English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Ce problemă are parola ta?

Filmed
Views 1,487,395

Lorrie Faith Cranor a studiat mii de parole pentru a înțelege greșelile surprinzătoare, foarte frecvente pe care le fac utilizatorii care le compromit securitatea. Și cum, vă puteți întreba, a studiat ea mii de parole reale fără a compromite securitatea vreunui utilizator Sunt date secrete pe care merită să le cunoști, mai ales dacă parola ta este 123456....

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

I am a computer science and engineering
professor here at Carnegie Mellon,
Sunt profesor de informatică
aici la Carnegie Mwllon.
00:12
and my research focuses on
usable privacy and security,
Cercetarea mea e axată pe confidențialitate
și securitate utilizabile.
00:15
and so my friends like to give me examples
așa că prietenii mei îmi povestesc
00:20
of their frustrations with computing systems,
despre frustrările lor
legate de sistemele informatice,
00:22
especially frustrations related to
îndeosebi cele legate
00:25
unusable privacy and security.
de confidențialitate și securitate
neutilizabile.
00:28
So passwords are something that I hear a lot about.
Aud frecvent despre parole.
00:32
A lot of people are frustrated with passwords,
Pe mulți îi irită parolele.
00:35
and it's bad enough
Nu-i destul
00:38
when you have to have one really good password
că trebuie să ai o parolă grozavă
00:39
that you can remember
pe care ți-o poți aminti,
00:42
but nobody else is going to be able to guess.
dar pe care nimeni altcineva
n-o poate ghici.
00:44
But what do you do when you have accounts
Dar ce te faci când ai conturi
00:47
on a hundred different systems
într-o sută de sisteme diferite
00:48
and you're supposed to have a unique password
și trebuie să ai o parolă diferită
00:50
for each of these systems?
pentru fiecare?
00:53
It's tough.
E cumplit.
00:56
At Carnegie Mellon, they used to make it
La Carnegie Mellon,
00:58
actually pretty easy for us
înainte era foarte ușor
01:00
to remember our passwords.
să ne memorăm parolele.
01:01
The password requirement up through 2009
Cerința pentru parolă până în 2009 inclusiv
01:03
was just that you had to have a password
era să ai o parolă
01:05
with at least one character.
cu cel puțin un caracter.
01:07
Pretty easy. But then they changed things,
Foarte simplu.
Dar apoi lucrurile s-au schimbat,
01:10
and at the end of 2009, they announced
și la sfârșitul lui 2009,
01:12
that we were going to have a new policy,
au anunțat că vor avea noi reguli,
01:15
and this new policy required
iar aceste reguli noi cereau
01:17
passwords that were at least eight characters long,
ca parolele să aibă minim opt caractere,
01:19
with an uppercase letter, lowercase letter,
cu literă mare, literă mică,
01:22
a digit, a symbol,
o cifră, un simbol,
01:24
you couldn't use the same
character more than three times,
nu puteai folosi același caracter
mai mult de trei ori,
01:25
and it wasn't allowed to be in a dictionary.
și nu era permis să existe în dicționar.
01:28
Now, when they implemented this new policy,
Când au implementat noile reguli,
01:30
a lot of people, my colleagues and friends,
multă lume, colegi și prieteni,
01:32
came up to me and they said, "Wow,
au venit și mi-au spus:
01:35
now that's really unusable.
„Uff, e anevoios de folosit.
01:36
Why are they doing this to us,
De ce ne fac asta,
01:38
and why didn't you stop them?"
și de ce nu i-ai oprit?"
01:39
And I said, "Well, you know what?
Iar eu le-am răspuns:
01:41
They didn't ask me."
„Nu m-au întrebat când le-au schimbat.”
01:42
But I got curious, and I decided to go talk
Dar am fost curioasă
și am decis să vorbesc
01:44
to the people in charge of our computer systems
cu cei care răspundeau
de sistemele informatice
01:47
and find out what led them to introduce
să aflu ce i-a făcut să introducă
01:49
this new policy,
aceste noi reguli.
01:52
and they said that the university
Au spus că universitatea noastră
01:54
had joined a consortium of universities,
a intrat într-un consorțiu de universități,
01:55
and one of the requirements of membership
iar una din cerințele pentru a fi membru
01:58
was that we had to have stronger passwords
era să avem parole mai puternice
02:00
that complied with some new requirements,
care să se conformeze unor cerințe noi
02:03
and these requirements were that our passwords
care prevedeau ca parolele
02:05
had to have a lot of entropy.
să aibă o entropie mare.
02:07
Now entropy is a complicated term,
Entropia e un termen complicat,
02:09
but basically it measures the strength of passwords.
dar, în esență, măsoară puterea parolelor.
