ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: O que há de errado com a sua palavra-pa$$e?

Filmed:
1,520,582 views

Lorrie Faith Cranor estudou milhares de palavras-passe reais para descobrir os erros mais surpreendentes e mais comuns que os utilizadores — e "sites" seguros — fazem, comprometendo a sua segurança. E como é que ela estudou milhares de palavras-passe reais sem comprometer a segurança de nenhum utilizador? Essa é uma história em si. É informação secreta que vale a pena conhecer, especialmente se a sua palavra-passe é 123456...
- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

Sou uma Professora de Engenharia e
Ciência Informática aqui na Carnegie Mellon,
00:12
I am a computercomputador scienceCiência and engineeringEngenharia
professorprofessor here at CarnegieCarnegie MellonMellon,
0
535
3445
e a minha investigação centra-se na
privacidade e segurança utilizáveis,
00:15
and my researchpesquisa focusesfoca on
usableutilizável privacyprivacidade and securitysegurança,
1
3980
4248
00:20
and so my friendsamigos like to give me examplesexemplos
2
8228
2768
e, por isso, os meus amigos
gostam de me dar exemplos
00:22
of theirdeles frustrationsfrustrações with computingInformática systemssistemas,
3
10996
2202
das suas frustrações com
os sistemas informáticos,
00:25
especiallyespecialmente frustrationsfrustrações relatedrelacionado to
4
13198
3354
especialmente as suas
frustrações relacionadas com
00:28
unusableinutilizável privacyprivacidade and securitysegurança.
5
16552
4112
privacidade e segurança inutilizáveis.
00:32
So passwordssenhas are something that I hearouvir a lot about.
6
20664
2711
Por isso, as palavras-passe são
algo de que eu oiço muito falar.
00:35
A lot of people are frustratedfrustrado with passwordssenhas,
7
23375
2880
Muitas pessoas estão frustradas
com as palavras-passe,
00:38
and it's badmau enoughsuficiente
8
26255
1694
e é suficientemente mau
00:39
when you have to have one really good passwordsenha
9
27949
2644
quando temos que ter uma
palavra-passe realmente boa
00:42
that you can rememberlembrar
10
30593
1822
que possamos memorizar
00:44
but nobodyninguém elseoutro is going to be ablecapaz to guessacho.
11
32415
2894
mas que mais ninguém
seja capaz de adivinhar.
00:47
But what do you do when you have accountscontas
12
35309
1637
Mas o que devemos fazer
quando temos contas
00:48
on a hundredcem differentdiferente systemssistemas
13
36946
1808
numa centena de sistemas diferentes
00:50
and you're supposedsuposto to have a uniqueúnico passwordsenha
14
38754
2276
e é suposto termos uma palavra-passe única
00:53
for eachcada of these systemssistemas?
15
41030
3037
para cada um desses sistemas?
00:56
It's toughresistente.
16
44067
2184
É complicado.
00:58
At CarnegieCarnegie MellonMellon, they used to make it
17
46251
1759
Na Universidade de Carnegie Mellon,
costumavam fazer com que fosse
01:00
actuallyna realidade prettybonita easyfácil for us
18
48010
1299
realmente fácil para nós
01:01
to rememberlembrar our passwordssenhas.
19
49309
1737
memorizarmos
as nossas palavras-passe.
01:03
The passwordsenha requirementrequerimento up throughatravés 2009
20
51046
2403
O requisito para as
palavras-passe até 2009
01:05
was just that you had to have a passwordsenha
21
53449
2379
era apenas que teríamos
que ter uma palavra-passe
01:07
with at leastpelo menos one characterpersonagem.
22
55828
2211
com pelo menos um carácter.
01:10
PrettyMuito easyfácil. But then they changedmudou things,
23
58039
2888
Bastante simples.
Mas depois as coisas mudaram,
e no final de 2009, anunciaram
01:12
and at the endfim of 2009, they announcedanunciado
24
60927
2670
01:15
that we were going to have a newNovo policypolítica,
25
63597
2376
que iriam ter uma nova política
01:17
and this newNovo policypolítica requiredrequeridos
26
65973
1863
e essa política exigia
01:19
passwordssenhas that were at leastpelo menos eightoito characterspersonagens long,
27
67836
2681
palavras-passe que tivessem
pelo menos oito caracteres,
01:22
with an uppercaseletras maiusculas lettercarta, lowercaseletras minúsculas lettercarta,
28
70517
1775
com uma letra maiúscula,
uma letra minúscula,
01:24
a digitdígito, a symbolsímbolo,
29
72292
1288
um número, um símbolo,
01:25
you couldn'tnão podia use the samemesmo
characterpersonagem more than threetrês timesvezes,
30
73580
2638
não podíamos utilizar o mesmo
carácter mais do que três vezes,
01:28
and it wasn'tnão foi allowedpermitido to be in a dictionarydicionário.
31
76218
2434
e não poderia constar de um dicionário.
01:30
Now, when they implementedimplementado this newNovo policypolítica,
32
78652
2182
Quando eles implementaram
esta nova política,
01:32
a lot of people, my colleaguescolegas and friendsamigos,
33
80834
2310
muitas pessoas, os meus colegas e amigos,
01:35
cameveio up to me and they said, "WowUau,
34
83144
1854
vieram ter comigo e disseram:
"Uau, agora é que é realmente
inutilizável.
01:36
now that's really unusableinutilizável.
35
84998
1512
01:38
Why are they doing this to us,
36
86510
1193
"Porque é que eles nos estão a fazer isto,
01:39
and why didn't you stop them?"
37
87703
1711
"e porque é que tu não os impedes?"
01:41
And I said, "Well, you know what?
38
89414
1356
E eu disse: "Bem, sabem que mais?
01:42
They didn't askpergunte me."
39
90770
1508
"Eles não me perguntaram."
01:44
But I got curiouscurioso, and I decideddecidiu to go talk
40
92278
3465
Mas fiquei curiosa e decidi ir falar
01:47
to the people in chargecarregar of our computercomputador systemssistemas
41
95743
1937
com as pessoas responsáveis pelos
nossos sistemas informáticos
01:49
and find out what led them to introduceintroduzir
42
97680
2831
e descobrir o que os levou a introduzir
01:52
this newNovo policypolítica,
43
100511
1848
esta nova política,
e eles disseram que a universidade
01:54
and they said that the universityuniversidade
44
102359
1584
01:55
had joinedingressou a consortiumConsórcio of universitiesuniversidades,
45
103943
2366
se tinha juntado a um
consórcio de universidades,
01:58
and one of the requirementsrequisitos of membershipAssociação
46
106309
2634
e que um dos requisitos da adesão
02:00
was that we had to have strongermais forte passwordssenhas
47
108943
2248
era que tínhamos que usar
palavras-passe mais fortes
02:03
that compliedcumprida with some newNovo requirementsrequisitos,
48
111191
2272
que estivessem de acordo
com alguns novos requisitos,
02:05
and these requirementsrequisitos were that our passwordssenhas
49
113463
2104
e estes requisitos eram
de que nossas palavras-passe
02:07
had to have a lot of entropyentropia.
50
115567
1604
teriam que ter muita entropia.
02:09
Now entropyentropia is a complicatedcomplicado termprazo,
51
117171
2278
Entropia é um termo complicado,
02:11
but basicallybasicamente it measuresmedidas the strengthforça of passwordssenhas.
52
119449
2798
mas basicamente mede
a força das palavras-passe.
