法を さらに機能的にすることが出来るか
13:01
to see if we can make that
approachアプローチ work even better.
もう少し研究をすることにしました
13:04
So one of the problems問題
私達が行なった
いくつかの研究の中での 問題のひとつは
13:07
with some of the studies研究 that we've私たちは done完了
私達が行なった
いくつかの研究の中での 問題のひとつは
13:09
is that because they're all done完了
これら研究全てで メカニカル タークが使われていて
13:10
usingを使用して Mechanical機械的 Turkターク,
これら研究全てで メカニカル タークが使われていて
13:12
these are not people's人々の realリアル passwordsパスワード.
実際のパスワードではないことです
13:14
They're the passwordsパスワード that they created作成した
メカニカルタークで作ったものか
13:15
or the computerコンピューター created作成した for them for our study調査.
コンピュータが研究用に作った物なのです
13:18
And we wanted to know whetherかどうか people
私達は 一般の方々が実際
13:20
would actually実際に behave行動する the same同じ way
本当のパスワードで
13:22
with their彼らの realリアル passwordsパスワード.
同じような行動を取るか知りたいと思いました
13:24
So we talked話した to the information情報
securityセキュリティ office事務所 at Carnegieカーネギー Mellonメロン
そこで 私達は カーネギーメロンの
情報セキュリティー オフィスに
13:26
and asked尋ねた them if we could
have everybody'sみんな realリアル passwordsパスワード.
学校 皆のパスワードを調査できないか尋ねました
13:30
Not surprisingly驚くほど, they were a little bitビット reluctant嫌な
予想通り 彼らは私達に見せることを
13:34
to shareシェア them with us,
少し躊躇していましたが
13:35
but we were actually実際に ableできる to work out
何とか 彼らと共に あるシステムを
13:37
a systemシステム with them
成立させました
13:39
where they put all of the realリアル passwordsパスワード
大学の生徒 教員 職員
13:40
for 25,000 CMUCMU students学生の, faculty学部 and staffスタッフ,
2万5千個のパスワードを 鍵をかけた部屋にある
13:42
into a lockedロックされた computerコンピューター in a lockedロックされた roomルーム,
ロックされたコンピュータに入れ
13:45
not connected接続された to the Internetインターネット,
インターネットから遮断した上で
13:47
and they ran走った codeコード on it that we wrote書きました
パスワードを解析する為に私達が書いた
13:49
to analyze分析する these passwordsパスワード.
コードを彼らに実行してもらいました
13:51
They audited監査された our codeコード.
彼らは 私達のコードを検閲し
13:53
They ran走った the codeコード.
コードを実行しました
13:54
And so we never actually実際に saw
ですので 私達は実際に
13:55
anybody's誰でも passwordパスワード.
誰のパスワードも見ていません
13:57
We got some interesting面白い results結果,
研究から 面白い結果を得ました
14:00
and those of you Tepperテッパー students学生の in the back
後ろにいる テッパーの学生には
14:02
will be very interested興味がある in this.
とても興味深いものだと思います
14:03
So we found見つけた that the passwordsパスワード created作成した
コンピュータサイエンス学部に属している
14:06
by people affiliated提携 with the
school学校 of computerコンピューター science科学
学生が作ったパスワードは
14:10
were actually実際に 1.8 times strongerより強く
経営学部の学生のものより
14:12
than those affiliated提携 with the businessビジネス school学校.
1.8倍安全性が高いことが分かりました
14:14
We have lots of other really interesting面白い
私達は また とても興味深い
14:18
demographic人口統計学 information情報 as well.
人口学的情報も たくさん得ることができました
14:20
The other interesting面白い thing that we found見つけた
他に 発見した興味深いことは
14:22
is that when we compared比較した
the Carnegieカーネギー Mellonメロン passwordsパスワード
メカニカルタークで作成されたパスワードと
14:24
to the Mechanical機械的 Turk-generatedトルコ産 passwordsパスワード,
カーネギーメロンのパスワードを比較したとき
14:27
there was actually実際に a lot of similarities類似点,
それらはとても似ていたことです
14:29
and so this helped助けた validate検証 our research研究 method方法
これは 研究方法を実証する助けとなり
14:31
and showショー that actually実際に, collecting収集する passwordsパスワード
メカニカルタークを使ってパスワードを集める事は
14:33
usingを使用して these Mechanical機械的 Turkターク studies研究
研究に正当な方法である
14:36
is actually実際に a valid有効な way to study調査 passwordsパスワード.