02:11
But the thing is, there isn't actually
Dar, de fapt, nu exista
02:14
a standard measure of entropy.
o măsurătoare standard pentru entropie.
02:16
Now, the National Institute
of Standards and Technology
Ei bine, Institutul Național
de Standarde și Tehnologie
02:18
has a set of guidelines
are un set de îndrumări
02:20
which have some rules of thumb
cu câteva reguli empirice
02:22
for measuring entropy,
de măsurat entropia.
02:24
but they don't have anything too specific,
Dar nu au nimic explicit
02:26
and the reason they only have rules of thumb
și au doar reguli empirice
02:29
is it turns out they don't actually have any good data
pentru că nu au studii serioase
02:31
on passwords.
despre parole.
02:34
In fact, their report states,
De fapt, raportul lor afirma:
02:36
"Unfortunately, we do not have much data
„Din păcate, nu avem multe date
02:38
on the passwords users
choose under particular rules.
despre parolele alese de utilizatori
după reguli specifice.
02:40
NIST would like to obtain more data
INST ar dori să obțină mai multe date
02:43
on the passwords users actually choose,
despre parolele efectiv alese de utilizatori
02:45
but system administrators
are understandably reluctant
dar administratorii de sistem
sunt evident reticenți
02:48
to reveal password data to others."
să dezvăluie altora
date referitoare la parolele."
02:50
So this is a problem, but our research group
Asta-i o problemă,
dar grupul nostru de cercetare
02:53
looked at it as an opportunity.
a luat-o ca pe o oportunitate.
02:56
We said, "Well, there's a need
for good password data.
Am spus: „Ei bine, e nevoie de date
despre parole bune.
02:58
Maybe we can collect some good password data
Poate putem culege date despre parole bune
03:02
and actually advance the state of the art here.
și să promovăm tiparul cel mai bun.
03:04
So the first thing we did is,
Primul lucru pe care l-am făcut,
03:06
we got a bag of candy bars
am luat o pungă de bomboane,
03:08
and we walked around campus
ne-am plimbat prin campus
și am stat de vorbă
03:10
and talked to students, faculty and staff,
cu studenții, profesorii și angajații
03:11
and asked them for information
cerându-le informații
03:14
about their passwords.
despre parolele lor.
03:15
Now we didn't say, "Give us your password."
Nu le-am spus: „Dă-ne parola ta".
03:17
No, we just asked them about their password.
Doar i-am întrebat despre parolele lor.
03:20
How long is it? Does it have a digit?
Cât e de lungă? Conține vreo cifră?
03:22
Does it have a symbol?
Are vreun simbol?
03:24
And were you annoyed at having to create
Și te-a deranjat că a trebuit să-ți alegi
03:25
a new one last week?
una nouă săptămâna trecută?
03:27
So we got results from 470 students,
Am obținut răspunsuri de la 470 studenți,
03:30
faculty and staff,
profesori și angajați
03:33
and indeed we confirmed that the new policy
și, într-adevăr,
ni s-a confirmat că noile dispoziții
03:34
was very annoying,
erau enervante,
03:36
but we also found that people said
dar am descoperit că lumea spunea
03:38
they felt more secure with these new passwords.
că se simte mai în siguranță
cu aceste parole noi.
03:40
We found that most people knew
Am constatat că majoritatea știau
03:43
they were not supposed to
write their password down,
că nu trebuie să-și noteze parola,
03:45
and only 13 percent of them did,
și doar 13% din ei și-o notaseră,
03:47
but disturbingly, 80 percent of people
dar un număr alarmant de 80%
03:50
said they were reusing their password.
au spus că își reutilizează parola.
03:52
Now, this is actually more dangerous
Ei bine, asta-i de fapt mai periculos
03:54
than writing your password down,
decât să-ți scrii parola
03:56
because it makes you much
more susceptible to attackers.
pentru că te face mult mai expus
la atacuri.
03:58
So if you have to, write your passwords down,
Așa că, dacă simți nevoia,
04:01
but don't reuse them.
scrie-ți parolele, dar nu le refolosi.
04:05
We also found some interesting things
Am aflat și lucruri interesante
04:06
about the symbols people use in passwords.
despre simbolurile pe care oamenii
le folosesc la parole.
04:08
So CMU allows 32 possible symbols,
CMU permite 32 simboluri posibile,
04:11
but as you can see, there's only a small number
dar după cum vedeți, doar un mic număr
04:14
that most people are using,
sunt folosite de majoritatea oamenilor
04:16
so we're not actually getting very much strength
așa că, de fapt,
nu obținem securitate mare
04:18
from the symbols in our passwords.
