English-Video.net comment policy

The comment field is common to all languages

Let's write in your language and use "Google Translate" together

Please refer to informative community guidelines on TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Čo je zlé na vašom he$1e?

Filmed:
1,520,582 views

Lorrie Faith Cranor preskúmala tisíce skutočných hesiel, aby zistila, aké prekvapujúce a časté chyby robia používatelia aj zabezpečené stránky a môžu tak ohroziť svoju bezpečnosť. Ako skúmala tieto heslá bez toho, aby ohrozila bezpečnosť používateľov? To je príbeh sám osebe. Je to niečo, čo by ste mali vedieť, hlavne ak je vaše heslo 123456...

- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Na Univerzite Carnegie Mellon (CMU)
vyučujem informatiku
00:12
I am a computerpočítačový scienceveda and engineeringstrojárstvo
professorprofesor here at CarnegieCarnegie MellonMellon,
a skúmam hlavne použiteľnosť
ochrany súkromia a bezpečnosti.
00:15
and my researchvýskum focuseszameriava on
usablepoužiteľné privacyOchrana osobných údajov and securityzabezpečenia,
Známi mi preto hovoria o prípadoch,
keď im počítače idú na nervy,
00:20
and so my friendspriatelia like to give me examplespríklady
00:22
of theirich frustrationsfrustrácia with computingvýpočtovej systemssystémy,
00:25
especiallyobzvlášť frustrationsfrustrácia relatedpríbuzný to
hlavne, ak sa ich znechutenie týka
nepoužiteľnej ochrany súkromia
a bezpečnosti.
00:28
unusablenepoužiteľný privacyOchrana osobných údajov and securityzabezpečenia.
00:32
So passwordsheslá are something that I hearpočuť a lot about.
Veľa toho počujem práve o heslách.
00:35
A lot of people are frustratedfrustrovaný with passwordsheslá,
Mnohých ľudí heslá otravujú.
00:38
and it's badzlý enoughdosť
Nie je to jednoduché,
keď máte mať 1 skutočne dobré heslo,
00:39
when you have to have one really good passwordheslo
00:42
that you can rememberpamätať
ktoré si vy zapamätáte,
ale nikto iný ho nedokáže uhádnuť.
00:44
but nobodynikto elseinak is going to be ableschopný to guesshádať.
Čo však máte robiť,
keď máte stovky rôznych účtov
00:47
But what do you do when you have accountsúčty
00:48
on a hundredsto differentrozdielny systemssystémy
a pre každý z nich máte mať
skutočne jedinečné heslo?
00:50
and you're supposedpredpokladaný to have a uniquejedinečný passwordheslo
00:53
for eachkaždý of these systemssystémy?
To je už ťažšie.
00:56
It's toughhúževnatý.
V minulosti sa heslo na CMU
dalo zapamätať celkom ľahko.
00:58
At CarnegieCarnegie MellonMellon, they used to make it
01:00
actuallyvlastne prettypekný easyjednoduchý for us
01:01
to rememberpamätať our passwordsheslá.
01:03
The passwordheslo requirementpožiadavka up throughskrz 2009
Až do konca roku 2009 existovala
len jedna požiadavka na heslo.
01:05
was just that you had to have a passwordheslo
Muselo mať aspoň 1 znak.
01:07
with at leastnajmenej one characterznak.
To bolo ľahké.
Potom sa veci zmenili.
01:10
Prettykrásna easyjednoduchý. But then they changedzmenený things,
01:12
and at the endkoniec of 2009, they announcedoznámila,
Koncom toho roku nám oznámili,
že začína platiť nové nariadenie,
01:15
that we were going to have a newNový policypolitika,
podľa ktorého bude heslo
musieť mať dĺžku aspoň 8 znakov,
01:17
and this newNový policypolitika requiredpožadovaný
01:19
passwordsheslá that were at leastnajmenej eightosem charactersznaky long,
veľké a malé písmená,
číslicu a symbol.