02:14
But the thing is, there isn't actuallyna realidade
53
122247
1979
Mas o que acontece é
que não há, na verdade,
02:16
a standardpadrão measurea medida of entropyentropia.
54
124226
1949
uma medida padrão de entropia.
02:18
Now, the NationalNacional InstituteInstituto
of StandardsNormas and TechnologyTecnologia
55
126175
2399
O Instituto Nacional de
Padrões e Tecnologia
02:20
has a setconjunto of guidelinesdiretrizes
56
128574
1553
tem um conjunto de diretrizes
02:22
whichqual have some rulesregras of thumbpolegar
57
130127
2568
que têm algumas regras gerais
02:24
for measuringmedindo entropyentropia,
58
132695
1440
para medir entropia,
02:26
but they don't have anything too specificespecífico,
59
134135
2895
mas não têm nada muito específico,
e a razão de terem apenas regras gerais,
02:29
and the reasonrazão they only have rulesregras of thumbpolegar
60
137030
2337
02:31
is it turnsgira out they don't actuallyna realidade have any good datadados
61
139367
3136
é por não terem, na verdade,
quaisquer dados válidos
02:34
on passwordssenhas.
62
142503
1520
sobre palavras-passe.
02:36
In factfacto, theirdeles reportrelatório statesestados,
63
144023
2312
Na verdade, o seu relatório afirma:
02:38
"UnfortunatelyInfelizmente, we do not have much datadados
64
146335
2328
"Infelizmente, não temos muitos dados
02:40
on the passwordssenhas usersComercial
chooseescolher undersob particularespecial rulesregras.
65
148663
2842
"sobre as palavras-passe que
os utilizadores escolhem
"de acordo com regras específicas.
02:43
NISTNIST would like to obtainobtivermos more datadados
66
151505
2333
"O INPT gostaria de obter mais dados
02:45
on the passwordssenhas usersComercial actuallyna realidade chooseescolher,
67
153838
2462
"sobre as palavras-passe que os
utilizadores realmente escolhem,
02:48
but systemsistema administratorsadministradores
are understandablyCompreensivelmente reluctantrelutante
68
156300
2463
"mas os administradores de sistema
estão compreensivelmente relutantes
02:50
to revealrevelar passwordsenha datadados to othersoutras."
69
158763
2940
"em revelar dados de palavras-passe
a outras pessoas. "
02:53
So this is a problemproblema, but our researchpesquisa groupgrupo
70
161703
3097
Portanto, isto é um problema,
mas o nosso grupo de investigação
02:56
lookedolhou at it as an opportunityoportunidade.
71
164800
2140
entendeu-o como uma oportunidade.
02:58
We said, "Well, there's a need
for good passwordsenha datadados.
72
166940
3100
Dissemos: "Bem, há uma necessidade
de bons dados sobre palavras-passe.
03:02
Maybe we can collectrecolher some good passwordsenha datadados
73
170040
2148
"Talvez possamos recolher alguns
bons dados sobre palavras-passe
03:04
and actuallyna realidade advanceavançar the stateEstado of the artarte here.
74
172188
2704
"e, fazer avançar, de facto,
o conhecimento nesta área".
03:06
So the first thing we did is,
75
174892
1672
Então a primeira coisa que fizemos foi,
03:08
we got a bagBolsa of candydoces barsbares
76
176564
1556
comprámos um saco de guloseimas
03:10
and we walkedcaminhou around campuscampus
77
178120
1086
e andámos pelo "campus"
03:11
and talkedfalou to studentsalunos, facultyFaculdade and stafffuncionários,
78
179206
2798
e falámos com estudantes,
professores e funcionários,
03:14
and askedperguntei them for informationem formação
79
182004
1530
e pedimos-lhes informações
03:15
about theirdeles passwordssenhas.
80
183534
1552
sobre as suas palavras-passe.
03:17
Now we didn't say, "Give us your passwordsenha."
81
185086
3004
Não lhes dissemos:
"Dê-me a sua palavra-passe."
03:20
No, we just askedperguntei them about theirdeles passwordsenha.
82
188090
2661
Não, apenas lhes perguntámos
sobre as suas palavras-passe.
03:22
How long is it? Does it have a digitdígito?
83
190751
1478
"É longa?"
"Tem algum número?"
03:24
Does it have a symbolsímbolo?
84
192229
1068
"Tem algum símbolo?"
03:25
And were you annoyedirritado at havingtendo to createcrio
85
193297
2045
E: "Foi-lhe aborrecido ter que criar
"uma nova na semana passada?"
03:27
a newNovo one last weeksemana?
86
195342
2744
03:30
So we got resultsresultados from 470 studentsalunos,
87
198086
3206
Assim conseguimos resultados
de 470 estudantes,
03:33
facultyFaculdade and stafffuncionários,
88
201292
971
professores e funcionários,
03:34
and indeedde fato we confirmedconfirmado that the newNovo policypolítica
89
202263
2514
e, de facto, confirmámos
que a nova política
03:36
was very annoyingirritante,
90
204777
1453
era muito irritante,
03:38
but we alsoAlém disso foundencontrado that people said
91
206230
1792
mas também descobrimos
que as pessoas diziam
03:40
they feltsentiu more secureSecure with these newNovo passwordssenhas.
92
208022
3130
sentir-se mais seguras com
estas novas palavras-passe.
03:43
We foundencontrado that mosta maioria people knewsabia
93
211152
2306
Descobrimos que a maior
parte das pessoas sabia
03:45
they were not supposedsuposto to
writeEscreva theirdeles passwordsenha down,
94
213458
2152
que não deveria anotar
as suas palavras-passe,
03:47
and only 13 percentpor cento of them did,
95
215610
2391
e apenas 13 por cento o fizeram,
03:50
but disturbinglyperturbadoramente, 80 percentpor cento of people
96
218001
2416
mas estranhamente,
80 por cento das pessoas
03:52
said they were reusingreutilizando theirdeles passwordsenha.
97
220417
2124
afirmaram estar a reutilizar
as suas palavras-passe.
03:54
Now, this is actuallyna realidade more dangerousperigoso
98
222541
1796
Na verdade, isto é mais perigoso
03:56
than writingescrevendo your passwordsenha down,
99
224337
2022
do que anotarmos a nossa palavra-passe,
03:58
because it makesfaz com que you much
more susceptiblesuscetível to attackersatacantes.
100
226359
3561
porque isto nos torna muito
mais suscetíveis a ataques.
04:01
So if you have to, writeEscreva your passwordssenhas down,
101
229920
3118
Então, se tiver que ser, anotem
as vossas palavras-passe,
04:05
but don't reusereuso them.
102
233038
1799
mas não as reutilizem.
04:06
We alsoAlém disso foundencontrado some interestinginteressante things
103
234837
1751
Também descobrimos algumas
coisas interessantes
04:08
about the symbolssímbolos people use in passwordssenhas.
104
236588
2961
sobre os símbolos que as pessoas
utilizam nas suas palavras-passe.
04:11
So CMUCMU allowspermite 32 possiblepossível symbolssímbolos,
105
239549
2799
A CMU permite 32 símbolos possíveis,
04:14
but as you can see, there's only a smallpequeno numbernúmero
106
242348
2433
mas como podem ver,
há apenas um número reduzido
04:16
that mosta maioria people are usingusando,
107
244781
1802
que a maior parte das
pessoas está a utilizar,
04:18
so we're not actuallyna realidade gettingobtendo very much strengthforça
108
246583
2941
por isso, não estamos a retirar
muita força
04:21
from the symbolssímbolos in our passwordssenhas.
