English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Wat is er mis met ons w@chtw00rd?

Filmed:
1,520,582 views

Lorrie Faith Cranor heeft duizenden echte wachtwoorden bestudeerd en heeft verrassende, veelgemaakte fouten gevonden die gebruikers -- en beveiligde websites -- maken en de veiligheid in gevaar brengen. Je zult je afvragen hoe ze duizenden echte wachtwoorden heeft kunnen bestuderen zonder inbreuk op de veiligheid van de gebruikers. Dat is een verhaal op zich. Dat geheim moet je kennen, zeker als je wachtwoord 123456 is...

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

00:12
I am a computercomputer sciencewetenschap and engineeringbouwkunde
professorprofessor here at CarnegieCarnegie MellonMellon,
Ik ben professor in computerwetenschappen
hier op Carnegie Mellon.
Mijn onderzoek richt zich op
bruikbare privacy en beveiliging.
00:15
and my researchOnderzoek focusesricht zich on
usablebruikbaar privacyprivacy and securityveiligheid,
Mijn vrienden geven me graag voorbeelden
00:20
and so my friendsvrienden like to give me examplesvoorbeelden
van hun frustraties met computersystemen.
00:22
of theirhun frustrationsfrustraties with computinggegevensverwerking systemssystemen,
Vooral frustraties die te maken hebben
00:25
especiallyvooral frustrationsfrustraties relatedverwant to
met onbruikbare privacy en beveiliging.
00:28
unusableonbruikbaar privacyprivacy and securityveiligheid.
Ik hoor dus veel over wachtwoorden.
00:32
So passwordswachtwoorden are something that I hearhoren a lot about.
00:35
A lot of people are frustratedgefrustreerd with passwordswachtwoorden,
Veel mensen zijn gefrustreerd
door wachtwoorden.
Het is al erg genoeg
00:38
and it's badslecht enoughgenoeg
als je één goed wachtwoord moet hebben
00:39
when you have to have one really good passwordwachtwoord
dat je kunt onthouden,
00:42
that you can rememberonthouden
maar dat niemand kan raden.
00:44
but nobodyniemand elseanders is going to be ablein staat to guessraden.
Maar wat moet je doen
als je accounts hebt
00:47
But what do you do when you have accountsrekeningen
00:48
on a hundredhonderd differentverschillend systemssystemen
voor honderden systemen
en je moet een uniek wachtwoord hebben
00:50
and you're supposedvermeend to have a uniqueuniek passwordwachtwoord
voor al die systemen?
00:53
for eachelk of these systemssystemen?
Dat is lastig.
00:56
It's toughtaai.
Op Carnegie Mellon maakten ze het
00:58
At CarnegieCarnegie MellonMellon, they used to make it
redelijk makkelijk voor ons
01:00
actuallywerkelijk prettymooi easygemakkelijk for us
om onze wachtwoorden te onthouden.
01:01
to rememberonthouden our passwordswachtwoorden.
De wachtwoordvereisten waren tot 2009
01:03
The passwordwachtwoord requirementeis up throughdoor 2009
dat je gewoon een wachtwoord moest hebben
01:05
was just that you had to have a passwordwachtwoord
met minimaal 1 teken.
01:07
with at leastminst one characterkarakter.
Nogal simpel.
Maar toen veranderden ze dat.
01:10
PrettyVrij easygemakkelijk. But then they changedveranderd things,
Tegen het einde van 2009 verkondigden ze
01:12
and at the endeinde of 2009, they announcedaangekondigd
dat we een nieuw beleid kregen.
01:15
that we were going to have a newnieuwe policyhet beleid,
Dit beleid eiste
01:17
and this newnieuwe policyhet beleid requirednodig
dat wachtwoorden minimaal
8 tekens moesten hebben,
01:19
passwordswachtwoorden that were at leastminst eightacht characterstekens long,
met een hoofdletter, kleine letter,
01:22
with an uppercasehoofdletters letterbrief, lowercasekleine letters letterbrief,
een cijfer, een teken,
01:24
a digitcijfers, a symbolsymbool,
je mocht niet 3 dezelfde tekens hebben
01:25
you couldn'tkon het niet use the samedezelfde
characterkarakter more than threedrie timestijden,
en het mocht niet
in het woordenboek staan.
01:28
and it wasn'twas niet allowedtoegestaan to be in a dictionarywoordenboek.
Toen ze dat nieuwe beleid toepasten,
01:30
Now, when they implementedgeïmplementeerd this newnieuwe policyhet beleid,
zeiden veel mensen, collega's
en vrienden me:
01:32
a lot of people, my colleaguescollega's and friendsvrienden,
01:35
camekwam up to me and they said, "WowWow,
"Poeh, dit is echt niet te doen.
01:36
now that's really unusableonbruikbaar.
Waarom doen ze ons dat aan
01:38
Why are they doing this to us,
01:39
and why didn't you stop them?"
en waarom houd je ze niet tegen?"
Ik zei: "Weet je?
01:41
And I said, "Well, you know what?
Ze hebben mij niets gevraagd."
01:42
They didn't askvragen me."
Maar ik werd nieuwsgierig en ging praten
01:44
But I got curiousnieuwsgierig, and I decidedbeslist to go talk
met onze systeembeheerders
01:47
to the people in chargein rekening brengen of our computercomputer systemssystemen
en ontdekte waarom ze
01:49
and find out what led them to introducevoorstellen
dit beleid hadden bedacht.
01:52
this newnieuwe policyhet beleid,
Ze zeiden dat de universiteit
01:54
and they said that the universityUniversiteit
was gaan samenwerken
met andere universiteiten
01:55
had joinedtoegetreden a consortiumconsortium of universitiesuniversiteiten,
en dat een van de voorwaarden was
01:58
and one of the requirementsvereisten of membershiplidmaatschap
dat we veiligere wachtwoorden kregen
02:00
was that we had to have strongersterker passwordswachtwoorden
die voldeden aan nieuwe voorwaarden.
02:03
that compliedin acht genomen with some newnieuwe requirementsvereisten,
Die vereisten
dat onze wachtwoorden
02:05
and these requirementsvereisten were that our passwordswachtwoorden
niet voorspelbaar mochten zijn.
