English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Ce problemă are parola ta?

Filmed:
1,512,359 views

Lorrie Faith Cranor a studiat mii de parole pentru a înțelege greșelile surprinzătoare, foarte frecvente pe care le fac utilizatorii care le compromit securitatea. Și cum, vă puteți întreba, a studiat ea mii de parole reale fără a compromite securitatea vreunui utilizator Sunt date secrete pe care merită să le cunoști, mai ales dacă parola ta este 123456....

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

I am a computercomputer scienceştiinţă and engineeringInginerie
professorProfesor here at CarnegieCarnegie MellonMellon,
Sunt profesor de informatică
aici la Carnegie Mwllon.
00:12
and my researchcercetare focusesse concentrează on
usableuşor de utilizat privacyConfidentialitate and securitySecuritate,
Cercetarea mea e axată pe confidențialitate
și securitate utilizabile.
00:15
and so my friendsprieteni like to give me examplesexemple
așa că prietenii mei îmi povestesc
00:20
of theiral lor frustrationsfrustrări with computingtehnica de calcul systemssisteme,
despre frustrările lor
legate de sistemele informatice,
00:22
especiallyin mod deosebit frustrationsfrustrări relatedlegate de to
îndeosebi cele legate
00:25
unusableinutilizabil privacyConfidentialitate and securitySecuritate.
de confidențialitate și securitate
neutilizabile.
00:28
So passwordsparole are something that I hearauzi a lot about.
Aud frecvent despre parole.
00:32
A lot of people are frustratedfrustrat with passwordsparole,
Pe mulți îi irită parolele.
00:35
and it's badrău enoughdestul
Nu-i destul
00:38
when you have to have one really good passwordparola
că trebuie să ai o parolă grozavă
00:39
that you can remembertine minte
pe care ți-o poți aminti,
00:42
but nobodynimeni elsealtfel is going to be ablecapabil to guessghici.
dar pe care nimeni altcineva
n-o poate ghici.
00:44
But what do you do when you have accountsconturi
Dar ce te faci când ai conturi
00:47
on a hundredsută differentdiferit systemssisteme
într-o sută de sisteme diferite
00:48
and you're supposedpresupus to have a uniqueunic passwordparola
și trebuie să ai o parolă diferită
00:50
for eachfiecare of these systemssisteme?
pentru fiecare?
00:53
It's toughgreu.
E cumplit.
00:56
At CarnegieCarnegie MellonMellon, they used to make it
La Carnegie Mellon,
00:58
actuallyde fapt prettyfrumos easyuşor for us
înainte era foarte ușor
01:00
to remembertine minte our passwordsparole.
să ne memorăm parolele.
01:01
The passwordparola requirementcerinţă up throughprin 2009
Cerința pentru parolă până în 2009 inclusiv
01:03
was just that you had to have a passwordparola
era să ai o parolă
01:05
with at leastcel mai puţin one charactercaracter.
cu cel puțin un caracter.
01:07
Prettyfrumos easyuşor. But then they changedschimbat things,
Foarte simplu.
Dar apoi lucrurile s-au schimbat,
01:10
and at the endSfârşit of 2009, they announceda anunțat
și la sfârșitul lui 2009,
01:12
that we were going to have a newnou policypolitică,
au anunțat că vor avea noi reguli,
01:15
and this newnou policypolitică requirednecesar
iar aceste reguli noi cereau
01:17
passwordsparole that were at leastcel mai puţin eightopt characterscaractere long,
ca parolele să aibă minim opt caractere,
01:19
with an uppercaselitere mari letterscrisoare, lowercasemici letterscrisoare,
cu literă mare, literă mică,
01:22
a digitcifre, a symbolsimbol,
o cifră, un simbol,
01:24
you couldn'tnu a putut use the samela fel
charactercaracter more than threeTrei timesori,
nu puteai folosi același caracter
mai mult de trei ori,
01:25
and it wasn'tnu a fost allowedpermis to be in a dictionarydicţionar.
și nu era permis să existe în dicționar.
01:28
Now, when they implementedpuse în aplicare this newnou policypolitică,
Când au implementat noile reguli,
01:30
a lot of people, my colleaguescolegii and friendsprieteni,
multă lume, colegi și prieteni,
01:32
camea venit up to me and they said, "WowWow,
au venit și mi-au spus:
01:35
now that's really unusableinutilizabil.
„Uff, e anevoios de folosit.
01:36
Why are they doing this to us,
De ce ne fac asta,
01:38
and why didn't you stop them?"
și de ce nu i-ai oprit?"
01:39
And I said, "Well, you know what?
Iar eu le-am răspuns:
01:41
They didn't askcere me."
„Nu m-au întrebat când le-au schimbat.”
01:42
But I got curiouscurios, and I decideda decis to go talk
Dar am fost curioasă
și am decis să vorbesc
01:44
to the people in chargeîncărca of our computercomputer systemssisteme
cu cei care răspundeau
de sistemele informatice
01:47
and find out what led them to introduceintroduce
să aflu ce i-a făcut să introducă
01:49
this newnou policypolitică,
aceste noi reguli.
01:52
and they said that the universityuniversitate
Au spus că universitatea noastră
01:54
had joinedalăturat a consortiumConsorţiul of universitiesuniversități,
a intrat într-un consorțiu de universități,
01:55
and one of the requirementscerinţe of membershipcalitatea de membru
iar una din cerințele pentru a fi membru
01:58
was that we had to have strongermai puternic passwordsparole
era să avem parole mai puternice
02:00
that compliedîndeplinite with some newnou requirementscerinţe,
care să se conformeze unor cerințe noi
02:03
and these requirementscerinţe were that our passwordsparole
care prevedeau ca parolele
02:05
had to have a lot of entropyentropie.
să aibă o entropie mare.
02:07
Now entropyentropie is a complicatedcomplicat termtermen,
Entropia e un termen complicat,
02:09
but basicallype scurt it measuresmăsuri the strengthputere of passwordsparole.
dar, în esență, măsoară puterea parolelor.
