English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Лорри Фэйт Крэнор: Что не так с вашим паролем?

Filmed
Views 1,487,395

Лорри Фэйт Крэнор изучила тысячи паролей, чтобы выяснить, какие удивительные и очень распространённые ошибки совершаются пользователями и даже персоналом защищённых объектов. И как же, спросите вы, она изучила тысячи настоящих паролей, не ставя под угрозу безопасность пользователей? Это отдельная история. Это секретная информация, которую стоит узнать, особенно, если ваш пароль — 123456...

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

I am a computerкомпьютер scienceнаука and engineeringинжиниринг
professorпрофессор here at CarnegieКарнеги MellonMellon,
Я профессор информатики и инженерии здесь,
в Университете Карнеги-Меллон.
00:12
and my researchисследование focusesфокусирует on
usableгодный к употреблению privacyКонфиденциальность and securityбезопасность,
Я занимаюсь исследованием
полезной конфиденциальности и безопасности,
00:15
and so my friendsдрузья like to give me examplesПримеры
поэтому друзья любят делиться со мной
00:20
of theirих frustrationsразочарования with computingвычисления systemsсистемы,
своими огорчениями,
связанными с компьютерами,
00:22
especiallyособенно frustrationsразочарования relatedСвязанный to
особенно теми, которые касаются
00:25
unusableнепригодный privacyКонфиденциальность and securityбезопасность.
бесполезной конфиденциальности
и безопасности.
00:28
So passwordsпароли are something that I hearзаслушивать a lot about.
Мне часто приходится
слышать о паролях.
00:32
A lot of people are frustratedнесостоявшийся with passwordsпароли,
Многих людей пароли расстраивают
00:35
and it's badПлохо enoughдостаточно
уже одним тем, что приходится
00:38
when you have to have one really good passwordпароль
придумывать действительно
хороший пароль,
00:39
that you can rememberзапомнить
который легко запомнить
00:42
but nobodyникто elseеще is going to be ableв состоянии to guessУгадай.
и который никому не взломать.
00:44
But what do you do when you have accountsСчета
Но что, если у вас сотни учётных записей
00:47
on a hundredсто differentдругой systemsсистемы
в различных системах,
00:48
and you're supposedпредполагаемый to have a uniqueуникальный passwordпароль
и нужно иметь уникальный пароль
00:50
for eachкаждый of these systemsсистемы?
для каждой из них?
00:53
It's toughжесткий.
Это нелёгкая задача.
00:56
At CarnegieКарнеги MellonMellon, they used to make it
Раньше в Карнеги-Меллон
00:58
actuallyна самом деле prettyСимпатичная easyлегко for us
нам было довольно легко
01:00
to rememberзапомнить our passwordsпароли.
запоминать наши пароли.
01:01
The passwordпароль requirementтребование up throughчерез 2009
До 2009 года требовалось,
01:03
was just that you had to have a passwordпароль
чтобы пароль
01:05
with at leastнаименее one characterперсонаж.
содержал хотя бы один знак.
01:07
Prettyмилая easyлегко. But then they changedизменено things,
Легко.
Но затем требования изменились,
01:10
and at the endконец of 2009, they announcedобъявленный
и с конца 2009 года
01:12
that we were going to have a newновый policyполитика,
были введены новые правила,
01:15
and this newновый policyполитика requiredобязательный
согласно которым
01:17
passwordsпароли that were at leastнаименее eight8 charactersперсонажи long,
пароли должны состоять
хотя бы из 8 знаков,
01:19
with an uppercaseверхний регистр letterписьмо, lowercaseв нижнем регистре letterписьмо,
с одной заглавной,
одной строчной буквой,
01:22
a digitцифра, a symbolсимвол,
цифрой, специальным символом,
01:24
you couldn'tне может use the sameодна и та же
characterперсонаж more than threeтри timesраз,
нельзя использовать
один и тот же знак более трёх раз,
01:25
and it wasn'tне было allowedпозволил to be in a dictionaryСловарь.
и пароля не должно быть в словаре.
01:28
Now, when they implementedреализованы this newновый policyполитика,
Когда новые правила были введены,
01:30
a lot of people, my colleaguesколлеги and friendsдрузья,
многие мои коллеги и друзья
01:32
cameпришел up to me and they said, "WowВау,
пришли ко мне и сказали:
01:35
now that's really unusableнепригодный.
«Ну и ну! Этим невозможно пользоваться!
01:36
Why are they doing this to us,
За что они с нами так поступают?
01:38
and why didn't you stop them?"
Почему ты их не остановила?»
01:39
And I said, "Well, you know what?
Я ответила: «Знаете что?
01:41
They didn't askпросить me."
Меня никто и не спрашивал».
01:42
But I got curiousлюбопытный, and I decidedприняли решение to go talk
Но мне стало любопытно,
и я решила поговорить
01:44
to the people in chargeзаряд of our computerкомпьютер systemsсистемы
с людьми,
отвечающими за наши компьютеры,
01:47
and find out what led them to introduceвводить
и выяснить, что же заставило их
01:49
this newновый policyполитика,
ввести новые правила.
01:52
and they said that the universityУниверситет
Мне ответили, что университет
01:54
had joinedприсоединился a consortiumконсорциум of universitiesуниверситеты,
вступил в Ассоциацию университетов,
01:55
and one of the requirementsтребования of membershipчленство
и одним из требований для её членов
01:58
was that we had to have strongerсильнее passwordsпароли
является наличие
более надёжных паролей,
02:00
that compliedСоблюдается with some newновый requirementsтребования,
отвечающих новым условиям.
02:03
and these requirementsтребования were that our passwordsпароли
Этим условием было наличие в паролях
02:05
had to have a lot of entropyэнтропия.
информационной энтропии.
02:07
Now entropyэнтропия is a complicatedсложно termсрок,
Информационная энтропия —
сложный термин.
02:09
but basicallyв основном it measuresмеры the strengthпрочность of passwordsпароли.