02:07
had to have a lot of entropyentropie.
Onvoorspelbaarheid
is een ingewikkelde term.
02:09
Now entropyentropie is a complicatedingewikkeld termtermijn,
Ze geeft de sterkte
van het wachtwoord weer,
02:11
but basicallyeigenlijk it measuresmaatregelen the strengthkracht of passwordswachtwoorden.
maar er is eigenlijk geen
standaardmaat voor onvoorspelbaarheid.
02:14
But the thing is, there isn't actuallywerkelijk
02:16
a standardstandaard- measuremaatregel of entropyentropie.
02:18
Now, the NationalNationale InstituteInstituut
of StandardsNormen and TechnologyTechnologie
Het National Institute
of Standards and Technology
heeft een paar richtlijnen
02:20
has a setreeks of guidelinesrichtlijnen
met wat vuistregels
02:22
whichwelke have some rulesreglement of thumbduim
om onvoorspelbaarheid te meten,
02:24
for measuringmeten entropyentropie,
02:26
but they don't have anything too specificspecifiek,
maar ze hebben niets specifieks.
De reden dat ze alleen
vuistregels hebben
02:29
and the reasonreden they only have rulesreglement of thumbduim
is dat ze geen goede informatie hebben
02:31
is it turnsbochten out they don't actuallywerkelijk have any good datagegevens
over wachtwoorden.
02:34
on passwordswachtwoorden.
Hun rapport zegt zelfs:
02:36
In factfeit, theirhun reportrapport statesstaten,
"Helaas hebben we niet veel gegevens
02:38
"UnfortunatelyHelaas, we do not have much datagegevens
over welke wachtwoorden men kiest
bij bepaalde regels.
02:40
on the passwordswachtwoorden usersgebruikers
chooseKiezen underonder particularbijzonder rulesreglement.
NIST wil meer informatie hebben
02:43
NISTNIST would like to obtainverkrijgen more datagegevens
over de wachtwoorden die men kiest,
02:45
on the passwordswachtwoorden usersgebruikers actuallywerkelijk chooseKiezen,
maar systeembeheerders zijn
natuurlijk terughoudend
02:48
but systemsysteem administratorsadministrators
are understandablybegrijpelijkerwijs reluctantonwillig
om wachtwoordgegevens openbaar te maken."
02:50
to revealonthullen passwordwachtwoord datagegevens to othersanderen."
Dat is dus een probleem,
maar ons onderzoeksteam
02:53
So this is a problemprobleem, but our researchOnderzoek groupgroep
vond dat een uitdaging.
02:56
lookedkeek at it as an opportunitykans.
We zeiden: "Er is behoefte aan
goede wachtwoordgegevens.
02:58
We said, "Well, there's a need
for good passwordwachtwoord datagegevens.
We zouden ze kunnen verzamelen
03:02
Maybe we can collectverzamelen some good passwordwachtwoord datagegevens
03:04
and actuallywerkelijk advancevan te voren the statestaat of the artkunst here.
en de kennis daarover verspreiden."
Eerst regelden we
een grote zak snoeprepen,
03:06
So the first thing we did is,
03:08
we got a bagzak of candysnoep barsbars
en gingen over de campus wandelen
03:10
and we walkedwandelde around campuscampus
03:11
and talkedgesproken to studentsstudenten, facultyfaculteit and staffpersoneel,
om studenten, professoren
en medewerkers
03:14
and askedgevraagd them for informationinformatie
naar informatie te vragen
03:15
about theirhun passwordswachtwoorden.
over hun wachtwoorden.
We zeiden niet: "Geef me je wachtwoord."
03:17
Now we didn't say, "Give us your passwordwachtwoord."
We stelden vragen óver hun wachtwoord.
03:20
No, we just askedgevraagd them about theirhun passwordwachtwoord.
Hoe lang is het? Zit er een cijfer in?
En een vreemd teken?
03:22
How long is it? Does it have a digitcijfers?
03:24
Does it have a symbolsymbool?
03:25
And were you annoyedgeërgerd at havingmet to createcreëren
Was het vervelend
dat je er vorige week
een nieuw moest aanmaken?
03:27
a newnieuwe one last weekweek?
03:30
So we got resultsuitslagen from 470 studentsstudenten,
Zo kregen we gegevens over 470 studenten,
professoren en medewerkers,
03:33
facultyfaculteit and staffpersoneel,
en zagen dat het nieuwe beleid
inderdaad erg lastig was.
03:34
and indeedinderdaad we confirmedbevestigd that the newnieuwe policyhet beleid
03:36
was very annoyingvervelend,
We vonden ook mensen
03:38
but we alsoook foundgevonden that people said
die het veiliger vonden
met deze wachtwoorden.
03:40
they feltvoelde more securebeveiligen with these newnieuwe passwordswachtwoorden.
Het bleek dat de meesten wisten
03:43
We foundgevonden that mostmeest people knewwist
dat ze hun wachtwoord
niet mochten noteren,
03:45
they were not supposedvermeend to
writeschrijven theirhun passwordwachtwoord down,
en slechts 13% deed dat.
03:47
and only 13 percentprocent of them did,
80% zei echter
03:50
but disturbinglystorend, 80 percentprocent of people
dat ze hun wachtwoord
hergebruikten.
03:52
said they were reusinghergebruiken theirhun passwordwachtwoord.
Dat is nog gevaarlijker
03:54
Now, this is actuallywerkelijk more dangerousgevaarlijk
dan je wachtwoord opschrijven
03:56
than writingschrift your passwordwachtwoord down,
omdat het gevoeliger is voor aanvallen.
03:58
because it makesmerken you much
more susceptiblevatbaar to attackersaanvallers.
Als het echt moet, schrijf het dan op
04:01
So if you have to, writeschrijven your passwordswachtwoorden down,
maar hergebruik het niet.
04:05
but don't reusehergebruik them.
We vonden nog meer interessants
04:06
We alsoook foundgevonden some interestinginteressant things
over de tekens die mensen gebruiken.
04:08
about the symbolssymbolen people use in passwordswachtwoorden.