01:22
with an uppercaseveľké písmená letterpísmeno, lowercasemalé písmená letterpísmeno,
01:24
a digitčíslica, a symbolsymbol,
Znak sa nesmel opakovať viac ako trikrát
a slovo nesmelo byť v slovníku.
01:25
you couldn'tnemohol use the samerovnaký
characterznak more than threetri timesdoba,
01:28
and it wasn'tnebol allowedpovolený to be in a dictionaryslovník.
Keď s tým prvýkrát prišli,
01:30
Now, when they implementedimplementovaná this newNový policypolitika,
veľa ľudí, kolegov a priateľov,
za mnou prišlo so slovami:
01:32
a lot of people, my colleaguesspolupracovníci and friendspriatelia,
01:35
cameprišiel up to me and they said, "WowWow,
„To je nepoužiteľné.
01:36
now that's really unusablenepoužiteľný.
Prečo nám to robia
a prečo si ich nezastavila?“
01:38
Why are they doing this to us,
01:39
and why didn't you stop them?"
01:41
And I said, "Well, you know what?
Odpovedala som, že mňa sa neopýtali.
01:42
They didn't askopýtať sa me."
Zo zvedavosti som sa však rozhodla,
že sa pôjdem zodpovedných opýtať,
01:44
But I got curiouszvedavý, and I decidedrozhodol to go talk
01:47
to the people in chargeúčtovať of our computerpočítačový systemssystémy
01:49
and find out what led them to introducepredstaviť
prečo to zaviedli.
01:52
this newNový policypolitika,
Odpovedali, že univerzita
sa stala členom konzorcia univerzít
01:54
and they said that the universityuniverzitnú
01:55
had joinedpripojila a consortiumkonzorcium of universitiesuniverzít,
01:58
and one of the requirementspožiadavky of membershipčlenstvo
a jedna z podmienok členstva bola,
02:00
was that we had to have strongersilnejší passwordsheslá
že musíme mať silnejšie heslá,
ktoré budú spĺňať nové požiadavky.
02:03
that compliedsplnené with some newNový requirementspožiadavky,
02:05
and these requirementspožiadavky were that our passwordsheslá
Jednou z požiadaviek bola
vysoká entropia hesiel.
02:07
had to have a lot of entropyentropia.
02:09
Now entropyentropia is a complicatedkomplikovaný termtermín,
Entropia síce znie zložito,
ale v podstate meria silu hesla.
02:11
but basicallyv podstate it measuresOpatrenia the strengthpevnosť of passwordsheslá.
02:14
But the thing is, there isn't actuallyvlastne
Problémom je, že neexistuje
štandard pre meranie entropie.
02:16
a standardstandard measurezmerať of entropyentropia.
Národný inštitút štandardov
a technológií má určité pokyny,
02:18
Now, the NationalNárodné InstituteInštitút
of StandardsNormy and TechnologyTechnológia
02:20
has a setsada of guidelinespokyny
02:22
whichktorý have some rulespravidlá of thumbpalec
ktoré obsahujú všeobecné odporúčania
na meranie entropie,
02:24
for measuringmeracie entropyentropia,
02:26
but they don't have anything too specificšpecifický,
ale nemá žiadne presné pravidlá.
Môžu ponúknuť len odporúčania,
02:29
and the reasondôvod they only have rulespravidlá of thumbpalec
02:31
is it turnszákruty out they don't actuallyvlastne have any good datadáta
pretože nemajú skutočne
hodnotné údaje o heslách.
02:34
on passwordsheslá.
02:36
In factskutočnosť, theirich reportspráva statesstavy,
V ich správe je uvedené:
02:38
"UnfortunatelyBohužiaľ, we do not have much datadáta
„Nemáme veľa údajov o heslách
vytvorených používateľmi
podľa určitých pravidiel.
02:40
on the passwordsheslá usersužívatelia
choosezvoliť underpod particularkonkrétny rulespravidlá.