02:11
But the thing is, there isn't actuallyde fapt
Dar, de fapt, nu exista
02:14
a standardstandard measuremăsura of entropyentropie.
o măsurătoare standard pentru entropie.
02:16
Now, the NationalNaţionale InstituteInstitutul
of StandardsStandardele and TechnologyTehnologie
Ei bine, Institutul Național
de Standarde și Tehnologie
02:18
has a seta stabilit of guidelinesinstrucțiuni
are un set de îndrumări
02:20
whichcare have some rulesnorme of thumbdeget mare
cu câteva reguli empirice
02:22
for measuringmăsurare entropyentropie,
de măsurat entropia.
02:24
but they don't have anything too specificspecific,
Dar nu au nimic explicit
02:26
and the reasonmotiv they only have rulesnorme of thumbdeget mare
și au doar reguli empirice
02:29
is it turnstransformă out they don't actuallyde fapt have any good datadate
pentru că nu au studii serioase
02:31
on passwordsparole.
despre parole.
02:34
In factfapt, theiral lor reportraport statesstatele,
De fapt, raportul lor afirma:
02:36
"UnfortunatelyDin păcate, we do not have much datadate
„Din păcate, nu avem multe date
02:38
on the passwordsparole usersutilizatori
choosealege undersub particularspecial rulesnorme.
despre parolele alese de utilizatori
după reguli specifice.
02:40
NISTNIST would like to obtainobține more datadate
INST ar dori să obțină mai multe date
02:43
on the passwordsparole usersutilizatori actuallyde fapt choosealege,
despre parolele efectiv alese de utilizatori
02:45
but systemsistem administratorsadministratori
are understandablyeste de înţeles că reluctantșovăitor
dar administratorii de sistem
sunt evident reticenți
02:48
to revealdezvălui passwordparola datadate to othersalții."
să dezvăluie altora
date referitoare la parolele."
02:50
So this is a problemproblemă, but our researchcercetare groupgrup
Asta-i o problemă,
dar grupul nostru de cercetare
02:53
lookedprivit at it as an opportunityoportunitate.
a luat-o ca pe o oportunitate.
02:56
We said, "Well, there's a need
for good passwordparola datadate.
Am spus: „Ei bine, e nevoie de date
despre parole bune.
02:58
Maybe we can collectcolectarea some good passwordparola datadate
Poate putem culege date despre parole bune
03:02
and actuallyde fapt advanceavans the statestat of the artartă here.
și să promovăm tiparul cel mai bun.
03:04
So the first thing we did is,
Primul lucru pe care l-am făcut,
03:06
we got a bagsac of candybomboane barsbaruri
am luat o pungă de bomboane,
03:08
and we walkedumblat around campuscampus
ne-am plimbat prin campus
și am stat de vorbă
03:10
and talkeda vorbit to studentselevi, facultyfacultate and staffpersonal,
cu studenții, profesorii și angajații
03:11
and askedîntrebă them for informationinformație
cerându-le informații
03:14
about theiral lor passwordsparole.
despre parolele lor.
03:15
Now we didn't say, "Give us your passwordparola."
Nu le-am spus: „Dă-ne parola ta".
03:17
No, we just askedîntrebă them about theiral lor passwordparola.
Doar i-am întrebat despre parolele lor.
03:20
How long is it? Does it have a digitcifre?
Cât e de lungă? Conține vreo cifră?
03:22
Does it have a symbolsimbol?
Are vreun simbol?
03:24
And were you annoyedcontrariat at havingavând to createcrea
Și te-a deranjat că a trebuit să-ți alegi
03:25
a newnou one last weeksăptămână?
una nouă săptămâna trecută?
03:27
So we got resultsrezultate from 470 studentselevi,
Am obținut răspunsuri de la 470 studenți,
03:30
facultyfacultate and staffpersonal,
profesori și angajați
03:33
and indeedintr-adevar we confirmedconfirmat that the newnou policypolitică
și, într-adevăr,
ni s-a confirmat că noile dispoziții
03:34
was very annoyingenervant,
erau enervante,
03:36
but we alsode asemenea foundgăsite that people said
dar am descoperit că lumea spunea
03:38
they feltsimțit more secureSecure with these newnou passwordsparole.
că se simte mai în siguranță
cu aceste parole noi.
03:40
We foundgăsite that mostcel mai people knewștiut
Am constatat că majoritatea știau
03:43
they were not supposedpresupus to
writescrie theiral lor passwordparola down,
că nu trebuie să-și noteze parola,
03:45
and only 13 percentla sută of them did,
și doar 13% din ei și-o notaseră,
03:47
but disturbinglytulburator, 80 percentla sută of people
dar un număr alarmant de 80%
03:50
said they were reusingreutilizarea theiral lor passwordparola.
au spus că își reutilizează parola.
03:52
Now, this is actuallyde fapt more dangerouspericulos
Ei bine, asta-i de fapt mai periculos
03:54
than writingscris your passwordparola down,
decât să-ți scrii parola
03:56
because it makesmărci you much
more susceptiblesusceptibil to attackersatacatorii.
pentru că te face mult mai expus
la atacuri.
03:58
So if you have to, writescrie your passwordsparole down,
Așa că, dacă simți nevoia,
04:01
but don't reusereutilizarea them.
scrie-ți parolele, dar nu le refolosi.
04:05
We alsode asemenea foundgăsite some interestinginteresant things
Am aflat și lucruri interesante
04:06
about the symbolssimboluri people use in passwordsparole.
despre simbolurile pe care oamenii
le folosesc la parole.
04:08
So CMUCENTRUL MEDICAL UNIREA allowspermite 32 possibleposibil symbolssimboluri,
CMU permite 32 simboluri posibile,
04:11
but as you can see, there's only a smallmic numbernumăr
dar după cum vedeți, doar un mic număr
04:14
that mostcel mai people are usingutilizând,
sunt folosite de majoritatea oamenilor
04:16
so we're not actuallyde fapt gettingobtinerea very much strengthputere
așa că, de fapt,
nu obținem securitate mare
04:18
from the symbolssimboluri in our passwordsparole.