109
249524
2466
dos símbolos nas nossas palavras-passe.
04:23
So this was a really interestinginteressante studyestude,
110
251990
2711
Portanto, este foi um
estudo muito interessante,
04:26
and now we had datadados from 470 people,
111
254701
2464
e agora tínhamos dados de 470 pessoas,
04:29
but in the schemeesquema of things,
112
257165
1305
mas em termos gerais,
04:30
that's really not very much passwordsenha datadados,
113
258470
2580
não são muitos dados sobre palavras-passe,
04:33
and so we lookedolhou around to see
114
261050
1445
e então olhámos à volta para ver
04:34
where could we find additionaladicionais passwordsenha datadados?
115
262495
2560
onde poderíamos encontrar
mais dados sobre palavras-passe?
04:37
So it turnsgira out there are a lot of people
116
265055
2176
Acontece que há muitas pessoas
04:39
going around stealingroubar passwordssenhas,
117
267231
2202
por aí a roubar palavras-passe,
04:41
and they oftenfrequentemente go and postpostar these passwordssenhas
118
269433
2477
e muitas vezes publicam
essas palavras-passe
04:43
on the InternetInternet.
119
271910
1337
na Internet.
04:45
So we were ablecapaz to get accessAcesso
120
273247
1673
Assim nós conseguimos ter acesso
04:46
to some of these stolenroubado passwordsenha setsconjuntos.
121
274920
3970
a alguns desses conjuntos
de palavras-passe roubadas.
04:50
This is still not really idealideal for researchpesquisa, thoughApesar,
122
278890
2328
No entanto, isto ainda não é
realmente ideal para a investigação,
04:53
because it's not entirelyinteiramente clearClaro
123
281218
2037
porque não é inteiramente claro
04:55
where all of these passwordssenhas cameveio from,
124
283255
2184
de onde vieram todas estas palavras-passe,
04:57
or exactlyexatamente what policiespolíticas were in effectefeito
125
285439
2242
ou exatamente quais eram
as políticas que estavam em vigor
04:59
when people createdcriada these passwordssenhas.
126
287681
2108
quando as pessoas criaram
estas palavras-passe.
05:01
So we wanted to find some better sourcefonte of datadados.
127
289789
3552
Então quisemos encontrar uma
melhor fonte de dados.
05:05
So we decideddecidiu that one thing we could do
128
293341
1634
Decidimos então que uma
coisa que podíamos fazer
05:06
is we could do a studyestude and have people
129
294975
2129
era fazer um estudo e ter pessoas
05:09
actuallyna realidade createcrio passwordssenhas for our studyestude.
130
297104
3240
a criarem, de facto, palavras-passe
para o nosso estudo.
05:12
So we used a serviceserviço calledchamado
AmazonAmazônia MechanicalMecânica TurkTurk,
131
300344
2821
Assim utilizámos um serviço
chamado Amazon Mechanical Turk,
05:15
and this is a serviceserviço where you can postpostar
132
303165
2334
e este é um serviço onde podemos
publicar "on-line"
05:17
a smallpequeno jobtrabalho onlineconectados that takes a minuteminuto,
133
305499
2304
um pequeno trabalho
que demore um minuto,
05:19
a fewpoucos minutesminutos, an hourhora,
134
307803
1500
alguns minutos, uma hora,
05:21
and paypagamento people, a pennycentavo, tendez centscentavos, a fewpoucos dollarsdólares,
135
309303
2584
e pague às pessoas, uma moeda de
um centavo, dez centavos, alguns dólares,
05:23
to do a tasktarefa for you,
136
311887
1346
para fazerem uma tarefa por nós,
05:25
and then you paypagamento them throughatravés AmazonAmazônia.comcom.
137
313233
2122
e depois pagamos-lhes
através da Amazon.com
05:27
So we paidpago people about 50 centscentavos
138
315355
2294
Então pagámos às pessoas 50 centavos
05:29
to createcrio a passwordsenha followingSegue our rulesregras
139
317649
2596
para criarem uma palavra-passe
seguindo as nossas regras
05:32
and answeringrespondendo a surveypesquisa,
140
320245
1410
e respondendo a um questionário,
05:33
and then we paidpago them again to come back
141
321655
2525
e depois pagámos-lhes
outra vez para voltarem
05:36
two daysdias latermais tarde and logregistro in
142
324180
2071
dois dias depois e fazerem o "login"
05:38
usingusando theirdeles passwordsenha and answeringrespondendo anotheroutro surveypesquisa.
143
326251
2574
utilizando as suas palavras-passe
e respondendo a outro questionário.
05:40
So we did this, and we collectedcoletado 5,000 passwordssenhas,
144
328825
4464
Fizemos então isto e recolhemos
5000 palavras-passe,
05:45
and we gavedeu people a bunchgrupo of differentdiferente policiespolíticas
145
333289
2695
e demos às pessoas
várias regras diferentes
05:47
to createcrio passwordssenhas with.
146
335984
1508
para criarem as suas palavras-passe.
05:49
So some people had a prettybonita easyfácil policypolítica,
147
337492
1910
Então algumas pessoas
tinham uma política muito simples,
05:51
we call it BasicBásico8,
148
339402
1539
a que chamámos Basic8,
05:52
and here the only ruleregra was that your passwordsenha
149
340941
2146
e aqui a única regra
era que a palavra-passe
05:55
had to have at leastpelo menos eightoito characterspersonagens.
150
343087
3416
tinha que ter pelo menos oito caracteres.
05:58
Then some people had a much hardermais difíceis policypolítica,
151
346503
2251
Depois algumas pessoas tinham
uma política muito mais rígida,
06:00
and this was very similarsemelhante to the CMUCMU policypolítica,
152
348754
2537
e esta era muito semelhante
à política da CMU,
06:03
that it had to have eightoito characterspersonagens
153
351291
1934
que tinha quer ter oito caracteres
06:05
includingIncluindo uppercaseletras maiusculas, lowercaseletras minúsculas, digitdígito, symbolsímbolo,
154
353225
2376
incluindo maiúsculas, minúsculas,
números, símbolos,
06:07
and passpassar a dictionarydicionário checkVerifica.
155
355601
2389
e passar por uma
verificação de dicionário.
06:09
And one of the other policiespolíticas we triedtentou,
156
357990
1335
E uma de outras políticas que tentámos,
06:11
and there were a wholetodo bunchgrupo more,
157
359325
1270
e havia várias outras,
06:12
but one of the onesuns we triedtentou was calledchamado BasicBásico16,
158
360595
2240
mas uma das que tentámos
era chamada Basic16.
06:14
and the only requirementrequerimento here
159
362835
2632
e a única exigência aqui
06:17
was that your passwordsenha had
to have at leastpelo menos 16 characterspersonagens.
160
365467
3153
era que a palavra-passe tinha
que ter pelos menos 16 caracteres.
06:20
All right, so now we had 5,000 passwordssenhas,
161
368620
2458
Muito bem, então tínhamos
5000 palavras-passe,
06:23
and so we had much more detailedDetalhado informationem formação.
162
371078
3563
e então tínhamos informação
muito mais detalhada.
06:26
Again we see that there's only a smallpequeno numbernúmero
163
374641
2559
Mais uma vez, vemos que há
apenas um pequeno número
06:29
of symbolssímbolos that people are actuallyna realidade usingusando
164
377200
1915
de símbolos que as
pessoas estão a utilizar
06:31
in theirdeles passwordssenhas.
165
379115
1886
nas suas palavras-passe.