04:11
So CMUCMU allowstoestaat 32 possiblemogelijk symbolssymbolen,
CMU staat 32 tekens toe,
maar je ziet dat de meesten
er maar een paar gebruiken.
04:14
but as you can see, there's only a smallklein numberaantal
04:16
that mostmeest people are usinggebruik makend van,
Dat maakt wachtwoorden
niet veel sterker.
04:18
so we're not actuallywerkelijk gettingkrijgen very much strengthkracht
04:21
from the symbolssymbolen in our passwordswachtwoorden.
Dat was een interessant onderzoek.
04:23
So this was a really interestinginteressant studystudie,
We hadden nu gegevens over 470 mensen,
04:26
and now we had datagegevens from 470 people,
maar in verhouding was het niet veel.
04:29
but in the schemeschema of things,
04:30
that's really not very much passwordwachtwoord datagegevens,
We gingen kijken
04:33
and so we lookedkeek around to see
of we nog meer wachtwoordgegevens
konden vinden.
04:34
where could we find additionalextra passwordwachtwoord datagegevens?
Het blijkt dat er veel mensen zijn
04:37
So it turnsbochten out there are a lot of people
die wachtwoorden stelen
04:39
going around stealingstelen passwordswachtwoorden,
en ze dan op het internet zetten.
04:41
and they oftenvaak go and postpost these passwordswachtwoorden
04:43
on the InternetInternet.
Zo kregen we toegang
04:45
So we were ablein staat to get accesstoegang
tot een paar gestolen verzamelingen
met wachtwoorden.
04:46
to some of these stolengestolen passwordwachtwoord setssets.
Dat is niet zo ideaal voor onderzoek
04:50
This is still not really idealideaal for researchOnderzoek, thoughhoewel,
omdat niet helemaal duidelijk was
04:53
because it's not entirelygeheel clearduidelijk
waar ze vandaan kwamen,
04:55
where all of these passwordswachtwoorden camekwam from,
of welk beleid gold
04:57
or exactlyprecies what policiesbeleid were in effecteffect
toen men die wachtwoorden moest bedenken.
04:59
when people createdaangemaakt these passwordswachtwoorden.
We wilden betere gegevensbronnen.
05:01
So we wanted to find some better sourcebron of datagegevens.
We wilden een onderzoek gaan doen
05:05
So we decidedbeslist that one thing we could do
waarbij mensen
wachtwoorden moesten bedenken
05:06
is we could do a studystudie and have people
05:09
actuallywerkelijk createcreëren passwordswachtwoorden for our studystudie.
voor ons onderzoek.
We gebruikten een dienst
die Amazon Mechanical Turk heet.
05:12
So we used a serviceservice calledriep
AmazonAmazon MechanicalMechanische TurkTurk,
Daarmee kan je een kleine taak
online zetten
05:15
and this is a serviceservice where you can postpost
05:17
a smallklein jobbaan onlineonline that takes a minuteminuut,
die een paar minuten of een uur duurt,
05:19
a fewweinig minutesnotulen, an houruur,
en je betaalt een cent,
tien cent, een paar dollar
05:21
and paybetalen people, a pennycent, tentien centscents, a fewweinig dollarsdollars,
om die taak te laten doen.
05:23
to do a tasktaak for you,
Je betaalt dan via Amazon.com.
05:25
and then you paybetalen them throughdoor AmazonAmazon.comcom.
We betaalden mensen ongeveer 50 cent
05:27
So we paidbetaald people about 50 centscents
om een wachtwoord te bedenken
volgens onze regels
05:29
to createcreëren a passwordwachtwoord followingvolgend our rulesreglement
en een enquête te doen.
05:32
and answeringantwoordapparaat a surveyenquête,
05:33
and then we paidbetaald them again to come back
We betaalden nogmaals
als ze twee dagen later terugkwamen,
05:36
two daysdagen laterlater and loglogboek in
inlogden met hun wachtwoord
05:38
usinggebruik makend van theirhun passwordwachtwoord and answeringantwoordapparaat anothereen ander surveyenquête.
en nog een enquête invulden.
05:40
So we did this, and we collectedverzamelde 5,000 passwordswachtwoorden,
Zo verzamelden we 5.000 wachtwoorden,
met diverse wachtwoordvoorschriften.
05:45
and we gavegaf people a bunchbos of differentverschillend policiesbeleid
05:47
to createcreëren passwordswachtwoorden with.
05:49
So some people had a prettymooi easygemakkelijk policyhet beleid,
Sommigen kregen een makkelijk beleid,
dat we Basic8 noemden.
05:51
we call it BasicBasic8,
De enige regel was dat je wachtwoord
05:52
and here the only ruleregel was that your passwordwachtwoord
minstens 8 tekens moest hebben.
05:55
had to have at leastminst eightacht characterstekens.
Sommigen hadden een strenger beleid
05:58
Then some people had a much harderharder policyhet beleid,
dat erg lijkt op het beleid bij de CMU:
06:00
and this was very similarsoortgelijk to the CMUCMU policyhet beleid,
het moest 8 tekens hebben
06:03
that it had to have eightacht characterstekens
met kleine en grote letters,
cijfers en tekens
06:05
includinginclusief uppercasehoofdletters, lowercasekleine letters, digitcijfers, symbolsymbool,
en voor de woordenboektest slagen.
06:07
and passslagen voor a dictionarywoordenboek checkcontroleren.
We probeerden onder andere
06:09
And one of the other policiesbeleid we triedbeproefd,
06:11
and there were a wholegeheel bunchbos more,
het beleid Basic16.
06:12
but one of the onesdegenen we triedbeproefd was calledriep BasicBasic16,
Het enige voorschrift was
06:14
and the only requirementeis here
dat het minstens 16 tekens moest hebben.
06:17
was that your passwordwachtwoord had
to have at leastminst 16 characterstekens.
Zo kregen we 5.000 wachtwoorden,
06:20
All right, so now we had 5,000 passwordswachtwoorden,
met veel nauwkeurigere gegevens.
06:23
and so we had much more detailedgedetailleerde informationinformatie.
We zien weer dat er maar een paar
vreemde tekens werden gebruikt.
06:26
Again we see that there's only a smallklein numberaantal
06:29
of symbolssymbolen that people are actuallywerkelijk usinggebruik makend van
06:31
in theirhun passwordswachtwoorden.
