ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Wat is er mis met ons w@chtw00rd?

Filmed:
1,520,582 views

Lorrie Faith Cranor heeft duizenden echte wachtwoorden bestudeerd en heeft verrassende, veelgemaakte fouten gevonden die gebruikers -- en beveiligde websites -- maken en de veiligheid in gevaar brengen. Je zult je afvragen hoe ze duizenden echte wachtwoorden heeft kunnen bestuderen zonder inbreuk op de veiligheid van de gebruikers. Dat is een verhaal op zich. Dat geheim moet je kennen, zeker als je wachtwoord 123456 is...
- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

00:12
I am a computercomputer sciencewetenschap and engineeringbouwkunde
professorprofessor here at CarnegieCarnegie MellonMellon,
0
535
3445
Ik ben professor in computerwetenschappen
hier op Carnegie Mellon.
00:15
and my researchOnderzoek focusesricht zich on
usablebruikbaar privacyprivacy and securityveiligheid,
1
3980
4248
Mijn onderzoek richt zich op
bruikbare privacy en beveiliging.
00:20
and so my friendsvrienden like to give me examplesvoorbeelden
2
8228
2768
Mijn vrienden geven me graag voorbeelden
00:22
of theirhun frustrationsfrustraties with computinggegevensverwerking systemssystemen,
3
10996
2202
van hun frustraties met computersystemen.
00:25
especiallyvooral frustrationsfrustraties relatedverwant to
4
13198
3354
Vooral frustraties die te maken hebben
00:28
unusableonbruikbaar privacyprivacy and securityveiligheid.
5
16552
4112
met onbruikbare privacy en beveiliging.
00:32
So passwordswachtwoorden are something that I hearhoren a lot about.
6
20664
2711
Ik hoor dus veel over wachtwoorden.
00:35
A lot of people are frustratedgefrustreerd with passwordswachtwoorden,
7
23375
2880
Veel mensen zijn gefrustreerd
door wachtwoorden.
00:38
and it's badslecht enoughgenoeg
8
26255
1694
Het is al erg genoeg
00:39
when you have to have one really good passwordwachtwoord
9
27949
2644
als je één goed wachtwoord moet hebben
00:42
that you can rememberonthouden
10
30593
1822
dat je kunt onthouden,
00:44
but nobodyniemand elseanders is going to be ablein staat to guessraden.
11
32415
2894
maar dat niemand kan raden.
00:47
But what do you do when you have accountsrekeningen
12
35309
1637
Maar wat moet je doen
als je accounts hebt
00:48
on a hundredhonderd differentverschillend systemssystemen
13
36946
1808
voor honderden systemen
00:50
and you're supposedvermeend to have a uniqueuniek passwordwachtwoord
14
38754
2276
en je moet een uniek wachtwoord hebben
00:53
for eachelk of these systemssystemen?
15
41030
3037
voor al die systemen?
00:56
It's toughtaai.
16
44067
2184
Dat is lastig.
00:58
At CarnegieCarnegie MellonMellon, they used to make it
17
46251
1759
Op Carnegie Mellon maakten ze het
01:00
actuallywerkelijk prettymooi easygemakkelijk for us
18
48010
1299
redelijk makkelijk voor ons
01:01
to rememberonthouden our passwordswachtwoorden.
19
49309
1737
om onze wachtwoorden te onthouden.
01:03
The passwordwachtwoord requirementeis up throughdoor 2009
20
51046
2403
De wachtwoordvereisten waren tot 2009
01:05
was just that you had to have a passwordwachtwoord
21
53449
2379
dat je gewoon een wachtwoord moest hebben
01:07
with at leastminst one characterkarakter.
22
55828
2211
met minimaal 1 teken.
01:10
PrettyVrij easygemakkelijk. But then they changedveranderd things,
23
58039
2888
Nogal simpel.
Maar toen veranderden ze dat.
01:12
and at the endeinde of 2009, they announcedaangekondigd
24
60927
2670
Tegen het einde van 2009 verkondigden ze
01:15
that we were going to have a newnieuwe policyhet beleid,
25
63597
2376
dat we een nieuw beleid kregen.
01:17
and this newnieuwe policyhet beleid requirednodig
26
65973
1863
Dit beleid eiste
01:19
passwordswachtwoorden that were at leastminst eightacht characterstekens long,
27
67836
2681
dat wachtwoorden minimaal
8 tekens moesten hebben,
01:22
with an uppercasehoofdletters letterbrief, lowercasekleine letters letterbrief,
28
70517
1775
met een hoofdletter, kleine letter,
01:24
a digitcijfers, a symbolsymbool,
29
72292
1288
een cijfer, een teken,
01:25
you couldn'tkon het niet use the samedezelfde
characterkarakter more than threedrie timestijden,
30
73580
2638
je mocht niet 3 dezelfde tekens hebben
01:28
and it wasn'twas niet allowedtoegestaan to be in a dictionarywoordenboek.
31
76218
2434
en het mocht niet
in het woordenboek staan.
01:30
Now, when they implementedgeïmplementeerd this newnieuwe policyhet beleid,
32
78652
2182
Toen ze dat nieuwe beleid toepasten,
01:32
a lot of people, my colleaguescollega's and friendsvrienden,
33
80834
2310
zeiden veel mensen, collega's
en vrienden me:
01:35
camekwam up to me and they said, "WowWow,
34
83144
1854
"Poeh, dit is echt niet te doen.
01:36
now that's really unusableonbruikbaar.
35
84998
1512
01:38
Why are they doing this to us,
36
86510
1193
Waarom doen ze ons dat aan
01:39
and why didn't you stop them?"
37
87703
1711
en waarom houd je ze niet tegen?"
01:41
And I said, "Well, you know what?
38
89414
1356
Ik zei: "Weet je?
01:42
They didn't askvragen me."
39
90770
1508
Ze hebben mij niets gevraagd."
01:44
But I got curiousnieuwsgierig, and I decidedbeslist to go talk
40
92278
3465
Maar ik werd nieuwsgierig en ging praten
01:47
to the people in chargein rekening brengen of our computercomputer systemssystemen
41
95743
1937
met onze systeembeheerders
01:49
and find out what led them to introducevoorstellen
42
97680
2831
en ontdekte waarom ze
01:52
this newnieuwe policyhet beleid,
43
100511
1848
dit beleid hadden bedacht.
01:54
and they said that the universityUniversiteit
44
102359
1584
Ze zeiden dat de universiteit
01:55
had joinedtoegetreden a consortiumconsortium of universitiesuniversiteiten,
45
103943
2366
was gaan samenwerken
met andere universiteiten
01:58
and one of the requirementsvereisten of membershiplidmaatschap
46
106309
2634
en dat een van de voorwaarden was
02:00
was that we had to have strongersterker passwordswachtwoorden
47
108943
2248
dat we veiligere wachtwoorden kregen
02:03
that compliedin acht genomen with some newnieuwe requirementsvereisten,
48
111191
2272
die voldeden aan nieuwe voorwaarden.
02:05
and these requirementsvereisten were that our passwordswachtwoorden
49
113463
2104
Die vereisten
dat onze wachtwoorden
02:07
had to have a lot of entropyentropie.
50
115567
1604
niet voorspelbaar mochten zijn.