06:33
We alsoAlém disso wanted to get an ideaidéia of how strongForte
166
381001
2599
Também queríamos ter
uma ideia do quão forte
06:35
the passwordssenhas were that people were creatingcriando,
167
383600
2771
eram as palavras-passe que
as pessoas estavam a criar,
06:38
but as you maypode recallrecordar, there isn't a good measurea medida
168
386371
2620
mas como se devem lembrar,
não há uma boa medida
06:40
of passwordsenha strengthforça.
169
388991
1754
de força da palavra-passe.
06:42
So what we decideddecidiu to do was to see
170
390745
2312
Então o que decidimos foi ver
06:45
how long it would take to crackcrack these passwordssenhas
171
393057
2370
quanto tempo levaria a
descobrir essas palavras-passe
06:47
usingusando the bestmelhor crackingrachaduras toolsFerramentas
172
395427
1414
utilizando as melhores
ferramentas para o efeito
06:48
that the badmau guys are usingusando,
173
396841
1808
que os "maus da fita" utilizam,
06:50
or that we could find informationem formação about
174
398649
2016
ou sobre as quais conseguimos
encontrar informação
06:52
in the researchpesquisa literatureliteratura.
175
400665
1537
na literatura da investigação.
06:54
So to give you an ideaidéia of how badmau guys
176
402202
2758
Então, para vos dar uma ideia
da forma como os "maus da fita"
06:56
go about crackingrachaduras passwordssenhas,
177
404960
2170
andam por aí a descodificar
palavras-passe,
06:59
they will stealroubar a passwordsenha fileArquivo
178
407130
1951
eles roubam um ficheiro de palavras-passe
07:01
that will have all of the passwordssenhas
179
409081
2153
que contém todas as palavras-passe
07:03
in kindtipo of a scrambledovos mexidos formFormato, calledchamado a hashhash,
180
411234
2889
numa espécie de forma baralhada,
chamada uma "hash",
07:06
and so what they'lleles vão do is they'lleles vão make a guessacho
181
414123
2562
e, por isso, o que eles fazem é:
dão um palpite sobre
qual é uma palavra-passe,
07:08
as to what a passwordsenha is,
182
416685
1712
07:10
runcorre it throughatravés a hashinghash functionfunção,
183
418397
1897
testam-na através de uma função "hash",
07:12
and see whetherse it matchescorresponde a
184
420294
1765
e vêem se corresponde
07:14
the passwordssenhas they have on
theirdeles stolenroubado passwordsenha listLista.
185
422059
3950
às palavras-passe que têm na sua
lista de palavras-passe roubadas.
07:18
So a dumbburro attackerinvasor will try everycada passwordsenha in orderordem.
186
426009
3105
Assim, um malfeitor idiota vai tentar
todas as palavras-passe por ordem.
07:21
They'llEles pensarão startcomeçar with AAAAAAAAAA and movemover on to AAAABAAAAB,
187
429114
3568
Vai começar com AAAAA e passar para AAAAB,
07:24
and this is going to take a really long time
188
432682
2418
e isto vai demorar imenso tempo
07:27
before they get any passwordssenhas
189
435100
1526
até que consiga alguma palavra-passe
07:28
that people are really likelyprovável to actuallyna realidade have.
190
436626
2697
que, de facto, seja provável
as pessoas terem.
07:31
A smartinteligente attackerinvasor, on the other handmão,
191
439323
2183
Um malfeitor esperto, por outro lado,
07:33
does something much more cleveresperto.
192
441506
1386
faz algo muito mais inteligente.
07:34
They look at the passwordssenhas
193
442892
1826
Olha para as palavras-passe
07:36
that are knownconhecido to be popularpopular
194
444718
1800
que sejam entendidas como mais populares
07:38
from these stolenroubado passwordsenha setsconjuntos,
195
446518
1727
nesses conjuntos de
palavras-passe roubadas,
07:40
and they guessacho those first.
196
448245
1189
e testa essas primeiro.
07:41
So they're going to startcomeçar by guessingSupondo que "passwordsenha,"
197
449434
2134
Então vai começar por
testar "palavra-passe,"
07:43
and then they'lleles vão guessacho "I love you," and "monkeymacaco,"
198
451568
2751
e depois vai testar
"I love you" e "macaco"
07:46
and "12345678,"
199
454319
2583
e "12345678",
07:48
because these are the passwordssenhas
200
456902
1312
porque essas são as palavra-passe
07:50
that are mosta maioria likelyprovável for people to have.
201
458214
1905
que é mais provável as pessoas terem.
07:52
In factfacto, some of you probablyprovavelmente have these passwordssenhas.
202
460119
3261
De facto, alguns de vocês provavelmente
têm estas palavras-passe.
07:57
So what we foundencontrado
203
465191
1298
Então o que descobrimos
07:58
by runningcorrida all of these 5,000 passwordssenhas we collectedcoletado
204
466489
3406
ao testar todas estas 5000
palavras-passe que recolhemos
08:01
throughatravés these teststestes to see how strongForte they were,
205
469895
4106
através destes testes para
vermos o quão fortes elas eram,
08:06
we foundencontrado that the long passwordssenhas
206
474001
2752
descobrimos que as palavras-passe longas
08:08
were actuallyna realidade prettybonita strongForte,
207
476753
1280
eram de facto bastante fortes,
08:10
and the complexcomplexo passwordssenhas were prettybonita strongForte too.
208
478033
3262
e as palavras-passe complexas
eram também bastante fortes.
08:13
HoweverNo entanto, when we lookedolhou at the surveypesquisa datadados,
209
481295
2442
No entanto, quando olhámos
para os dados do questionário,
08:15
we saw that people were really frustratedfrustrado
210
483737
3024
vimos que as pessoas
estavam bastante frustadas
08:18
by the very complexcomplexo passwordssenhas,
211
486761
2339
com as palavras-passe muito complexas,
08:21
and the long passwordssenhas were a lot more usableutilizável,
212
489100
2630
e as palavras-passe longas
eram bastante mais utilizáveis,
08:23
and in some casescasos, they were actuallyna realidade
213
491730
1325
e em alguns casos, elas eram
08:25
even strongermais forte than the complexcomplexo passwordssenhas.
214
493055
2908
até mais fortes do que
palavras-passe complexas.
08:27
So this suggestssugere that,
215
495963
1169
Então isto sugere que,
08:29
insteadem vez de of tellingdizendo people that they need
216
497132
1703
em vez de dizer às
pessoas que elas precisam
08:30
to put all these symbolssímbolos and numbersnúmeros
217
498835
1522
de colocar todos esses símbolos e números
08:32
and crazylouco things into theirdeles passwordssenhas,
218
500357
2842
e coisas loucas nas suas palavras-passe,
08:35
we mightpoderia be better off just tellingdizendo people
219
503199
2022
pode ser melhor apenas dizer às pessoas
08:37
to have long passwordssenhas.
220
505221
2652
para terem palavras-passe longas.
08:39
Now here'saqui está the problemproblema, thoughApesar:
221
507873
1792
Ora aqui está o problema, ainda assim:
08:41
Some people had long passwordssenhas
222
509665
2255
Algumas pessoas tinham
palavras-passe longas
08:43
that actuallyna realidade weren'tnão foram very strongForte.
223
511920
1555
que, na verdade, não eram muito fortes.
08:45
You can make long passwordssenhas
224
513475
1997
Podemos criar palavras-passe longas
08:47
that are still the sortordenar of thing
225
515472
1556
que ainda são o tipo de coisa
08:49
that an attackerinvasor could easilyfacilmente guessacho.