Говоря проще, он показывает,
насколько надёжен пароль.
02:11
But the thing is, there isn't actuallyна самом деле
Проблема в том, что не существует
02:14
a standardстандарт measureизмерение of entropyэнтропия.
стандартной меры энтропии.
02:16
Now, the Nationalнациональный Instituteинститут
of Standardsстандарты and TechnologyТехнологии
Национальный институт
стандартов и технологий
02:18
has a setзадавать of guidelinesметодические рекомендации
имеет ряд инструкций,
02:20
whichкоторый have some rulesправила of thumbбольшой палец
содержащих общие правила
02:22
for measuringизмерения entropyэнтропия,
измерения информационной энтропии,
02:24
but they don't have anything too specificконкретный,
однако они не носят
конкретного характера,
02:26
and the reasonпричина they only have rulesправила of thumbбольшой палец
и причина этого в том,
02:29
is it turnsвитки out they don't actuallyна самом деле have any good dataданные
что у Института недостаточно данных
02:31
on passwordsпароли.
о паролях.
02:34
In factфакт, theirих reportдоклад statesсостояния,
Фактически, в их отчёте говорится:
02:36
"UnfortunatelyК сожалению, we do not have much dataданные
«К сожалению, мы не располагаем данными
02:38
on the passwordsпароли usersпользователи
chooseвыберите underпод particularконкретный rulesправила.
о паролях, выбираемых пользователями
согласно правилам.
02:40
NISTNIST would like to obtainполучать more dataданные
Институту хотелось бы получить
больше данных
02:43
on the passwordsпароли usersпользователи actuallyна самом деле chooseвыберите,
о паролях,
которые выбираются на самом деле,
02:45
but systemсистема administratorsадминистраторы
are understandablyпо понятным причинам reluctantнеохотный
но, по понятным причинам,
системные администраторы
02:48
to revealвыявить passwordпароль dataданные to othersдругие."
делятся ими неохотно».
02:50
So this is a problemпроблема, but our researchисследование groupгруппа
Задача трудная,
но наша исследовательская группа
02:53
lookedсмотрел at it as an opportunityвозможность.
увидела в ней хорошую возможность.
02:56
We said, "Well, there's a need
for good passwordпароль dataданные.
Мы сказали:
«Существует нехватка данных о паролях.
02:58
Maybe we can collectсобирать some good passwordпароль dataданные
Мы могли бы собрать такие данные
03:02
and actuallyна самом деле advanceпродвижение the stateгосударство of the artИзобразительное искусство here.
и изменить положение дел».
03:04
So the first thing we did is,
Первое, что мы сделали, —
03:06
we got a bagмешок of candyконфеты barsбрусья
мы взяли мешок с шоколадками
03:08
and we walkedходил around campusкампус
и прошлись по территории университета,
03:10
and talkedговорили to studentsстуденты, facultyфакультет and staffсотрудники,
разговаривая со студентами
и преподавателями.
03:11
and askedспросил them for informationИнформация
Мы задавали им вопросы
03:14
about theirих passwordsпароли.
об их паролях.
03:15
Now we didn't say, "Give us your passwordпароль."
Мы не просили их раскрывать пароли.
03:17
No, we just askedспросил them about theirих passwordпароль.
Мы просто спрашивали про них.
03:20
How long is it? Does it have a digitцифра?
Какой они длины? Есть ли в них цифры?
03:22
Does it have a symbolсимвол?
Содержат ли они специальные символы?
03:24
And were you annoyedраздраженный at havingимеющий to createСоздайте
Были ли вы раздражены,
когда вам пришлось
03:25
a newновый one last weekнеделю?
создать новый пароль
на прошлой неделе?
03:27
So we got resultsРезультаты from 470 studentsстуденты,
Мы собрали результаты опроса
470 студентов,
03:30
facultyфакультет and staffсотрудники,
преподавателей и сотрудников,
03:33
and indeedв самом деле we confirmedподтвердил that the newновый policyполитика
и подтвердился тот факт,
что новые правила
03:34
was very annoyingраздражающий,
всех очень раздражали.
03:36
but we alsoтакже foundнайденный that people said
Но люди также говорили,
03:38
they feltпочувствовал more secureбезопасный with these newновый passwordsпароли.
что с новыми паролями они чувствовали себя
более защищёнными.
03:40
We foundнайденный that mostбольшинство people knewзнал
Мы узнали,
что большинство людей знает,
03:43
they were not supposedпредполагаемый to
writeзаписывать theirих passwordпароль down,
что нельзя записывать свой пароль
на бумажку, —
03:45
and only 13 percentпроцент of them did,
так поступают только
13% опрошенных —
03:47
but disturbinglyволнующе, 80 percentпроцент of people
но, что настораживает,
80% людей признались
03:50
said they were reusingповторное использование theirих passwordпароль.
в использовании одного пароля
по несколько раз.
03:52
Now, this is actuallyна самом деле more dangerousопасно
На самом деле, это ещё опаснее,
03:54
than writingписьмо your passwordпароль down,
чем записывать пароль на бумажку,
03:56
because it makesмарки you much
more susceptibleвосприимчивый to attackersнападавшие.
потому что это делает вас
гораздо более уязвимыми перед хакерами.
03:58
So if you have to, writeзаписывать your passwordsпароли down,
Лучше уж записать пароль,
04:01
but don't reuseповторное использование them.
но не использовать его повторно.
04:05
We alsoтакже foundнайденный some interestingинтересно things
Мы также узнали интересные факты о том,
04:06
about the symbolsсимволы people use in passwordsпароли.
как люди используют в паролях
специальные символы.
04:08
So CMUКМУ allowsпозволяет 32 possibleвозможное symbolsсимволы,
В Карнеги-Меллон можно использовать
32 специальных символа,
04:11
but as you can see, there's only a smallмаленький numberномер
но, как видите,
только небольшое их число
04:14
that mostбольшинство people are usingс помощью,
на самом деле используется,
04:16
so we're not actuallyна самом деле gettingполучение very much strengthпрочность
поэтому символы
не делают наши пароли
04:18
from the symbolsсимволы in our passwordsпароли.