02:09
Now entropyentropie is a complicatedingewikkeld termtermijn,
51
117171
2278
Onvoorspelbaarheid
is een ingewikkelde term.
02:11
but basicallyeigenlijk it measuresmaatregelen the strengthkracht of passwordswachtwoorden.
52
119449
2798
Ze geeft de sterkte
van het wachtwoord weer,
02:14
But the thing is, there isn't actuallywerkelijk
53
122247
1979
maar er is eigenlijk geen
standaardmaat voor onvoorspelbaarheid.
02:16
a standardstandaard- measuremaatregel of entropyentropie.
54
124226
1949
02:18
Now, the NationalNationale InstituteInstituut
of StandardsNormen and TechnologyTechnologie
55
126175
2399
Het National Institute
of Standards and Technology
02:20
has a setreeks of guidelinesrichtlijnen
56
128574
1553
heeft een paar richtlijnen
02:22
whichwelke have some rulesreglement of thumbduim
57
130127
2568
met wat vuistregels
om onvoorspelbaarheid te meten,
02:24
for measuringmeten entropyentropie,
58
132695
1440
02:26
but they don't have anything too specificspecifiek,
59
134135
2895
maar ze hebben niets specifieks.
02:29
and the reasonreden they only have rulesreglement of thumbduim
60
137030
2337
De reden dat ze alleen
vuistregels hebben
02:31
is it turnsbochten out they don't actuallywerkelijk have any good datagegevens
61
139367
3136
is dat ze geen goede informatie hebben
02:34
on passwordswachtwoorden.
62
142503
1520
over wachtwoorden.
02:36
In factfeit, theirhun reportrapport statesstaten,
63
144023
2312
Hun rapport zegt zelfs:
02:38
"UnfortunatelyHelaas, we do not have much datagegevens
64
146335
2328
"Helaas hebben we niet veel gegevens
02:40
on the passwordswachtwoorden usersgebruikers
chooseKiezen underonder particularbijzonder rulesreglement.
65
148663
2842
over welke wachtwoorden men kiest
bij bepaalde regels.
02:43
NISTNIST would like to obtainverkrijgen more datagegevens
66
151505
2333
NIST wil meer informatie hebben
02:45
on the passwordswachtwoorden usersgebruikers actuallywerkelijk chooseKiezen,
67
153838
2462
over de wachtwoorden die men kiest,
02:48
but systemsysteem administratorsadministrators
are understandablybegrijpelijkerwijs reluctantonwillig
68
156300
2463
maar systeembeheerders zijn
natuurlijk terughoudend
02:50
to revealonthullen passwordwachtwoord datagegevens to othersanderen."
69
158763
2940
om wachtwoordgegevens openbaar te maken."
02:53
So this is a problemprobleem, but our researchOnderzoek groupgroep
70
161703
3097
Dat is dus een probleem,
maar ons onderzoeksteam
02:56
lookedkeek at it as an opportunitykans.
71
164800
2140
vond dat een uitdaging.
02:58
We said, "Well, there's a need
for good passwordwachtwoord datagegevens.
72
166940
3100
We zeiden: "Er is behoefte aan
goede wachtwoordgegevens.
03:02
Maybe we can collectverzamelen some good passwordwachtwoord datagegevens
73
170040
2148
We zouden ze kunnen verzamelen
03:04
and actuallywerkelijk advancevan te voren the statestaat of the artkunst here.
74
172188
2704
en de kennis daarover verspreiden."
03:06
So the first thing we did is,
75
174892
1672
Eerst regelden we
een grote zak snoeprepen,
03:08
we got a bagzak of candysnoep barsbars
76
176564
1556
03:10
and we walkedwandelde around campuscampus
77
178120
1086
en gingen over de campus wandelen
03:11
and talkedgesproken to studentsstudenten, facultyfaculteit and staffpersoneel,
78
179206
2798
om studenten, professoren
en medewerkers
03:14
and askedgevraagd them for informationinformatie
79
182004
1530
naar informatie te vragen
03:15
about theirhun passwordswachtwoorden.
80
183534
1552
over hun wachtwoorden.
03:17
Now we didn't say, "Give us your passwordwachtwoord."
81
185086
3004
We zeiden niet: "Geef me je wachtwoord."
03:20
No, we just askedgevraagd them about theirhun passwordwachtwoord.
82
188090
2661
We stelden vragen óver hun wachtwoord.
03:22
How long is it? Does it have a digitcijfers?
83
190751
1478
Hoe lang is het? Zit er een cijfer in?
En een vreemd teken?
03:24
Does it have a symbolsymbool?
84
192229
1068
03:25
And were you annoyedgeërgerd at havingmet to createcreëren
85
193297
2045
Was het vervelend
dat je er vorige week
een nieuw moest aanmaken?
03:27
a newnieuwe one last weekweek?
86
195342
2744
03:30
So we got resultsuitslagen from 470 studentsstudenten,
87
198086
3206
Zo kregen we gegevens over 470 studenten,
professoren en medewerkers,
03:33
facultyfaculteit and staffpersoneel,
88
201292
971
03:34
and indeedinderdaad we confirmedbevestigd that the newnieuwe policyhet beleid
89
202263
2514
en zagen dat het nieuwe beleid
inderdaad erg lastig was.
03:36
was very annoyingvervelend,
90
204777
1453
03:38
but we alsoook foundgevonden that people said
91
206230
1792
We vonden ook mensen
03:40
they feltvoelde more securebeveiligen with these newnieuwe passwordswachtwoorden.
92
208022
3130
die het veiliger vonden
met deze wachtwoorden.
03:43
We foundgevonden that mostmeest people knewwist
93
211152
2306
Het bleek dat de meesten wisten
03:45
they were not supposedvermeend to
writeschrijven theirhun passwordwachtwoord down,
94
213458
2152
dat ze hun wachtwoord
niet mochten noteren,
03:47
and only 13 percentprocent of them did,
95
215610
2391
en slechts 13% deed dat.
03:50
but disturbinglystorend, 80 percentprocent of people
96
218001
2416
80% zei echter
03:52
said they were reusinghergebruiken theirhun passwordwachtwoord.
97
220417
2124
dat ze hun wachtwoord
hergebruikten.
03:54
Now, this is actuallywerkelijk more dangerousgevaarlijk
98
222541
1796
Dat is nog gevaarlijker
03:56
than writingschrift your passwordwachtwoord down,
99
224337
2022
dan je wachtwoord opschrijven
03:58
because it makesmerken you much
more susceptiblevatbaar to attackersaanvallers.
100
226359
3561
omdat het gevoeliger is voor aanvallen.
04:01
So if you have to, writeschrijven your passwordswachtwoorden down,
101
229920
3118
Als het echt moet, schrijf het dan op
04:05
but don't reusehergebruik them.
102
233038
1799
maar hergebruik het niet.
04:06
We alsoook foundgevonden some interestinginteressant things
103
234837
1751
We vonden nog meer interessants
04:08
about the symbolssymbolen people use in passwordswachtwoorden.
104
236588
2961
over de tekens die mensen gebruiken.
04:11
So CMUCMU allowstoestaat 32 possiblemogelijk symbolssymbolen,
105
239549
2799
CMU staat 32 tekens toe,
maar je ziet dat de meesten
er maar een paar gebruiken.