în parolele noastre de la simboluri.
04:21
So this was a really interesting study,
A fost un studiu interesant
04:23
and now we had data from 470 people,
și acum aveam date de la 470 de oameni,
04:26
but in the scheme of things,
dar, per total,
04:29
that's really not very much password data,
nu reprezintă destule date despre parole.
04:30
and so we looked around to see
Am căutat să vedem
04:33
where could we find additional password data?
unde am putea găsi date suplimentare
despre parole.
04:34
So it turns out there are a lot of people
Se pare că mulți oameni
04:37
going around stealing passwords,
care se ocupă cu furatul parolelor
04:39
and they often go and post these passwords
deseori le postează
04:41
on the Internet.
pe internet.
04:43
So we were able to get access
Așa că am putut accesa
04:45
to some of these stolen password sets.
parte din seturile de parole furate.
04:46
This is still not really ideal for research, though,
Totuși, nu e ideal pentru cercetare,
04:50
because it's not entirely clear
pentru că nu e clar
04:53
where all of these passwords came from,
de unde provin aceste parole,
04:55
or exactly what policies were in effect
sau ce reguli funcționau
04:57
when people created these passwords.
când utilizatorii au creat aceste parole.
04:59
So we wanted to find some better source of data.
Așa că am dorit să găsim
surse mai bune de date.
05:01
So we decided that one thing we could do
Am decis că singurul lucru
05:05
is we could do a study and have people
era să facem un studiu în care utilizatorii
05:06
actually create passwords for our study.
să creeze parole pentru accesarea studiului.
05:09
So we used a service called
Amazon Mechanical Turk,
Am folosit un serviciu numit
Amazon Mechanical Turk,
05:12
and this is a service where you can post
prin care poți posta online
05:15
a small job online that takes a minute,
o solicitare care durează un minut,
05:17
a few minutes, an hour,
câteva minute, o oră,
05:19
and pay people, a penny, ten cents, a few dollars,
și plătești contributorii
un penny, zece cenți, câțiva dolari,
05:21
to do a task for you,
ca să ți-o facă,
05:23
and then you pay them through Amazon.com.
iar apoi îi plătești prin Amazon.com.
05:25
So we paid people about 50 cents
Așa că am plătit oamenilor vreo 50 de cenți
05:27
to create a password following our rules
ca să-și creeze o parolă
după regulile noastre
05:29
and answering a survey,
și să răspundă la un chestionar,
05:32
and then we paid them again to come back
iar apoi i-am plătit din nou să revină
05:33
two days later and log in
peste două zile și să se logheze
05:36
using their password and answering another survey.
folosind parola nou creată
și să răspundă la un alt chestionar.
05:38
So we did this, and we collected 5,000 passwords,
Așa am colectat 5000 parole
05:40
and we gave people a bunch of different policies
dând oamenilor o serie
de instrucțiuni diferite
05:45
to create passwords with.
după care să-și creeze parolele.
05:47
So some people had a pretty easy policy,
Unii au avut instrucțiuni simple,
05:49
we call it Basic8,
pe care le numim Basic8,
05:51
and here the only rule was that your password
după care singura regulă era ca parola
05:52
had to have at least eight characters.
să aibă cel puțin opt caractere.
05:55
Then some people had a much harder policy,
Alții au avut instrucțiuni mai dificile,
05:58
and this was very similar to the CMU policy,
asemănătoare instrucțiunilor CMU,
06:00
that it had to have eight characters
parola trebuia să aibă opt caractere
06:03
including uppercase, lowercase, digit, symbol,
să includă literă mare, mică, cifră, simbol,
06:05
and pass a dictionary check.
și să nu fie în dicționar.
06:07
And one of the other policies we tried,
Alte instrucțiuni pe care le-am încercat,
06:09
and there were a whole bunch more,
au fost multe altele,
06:11
but one of the ones we tried was called Basic16,
dar cel pe care l-am încercat
a fost Basic16,
06:12
and the only requirement here
singura cerință fiind
06:14
was that your password had
to have at least 16 characters.
ca parola să aibă minim 16 caractere.
06:17
All right, so now we had 5,000 passwords,
Acum aveam 5000 de parole,
06:20
and so we had much more detailed information.
și informații mult mai detaliate.
06:23
Again we see that there's only a small number
Din nou, vedem că există puține simboluri
06:26
of symbols that people are actually using
pe care oamenii le folosesc
06:29
in their passwords.
în parolele lor.
06:31
We also wanted to get an idea of how strong
Am vrut de asemenea să ne facem o idee
06:33
the passwords were that people were creating,
cât de puternice
erau parolele pe care le creau.