în parolele noastre de la simboluri.
04:21
So this was a really interestinginteresant studystudiu,
A fost un studiu interesant
04:23
and now we had datadate from 470 people,
și acum aveam date de la 470 de oameni,
04:26
but in the schemesistem of things,
dar, per total,
04:29
that's really not very much passwordparola datadate,
nu reprezintă destule date despre parole.
04:30
and so we lookedprivit around to see
Am căutat să vedem
04:33
where could we find additionalsuplimentare passwordparola datadate?
unde am putea găsi date suplimentare
despre parole.
04:34
So it turnstransformă out there are a lot of people
Se pare că mulți oameni
04:37
going around stealingfurtul passwordsparole,
care se ocupă cu furatul parolelor
04:39
and they oftende multe ori go and postpost these passwordsparole
deseori le postează
04:41
on the InternetInternet.
pe internet.
04:43
So we were ablecapabil to get accessacces
Așa că am putut accesa
04:45
to some of these stolenfurat passwordparola setsseturi.
parte din seturile de parole furate.
04:46
This is still not really idealideal for researchcercetare, thoughdeşi,
Totuși, nu e ideal pentru cercetare,
04:50
because it's not entirelyîn întregime clearclar
pentru că nu e clar
04:53
where all of these passwordsparole camea venit from,
de unde provin aceste parole,
04:55
or exactlyexact what policiespolitici were in effectefect
sau ce reguli funcționau
04:57
when people createdcreată these passwordsparole.
când utilizatorii au creat aceste parole.
04:59
So we wanted to find some better sourcesursă of datadate.
Așa că am dorit să găsim
surse mai bune de date.
05:01
So we decideda decis that one thing we could do
Am decis că singurul lucru
05:05
is we could do a studystudiu and have people
era să facem un studiu în care utilizatorii
05:06
actuallyde fapt createcrea passwordsparole for our studystudiu.
să creeze parole pentru accesarea studiului.
05:09
So we used a serviceserviciu calleddenumit
AmazonAmazon MechanicalMecanice TurkTurk,
Am folosit un serviciu numit
Amazon Mechanical Turk,
05:12
and this is a serviceserviciu where you can postpost
prin care poți posta online
05:15
a smallmic jobloc de munca onlinepe net that takes a minuteminut,
o solicitare care durează un minut,
05:17
a fewpuțini minutesminute, an hourora,
câteva minute, o oră,
05:19
and paya plati people, a pennypenny, tenzece centscenți, a fewpuțini dollarsdolari,
și plătești contributorii
un penny, zece cenți, câțiva dolari,
05:21
to do a tasksarcină for you,
ca să ți-o facă,
05:23
and then you paya plati them throughprin AmazonAmazon.comcom.
iar apoi îi plătești prin Amazon.com.
05:25
So we paidplătit people about 50 centscenți
Așa că am plătit oamenilor vreo 50 de cenți
05:27
to createcrea a passwordparola followingca urmare a our rulesnorme
ca să-și creeze o parolă
după regulile noastre
05:29
and answeringrăspuns a surveystudiu,
și să răspundă la un chestionar,
05:32
and then we paidplătit them again to come back
iar apoi i-am plătit din nou să revină
05:33
two dayszi latermai tarziu and logButuruga in
peste două zile și să se logheze
05:36
usingutilizând theiral lor passwordparola and answeringrăspuns anothero alta surveystudiu.
folosind parola nou creată
și să răspundă la un alt chestionar.
05:38
So we did this, and we collectedadunat 5,000 passwordsparole,
Așa am colectat 5000 parole
05:40
and we gavea dat people a bunchbuchet of differentdiferit policiespolitici
dând oamenilor o serie
de instrucțiuni diferite
05:45
to createcrea passwordsparole with.
după care să-și creeze parolele.
05:47
So some people had a prettyfrumos easyuşor policypolitică,
Unii au avut instrucțiuni simple,
05:49
we call it BasicBază8,
pe care le numim Basic8,
05:51
and here the only ruleregulă was that your passwordparola
după care singura regulă era ca parola
05:52
had to have at leastcel mai puţin eightopt characterscaractere.
să aibă cel puțin opt caractere.
05:55
Then some people had a much harderMai tare policypolitică,
Alții au avut instrucțiuni mai dificile,
05:58
and this was very similarasemănător to the CMUCENTRUL MEDICAL UNIREA policypolitică,
asemănătoare instrucțiunilor CMU,
06:00
that it had to have eightopt characterscaractere
parola trebuia să aibă opt caractere
06:03
includinginclusiv uppercaselitere mari, lowercasemici, digitcifre, symbolsimbol,
să includă literă mare, mică, cifră, simbol,
06:05
and passtrece a dictionarydicţionar checkVerifica.
și să nu fie în dicționar.
06:07
And one of the other policiespolitici we triedîncercat,
Alte instrucțiuni pe care le-am încercat,
06:09
and there were a wholeîntreg bunchbuchet more,
au fost multe altele,
06:11
but one of the onescele we triedîncercat was calleddenumit BasicBază16,
dar cel pe care l-am încercat
a fost Basic16,
06:12
and the only requirementcerinţă here
singura cerință fiind
06:14
was that your passwordparola had
to have at leastcel mai puţin 16 characterscaractere.
ca parola să aibă minim 16 caractere.
06:17
All right, so now we had 5,000 passwordsparole,
Acum aveam 5000 de parole,
06:20
and so we had much more detaileddetaliate informationinformație.
și informații mult mai detaliate.
06:23
Again we see that there's only a smallmic numbernumăr
Din nou, vedem că există puține simboluri
06:26
of symbolssimboluri that people are actuallyde fapt usingutilizând
pe care oamenii le folosesc
06:29
in theiral lor passwordsparole.
în parolele lor.
06:31
We alsode asemenea wanted to get an ideaidee of how strongputernic
Am vrut de asemenea să ne facem o idee
06:33
the passwordsparole were that people were creatingcrearea,
cât de puternice
erau parolele pe care le creau.