226
517028
1742
que um malfeitor pode
facilmente adivinhar.
08:50
So we need to do more than
just say long passwordssenhas.
227
518770
3365
Então, temos que fazer mais do que
apenas considerar palavras-passe longas.
08:54
There has to be some additionaladicionais requirementsrequisitos,
228
522135
1936
Têm que haver alguns
requisitos adicionais,
08:56
and some of our ongoingem progresso researchpesquisa is looking at
229
524071
2969
e uma parte da nossa investigação
em curso está a tentar perceber
08:59
what additionaladicionais requirementsrequisitos we should addadicionar
230
527040
2439
que requisitos adicionais
devemos adicionar
09:01
to make for strongermais forte passwordssenhas
231
529479
2104
para criar palavras-passe mais fortes
09:03
that alsoAlém disso are going to be easyfácil for people
232
531583
2312
que sejam também fáceis para as pessoas
09:05
to rememberlembrar and typetipo.
233
533895
2698
memorizarem e digitarem.
09:08
AnotherOutro approachabordagem to gettingobtendo people to have
234
536593
2126
Outra abordagem para
levar as pessoas a ter
09:10
strongermais forte passwordssenhas is to use a passwordsenha metermetro.
235
538719
2257
palavras-passe mais fortes é
utilizar um medidor de palavra-passe.
09:12
Here are some examplesexemplos.
236
540976
1385
Aqui estão alguns exemplos.
09:14
You maypode have seenvisto these on the InternetInternet
237
542361
1401
Podem ter visto isto na Internet
09:15
when you were creatingcriando passwordssenhas.
238
543762
3057
quando estavam a criar palavras-passe.
09:18
We decideddecidiu to do a studyestude to find out
239
546819
2248
Decidimos fazer um estudo para descobrir
09:21
whetherse these passwordsenha metersmetros actuallyna realidade work.
240
549067
2887
se estes medidores de palavras-passe
de facto funcionavam.
09:23
Do they actuallyna realidade help people
241
551954
1421
Será que ajudam realmente as pessoas
09:25
have strongermais forte passwordssenhas,
242
553375
1453
a terem palavras-passe mais fortes,
09:26
and if so, whichqual onesuns are better?
243
554828
2086
e se sim, quais são os melhores?
09:28
So we testedtestado passwordsenha metersmetros that were
244
556914
2507
Então testámos medidores
de palavras-passe que eram
09:31
differentdiferente sizestamanhos, shapesformas, colorscores,
245
559421
2098
diferentes tamanhos, formas, cores,
09:33
differentdiferente wordspalavras nextPróximo to them,
246
561519
1416
diferentes palavras junto deles,
09:34
and we even testedtestado one that was a dancingdançando bunnycoelho.
247
562935
3275
e até testámos um que
era um coelho a dançar.
09:38
As you typetipo a better passwordsenha,
248
566210
1582
À medida que digitamos uma
palavra-passe melhor,
09:39
the bunnycoelho dancesdanças fasterMais rápido and fasterMais rápido.
249
567792
2539
o coelho dança cada vez mais rápido.
09:42
So this was prettybonita funDiversão.
250
570331
2529
Então, isto era muito divertido.
09:44
What we foundencontrado
251
572860
1567
O que descobrimos
09:46
was that passwordsenha metersmetros do work.
252
574427
3572
foi que os medidores de
palavras-passe funcionam mesmo.
09:49
(LaughterRiso)
253
577999
1801
(Risos)
09:51
MostMaioria of the passwordsenha metersmetros were actuallyna realidade effectiveeficaz,
254
579800
3333
A maioria dos medidores de
palavras-passe eram realmente eficazes,
09:55
and the dancingdançando bunnycoelho was very effectiveeficaz too,
255
583133
2521
e o coelho dançarino
também era muito eficaz,
09:57
but the passwordsenha metersmetros that were the mosta maioria effectiveeficaz
256
585654
2881
mas os medidores de
palavras-passe mais eficazes
10:00
were the onesuns that madefeito you work hardermais difíceis
257
588535
2355
foram os que nos deram mais trabalho
10:02
before they gavedeu you that thumbspolegares up and said
258
590890
1980
até nos darem a sua aprovação e dizerem
10:04
you were doing a good jobtrabalho,
259
592870
1377
que estávamos a fazer um bom trabalho.
10:06
and in factfacto we foundencontrado that mosta maioria
260
594247
1512
e, de facto, descobrimos que a maioria
10:07
of the passwordsenha metersmetros on the InternetInternet todayhoje
261
595759
2281
dos medidores de palavras-passe
que existem na Internet hoje em dia
10:10
are too softsuave.
262
598040
952
são demasiado brandos.
10:10
They tell you you're doing a good jobtrabalho too earlycedo,
263
598992
2203
Eles dizem-nos que estamos a fazer
um bom trabalho demasiado cedo,
10:13
and if they would just wait a little bitpouco
264
601195
1929
e se simplesmente esperassem um pouco mais
10:15
before givingdando you that positivepositivo feedbackcomentários,
265
603124
2049
antes de nos darem o
seu "feedback" positivo,
10:17
you probablyprovavelmente would have better passwordssenhas.
266
605173
3160
provavelmente teríamos
melhores palavras-passe.
10:20
Now anotheroutro approachabordagem to better passwordssenhas, perhapspossivelmente,
267
608333
3847
Agora, uma outra abordagem para
melhores palavras-passe talvez
10:24
is to use passpassar phrasesfrases insteadem vez de of passwordssenhas.
268
612180
2890
seja utilizar frases em vez de palavras.
10:27
So this was an xkcdxkcd cartoondesenho animado
from a couplecasal of yearsanos agoatrás,
269
615070
3418
Este foi um "cartoon" da
xkcd há alguns anos atrás.
10:30
and the cartoonistcartunista suggestssugere
270
618488
1674
e o cartunista sugere
10:32
that we should all use passpassar phrasesfrases,
271
620162
2196
que todos nós deveríamos
utilizar frases-passe,
10:34
and if you look at the secondsegundo rowlinha of this cartoondesenho animado,
272
622358
3170
e se olharem para a
segunda linha deste "cartoon",
10:37
you can see the cartoonistcartunista is suggestingsugerindo
273
625528
1857
podem ver que o cartunista está a sugerir
10:39
that the passpassar phrasefrase "correctum lugar para outro horsecavalo batterybateria staplegrampo"
274
627385
3441
que a frase "correto
cavalo bateria agrafo"
10:42
would be a very strongForte passpassar phrasefrase
275
630826
2481
seria uma palavra-passe muito forte
10:45
and something really easyfácil to rememberlembrar.
276
633307
1916
e algo muito fácil de memorizar.
10:47
He saysdiz, in factfacto, you've already rememberedlembrei it.
277
635223
2797
Ele diz mesmo que, de facto,
nós já a memorizámos.
10:50
And so we decideddecidiu to do a researchpesquisa studyestude
278
638020
2150
E então nós decidimos fazer um estudo
10:52
to find out whetherse this was trueverdade or not.
279
640170
2592
para descobrir se isto era ou não verdade.
10:54
In factfacto, everybodytodo mundo who I talk to,
280
642762
1775
Na verdade, todas as
pessoas com quem falámos,
10:56
who I mentionmenção I'm doing passwordsenha researchpesquisa,
281
644537
2042
a quem eu disse que estava a fazer
uma investigação sobre palavras-passe,
10:58
they pointponto out this cartoondesenho animado.
282
646579
1400
mencionaram este "cartoon".
