ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Лорри Фэйт Крэнор: Что не так с вашим паролем?

Filmed:
1,566,161 views

Лорри Фэйт Крэнор изучила тысячи паролей, чтобы выяснить, какие удивительные и очень распространённые ошибки совершаются пользователями и даже персоналом защищённых объектов. И как же, спросите вы, она изучила тысячи настоящих паролей, не ставя под угрозу безопасность пользователей? Это отдельная история. Это секретная информация, которую стоит узнать, особенно, если ваш пароль — 123456...
- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

00:12
I am a computerкомпьютер scienceнаука and engineeringинжиниринг
professorпрофессор here at CarnegieКарнеги MellonMellon,
0
535
3445
Я профессор информатики и инженерии здесь,
в Университете Карнеги-Меллон.
00:15
and my researchисследование focusesфокусирует on
usableгодный к употреблению privacyКонфиденциальность and securityбезопасность,
1
3980
4248
Я занимаюсь исследованием
полезной конфиденциальности и безопасности,
00:20
and so my friendsдрузья like to give me examplesПримеры
2
8228
2768
поэтому друзья любят делиться со мной
00:22
of theirих frustrationsразочарования with computingвычисления systemsсистемы,
3
10996
2202
своими огорчениями,
связанными с компьютерами,
00:25
especiallyособенно frustrationsразочарования relatedСвязанный to
4
13198
3354
особенно теми, которые касаются
00:28
unusableнепригодный privacyКонфиденциальность and securityбезопасность.
5
16552
4112
бесполезной конфиденциальности
и безопасности.
00:32
So passwordsпароли are something that I hearзаслушивать a lot about.
6
20664
2711
Мне часто приходится
слышать о паролях.
00:35
A lot of people are frustratedнесостоявшийся with passwordsпароли,
7
23375
2880
Многих людей пароли расстраивают
00:38
and it's badПлохо enoughдостаточно
8
26255
1694
уже одним тем, что приходится
00:39
when you have to have one really good passwordпароль
9
27949
2644
придумывать действительно
хороший пароль,
00:42
that you can rememberзапомнить
10
30593
1822
который легко запомнить
00:44
but nobodyникто elseеще is going to be ableв состоянии to guessУгадай.
11
32415
2894
и который никому не взломать.
00:47
But what do you do when you have accountsСчета
12
35309
1637
Но что, если у вас сотни учётных записей
00:48
on a hundredсто differentдругой systemsсистемы
13
36946
1808
в различных системах,
00:50
and you're supposedпредполагаемый to have a uniqueуникальный passwordпароль
14
38754
2276
и нужно иметь уникальный пароль
00:53
for eachкаждый of these systemsсистемы?
15
41030
3037
для каждой из них?
00:56
It's toughжесткий.
16
44067
2184
Это нелёгкая задача.
00:58
At CarnegieКарнеги MellonMellon, they used to make it
17
46251
1759
Раньше в Карнеги-Меллон
01:00
actuallyна самом деле prettyСимпатичная easyлегко for us
18
48010
1299
нам было довольно легко
01:01
to rememberзапомнить our passwordsпароли.
19
49309
1737
запоминать наши пароли.
01:03
The passwordпароль requirementтребование up throughчерез 2009
20
51046
2403
До 2009 года требовалось,
01:05
was just that you had to have a passwordпароль
21
53449
2379
чтобы пароль
01:07
with at leastнаименее one characterперсонаж.
22
55828
2211
содержал хотя бы один знак.
01:10
Prettyмилая easyлегко. But then they changedизменено things,
23
58039
2888
Легко.
Но затем требования изменились,
01:12
and at the endконец of 2009, they announcedобъявленный
24
60927
2670
и с конца 2009 года
01:15
that we were going to have a newновый policyполитика,
25
63597
2376
были введены новые правила,
01:17
and this newновый policyполитика requiredобязательный
26
65973
1863
согласно которым
01:19
passwordsпароли that were at leastнаименее eight8 charactersперсонажи long,
27
67836
2681
пароли должны состоять
хотя бы из 8 знаков,
01:22
with an uppercaseверхний регистр letterписьмо, lowercaseв нижнем регистре letterписьмо,
28
70517
1775
с одной заглавной,
одной строчной буквой,
01:24
a digitцифра, a symbolсимвол,
29
72292
1288
цифрой, специальным символом,
01:25
you couldn'tне может use the sameодна и та же
characterперсонаж more than threeтри timesраз,
30
73580
2638
нельзя использовать
один и тот же знак более трёх раз,
01:28
and it wasn'tне было allowedпозволил to be in a dictionaryСловарь.
31
76218
2434
и пароля не должно быть в словаре.
01:30
Now, when they implementedреализованы this newновый policyполитика,
32
78652
2182
Когда новые правила были введены,
01:32
a lot of people, my colleaguesколлеги and friendsдрузья,
33
80834
2310
многие мои коллеги и друзья
01:35
cameпришел up to me and they said, "WowВау,
34
83144
1854
пришли ко мне и сказали:
01:36
now that's really unusableнепригодный.
35
84998
1512
«Ну и ну! Этим невозможно пользоваться!
01:38
Why are they doing this to us,
36
86510
1193
За что они с нами так поступают?
01:39
and why didn't you stop them?"
37
87703
1711
Почему ты их не остановила?»
01:41
And I said, "Well, you know what?
38
89414
1356
Я ответила: «Знаете что?
01:42
They didn't askпросить me."
39
90770
1508
Меня никто и не спрашивал».
01:44
But I got curiousлюбопытный, and I decidedприняли решение to go talk
40
92278
3465
Но мне стало любопытно,
и я решила поговорить
01:47
to the people in chargeзаряд of our computerкомпьютер systemsсистемы
41
95743
1937
с людьми,
отвечающими за наши компьютеры,
01:49
and find out what led them to introduceвводить
42
97680
2831
и выяснить, что же заставило их
01:52
this newновый policyполитика,
43
100511
1848
ввести новые правила.
01:54
and they said that the universityУниверситет
44
102359
1584
Мне ответили, что университет
01:55
had joinedприсоединился a consortiumконсорциум of universitiesуниверситеты,
45
103943
2366
вступил в Ассоциацию университетов,
01:58
and one of the requirementsтребования of membershipчленство
46
106309
2634
и одним из требований для её членов
02:00
was that we had to have strongerсильнее passwordsпароли
47
108943
2248
является наличие
более надёжных паролей,
02:03
that compliedСоблюдается with some newновый requirementsтребования,
48
111191
2272
отвечающих новым условиям.
02:05
and these requirementsтребования were that our passwordsпароли
49
113463
2104
Этим условием было наличие в паролях
02:07
had to have a lot of entropyэнтропия.
50
115567
1604
информационной энтропии.
02:09
Now entropyэнтропия is a complicatedсложно termсрок,
51
117171
2278
Информационная энтропия —
сложный термин.
02:11
but basicallyв основном it measuresмеры the strengthпрочность of passwordsпароли.
52
119449
2798
Говоря проще, он показывает,
насколько надёжен пароль.