06:35
but as you may recall, there isn't a good measure
Dar, vă amintiți,
nu există un mod exact de a măsura
06:38
of password strength.
puterea unei parole.
06:40
So what we decided to do was to see
Așa că am decis să vedem
06:42
how long it would take to crack these passwords
cât ar dura să spargem parolele
06:45
using the best cracking tools
folosind cele mai bune programe
06:47
that the bad guys are using,
folosite de băieții răi,
06:48
or that we could find information about
sau despre care am putut găsi informații
06:50
in the research literature.
în literatura de cercetare.
06:52
So to give you an idea of how bad guys
Să vă faceți idee cum procedează
06:54
go about cracking passwords,
băieții răi când sparg parolele:
06:56
they will steal a password file
fură un fișier de parole
06:59
that will have all of the passwords
care are toate parolele
07:01
in kind of a scrambled form, called a hash,
într-o formă codificată, numit haș,
07:03
and so what they'll do is they'll make a guess
și încearcă să ghicească
07:06
as to what a password is,
parola,
07:08
run it through a hashing function,
o trec printr-o funcție de hașare
07:10
and see whether it matches
și văd dacă se potrivește
07:12
the passwords they have on
their stolen password list.
cu parolele de pe lista de parole furate.
07:14
So a dumb attacker will try every password in order.
Un atacator prost va încerca
fiecare parolă la rând.
07:18
They'll start with AAAAA and move on to AAAAB,
Va începe cu AAAAA și va trece la AAAAB,
07:21
and this is going to take a really long time
și îi va lua o groază de timp
07:24
before they get any passwords
până să obțină o parolă
07:27
that people are really likely to actually have.
foarte probabil ca utilizatorii s-o aibă.
07:28
A smart attacker, on the other hand,
Un atacator deștept, pe de altă parte,
07:31
does something much more clever.
face ceva mult mai inteligent.
07:33
They look at the passwords
Se uită la parolele
07:34
that are known to be popular
despre care se știe că sunt des întâlnite
07:36
from these stolen password sets,
din seturile de parole furate,
07:38
and they guess those first.
și le ghicește întâi pe acelea.
07:40
So they're going to start by guessing "password,"
Începe prin a ghici „parolă",
07:41
and then they'll guess "I love you," and "monkey,"
iar apoi vor ghici „te iubesc" și „maimuță"
07:43
and "12345678,"
și „12345678",
07:46
because these are the passwords
pentru că acestea sunt parolele
07:48
that are most likely for people to have.
pe care foarte probabil le au utilizatorii.
07:50
In fact, some of you probably have these passwords.
De fapt, probabil că unii dintre dvs.
aveți aceste parole.
07:52
So what we found
Deci am aflat,
07:57
by running all of these 5,000 passwords we collected
trecând cele 5000 de parole colectate
07:58
through these tests to see how strong they were,
prin aceste teste pentru a vedea
cât de puternice sunt,
08:01
we found that the long passwords
am constatat că parolele lungi
08:06
were actually pretty strong,
erau chiar foarte puternice,
08:08
and the complex passwords were pretty strong too.
iar parolele complexe și ele.
08:10
However, when we looked at the survey data,
Totuși, când ne-am uitat
la datele studiului,
08:13
we saw that people were really frustrated
am văzut că utilizatorii erau
foarte frustrați
08:15
by the very complex passwords,
din cauza parolelor complexe,
08:18
and the long passwords were a lot more usable,
iar parolele lungi erau mai practice,
08:21
and in some cases, they were actually
iar în unele cazuri, erau chiar
08:23
even stronger than the complex passwords.
mai puternice decât parolele complexe.
08:25
So this suggests that,
Asta sugerează că,
08:27
instead of telling people that they need
în loc să le spunem utilizatorilor
08:29
to put all these symbols and numbers
să pună toate acele simboluri și numere
08:30
and crazy things into their passwords,
și aiureli în parolele lor,
08:32
we might be better off just telling people
ar fi mai bine dacă le-am spune
08:35
to have long passwords.
doar să aibă parole lungi.
08:37
Now here's the problem, though:
Există totuși o problemă:
08:39
Some people had long passwords
Unii utilizatori aveau parole lungi
08:41
that actually weren't very strong.
care totuși nu erau foarte puternice.
08:43
You can make long passwords
Poți face parole lungi
08:45
that are still the sort of thing
pe care
08:47
that an attacker could easily guess.
un atacator le poate ghici cu ușurință.
08:49
So we need to do more than
just say long passwords.
Așa că trebuie mai mult decât
doar să cerem parole lungi.
08:50
There has to be some additional requirements,
Trebuie să existe cerințe suplimentare.