04:14
but as you can see, there's only a smallklein numberaantal
106
242348
2433
04:16
that mostmeest people are usinggebruik makend van,
107
244781
1802
04:18
so we're not actuallywerkelijk gettingkrijgen very much strengthkracht
108
246583
2941
Dat maakt wachtwoorden
niet veel sterker.
04:21
from the symbolssymbolen in our passwordswachtwoorden.
109
249524
2466
04:23
So this was a really interestinginteressant studystudie,
110
251990
2711
Dat was een interessant onderzoek.
04:26
and now we had datagegevens from 470 people,
111
254701
2464
We hadden nu gegevens over 470 mensen,
04:29
but in the schemeschema of things,
112
257165
1305
maar in verhouding was het niet veel.
04:30
that's really not very much passwordwachtwoord datagegevens,
113
258470
2580
04:33
and so we lookedkeek around to see
114
261050
1445
We gingen kijken
04:34
where could we find additionalextra passwordwachtwoord datagegevens?
115
262495
2560
of we nog meer wachtwoordgegevens
konden vinden.
04:37
So it turnsbochten out there are a lot of people
116
265055
2176
Het blijkt dat er veel mensen zijn
04:39
going around stealingstelen passwordswachtwoorden,
117
267231
2202
die wachtwoorden stelen
04:41
and they oftenvaak go and postpost these passwordswachtwoorden
118
269433
2477
en ze dan op het internet zetten.
04:43
on the InternetInternet.
119
271910
1337
04:45
So we were ablein staat to get accesstoegang
120
273247
1673
Zo kregen we toegang
04:46
to some of these stolengestolen passwordwachtwoord setssets.
121
274920
3970
tot een paar gestolen verzamelingen
met wachtwoorden.
04:50
This is still not really idealideaal for researchOnderzoek, thoughhoewel,
122
278890
2328
Dat is niet zo ideaal voor onderzoek
04:53
because it's not entirelygeheel clearduidelijk
123
281218
2037
omdat niet helemaal duidelijk was
04:55
where all of these passwordswachtwoorden camekwam from,
124
283255
2184
waar ze vandaan kwamen,
04:57
or exactlyprecies what policiesbeleid were in effecteffect
125
285439
2242
of welk beleid gold
04:59
when people createdaangemaakt these passwordswachtwoorden.
126
287681
2108
toen men die wachtwoorden moest bedenken.
05:01
So we wanted to find some better sourcebron of datagegevens.
127
289789
3552
We wilden betere gegevensbronnen.
05:05
So we decidedbeslist that one thing we could do
128
293341
1634
We wilden een onderzoek gaan doen
05:06
is we could do a studystudie and have people
129
294975
2129
waarbij mensen
wachtwoorden moesten bedenken
05:09
actuallywerkelijk createcreëren passwordswachtwoorden for our studystudie.
130
297104
3240
voor ons onderzoek.
05:12
So we used a serviceservice calledriep
AmazonAmazon MechanicalMechanische TurkTurk,
131
300344
2821
We gebruikten een dienst
die Amazon Mechanical Turk heet.
05:15
and this is a serviceservice where you can postpost
132
303165
2334
Daarmee kan je een kleine taak
online zetten
05:17
a smallklein jobbaan onlineonline that takes a minuteminuut,
133
305499
2304
die een paar minuten of een uur duurt,
05:19
a fewweinig minutesnotulen, an houruur,
134
307803
1500
05:21
and paybetalen people, a pennycent, tentien centscents, a fewweinig dollarsdollars,
135
309303
2584
en je betaalt een cent,
tien cent, een paar dollar
05:23
to do a tasktaak for you,
136
311887
1346
om die taak te laten doen.
05:25
and then you paybetalen them throughdoor AmazonAmazon.comcom.
137
313233
2122
Je betaalt dan via Amazon.com.
05:27
So we paidbetaald people about 50 centscents
138
315355
2294
We betaalden mensen ongeveer 50 cent
05:29
to createcreëren a passwordwachtwoord followingvolgend our rulesreglement
139
317649
2596
om een wachtwoord te bedenken
volgens onze regels
05:32
and answeringantwoordapparaat a surveyenquête,
140
320245
1410
en een enquête te doen.
05:33
and then we paidbetaald them again to come back
141
321655
2525
We betaalden nogmaals
als ze twee dagen later terugkwamen,
05:36
two daysdagen laterlater and loglogboek in
142
324180
2071
inlogden met hun wachtwoord
05:38
usinggebruik makend van theirhun passwordwachtwoord and answeringantwoordapparaat anothereen ander surveyenquête.
143
326251
2574
en nog een enquête invulden.
05:40
So we did this, and we collectedverzamelde 5,000 passwordswachtwoorden,
144
328825
4464
Zo verzamelden we 5.000 wachtwoorden,
05:45
and we gavegaf people a bunchbos of differentverschillend policiesbeleid
145
333289
2695
met diverse wachtwoordvoorschriften.
05:47
to createcreëren passwordswachtwoorden with.
146
335984
1508
05:49
So some people had a prettymooi easygemakkelijk policyhet beleid,
147
337492
1910
Sommigen kregen een makkelijk beleid,
05:51
we call it BasicBasic8,
148
339402
1539
dat we Basic8 noemden.
05:52
and here the only ruleregel was that your passwordwachtwoord
149
340941
2146
De enige regel was dat je wachtwoord
05:55
had to have at leastminst eightacht characterstekens.
150
343087
3416
minstens 8 tekens moest hebben.
05:58
Then some people had a much harderharder policyhet beleid,
151
346503
2251
Sommigen hadden een strenger beleid
06:00
and this was very similarsoortgelijk to the CMUCMU policyhet beleid,
152
348754
2537
dat erg lijkt op het beleid bij de CMU:
06:03
that it had to have eightacht characterstekens
153
351291
1934
het moest 8 tekens hebben
06:05
includinginclusief uppercasehoofdletters, lowercasekleine letters, digitcijfers, symbolsymbool,
154
353225
2376
met kleine en grote letters,
cijfers en tekens
06:07
and passslagen voor a dictionarywoordenboek checkcontroleren.
155
355601
2389
en voor de woordenboektest slagen.
06:09
And one of the other policiesbeleid we triedbeproefd,
156
357990
1335
We probeerden onder andere
06:11
and there were a wholegeheel bunchbos more,
157
359325
1270
het beleid Basic16.
06:12
but one of the onesdegenen we triedbeproefd was calledriep BasicBasic16,
158
360595
2240
06:14
and the only requirementeis here
159
362835
2632
Het enige voorschrift was
06:17
was that your passwordwachtwoord had
to have at leastminst 16 characterstekens.
160
365467
3153
dat het minstens 16 tekens moest hebben.
06:20
All right, so now we had 5,000 passwordswachtwoorden,
161
368620
2458
Zo kregen we 5.000 wachtwoorden,
06:23
and so we had much more detailedgedetailleerde informationinformatie.
162
371078
3563
met veel nauwkeurigere gegevens.
06:26
Again we see that there's only a smallklein numberaantal
163
374641
2559
We zien weer dat er maar een paar
vreemde tekens werden gebruikt.
06:29
of symbolssymbolen that people are actuallywerkelijk usinggebruik makend van
164
377200
1915
06:31
in theirhun passwordswachtwoorden.
165
379115
1886
06:33
We alsoook wanted to get an ideaidee of how strongsterk
166
381001
2599
We wilden ook eens kijken
hoe sterk de wachtwoorden waren
die men bedacht.