02:43
NISTNIST would like to obtainobdržať more datadáta
Radi by sme získali viac údajov
o skutočných heslách používateľov,
02:45
on the passwordsheslá usersužívatelia actuallyvlastne choosezvoliť,
ale je pochopiteľné, že administrátori
nie sú ochotní takéto údaje prezradiť.“
02:48
but systemsystém administratorsadministrátori
are understandablyPochopiteľne reluctantneochotný
02:50
to revealodhaliť passwordheslo datadáta to othersostatné."
02:53
So this is a problemproblém, but our researchvýskum groupskupina
Je to problém, ktorý sme sa rozhodli
vnímať ako príležitosť.
02:56
lookedpozrel at it as an opportunitypríležitosť.
Povedali sme si:
02:58
We said, "Well, there's a need
for good passwordheslo datadáta.
„Ak sú potrebné hodnotné údaje,
možno by sme ich mohli získať
03:02
Maybe we can collectzbierať some good passwordheslo datadáta
03:04
and actuallyvlastne advancezáloha the statestáť of the artumenie here.
a prispieť k pokroku v tejto oblasti.“
03:06
So the first thing we did is,
Ako prvé sme zobrali za tašku tyčiniek
03:08
we got a bagsáčok of candycukrík barstyče
03:10
and we walkedpristúpil around campuscampus
a v areáli univerzity sme si
od študentov a zamestnancov
03:11
and talkedhovorili to studentsštudentov, facultyfakulta and staffzamestnanci,
03:14
and askedspýtal them for informationinformácie
pýtali informácie o ich heslách.
03:15
about theirich passwordsheslá.
03:17
Now we didn't say, "Give us your passwordheslo."
Nechceli sme od nich konkrétne heslá.
Chceli sme len všeobecné informácie.
03:20
No, we just askedspýtal them about theirich passwordheslo.
Aké sú dlhé? Majú číslicu alebo symbol?
03:22
How long is it? Does it have a digitčíslica?
03:24
Does it have a symbolsymbol?
03:25
And were you annoyedotrávený at havingmajúce to createvytvoriť
Nahnevalo vás,
že ste si museli vytvoriť nové?
03:27
a newNový one last weektýždeň?
Získali sme údaje
od 470 študentov a zamestnancov
03:30
So we got resultsvýsledok from 470 studentsštudentov,
03:33
facultyfakulta and staffzamestnanci,
a potvrdilo sa nám,
že nové nariadenie išlo ľuďom na nervy,
03:34
and indeednaozaj we confirmedpotvrdená that the newNový policypolitika
03:36
was very annoyingnepríjemný,
ale zistili sme aj to,
03:38
but we alsotaktiež foundnájdených that people said
že vďaka nových heslám
sa cítili bezpečnejšie.
03:40
they feltplsť more securezabezpečenie with these newNový passwordsheslá.
Zistili sme, že väčšina ľudí vedela,
že si nemajú heslá zapisovať
03:43
We foundnájdených that mostväčšina people knewvedel
03:45
they were not supposedpredpokladaný to
writezapísať theirich passwordheslo down,
a len 13 % si ich zapisovalo.
03:47
and only 13 percentpercento of them did,
Znepokojujúce však bolo, že 80 % ľudí
používalo to isté heslo viackrát,
03:50
but disturbinglyznepokojujúco, 80 percentpercento of people
03:52
said they were reusingznovupoužitie theirich passwordheslo.
03:54
Now, this is actuallyvlastne more dangerousnebezpečný
čo je ešte nebezpečnejšie
ako si ho niekde zapísať,
03:56
than writingpísanie your passwordheslo down,
03:58
because it makesznačky you much
more susceptiblevnímavý to attackersútočníci.
pretože tak ste náchylnejší
podľahnúť útokom.
04:01
So if you have to, writezapísať your passwordsheslá down,
Ak musíte, heslo si radšej zapíšte,
ale nepoužívajte ho viackrát.
04:05
but don't reuseopätovné them.
Zistili sme aj zaujímavé veci
o symboloch, ktoré ľudia používajú.