08:54
and some of our ongoing research is looking at
O cercetare curentă studiază
08:56
what additional requirements we should add
cerințele suplimentare ce ar trebui adăugate
08:59
to make for stronger passwords
pentru parole mai puternice,
09:01
that also are going to be easy for people
dar ușor pentru utilizatori
09:03
to remember and type.
de reținut și de tastat.
09:05
Another approach to getting people to have
O altă abordare în determinarea
utilizatorilor să aleagă
09:08
stronger passwords is to use a password meter.
parole mai puternice
e folosirea unui contor de parole.
09:10
Here are some examples.
Iată câteva exemple.
09:12
You may have seen these on the Internet
Poate le-ați văzut pe internet
09:14
when you were creating passwords.
când v-ați creat parole.
09:15
We decided to do a study to find out
Am decis să facem un studiu să aflăm
09:18
whether these password meters actually work.
dacă aceste contoare de parole
chiar funcționează.
09:21
Do they actually help people
Chiar îi ajută pe utilizatori
09:23
have stronger passwords,
să aleagă parole mai puternice,
09:25
and if so, which ones are better?
și dacă da, care sunt mai bune?
09:26
So we tested password meters that were
Așa că am testat contoare de parole
09:28
different sizes, shapes, colors,
cu diferite mărimi, forme, culori,
09:31
different words next to them,
cu diferite cuvinte lângă ele,
09:33
and we even tested one that was a dancing bunny.
am testat și unul cu un iepuraș care țopăia.
09:34
As you type a better password,
Cu cât parola era mai bună,
09:38
the bunny dances faster and faster.
iepurașul țopăia mai repede.
09:39
So this was pretty fun.
Era foarte amuzant.
09:42
What we found
Am aflat că aceste contoare
09:44
was that password meters do work.
chiar funcționează.
09:46
(Laughter)
(Râsete)
09:49
Most of the password meters were actually effective,
Majoritatea contoarelor de parole
au fost eficace,
09:51
and the dancing bunny was very effective too,
iar iepurașul țopăitor
a fost și el foarte eficace,
09:55
but the password meters that were the most effective
dar cele mai eficace contoare de parole
09:57
were the ones that made you work harder
au fost cele care te făceau
să muncești mai mult
10:00
before they gave you that thumbs up and said
până să-ți dea OK-ul și să spună
10:02
you were doing a good job,
că ai făcut treabă bună.
10:04
and in fact we found that most
De fapt am constatat că majoritatea
10:06
of the password meters on the Internet today
contoarelor de parole actuale de pe internet
10:07
are too soft.
sunt prea slabe.
10:10
They tell you you're doing a good job too early,
Iți spun că ai făcut treabă bună
prea devreme
10:10
and if they would just wait a little bit
și dacă ar aștepta doar puțin
10:13
before giving you that positive feedback,
înainte de reacția pozitivă
10:15
you probably would have better passwords.
probabil ați avea parole mai bune.
10:17
Now another approach to better passwords, perhaps,
O altă abordare pentru parole
mai bune, poate,
10:20
is to use pass phrases instead of passwords.
e de a folosi expresii în loc de cuvinte.
10:24
So this was an xkcd cartoon
from a couple of years ago,
Asta-i o bandă desenată xkcd
de acum doi ani,
10:27
and the cartoonist suggests
unde autorul propune
10:30
that we should all use pass phrases,
să folosim cu toții expresii parolă.
10:32
and if you look at the second row of this cartoon,
Dacă vă uitați la al 2-lea rând
din banda desenată
10:34
you can see the cartoonist is suggesting
îl vedeți pe autor sugerând
10:37
that the pass phrase "correct horse battery staple"
că expresia parolă
„Corect cal baterie capsă"
10:39
would be a very strong pass phrase
ar fi o expresie parolă foarte puternică
10:42
and something really easy to remember.
și ceva foarte ușor de reținut.
10:45
He says, in fact, you've already remembered it.
El spune că de fapt deja v-ați amintit-o.
10:47
And so we decided to do a research study
Am hotărât să facem o cercetare
10:50
to find out whether this was true or not.
pentru a afla dacă e adevărat sau nu.
10:52
In fact, everybody who I talk to,
De fapt, toți cu care am vorbit,
10:54
who I mention I'm doing password research,
și cărora le-am menționat
că fac o cercetare despre parole,
10:56
they point out this cartoon.
mi-au indicat această bandă desenată.
10:58
"Oh, have you seen it? That xkcd.
„O, ai văzut-o? Aia cu xkcd.
10:59
Correct horse battery staple."
Corect cal baterie capsă."