намного надёжнее.
04:21
So this was a really interestingинтересно studyизучение,
Это было интересное исследование:
04:23
and now we had dataданные from 470 people,
мы получили данные от 470 человек,
04:26
but in the schemeсхема of things,
но, по большому счёту,
04:29
that's really not very much passwordпароль dataданные,
это не так много,
04:30
and so we lookedсмотрел around to see
поэтому мы стали искать, где ещё
04:33
where could we find additionalдополнительный passwordпароль dataданные?
можно достать данные о паролях.
04:34
So it turnsвитки out there are a lot of people
Оказывается, полно людей,
04:37
going around stealingкража passwordsпароли,
занимающихся воровством паролей,
04:39
and they oftenдовольно часто go and postпосле these passwordsпароли
и они часто публикуют их
04:41
on the Internetинтернет.
в Интернете.
04:43
So we were ableв состоянии to get accessдоступ
Нам удалось заполучить
04:45
to some of these stolenпохищенный passwordпароль setsнаборы.
несколько таких подборок
украденных паролей.
04:46
This is still not really idealидеальный for researchисследование, thoughхоть,
Конечно, для исследования
это не идеальный вариант,
04:50
because it's not entirelyполностью clearЧисто
так как непонятно,
04:53
where all of these passwordsпароли cameпришел from,
откуда все эти пароли взялись
04:55
or exactlyв точку what policiesполисы were in effectэффект
и какие правила действовали,
04:57
when people createdсозданный these passwordsпароли.
когда люди их создавали.
04:59
So we wanted to find some better sourceисточник of dataданные.
Нам хотелось найти
источник данных получше.
05:01
So we decidedприняли решение that one thing we could do
Поэтому мы решили
05:05
is we could do a studyизучение and have people
провести исследование
и попросить людей
05:06
actuallyна самом деле createСоздайте passwordsпароли for our studyизучение.
по-настоящему создать для него пароли.
05:09
So we used a serviceоказание услуг calledназывается
AmazonАмазонка Mechanicalмеханический Turkтурчанка,
Мы использовали сервис под названием
Amazon Mechanical Turk.
05:12
and this is a serviceоказание услуг where you can postпосле
Он позволяет размещать
05:15
a smallмаленький jobработа onlineонлайн that takes a minuteминут,
небольшие задания в интернете,
05:17
a fewмало minutesминут, an hourчас,
занимающие минуту, пару минут
или час,
05:19
and payплатить people, a pennyпенни, ten10 centsцентов, a fewмало dollarsдолларов,
и платить один, десять центов
или несколько долларов
05:21
to do a taskзадача for you,
за их выполнение
05:23
and then you payплатить them throughчерез AmazonАмазонка.comком.
через сайт amazon.com.
05:25
So we paidоплаченный people about 50 centsцентов
Мы платили людям около 50 центов
05:27
to createСоздайте a passwordпароль followingследующий our rulesправила
за то, чтобы они создали пароль,
следуя нашим правилам,
05:29
and answeringавтоответчик a surveyопрос,
и ответили на наши вопросы.
05:32
and then we paidоплаченный them again to come back
Затем мы снова платили им за то,
чтобы они вернулись
05:33
two daysдней laterпозже and logжурнал in
через два дня, вошли на сайт,
05:36
usingс помощью theirих passwordпароль and answeringавтоответчик anotherдругой surveyопрос.
используя свой пароль,
и ответили на другие вопросы.
05:38
So we did this, and we collectedсобранный 5,000 passwordsпароли,
Мы собрали 5 000 паролей.
05:40
and we gaveдал people a bunchгроздь of differentдругой policiesполисы
Мы задавали участникам
множество разных правил
05:45
to createСоздайте passwordsпароли with.
создания паролей.
05:47
So some people had a prettyСимпатичная easyлегко policyполитика,
Некоторым попадалось
простое правило,
05:49
we call it Basicосновной8,
мы называем его «Базовая восьмёрка»,
05:51
and here the only ruleправило was that your passwordпароль
единственное условие которого —
пароль должен содержать
05:52
had to have at leastнаименее eight8 charactersперсонажи.
хотя бы 8 знаков.
05:55
Then some people had a much harderСильнее policyполитика,
Некоторым попадались
правила посложнее,
05:58
and this was very similarаналогичный to the CMUКМУ policyполитика,
похожие на правила Карнеги-Меллон:
06:00
that it had to have eight8 charactersперсонажи
пароль должен содержать 8 знаков,
06:03
includingв том числе uppercaseверхний регистр, lowercaseв нижнем регистре, digitцифра, symbolсимвол,
включая заглавную и строчную буквы,
цифру, специальный символ,
06:05
and passпроходить a dictionaryСловарь checkпроверить.
и пройти проверку словарём.
06:07
And one of the other policiesполисы we triedпытался,
Другой набор правил —
06:09
and there were a wholeвсе bunchгроздь more,
а их было много —
06:11
but one of the onesте, we triedпытался was calledназывается Basicосновной16,
названный нами «Базовые шестнадцать»,
06:12
and the only requirementтребование here
требовал только одно:
06:14
was that your passwordпароль had
to have at leastнаименее 16 charactersперсонажи.
пароль должен был содержать
хотя бы 16 знаков.
06:17
All right, so now we had 5,000 passwordsпароли,
Итак, у нас было 5 000 паролей,
06:20
and so we had much more detailedподробный informationИнформация.
более детальная информация.
06:23
Again we see that there's only a smallмаленький numberномер
И снова мы видим,
что существует лишь небольшое число
06:26
of symbolsсимволы that people are actuallyна самом деле usingс помощью
специальных символов, используемых людьми
06:29
in theirих passwordsпароли.
в паролях.