04:06
We alsotaktiež foundnájdených some interestingzaujímavý things
04:08
about the symbolssymboly people use in passwordsheslá.
CMU dáva na výber z 32 symbolov,
04:11
So CMUÚNIA KAPITÁLOVÝCH TRHOV allowsumožňuje 32 possiblemožný symbolssymboly,
04:14
but as you can see, there's only a smallmalý numberčíslo
ale ako vidíte, väčšina ľudí
používa len niektoré z nich,
04:16
that mostväčšina people are usingpoužitím,
04:18
so we're not actuallyvlastne gettingzískavanie very much strengthpevnosť
takže to, že je v hesle symbol,
neznamená, že heslo je silnejšie.
04:21
from the symbolssymboly in our passwordsheslá.
Bola to skutočne zaujímavá štúdia
a získali sme údaje od 470 ľudí,
04:23
So this was a really interestingzaujímavý studyštudovať,
04:26
and now we had datadáta from 470 people,
04:29
but in the schemesystém of things,
čo však vo všeobecnosti
nie je až také veľké množstvo.
04:30
that's really not very much passwordheslo datadáta,
04:33
and so we lookedpozrel around to see
Hľadali sme spôsob,
ako získať ďalšie údaje o heslách.
04:34
where could we find additionalĎalšie passwordheslo datadáta?
04:37
So it turnszákruty out there are a lot of people
Ukázalo sa, že existuje veľa ľudí,
ktorí kradnú heslá iných ľudí
04:39
going around stealingkradnúť passwordsheslá,
04:41
and they oftenčasto go and postpošta these passwordsheslá
a často ich aj zverejnia na internete.
04:43
on the InternetInternet.
Získali sme prístup
04:45
So we were ableschopný to get accessprístup
k niekoľkým súborom s ukradnutými heslami.
04:46
to some of these stolenukradnutý passwordheslo setssúpravy.
Neboli však pre náš výskum ideálne,
pretože ich pôvod nebol úplne jasný
04:50
This is still not really idealideálne for researchvýskum, thoughhoci,
04:53
because it's not entirelyúplne clearjasný
04:55
where all of these passwordsheslá cameprišiel from,
a nepoznali sme ani nariadenia,
podľa ktorých ich ľudia vytvorili.
04:57
or exactlypresne what policiespostupy were in effectúčinok
04:59
when people createdvytvoril these passwordsheslá.
05:01
So we wanted to find some better sourcezdroj of datadáta.
Chceli sme teda nájsť lepší zdroj údajov.
Rozhodli sme sa pre štúdiu,
05:05
So we decidedrozhodol that one thing we could do
05:06
is we could do a studyštudovať and have people
počas ktorej by ľudia pre nás
heslá skutočne vytvárali.
05:09
actuallyvlastne createvytvoriť passwordsheslá for our studyštudovať.
Využili sme internetový trh Amazon MTurk,
05:12
So we used a serviceslužba calledvolal
AmazonAmazon MechanicalMechanické TurkTurek,
kde môžete online zverejniť
jednoduchú úlohu,
05:15
and this is a serviceslužba where you can postpošta
05:17
a smallmalý jobzamestnania onlineon-line that takes a minuteminúta,
ktorá bude trvať minútu,
pár minút, či hodinu
05:19
a fewmálo minutesminúty, an hourhodina,
05:21
and payplatiť people, a pennypenny, tendesať centscentov, a fewmálo dollarsdolárov,
a ľuďom za jej vykonanie zaplatíte
cent, 10 centov, či pár dolárov
05:23
to do a taskúloha for you,
05:25
and then you payplatiť them throughskrz AmazonAmazon.comcom.
prostredníctvom Amazonu.
Zaplatili sme ľuďom 50 centov,
05:27
So we paidzaplatil people about 50 centscentov
05:29
to createvytvoriť a passwordheslo followingnasledujúce our rulespravidlá
aby podľa našich pravidiel
vytvorili heslá a vyplnili dotazník
05:32
and answeringzáznamník a surveyprehľad,
05:33
and then we paidzaplatil them again to come back
a potom ešte raz,
aby sa o 2 dni neskôr tým heslom
prihlásili a vyplnili ďalší dotazník.