02:14
But the thing is, there isn't actuallyна самом деле
53
122247
1979
Проблема в том, что не существует
02:16
a standardстандарт measureизмерение of entropyэнтропия.
54
124226
1949
стандартной меры энтропии.
02:18
Now, the Nationalнациональный Instituteинститут
of Standardsстандарты and TechnologyТехнологии
55
126175
2399
Национальный институт
стандартов и технологий
02:20
has a setзадавать of guidelinesметодические рекомендации
56
128574
1553
имеет ряд инструкций,
02:22
whichкоторый have some rulesправила of thumbбольшой палец
57
130127
2568
содержащих общие правила
02:24
for measuringизмерения entropyэнтропия,
58
132695
1440
измерения информационной энтропии,
02:26
but they don't have anything too specificконкретный,
59
134135
2895
однако они не носят
конкретного характера,
02:29
and the reasonпричина they only have rulesправила of thumbбольшой палец
60
137030
2337
и причина этого в том,
02:31
is it turnsвитки out they don't actuallyна самом деле have any good dataданные
61
139367
3136
что у Института недостаточно данных
02:34
on passwordsпароли.
62
142503
1520
о паролях.
02:36
In factфакт, theirих reportдоклад statesсостояния,
63
144023
2312
Фактически, в их отчёте говорится:
02:38
"UnfortunatelyК сожалению, we do not have much dataданные
64
146335
2328
«К сожалению, мы не располагаем данными
02:40
on the passwordsпароли usersпользователи
chooseвыберите underпод particularконкретный rulesправила.
65
148663
2842
о паролях, выбираемых пользователями
согласно правилам.
02:43
NISTNIST would like to obtainполучать more dataданные
66
151505
2333
Институту хотелось бы получить
больше данных
02:45
on the passwordsпароли usersпользователи actuallyна самом деле chooseвыберите,
67
153838
2462
о паролях,
которые выбираются на самом деле,
02:48
but systemсистема administratorsадминистраторы
are understandablyпо понятным причинам reluctantнеохотный
68
156300
2463
но, по понятным причинам,
системные администраторы
02:50
to revealвыявить passwordпароль dataданные to othersдругие."
69
158763
2940
делятся ими неохотно».
02:53
So this is a problemпроблема, but our researchисследование groupгруппа
70
161703
3097
Задача трудная,
но наша исследовательская группа
02:56
lookedсмотрел at it as an opportunityвозможность.
71
164800
2140
увидела в ней хорошую возможность.
02:58
We said, "Well, there's a need
for good passwordпароль dataданные.
72
166940
3100
Мы сказали:
«Существует нехватка данных о паролях.
03:02
Maybe we can collectсобирать some good passwordпароль dataданные
73
170040
2148
Мы могли бы собрать такие данные
03:04
and actuallyна самом деле advanceпродвижение the stateгосударство of the artИзобразительное искусство here.
74
172188
2704
и изменить положение дел».
03:06
So the first thing we did is,
75
174892
1672
Первое, что мы сделали, —
03:08
we got a bagмешок of candyконфеты barsбрусья
76
176564
1556
мы взяли мешок с шоколадками
03:10
and we walkedходил around campusкампус
77
178120
1086
и прошлись по территории университета,
03:11
and talkedговорили to studentsстуденты, facultyфакультет and staffсотрудники,
78
179206
2798
разговаривая со студентами
и преподавателями.
03:14
and askedспросил them for informationИнформация
79
182004
1530
Мы задавали им вопросы
03:15
about theirих passwordsпароли.
80
183534
1552
об их паролях.
03:17
Now we didn't say, "Give us your passwordпароль."
81
185086
3004
Мы не просили их раскрывать пароли.
03:20
No, we just askedспросил them about theirих passwordпароль.
82
188090
2661
Мы просто спрашивали про них.
03:22
How long is it? Does it have a digitцифра?
83
190751
1478
Какой они длины? Есть ли в них цифры?
03:24
Does it have a symbolсимвол?
84
192229
1068
Содержат ли они специальные символы?
03:25
And were you annoyedраздраженный at havingимеющий to createСоздайте
85
193297
2045
Были ли вы раздражены,
когда вам пришлось
03:27
a newновый one last weekнеделю?
86
195342
2744
создать новый пароль
на прошлой неделе?
03:30
So we got resultsРезультаты from 470 studentsстуденты,
87
198086
3206
Мы собрали результаты опроса
470 студентов,
03:33
facultyфакультет and staffсотрудники,
88
201292
971
преподавателей и сотрудников,
03:34
and indeedв самом деле we confirmedподтвердил that the newновый policyполитика
89
202263
2514
и подтвердился тот факт,
что новые правила
03:36
was very annoyingраздражающий,
90
204777
1453
всех очень раздражали.
03:38
but we alsoтакже foundнайденный that people said
91
206230
1792
Но люди также говорили,
03:40
they feltпочувствовал more secureбезопасный with these newновый passwordsпароли.
92
208022
3130
что с новыми паролями они чувствовали себя
более защищёнными.
03:43
We foundнайденный that mostбольшинство people knewзнал
93
211152
2306
Мы узнали,
что большинство людей знает,
03:45
they were not supposedпредполагаемый to
writeзаписывать theirих passwordпароль down,
94
213458
2152
что нельзя записывать свой пароль
на бумажку, —
03:47
and only 13 percentпроцент of them did,
95
215610
2391
так поступают только
13% опрошенных —
03:50
but disturbinglyволнующе, 80 percentпроцент of people
96
218001
2416
но, что настораживает,
80% людей признались
03:52
said they were reusingповторное использование theirих passwordпароль.
97
220417
2124
в использовании одного пароля
по несколько раз.
03:54
Now, this is actuallyна самом деле more dangerousопасно
98
222541
1796
На самом деле, это ещё опаснее,
03:56
than writingписьмо your passwordпароль down,
99
224337
2022
чем записывать пароль на бумажку,
03:58
because it makesмарки you much
more susceptibleвосприимчивый to attackersнападавшие.
100
226359
3561
потому что это делает вас
гораздо более уязвимыми перед хакерами.
04:01
So if you have to, writeзаписывать your passwordsпароли down,
101
229920
3118
Лучше уж записать пароль,
04:05
but don't reuseповторное использование them.
102
233038
1799
но не использовать его повторно.
04:06
We alsoтакже foundнайденный some interestingинтересно things
103
234837
1751
Мы также узнали интересные факты о том,
04:08
about the symbolsсимволы people use in passwordsпароли.
104
236588
2961
как люди используют в паролях
специальные символы.
04:11
So CMUКМУ allowsпозволяет 32 possibleвозможное symbolsсимволы,
105
239549
2799
В Карнеги-Меллон можно использовать
32 специальных символа,
04:14
but as you can see, there's only a smallмаленький numberномер
106
242348
2433
но, как видите,
только небольшое их число
04:16
that mostбольшинство people are usingс помощью,
107
244781
1802
на самом деле используется,
04:18
so we're not actuallyна самом деле gettingполучение very much strengthпрочность
108
246583
2941
поэтому символы
не делают наши пароли
04:21
from the symbolsсимволы in our passwordsпароли.