06:31
We alsoтакже wanted to get an ideaидея of how strongсильный
Мы также хотели понять,
насколько надёжны
06:33
the passwordsпароли were that people were creatingсоздание,
были пароли,
созданные нашими участниками.
06:35
but as you mayмай recallотзыв, there isn't a good measureизмерение
Но, как вы помните,
хорошего стандарта измерения
06:38
of passwordпароль strengthпрочность.
надёжности паролей не существует.
06:40
So what we decidedприняли решение to do was to see
Мы решили посмотреть,
06:42
how long it would take to crackтрещина these passwordsпароли
сколько времени займёт их расшифровка
06:45
usingс помощью the bestЛучший crackingрастрескивание toolsинструменты
с помощью лучших приёмов
06:47
that the badПлохо guys are usingс помощью,
из арсенала злоумышленников
06:48
or that we could find informationИнформация about
или тех способов,
о которых мы нашли информацию
06:50
in the researchисследование literatureлитература.
в научной литературе.
06:52
So to give you an ideaидея of how badПлохо guys
Как злоумышленники
06:54
go about crackingрастрескивание passwordsпароли,
взламывают пароли?
06:56
they will stealукрасть a passwordпароль fileфайл
Они крадут файл, в котором содержатся
06:59
that will have all of the passwordsпароли
хеш-значения паролей, другими словами —
07:01
in kindсвоего рода of a scrambledвскарабкался formформа, calledназывается a hashгашиш,
пароли в зашифрованном виде.
07:03
and so what they'llони будут do is they'llони будут make a guessУгадай
Затем они пытаются
07:06
as to what a passwordпароль is,
угадать пароль
07:08
runбег it throughчерез a hashingхэширования functionфункция,
с помощью хеш-функции
07:10
and see whetherбудь то it matchesМатчи
и смотрят, совпадает ли он
07:12
the passwordsпароли they have on
theirих stolenпохищенный passwordпароль listсписок.
с паролями из украденного списка.
07:14
So a dumbтупой attackerатакующий will try everyкаждый passwordпароль in orderзаказ.
Не слишком умные хакеры
проверяют все пароли по порядку.
07:18
They'llОни будут startНачало with AAAAAAAAAA and moveпереехать on to AAAABAAAAB,
Начиная с ААААА, затем ААААВ —
07:21
and this is going to take a really long time
пройдёт очень много времени
07:24
before they get any passwordsпароли
прежде чем они получат пароли,
07:27
that people are really likelyвероятно to actuallyна самом деле have.
которые реально создаются пользователями.
07:28
A smartумная attackerатакующий, on the other handрука,
Толковые хакеры
07:31
does something much more cleverумная.
действуют гораздо умнее.
07:33
They look at the passwordsпароли
Они берут пароли,
07:34
that are knownизвестен to be popularпопулярный
чаще всего встречающиеся
07:36
from these stolenпохищенный passwordпароль setsнаборы,
в украденных наборах хеш-значений паролей,
07:38
and they guessУгадай those first.
и начинают попытки взлома с них.
07:40
So they're going to startНачало by guessingугадывание "passwordпароль,"
Они начнут со слова «пароль»,
07:41
and then they'llони будут guessУгадай "I love you," and "monkeyобезьяна,"
затем возьмут «я тебя люблю»
и «обезьянка»,
07:43
and "12345678,"
а затем «12345678».
07:46
because these are the passwordsпароли
Именно эти пароли
07:48
that are mostбольшинство likelyвероятно for people to have.
люди выбирают чаще всего.
07:50
In factфакт, some of you probablyвероятно have these passwordsпароли.
Наверняка у кого-то из вас
пароли именно такие.
07:52
So what we foundнайденный
В своём исследовании,
07:57
by runningБег all of these 5,000 passwordsпароли we collectedсобранный
проверив все 5 000 собранных паролей
07:58
throughчерез these testsтесты to see how strongсильный they were,
с помощью тестов на надёжность,
08:01
we foundнайденный that the long passwordsпароли
мы обнаружили, что длинные пароли
08:06
were actuallyна самом деле prettyСимпатичная strongсильный,
довольно надёжны.
08:08
and the complexсложный passwordsпароли were prettyСимпатичная strongсильный too.
Сложные пароли тоже.
08:10
HoweverОднако, when we lookedсмотрел at the surveyопрос dataданные,
Однако результат опросов показал,
08:13
we saw that people were really frustratedнесостоявшийся
что сложные пароли
08:15
by the very complexсложный passwordsпароли,
очень раздражают людей,
08:18
and the long passwordsпароли were a lot more usableгодный к употреблению,
а длинные пароли гораздо удобнее.
08:21
and in some casesслучаи, they were actuallyна самом деле
В некоторых случаях длинные пароли
08:23
even strongerсильнее than the complexсложный passwordsпароли.
оказывались даже надёжнее сложных.
08:25
So this suggestsпредполагает that,
Можно заключить,
08:27
insteadвместо of tellingговоря people that they need
что вместо того, чтобы
08:29
to put all these symbolsсимволы and numbersчисел
использовать специальные символы, цифры
08:30
and crazyпсих things into theirих passwordsпароли,
и другие безумные штуки в паролях,
08:32
we mightмог бы be better off just tellingговоря people
гораздо эффективнее
08:35
to have long passwordsпароли.
просто иметь длинные пароли.
08:37
Now here'sвот the problemпроблема, thoughхоть:
Однако здесь кроется проблема:
08:39
Some people had long passwordsпароли
некоторые длинные пароли
08:41
that actuallyна самом деле weren'tне было very strongсильный.
были не так уж и надёжны.
08:43
You can make long passwordsпароли
Можно придумать длинный пароль,
08:45
that are still the sortСортировать of thing
который всё равно
08:47
that an attackerатакующий could easilyбез труда guessУгадай.
будет с лёгкостью угадан взломщиком.
08:49
So we need to do more than
just say long passwordsпароли.
Получается, нужно что-то большее,
чем просто длинные пароли.
08:50
There has to be some additionalдополнительный requirementsтребования,
Нужны дополнительные условия.