05:36
two daysdni laterneskôr and logzáznam in
05:38
usingpoužitím theirich passwordheslo and answeringzáznamník anotherďalší surveyprehľad.
05:40
So we did this, and we collectedpokojný 5,000 passwordsheslá,
Týmto spôsobom sme získali 5000 hesiel,
pričom sme ľuďom dali rôzne pravidlá,
ako vytvoriť heslá.
05:45
and we gavedal people a bunchchumáč of differentrozdielny policiespostupy
05:47
to createvytvoriť passwordsheslá with.
Niektorí to mali celkom ľahké,
05:49
So some people had a prettypekný easyjednoduchý policypolitika,
05:51
we call it BasicZákladné8,
napríklad pri Basic 8
bola jediná požiadavka,
05:52
and here the only rulepravidlo was that your passwordheslo
že heslo muselo mať aspoň 8 znakov.
05:55
had to have at leastnajmenej eightosem charactersznaky.
Iní to mali oveľa ťažšie
a museli dodržať pravidlá ako na CMU,
05:58
Then some people had a much harderťažšie policypolitika,
06:00
and this was very similarpodobný to the CMUÚNIA KAPITÁLOVÝCH TRHOV policypolitika,
teda heslo muselo mať 8 znakov,
06:03
that it had to have eightosem charactersznaky
vrátane malých a veľkých písmen,
číslice, symbolu
06:05
includingpočítajúc do toho uppercaseveľké písmená, lowercasemalé písmená, digitčíslica, symbolsymbol,
06:07
and passmíňať a dictionaryslovník checkskontrolovať.
a nesmelo byť v slovníku.
Jedno z pravidiel, ktoré sme skúsili,
sa volalo Basic16
06:09
And one of the other policiespostupy we triedskúšal,
06:11
and there were a wholecelý bunchchumáč more,
06:12
but one of the onesones we triedskúšal was calledvolal BasicZákladné16,
a tu bola jediná podmienka,
že heslo muselo mať aspoň 16 znakov.
06:14
and the only requirementpožiadavka here
06:17
was that your passwordheslo had
to have at leastnajmenej 16 charactersznaky.
Takže takto sme získali 5000 hesiel
a detailné informácie o ich vzniku.
06:20
All right, so now we had 5,000 passwordsheslá,
06:23
and so we had much more detailedpodrobné informationinformácie.
Potvrdilo sa nám,
06:26
Again we see that there's only a smallmalý numberčíslo
že ľudia väčšinou v heslách
používajú len určité symboly.
06:29
of symbolssymboly that people are actuallyvlastne usingpoužitím
06:31
in theirich passwordsheslá.
Chceli sme vedieť aj to,
aké silné heslá si ľudia vytvorili,
06:33
We alsotaktiež wanted to get an ideanápad of how strongsilný
06:35
the passwordsheslá were that people were creatingvytváranie,
06:38
but as you maysmieť recallodvolanie, there isn't a good measurezmerať
ale neexistuje skutočne dobrý spôsob,
ako merať silu hesla.
06:40
of passwordheslo strengthpevnosť.
06:42
So what we decidedrozhodol to do was to see
Rozhodli sme sa zistiť,
ako dlho by trvalo prelomiť tieto heslá
06:45
how long it would take to crackcrack these passwordsheslá
06:47
usingpoužitím the bestnajlepší crackingpraskanie toolsnáradie
pomocou nástrojov, ktoré používajú hekeri,
06:48
that the badzlý guys are usingpoužitím,
06:50
or that we could find informationinformácie about
alebo o ktorých sme našli
informácie v literatúre.
06:52
in the researchvýskum literatureliteratúra.
06:54
So to give you an ideanápad of how badzlý guys
Stručne vysvetlím,
ako hekeri prelamujú heslá.