06:35
but as you mayMai recallrechemare, there isn't a good measuremăsura
Dar, vă amintiți,
nu există un mod exact de a măsura
06:38
of passwordparola strengthputere.
puterea unei parole.
06:40
So what we decideda decis to do was to see
Așa că am decis să vedem
06:42
how long it would take to cracksparge these passwordsparole
cât ar dura să spargem parolele
06:45
usingutilizând the bestCel mai bun crackingcracare toolsunelte
folosind cele mai bune programe
06:47
that the badrău guys are usingutilizând,
folosite de băieții răi,
06:48
or that we could find informationinformație about
sau despre care am putut găsi informații
06:50
in the researchcercetare literatureliteratură.
în literatura de cercetare.
06:52
So to give you an ideaidee of how badrău guys
Să vă faceți idee cum procedează
06:54
go about crackingcracare passwordsparole,
băieții răi când sparg parolele:
06:56
they will stealfura a passwordparola filefişier
fură un fișier de parole
06:59
that will have all of the passwordsparole
care are toate parolele
07:01
in kinddrăguț of a scrambledamestecate formformă, calleddenumit a hashhash,
într-o formă codificată, numit haș,
07:03
and so what they'llei vor do is they'llei vor make a guessghici
și încearcă să ghicească
07:06
as to what a passwordparola is,
parola,
07:08
runalerga it throughprin a hashinghash functionfuncţie,
o trec printr-o funcție de hașare
07:10
and see whetherdacă it matchesmeciuri
și văd dacă se potrivește
07:12
the passwordsparole they have on
theiral lor stolenfurat passwordparola listlistă.
cu parolele de pe lista de parole furate.
07:14
So a dumbprost attackerAtacatorul will try everyfiecare passwordparola in orderOrdin.
Un atacator prost va încerca
fiecare parolă la rând.
07:18
They'llEle vor startstart with AAAAAAHMED and movemișcare on to AAAABBIBI,
Va începe cu AAAAA și va trece la AAAAB,
07:21
and this is going to take a really long time
și îi va lua o groază de timp
07:24
before they get any passwordsparole
până să obțină o parolă
07:27
that people are really likelyprobabil to actuallyde fapt have.
foarte probabil ca utilizatorii s-o aibă.
07:28
A smartinteligent attackerAtacatorul, on the other handmână,
Un atacator deștept, pe de altă parte,
07:31
does something much more cleverinteligent.
face ceva mult mai inteligent.
07:33
They look at the passwordsparole
Se uită la parolele
07:34
that are knowncunoscut to be popularpopular
despre care se știe că sunt des întâlnite
07:36
from these stolenfurat passwordparola setsseturi,
din seturile de parole furate,
07:38
and they guessghici those first.
și le ghicește întâi pe acelea.
07:40
So they're going to startstart by guessingghicitul "passwordparola,"
Începe prin a ghici „parolă",
07:41
and then they'llei vor guessghici "I love you," and "monkeymaimuţă,"
iar apoi vor ghici „te iubesc" și „maimuță"
07:43
and "12345678,"
și „12345678",
07:46
because these are the passwordsparole
pentru că acestea sunt parolele
07:48
that are mostcel mai likelyprobabil for people to have.
pe care foarte probabil le au utilizatorii.
07:50
In factfapt, some of you probablyprobabil have these passwordsparole.
De fapt, probabil că unii dintre dvs.
aveți aceste parole.
07:52
So what we foundgăsite
Deci am aflat,
07:57
by runningalergare all of these 5,000 passwordsparole we collectedadunat
trecând cele 5000 de parole colectate
07:58
throughprin these teststeste to see how strongputernic they were,
prin aceste teste pentru a vedea
cât de puternice sunt,
08:01
we foundgăsite that the long passwordsparole
am constatat că parolele lungi
08:06
were actuallyde fapt prettyfrumos strongputernic,
erau chiar foarte puternice,
08:08
and the complexcomplex passwordsparole were prettyfrumos strongputernic too.
iar parolele complexe și ele.
08:10
HoweverCu toate acestea, when we lookedprivit at the surveystudiu datadate,
Totuși, când ne-am uitat
la datele studiului,
08:13
we saw that people were really frustratedfrustrat
am văzut că utilizatorii erau
foarte frustrați
08:15
by the very complexcomplex passwordsparole,
din cauza parolelor complexe,
08:18
and the long passwordsparole were a lot more usableuşor de utilizat,
iar parolele lungi erau mai practice,
08:21
and in some casescazuri, they were actuallyde fapt
iar în unele cazuri, erau chiar
08:23
even strongermai puternic than the complexcomplex passwordsparole.
mai puternice decât parolele complexe.
08:25
So this suggestssugerează that,
Asta sugerează că,
08:27
insteadin schimb of tellingspune people that they need
în loc să le spunem utilizatorilor
08:29
to put all these symbolssimboluri and numbersnumerele
să pună toate acele simboluri și numere
08:30
and crazynebun things into theiral lor passwordsparole,
și aiureli în parolele lor,
08:32
we mightar putea be better off just tellingspune people
ar fi mai bine dacă le-am spune
08:35
to have long passwordsparole.
doar să aibă parole lungi.
08:37
Now here'saici e the problemproblemă, thoughdeşi:
Există totuși o problemă:
08:39
Some people had long passwordsparole
Unii utilizatori aveau parole lungi
08:41
that actuallyde fapt weren'tnu au fost very strongputernic.
care totuși nu erau foarte puternice.
08:43
You can make long passwordsparole
Poți face parole lungi
08:45
that are still the sortfel of thing
pe care
08:47
that an attackerAtacatorul could easilyuşor guessghici.
un atacator le poate ghici cu ușurință.
08:49
So we need to do more than
just say long passwordsparole.
Așa că trebuie mai mult decât
doar să cerem parole lungi.
08:50
There has to be some additionalsuplimentare requirementscerinţe,
Trebuie să existe cerințe suplimentare.