We wilden ook eens kijken
06:33
We alsoook wanted to get an ideaidee of how strongsterk
hoe sterk de wachtwoorden waren
die men bedacht.
06:35
the passwordswachtwoorden were that people were creatinghet creëren van,
06:38
but as you maymei recallterugroepen, there isn't a good measuremaatregel
Maar je weet nog
dat je dat niet kan meten.
06:40
of passwordwachtwoord strengthkracht.
We besloten te kijken
06:42
So what we decidedbeslist to do was to see
hoe snel je de wachtwoorden kon kraken
06:45
how long it would take to crackbarst these passwordswachtwoorden
met de beste kraak-trucs
die de boeven gebruiken,
06:47
usinggebruik makend van the bestbeste crackingkraken toolsgereedschap
06:48
that the badslecht guys are usinggebruik makend van,
of waar we iets over konden vinden
06:50
or that we could find informationinformatie about
in de onderzoeksliteratuur.
06:52
in the researchOnderzoek literatureliteratuur.
Om je een idee te geven wat boeven doen
06:54
So to give you an ideaidee of how badslecht guys
om wachtwoorden te kraken:
06:56
go about crackingkraken passwordswachtwoorden,
ze stelen een wachtwoordbestand
06:59
they will stealstelen a passwordwachtwoord filehet dossier
waar alle wachtwoorden in zitten
07:01
that will have all of the passwordswachtwoorden
in een verhaspelde vorm, een 'hash',
07:03
in kindsoort of a scrambledvervormd formformulier, calledriep a hashhash,
en ze gokken wat een wachtwoord is,
07:06
and so what they'llzullen ze do is they'llzullen ze make a guessraden
07:08
as to what a passwordwachtwoord is,
gooien het door een verhaspelfunctie
07:10
runrennen it throughdoor a hashinghashing functionfunctie,
en kijken of het klopt met de wachtwoorden
07:12
and see whetherof it matcheswedstrijden
07:14
the passwordswachtwoorden they have on
theirhun stolengestolen passwordwachtwoord listlijst.
die ze op hun gestolen lijst hebben.
Een domme kraker
probeert alle wachtwoorden.
07:18
So a dumbstom attackeraanvaller will try everyelk passwordwachtwoord in orderbestellen.
Ze beginnen met AAAAA en dan AAAAB.
07:21
They'llZij zullen startbegin with AAAAAAAAAA and moveverhuizing on to AAAABAAAAB,
Het duurt dus wel even om
de meest gebruikte paswoorden te vinden.
07:24
and this is going to take a really long time
07:27
before they get any passwordswachtwoorden
07:28
that people are really likelywaarschijnlijk to actuallywerkelijk have.
Slimme krakers echter
07:31
A smartslim attackeraanvaller, on the other handhand-,
doen het veel slimmer.
07:33
does something much more cleverknap.
Die kijken naar wachtwoorden
07:34
They look at the passwordswachtwoorden
die bekend staan als veelgebruikt
07:36
that are knownbekend to be popularpopulair
uit die gestolen wachtwoorden
07:38
from these stolengestolen passwordwachtwoord setssets,
en proberen die eerst.
07:40
and they guessraden those first.
'password' proberen ze eerst uit.
07:41
So they're going to startbegin by guessinggissen "passwordwachtwoord,"
Dan proberen ze 'I love you' en 'monkey'
07:43
and then they'llzullen ze guessraden "I love you," and "monkeyaap,"
en '12345678'
07:46
and "12345678,"
omdat het de meestgebruikte
wachtwoorden zijn
07:48
because these are the passwordswachtwoorden
07:50
that are mostmeest likelywaarschijnlijk for people to have.
07:52
In factfeit, some of you probablywaarschijnlijk have these passwordswachtwoorden.
Sommigen van jullie
zullen die wachtwoorden gebruiken.
07:57
So what we foundgevonden
Door al onze 5.000 wachtwoorden
te proberen,
07:58
by runninglopend all of these 5,000 passwordswachtwoorden we collectedverzamelde
08:01
throughdoor these teststesten to see how strongsterk they were,
en te testen hoe sterk ze waren,
zagen we dat de lange wachtwoorden
08:06
we foundgevonden that the long passwordswachtwoorden
best wel sterk waren.
08:08
were actuallywerkelijk prettymooi strongsterk,
De ingewikkelde waren ook vrij sterk.
08:10
and the complexcomplex passwordswachtwoorden were prettymooi strongsterk too.
Maar als we keken
naar de enquêtes,
08:13
HoweverEchter, when we lookedkeek at the surveyenquête datagegevens,
zagen we dat men nogal gefrustreerd was
08:15
we saw that people were really frustratedgefrustreerd
door deze ingewikkelde wachtwoorden.
08:18
by the very complexcomplex passwordswachtwoorden,
De lange waren een stuk bruikbaarder
08:21
and the long passwordswachtwoorden were a lot more usablebruikbaar,
en soms waren ze zelfs sterker
08:23
and in some casesgevallen, they were actuallywerkelijk
08:25
even strongersterker than the complexcomplex passwordswachtwoorden.
dan de ingewikkelde wachtwoorden.
Dit geeft aan dat je niet moet zeggen
08:27
So this suggestssuggereert that,
08:29
insteadin plaats daarvan of tellingvertellen people that they need
dat je al die tekens,
cijfers en idiote dingen
08:30
to put all these symbolssymbolen and numbersgetallen
08:32
and crazygek things into theirhun passwordswachtwoorden,
in je wachtwoorden moet stoppen.
08:35
we mightmacht be better off just tellingvertellen people
Je kunt beter lange wachtwoorden gebruiken.
08:37
to have long passwordswachtwoorden.
Er is wel een probleem:
08:39
Now here'shier is the problemprobleem, thoughhoewel:
sommigen hadden lange wachtwoorden
08:41
Some people had long passwordswachtwoorden
die helemaal niet sterk waren.
08:43
that actuallywerkelijk weren'twaren niet very strongsterk.
Je kunt lange wachtwoorden maken
08:45
You can make long passwordswachtwoorden
die nog steeds makkelijk
te raden zijn door aanvallers.