ことを示していました
14:38
So that was good newsニュース.
これは 良いニュースでした
14:41
Okay, I want to close閉じる by talking話す about
さて 去年 私が大学の芸術学部で
14:43
some insights洞察 I gained得られた while on sabbatical安息日
研究休暇を取った時の事を
14:45
last year in the Carnegieカーネギー Mellonメロン artアート school学校.
お話して終わりにしたいと思います
14:47
One of the things that I did
私がやった事のひとつは
14:51
is I made a number of quiltsキルト,
たくさんのキルトを作った事です
14:52
and I made this quiltキルト here.
ここにあるキルトも作りました
14:53
It's calledと呼ばれる "Securityセキュリティ Blanket毛布."
「セキュリティー ブランケット」といいます
14:55
(Laughter笑い)
(笑)
14:57
And this quiltキルト has the 1,000
このキルトにはRockYou サイトから
14:59
most最も frequent頻繁な passwordsパスワード stolen盗まれた
盗まれたパスワードのうち最も頻度の高い
15:02
from the RockYouロックユー websiteウェブサイト.
千個のパスワードが縫いこまれています
15:05
And the sizeサイズ of the passwordsパスワード is proportional比例する
そして パスワードの大きさは
15:07
to how frequently頻繁に they appeared出現した
盗まれたデータセットの中に
15:09
in the stolen盗まれた datasetデータセット.
現れる頻度に比例しています
15:11
And what I did is I created作成した this wordワード cloud,
私は これらの単語のワードクラウドを作り
15:13
and I went行った throughを通して all 1,000 words言葉,
千個全ての単語を見直し
15:16
and I categorized分類された them into
大体のテーマ別のカテゴリーに 分類しました
15:18
loose緩む thematic主題 categoriesカテゴリ.
大体のテーマ別のカテゴリーに 分類しました
15:20
And it was, in some cases症例,
時として
15:22
it was kind種類 of difficult難しい to figure数字 out
どのカテゴリーに属すか 判断するのが
15:24
what categoryカテゴリー they should be in,
難しい物もありました
15:26
and then I color-coded色分けされた them.
そして 私は それらを色分けしました
15:28
So here are some examples of the difficulty困難.
これらが 難しかった例のいくつかです
15:30
So "justinジャスティン."
例えば "justin"
15:33
Is that the name of the userユーザー,
これは ユーザーの名前でしょうか
15:34
their彼らの boyfriendボーイフレンド, their彼らの son息子?
彼氏 又は息子の名前でしょうか?
15:36
Maybe they're a Justinジャスティン Bieberビーバー fanファン.
ジャスティン ビーバーのファンかもしれません
15:37
Or "princess王女."
あるいは "princess"
15:40
Is that a nicknameニックネーム?
ニックネームでしょうか?
15:42
Are they Disneyディズニー princess王女 fansファン?
ディズニー プリンセスのファンでしょうか?
15:44
Or maybe that's the name of their彼らの catネコ.
ひょっとしたら 猫の名前かもしれません
15:45
"Iloveyouわたしは、あなたを愛しています" appears登場する manyたくさんの times
「Iloveyou」 は 色々な言語で
15:49
in manyたくさんの different異なる languages言語.
よく見受けられました
15:51
There's a lot of love in these passwordsパスワード.
パスワードには愛が込められているのです
15:52
If you look carefully慎重に, you'llあなたは see there's alsoまた、
注意深く見ていると みだらな言葉が
15:56
some profanity冒涜,
使われているのも見受けられます
15:58
but it was really interesting面白い to me to see
でも 憎しみよりも はるかに多くの
16:00
that there's a lot more love than hate嫌い
愛の言葉が パスワードに使われていることは
16:02
in these passwordsパスワード.