08:54
and some of our ongoingÎn curs de desfășurare researchcercetare is looking at
O cercetare curentă studiază
08:56
what additionalsuplimentare requirementscerinţe we should addadăuga
cerințele suplimentare ce ar trebui adăugate
08:59
to make for strongermai puternic passwordsparole
pentru parole mai puternice,
09:01
that alsode asemenea are going to be easyuşor for people
dar ușor pentru utilizatori
09:03
to remembertine minte and typetip.
de reținut și de tastat.
09:05
AnotherUn alt approachabordare to gettingobtinerea people to have
O altă abordare în determinarea
utilizatorilor să aleagă
09:08
strongermai puternic passwordsparole is to use a passwordparola metermetru.
parole mai puternice
e folosirea unui contor de parole.
09:10
Here are some examplesexemple.
Iată câteva exemple.
09:12
You mayMai have seenvăzut these on the InternetInternet
Poate le-ați văzut pe internet
09:14
when you were creatingcrearea passwordsparole.
când v-ați creat parole.
09:15
We decideda decis to do a studystudiu to find out
Am decis să facem un studiu să aflăm
09:18
whetherdacă these passwordparola metersmetri actuallyde fapt work.
dacă aceste contoare de parole
chiar funcționează.
09:21
Do they actuallyde fapt help people
Chiar îi ajută pe utilizatori
09:23
have strongermai puternic passwordsparole,
să aleagă parole mai puternice,
09:25
and if so, whichcare onescele are better?
și dacă da, care sunt mai bune?
09:26
So we testedtestat passwordparola metersmetri that were
Așa că am testat contoare de parole
09:28
differentdiferit sizesdimensiuni, shapesforme, colorscolorate,
cu diferite mărimi, forme, culori,
09:31
differentdiferit wordscuvinte nextUrmător → to them,
cu diferite cuvinte lângă ele,
09:33
and we even testedtestat one that was a dancingdans bunnyiepuras.
am testat și unul cu un iepuraș care țopăia.
09:34
As you typetip a better passwordparola,
Cu cât parola era mai bună,
09:38
the bunnyiepuras dancesdansuri fastermai repede and fastermai repede.
iepurașul țopăia mai repede.
09:39
So this was prettyfrumos fundistracţie.
Era foarte amuzant.
09:42
What we foundgăsite
Am aflat că aceste contoare
09:44
was that passwordparola metersmetri do work.
chiar funcționează.
09:46
(LaughterRâs)
(Râsete)
09:49
MostCele mai multe of the passwordparola metersmetri were actuallyde fapt effectiveefectiv,
Majoritatea contoarelor de parole
au fost eficace,
09:51
and the dancingdans bunnyiepuras was very effectiveefectiv too,
iar iepurașul țopăitor
a fost și el foarte eficace,
09:55
but the passwordparola metersmetri that were the mostcel mai effectiveefectiv
dar cele mai eficace contoare de parole
09:57
were the onescele that madefăcut you work harderMai tare
au fost cele care te făceau
să muncești mai mult
10:00
before they gavea dat you that thumbsdegetele up and said
până să-ți dea OK-ul și să spună
10:02
you were doing a good jobloc de munca,
că ai făcut treabă bună.
10:04
and in factfapt we foundgăsite that mostcel mai
De fapt am constatat că majoritatea
10:06
of the passwordparola metersmetri on the InternetInternet todayastăzi
contoarelor de parole actuale de pe internet
10:07
are too softmoale.
sunt prea slabe.
10:10
They tell you you're doing a good jobloc de munca too earlydin timp,
Iți spun că ai făcut treabă bună
prea devreme
10:10
and if they would just wait a little bitpic
și dacă ar aștepta doar puțin
10:13
before givingoferindu- you that positivepozitiv feedbackparere,
înainte de reacția pozitivă
10:15
you probablyprobabil would have better passwordsparole.
probabil ați avea parole mai bune.
10:17
Now anothero alta approachabordare to better passwordsparole, perhapspoate,
O altă abordare pentru parole
mai bune, poate,
10:20
is to use passtrece phrasesexpresii insteadin schimb of passwordsparole.
e de a folosi expresii în loc de cuvinte.
10:24
So this was an xkcdxkcd cartoondesen animat
from a couplecuplu of yearsani agoîn urmă,
Asta-i o bandă desenată xkcd
de acum doi ani,
10:27
and the cartoonistcaricaturist suggestssugerează
unde autorul propune
10:30
that we should all use passtrece phrasesexpresii,
să folosim cu toții expresii parolă.
10:32
and if you look at the secondal doilea rowrând of this cartoondesen animat,
Dacă vă uitați la al 2-lea rând
din banda desenată
10:34
you can see the cartoonistcaricaturist is suggestingsugerând
îl vedeți pe autor sugerând
10:37
that the passtrece phrasefraza "correctcorect horsecal batterybaterie staplecapsa"
că expresia parolă
„Corect cal baterie capsă"
10:39
would be a very strongputernic passtrece phrasefraza
ar fi o expresie parolă foarte puternică
10:42
and something really easyuşor to remembertine minte.
și ceva foarte ușor de reținut.
10:45
He saysspune, in factfapt, you've alreadydeja rememberedamintit it.
El spune că de fapt deja v-ați amintit-o.
10:47
And so we decideda decis to do a researchcercetare studystudiu
Am hotărât să facem o cercetare
10:50
to find out whetherdacă this was trueAdevărat or not.
pentru a afla dacă e adevărat sau nu.
10:52
In factfapt, everybodytoata lumea who I talk to,
De fapt, toți cu care am vorbit,
10:54
who I mentionmenționa I'm doing passwordparola researchcercetare,
și cărora le-am menționat
că fac o cercetare despre parole,
10:56
they pointpunct out this cartoondesen animat.
mi-au indicat această bandă desenată.
10:58
"Oh, have you seenvăzut it? That xkcdxkcd.
„O, ai văzut-o? Aia cu xkcd.
10:59
CorrectCorecta horsecal batterybaterie staplecapsa."
Corect cal baterie capsă."