109
249524
2466
намного надёжнее.
04:23
So this was a really interestingинтересно studyизучение,
110
251990
2711
Это было интересное исследование:
04:26
and now we had dataданные from 470 people,
111
254701
2464
мы получили данные от 470 человек,
04:29
but in the schemeсхема of things,
112
257165
1305
но, по большому счёту,
04:30
that's really not very much passwordпароль dataданные,
113
258470
2580
это не так много,
04:33
and so we lookedсмотрел around to see
114
261050
1445
поэтому мы стали искать, где ещё
04:34
where could we find additionalдополнительный passwordпароль dataданные?
115
262495
2560
можно достать данные о паролях.
04:37
So it turnsвитки out there are a lot of people
116
265055
2176
Оказывается, полно людей,
04:39
going around stealingкража passwordsпароли,
117
267231
2202
занимающихся воровством паролей,
04:41
and they oftenдовольно часто go and postпосле these passwordsпароли
118
269433
2477
и они часто публикуют их
04:43
on the Internetинтернет.
119
271910
1337
в Интернете.
04:45
So we were ableв состоянии to get accessдоступ
120
273247
1673
Нам удалось заполучить
04:46
to some of these stolenпохищенный passwordпароль setsнаборы.
121
274920
3970
несколько таких подборок
украденных паролей.
04:50
This is still not really idealидеальный for researchисследование, thoughхоть,
122
278890
2328
Конечно, для исследования
это не идеальный вариант,
04:53
because it's not entirelyполностью clearЧисто
123
281218
2037
так как непонятно,
04:55
where all of these passwordsпароли cameпришел from,
124
283255
2184
откуда все эти пароли взялись
04:57
or exactlyв точку what policiesполисы were in effectэффект
125
285439
2242
и какие правила действовали,
04:59
when people createdсозданный these passwordsпароли.
126
287681
2108
когда люди их создавали.
05:01
So we wanted to find some better sourceисточник of dataданные.
127
289789
3552
Нам хотелось найти
источник данных получше.
05:05
So we decidedприняли решение that one thing we could do
128
293341
1634
Поэтому мы решили
05:06
is we could do a studyизучение and have people
129
294975
2129
провести исследование
и попросить людей
05:09
actuallyна самом деле createСоздайте passwordsпароли for our studyизучение.
130
297104
3240
по-настоящему создать для него пароли.
05:12
So we used a serviceоказание услуг calledназывается
AmazonАмазонка Mechanicalмеханический Turkтурчанка,
131
300344
2821
Мы использовали сервис под названием
Amazon Mechanical Turk.
05:15
and this is a serviceоказание услуг where you can postпосле
132
303165
2334
Он позволяет размещать
05:17
a smallмаленький jobработа onlineонлайн that takes a minuteминут,
133
305499
2304
небольшие задания в интернете,
05:19
a fewмало minutesминут, an hourчас,
134
307803
1500
занимающие минуту, пару минут
или час,
05:21
and payплатить people, a pennyпенни, ten10 centsцентов, a fewмало dollarsдолларов,
135
309303
2584
и платить один, десять центов
или несколько долларов
05:23
to do a taskзадача for you,
136
311887
1346
за их выполнение
05:25
and then you payплатить them throughчерез AmazonАмазонка.comком.
137
313233
2122
через сайт amazon.com.
05:27
So we paidоплаченный people about 50 centsцентов
138
315355
2294
Мы платили людям около 50 центов
05:29
to createСоздайте a passwordпароль followingследующий our rulesправила
139
317649
2596
за то, чтобы они создали пароль,
следуя нашим правилам,
05:32
and answeringавтоответчик a surveyопрос,
140
320245
1410
и ответили на наши вопросы.
05:33
and then we paidоплаченный them again to come back
141
321655
2525
Затем мы снова платили им за то,
чтобы они вернулись
05:36
two daysдней laterпозже and logжурнал in
142
324180
2071
через два дня, вошли на сайт,
05:38
usingс помощью theirих passwordпароль and answeringавтоответчик anotherдругой surveyопрос.
143
326251
2574
используя свой пароль,
и ответили на другие вопросы.
05:40
So we did this, and we collectedсобранный 5,000 passwordsпароли,
144
328825
4464
Мы собрали 5 000 паролей.
05:45
and we gaveдал people a bunchгроздь of differentдругой policiesполисы
145
333289
2695
Мы задавали участникам
множество разных правил
05:47
to createСоздайте passwordsпароли with.
146
335984
1508
создания паролей.
05:49
So some people had a prettyСимпатичная easyлегко policyполитика,
147
337492
1910
Некоторым попадалось
простое правило,
05:51
we call it Basicосновной8,
148
339402
1539
мы называем его «Базовая восьмёрка»,
05:52
and here the only ruleправило was that your passwordпароль
149
340941
2146
единственное условие которого —
пароль должен содержать
05:55
had to have at leastнаименее eight8 charactersперсонажи.
150
343087
3416
хотя бы 8 знаков.
05:58
Then some people had a much harderСильнее policyполитика,
151
346503
2251
Некоторым попадались
правила посложнее,
06:00
and this was very similarаналогичный to the CMUКМУ policyполитика,
152
348754
2537
похожие на правила Карнеги-Меллон:
06:03
that it had to have eight8 charactersперсонажи
153
351291
1934
пароль должен содержать 8 знаков,
06:05
includingв том числе uppercaseверхний регистр, lowercaseв нижнем регистре, digitцифра, symbolсимвол,
154
353225
2376
включая заглавную и строчную буквы,
цифру, специальный символ,
06:07
and passпроходить a dictionaryСловарь checkпроверить.
155
355601
2389
и пройти проверку словарём.
06:09
And one of the other policiesполисы we triedпытался,
156
357990
1335
Другой набор правил —
06:11
and there were a wholeвсе bunchгроздь more,
157
359325
1270
а их было много —
06:12
but one of the onesте, we triedпытался was calledназывается Basicосновной16,
158
360595
2240
названный нами «Базовые шестнадцать»,
06:14
and the only requirementтребование here
159
362835
2632
требовал только одно:
06:17
was that your passwordпароль had
to have at leastнаименее 16 charactersперсонажи.
160
365467
3153
пароль должен был содержать
хотя бы 16 знаков.
06:20
All right, so now we had 5,000 passwordsпароли,
161
368620
2458
Итак, у нас было 5 000 паролей,
06:23
and so we had much more detailedподробный informationИнформация.
162
371078
3563
более детальная информация.
06:26
Again we see that there's only a smallмаленький numberномер
163
374641
2559
И снова мы видим,
что существует лишь небольшое число
06:29
of symbolsсимволы that people are actuallyна самом деле usingс помощью
164
377200
1915
специальных символов, используемых людьми
06:31
in theirих passwordsпароли.
165
379115
1886
в паролях.
06:33
We alsoтакже wanted to get an ideaидея of how strongсильный
166
381001
2599
Мы также хотели понять,
насколько надёжны
06:35
the passwordsпароли were that people were creatingсоздание,
167
383600
2771
были пароли,
созданные нашими участниками.