08:54
and some of our ongoingпостоянный researchисследование is looking at
Некоторые наши текущие исследования
08:56
what additionalдополнительный requirementsтребования we should addДобавить
изучают необходимые
дополнительные условия того,
08:59
to make for strongerсильнее passwordsпароли
как сделать пароли более надёжными
09:01
that alsoтакже are going to be easyлегко for people
и в тоже время лёгкими
09:03
to rememberзапомнить and typeтип.
для запоминания
и набора на клавиатуре.
09:05
AnotherДругая approachподход to gettingполучение people to have
Ещё один способ
заставить людей создавать
09:08
strongerсильнее passwordsпароли is to use a passwordпароль meterметр.
надёжные пароли —
использовать индикатор надёжности.
09:10
Here are some examplesПримеры.
Вот несколько примеров.
09:12
You mayмай have seenвидели these on the Internetинтернет
Возможно, вы видели их в Интернете,
09:14
when you were creatingсоздание passwordsпароли.
когда создавали пароли.
09:15
We decidedприняли решение to do a studyизучение to find out
Мы решили исследовать,
09:18
whetherбудь то these passwordпароль metersметры actuallyна самом деле work.
действительно ли
индикаторы надёжности работают.
09:21
Do they actuallyна самом деле help people
Действительно ли они помогают
09:23
have strongerсильнее passwordsпароли,
создавать более надёжные пароли,
09:25
and if so, whichкоторый onesте, are better?
и, если да, то какие индикаторы лучше?
09:26
So we testedпроверенный passwordпароль metersметры that were
Мы протестировали
индикаторы надёжности паролей
09:28
differentдругой sizesразмеры, shapesформы, colorsцвета,
различных размеров, форм и цветов,
09:31
differentдругой wordsслова nextследующий to them,
с разными инструкциями
09:33
and we even testedпроверенный one that was a dancingтанцы bunnyкролик.
и даже с танцующим кроликом.
09:34
As you typeтип a better passwordпароль,
Когда вы вводите
более надёжный пароль,
09:38
the bunnyкролик dancesтанцы fasterБыстрее and fasterБыстрее.
кролик начинает танцевать быстрее.
09:39
So this was prettyСимпатичная funвесело.
Довольно весело.
09:42
What we foundнайденный
Мы обнаружили,
09:44
was that passwordпароль metersметры do work.
что индикаторы
действительно работают.
09:46
(LaughterСмех)
(Смех)
09:49
MostНаиболее of the passwordпароль metersметры were actuallyна самом деле effectiveэффективный,
Большинство из них
довольно эффективны,
09:51
and the dancingтанцы bunnyкролик was very effectiveэффективный too,
танцующий кролик тоже,
09:55
but the passwordпароль metersметры that were the mostбольшинство effectiveэффективный
но самые эффективные
индикаторы надёжности —
09:57
were the onesте, that madeсделал you work harderСильнее
те, которые заставляют вас попотеть,
10:00
before they gaveдал you that thumbsпревью up and said
прежде чем дают добро
10:02
you were doing a good jobработа,
вашему паролю.
10:04
and in factфакт we foundнайденный that mostбольшинство
Как оказалось, большинство
10:06
of the passwordпароль metersметры on the Internetинтернет todayCегодня
индикаторов надёжности
в сегодняшнем Интернете
10:07
are too softмягкий.
не слишком строги.
10:10
They tell you you're doing a good jobработа too earlyрано,
Они слишком рано сообщают о том,
что вы на правильном пути.
10:10
and if they would just wait a little bitнемного
Если бы они подождали
совсем чуть-чуть,
10:13
before givingдающий you that positiveположительный feedbackОбратная связь,
прежде чем выразить вам одобрение,
10:15
you probablyвероятно would have better passwordsпароли.
ваш пароль, скорее всего,
был бы лучше.
10:17
Now anotherдругой approachподход to better passwordsпароли, perhapsвозможно,
Ещё один вероятный путь
к надёжным паролям —
10:20
is to use passпроходить phrasesфразы insteadвместо of passwordsпароли.
использование фраз вместо слов.
10:24
So this was an xkcdXKCD cartoonмультфильм
from a coupleпара of yearsлет agoтому назад,
Это комикс «xkcd»
примерно двухлетней давности.
10:27
and the cartoonistкарикатурист suggestsпредполагает
Его автор советует
10:30
that we should all use passпроходить phrasesфразы,
использовать в паролях фразы.
10:32
and if you look at the secondвторой rowряд of this cartoonмультфильм,
Если вы посмотрите
на второй ряд комикса,
10:34
you can see the cartoonistкарикатурист is suggestingпредлагая
то увидите, что автор предлагает
10:37
that the passпроходить phraseфраза "correctверный horseлошадь batteryаккумулятор stapleштапель"
фразу «верно лошадь батарея скрепка»
10:39
would be a very strongсильный passпроходить phraseфраза
в качестве надёжного пароля,
10:42
and something really easyлегко to rememberзапомнить.
который очень легко запомнить.
10:45
He saysговорит, in factфакт, you've alreadyуже rememberedвспомнил it.
Он говорит:
«Да вы это уже запомнили».
10:47
And so we decidedприняли решение to do a researchисследование studyизучение
Мы решили выяснить,
10:50
to find out whetherбудь то this was trueправда or not.
так ли это на самом деле.
10:52
In factфакт, everybodyвсе who I talk to,
Кстати, все,
с кем я разговариваю
10:54
who I mentionупомянуть I'm doing passwordпароль researchисследование,
и упоминаю свою работу с паролями,
10:56
they pointточка out this cartoonмультфильм.
вспоминают этот комикс.
10:58
"Oh, have you seenвидели it? That xkcdXKCD.
«Ты видела «xkcd»?
10:59
CorrectВерный horseлошадь batteryаккумулятор stapleштапель."
Верно лошадь батарея скрепка».