06:56
go about crackingpraskanie passwordsheslá,
Ukradnú súbor s heslami
v šifrovanej podobe, tzv. hash,
06:59
they will stealkradnúť a passwordheslo filesúbor
07:01
that will have all of the passwordsheslá
07:03
in kinddruh of a scrambledmiešaná formformulár, calledvolal a hashhash,
tipnú si heslo, ktoré by tam mohlo byť,
použijú naň hašovaciu funkciu
07:06
and so what they'lloni budú do is they'lloni budú make a guesshádať
07:08
as to what a passwordheslo is,
07:10
runbeh it throughskrz a hashinghash functionfunkcie,
a uvidia, či sa výsledok zhoduje
s niektorým šifrovaným heslom v súbore.
07:12
and see whetherči it matcheszápasy
07:14
the passwordsheslá they have on
theirich stolenukradnutý passwordheslo listzoznam.
Tí hlúpejší skúsia všetky heslá zaradom.
07:18
So a dumbnemý attackerútočník will try everykaždý passwordheslo in orderobjednať.
07:21
They'llOni si startštart with AAAAAAAAAA and movesťahovať on to AAAABAAAAB,
Začnú s AAAAA, potom skúsia AAAAB
a bude im asi trvať dosť dlho,
07:24
and this is going to take a really long time
kým nájdu heslo,
ktoré ľudia skutočne používajú.
07:27
before they get any passwordsheslá
07:28
that people are really likelypravdepodobný to actuallyvlastne have.
07:31
A smartšikovný attackerútočník, on the other handručné,
Tí múdrejší na to však pôjdu inak.
07:33
does something much more cleveršikovný.
07:34
They look at the passwordsheslá
Najprv skúsia uhádnuť populárne heslá,
ktoré by sa v súbore mohli nachádzať.
07:36
that are knownznámy to be popularpopulárne
07:38
from these stolenukradnutý passwordheslo setssúpravy,
07:40
and they guesshádať those first.
Začnú teda slovom „heslo“,
07:41
So they're going to startštart by guessinghádať "passwordheslo,"
07:43
and then they'lloni budú guesshádať "I love you," and "monkeyopice,"
potom skúsia „milujemta“,
„opicka“ a „12345678“,
07:46
and "12345678,"
pretože práve to sú heslá,
ktoré ľudia asi najviac používajú.
07:48
because these are the passwordsheslá
07:50
that are mostväčšina likelypravdepodobný for people to have.
07:52
In factskutočnosť, some of you probablypravdepodobne have these passwordsheslá.
Možno také heslo má aj niekto z vás.
07:57
So what we foundnájdených
Otestovali sme silu všetkých 5000 hesiel
07:58
by runningbezat all of these 5,000 passwordsheslá we collectedpokojný
08:01
throughskrz these testsskúšky to see how strongsilný they were,
a zistili sme,
že dlhé heslá sú dosť silné,
08:06
we foundnájdených that the long passwordsheslá
08:08
were actuallyvlastne prettypekný strongsilný,
08:10
and the complexkomplexné passwordsheslá were prettypekný strongsilný too.
takisto ako aj heslá zložité.
08:13
HoweverAvšak, when we lookedpozrel at the surveyprehľad datadáta,
Keď sme sa však pozreli
na údaje z dotazníkov,
08:15
we saw that people were really frustratedfrustrovaný
zistili sme, že veľmi zložité heslá
išli ľuďom na nervy
08:18
by the very complexkomplexné passwordsheslá,
a že dlhé boli nielen použiteľnejšie,
08:21
and the long passwordsheslá were a lot more usablepoužiteľné,
08:23
and in some casesprípady, they were actuallyvlastne
ale v niektorých prípadoch
dokonca aj silnejšie.
08:25
even strongersilnejší than the complexkomplexné passwordsheslá.