06:38
but as you mayмай recallотзыв, there isn't a good measureизмерение
168
386371
2620
Но, как вы помните,
хорошего стандарта измерения
06:40
of passwordпароль strengthпрочность.
169
388991
1754
надёжности паролей не существует.
06:42
So what we decidedприняли решение to do was to see
170
390745
2312
Мы решили посмотреть,
06:45
how long it would take to crackтрещина these passwordsпароли
171
393057
2370
сколько времени займёт их расшифровка
06:47
usingс помощью the bestЛучший crackingрастрескивание toolsинструменты
172
395427
1414
с помощью лучших приёмов
06:48
that the badПлохо guys are usingс помощью,
173
396841
1808
из арсенала злоумышленников
06:50
or that we could find informationИнформация about
174
398649
2016
или тех способов,
о которых мы нашли информацию
06:52
in the researchисследование literatureлитература.
175
400665
1537
в научной литературе.
06:54
So to give you an ideaидея of how badПлохо guys
176
402202
2758
Как злоумышленники
06:56
go about crackingрастрескивание passwordsпароли,
177
404960
2170
взламывают пароли?
06:59
they will stealукрасть a passwordпароль fileфайл
178
407130
1951
Они крадут файл, в котором содержатся
07:01
that will have all of the passwordsпароли
179
409081
2153
хеш-значения паролей, другими словами —
07:03
in kindсвоего рода of a scrambledвскарабкался formформа, calledназывается a hashгашиш,
180
411234
2889
пароли в зашифрованном виде.
07:06
and so what they'llони будут do is they'llони будут make a guessУгадай
181
414123
2562
Затем они пытаются
07:08
as to what a passwordпароль is,
182
416685
1712
угадать пароль
07:10
runбег it throughчерез a hashingхэширования functionфункция,
183
418397
1897
с помощью хеш-функции
07:12
and see whetherбудь то it matchesМатчи
184
420294
1765
и смотрят, совпадает ли он
07:14
the passwordsпароли they have on
theirих stolenпохищенный passwordпароль listсписок.
185
422059
3950
с паролями из украденного списка.
07:18
So a dumbтупой attackerатакующий will try everyкаждый passwordпароль in orderзаказ.
186
426009
3105
Не слишком умные хакеры
проверяют все пароли по порядку.
07:21
They'llОни будут startНачало with AAAAAAAAAA and moveпереехать on to AAAABAAAAB,
187
429114
3568
Начиная с ААААА, затем ААААВ —
07:24
and this is going to take a really long time
188
432682
2418
пройдёт очень много времени
07:27
before they get any passwordsпароли
189
435100
1526
прежде чем они получат пароли,
07:28
that people are really likelyвероятно to actuallyна самом деле have.
190
436626
2697
которые реально создаются пользователями.
07:31
A smartумная attackerатакующий, on the other handрука,
191
439323
2183
Толковые хакеры
07:33
does something much more cleverумная.
192
441506
1386
действуют гораздо умнее.
07:34
They look at the passwordsпароли
193
442892
1826
Они берут пароли,
07:36
that are knownизвестен to be popularпопулярный
194
444718
1800
чаще всего встречающиеся
07:38
from these stolenпохищенный passwordпароль setsнаборы,
195
446518
1727
в украденных наборах хеш-значений паролей,
07:40
and they guessУгадай those first.
196
448245
1189
и начинают попытки взлома с них.
07:41
So they're going to startНачало by guessingугадывание "passwordпароль,"
197
449434
2134
Они начнут со слова «пароль»,
07:43
and then they'llони будут guessУгадай "I love you," and "monkeyобезьяна,"
198
451568
2751
затем возьмут «я тебя люблю»
и «обезьянка»,
07:46
and "12345678,"
199
454319
2583
а затем «12345678».
07:48
because these are the passwordsпароли
200
456902
1312
Именно эти пароли
07:50
that are mostбольшинство likelyвероятно for people to have.
201
458214
1905
люди выбирают чаще всего.
07:52
In factфакт, some of you probablyвероятно have these passwordsпароли.
202
460119
3261
Наверняка у кого-то из вас
пароли именно такие.
07:57
So what we foundнайденный
203
465191
1298
В своём исследовании,
07:58
by runningБег all of these 5,000 passwordsпароли we collectedсобранный
204
466489
3406
проверив все 5 000 собранных паролей
08:01
throughчерез these testsтесты to see how strongсильный they were,
205
469895
4106
с помощью тестов на надёжность,
08:06
we foundнайденный that the long passwordsпароли
206
474001
2752
мы обнаружили, что длинные пароли
08:08
were actuallyна самом деле prettyСимпатичная strongсильный,
207
476753
1280
довольно надёжны.
08:10
and the complexсложный passwordsпароли were prettyСимпатичная strongсильный too.
208
478033
3262
Сложные пароли тоже.
08:13
HoweverОднако, when we lookedсмотрел at the surveyопрос dataданные,
209
481295
2442
Однако результат опросов показал,
08:15
we saw that people were really frustratedнесостоявшийся
210
483737
3024
что сложные пароли
08:18
by the very complexсложный passwordsпароли,
211
486761
2339
очень раздражают людей,
08:21
and the long passwordsпароли were a lot more usableгодный к употреблению,
212
489100
2630
а длинные пароли гораздо удобнее.
08:23
and in some casesслучаи, they were actuallyна самом деле
213
491730
1325
В некоторых случаях длинные пароли
08:25
even strongerсильнее than the complexсложный passwordsпароли.
214
493055
2908
оказывались даже надёжнее сложных.
08:27
So this suggestsпредполагает that,
215
495963
1169
Можно заключить,
08:29
insteadвместо of tellingговоря people that they need
216
497132
1703
что вместо того, чтобы
08:30
to put all these symbolsсимволы and numbersчисел
217
498835
1522
использовать специальные символы, цифры
08:32
and crazyпсих things into theirих passwordsпароли,
218
500357
2842
и другие безумные штуки в паролях,
08:35
we mightмог бы be better off just tellingговоря people
219
503199
2022
гораздо эффективнее
08:37
to have long passwordsпароли.
220
505221
2652
просто иметь длинные пароли.
08:39
Now here'sвот the problemпроблема, thoughхоть:
221
507873
1792
Однако здесь кроется проблема:
08:41
Some people had long passwordsпароли
222
509665
2255
некоторые длинные пароли
08:43
that actuallyна самом деле weren'tне было very strongсильный.
223
511920
1555
были не так уж и надёжны.
08:45
You can make long passwordsпароли
224
513475
1997
Можно придумать длинный пароль,
08:47
that are still the sortСортировать of thing
225
515472
1556
который всё равно
08:49
that an attackerатакующий could easilyбез труда guessУгадай.
226
517028
1742
будет с лёгкостью угадан взломщиком.
08:50
So we need to do more than
just say long passwordsпароли.
227
518770
3365
Получается, нужно что-то большее,
чем просто длинные пароли.
08:54
There has to be some additionalдополнительный requirementsтребования,
228
522135
1936
Нужны дополнительные условия.