08:47
that are still the sortsoort of thing
08:49
that an attackeraanvaller could easilygemakkelijk guessraden.
08:50
So we need to do more than
just say long passwordswachtwoorden.
We moeten dus niet alleen lange
wachtwoorden voorschrijven.
Er moet nog iets bij.
08:54
There has to be some additionalextra requirementsvereisten,
We onderzoeken nog
08:56
and some of our ongoingvoortdurende researchOnderzoek is looking at
welke extra voorschriften het moeten zijn
08:59
what additionalextra requirementsvereisten we should addtoevoegen
om sterkere wachtwoorden te krijgen
09:01
to make for strongersterker passwordswachtwoorden
die makkelijk te onthouden
en te typen zijn.
09:03
that alsoook are going to be easygemakkelijk for people
09:05
to rememberonthouden and typetype.
Een andere aanpak
voor sterkere wachtwoorden
09:08
AnotherEen ander approachnadering to gettingkrijgen people to have
09:10
strongersterker passwordswachtwoorden is to use a passwordwachtwoord metermeter.
is een wachtwoordmeter.
Hier zijn wat voorbeelden.
09:12
Here are some examplesvoorbeelden.
Misschien heb je ze al gezien
09:14
You maymei have seengezien these on the InternetInternet
toen je een wachtwoord moest maken.
09:15
when you were creatinghet creëren van passwordswachtwoorden.
We besloten te onderzoeken
09:18
We decidedbeslist to do a studystudie to find out
of deze wachtwoordmeters echt werken.
09:21
whetherof these passwordwachtwoord metersmeter actuallywerkelijk work.
Helpen ze echt
09:23
Do they actuallywerkelijk help people
om sterkere wachtwoorden te maken?
09:25
have strongersterker passwordswachtwoorden,
09:26
and if so, whichwelke onesdegenen are better?
Zo ja, welke zijn het best?
We hebben wachtwoordmeters getest
09:28
So we testedgetest passwordwachtwoord metersmeter that were
met verschillende lengtes,
vormen, kleuren,
09:31
differentverschillend sizesmaten, shapesvormen, colorskleuren,
met allerlei woorden erbij.
09:33
differentverschillend wordstekst nextvolgende to them,
Zelfs eentje met een dansend konijn.
09:34
and we even testedgetest one that was a dancingdansen bunnyBunny.
Terwijl je een wachtwoord typt,
danst het konijn steeds sneller.
09:38
As you typetype a better passwordwachtwoord,
09:39
the bunnyBunny dancesdansen fastersneller and fastersneller.
Dat was lachen.
09:42
So this was prettymooi funpret.
We zagen
dat wachtwoordmeters werken.
09:44
What we foundgevonden
09:46
was that passwordwachtwoord metersmeter do work.
(Gelach)
09:49
(LaughterGelach)
De meeste wachtwoordmeters waren effectief
09:51
MostDe meeste of the passwordwachtwoord metersmeter were actuallywerkelijk effectiveeffectief,
en het dansend konijn
was ook erg effectief,
09:55
and the dancingdansen bunnyBunny was very effectiveeffectief too,
maar de effectiefste wachtwoordmeters
09:57
but the passwordwachtwoord metersmeter that were the mostmeest effectiveeffectief
waren die waar je harder moest werken
10:00
were the onesdegenen that madegemaakt you work harderharder
10:02
before they gavegaf you that thumbsduimen up and said
voordat je een opgestoken duim kreeg
en geprezen werd.
10:04
you were doing a good jobbaan,
10:06
and in factfeit we foundgevonden that mostmeest
We zagen dat de meeste wachtwoordmeters
10:07
of the passwordwachtwoord metersmeter on the InternetInternet todayvandaag
op het internet
te flauw zijn.
10:10
are too softzacht.
Ze zeggen te snel dat je het goed doet.
10:10
They tell you you're doing a good jobbaan too earlyvroeg,
Als ze iets langer zouden wachten
10:13
and if they would just wait a little bitbeetje
voordat ze je postieve feedback gaven,
10:15
before givinggeven you that positivepositief feedbackterugkoppeling,
dan zou je waarschijnlijk
betere wachtwoorden maken.
10:17
you probablywaarschijnlijk would have better passwordswachtwoorden.
Een andere aanpak
voor betere wachtwoorden is misschien
10:20
Now anothereen ander approachnadering to better passwordswachtwoorden, perhapsmisschien,
om zinnen te gebruiken
in plaats van wachtwoorden.
10:24
is to use passslagen voor phraseszinnen insteadin plaats daarvan of passwordswachtwoorden.
Dit was een cartoon van xkcd
van een paar jaar geleden.
10:27
So this was an xkcdxkcd cartoonspotprent
from a couplepaar of yearsjaar agogeleden,
10:30
and the cartooniststriptekenaar suggestssuggereert
De tekenaar suggereert
10:32
that we should all use passslagen voor phraseszinnen,
dat we zinnen moeten gebruiken.
Als je naar de tweede rij kijkt,
10:34
and if you look at the secondtweede rowrij of this cartoonspotprent,
dan zie je dat de tekenaar aangeeft
10:37
you can see the cartooniststriptekenaar is suggestingsuggereren
dat de zin 'correct horse battery staple'
10:39
that the passslagen voor phraseuitdrukking "correctcorrect horsepaard batteryaccu staplekram"
een erg sterk wachtwoord zou zijn
10:42
would be a very strongsterk passslagen voor phraseuitdrukking
dat makkelijk te onthouden is.
10:45
and something really easygemakkelijk to rememberonthouden.
Hij zegt dat je het al hebt onthouden.
10:47
He sayszegt, in factfeit, you've alreadynu al rememberedherinnerde it.
We besloten uit te zoeken
10:50
And so we decidedbeslist to do a researchOnderzoek studystudie
of dat waar was.
10:52
to find out whetherof this was truewaar or not.
Iedereen aan wie ik zeg
10:54
In factfeit, everybodyiedereen who I talk to,
dat ik wachtwoordonderzoek doe,
10:56
who I mentionnoemen I'm doing passwordwachtwoord researchOnderzoek,
wijst me op deze strip.