11:01
So we did the researchисследование studyизучение to see
Мы провели исследование,
11:03
what would actuallyна самом деле happenслучаться.
чтобы узнать,
как всё обстоит на самом деле.
11:04
So in our studyизучение, we used Mechanicalмеханический Turkтурчанка again,
Мы снова использовали сервис
Mechanical Turk
11:07
and we had the computerкомпьютер pickвыбирать the randomслучайный wordsслова
и заставили компьютер выдать
случайные слова
11:10
in the passпроходить phraseфраза.
для фразы-пароля.
11:14
Now the reasonпричина we did this
Мы сделали это потому,
11:15
is that humansлюди are not very good
что люди не очень хорошо умеют
11:16
at pickingсобирание randomслучайный wordsслова.
подбирать слова случайно.
11:18
If we askedспросил a humanчеловек to do it,
Если бы мы попросили людей,
11:19
they would pickвыбирать things that were not very randomслучайный.
они бы подобрали слова,
не являющиеся случайными.
11:21
So we triedпытался a fewмало differentдругой conditionsусловия.
Мы протестировали
несколько разных условий.
11:24
In one conditionсостояние, the computerкомпьютер pickedвыбрал
В одном случае
компьютер выбирал слова
11:26
from a dictionaryСловарь of the very commonобщий wordsслова
из обычного словаря
11:28
in the Englishанглийский languageязык,
английского языка.
11:30
and so you'dвы бы get passпроходить phrasesфразы like
Получались фразы вроде
11:31
"try there threeтри come."
«попытка там три приходить».
11:33
And we lookedсмотрел at that, and we said,
Мы подумали и сказали:
11:35
"Well, that doesn't really seemказаться very memorableпамятный."
«Нет, это трудно запомнить».
11:37
So then we triedпытался pickingсобирание wordsслова
Тогда мы попытались подбирать слова,
11:40
that cameпришел from specificконкретный partsчасти of speechречь,
являющиеся
определёнными частями речи, —
11:42
so how about noun-verb-adjective-nounсуществительное-глагол-прилагательное-существительное.
существительное — глагол —
прилагательное — существительное.
11:44
That comesвыходит up with something
that's sortСортировать of sentence-likeПриговор, как.
Это уже даёт нам что-то похожее
на предложение.
11:47
So you can get a passпроходить phraseфраза like
Можно получить фразу
11:49
"planплан buildsстроит sure powerмощность"
«план строить твёрдую власть»
11:51
or "endконец determinesопределяет redкрасный drugлекарственное средство."
или «конец определяет
красное лекарство».
11:53
And these seemedказалось a little bitнемного more memorableпамятный,
Это оказалось легче запомнить,
11:55
and maybe people would like those a little bitнемного better.
и, возможно, людям бы это
понравилось больше.
11:58
We wanted to compareсравнить them with passwordsпароли,
Мы хотели сравнить фразы-пароли
со словами
12:01
and so we had the computerкомпьютер
pickвыбирать randomслучайный passwordsпароли,
и заставили компьютер
сгенерировать случайные слова,
12:03
and these were niceхороший and shortкороткая, but as you can see,
которые были короткими,
но, как видите,
12:07
they don't really look very memorableпамятный.
не очень запоминающимися.
12:09
And then we decidedприняли решение to try something calledназывается
Тогда мы решили испытать то,
12:11
a pronounceableудобопроизносимый passwordпароль.
что называется
«произносимый пароль».
12:13
So here the computerкомпьютер picksкирки randomслучайный syllablesслоги
Компьютер подбирает случайные слоги,
12:14
and putsпуты them togetherвместе
складывает их вместе,
12:17
so you have something sortСортировать of pronounceableудобопроизносимый,
и вы получаете нечто произносимое,
12:18
like "tufritvitufritvi" and "vadasabivadasabi."
например, «туфритви» или «вадасаби».
12:20
That one kindсвоего рода of rollsроллы off your tongueязык.
Этот вообще приятно произносить.
12:23
So these were randomслучайный passwordsпароли that were
Это случайные пароли,
12:25
generatedгенерироваться by our computerкомпьютер.
сгенерированные нашим компьютером.
12:27
So what we foundнайденный in this studyизучение was that, surprisinglyкак ни странно,
Исследование показало,
как ни удивительно,
12:30
passпроходить phrasesфразы were not actuallyна самом деле all that good.
что пароли-фразы не так уж и хороши.
12:33
People were not really better at rememberingвспоминание
Люди на самом деле
не запоминали их лучше,
12:37
the passпроходить phrasesфразы than these randomслучайный passwordsпароли,
чем случайные пароли,
12:40
and because the passпроходить phrasesфразы are longerдольше,
а из-за того, что они длиннее,
12:43
they tookвзял longerдольше to typeтип
их приходилось дольше вводить,
12:45
and people madeсделал more errorsошибки while typingтипирование them in.
и люди при этом
совершали больше ошибок.
12:47
So it's not really a clearЧисто winвыиграть for passпроходить phrasesфразы.
То есть пароли-фразы не смогли одержать
явную победу.
12:50
Sorry, all of you xkcdXKCD fansпоклонники.
Простите меня, фанаты «xkcd».
12:53
On the other handрука, we did find
С другой стороны, мы убедились,
12:56
that pronounceableудобопроизносимый passwordsпароли
что произносимые пароли
12:58
workedработал surprisinglyкак ни странно well,
работают на удивление хорошо,
13:00
and so we actuallyна самом деле are doing some more researchисследование
и теперь мы проводим
больше исследований,
13:01
to see if we can make that
approachподход work even better.
чтобы узнать, можно ли этот подход
сделать ещё эффективнее.
13:04
So one of the problemsпроблемы
Одна из трудностей,
13:07
with some of the studiesисследования that we'veмы в doneсделанный
возникших в этих исследованиях, —
13:09
is that because they're all doneсделанный
то, что они все проводились
13:10
usingс помощью Mechanicalмеханический Turkтурчанка,
с использованием сервиса
Mechanical Turk,
13:12
these are not people'sнародный realреальный passwordsпароли.