08:56
and some of our ongoingпостоянный researchисследование is looking at
229
524071
2969
Некоторые наши текущие исследования
08:59
what additionalдополнительный requirementsтребования we should addДобавить
230
527040
2439
изучают необходимые
дополнительные условия того,
09:01
to make for strongerсильнее passwordsпароли
231
529479
2104
как сделать пароли более надёжными
09:03
that alsoтакже are going to be easyлегко for people
232
531583
2312
и в тоже время лёгкими
09:05
to rememberзапомнить and typeтип.
233
533895
2698
для запоминания
и набора на клавиатуре.
09:08
AnotherДругая approachподход to gettingполучение people to have
234
536593
2126
Ещё один способ
заставить людей создавать
09:10
strongerсильнее passwordsпароли is to use a passwordпароль meterметр.
235
538719
2257
надёжные пароли —
использовать индикатор надёжности.
09:12
Here are some examplesПримеры.
236
540976
1385
Вот несколько примеров.
09:14
You mayмай have seenвидели these on the Internetинтернет
237
542361
1401
Возможно, вы видели их в Интернете,
09:15
when you were creatingсоздание passwordsпароли.
238
543762
3057
когда создавали пароли.
09:18
We decidedприняли решение to do a studyизучение to find out
239
546819
2248
Мы решили исследовать,
09:21
whetherбудь то these passwordпароль metersметры actuallyна самом деле work.
240
549067
2887
действительно ли
индикаторы надёжности работают.
09:23
Do they actuallyна самом деле help people
241
551954
1421
Действительно ли они помогают
09:25
have strongerсильнее passwordsпароли,
242
553375
1453
создавать более надёжные пароли,
09:26
and if so, whichкоторый onesте, are better?
243
554828
2086
и, если да, то какие индикаторы лучше?
09:28
So we testedпроверенный passwordпароль metersметры that were
244
556914
2507
Мы протестировали
индикаторы надёжности паролей
09:31
differentдругой sizesразмеры, shapesформы, colorsцвета,
245
559421
2098
различных размеров, форм и цветов,
09:33
differentдругой wordsслова nextследующий to them,
246
561519
1416
с разными инструкциями
09:34
and we even testedпроверенный one that was a dancingтанцы bunnyкролик.
247
562935
3275
и даже с танцующим кроликом.
09:38
As you typeтип a better passwordпароль,
248
566210
1582
Когда вы вводите
более надёжный пароль,
09:39
the bunnyкролик dancesтанцы fasterБыстрее and fasterБыстрее.
249
567792
2539
кролик начинает танцевать быстрее.
09:42
So this was prettyСимпатичная funвесело.
250
570331
2529
Довольно весело.
09:44
What we foundнайденный
251
572860
1567
Мы обнаружили,
09:46
was that passwordпароль metersметры do work.
252
574427
3572
что индикаторы
действительно работают.
09:49
(LaughterСмех)
253
577999
1801
(Смех)
09:51
MostНаиболее of the passwordпароль metersметры were actuallyна самом деле effectiveэффективный,
254
579800
3333
Большинство из них
довольно эффективны,
09:55
and the dancingтанцы bunnyкролик was very effectiveэффективный too,
255
583133
2521
танцующий кролик тоже,
09:57
but the passwordпароль metersметры that were the mostбольшинство effectiveэффективный
256
585654
2881
но самые эффективные
индикаторы надёжности —
10:00
were the onesте, that madeсделал you work harderСильнее
257
588535
2355
те, которые заставляют вас попотеть,
10:02
before they gaveдал you that thumbsпревью up and said
258
590890
1980
прежде чем дают добро
10:04
you were doing a good jobработа,
259
592870
1377
вашему паролю.
10:06
and in factфакт we foundнайденный that mostбольшинство
260
594247
1512
Как оказалось, большинство
10:07
of the passwordпароль metersметры on the Internetинтернет todayCегодня
261
595759
2281
индикаторов надёжности
в сегодняшнем Интернете
10:10
are too softмягкий.
262
598040
952
не слишком строги.
10:10
They tell you you're doing a good jobработа too earlyрано,
263
598992
2203
Они слишком рано сообщают о том,
что вы на правильном пути.
10:13
and if they would just wait a little bitнемного
264
601195
1929
Если бы они подождали
совсем чуть-чуть,
10:15
before givingдающий you that positiveположительный feedbackОбратная связь,
265
603124
2049
прежде чем выразить вам одобрение,
10:17
you probablyвероятно would have better passwordsпароли.
266
605173
3160
ваш пароль, скорее всего,
был бы лучше.
10:20
Now anotherдругой approachподход to better passwordsпароли, perhapsвозможно,
267
608333
3847
Ещё один вероятный путь
к надёжным паролям —
10:24
is to use passпроходить phrasesфразы insteadвместо of passwordsпароли.
268
612180
2890
использование фраз вместо слов.
10:27
So this was an xkcdXKCD cartoonмультфильм
from a coupleпара of yearsлет agoтому назад,
269
615070
3418
Это комикс «xkcd»
примерно двухлетней давности.
10:30
and the cartoonistкарикатурист suggestsпредполагает
270
618488
1674
Его автор советует
10:32
that we should all use passпроходить phrasesфразы,
271
620162
2196
использовать в паролях фразы.
10:34
and if you look at the secondвторой rowряд of this cartoonмультфильм,
272
622358
3170
Если вы посмотрите
на второй ряд комикса,
10:37
you can see the cartoonistкарикатурист is suggestingпредлагая
273
625528
1857
то увидите, что автор предлагает
10:39
that the passпроходить phraseфраза "correctверный horseлошадь batteryаккумулятор stapleштапель"
274
627385
3441
фразу «верно лошадь батарея скрепка»
10:42
would be a very strongсильный passпроходить phraseфраза
275
630826
2481
в качестве надёжного пароля,
10:45
and something really easyлегко to rememberзапомнить.
276
633307
1916
который очень легко запомнить.
10:47
He saysговорит, in factфакт, you've alreadyуже rememberedвспомнил it.
277
635223
2797
Он говорит:
«Да вы это уже запомнили».
10:50
And so we decidedприняли решение to do a researchисследование studyизучение
278
638020
2150
Мы решили выяснить,
10:52
to find out whetherбудь то this was trueправда or not.
279
640170
2592
так ли это на самом деле.
10:54
In factфакт, everybodyвсе who I talk to,
280
642762
1775
Кстати, все,
с кем я разговариваю
10:56
who I mentionупомянуть I'm doing passwordпароль researchисследование,
281
644537
2042
и упоминаю свою работу с паролями,
10:58
they pointточка out this cartoonмультфильм.
282
646579
1400
вспоминают этот комикс.
10:59
"Oh, have you seenвидели it? That xkcdXKCD.
283
647979
1574
«Ты видела «xkcd»?
11:01
CorrectВерный horseлошадь batteryаккумулятор stapleштапель."
284
649553
1602
Верно лошадь батарея скрепка».
11:03
So we did the researchисследование studyизучение to see
285
651155
1806
Мы провели исследование,
11:04
what would actuallyна самом деле happenслучаться.