10:59
"Oh, have you seenvisto it? That xkcdxkcd.
283
647979
1574
"Oh, tu viste? Aquele xkcd.
11:01
CorrectCorrigir horsecavalo batterybateria staplegrampo."
284
649553
1602
"Correto cavalo bateria agrafo."
11:03
So we did the researchpesquisa studyestude to see
285
651155
1806
Então nós fizemos uma
investigação para ver
11:04
what would actuallyna realidade happenacontecer.
286
652961
2359
o que iria realmente acontecer.
11:07
So in our studyestude, we used MechanicalMecânica TurkTurk again,
287
655320
3060
Então no nosso estudo, utilizámos
a Mechanical Turk outra vez,
11:10
and we had the computercomputador pickescolher the randomaleatória wordspalavras
288
658380
4167
e tínhamos o computador a
escolher as palavras aleatórias
11:14
in the passpassar phrasefrase.
289
662547
1100
na frase-passe.
11:15
Now the reasonrazão we did this
290
663647
1153
A razão por que fizemos isto
11:16
is that humanshumanos are not very good
291
664800
1586
é que os humanos não são muito bons
11:18
at pickingescolhendo randomaleatória wordspalavras.
292
666386
1384
a escolher palavras aleatórias.
11:19
If we askedperguntei a humanhumano to do it,
293
667770
1262
Se pedíssemos a um humano para o fazer,
11:21
they would pickescolher things that were not very randomaleatória.
294
669032
2998
ele escolheria coisas que
não são muito aleatórias.
11:24
So we triedtentou a fewpoucos differentdiferente conditionscondições.
295
672030
2032
Por isso tentámos algumas
diferentes condições.
11:26
In one conditioncondição, the computercomputador pickedescolhido
296
674062
2090
Numa das condições,
o computadores escolheu
11:28
from a dictionarydicionário of the very commoncomum wordspalavras
297
676152
2216
de um dicionário de palavras muito comuns
11:30
in the EnglishInglês languagelíngua,
298
678368
1362
da língua inglesa,
11:31
and so you'dvocê gostaria get passpassar phrasesfrases like
299
679730
1764
e então teríamos frases como
11:33
"try there threetrês come."
300
681494
1924
"tentar lá três vem."
11:35
And we lookedolhou at that, and we said,
301
683418
1732
E olhámos para isto e dissemos,
11:37
"Well, that doesn't really seemparecem very memorablememorável."
302
685150
3050
"Bem, isto realmente não parece
muito fácil de memorizar."
11:40
So then we triedtentou pickingescolhendo wordspalavras
303
688200
2240
Então tentámos escolher palavras
11:42
that cameveio from specificespecífico partspartes of speechdiscurso,
304
690440
2521
que viessem de partes
específicas do discurso,
11:44
so how about noun-verb-adjective-nounsubstantivo-verbo-adjetivo-substantivo.
305
692961
2182
então que tal
substantivo-verbo-adjetivo-substantivo.
11:47
That comesvem up with something
that's sortordenar of sentence-likesentença, como.
306
695143
2577
Isto resulta numa espécie de frase.
11:49
So you can get a passpassar phrasefrase like
307
697720
2070
Então podemos ter uma frase-passe como
11:51
"planplano buildsconstrói sure powerpoder"
308
699790
1308
"plano constrói seguro poder"
11:53
or "endfim determinesdetermina redvermelho drugdroga."
309
701098
2786
ou "final determina vermelha droga."
11:55
And these seemedparecia a little bitpouco more memorablememorável,
310
703884
2676
E estas pareciam um
pouco mais memorizáveis,
11:58
and maybe people would like those a little bitpouco better.
311
706560
2822
e talvez as pessoas gostassem
um pouco mais destas.
12:01
We wanted to comparecomparar them with passwordssenhas,
312
709382
2572
Queríamos compará-las com palavras-passe,
12:03
and so we had the computercomputador
pickescolher randomaleatória passwordssenhas,
313
711954
3196
e por isso tínhamos o computador
e escolher palavras-passe aleatórias,
12:07
and these were nicebom and shortcurto, but as you can see,
314
715150
1990
que eram boas e curtas,
mas como podem ver,
12:09
they don't really look very memorablememorável.
315
717140
2806
não pareciam muito memorizáveis.
12:11
And then we decideddecidiu to try something calledchamado
316
719946
1396
E depois decidimos tentar algo chamado
12:13
a pronounceablepronunciável passwordsenha.
317
721342
1646
palavra-passe pronunciável.
12:14
So here the computercomputador pickspicaretas randomaleatória syllablessílabas
318
722988
2245
Então, aqui o computador
escolhe sílabas aleatórias
12:17
and putscoloca them togetherjuntos
319
725233
1134
e junta-as
12:18
so you have something sortordenar of pronounceablepronunciável,
320
726367
2475
então temos algo mais
ou menos pronunciável,
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
321
728842
2602
como "tufritvi" e "vadasabi."
12:23
That one kindtipo of rollsrolos off your tonguelíngua.
322
731444
2147
Esta último enrola um pouco a língua.
12:25
So these were randomaleatória passwordssenhas that were
323
733591
2216
Então estas eram palavras-passe aleatórias
12:27
generatedgerado by our computercomputador.
324
735807
2744
geradas pelo nosso computador.
12:30
So what we foundencontrado in this studyestude was that, surprisinglysurpreendentemente,
325
738551
2978
Então o que descobrimos neste
estudo foi que, surpreendentemente,
12:33
passpassar phrasesfrases were not actuallyna realidade all that good.
326
741529
3768
frases-passe não eram na
verdade assim tão boas.
12:37
People were not really better at rememberinglembrando
327
745297
2793
As pessoas não tiveram muito
mais facilidade em memorizar
12:40
the passpassar phrasesfrases than these randomaleatória passwordssenhas,
328
748090
2953
as frases-passe do que estas
palavras-passe aleatórias,
12:43
and because the passpassar phrasesfrases are longermais longo,
329
751043
2754
e porque as frases-passe eram mais longas,
12:45
they tooktomou longermais longo to typetipo
330
753797
1226
demoravam mais tempo a digitar
12:47
and people madefeito more errorserros while typingdigitando them in.
331
755023
3010
e as pessoas cometiam
mais erros ao digitá-las.
12:50
So it's not really a clearClaro winganhar for passpassar phrasesfrases.
332
758033
3227
Portanto, não temos realmente
uma vitória clara para frases-passe.
12:53
Sorry, all of you xkcdxkcd fansfãs.
333
761260
3345
Desculpem, todos os fãs da xkcd.
12:56
On the other handmão, we did find
334
764605
1892
Por outro lado, descobrimos
12:58
that pronounceablepronunciável passwordssenhas
335
766497
1804
que as palavras-passe pronunciáveis
13:00
workedtrabalhou surprisinglysurpreendentemente well,
336
768301
1471
funcionavam surpreendentemente bem,
13:01
and so we actuallyna realidade are doing some more researchpesquisa
337
769772
2418
e, por isso, estamos mesmo
a fazer mais alguns estudos
13:04
to see if we can make that
approachabordagem work even better.
338
772190
3195
para ver se podemos fazer com que esta
abordagem funcione ainda melhor.
13:07
So one of the problemsproblemas
339
775385
1812
Um dos problemas
13:09
with some of the studiesestudos that we'venós temos donefeito
340
777197
1623
com alguns dos estudos que fizemos
13:10
is that because they're all donefeito
341
778820
1683
é que, por todos eles terem sido feitos
13:12
usingusando MechanicalMecânica TurkTurk,
342
780503
1590
utilizando a Mechanical Turk,
13:14
these are not people'spovos realreal passwordssenhas.