06:35
the passwordswachtwoorden were that people were creatinghet creëren van,
167
383600
2771
06:38
but as you maymei recallterugroepen, there isn't a good measuremaatregel
168
386371
2620
Maar je weet nog
dat je dat niet kan meten.
06:40
of passwordwachtwoord strengthkracht.
169
388991
1754
06:42
So what we decidedbeslist to do was to see
170
390745
2312
We besloten te kijken
06:45
how long it would take to crackbarst these passwordswachtwoorden
171
393057
2370
hoe snel je de wachtwoorden kon kraken
06:47
usinggebruik makend van the bestbeste crackingkraken toolsgereedschap
172
395427
1414
met de beste kraak-trucs
die de boeven gebruiken,
06:48
that the badslecht guys are usinggebruik makend van,
173
396841
1808
06:50
or that we could find informationinformatie about
174
398649
2016
of waar we iets over konden vinden
06:52
in the researchOnderzoek literatureliteratuur.
175
400665
1537
in de onderzoeksliteratuur.
06:54
So to give you an ideaidee of how badslecht guys
176
402202
2758
Om je een idee te geven wat boeven doen
06:56
go about crackingkraken passwordswachtwoorden,
177
404960
2170
om wachtwoorden te kraken:
06:59
they will stealstelen a passwordwachtwoord filehet dossier
178
407130
1951
ze stelen een wachtwoordbestand
07:01
that will have all of the passwordswachtwoorden
179
409081
2153
waar alle wachtwoorden in zitten
07:03
in kindsoort of a scrambledvervormd formformulier, calledriep a hashhash,
180
411234
2889
in een verhaspelde vorm, een 'hash',
07:06
and so what they'llzullen ze do is they'llzullen ze make a guessraden
181
414123
2562
en ze gokken wat een wachtwoord is,
07:08
as to what a passwordwachtwoord is,
182
416685
1712
07:10
runrennen it throughdoor a hashinghashing functionfunctie,
183
418397
1897
gooien het door een verhaspelfunctie
07:12
and see whetherof it matcheswedstrijden
184
420294
1765
en kijken of het klopt met de wachtwoorden
07:14
the passwordswachtwoorden they have on
theirhun stolengestolen passwordwachtwoord listlijst.
185
422059
3950
die ze op hun gestolen lijst hebben.
07:18
So a dumbstom attackeraanvaller will try everyelk passwordwachtwoord in orderbestellen.
186
426009
3105
Een domme kraker
probeert alle wachtwoorden.
07:21
They'llZij zullen startbegin with AAAAAAAAAA and moveverhuizing on to AAAABAAAAB,
187
429114
3568
Ze beginnen met AAAAA en dan AAAAB.
07:24
and this is going to take a really long time
188
432682
2418
Het duurt dus wel even om
de meest gebruikte paswoorden te vinden.
07:27
before they get any passwordswachtwoorden
189
435100
1526
07:28
that people are really likelywaarschijnlijk to actuallywerkelijk have.
190
436626
2697
07:31
A smartslim attackeraanvaller, on the other handhand-,
191
439323
2183
Slimme krakers echter
07:33
does something much more cleverknap.
192
441506
1386
doen het veel slimmer.
07:34
They look at the passwordswachtwoorden
193
442892
1826
Die kijken naar wachtwoorden
07:36
that are knownbekend to be popularpopulair
194
444718
1800
die bekend staan als veelgebruikt
07:38
from these stolengestolen passwordwachtwoord setssets,
195
446518
1727
uit die gestolen wachtwoorden
07:40
and they guessraden those first.
196
448245
1189
en proberen die eerst.
07:41
So they're going to startbegin by guessinggissen "passwordwachtwoord,"
197
449434
2134
'password' proberen ze eerst uit.
07:43
and then they'llzullen ze guessraden "I love you," and "monkeyaap,"
198
451568
2751
Dan proberen ze 'I love you' en 'monkey'
07:46
and "12345678,"
199
454319
2583
en '12345678'
07:48
because these are the passwordswachtwoorden
200
456902
1312
omdat het de meestgebruikte
wachtwoorden zijn
07:50
that are mostmeest likelywaarschijnlijk for people to have.
201
458214
1905
07:52
In factfeit, some of you probablywaarschijnlijk have these passwordswachtwoorden.
202
460119
3261
Sommigen van jullie
zullen die wachtwoorden gebruiken.
07:57
So what we foundgevonden
203
465191
1298
Door al onze 5.000 wachtwoorden
te proberen,
07:58
by runninglopend all of these 5,000 passwordswachtwoorden we collectedverzamelde
204
466489
3406
08:01
throughdoor these teststesten to see how strongsterk they were,
205
469895
4106
en te testen hoe sterk ze waren,
08:06
we foundgevonden that the long passwordswachtwoorden
206
474001
2752
zagen we dat de lange wachtwoorden
08:08
were actuallywerkelijk prettymooi strongsterk,
207
476753
1280
best wel sterk waren.
08:10
and the complexcomplex passwordswachtwoorden were prettymooi strongsterk too.
208
478033
3262
De ingewikkelde waren ook vrij sterk.
08:13
HoweverEchter, when we lookedkeek at the surveyenquête datagegevens,
209
481295
2442
Maar als we keken
naar de enquêtes,
08:15
we saw that people were really frustratedgefrustreerd
210
483737
3024
zagen we dat men nogal gefrustreerd was
08:18
by the very complexcomplex passwordswachtwoorden,
211
486761
2339
door deze ingewikkelde wachtwoorden.
08:21
and the long passwordswachtwoorden were a lot more usablebruikbaar,
212
489100
2630
De lange waren een stuk bruikbaarder
08:23
and in some casesgevallen, they were actuallywerkelijk
213
491730
1325
en soms waren ze zelfs sterker
08:25
even strongersterker than the complexcomplex passwordswachtwoorden.
214
493055
2908
dan de ingewikkelde wachtwoorden.
08:27
So this suggestssuggereert that,
215
495963
1169
Dit geeft aan dat je niet moet zeggen
08:29
insteadin plaats daarvan of tellingvertellen people that they need
216
497132
1703
dat je al die tekens,
cijfers en idiote dingen
08:30
to put all these symbolssymbolen and numbersgetallen
217
498835
1522
08:32
and crazygek things into theirhun passwordswachtwoorden,
218
500357
2842
in je wachtwoorden moet stoppen.
08:35
we mightmacht be better off just tellingvertellen people
219
503199
2022
Je kunt beter lange wachtwoorden gebruiken.
08:37
to have long passwordswachtwoorden.
220
505221
2652
08:39
Now here'shier is the problemprobleem, thoughhoewel:
221
507873
1792
Er is wel een probleem:
08:41
Some people had long passwordswachtwoorden
222
509665
2255
sommigen hadden lange wachtwoorden
08:43
that actuallywerkelijk weren'twaren niet very strongsterk.
223
511920
1555
die helemaal niet sterk waren.
08:45
You can make long passwordswachtwoorden
224
513475
1997
Je kunt lange wachtwoorden maken
08:47
that are still the sortsoort of thing
225
515472
1556
die nog steeds makkelijk
te raden zijn door aanvallers.
08:49
that an attackeraanvaller could easilygemakkelijk guessraden.