11:01
So we did the researchcercetare studystudiu to see
Am făcut cercetarea pentru a vedea
11:03
what would actuallyde fapt happenîntâmpla.
ce s-ar întâmpla în realitate.
11:04
So in our studystudiu, we used MechanicalMecanice TurkTurk again,
Așa că în studiul nostru
am folosit din nou Mechanical Turk,
11:07
and we had the computercomputer pickalege the randomîntâmplător wordscuvinte
și am pus calculatorul să aleagă
cuvinte la întâmplare
11:10
in the passtrece phrasefraza.
pentru expresia parolă
11:14
Now the reasonmotiv we did this
Am făcut asta
11:15
is that humansoameni are not very good
pentru că oamenii nu se pricep bine
11:16
at pickingcules randomîntâmplător wordscuvinte.
să aleagă cuvinte la întâmplare.
11:18
If we askedîntrebă a humanuman to do it,
Dacă i-am cere unui om s-o facă,
11:19
they would pickalege things that were not very randomîntâmplător.
ar alege ceva care nu ar fi aleator.
11:21
So we triedîncercat a fewpuțini differentdiferit conditionscondiţii.
Am încercat câteva variante diferite.
11:24
In one conditioncondiție, the computercomputer pickedales
Într-o variantă, calculatorul a ales
11:26
from a dictionarydicţionar of the very commoncomun wordscuvinte
dintr-un dicționar cu cuvinte
foarte obișnuite
11:28
in the EnglishEngleză languagelimba,
în limba engleză
11:30
and so you'dte-ai get passtrece phrasesexpresii like
așa că obțineai expresii ca
11:31
"try there threeTrei come."
"încerca acolo trei veni".
11:33
And we lookedprivit at that, and we said,
Ne-am uitat la ea și am spus
11:35
"Well, that doesn't really seempărea very memorablememorabile."
„Asta nu pare ușor de reținut."
11:37
So then we triedîncercat pickingcules wordscuvinte
În continuare am ales cuvinte
11:40
that camea venit from specificspecific partspărți of speechvorbire,
care să fie părți de vorbire specifice,
11:42
so how about noun-verb-adjective-nounsubstantiv-verb-adjectiv-substantiv.
cum ar fi
substantiv-verb-adjectiv-substantiv.
11:44
That comesvine up with something
that's sortfel of sentence-liketeză-ca.
Care să aducă ceva
care să semene cu o propoziție.
11:47
So you can get a passtrece phrasefraza like
Așa poți obține o parolă ca
11:49
"planplan buildsconstruiește sure powerputere"
"plan construiește sigură putere"
11:51
or "endSfârşit determinesdetermină redroșu drugmedicament."
sau "scop determină drog roșu".
11:53
And these seemedpărea a little bitpic more memorablememorabile,
Astea păreau puțin mai ușor de memorat,
11:55
and maybe people would like those a little bitpic better.
și poate oamenii le-ar agrea ceva mai mult.
11:58
We wanted to comparecomparaţie them with passwordsparole,
Am vrut să le comparăm cu parole,
12:01
and so we had the computercomputer
pickalege randomîntâmplător passwordsparole,
deci am cerut calculatorului
să aleagă parole aleatorii.
12:03
and these were nicefrumos and shortmic de statura, but as you can see,
Erau drăguțe și scurte, după cum vedeți,
12:07
they don't really look very memorablememorabile.
nu par de loc ușor de memorat.
12:09
And then we decideda decis to try something calleddenumit
Apoi am decis să încercăm ceva numit
12:11
a pronounceablepronounceable passwordparola.
parolă pronunțabilă.
12:13
So here the computercomputer picksmurături randomîntâmplător syllablessilabe
Calculatorul alege silabe aleatorii
12:14
and putsputs them togetherîmpreună
și le unește
12:17
so you have something sortfel of pronounceablepronounceable,
ca să obții ceva pronunțabil
12:18
like "tufritvitufritvi" and "vadasabivadasabi."
cum ar fi „tufritvi" și „vadasabi".
12:20
That one kinddrăguț of rollsrulouri off your tonguelimbă.
Asta parcă se rostește ușor.
12:23
So these were randomîntâmplător passwordsparole that were
Astea au fost parole aleatorii
12:25
generatedgenerate by our computercomputer.
generate de calculatorul nostru.
12:27
So what we foundgăsite in this studystudiu was that, surprisinglysurprinzător,
Am aflat în acest studiu
că, surprinzător,
12:30
passtrece phrasesexpresii were not actuallyde fapt all that good.
expresiile parolă nu sunt de fapt
chiar așa de bune.
12:33
People were not really better at rememberingaducere aminte
Utilizatorii nu memorau mai bine
12:37
the passtrece phrasesexpresii than these randomîntâmplător passwordsparole,
expresiile parolă
decât aceste parole aleatorii,
12:40
and because the passtrece phrasesexpresii are longermai lung,
și pentru că expresiile parolă
sunt mai lungi,
12:43
they tooka luat longermai lung to typetip
a durat mai mult să le tasteze
12:45
and people madefăcut more errorserori while typingtastare them in.
și utilizatorii au făcut
mai multe greșeli tastându-le.
12:47
So it's not really a clearclar wina castiga for passtrece phrasesexpresii.
Așa că balanța nu înclină clar
în favoarea expresiilor parolă.
12:50
Sorry, all of you xkcdxkcd fansfanii.
Cu părere de rău
pentru fanii xkcd aici de față.
12:53
On the other handmână, we did find
Pe de altă parte, am constatat
12:56
that pronounceablepronounceable passwordsparole
că parolele pronunțabile
12:58
workeda lucrat surprisinglysurprinzător well,
au funcționat surprinzător de bine
13:00
and so we actuallyde fapt are doing some more researchcercetare
așa că facem acum altă cercetare
13:01
to see if we can make that
approachabordare work even better.
să vedem dacă putem
îmbunătăți acele abordări.