286
652961
2359
чтобы узнать,
как всё обстоит на самом деле.
11:07
So in our studyизучение, we used Mechanicalмеханический Turkтурчанка again,
287
655320
3060
Мы снова использовали сервис
Mechanical Turk
11:10
and we had the computerкомпьютер pickвыбирать the randomслучайный wordsслова
288
658380
4167
и заставили компьютер выдать
случайные слова
11:14
in the passпроходить phraseфраза.
289
662547
1100
для фразы-пароля.
11:15
Now the reasonпричина we did this
290
663647
1153
Мы сделали это потому,
11:16
is that humansлюди are not very good
291
664800
1586
что люди не очень хорошо умеют
11:18
at pickingсобирание randomслучайный wordsслова.
292
666386
1384
подбирать слова случайно.
11:19
If we askedспросил a humanчеловек to do it,
293
667770
1262
Если бы мы попросили людей,
11:21
they would pickвыбирать things that were not very randomслучайный.
294
669032
2998
они бы подобрали слова,
не являющиеся случайными.
11:24
So we triedпытался a fewмало differentдругой conditionsусловия.
295
672030
2032
Мы протестировали
несколько разных условий.
11:26
In one conditionсостояние, the computerкомпьютер pickedвыбрал
296
674062
2090
В одном случае
компьютер выбирал слова
11:28
from a dictionaryСловарь of the very commonобщий wordsслова
297
676152
2216
из обычного словаря
11:30
in the Englishанглийский languageязык,
298
678368
1362
английского языка.
11:31
and so you'dвы бы get passпроходить phrasesфразы like
299
679730
1764
Получались фразы вроде
11:33
"try there threeтри come."
300
681494
1924
«попытка там три приходить».
11:35
And we lookedсмотрел at that, and we said,
301
683418
1732
Мы подумали и сказали:
11:37
"Well, that doesn't really seemказаться very memorableпамятный."
302
685150
3050
«Нет, это трудно запомнить».
11:40
So then we triedпытался pickingсобирание wordsслова
303
688200
2240
Тогда мы попытались подбирать слова,
11:42
that cameпришел from specificконкретный partsчасти of speechречь,
304
690440
2521
являющиеся
определёнными частями речи, —
11:44
so how about noun-verb-adjective-nounсуществительное-глагол-прилагательное-существительное.
305
692961
2182
существительное — глагол —
прилагательное — существительное.
11:47
That comesвыходит up with something
that's sortСортировать of sentence-likeПриговор, как.
306
695143
2577
Это уже даёт нам что-то похожее
на предложение.
11:49
So you can get a passпроходить phraseфраза like
307
697720
2070
Можно получить фразу
11:51
"planплан buildsстроит sure powerмощность"
308
699790
1308
«план строить твёрдую власть»
11:53
or "endконец determinesопределяет redкрасный drugлекарственное средство."
309
701098
2786
или «конец определяет
красное лекарство».
11:55
And these seemedказалось a little bitнемного more memorableпамятный,
310
703884
2676
Это оказалось легче запомнить,
11:58
and maybe people would like those a little bitнемного better.
311
706560
2822
и, возможно, людям бы это
понравилось больше.
12:01
We wanted to compareсравнить them with passwordsпароли,
312
709382
2572
Мы хотели сравнить фразы-пароли
со словами
12:03
and so we had the computerкомпьютер
pickвыбирать randomслучайный passwordsпароли,
313
711954
3196
и заставили компьютер
сгенерировать случайные слова,
12:07
and these were niceхороший and shortкороткая, but as you can see,
314
715150
1990
которые были короткими,
но, как видите,
12:09
they don't really look very memorableпамятный.
315
717140
2806
не очень запоминающимися.
12:11
And then we decidedприняли решение to try something calledназывается
316
719946
1396
Тогда мы решили испытать то,
12:13
a pronounceableудобопроизносимый passwordпароль.
317
721342
1646
что называется
«произносимый пароль».
12:14
So here the computerкомпьютер picksкирки randomслучайный syllablesслоги
318
722988
2245
Компьютер подбирает случайные слоги,
12:17
and putsпуты them togetherвместе
319
725233
1134
складывает их вместе,
12:18
so you have something sortСортировать of pronounceableудобопроизносимый,
320
726367
2475
и вы получаете нечто произносимое,
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
321
728842
2602
например, «туфритви» или «вадасаби».
12:23
That one kindсвоего рода of rollsроллы off your tongueязык.
322
731444
2147
Этот вообще приятно произносить.
12:25
So these were randomслучайный passwordsпароли that were
323
733591
2216
Это случайные пароли,
12:27
generatedгенерироваться by our computerкомпьютер.
324
735807
2744
сгенерированные нашим компьютером.
12:30
So what we foundнайденный in this studyизучение was that, surprisinglyкак ни странно,
325
738551
2978
Исследование показало,
как ни удивительно,
12:33
passпроходить phrasesфразы were not actuallyна самом деле all that good.
326
741529
3768
что пароли-фразы не так уж и хороши.
12:37
People were not really better at rememberingвспоминание
327
745297
2793
Люди на самом деле
не запоминали их лучше,
12:40
the passпроходить phrasesфразы than these randomслучайный passwordsпароли,
328
748090
2953
чем случайные пароли,
12:43
and because the passпроходить phrasesфразы are longerдольше,
329
751043
2754
а из-за того, что они длиннее,
12:45
they tookвзял longerдольше to typeтип
330
753797
1226
их приходилось дольше вводить,
12:47
and people madeсделал more errorsошибки while typingтипирование them in.
331
755023
3010
и люди при этом
совершали больше ошибок.
12:50
So it's not really a clearЧисто winвыиграть for passпроходить phrasesфразы.
332
758033
3227
То есть пароли-фразы не смогли одержать
явную победу.
12:53
Sorry, all of you xkcdXKCD fansпоклонники.
333
761260
3345
Простите меня, фанаты «xkcd».
12:56
On the other handрука, we did find
334
764605
1892
С другой стороны, мы убедились,
12:58
that pronounceableудобопроизносимый passwordsпароли
335
766497
1804
что произносимые пароли
13:00
workedработал surprisinglyкак ни странно well,
336
768301
1471
работают на удивление хорошо,
13:01
and so we actuallyна самом деле are doing some more researchисследование
337
769772
2418
и теперь мы проводим
больше исследований,
13:04
to see if we can make that
approachподход work even better.
338
772190
3195
чтобы узнать, можно ли этот подход
сделать ещё эффективнее.
13:07
So one of the problemsпроблемы
339
775385
1812
Одна из трудностей,
13:09
with some of the studiesисследования that we'veмы в doneсделанный
340
777197
1623
возникших в этих исследованиях, —
13:10
is that because they're all doneсделанный
341
778820
1683
то, что они все проводились
13:12
usingс помощью Mechanicalмеханический Turkтурчанка,
342
780503
1590
с использованием сервиса
Mechanical Turk,
13:14
these are not people'sнародный realреальный passwordsпароли.
343
782093
1812
это не были настоящие пароли.