226
517028
1742
08:50
So we need to do more than
just say long passwordswachtwoorden.
227
518770
3365
We moeten dus niet alleen lange
wachtwoorden voorschrijven.
08:54
There has to be some additionalextra requirementsvereisten,
228
522135
1936
Er moet nog iets bij.
08:56
and some of our ongoingvoortdurende researchOnderzoek is looking at
229
524071
2969
We onderzoeken nog
08:59
what additionalextra requirementsvereisten we should addtoevoegen
230
527040
2439
welke extra voorschriften het moeten zijn
09:01
to make for strongersterker passwordswachtwoorden
231
529479
2104
om sterkere wachtwoorden te krijgen
09:03
that alsoook are going to be easygemakkelijk for people
232
531583
2312
die makkelijk te onthouden
en te typen zijn.
09:05
to rememberonthouden and typetype.
233
533895
2698
09:08
AnotherEen ander approachnadering to gettingkrijgen people to have
234
536593
2126
Een andere aanpak
voor sterkere wachtwoorden
09:10
strongersterker passwordswachtwoorden is to use a passwordwachtwoord metermeter.
235
538719
2257
is een wachtwoordmeter.
09:12
Here are some examplesvoorbeelden.
236
540976
1385
Hier zijn wat voorbeelden.
09:14
You maymei have seengezien these on the InternetInternet
237
542361
1401
Misschien heb je ze al gezien
09:15
when you were creatinghet creëren van passwordswachtwoorden.
238
543762
3057
toen je een wachtwoord moest maken.
09:18
We decidedbeslist to do a studystudie to find out
239
546819
2248
We besloten te onderzoeken
09:21
whetherof these passwordwachtwoord metersmeter actuallywerkelijk work.
240
549067
2887
of deze wachtwoordmeters echt werken.
09:23
Do they actuallywerkelijk help people
241
551954
1421
Helpen ze echt
om sterkere wachtwoorden te maken?
09:25
have strongersterker passwordswachtwoorden,
242
553375
1453
09:26
and if so, whichwelke onesdegenen are better?
243
554828
2086
Zo ja, welke zijn het best?
09:28
So we testedgetest passwordwachtwoord metersmeter that were
244
556914
2507
We hebben wachtwoordmeters getest
09:31
differentverschillend sizesmaten, shapesvormen, colorskleuren,
245
559421
2098
met verschillende lengtes,
vormen, kleuren,
09:33
differentverschillend wordstekst nextvolgende to them,
246
561519
1416
met allerlei woorden erbij.
09:34
and we even testedgetest one that was a dancingdansen bunnyBunny.
247
562935
3275
Zelfs eentje met een dansend konijn.
09:38
As you typetype a better passwordwachtwoord,
248
566210
1582
Terwijl je een wachtwoord typt,
danst het konijn steeds sneller.
09:39
the bunnyBunny dancesdansen fastersneller and fastersneller.
249
567792
2539
09:42
So this was prettymooi funpret.
250
570331
2529
Dat was lachen.
09:44
What we foundgevonden
251
572860
1567
We zagen
dat wachtwoordmeters werken.
09:46
was that passwordwachtwoord metersmeter do work.
252
574427
3572
09:49
(LaughterGelach)
253
577999
1801
(Gelach)
09:51
MostDe meeste of the passwordwachtwoord metersmeter were actuallywerkelijk effectiveeffectief,
254
579800
3333
De meeste wachtwoordmeters waren effectief
09:55
and the dancingdansen bunnyBunny was very effectiveeffectief too,
255
583133
2521
en het dansend konijn
was ook erg effectief,
09:57
but the passwordwachtwoord metersmeter that were the mostmeest effectiveeffectief
256
585654
2881
maar de effectiefste wachtwoordmeters
10:00
were the onesdegenen that madegemaakt you work harderharder
257
588535
2355
waren die waar je harder moest werken
10:02
before they gavegaf you that thumbsduimen up and said
258
590890
1980
voordat je een opgestoken duim kreeg
en geprezen werd.
10:04
you were doing a good jobbaan,
259
592870
1377
10:06
and in factfeit we foundgevonden that mostmeest
260
594247
1512
We zagen dat de meeste wachtwoordmeters
10:07
of the passwordwachtwoord metersmeter on the InternetInternet todayvandaag
261
595759
2281
op het internet
te flauw zijn.
10:10
are too softzacht.
262
598040
952
10:10
They tell you you're doing a good jobbaan too earlyvroeg,
263
598992
2203
Ze zeggen te snel dat je het goed doet.
10:13
and if they would just wait a little bitbeetje
264
601195
1929
Als ze iets langer zouden wachten
10:15
before givinggeven you that positivepositief feedbackterugkoppeling,
265
603124
2049
voordat ze je postieve feedback gaven,
10:17
you probablywaarschijnlijk would have better passwordswachtwoorden.
266
605173
3160
dan zou je waarschijnlijk
betere wachtwoorden maken.
10:20
Now anothereen ander approachnadering to better passwordswachtwoorden, perhapsmisschien,
267
608333
3847
Een andere aanpak
voor betere wachtwoorden is misschien
10:24
is to use passslagen voor phraseszinnen insteadin plaats daarvan of passwordswachtwoorden.
268
612180
2890
om zinnen te gebruiken
in plaats van wachtwoorden.
10:27
So this was an xkcdxkcd cartoonspotprent
from a couplepaar of yearsjaar agogeleden,
269
615070
3418
Dit was een cartoon van xkcd
van een paar jaar geleden.
10:30
and the cartooniststriptekenaar suggestssuggereert
270
618488
1674
De tekenaar suggereert
10:32
that we should all use passslagen voor phraseszinnen,
271
620162
2196
dat we zinnen moeten gebruiken.
10:34
and if you look at the secondtweede rowrij of this cartoonspotprent,
272
622358
3170
Als je naar de tweede rij kijkt,
10:37
you can see the cartooniststriptekenaar is suggestingsuggereren
273
625528
1857
dan zie je dat de tekenaar aangeeft
10:39
that the passslagen voor phraseuitdrukking "correctcorrect horsepaard batteryaccu staplekram"
274
627385
3441
dat de zin 'correct horse battery staple'
10:42
would be a very strongsterk passslagen voor phraseuitdrukking
275
630826
2481
een erg sterk wachtwoord zou zijn
10:45
and something really easygemakkelijk to rememberonthouden.
276
633307
1916
dat makkelijk te onthouden is.
10:47
He sayszegt, in factfeit, you've alreadynu al rememberedherinnerde it.
277
635223
2797
Hij zegt dat je het al hebt onthouden.
10:50
And so we decidedbeslist to do a researchOnderzoek studystudie
278
638020
2150
We besloten uit te zoeken
10:52
to find out whetherof this was truewaar or not.
279
640170
2592
of dat waar was.
10:54
In factfeit, everybodyiedereen who I talk to,
280
642762
1775
Iedereen aan wie ik zeg
10:56
who I mentionnoemen I'm doing passwordwachtwoord researchOnderzoek,
281
644537
2042
dat ik wachtwoordonderzoek doe,
10:58
they pointpunt out this cartoonspotprent.
282
646579
1400
wijst me op deze strip.
10:59
"Oh, have you seengezien it? That xkcdxkcd.
283
647979
1574
"Heb je die gezien? Van xkcd.