10:58
they pointpunt out this cartoonspotprent.
"Heb je die gezien? Van xkcd.
10:59
"Oh, have you seengezien it? That xkcdxkcd.
Correct horse battery staple."
11:01
CorrectCorrigeren horsepaard batteryaccu staplekram."
We deden onderzoek
11:03
So we did the researchOnderzoek studystudie to see
om te zien wat er zou gebeuren.
11:04
what would actuallywerkelijk happengebeuren.
In ons onderzoek gebruikten we weer
die Mechanische Turk.
11:07
So in our studystudie, we used MechanicalMechanische TurkTurk again,
We lieten de computer woorden kiezen
11:10
and we had the computercomputer pickplukken the randomwillekeurig wordstekst
voor de wachtwoordzin.
11:14
in the passslagen voor phraseuitdrukking.
De reden ervan was
11:15
Now the reasonreden we did this
dat mensen slecht zijn
in willekeurige woorden kiezen.
11:16
is that humansmensen are not very good
11:18
at pickingpluk randomwillekeurig wordstekst.
11:19
If we askedgevraagd a humanmenselijk to do it,
Als we een mens laten kiezen,
kiest hij niet willekeurig.
11:21
they would pickplukken things that were not very randomwillekeurig.
We kozen een paar voorwaarden.
11:24
So we triedbeproefd a fewweinig differentverschillend conditionsvoorwaarden.
Bij eentje koos de computer
11:26
In one conditionstaat, the computercomputer pickeduitgekozen
uit een woordenlijst met
normale Engelse woorden.
11:28
from a dictionarywoordenboek of the very commongemeenschappelijk wordstekst
11:30
in the EnglishEngels languagetaal,
Dan krijg je zinnen als
11:31
and so you'dje zou get passslagen voor phraseszinnen like
"try there three come".
11:33
"try there threedrie come."
11:35
And we lookedkeek at that, and we said,
Dat leek ons niet makkelijk te onthouden.
11:37
"Well, that doesn't really seemlijken very memorablememorabele."
Toen lieten we woorden kiezen
11:40
So then we triedbeproefd pickingpluk wordstekst
uit specifieke woordsoorten, bijvoorbeeld
11:42
that camekwam from specificspecifiek partsonderdelen of speechtoespraak,
substantief-werkwoord-adjectief-substantief.
11:44
so how about noun-verb-adjective-nounzelfstandig naamwoord-werkwoord-bijvoeglijk naamwoord-zelfstandig naamwoord.
Dan krijg je een soort zinnen.
11:47
That comeskomt up with something
that's sortsoort of sentence-likezin-achtige.
Je krijgt dan een zin als
11:49
So you can get a passslagen voor phraseuitdrukking like
'plan builds sure power',
11:51
"planplan buildsbouwt sure powermacht"
of 'end determines red drug'.
11:53
or "endeinde determinesbepaalt redrood drugdrug."
Deze leken wat makkelijker te onthouden.
11:55
And these seemedscheen a little bitbeetje more memorablememorabele,
Misschien wilde men die liever.
11:58
and maybe people would like those a little bitbeetje better.
We wilden ze vergelijken met wachtwoorden.
12:01
We wanted to comparevergelijken them with passwordswachtwoorden,
We lieten de computer willekeurig
woorden kiezen.
12:03
and so we had the computercomputer
pickplukken randomwillekeurig passwordswachtwoorden,
Deze waren kort en mooi, maar je ziet
12:07
and these were niceleuk and shortkort, but as you can see,
12:09
they don't really look very memorablememorabele.
dat ze niet makkelijk te onthouden zijn.
Toen probeerden we iets wat
een 'uitspreekbaar woord' heet.
12:11
And then we decidedbeslist to try something calledriep
12:13
a pronounceablepronounceable passwordwachtwoord.
De computer neemt dan lettergrepen
12:14
So here the computercomputer picksPicks randomwillekeurig syllableslettergrepen
en plakt ze aan elkaar.
12:17
and putsputs them togethersamen
Dan krijg je iets dat je kunt uitspreken,
12:18
so you have something sortsoort of pronounceablepronounceable,
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
zoals 'tufritvi' en 'vadasabi'.
Dat rolt zo van je tong.
12:23
That one kindsoort of rollsbroodjes off your tonguetong.
Het waren willekeurige wachtwoorden
12:25
So these were randomwillekeurig passwordswachtwoorden that were
die uit de computer kwamen.
12:27
generatedgegenereerd by our computercomputer.
We ontdekten met dit onderzoek,
gek genoeg,
12:30
So what we foundgevonden in this studystudie was that, surprisinglyverrassend,
dat wachtwoordzinnen niet zo goed zijn.
12:33
passslagen voor phraseszinnen were not actuallywerkelijk all that good.
Mensen kunnen niet veel beter
de wachtwoordzinnen onthouden
12:37
People were not really better at rememberingherinneren
dan willekeurige wachtwoorden.
12:40
the passslagen voor phraseszinnen than these randomwillekeurig passwordswachtwoorden,
Omdat de wachtwoordzinnen langer zijn,
12:43
and because the passslagen voor phraseszinnen are longerlanger,
duurt het typen langer
12:45
they tooknam longerlanger to typetype
en maakt men meer fouten.
12:47
and people madegemaakt more errorsfouten while typingtypen them in.
Wachtwoordzinnen zijn dus niet
duidelijk beter.
12:50
So it's not really a clearduidelijk winwinnen for passslagen voor phraseszinnen.
Sorry, xkcd-liefhebbers.
12:53
Sorry, all of you xkcdxkcd fansfans.
Maar we vonden wel
12:56
On the other handhand-, we did find
dat uitspreekbare wachtwoorden
12:58
that pronounceablepronounceable passwordswachtwoorden
verrassend goed werkten.
13:00
workedwerkte surprisinglyverrassend well,
We doen nu nog meer onderzoek
13:01
and so we actuallywerkelijk are doing some more researchOnderzoek
om te zien of we het
beter kunnen aanpakken.
13:04
to see if we can make that
approachnadering work even better.
Een van de problemen was
13:07
So one of the problemsproblemen
dat sommige van onze onderzoeken
13:09
with some of the studiesstudies that we'vewij hebben donegedaan
met de Mechanische Turk
13:10
is that because they're all donegedaan
gedaan werden.