13:15
They're the passwordsпароли that they createdсозданный
344
783905
2105
Эти пароли создавались людьми
13:18
or the computerкомпьютер createdсозданный for them for our studyизучение.
345
786010
2495
или компьютером
в исследовательских целях.
13:20
And we wanted to know whetherбудь то people
346
788505
1568
Мы же хотели узнать, будут ли люди
13:22
would actuallyна самом деле behaveвести себя the sameодна и та же way
347
790073
2312
вести себя таким же образом,
13:24
with theirих realреальный passwordsпароли.
348
792385
2227
придумывая настоящие пароли.
13:26
So we talkedговорили to the informationИнформация
securityбезопасность officeофис at CarnegieКарнеги MellonMellon
349
794612
3681
Мы поговорили с отделом информационной
безопасности Карнеги-Меллон
13:30
and askedспросил them if we could
have everybody'sвсе это realреальный passwordsпароли.
350
798293
3803
и спросили, можем ли мы получить
настоящие пароли пользователей.
13:34
Not surprisinglyкак ни странно, they were a little bitнемного reluctantнеохотный
351
802096
1754
Как и следовало ожидать,
им не хотелось
13:35
to shareдоля them with us,
352
803850
1550
ничего нам раскрывать,
13:37
but we were actuallyна самом деле ableв состоянии to work out
353
805400
1810
однако мы вместе смогли
13:39
a systemсистема with them
354
807210
1040
придумать выход:
13:40
where they put all of the realреальный passwordsпароли
355
808250
2109
они собрали все настоящие пароли
13:42
for 25,000 CMUКМУ studentsстуденты, facultyфакультет and staffсотрудники,
356
810359
3091
25 000 студентов,
преподавателей и персонала
13:45
into a lockedзапертый computerкомпьютер in a lockedзапертый roomкомната,
357
813450
2448
на защищённом компьютере
в запертой комнате
13:47
not connectedсвязанный to the Internetинтернет,
358
815898
1394
без подключения к Интернету.
13:49
and they ranпобежал codeкод on it that we wroteписал
359
817292
1848
Была запущена
написанная нами программа
13:51
to analyzeанализировать these passwordsпароли.
360
819140
2152
анализа паролей.
13:53
They auditedаудит our codeкод.
361
821292
1326
Они сами проверили
13:54
They ranпобежал the codeкод.
362
822618
1312
и запустили нашу программу.
13:55
And so we never actuallyна самом деле saw
363
823930
1738
Так что мы даже не видели
13:57
anybody'sкто это passwordпароль.
364
825668
2817
ни одного пароля своими глазами.
14:00
We got some interestingинтересно resultsРезультаты,
365
828485
1515
Мы получили интересные результаты.
14:02
and those of you TepperТеппер studentsстуденты in the back
366
830000
1696
Студентам Бизнес-школы Теппера
на заднем ряду
14:03
will be very interestedзаинтересованный in this.
367
831696
2875
будет очень интересно.
14:06
So we foundнайденный that the passwordsпароли createdсозданный
368
834571
3731
Обнаружилось, что пароли, созданные
14:10
by people affiliatedаффилированная with the
schoolшкола of computerкомпьютер scienceнаука
369
838302
2158
людьми из Школы информатики,
14:12
were actuallyна самом деле 1.8 timesраз strongerсильнее
370
840460
2324
были в 1,8 раза надёжнее,
14:14
than those affiliatedаффилированная with the businessбизнес schoolшкола.
371
842784
3738
чем пароли тех,
кто связан с Бизнес-школой.
14:18
We have lots of other really interestingинтересно
372
846522
2040
Мы получили и много другой
14:20
demographicдемографический informationИнформация as well.
373
848562
2238
демографической информации.
14:22
The other interestingинтересно thing that we foundнайденный
374
850800
1846
Интересно также,
14:24
is that when we comparedв сравнении
the CarnegieКарнеги MellonMellon passwordsпароли
375
852646
2440
что, сравнив пароли Карнеги-Меллон
14:27
to the Mechanicalмеханический Turk-generatedТурок-порожденный passwordsпароли,
376
855086
2283
с паролями,
сгенерированными Mechanical Turk,
14:29
there was actuallyна самом деле a lot of similaritiesсходство,
377
857369
2619
мы нашли много похожего,
14:31
and so this helpedпомог validateутверждать our researchисследование methodметод
378
859988
1948
убедились в правильности нашего метода
14:33
and showпоказать that actuallyна самом деле, collectingсбор passwordsпароли
379
861936
2510
и показали, что сбор паролей
14:36
usingс помощью these Mechanicalмеханический Turkтурчанка studiesисследования
380
864446
1808
с помощью Mechanical Turk —
14:38
is actuallyна самом деле a validдействительный way to studyизучение passwordsпароли.
381
866254
2788
вполне достоверный способ
их изучать.
14:41
So that was good newsНовости.
382
869042
2285
Это хорошие новости.
14:43
Okay, I want to closeЗакрыть by talkingговорящий about
383
871327
2414
Я хочу завершить рассказом
14:45
some insightsпонимание I gainedполучили while on sabbaticalсубботний
384
873741
2068
о своих наблюдениях
во время творческого отпуска
14:47
last yearгод in the CarnegieКарнеги MellonMellon artИзобразительное искусство schoolшкола.
385
875809
3201
в Школе искусств Карнеги-Меллон
в прошлом году.
14:51
One of the things that I did
386
879010
1281
Помимо всего прочего,
14:52
is I madeсделал a numberномер of quiltsодеял,
387
880291
1524
я сшила несколько лоскутных одеял,
14:53
and I madeсделал this quiltстегать here.
388
881815
1548
таких как вот этот.
14:55
It's calledназывается "SecurityБезопасность BlanketОдеяло."
389
883363
1899
Он называется «Одеяло безопасности».
14:57
(LaughterСмех)
390
885262
2431
(Смех)
14:59
And this quiltстегать has the 1,000
391
887693
3095
На этом одеяле
15:02
mostбольшинство frequentчастый passwordsпароли stolenпохищенный
392
890788
2328
1 000 самых распространённых паролей,
украденных
15:05
from the RockYouRockYou websiteВеб-сайт.
393
893116
2571
с сайта RockYou.
15:07
And the sizeразмер of the passwordsпароли is proportionalпропорциональный
394
895687
2061
Размер паролей
прямо пропорционален тому,
15:09
to how frequentlyчасто they appearedпоявился
395
897748
1901
насколько часто они появляются
15:11
in the stolenпохищенный datasetНабор данных.
396
899649
2248
в украденных базах данных.
15:13
And what I did is I createdсозданный this wordслово cloudоблако,
397
901897
2632
Я создала словарное облако,
15:16
and I wentотправился throughчерез all 1,000 wordsслова,
398
904529
2132
разобрала все 1 000 слов
15:18
and I categorizedклассифицировать them into
399
906661
1795
и распределила их
15:20
looseсвободный thematicтематическая categoriesкатегории.
400
908456
2380
по достаточно свободным категориям.