11:01
CorrectCorrigeren horsepaard batteryaccu staplekram."
284
649553
1602
Correct horse battery staple."
11:03
So we did the researchOnderzoek studystudie to see
285
651155
1806
We deden onderzoek
om te zien wat er zou gebeuren.
11:04
what would actuallywerkelijk happengebeuren.
286
652961
2359
11:07
So in our studystudie, we used MechanicalMechanische TurkTurk again,
287
655320
3060
In ons onderzoek gebruikten we weer
die Mechanische Turk.
11:10
and we had the computercomputer pickplukken the randomwillekeurig wordstekst
288
658380
4167
We lieten de computer woorden kiezen
11:14
in the passslagen voor phraseuitdrukking.
289
662547
1100
voor de wachtwoordzin.
11:15
Now the reasonreden we did this
290
663647
1153
De reden ervan was
11:16
is that humansmensen are not very good
291
664800
1586
dat mensen slecht zijn
in willekeurige woorden kiezen.
11:18
at pickingpluk randomwillekeurig wordstekst.
292
666386
1384
11:19
If we askedgevraagd a humanmenselijk to do it,
293
667770
1262
Als we een mens laten kiezen,
kiest hij niet willekeurig.
11:21
they would pickplukken things that were not very randomwillekeurig.
294
669032
2998
11:24
So we triedbeproefd a fewweinig differentverschillend conditionsvoorwaarden.
295
672030
2032
We kozen een paar voorwaarden.
11:26
In one conditionstaat, the computercomputer pickeduitgekozen
296
674062
2090
Bij eentje koos de computer
11:28
from a dictionarywoordenboek of the very commongemeenschappelijk wordstekst
297
676152
2216
uit een woordenlijst met
normale Engelse woorden.
11:30
in the EnglishEngels languagetaal,
298
678368
1362
11:31
and so you'dje zou get passslagen voor phraseszinnen like
299
679730
1764
Dan krijg je zinnen als
11:33
"try there threedrie come."
300
681494
1924
"try there three come".
11:35
And we lookedkeek at that, and we said,
301
683418
1732
Dat leek ons niet makkelijk te onthouden.
11:37
"Well, that doesn't really seemlijken very memorablememorabele."
302
685150
3050
11:40
So then we triedbeproefd pickingpluk wordstekst
303
688200
2240
Toen lieten we woorden kiezen
11:42
that camekwam from specificspecifiek partsonderdelen of speechtoespraak,
304
690440
2521
uit specifieke woordsoorten, bijvoorbeeld
11:44
so how about noun-verb-adjective-nounzelfstandig naamwoord-werkwoord-bijvoeglijk naamwoord-zelfstandig naamwoord.
305
692961
2182
substantief-werkwoord-adjectief-substantief.
11:47
That comeskomt up with something
that's sortsoort of sentence-likezin-achtige.
306
695143
2577
Dan krijg je een soort zinnen.
11:49
So you can get a passslagen voor phraseuitdrukking like
307
697720
2070
Je krijgt dan een zin als
11:51
"planplan buildsbouwt sure powermacht"
308
699790
1308
'plan builds sure power',
11:53
or "endeinde determinesbepaalt redrood drugdrug."
309
701098
2786
of 'end determines red drug'.
11:55
And these seemedscheen a little bitbeetje more memorablememorabele,
310
703884
2676
Deze leken wat makkelijker te onthouden.
11:58
and maybe people would like those a little bitbeetje better.
311
706560
2822
Misschien wilde men die liever.
12:01
We wanted to comparevergelijken them with passwordswachtwoorden,
312
709382
2572
We wilden ze vergelijken met wachtwoorden.
12:03
and so we had the computercomputer
pickplukken randomwillekeurig passwordswachtwoorden,
313
711954
3196
We lieten de computer willekeurig
woorden kiezen.
12:07
and these were niceleuk and shortkort, but as you can see,
314
715150
1990
Deze waren kort en mooi, maar je ziet
12:09
they don't really look very memorablememorabele.
315
717140
2806
dat ze niet makkelijk te onthouden zijn.
12:11
And then we decidedbeslist to try something calledriep
316
719946
1396
Toen probeerden we iets wat
een 'uitspreekbaar woord' heet.
12:13
a pronounceablepronounceable passwordwachtwoord.
317
721342
1646
12:14
So here the computercomputer picksPicks randomwillekeurig syllableslettergrepen
318
722988
2245
De computer neemt dan lettergrepen
12:17
and putsputs them togethersamen
319
725233
1134
en plakt ze aan elkaar.
12:18
so you have something sortsoort of pronounceablepronounceable,
320
726367
2475
Dan krijg je iets dat je kunt uitspreken,
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
321
728842
2602
zoals 'tufritvi' en 'vadasabi'.
12:23
That one kindsoort of rollsbroodjes off your tonguetong.
322
731444
2147
Dat rolt zo van je tong.
12:25
So these were randomwillekeurig passwordswachtwoorden that were
323
733591
2216
Het waren willekeurige wachtwoorden
die uit de computer kwamen.
12:27
generatedgegenereerd by our computercomputer.
324
735807
2744
12:30
So what we foundgevonden in this studystudie was that, surprisinglyverrassend,
325
738551
2978
We ontdekten met dit onderzoek,
gek genoeg,
12:33
passslagen voor phraseszinnen were not actuallywerkelijk all that good.
326
741529
3768
dat wachtwoordzinnen niet zo goed zijn.
12:37
People were not really better at rememberingherinneren
327
745297
2793
Mensen kunnen niet veel beter
de wachtwoordzinnen onthouden
12:40
the passslagen voor phraseszinnen than these randomwillekeurig passwordswachtwoorden,
328
748090
2953
dan willekeurige wachtwoorden.
12:43
and because the passslagen voor phraseszinnen are longerlanger,
329
751043
2754
Omdat de wachtwoordzinnen langer zijn,
12:45
they tooknam longerlanger to typetype
330
753797
1226
duurt het typen langer
12:47
and people madegemaakt more errorsfouten while typingtypen them in.
331
755023
3010
en maakt men meer fouten.
12:50
So it's not really a clearduidelijk winwinnen for passslagen voor phraseszinnen.
332
758033
3227
Wachtwoordzinnen zijn dus niet
duidelijk beter.
12:53
Sorry, all of you xkcdxkcd fansfans.
333
761260
3345
Sorry, xkcd-liefhebbers.
12:56
On the other handhand-, we did find
334
764605
1892
Maar we vonden wel
12:58
that pronounceablepronounceable passwordswachtwoorden
335
766497
1804
dat uitspreekbare wachtwoorden
13:00
workedwerkte surprisinglyverrassend well,
336
768301
1471
verrassend goed werkten.
13:01
and so we actuallywerkelijk are doing some more researchOnderzoek
337
769772
2418
We doen nu nog meer onderzoek
13:04
to see if we can make that
approachnadering work even better.
338
772190
3195
om te zien of we het
beter kunnen aanpakken.
13:07
So one of the problemsproblemen
339
775385
1812
Een van de problemen was
13:09
with some of the studiesstudies that we'vewij hebben donegedaan
340
777197
1623
dat sommige van onze onderzoeken
13:10
is that because they're all donegedaan
341
778820
1683
met de Mechanische Turk
13:12
usinggebruik makend van MechanicalMechanische TurkTurk,
342
780503
1590
gedaan werden.