13:12
usinggebruik makend van MechanicalMechanische TurkTurk,
Het zijn geen echte wachtwoorden.
13:14
these are not people'sPeople's realecht passwordswachtwoorden.
Het zijn de wachtwoorden die men,
of de computer,
13:15
They're the passwordswachtwoorden that they createdaangemaakt
13:18
or the computercomputer createdaangemaakt for them for our studystudie.
voor het onderzoek maakte.
We wilden weten of mensen
hetzelfde deden
13:20
And we wanted to know whetherof people
13:22
would actuallywerkelijk behavezich gedragen the samedezelfde way
met hun echte wachtwoorden.
13:24
with theirhun realecht passwordswachtwoorden.
We overlegden met de IT-afdeling
van Carnegie Mellon
13:26
So we talkedgesproken to the informationinformatie
securityveiligheid officekantoor at CarnegieCarnegie MellonMellon
en vroegen of we alle wachtwoorden
mochten hebben.
13:30
and askedgevraagd them if we could
have everybody'svan iedereen realecht passwordswachtwoorden.
Ze waren natuurlijk terughoudend
13:34
Not surprisinglyverrassend, they were a little bitbeetje reluctantonwillig
om ze met ons te delen,
13:35
to sharedelen them with us,
maar we mochten een systeem uitwerken
13:37
but we were actuallywerkelijk ablein staat to work out
13:39
a systemsysteem with them
waarbij ze alle echte wachtwoorden
13:40
where they put all of the realecht passwordswachtwoorden
13:42
for 25,000 CMUCMU studentsstudenten, facultyfaculteit and staffpersoneel,
van 25.000 studenten, professoren
en medewerkers
13:45
into a lockedopgesloten computercomputer in a lockedopgesloten roomkamer,
in een gesloten computer stopten
in een afgesloten kamer zonder internet.
13:47
not connectedaangesloten to the InternetInternet,
Ze lieten met een programma
13:49
and they ranrende codecode on it that we wroteschreef
deze wachtwoorden analyseren.
13:51
to analyzeanalyseren these passwordswachtwoorden.
Ze checkten ons programma.
13:53
They auditedgecontroleerd our codecode.
Ze lieten het draaien.
13:54
They ranrende the codecode.
Op die manier konden we nooit
de wachtwoorden zien.
13:55
And so we never actuallywerkelijk saw
13:57
anybody'siedereen is passwordwachtwoord.
We kregen interessante uitkomsten
14:00
We got some interestinginteressant resultsuitslagen,
en de Tepper-studenten daar achteraan
14:02
and those of you TepperTepper studentsstudenten in the back
14:03
will be very interestedgeïnteresseerd in this.
zullen het interessant vinden.
We ontdekten dat de mensen
14:06
So we foundgevonden that the passwordswachtwoorden createdaangemaakt
van Computerwetenschappen
14:10
by people affiliatedaangesloten with the
schoolschool- of computercomputer sciencewetenschap
een 1,8 keer zo sterk wachtwoord hadden
14:12
were actuallywerkelijk 1.8 timestijden strongersterker
als die van de business-school.
14:14
than those affiliatedaangesloten with the businessbedrijf schoolschool-.
Er kwam ook veel interessante
14:18
We have lots of other really interestinginteressant
demografische informatie uit.
14:20
demographicdemografisch informationinformatie as well.
Ook interessant was
14:22
The other interestinginteressant thing that we foundgevonden
dat tussen de wachtwoorden
van Carnegie Mellon
14:24
is that when we comparedvergeleken
the CarnegieCarnegie MellonMellon passwordswachtwoorden
en die van de Mechanische Turk
14:27
to the MechanicalMechanische Turk-generatedTurk-gegenereerd passwordswachtwoorden,
weinig verschil bestond.
14:29
there was actuallywerkelijk a lot of similaritiesgelijkenissen,
Dat hielp de methode te valideren
14:31
and so this helpedgeholpen validatevalideren our researchOnderzoek methodmethode
en liet zien dat het verzamelen
van wachtwoorden
14:33
and showtonen that actuallywerkelijk, collectingverzamelen passwordswachtwoorden
met de Mechanische Turk
14:36
usinggebruik makend van these MechanicalMechanische TurkTurk studiesstudies
een geldige manier was
om wachtwoorden te bestuderen.
14:38
is actuallywerkelijk a validGeldig way to studystudie passwordswachtwoorden.
Dat was dus goed nieuws.
14:41
So that was good newsnieuws.
Ik wil afsluiten met wat inzichten
14:43
Okay, I want to closedichtbij by talkingpratend about
die ik kreeg tijdens mijn sabbatical
14:45
some insightsinzichten I gainedopgedaan while on sabbaticalsabbatical
afgelopen jaar op de
kunstfaculteit van Carnegie Mellon.
14:47
last yearjaar in the CarnegieCarnegie MellonMellon artkunst schoolschool-.
Een van de dingen die ik deed,
14:51
One of the things that I did
14:52
is I madegemaakt a numberaantal of quiltsdekbedden,
was quilts maken.
Ik heb deze gemaakt.
14:53
and I madegemaakt this quiltquilt here.
Hij heet 'Veiligheidsdeken'.
14:55
It's calledriep "SecurityVeiligheid BlanketDeken."
(Gelach)
14:57
(LaughterGelach)
Deze heeft de duizend
meest gestolen wachtwoorden
14:59
And this quiltquilt has the 1,000
15:02
mostmeest frequentveel voorkomend passwordswachtwoorden stolengestolen
van de website van RockYou.
15:05
from the RockYouRockYou websitewebsite.
De grootte van het wachtwoord geeft aan
15:07
And the sizegrootte of the passwordswachtwoorden is proportionalproportioneel
hoe vaak het gestolen is.
15:09
to how frequentlyvaak they appearedverschenen
15:11
in the stolengestolen datasetDataset.
Ik heb deze woordenwolk gemaakt
15:13
And what I did is I createdaangemaakt this wordwoord cloudwolk,
door alle 1000 woorden langs te gaan,
15:16
and I wentgegaan throughdoor all 1,000 wordstekst,
en in aparte thema's te groeperen.