это не были настоящие пароли.
13:14
They're the passwordsпароли that they createdсозданный
Эти пароли создавались людьми
13:15
or the computerкомпьютер createdсозданный for them for our studyизучение.
или компьютером
в исследовательских целях.
13:18
And we wanted to know whetherбудь то people
Мы же хотели узнать, будут ли люди
13:20
would actuallyна самом деле behaveвести себя the sameодна и та же way
вести себя таким же образом,
13:22
with theirих realреальный passwordsпароли.
придумывая настоящие пароли.
13:24
So we talkedговорили to the informationИнформация
securityбезопасность officeофис at CarnegieКарнеги MellonMellon
Мы поговорили с отделом информационной
безопасности Карнеги-Меллон
13:26
and askedспросил them if we could
have everybody'sвсе это realреальный passwordsпароли.
и спросили, можем ли мы получить
настоящие пароли пользователей.
13:30
Not surprisinglyкак ни странно, they were a little bitнемного reluctantнеохотный
Как и следовало ожидать,
им не хотелось
13:34
to shareдоля them with us,
ничего нам раскрывать,
13:35
but we were actuallyна самом деле ableв состоянии to work out
однако мы вместе смогли
13:37
a systemсистема with them
придумать выход:
13:39
where they put all of the realреальный passwordsпароли
они собрали все настоящие пароли
13:40
for 25,000 CMUКМУ studentsстуденты, facultyфакультет and staffсотрудники,
25 000 студентов,
преподавателей и персонала
13:42
into a lockedзапертый computerкомпьютер in a lockedзапертый roomкомната,
на защищённом компьютере
в запертой комнате
13:45
not connectedсвязанный to the Internetинтернет,
без подключения к Интернету.
13:47
and they ranпобежал codeкод on it that we wroteписал
Была запущена
написанная нами программа
13:49
to analyzeанализировать these passwordsпароли.
анализа паролей.
13:51
They auditedаудит our codeкод.
Они сами проверили
13:53
They ranпобежал the codeкод.
и запустили нашу программу.
13:54
And so we never actuallyна самом деле saw
Так что мы даже не видели
13:55
anybody'sкто это passwordпароль.
ни одного пароля своими глазами.
13:57
We got some interestingинтересно resultsРезультаты,
Мы получили интересные результаты.
14:00
and those of you TepperТеппер studentsстуденты in the back
Студентам Бизнес-школы Теппера
на заднем ряду
14:02
will be very interestedзаинтересованный in this.
будет очень интересно.
14:03
So we foundнайденный that the passwordsпароли createdсозданный
Обнаружилось, что пароли, созданные
14:06
by people affiliatedаффилированная with the
schoolшкола of computerкомпьютер scienceнаука
людьми из Школы информатики,
14:10
were actuallyна самом деле 1.8 timesраз strongerсильнее
были в 1,8 раза надёжнее,
14:12
than those affiliatedаффилированная with the businessбизнес schoolшкола.
чем пароли тех,
кто связан с Бизнес-школой.
14:14
We have lots of other really interestingинтересно
Мы получили и много другой
14:18
demographicдемографический informationИнформация as well.
демографической информации.
14:20
The other interestingинтересно thing that we foundнайденный
Интересно также,
14:22
is that when we comparedв сравнении
the CarnegieКарнеги MellonMellon passwordsпароли
что, сравнив пароли Карнеги-Меллон
14:24
to the Mechanicalмеханический Turk-generatedТурок-порожденный passwordsпароли,
с паролями,
сгенерированными Mechanical Turk,
14:27
there was actuallyна самом деле a lot of similaritiesсходство,
мы нашли много похожего,
14:29
and so this helpedпомог validateутверждать our researchисследование methodметод
убедились в правильности нашего метода
14:31
and showпоказать that actuallyна самом деле, collectingсбор passwordsпароли
и показали, что сбор паролей
14:33
usingс помощью these Mechanicalмеханический Turkтурчанка studiesисследования
с помощью Mechanical Turk —
14:36
is actuallyна самом деле a validдействительный way to studyизучение passwordsпароли.
вполне достоверный способ
их изучать.
14:38
So that was good newsНовости.
Это хорошие новости.
14:41
Okay, I want to closeЗакрыть by talkingговорящий about
Я хочу завершить рассказом
14:43
some insightsпонимание I gainedполучили while on sabbaticalсубботний
о своих наблюдениях
во время творческого отпуска
14:45
last yearгод in the CarnegieКарнеги MellonMellon artИзобразительное искусство schoolшкола.
в Школе искусств Карнеги-Меллон
в прошлом году.
14:47
One of the things that I did
Помимо всего прочего,
14:51
is I madeсделал a numberномер of quiltsодеял,
я сшила несколько лоскутных одеял,
14:52
and I madeсделал this quiltстегать here.
таких как вот этот.
14:53
It's calledназывается "SecurityБезопасность BlanketОдеяло."
Он называется «Одеяло безопасности».
14:55
(LaughterСмех)
(Смех)
14:57
And this quiltстегать has the 1,000
На этом одеяле
14:59
mostбольшинство frequentчастый passwordsпароли stolenпохищенный
1 000 самых распространённых паролей,
украденных
15:02
from the RockYouRockYou websiteВеб-сайт.
с сайта RockYou.
15:05
And the sizeразмер of the passwordsпароли is proportionalпропорциональный
Размер паролей
прямо пропорционален тому,
15:07
to how frequentlyчасто they appearedпоявился
насколько часто они появляются
15:09
in the stolenпохищенный datasetНабор данных.
в украденных базах данных.
15:11
And what I did is I createdсозданный this wordслово cloudоблако,
Я создала словарное облако,
15:13
and I wentотправился throughчерез all 1,000 wordsслова,
разобрала все 1 000 слов
15:16
and I categorizedклассифицировать them into
и распределила их
15:18
looseсвободный thematicтематическая categoriesкатегории.