343
782093
1812
estas não são as verdadeiras
palavras-passe das pessoas.
13:15
They're the passwordssenhas that they createdcriada
344
783905
2105
São as palavras-passe que elas criaram
13:18
or the computercomputador createdcriada for them for our studyestude.
345
786010
2495
ou que o computador criou
por elas para o nosso estudo.
13:20
And we wanted to know whetherse people
346
788505
1568
E nós queríamos saber se as pessoas
13:22
would actuallyna realidade behavecomporte-se the samemesmo way
347
790073
2312
realmente se comportariam da mesma forma
13:24
with theirdeles realreal passwordssenhas.
348
792385
2227
com as suas palavras-passe reais.
13:26
So we talkedfalou to the informationem formação
securitysegurança officeescritório at CarnegieCarnegie MellonMellon
349
794612
3681
Então, falámos com o gabinete de
segurança informática da Carnegie Mellon
13:30
and askedperguntei them if we could
have everybody'stodo mundo realreal passwordssenhas.
350
798293
3803
e pedimos-lhes se podíamos ter acesso
às palavras-passe reais de toda a gente.
13:34
Not surprisinglysurpreendentemente, they were a little bitpouco reluctantrelutante
351
802096
1754
Como seria de esperar, eles
estavam um pouco relutantes
13:35
to sharecompartilhar them with us,
352
803850
1550
em partilhá-las connosco,
13:37
but we were actuallyna realidade ablecapaz to work out
353
805400
1810
mas conseguimos de facto criar
13:39
a systemsistema with them
354
807210
1040
um sistema com eles
13:40
where they put all of the realreal passwordssenhas
355
808250
2109
em que eles puseram
todas as palavras-passe reais
13:42
for 25,000 CMUCMU studentsalunos, facultyFaculdade and stafffuncionários,
356
810359
3091
dos 25 000 estudantes, professores
e funcionários da CMU
13:45
into a lockedtrancado computercomputador in a lockedtrancado roomquarto,
357
813450
2448
num computador bloqueado,
numa sala trancada,
13:47
not connectedconectado to the InternetInternet,
358
815898
1394
sem ligação à Internet,
13:49
and they rancorreu codecódigo on it that we wroteescrevi
359
817292
1848
e eles executaram o código que escrevemos
13:51
to analyzeanalisar these passwordssenhas.
360
819140
2152
para analisar estas palavras-passe.
13:53
They auditedauditados our codecódigo.
361
821292
1326
Eles examinaram o nosso código.
13:54
They rancorreu the codecódigo.
362
822618
1312
Eles executaram o código.
13:55
And so we never actuallyna realidade saw
363
823930
1738
E, por isso, nós realmente
nunca tivemos acesso
13:57
anybody'salguém passwordsenha.
364
825668
2817
a palavras-passe de ninguém.
14:00
We got some interestinginteressante resultsresultados,
365
828485
1515
Conseguimos alguns
resultados interessantes,
14:02
and those of you TepperTepper studentsalunos in the back
366
830000
1696
e alguns de vós, estudantes
da Tepper, aí ao fundo,
14:03
will be very interestedinteressado in this.
367
831696
2875
vão ter muito interesse nisto.
14:06
So we foundencontrado that the passwordssenhas createdcriada
368
834571
3731
Descobrimos que as palavras-passe criadas
14:10
by people affiliatedafiliado with the
schoolescola of computercomputador scienceCiência
369
838302
2158
por pessoas ligadas à
escola de ciências informáticas
14:12
were actuallyna realidade 1.8 timesvezes strongermais forte
370
840460
2324
eram na verdade 1,8 vezes mais fortes
14:14
than those affiliatedafiliado with the businesso negócio schoolescola.
371
842784
3738
do que as das pessoas
ligadas à Escola de Gestão.
14:18
We have lots of other really interestinginteressante
372
846522
2040
Temos muitos outros interessantes
14:20
demographicdemográfico informationem formação as well.
373
848562
2238
dados demográficos também.
14:22
The other interestinginteressante thing that we foundencontrado
374
850800
1846
Outra coisa interessante que descobrimos
14:24
is that when we comparedcomparado
the CarnegieCarnegie MellonMellon passwordssenhas
375
852646
2440
é que quando comparámos as
palavras-passe da Carnegie Mellon
14:27
to the MechanicalMecânica Turk-generatedTurk-gerado passwordssenhas,
376
855086
2283
com as palavras-passe
geradas pela Mechanical Turk,
14:29
there was actuallyna realidade a lot of similaritiessemelhanças,
377
857369
2619
havia, na verdade, várias semelhanças,
14:31
and so this helpedajudou validatevalidar our researchpesquisa methodmétodo
378
859988
1948
e isto ajudou a validar o
nosso método de investigação
14:33
and showexposição that actuallyna realidade, collectingcoletando passwordssenhas
379
861936
2510
e a provar que recolher palavras-passe
14:36
usingusando these MechanicalMecânica TurkTurk studiesestudos
380
864446
1808
utilizando os estudos da Mechanical Turk
14:38
is actuallyna realidade a validválido way to studyestude passwordssenhas.
381
866254
2788
é, de facto, uma forma válida
de estudar palavras-passe.
14:41
So that was good newsnotícia.
382
869042
2285
Isto foram boas notícias.
14:43
Okay, I want to closefechar by talkingfalando about
383
871327
2414
Ok, eu quero encerrar falando sobre
14:45
some insightsintuições I gainedganhou while on sabbaticalano sabático
384
873741
2068
algumas ideias que adquiri
durante o meu período sabático
14:47
last yearano in the CarnegieCarnegie MellonMellon artarte schoolescola.
385
875809
3201
no ano passado, na Escola de Arte
da Carnegie Mellon.
14:51
One of the things that I did
386
879010
1281
Umas das coisas que fiz
14:52
is I madefeito a numbernúmero of quiltscolchas,
387
880291
1524
foi uma série de colchas,
14:53
and I madefeito this quiltcolcha here.
388
881815
1548
e eu fiz esta colcha aqui.
14:55
It's calledchamado "SecuritySegurança BlanketCobertor."
389
883363
1899
Chama-se "Manta de Segurança."
14:57
(LaughterRiso)
390
885262
2431
(Risos)
14:59
And this quiltcolcha has the 1,000
391
887693
3095
E esta colcha tem as 1000
15:02
mosta maioria frequentfreqüente passwordssenhas stolenroubado
392
890788
2328
palavras-passe mais
frequentemente roubadas
15:05
from the RockYouRockYou websitelocal na rede Internet.
393
893116
2571
do "website" RockYou.
15:07
And the sizeTamanho of the passwordssenhas is proportionalproporcional
394
895687
2061
E o tamanho da palavra-passe
é proporcional
15:09
to how frequentlyfreqüentemente they appearedapareceu
395
897748
1901
à frequência com que aparecem
15:11
in the stolenroubado datasetconjunto de dados.
396
899649
2248
no conjunto de dados roubados.
15:13
And what I did is I createdcriada this wordpalavra cloudnuvem,
397
901897
2632
E o que eu fiz foi criar
esta "nuvem" de palavras,
15:16
and I wentfoi throughatravés all 1,000 wordspalavras,
398
904529
2132
e analisar por todas as 1000 palavras,
15:18
and I categorizedcategorizado them into
399
906661
1795
e categorizá-las em
15:20
loosesolto thematictemáticas categoriescategorias.