15:18
and I categorizedgecategoriseerd them into
15:20
looselos thematicthematische categoriescategorieën.
Soms was het moeilijk
om uit te vinden
15:22
And it was, in some casesgevallen,
15:24
it was kindsoort of difficultmoeilijk to figurefiguur out
in welke categorie ze moesten.
15:26
what categorycategorie they should be in,
Daarna gaf ik ze een kleur.
15:28
and then I color-codedvergelijkende them.
Hier is een voorbeeld
hoe lastig dat was:
15:30
So here are some examplesvoorbeelden of the difficultymoeilijkheid.
'Justin'
15:33
So "justinJustin."
Is dat de naam van de gebruiker?
15:34
Is that the namenaam of the usergebruiker,
Haar vriendje of haar zoon?
15:36
theirhun boyfriendvriendje, theirhun sonzoon?
Misschien wel een Justin Bieber-fan.
15:37
Maybe they're a JustinJustin BieberBieber fanventilator.
Of 'princess'.
15:40
Or "princessPrinses."
Is dat een koosnaam?
15:42
Is that a nicknamebijnaam?
Zijn het fans van de Disney-prinses?
15:44
Are they DisneyDisney princessPrinses fansfans?
15:45
Or maybe that's the namenaam of theirhun catkat.
Of het is de naam van hun kat.
'Iloveyou' verschijnt vaak,
15:49
"IloveyouILOVEYOU" appearskomt naar voren manyveel timestijden
in allerlei talen.
15:51
in manyveel differentverschillend languagestalen.
Er zit veel liefde in deze wachtwoorden.
15:52
There's a lot of love in these passwordswachtwoorden.
Als je goed oplet,
vind je ook wat vulgariteit,
15:56
If you look carefullyvoorzichtig, you'llje zult see there's alsoook
15:58
some profanitygodslastering,
maar ik vond het erg interessant
16:00
but it was really interestinginteressant to me to see
dat er meer liefde dan haat
16:02
that there's a lot more love than hatehaat
in deze wachtwoorden zat.
16:04
in these passwordswachtwoorden.
En er zijn dieren,
16:06
And there are animalsdieren,
veel dieren.
16:08
a lot of animalsdieren,
'monkey' is het meestgebruikte dier.
16:09
and "monkeyaap" is the mostmeest commongemeenschappelijk animaldier
Het op 14 na meestgebruikte wachtwoord.
16:12
and the 14thth mostmeest popularpopulair passwordwachtwoord overallglobaal.
Dat vond ik heel bijzonder.
16:15
And this was really curiousnieuwsgierig to me,
Ik vroeg me af
waarom apen zo populair zijn.
16:17
and I wonderedvroeg me af, "Why are monkeysapen so popularpopulair?"
Telkens we tijdens ons laatste onderzoek
iemand ontdekten
16:20
And so in our last passwordwachtwoord studystudie,
16:23
any time we detectedgedetecteerd somebodyiemand
die een wachtwoord had met 'monkey' erin,
16:25
creatinghet creëren van a passwordwachtwoord with the wordwoord "monkeyaap" in it,
vroegen we waarom ze dat hadden.
16:28
we askedgevraagd them why they had
a monkeyaap in theirhun passwordwachtwoord.
We ontdekten --
16:31
And what we foundgevonden out --
we vonden tot nu toe 17 mensen
16:33
we foundgevonden 17 people so farver, I think,
die het woord 'monkey' hadden --
16:35
who have the wordwoord "monkeyaap" --
16:36
We foundgevonden out about a thirdderde of them said
We ontdekten dat een derde
een huisdier heeft dat 'monkey' heet.
16:38
they have a pethuisdier namedgenaamd "monkeyaap"
of een vriend met koosnaam 'monkey'.
16:39
or a friendvriend whosewaarvan nicknamebijnaam is "monkeyaap,"
Een derde hield gewoon van apen.
16:42
and about a thirdderde of them said
16:43
that they just like monkeysapen
en vond apen gewoon leuk.
16:45
and monkeysapen are really cuteschattig.
Dit ventje is echt schattig.
16:47
And that guy is really cuteschattig.
Het komt erop neer dat we
bij het maken van wachtwoorden
16:50
So it seemslijkt that at the endeinde of the day,
16:54
when we make passwordswachtwoorden,
iets maken dat makkelijk te typen is,
16:55
we eithereen van beide make something that's really easygemakkelijk
16:57
to typetype, a commongemeenschappelijk patternpatroon,
een bekend patroon,
of iets dat herinnert
aan het woord 'wachtwoord'
17:00
or things that remindherinneren us of the wordwoord passwordwachtwoord
of aan het account waar we het voor maken
17:03
or the accountaccount that we'vewij hebben createdaangemaakt the passwordwachtwoord for,
of 'watdanook'.
17:06
or whateverwat dan ook.
Of we denken aan dingen
waar we blij van worden.
17:09
Or we think about things that make us happygelukkig,
We baseren ons wachtwoord
17:11
and we createcreëren our passwordwachtwoord
op dingen waar we blij van worden.
17:13
basedgebaseerde on things that make us happygelukkig.
Hoewel dat het typen en onthouden
17:15
And while this makesmerken typingtypen
17:18
and rememberingherinneren your passwordwachtwoord more funpret,
van je wachtwoord leuker maakt,
wordt het wel een stuk makkelijker
17:21
it alsoook makesmerken it a lot easiergemakkelijker
om je wachtwoord te raden.
17:23
to guessraden your passwordwachtwoord.
Ik weet dat TED Talks
17:24
So I know a lot of these TEDTED TalksGesprekken
vaak inspirerend zijn
17:26
are inspirationalinspirerende
en je doen denken aan fijne dingen,
17:27
and they make you think about niceleuk, happygelukkig things,
maar als je je wachtwoord maakt,
17:30
but when you're creatinghet creëren van your passwordwachtwoord,
probeer dan aan iets anders te denken.
17:32
try to think about something elseanders.
Dank je wel.
17:34
Thank you.
(Applaus)
17:35
(ApplauseApplaus)
Translated by Dick Stada
Reviewed by Rik Delaet

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com