по достаточно свободным категориям.
15:20
And it was, in some casesслучаи,
В некоторых случаях
15:22
it was kindсвоего рода of difficultсложно to figureфигура out
было сложно определить,
15:24
what categoryкатегория they should be in,
к какой категории
принадлежит то или иное слово.
15:26
and then I color-codedцветные them.
Каждой категории я задала свой цвет.
15:28
So here are some examplesПримеры of the difficultyтрудность.
Вот пара примеров сложностей.
15:30
So "justinджастин."
Слово «джастин».
15:33
Is that the nameимя of the userпользователь,
Что это? Имя пользователя,
15:34
theirих boyfriendдружок, theirих sonсын?
или любимого человека, или сына?
15:36
Maybe they're a JustinДжастин BieberBieber fanпоклонник.
Может, это поклонник Джастина Бибера?
15:37
Or "princessпринцесса."
Или «принцесса».
15:40
Is that a nicknameпрозвище?
Это прозвище?
15:42
Are they DisneyДисней princessпринцесса fansпоклонники?
Придумано фанатом
диснеевских принцесс?
15:44
Or maybe that's the nameимя of theirих catКот.
Или это кошачье имя?
15:45
"IloveyouЯ люблю тебя" appearsпоявляется manyмногие timesраз
«Ятебялюблю»
неоднократно появляется
15:49
in manyмногие differentдругой languagesязыки.
на многих языках.
15:51
There's a lot of love in these passwordsпароли.
Эти пароли дышат любовью.
15:52
If you look carefullyвнимательно, you'llВы будете see there's alsoтакже
Если присмотреться, можно найти
15:56
some profanityпрофанация,
и сквернословия.
15:58
but it was really interestingинтересно to me to see
Но интересно было то, что я увидела
16:00
that there's a lot more love than hateненавидеть
гораздо больше любви, чем ненависти
16:02
in these passwordsпароли.
в этих паролях.
16:04
And there are animalsживотные,
Здесь есть и животные —
16:06
a lot of animalsживотные,
много животных —
16:08
and "monkeyобезьяна" is the mostбольшинство commonобщий animalживотное
и «обезьянка» —
самое распространённое из них
16:09
and the 14thго mostбольшинство popularпопулярный passwordпароль overallв общем и целом.
и 14-е в списке
самых популярных паролей.
16:12
And this was really curiousлюбопытный to me,
Мне стало очень любопытно,
16:15
and I wonderedзадавались вопросом, "Why are monkeysобезьяны so popularпопулярный?"
я подумала:
«Почему обезьянки так популярны?»
16:17
And so in our last passwordпароль studyизучение,
В нашем последнем исследовании
16:20
any time we detectedобнаруженный somebodyкто-то
каждый раз, когда мы видели,
16:23
creatingсоздание a passwordпароль with the wordслово "monkeyобезьяна" in it,
что кто-то создавал пароль
со словом «обезьянка»,
16:25
we askedспросил them why they had
a monkeyобезьяна in theirих passwordпароль.
мы спрашивали, почему.
16:28
And what we foundнайденный out --
Мы обнаружили —
16:31
we foundнайденный 17 people so farдалеко, I think,
а всего мы нашли 17 человек,
16:33
who have the wordслово "monkeyобезьяна" --
использовавших это слово, —
16:35
We foundнайденный out about a thirdв третьих of them said
около трети опрошенных сказали,
16:36
they have a petдомашнее животное namedназванный "monkeyобезьяна"
что их домашнего любимца
зовут Обезьянка
16:38
or a friendдруг whoseчья nicknameпрозвище is "monkeyобезьяна,"
или у них есть друг с таким прозвищем.
16:39
and about a thirdв третьих of them said
Ещё треть людей сказали,
16:42
that they just like monkeysобезьяны
что им просто нравятся обезьянки,
16:43
and monkeysобезьяны are really cuteмилый.
они ведь действительно милые.
16:45
And that guy is really cuteмилый.
Посмотрите, какой он хорошенький.
16:47
So it seemsкажется that at the endконец of the day,
Кажется, в конечном итоге,
16:50
when we make passwordsпароли,
когда мы придумываем пароль,
16:54
we eitherили make something that's really easyлегко
мы либо создаём что-то очень простое
16:55
to typeтип, a commonобщий patternшаблон,
для введения,
какую-то общую закономерность,
16:57
or things that remindнапоминать us of the wordслово passwordпароль
или что-то, что напоминает нам
само слово «пароль»,
17:00
or the accountСчет that we'veмы в createdсозданный the passwordпароль for,
или саму учётную запись,
для которой мы его создаём,
17:03
or whateverбез разницы.
или «всёравно».
17:06
Or we think about things that make us happyсчастливый,
Либо же мы думаем о том,
что приносит нам счастье.
17:09
and we createСоздайте our passwordпароль
Мы создаём пароль,
17:11
basedисходя из on things that make us happyсчастливый.
исходя из того,
что делает нас счастливыми.
17:13
And while this makesмарки typingтипирование
И хотя это делает введение
17:15
and rememberingвспоминание your passwordпароль more funвесело,
и запоминание пароля
более занимательным,
17:18
it alsoтакже makesмарки it a lot easierПолегче
это также делает его
17:21
to guessУгадай your passwordпароль.
более уязвимым.
17:23
So I know a lot of these TEDТЕД Talksпереговоры
Многие выступления на TED
17:24
are inspirationalвдохновляющие
вдохновляют
17:26
and they make you think about niceхороший, happyсчастливый things,
и навевают мысли о прекрасных,
замечательных вещах.
17:27
but when you're creatingсоздание your passwordпароль,
Но когда вы придумываете пароль,
17:30
try to think about something elseеще.
лучше подумайте о чём-нибудь другом.
17:32
Thank you.
Спасибо.
17:34
(ApplauseАплодисменты)
(Аплодисменты)
17:35
Translated by Anna Kotova
Reviewed by Olga Dmitrochenkova

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com