400
908456
2380
categorias temáticas soltas.
15:22
And it was, in some casescasos,
401
910836
1903
E foi, em alguns casos,
15:24
it was kindtipo of difficultdifícil to figurefigura out
402
912739
2038
foi relativamente difícil perceber
15:26
what categorycategoria they should be in,
403
914777
1755
em que categoria elas se deviam inserir,
15:28
and then I color-codedcódigo de cores them.
404
916532
1899
e depois codifiquei-as por cores.
15:30
So here are some examplesexemplos of the difficultydificuldade.
405
918431
2619
Então, aqui estão alguns
exemplos da dificuldade.
15:33
So "justinJustin."
406
921050
1181
Por exemplo, "justin."
15:34
Is that the namenome of the userdo utilizador,
407
922231
1829
Será o nome do utilizador,
15:36
theirdeles boyfriendnamorado, theirdeles sonfilho?
408
924060
1322
do seu namorado, do seu filho?
15:37
Maybe they're a JustinJustin BieberBieber fanventilador.
409
925382
2888
Talvez seja um fã do Justin Bieber.
15:40
Or "princessPrincesa."
410
928270
2225
Ou "princesa."
15:42
Is that a nicknameAlcunha?
411
930495
1635
Será uma alcunha?
15:44
Are they DisneyDisney princessPrincesa fansfãs?
412
932130
1595
Serão fãs das princesas da Disney?
15:45
Or maybe that's the namenome of theirdeles catgato.
413
933725
3694
Ou talvez seja o nome da sua gata.
15:49
"IloveyouILOVEYOU" appearsaparece manymuitos timesvezes
414
937419
1655
"Iloveyou" aparece muitas vezes,
15:51
in manymuitos differentdiferente languageslínguas.
415
939074
1545
em várias línguas diferentes.
15:52
There's a lot of love in these passwordssenhas.
416
940619
3735
Há muito amor nestas palavras-passe.
15:56
If you look carefullycuidadosamente, you'llvocê vai see there's alsoAlém disso
417
944354
1680
Se olharem com atenção,
verão que também há alguns palavrões,
15:58
some profanitypalavras de baixo calão,
418
946034
2267
mas foi realmente interessante
para mim constatar
16:00
but it was really interestinginteressante to me to see
419
948301
1950
16:02
that there's a lot more love than hateódio
420
950251
2307
que há muito mais amor do que ódio
16:04
in these passwordssenhas.
421
952558
2292
nestas palavras-passe.
16:06
And there are animalsanimais,
422
954850
1490
E há animais,
16:08
a lot of animalsanimais,
423
956340
1360
muitos animais,
16:09
and "monkeymacaco" is the mosta maioria commoncomum animalanimal
424
957700
2304
e "macaco" é o animal mais comum
16:12
and the 14thº mosta maioria popularpopular passwordsenha overallNo geral.
425
960004
3675
e a 14.ª palavra-passe mais comum
em geral.
16:15
And this was really curiouscurioso to me,
426
963679
2231
E achei isto realmente curioso,
16:17
and I wonderedme perguntei, "Why are monkeysmacacos so popularpopular?"
427
965910
2523
e perguntei-me: "Porque é que
os macacos são tão populares?"
16:20
And so in our last passwordsenha studyestude,
428
968433
3352
E então, no nosso último
estudo às palavras-passe,
16:23
any time we detecteddetectado somebodyalguém
429
971785
1686
cada vez que detetávamos alguém
16:25
creatingcriando a passwordsenha with the wordpalavra "monkeymacaco" in it,
430
973471
2649
a criar uma palavra-passe
com a palavra "macaco",
16:28
we askedperguntei them why they had
a monkeymacaco in theirdeles passwordsenha.
431
976120
3030
perguntámos-lhes porque tinham
macaco na sua palavra-chave.
16:31
And what we foundencontrado out --
432
979150
1910
E o que descobrimos
16:33
we foundencontrado 17 people so farlonge, I think,
433
981060
2103
— descobrimos 17 pessoas
até agora, eu acho,
16:35
who have the wordpalavra "monkeymacaco" --
434
983163
1283
que têm a palavra "macaco" —
16:36
We foundencontrado out about a thirdterceiro of them said
435
984446
1812
descobrimos que cerca de um
terço destas pessoas disse
16:38
they have a petanimal namednomeado "monkeymacaco"
436
986258
1740
ter um animal de estimação
chamado "macaco"
16:39
or a friendamigos whosede quem nicknameAlcunha is "monkeymacaco,"
437
987998
2291
ou um amigo cuja alcunha é "macaco,"
16:42
and about a thirdterceiro of them said
438
990289
1660
e cerca de um terço destas pessoas disse
16:43
that they just like monkeysmacacos
439
991949
1533
apenas gostar de macacos
16:45
and monkeysmacacos are really cutebonito.
440
993482
1638
e os macacos são realmente fofinhos.
16:47
And that guy is really cutebonito.
441
995120
3639
Aquele amigo é mesmo fofinho.
16:50
So it seemsparece that at the endfim of the day,
442
998759
3408
Então, parece que, no final de contas,
16:54
when we make passwordssenhas,
443
1002167
1783
quando criamos palavras-passe,
16:55
we eitherou make something that's really easyfácil
444
1003950
1974
ou criamos algo que seja realmente fácil
16:57
to typetipo, a commoncomum patternpadronizar,
445
1005924
3009
de digitar, um padrão comum,
17:00
or things that remindlembrar us of the wordpalavra passwordsenha
446
1008933
2486
ou coisas que nos lembrem
da palavra palavra-passe
17:03
or the accountconta that we'venós temos createdcriada the passwordsenha for,
447
1011419
3312
ou a conta para a qual
criámos a palavra-passe,
17:06
or whatevertanto faz.
448
1014731
2617
ou o que quer que seja.
17:09
Or we think about things that make us happyfeliz,
449
1017348
2642
Ou pensamos em coisas
que nos fazem felizes,
17:11
and we createcrio our passwordsenha
450
1019990
1304
e criamos a nossa palavra-passe
17:13
basedSediada on things that make us happyfeliz.
451
1021294
2238
baseada em coisas que nos fazem felizes.
17:15
And while this makesfaz com que typingdigitando
452
1023532
2863
E se isto torna o digitar
17:18
and rememberinglembrando your passwordsenha more funDiversão,
453
1026395
2870
e o memorizar a nossa
palavra-passe mais divertido,
17:21
it alsoAlém disso makesfaz com que it a lot easierMais fácil
454
1029265
1807
também torna muito fácil
17:23
to guessacho your passwordsenha.
455
1031072
1506
adivinhar a nossa palavra-passe.
17:24
So I know a lot of these TEDTED TalksFala
456
1032578
1748
Eu sei que muitas destas palestras TED
17:26
are inspirationalInspirational
457
1034326
1634
são inspiradoras
17:27
and they make you think about nicebom, happyfeliz things,
458
1035960
2461
e que nos fazem pensar em
coisas boas, coisas felizes,
17:30
but when you're creatingcriando your passwordsenha,
459
1038421
1897
mas quando estiverem a criar
a vossa palavra-passe,
17:32
try to think about something elseoutro.
460
1040318
1991
tentem pensar em outra coisa.
Obrigada.
17:34
Thank you.
461
1042309
1107
17:35
(ApplauseAplausos)
462
1043416
553
(Aplausos)
Translated by Filipa Bela
Reviewed by Isabel M. Vaz Belchior

▲Back to top

ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com