11:01
So we did the research study to see
Am făcut cercetarea pentru a vedea
11:03
what would actually happen.
ce s-ar întâmpla în realitate.
11:04
So in our study, we used Mechanical Turk again,
Așa că în studiul nostru
am folosit din nou Mechanical Turk,
11:07
and we had the computer pick the random words
și am pus calculatorul să aleagă
cuvinte la întâmplare
11:10
in the pass phrase.
pentru expresia parolă
11:14
Now the reason we did this
Am făcut asta
11:15
is that humans are not very good
pentru că oamenii nu se pricep bine
11:16
at picking random words.
să aleagă cuvinte la întâmplare.
11:18
If we asked a human to do it,
Dacă i-am cere unui om s-o facă,
11:19
they would pick things that were not very random.
ar alege ceva care nu ar fi aleator.
11:21
So we tried a few different conditions.
Am încercat câteva variante diferite.
11:24
In one condition, the computer picked
Într-o variantă, calculatorul a ales
11:26
from a dictionary of the very common words
dintr-un dicționar cu cuvinte
foarte obișnuite
11:28
in the English language,
în limba engleză
11:30
and so you'd get pass phrases like
așa că obțineai expresii ca
11:31
"try there three come."
"încerca acolo trei veni".
11:33
And we looked at that, and we said,
Ne-am uitat la ea și am spus
11:35
"Well, that doesn't really seem very memorable."
„Asta nu pare ușor de reținut."
11:37
So then we tried picking words
În continuare am ales cuvinte
11:40
that came from specific parts of speech,
care să fie părți de vorbire specifice,
11:42
so how about noun-verb-adjective-noun.
cum ar fi
substantiv-verb-adjectiv-substantiv.
11:44
That comes up with something
that's sort of sentence-like.
Care să aducă ceva
care să semene cu o propoziție.
11:47
So you can get a pass phrase like
Așa poți obține o parolă ca
11:49
"plan builds sure power"
"plan construiește sigură putere"
11:51
or "end determines red drug."
sau "scop determină drog roșu".
11:53
And these seemed a little bit more memorable,
Astea păreau puțin mai ușor de memorat,
11:55
and maybe people would like those a little bit better.
și poate oamenii le-ar agrea ceva mai mult.
11:58
We wanted to compare them with passwords,
Am vrut să le comparăm cu parole,
12:01
and so we had the computer
pick random passwords,
deci am cerut calculatorului
să aleagă parole aleatorii.
12:03
and these were nice and short, but as you can see,
Erau drăguțe și scurte, după cum vedeți,
12:07
they don't really look very memorable.
nu par de loc ușor de memorat.
12:09
And then we decided to try something called
Apoi am decis să încercăm ceva numit
12:11
a pronounceable password.
parolă pronunțabilă.
12:13
So here the computer picks random syllables
Calculatorul alege silabe aleatorii
12:14
and puts them together
și le unește
12:17
so you have something sort of pronounceable,
ca să obții ceva pronunțabil
12:18
like "tufritvi" and "vadasabi."
cum ar fi „tufritvi" și „vadasabi".
12:20
That one kind of rolls off your tongue.
Asta parcă se rostește ușor.
12:23
So these were random passwords that were
Astea au fost parole aleatorii
12:25
generated by our computer.
generate de calculatorul nostru.
12:27
So what we found in this study was that, surprisingly,
Am aflat în acest studiu
că, surprinzător,
12:30
pass phrases were not actually all that good.
expresiile parolă nu sunt de fapt
chiar așa de bune.
12:33
People were not really better at remembering
Utilizatorii nu memorau mai bine
12:37
the pass phrases than these random passwords,
expresiile parolă
decât aceste parole aleatorii,
12:40
and because the pass phrases are longer,
și pentru că expresiile parolă
sunt mai lungi,
12:43
they took longer to type
a durat mai mult să le tasteze
12:45
and people made more errors while typing them in.
și utilizatorii au făcut
mai multe greșeli tastându-le.
12:47
So it's not really a clear win for pass phrases.
Așa că balanța nu înclină clar
în favoarea expresiilor parolă.
12:50
Sorry, all of you xkcd fans.
Cu părere de rău
pentru fanii xkcd aici de față.
12:53
On the other hand, we did find
Pe de altă parte, am constatat
12:56
that pronounceable passwords
că parolele pronunțabile
12:58
worked surprisingly well,
au funcționat surprinzător de bine
13:00
and so we actually are doing some more research
așa că facem acum altă cercetare
13:01
to see if we can make that
approach work even better.
să vedem dacă putem
îmbunătăți acele abordări.