とても興味深いことです
16:04
And there are animals動物,
そして 動物
16:06
a lot of animals動物,
多くの動物の名前が使われています
16:08
and "monkeyモンキー" is the most最も common一般 animal動物
「monkey」 (サル)は最もよく使われる動物で
16:09
and the 14thth most最も popular人気 passwordパスワード overall全体.
全体の人気パスワードの中でも14位に入ります
16:12
And this was really curious好奇心 to me,
私はこれをとても興味深く思い
16:15
and I wondered疑問に思った, "Why are monkeysサル so popular人気?"
「なぜ サルがこんなにも人気なのか?」
と疑問に思いました
16:17
And so in our last passwordパスワード study調査,
ですので 最後の研究に
16:20
any time we detected検出された somebody誰か
"monkey" と
16:23
creating作成 a passwordパスワード with the wordワード "monkeyモンキー" in it,
パスワードに入れた人を探し
16:25
we asked尋ねた them why they had
a monkeyモンキー in their彼らの passwordパスワード.
なぜ サルをパスワードに入れたのか
尋ねることにしました
16:28
And what we found見つけた out --
そして分かったことは
16:31
we found見つけた 17 people so far遠い, I think,
-今のところ 「サル」の単語を使ったと思われる
16:33
who have the wordワード "monkeyモンキー" --
人を17人を見つけました-
16:35
We found見つけた out about a third三番 of them said
約1/3の人はペットに“サル"と名付けた
16:36
they have a petペット named名前 "monkeyモンキー"
約1/3の人はペットに“サル"と名付けた
16:38
or a friend友人 whoseその nicknameニックネーム is "monkeyモンキー,"
又は “サル" というあだ名の友達がいる
ということでした
16:39
and about a third三番 of them said
そして 他の約1/3は
16:42
that they just like monkeysサル
サルが好きで 可愛いいと
16:43
and monkeysサル are really cute可愛い.
思っている言っていました
16:45
And that guy is really cute可愛い.
彼は 本当に可愛いですね
16:47
So it seems思われる that at the end終わり of the day,
結局のところ
16:50
when we make passwordsパスワード,
私達はパスワードを作るとき
16:54
we eitherどちらか make something that's really easy簡単
入力するのがとても簡単なもの
16:55
to typeタイプ, a common一般 patternパターン,
ありがちなパターン
16:57
or things that remind思い出させる us of the wordワード passwordパスワード
"password"という単語や
17:00
or the accountアカウント that we've私たちは created作成した the passwordパスワード for,
あるいはアカウント名を連想するもの
17:03
or whateverなんでも.
など脆弱なものを選んでしまうのです
17:06
Or we think about things that make us happyハッピー,
もしくは 私達を幸せにしてくれるものを思い浮かべ
17:09
and we create作成する our passwordパスワード
それをもとに
17:11
basedベース on things that make us happyハッピー.
パスワードを作ります
17:13
And while this makes作る typingタイピング
こういったパスワードは
17:15
and remembering覚えている your passwordパスワード more fun楽しい,
覚えやすくて入力するのも楽しいのですが
17:18
it alsoまた、 makes作る it a lot easierより簡単に
同時に簡単に破られてしまいます
17:21
to guess推測 your passwordパスワード.
同時に簡単に破られてしまいます
17:23
So I know a lot of these TEDTED Talks会談
ですので TED Talksの多くは
17:24
are inspirationalインスピレーション
とても感動的で 私達に 素敵で
17:26
and they make you think about niceいい, happyハッピー things,
幸せな事を考えさせてくれますが
17:27
but when you're creating作成 your passwordパスワード,
パスワードを作るときは
17:30
try to think about something elseelse.
他の事を考えて作るようにしてください
17:32
Thank you.
ありがとうございました
17:34
(Applause拍手)
(拍手)
17:35
Translated by Kayo Kallas
Reviewed by Shuichi Sakai

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com