15:22
And it was, in some casesслучаи,
401
910836
1903
В некоторых случаях
15:24
it was kindсвоего рода of difficultсложно to figureфигура out
402
912739
2038
было сложно определить,
15:26
what categoryкатегория they should be in,
403
914777
1755
к какой категории
принадлежит то или иное слово.
15:28
and then I color-codedцветные them.
404
916532
1899
Каждой категории я задала свой цвет.
15:30
So here are some examplesПримеры of the difficultyтрудность.
405
918431
2619
Вот пара примеров сложностей.
15:33
So "justinджастин."
406
921050
1181
Слово «джастин».
15:34
Is that the nameимя of the userпользователь,
407
922231
1829
Что это? Имя пользователя,
15:36
theirих boyfriendдружок, theirих sonсын?
408
924060
1322
или любимого человека, или сына?
15:37
Maybe they're a JustinДжастин BieberBieber fanпоклонник.
409
925382
2888
Может, это поклонник Джастина Бибера?
15:40
Or "princessпринцесса."
410
928270
2225
Или «принцесса».
15:42
Is that a nicknameпрозвище?
411
930495
1635
Это прозвище?
15:44
Are they DisneyДисней princessпринцесса fansпоклонники?
412
932130
1595
Придумано фанатом
диснеевских принцесс?
15:45
Or maybe that's the nameимя of theirих catКот.
413
933725
3694
Или это кошачье имя?
15:49
"IloveyouЯ люблю тебя" appearsпоявляется manyмногие timesраз
414
937419
1655
«Ятебялюблю»
неоднократно появляется
15:51
in manyмногие differentдругой languagesязыки.
415
939074
1545
на многих языках.
15:52
There's a lot of love in these passwordsпароли.
416
940619
3735
Эти пароли дышат любовью.
15:56
If you look carefullyвнимательно, you'llВы будете see there's alsoтакже
417
944354
1680
Если присмотреться, можно найти
15:58
some profanityпрофанация,
418
946034
2267
и сквернословия.
16:00
but it was really interestingинтересно to me to see
419
948301
1950
Но интересно было то, что я увидела
16:02
that there's a lot more love than hateненавидеть
420
950251
2307
гораздо больше любви, чем ненависти
16:04
in these passwordsпароли.
421
952558
2292
в этих паролях.
16:06
And there are animalsживотные,
422
954850
1490
Здесь есть и животные —
16:08
a lot of animalsживотные,
423
956340
1360
много животных —
16:09
and "monkeyобезьяна" is the mostбольшинство commonобщий animalживотное
424
957700
2304
и «обезьянка» —
самое распространённое из них
16:12
and the 14thго mostбольшинство popularпопулярный passwordпароль overallв общем и целом.
425
960004
3675
и 14-е в списке
самых популярных паролей.
16:15
And this was really curiousлюбопытный to me,
426
963679
2231
Мне стало очень любопытно,
16:17
and I wonderedзадавались вопросом, "Why are monkeysобезьяны so popularпопулярный?"
427
965910
2523
я подумала:
«Почему обезьянки так популярны?»
16:20
And so in our last passwordпароль studyизучение,
428
968433
3352
В нашем последнем исследовании
16:23
any time we detectedобнаруженный somebodyкто-то
429
971785
1686
каждый раз, когда мы видели,
16:25
creatingсоздание a passwordпароль with the wordслово "monkeyобезьяна" in it,
430
973471
2649
что кто-то создавал пароль
со словом «обезьянка»,
16:28
we askedспросил them why they had
a monkeyобезьяна in theirих passwordпароль.
431
976120
3030
мы спрашивали, почему.
16:31
And what we foundнайденный out --
432
979150
1910
Мы обнаружили —
16:33
we foundнайденный 17 people so farдалеко, I think,
433
981060
2103
а всего мы нашли 17 человек,
16:35
who have the wordслово "monkeyобезьяна" --
434
983163
1283
использовавших это слово, —
16:36
We foundнайденный out about a thirdв третьих of them said
435
984446
1812
около трети опрошенных сказали,
16:38
they have a petдомашнее животное namedназванный "monkeyобезьяна"
436
986258
1740
что их домашнего любимца
зовут Обезьянка
16:39
or a friendдруг whoseчья nicknameпрозвище is "monkeyобезьяна,"
437
987998
2291
или у них есть друг с таким прозвищем.
16:42
and about a thirdв третьих of them said
438
990289
1660
Ещё треть людей сказали,
16:43
that they just like monkeysобезьяны
439
991949
1533
что им просто нравятся обезьянки,
16:45
and monkeysобезьяны are really cuteмилый.
440
993482
1638
они ведь действительно милые.
16:47
And that guy is really cuteмилый.
441
995120
3639
Посмотрите, какой он хорошенький.
16:50
So it seemsкажется that at the endконец of the day,
442
998759
3408
Кажется, в конечном итоге,
16:54
when we make passwordsпароли,
443
1002167
1783
когда мы придумываем пароль,
16:55
we eitherили make something that's really easyлегко
444
1003950
1974
мы либо создаём что-то очень простое
16:57
to typeтип, a commonобщий patternшаблон,
445
1005924
3009
для введения,
какую-то общую закономерность,
17:00
or things that remindнапоминать us of the wordслово passwordпароль
446
1008933
2486
или что-то, что напоминает нам
само слово «пароль»,
17:03
or the accountСчет that we'veмы в createdсозданный the passwordпароль for,
447
1011419
3312
или саму учётную запись,
для которой мы его создаём,
17:06
or whateverбез разницы.
448
1014731
2617
или «всёравно».
17:09
Or we think about things that make us happyсчастливый,
449
1017348
2642
Либо же мы думаем о том,
что приносит нам счастье.
17:11
and we createСоздайте our passwordпароль
450
1019990
1304
Мы создаём пароль,
17:13
basedисходя из on things that make us happyсчастливый.
451
1021294
2238
исходя из того,
что делает нас счастливыми.
17:15
And while this makesмарки typingтипирование
452
1023532
2863
И хотя это делает введение
17:18
and rememberingвспоминание your passwordпароль more funвесело,
453
1026395
2870
и запоминание пароля
более занимательным,
17:21
it alsoтакже makesмарки it a lot easierПолегче
454
1029265
1807
это также делает его
17:23
to guessУгадай your passwordпароль.
455
1031072
1506
более уязвимым.
17:24
So I know a lot of these TEDТЕД Talksпереговоры
456
1032578
1748
Многие выступления на TED
17:26
are inspirationalвдохновляющие
457
1034326
1634
вдохновляют
17:27
and they make you think about niceхороший, happyсчастливый things,
458
1035960
2461
и навевают мысли о прекрасных,
замечательных вещах.
17:30
but when you're creatingсоздание your passwordпароль,
459
1038421
1897
Но когда вы придумываете пароль,
17:32
try to think about something elseеще.
460
1040318
1991
лучше подумайте о чём-нибудь другом.
17:34
Thank you.
461
1042309
1107
Спасибо.
17:35
(ApplauseАплодисменты)
462
1043416
553
(Аплодисменты)
Translated by Anna Kotova
Reviewed by Olga Dmitrochenkova

▲Back to top

ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com