13:04
So one of the problems
Una din problemele
13:07
with some of the studies that we've done
unor studii pe care le-am făcut
13:09
is that because they're all done
este că toate sunt făcute
13:10
using Mechanical Turk,
cu Mechanical Turk,
13:12
these are not people's real passwords.
parolele nu sunt cele
real folosite de utilizatori.
13:14
They're the passwords that they created
Sunt parole create de ei
13:15
or the computer created for them for our study.
sau de calculator pentru ei
în scopul studiului.
13:18
And we wanted to know whether people
Noi voiam să știm dacă utilizatorii
13:20
would actually behave the same way
s-ar comporta similar
13:22
with their real passwords.
cu parolele lor reale.
13:24
So we talked to the information
security office at Carnegie Mellon
Am vorbit la biroul de siguranța
informațiilor de la Carnegie Mellon
13:26
and asked them if we could
have everybody's real passwords.
și i-am întrebat dacă am putea avea
parolele reale ale tuturor.
13:30
Not surprisingly, they were a little bit reluctant
Cum era de așteptat,
au fost cam reticenți
13:34
to share them with us,
să ni le împărtășească.
13:35
but we were actually able to work out
Dar am putut elabora împreună
13:37
a system with them
un sistem prin care
13:39
where they put all of the real passwords
puneau toate parolele reale
13:40
for 25,000 CMU students, faculty and staff,
ale celor 25.000 de studenți,
profesori și angajați CMU
13:42
into a locked computer in a locked room,
într-un calculator codificat
într-un birou codificat,
13:45
not connected to the Internet,
care nu era conectat la internet
13:47
and they ran code on it that we wrote
și i-au dat un cod pe care l-am scris noi
13:49
to analyze these passwords.
pentru a analiza aceste parole.
13:51
They audited our code.
Ei ne-au verificat codul.
13:53
They ran the code.
Ei au aplicat codul.
13:54
And so we never actually saw
Astfel că noi n-am văzut niciodată
13:55
anybody's password.
vreo parolă.
13:57
We got some interesting results,
Am obținut rezultate interesante,
14:00
and those of you Tepper students in the back
și voi, studenții de la Tepper,
14:02
will be very interested in this.
veți fi foarte interesați de ele.
14:03
So we found that the passwords created
Am constatat că parolele create
14:06
by people affiliated with the
school of computer science
de utilizatorii de la
facultatea de informatică
14:10
were actually 1.8 times stronger
au fost de 1,8 ori mai puternice
14:12
than those affiliated with the business school.
decât cele de la facultatea de business.
14:14
We have lots of other really interesting
Avem și alte informații demografice
14:18
demographic information as well.
cu adevărat interesante.
14:20
The other interesting thing that we found
Alt lucru interesant
pe care l-am descoperit
14:22
is that when we compared
the Carnegie Mellon passwords
comparând parolele
de la Carnegie Mellon
14:24
to the Mechanical Turk-generated passwords,
cu cele generate de Mechanical Turk:
14:27
there was actually a lot of similarities,
am găsit multe similarități.
14:29
and so this helped validate our research method
Asta ne-a validat metoda de cercetare,
14:31
and show that actually, collecting passwords
arătând că, realmente, colectarea parolelor
14:33
using these Mechanical Turk studies
folosind studiile cu Mechanical Turk
14:36
is actually a valid way to study passwords.
e un mod valid de a studia parole.
14:38
So that was good news.
Deci astea au fost vești bune.
14:41
Okay, I want to close by talking about
Aș vrea să închei spunându-vă
14:43
some insights I gained while on sabbatical
despre noi perspective câștigate
anul trecut sabatic
14:45
last year in the Carnegie Mellon art school.
la facultatea de arte
de la Carnegie Mellon.
14:47
One of the things that I did
Un lucru pe care l-am făcut,
14:51
is I made a number of quilts,
am confecționat niște cuverturi
14:52
and I made this quilt here.
printre care și aceasta
14:53
It's called "Security Blanket."
numită „Pătura de siguranță."
14:55
(Laughter)
(Râsete)
14:57
And this quilt has the 1,000
Cuvertura conține cele mai frecvente 1000
14:59
most frequent passwords stolen
de parole furate
15:02
from the RockYou website.
de pe site-ul RockYou.
15:05
And the size of the passwords is proportional
Mărimea parolelor e proporțională
15:07
to how frequently they appeared
cu frecvența apariției lor
15:09
in the stolen dataset.
în baza de date furată.
15:11
And what I did is I created this word cloud,
Și am creat acest cloud de cuvinte
15:13
and I went through all 1,000 words,
și am trecut prin toate
cele 1000 de cuvinte
15:16
and I categorized them into
și le-am categorizat
15:18
loose thematic categories.