13:14
these are not people'sPeople's realecht passwordswachtwoorden.
343
782093
1812
Het zijn geen echte wachtwoorden.
13:15
They're the passwordswachtwoorden that they createdaangemaakt
344
783905
2105
Het zijn de wachtwoorden die men,
of de computer,
13:18
or the computercomputer createdaangemaakt for them for our studystudie.
345
786010
2495
voor het onderzoek maakte.
13:20
And we wanted to know whetherof people
346
788505
1568
We wilden weten of mensen
hetzelfde deden
13:22
would actuallywerkelijk behavezich gedragen the samedezelfde way
347
790073
2312
13:24
with theirhun realecht passwordswachtwoorden.
348
792385
2227
met hun echte wachtwoorden.
13:26
So we talkedgesproken to the informationinformatie
securityveiligheid officekantoor at CarnegieCarnegie MellonMellon
349
794612
3681
We overlegden met de IT-afdeling
van Carnegie Mellon
13:30
and askedgevraagd them if we could
have everybody'svan iedereen realecht passwordswachtwoorden.
350
798293
3803
en vroegen of we alle wachtwoorden
mochten hebben.
13:34
Not surprisinglyverrassend, they were a little bitbeetje reluctantonwillig
351
802096
1754
Ze waren natuurlijk terughoudend
13:35
to sharedelen them with us,
352
803850
1550
om ze met ons te delen,
13:37
but we were actuallywerkelijk ablein staat to work out
353
805400
1810
maar we mochten een systeem uitwerken
13:39
a systemsysteem with them
354
807210
1040
13:40
where they put all of the realecht passwordswachtwoorden
355
808250
2109
waarbij ze alle echte wachtwoorden
13:42
for 25,000 CMUCMU studentsstudenten, facultyfaculteit and staffpersoneel,
356
810359
3091
van 25.000 studenten, professoren
en medewerkers
13:45
into a lockedopgesloten computercomputer in a lockedopgesloten roomkamer,
357
813450
2448
in een gesloten computer stopten
in een afgesloten kamer zonder internet.
13:47
not connectedaangesloten to the InternetInternet,
358
815898
1394
13:49
and they ranrende codecode on it that we wroteschreef
359
817292
1848
Ze lieten met een programma
13:51
to analyzeanalyseren these passwordswachtwoorden.
360
819140
2152
deze wachtwoorden analyseren.
13:53
They auditedgecontroleerd our codecode.
361
821292
1326
Ze checkten ons programma.
13:54
They ranrende the codecode.
362
822618
1312
Ze lieten het draaien.
13:55
And so we never actuallywerkelijk saw
363
823930
1738
Op die manier konden we nooit
de wachtwoorden zien.
13:57
anybody'siedereen is passwordwachtwoord.
364
825668
2817
We kregen interessante uitkomsten
14:00
We got some interestinginteressant resultsuitslagen,
365
828485
1515
en de Tepper-studenten daar achteraan
14:02
and those of you TepperTepper studentsstudenten in the back
366
830000
1696
14:03
will be very interestedgeïnteresseerd in this.
367
831696
2875
zullen het interessant vinden.
14:06
So we foundgevonden that the passwordswachtwoorden createdaangemaakt
368
834571
3731
We ontdekten dat de mensen
14:10
by people affiliatedaangesloten with the
schoolschool- of computercomputer sciencewetenschap
369
838302
2158
van Computerwetenschappen
14:12
were actuallywerkelijk 1.8 timestijden strongersterker
370
840460
2324
een 1,8 keer zo sterk wachtwoord hadden
14:14
than those affiliatedaangesloten with the businessbedrijf schoolschool-.
371
842784
3738
als die van de business-school.
14:18
We have lots of other really interestinginteressant
372
846522
2040
Er kwam ook veel interessante
14:20
demographicdemografisch informationinformatie as well.
373
848562
2238
demografische informatie uit.
14:22
The other interestinginteressant thing that we foundgevonden
374
850800
1846
Ook interessant was
14:24
is that when we comparedvergeleken
the CarnegieCarnegie MellonMellon passwordswachtwoorden
375
852646
2440
dat tussen de wachtwoorden
van Carnegie Mellon
14:27
to the MechanicalMechanische Turk-generatedTurk-gegenereerd passwordswachtwoorden,
376
855086
2283
en die van de Mechanische Turk
14:29
there was actuallywerkelijk a lot of similaritiesgelijkenissen,
377
857369
2619
weinig verschil bestond.
14:31
and so this helpedgeholpen validatevalideren our researchOnderzoek methodmethode
378
859988
1948
Dat hielp de methode te valideren
14:33
and showtonen that actuallywerkelijk, collectingverzamelen passwordswachtwoorden
379
861936
2510
en liet zien dat het verzamelen
van wachtwoorden
14:36
usinggebruik makend van these MechanicalMechanische TurkTurk studiesstudies
380
864446
1808
met de Mechanische Turk
14:38
is actuallywerkelijk a validGeldig way to studystudie passwordswachtwoorden.
381
866254
2788
een geldige manier was
om wachtwoorden te bestuderen.
14:41
So that was good newsnieuws.
382
869042
2285
Dat was dus goed nieuws.
14:43
Okay, I want to closedichtbij by talkingpratend about
383
871327
2414
Ik wil afsluiten met wat inzichten
14:45
some insightsinzichten I gainedopgedaan while on sabbaticalsabbatical
384
873741
2068
die ik kreeg tijdens mijn sabbatical
14:47
last yearjaar in the CarnegieCarnegie MellonMellon artkunst schoolschool-.
385
875809
3201
afgelopen jaar op de
kunstfaculteit van Carnegie Mellon.
Een van de dingen die ik deed,
14:51
One of the things that I did
386
879010
1281
14:52
is I madegemaakt a numberaantal of quiltsdekbedden,
387
880291
1524
was quilts maken.
14:53
and I madegemaakt this quiltquilt here.
388
881815
1548
Ik heb deze gemaakt.
14:55
It's calledriep "SecurityVeiligheid BlanketDeken."
389
883363
1899
Hij heet 'Veiligheidsdeken'.
14:57
(LaughterGelach)
390
885262
2431
(Gelach)
14:59
And this quiltquilt has the 1,000
391
887693
3095
Deze heeft de duizend
meest gestolen wachtwoorden
15:02
mostmeest frequentveel voorkomend passwordswachtwoorden stolengestolen
392
890788
2328
van de website van RockYou.
15:05
from the RockYouRockYou websitewebsite.
393
893116
2571
15:07
And the sizegrootte of the passwordswachtwoorden is proportionalproportioneel
394
895687
2061
De grootte van het wachtwoord geeft aan
15:09
to how frequentlyvaak they appearedverschenen
395
897748
1901
hoe vaak het gestolen is.
15:11
in the stolengestolen datasetDataset.
396
899649
2248
15:13
And what I did is I createdaangemaakt this wordwoord cloudwolk,
397
901897
2632
Ik heb deze woordenwolk gemaakt
15:16
and I wentgegaan throughdoor all 1,000 wordstekst,
398
904529
2132
door alle 1000 woorden langs te gaan,
15:18
and I categorizedgecategoriseerd them into
399
906661
1795
en in aparte thema's te groeperen.
15:20
looselos thematicthematische categoriescategorieën.