13:04
So one of the problemsProbleme
Una din problemele
13:07
with some of the studiesstudiu that we'vene-am doneTerminat
unor studii pe care le-am făcut
13:09
is that because they're all doneTerminat
este că toate sunt făcute
13:10
usingutilizând MechanicalMecanice TurkTurk,
cu Mechanical Turk,
13:12
these are not people'soamenii lui realreal passwordsparole.
parolele nu sunt cele
real folosite de utilizatori.
13:14
They're the passwordsparole that they createdcreată
Sunt parole create de ei
13:15
or the computercomputer createdcreată for them for our studystudiu.
sau de calculator pentru ei
în scopul studiului.
13:18
And we wanted to know whetherdacă people
Noi voiam să știm dacă utilizatorii
13:20
would actuallyde fapt behavecomporta the samela fel way
s-ar comporta similar
13:22
with theiral lor realreal passwordsparole.
cu parolele lor reale.
13:24
So we talkeda vorbit to the informationinformație
securitySecuritate officebirou at CarnegieCarnegie MellonMellon
Am vorbit la biroul de siguranța
informațiilor de la Carnegie Mellon
13:26
and askedîntrebă them if we could
have everybody'stoată lumea e realreal passwordsparole.
și i-am întrebat dacă am putea avea
parolele reale ale tuturor.
13:30
Not surprisinglysurprinzător, they were a little bitpic reluctantșovăitor
Cum era de așteptat,
au fost cam reticenți
13:34
to shareacțiune them with us,
să ni le împărtășească.
13:35
but we were actuallyde fapt ablecapabil to work out
Dar am putut elabora împreună
13:37
a systemsistem with them
un sistem prin care
13:39
where they put all of the realreal passwordsparole
puneau toate parolele reale
13:40
for 25,000 CMUCENTRUL MEDICAL UNIREA studentselevi, facultyfacultate and staffpersonal,
ale celor 25.000 de studenți,
profesori și angajați CMU
13:42
into a lockedblocat computercomputer in a lockedblocat roomcameră,
într-un calculator codificat
într-un birou codificat,
13:45
not connectedconectat to the InternetInternet,
care nu era conectat la internet
13:47
and they rana fugit codecod on it that we wrotea scris
și i-au dat un cod pe care l-am scris noi
13:49
to analyzea analiza these passwordsparole.
pentru a analiza aceste parole.
13:51
They auditedauditat our codecod.
Ei ne-au verificat codul.
13:53
They rana fugit the codecod.
Ei au aplicat codul.
13:54
And so we never actuallyde fapt saw
Astfel că noi n-am văzut niciodată
13:55
anybody'soricine e passwordparola.
vreo parolă.
13:57
We got some interestinginteresant resultsrezultate,
Am obținut rezultate interesante,
14:00
and those of you TepperTepper studentselevi in the back
și voi, studenții de la Tepper,
14:02
will be very interestedinteresat in this.
veți fi foarte interesați de ele.
14:03
So we foundgăsite that the passwordsparole createdcreată
Am constatat că parolele create
14:06
by people affiliatedafiliate with the
schoolşcoală of computercomputer scienceştiinţă
de utilizatorii de la
facultatea de informatică
14:10
were actuallyde fapt 1.8 timesori strongermai puternic
au fost de 1,8 ori mai puternice
14:12
than those affiliatedafiliate with the businessAfaceri schoolşcoală.
decât cele de la facultatea de business.
14:14
We have lots of other really interestinginteresant
Avem și alte informații demografice
14:18
demographicdemografic informationinformație as well.
cu adevărat interesante.
14:20
The other interestinginteresant thing that we foundgăsite
Alt lucru interesant
pe care l-am descoperit
14:22
is that when we comparedcomparativ
the CarnegieCarnegie MellonMellon passwordsparole
comparând parolele
de la Carnegie Mellon
14:24
to the MechanicalMecanice Turk-generatedGenerate de Turk passwordsparole,
cu cele generate de Mechanical Turk:
14:27
there was actuallyde fapt a lot of similaritiessimilarități,
am găsit multe similarități.
14:29
and so this helpeda ajutat validatevalida our researchcercetare methodmetodă
Asta ne-a validat metoda de cercetare,
14:31
and showspectacol that actuallyde fapt, collectingcolectare passwordsparole
arătând că, realmente, colectarea parolelor
14:33
usingutilizând these MechanicalMecanice TurkTurk studiesstudiu
folosind studiile cu Mechanical Turk
14:36
is actuallyde fapt a validvalabil way to studystudiu passwordsparole.
e un mod valid de a studia parole.
14:38
So that was good newsștiri.
Deci astea au fost vești bune.
14:41
Okay, I want to closeînchide by talkingvorbind about
Aș vrea să închei spunându-vă
14:43
some insightsInsights I gaineddobândită while on sabbaticalconcediu sabatic
despre noi perspective câștigate
anul trecut sabatic
14:45
last yearan in the CarnegieCarnegie MellonMellon artartă schoolşcoală.
la facultatea de arte
de la Carnegie Mellon.
14:47
One of the things that I did
Un lucru pe care l-am făcut,
14:51
is I madefăcut a numbernumăr of quiltspilote,
am confecționat niște cuverturi
14:52
and I madefăcut this quiltquilt here.
printre care și aceasta
14:53
It's calleddenumit "SecuritySecuritate BlanketPătură."
numită „Pătura de siguranță."
14:55
(LaughterRâs)
(Râsete)
14:57
And this quiltquilt has the 1,000
Cuvertura conține cele mai frecvente 1000
14:59
mostcel mai frequentfrecvent passwordsparole stolenfurat
de parole furate
15:02
from the RockYouRockYou websitewebsite.
de pe site-ul RockYou.
15:05
And the sizemărimea of the passwordsparole is proportionalproporţional
Mărimea parolelor e proporțională
15:07
to how frequentlydes they appeareda apărut
cu frecvența apariției lor
15:09
in the stolenfurat datasetsetul de date.
în baza de date furată.
15:11
And what I did is I createdcreată this wordcuvânt cloudnor,
Și am creat acest cloud de cuvinte
15:13
and I wenta mers throughprin all 1,000 wordscuvinte,
și am trecut prin toate
cele 1000 de cuvinte
15:16
and I categorizedclasificate them into
și le-am categorizat
15:18
looseliber thematictematice categoriescategorii.