în categorii tematice vagi.
15:20
And it was, in some cases,
Iar în unele cazuri
15:22
it was kind of difficult to figure out
a fost dificil să-mi dau seama
15:24
what category they should be in,
în ce categorie ar trebui să fie,
15:26
and then I color-coded them.
și atunci le-am dat un cod de culori.
15:28
So here are some examples of the difficulty.
Iată câteva exemple de dificultate.
15:30
So "justin."
Deci „justin"
15:33
Is that the name of the user,
este numele utilizatorului,
15:34
their boyfriend, their son?
al iubitului, al fiului?
15:36
Maybe they're a Justin Bieber fan.
Poate e un fan al lui Justin Bieber.
15:37
Or "princess."
Sau parola „prințesă":
15:40
Is that a nickname?
este o poreclă?
15:42
Are they Disney princess fans?
Sunt autorii fani ai prințesei Disney?
15:44
Or maybe that's the name of their cat.
Sau poate e numele pisicii lor.
15:45
"Iloveyou" appears many times
„teiubesc" apare de multe ori
15:49
in many different languages.
în multe limbi diferite.
15:51
There's a lot of love in these passwords.
E multă dragoste în aceste parole.
15:52
If you look carefully, you'll see there's also
Dacă vă uitați cu atenție,
15:56
some profanity,
vedeți că sunt și înjurături,
15:58
but it was really interesting to me to see
dar a fost interesant să văd
16:00
that there's a lot more love than hate
că e mai multă dragoste decât ură
16:02
in these passwords.
în aceste parole.
16:04
And there are animals,
Și sunt animale,
16:06
a lot of animals,
multe animale,
16:08
and "monkey" is the most common animal
iar „maimuță" e animalul cel mai frecvent
16:09
and the 14th most popular password overall.
și a 14-a cea mai utilizată
parolă în general.
16:12
And this was really curious to me,
Asta mi s-a parut curios,
16:15
and I wondered, "Why are monkeys so popular?"
m-am întrebat: de ce sunt maimuțele
atât de populare?
16:17
And so in our last password study,
Așa că în ultimul nostru studiu
despre parole,
16:20
any time we detected somebody
de fiecare dată când am detectat pe cineva
16:23
creating a password with the word "monkey" in it,
care crease o parolă conținând
cuvântul „maimuță",
16:25
we asked them why they had
a monkey in their password.
i-am întrebat de ce a pus maimuța
ca parolă.
16:28
And what we found out --
Și ce am aflat --
16:31
we found 17 people so far, I think,
am aflat 17 utilizatori până acum, cred,
16:33
who have the word "monkey" --
care au cuvântul „maimuță" --
16:35
We found out about a third of them said
Aproximativ o treime au spus
16:36
they have a pet named "monkey"
că au un animal de companie
numit „maimuță"
16:38
or a friend whose nickname is "monkey,"
sau un prieten cu porecla „maimuță" ,
16:39
and about a third of them said
iar o treime din ei au spus
16:42
that they just like monkeys
că le plac maimuțele
16:43
and monkeys are really cute.
pentru că maimuțele sunt drăguțe.
16:45
And that guy is really cute.
Și tipul acela e chiar drăguț.
16:47
So it seems that at the end of the day,
Așa că, până la urmă,
16:50
when we make passwords,
când creem parole,
16:54
we either make something that's really easy
fie creem ceva care e foarte ușor
16:55
to type, a common pattern,
de tastat, un model obișnuit,
16:57
or things that remind us of the word password
sau lucruri care ne amintesc
de cuvântul parolă
17:00
or the account that we've created the password for,
sau de contul pentru care am creat parola,
17:03
or whatever.
sau orice altceva.
17:06
Or we think about things that make us happy,
Sau ne gândim la lucruri
care ne fac fericiți,
17:09
and we create our password
și ne creem parola
17:11
based on things that make us happy.
pe baza lucrurilor care ne fac fericiți.
17:13
And while this makes typing
Asta face tastarea
17:15
and remembering your password more fun,
și reținerea parolei mai distractive,
17:18
it also makes it a lot easier
dar, pe de altă parte, și ghicirea
17:21
to guess your password.
parolei e mai ușor de realizat.
17:23
So I know a lot of these TED Talks
Știu că multe prezentări TED
17:24
are inspirational
inspiră
17:26
and they make you think about nice, happy things,
și te fac să te gândești
la lucruri frumoase, fericite,
17:27
but when you're creating your password,
dar când vă creați parola
17:30
try to think about something else.
încercați să vă gândiți la altceva.
17:32
Thank you.
Vă mulțumesc.
17:34
(Applause)
(Aplauze)
17:35

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com