400
908456
2380
15:22
And it was, in some casesgevallen,
401
910836
1903
Soms was het moeilijk
om uit te vinden
15:24
it was kindsoort of difficultmoeilijk to figurefiguur out
402
912739
2038
15:26
what categorycategorie they should be in,
403
914777
1755
in welke categorie ze moesten.
15:28
and then I color-codedvergelijkende them.
404
916532
1899
Daarna gaf ik ze een kleur.
15:30
So here are some examplesvoorbeelden of the difficultymoeilijkheid.
405
918431
2619
Hier is een voorbeeld
hoe lastig dat was:
15:33
So "justinJustin."
406
921050
1181
'Justin'
15:34
Is that the namenaam of the usergebruiker,
407
922231
1829
Is dat de naam van de gebruiker?
15:36
theirhun boyfriendvriendje, theirhun sonzoon?
408
924060
1322
Haar vriendje of haar zoon?
15:37
Maybe they're a JustinJustin BieberBieber fanventilator.
409
925382
2888
Misschien wel een Justin Bieber-fan.
15:40
Or "princessPrinses."
410
928270
2225
Of 'princess'.
15:42
Is that a nicknamebijnaam?
411
930495
1635
Is dat een koosnaam?
Zijn het fans van de Disney-prinses?
15:44
Are they DisneyDisney princessPrinses fansfans?
412
932130
1595
15:45
Or maybe that's the namenaam of theirhun catkat.
413
933725
3694
Of het is de naam van hun kat.
15:49
"IloveyouILOVEYOU" appearskomt naar voren manyveel timestijden
414
937419
1655
'Iloveyou' verschijnt vaak,
15:51
in manyveel differentverschillend languagestalen.
415
939074
1545
in allerlei talen.
15:52
There's a lot of love in these passwordswachtwoorden.
416
940619
3735
Er zit veel liefde in deze wachtwoorden.
15:56
If you look carefullyvoorzichtig, you'llje zult see there's alsoook
417
944354
1680
Als je goed oplet,
vind je ook wat vulgariteit,
15:58
some profanitygodslastering,
418
946034
2267
16:00
but it was really interestinginteressant to me to see
419
948301
1950
maar ik vond het erg interessant
16:02
that there's a lot more love than hatehaat
420
950251
2307
dat er meer liefde dan haat
16:04
in these passwordswachtwoorden.
421
952558
2292
in deze wachtwoorden zat.
16:06
And there are animalsdieren,
422
954850
1490
En er zijn dieren,
16:08
a lot of animalsdieren,
423
956340
1360
veel dieren.
16:09
and "monkeyaap" is the mostmeest commongemeenschappelijk animaldier
424
957700
2304
'monkey' is het meestgebruikte dier.
16:12
and the 14thth mostmeest popularpopulair passwordwachtwoord overallglobaal.
425
960004
3675
Het op 14 na meestgebruikte wachtwoord.
16:15
And this was really curiousnieuwsgierig to me,
426
963679
2231
Dat vond ik heel bijzonder.
16:17
and I wonderedvroeg me af, "Why are monkeysapen so popularpopulair?"
427
965910
2523
Ik vroeg me af
waarom apen zo populair zijn.
16:20
And so in our last passwordwachtwoord studystudie,
428
968433
3352
Telkens we tijdens ons laatste onderzoek
iemand ontdekten
16:23
any time we detectedgedetecteerd somebodyiemand
429
971785
1686
16:25
creatinghet creëren van a passwordwachtwoord with the wordwoord "monkeyaap" in it,
430
973471
2649
die een wachtwoord had met 'monkey' erin,
16:28
we askedgevraagd them why they had
a monkeyaap in theirhun passwordwachtwoord.
431
976120
3030
vroegen we waarom ze dat hadden.
16:31
And what we foundgevonden out --
432
979150
1910
We ontdekten --
16:33
we foundgevonden 17 people so farver, I think,
433
981060
2103
we vonden tot nu toe 17 mensen
die het woord 'monkey' hadden --
16:35
who have the wordwoord "monkeyaap" --
434
983163
1283
16:36
We foundgevonden out about a thirdderde of them said
435
984446
1812
We ontdekten dat een derde
een huisdier heeft dat 'monkey' heet.
16:38
they have a pethuisdier namedgenaamd "monkeyaap"
436
986258
1740
16:39
or a friendvriend whosewaarvan nicknamebijnaam is "monkeyaap,"
437
987998
2291
of een vriend met koosnaam 'monkey'.
16:42
and about a thirdderde of them said
438
990289
1660
Een derde hield gewoon van apen.
16:43
that they just like monkeysapen
439
991949
1533
16:45
and monkeysapen are really cuteschattig.
440
993482
1638
en vond apen gewoon leuk.
16:47
And that guy is really cuteschattig.
441
995120
3639
Dit ventje is echt schattig.
16:50
So it seemslijkt that at the endeinde of the day,
442
998759
3408
Het komt erop neer dat we
bij het maken van wachtwoorden
16:54
when we make passwordswachtwoorden,
443
1002167
1783
16:55
we eithereen van beide make something that's really easygemakkelijk
444
1003950
1974
iets maken dat makkelijk te typen is,
16:57
to typetype, a commongemeenschappelijk patternpatroon,
445
1005924
3009
een bekend patroon,
17:00
or things that remindherinneren us of the wordwoord passwordwachtwoord
446
1008933
2486
of iets dat herinnert
aan het woord 'wachtwoord'
17:03
or the accountaccount that we'vewij hebben createdaangemaakt the passwordwachtwoord for,
447
1011419
3312
of aan het account waar we het voor maken
17:06
or whateverwat dan ook.
448
1014731
2617
of 'watdanook'.
17:09
Or we think about things that make us happygelukkig,
449
1017348
2642
Of we denken aan dingen
waar we blij van worden.
17:11
and we createcreëren our passwordwachtwoord
450
1019990
1304
We baseren ons wachtwoord
17:13
basedgebaseerde on things that make us happygelukkig.
451
1021294
2238
op dingen waar we blij van worden.
17:15
And while this makesmerken typingtypen
452
1023532
2863
Hoewel dat het typen en onthouden
17:18
and rememberingherinneren your passwordwachtwoord more funpret,
453
1026395
2870
van je wachtwoord leuker maakt,
17:21
it alsoook makesmerken it a lot easiergemakkelijker
454
1029265
1807
wordt het wel een stuk makkelijker
17:23
to guessraden your passwordwachtwoord.
455
1031072
1506
om je wachtwoord te raden.
17:24
So I know a lot of these TEDTED TalksGesprekken
456
1032578
1748
Ik weet dat TED Talks
17:26
are inspirationalinspirerende
457
1034326
1634
vaak inspirerend zijn
17:27
and they make you think about niceleuk, happygelukkig things,
458
1035960
2461
en je doen denken aan fijne dingen,
17:30
but when you're creatinghet creëren van your passwordwachtwoord,
459
1038421
1897
maar als je je wachtwoord maakt,
17:32
try to think about something elseanders.
460
1040318
1991
probeer dan aan iets anders te denken.
17:34
Thank you.
461
1042309
1107
Dank je wel.
17:35
(ApplauseApplaus)
462
1043416
553
(Applaus)
Translated by Dick Stada
Reviewed by Rik Delaet

▲Back to top

ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com