în categorii tematice vagi.
15:20
And it was, in some casescazuri,
Iar în unele cazuri
15:22
it was kinddrăguț of difficultdificil to figurefigura out
a fost dificil să-mi dau seama
15:24
what categorycategorie they should be in,
în ce categorie ar trebui să fie,
15:26
and then I color-codedcodificate prin culori them.
și atunci le-am dat un cod de culori.
15:28
So here are some examplesexemple of the difficultydificultate.
Iată câteva exemple de dificultate.
15:30
So "justinJustin."
Deci „justin"
15:33
Is that the nameNume of the userutilizator,
este numele utilizatorului,
15:34
theiral lor boyfriendprieten, theiral lor sonfiu?
al iubitului, al fiului?
15:36
Maybe they're a JustinJustin BieberBieber fanventilator.
Poate e un fan al lui Justin Bieber.
15:37
Or "princessprintesa."
Sau parola „prințesă":
15:40
Is that a nicknameNickname?
este o poreclă?
15:42
Are they DisneyDisney princessprintesa fansfanii?
Sunt autorii fani ai prințesei Disney?
15:44
Or maybe that's the nameNume of theiral lor catpisică.
Sau poate e numele pisicii lor.
15:45
"IloveyouIrina" appearsapare manymulți timesori
„teiubesc" apare de multe ori
15:49
in manymulți differentdiferit languageslimbi.
în multe limbi diferite.
15:51
There's a lot of love in these passwordsparole.
E multă dragoste în aceste parole.
15:52
If you look carefullycu grija, you'llveți see there's alsode asemenea
Dacă vă uitați cu atenție,
15:56
some profanityblasfemie,
vedeți că sunt și înjurături,
15:58
but it was really interestinginteresant to me to see
dar a fost interesant să văd
16:00
that there's a lot more love than hateură
că e mai multă dragoste decât ură
16:02
in these passwordsparole.
în aceste parole.
16:04
And there are animalsanimale,
Și sunt animale,
16:06
a lot of animalsanimale,
multe animale,
16:08
and "monkeymaimuţă" is the mostcel mai commoncomun animalanimal
iar „maimuță" e animalul cel mai frecvent
16:09
and the 14thlea mostcel mai popularpopular passwordparola overallper total.
și a 14-a cea mai utilizată
parolă în general.
16:12
And this was really curiouscurios to me,
Asta mi s-a parut curios,
16:15
and I wonderedse întreba, "Why are monkeysmaimuțe so popularpopular?"
m-am întrebat: de ce sunt maimuțele
atât de populare?
16:17
And so in our last passwordparola studystudiu,
Așa că în ultimul nostru studiu
despre parole,
16:20
any time we detecteddetectat somebodycineva
de fiecare dată când am detectat pe cineva
16:23
creatingcrearea a passwordparola with the wordcuvânt "monkeymaimuţă" in it,
care crease o parolă conținând
cuvântul „maimuță",
16:25
we askedîntrebă them why they had
a monkeymaimuţă in theiral lor passwordparola.
i-am întrebat de ce a pus maimuța
ca parolă.
16:28
And what we foundgăsite out --
Și ce am aflat --
16:31
we foundgăsite 17 people so fardeparte, I think,
am aflat 17 utilizatori până acum, cred,
16:33
who have the wordcuvânt "monkeymaimuţă" --
care au cuvântul „maimuță" --
16:35
We foundgăsite out about a thirdal treilea of them said
Aproximativ o treime au spus
16:36
they have a petanimal de companie namednumit "monkeymaimuţă"
că au un animal de companie
numit „maimuță"
16:38
or a friendprieten whosea caror nicknameNickname is "monkeymaimuţă,"
sau un prieten cu porecla „maimuță" ,
16:39
and about a thirdal treilea of them said
iar o treime din ei au spus
16:42
that they just like monkeysmaimuțe
că le plac maimuțele
16:43
and monkeysmaimuțe are really cutedrăguţ.
pentru că maimuțele sunt drăguțe.
16:45
And that guy is really cutedrăguţ.
Și tipul acela e chiar drăguț.
16:47
So it seemspare that at the endSfârşit of the day,
Așa că, până la urmă,
16:50
when we make passwordsparole,
când creem parole,
16:54
we eitherfie make something that's really easyuşor
fie creem ceva care e foarte ușor
16:55
to typetip, a commoncomun patternmodel,
de tastat, un model obișnuit,
16:57
or things that remindreaminti us of the wordcuvânt passwordparola
sau lucruri care ne amintesc
de cuvântul parolă
17:00
or the accountcont that we'vene-am createdcreată the passwordparola for,
sau de contul pentru care am creat parola,
17:03
or whateverindiferent de.
sau orice altceva.
17:06
Or we think about things that make us happyfericit,
Sau ne gândim la lucruri
care ne fac fericiți,
17:09
and we createcrea our passwordparola
și ne creem parola
17:11
basedbazat on things that make us happyfericit.
pe baza lucrurilor care ne fac fericiți.
17:13
And while this makesmărci typingtastare
Asta face tastarea
17:15
and rememberingaducere aminte your passwordparola more fundistracţie,
și reținerea parolei mai distractive,
17:18
it alsode asemenea makesmărci it a lot easierMai uşor
dar, pe de altă parte, și ghicirea
17:21
to guessghici your passwordparola.
parolei e mai ușor de realizat.
17:23
So I know a lot of these TEDTED TalksDiscuţii
Știu că multe prezentări TED
17:24
are inspirationalinspiratie
inspiră
17:26
and they make you think about nicefrumos, happyfericit things,
și te fac să te gândești
la lucruri frumoase, fericite,
17:27
but when you're creatingcrearea your passwordparola,
dar când vă creați parola
17:30
try to think about something elsealtfel.
încercați să vă gândiți la altceva.
17:32
Thank you.
Vă mulțumesc.
17:34
(ApplauseAplauze)
(Aplauze)
17:35

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com