Z toho vyplýva,
že by asi bolo lepšie ľuďom hovoriť,
08:27
So this suggestsnavrhne that,
08:29
insteadnamiesto of tellingrozprávanie people that they need
08:30
to put all these symbolssymboly and numbersčísla
08:32
and crazybláznivý things into theirich passwordsheslá,
aby namiesto symbolov,
číslic a iných šialeností,
08:35
we mightsila be better off just tellingrozprávanie people
radšej používali dlhé heslá.
08:37
to have long passwordsheslá.
Vyskytol sa však problém.
08:39
Now here'stady the problemproblém, thoughhoci:
Niektorí ľudia mali heslá dlhé,
ale nie veľmi silné.
08:41
Some people had long passwordsheslá
08:43
that actuallyvlastne weren'tneboli very strongsilný.
08:45
You can make long passwordsheslá
Môžete mať dlhé heslo,
08:47
that are still the sortdruh of thing
ale stále to môže byť niečo,
čo útočník ľahko uhádne.
08:49
that an attackerútočník could easilyľahko guesshádať.
08:50
So we need to do more than
just say long passwordsheslá.
Samotná dĺžka teda nestačí.
Potrebujeme nejaké dodatočné požiadavky.
08:54
There has to be some additionalĎalšie requirementspožiadavky,
08:56
and some of our ongoingpokračujúce researchvýskum is looking at
V súčasnosti sa snažíme zistiť,
aké požiadavky by ľuďom pomohli
vytvoriť si silnejšie heslá,
08:59
what additionalĎalšie requirementspožiadavky we should addpridať
09:01
to make for strongersilnejší passwordsheslá
ktoré by si ľahko zapamätali
a ktoré by sa dali ľahko napísať.
09:03
that alsotaktiež are going to be easyjednoduchý for people
09:05
to rememberpamätať and typetyp.
Merač sily hesla tiež môže pomôcť
vytvoriť silnejšie heslo.
09:08
AnotherĎalším approachprístup to gettingzískavanie people to have
09:10
strongersilnejší passwordsheslá is to use a passwordheslo metermeter.
09:12
Here are some examplespríklady.
Tu sú niektoré internetové,
s ktorými ste sa mohli stretnúť.
09:14
You maysmieť have seenvidieť these on the InternetInternet
09:15
when you were creatingvytváranie passwordsheslá.
09:18
We decidedrozhodol to do a studyštudovať to find out
Rozhodli sme sa zistiť,
či tieto merače skutočne fungujú.
09:21
whetherči these passwordheslo metersmetre actuallyvlastne work.
Pomáhajú naozaj ľuďom
vytvoriť silnejšie heslá
09:23
Do they actuallyvlastne help people
09:25
have strongersilnejší passwordsheslá,
09:26
and if so, whichktorý onesones are better?
a ak áno, ktoré sú lepšie?
09:28
So we testedtestovaný passwordheslo metersmetre that were
Otestovali sme merače rôznych veľkostí,
tvarov, farieb, s rôznymi popismi
09:31
differentrozdielny sizesveľkosti, shapestvary, colorsfarby,
09:33
differentrozdielny wordsslová nextĎalšie to them,
a dokonca aj s tancujúcim zajačikom.
09:34
and we even testedtestovaný one that was a dancingtanec bunnyzajačik.
09:38
As you typetyp a better passwordheslo,
Čím lepšie heslo napíšete,
tým rýchlejšie tancuje.
09:39
the bunnyzajačik dancestance fasterrýchlejšie and fasterrýchlejšie.
09:42
So this was prettypekný funzábava.
Bolo to celkom zábavné.
Zistili sme, že merače fungujú.
09:44
What we foundnájdených
09:46
was that passwordheslo metersmetre do work.
(smiech)
09:49
(LaughterSmiech)
Väčšina z nich bola skutočne efektívna,
09:51
MostVäčšina of the passwordheslo metersmetre were actuallyvlastne effectiveefektívna,
aj ten tancujúci zajačik.
09:55
and the dancingtanec bunnyzajačik was very effectiveefektívna too,
Tie najefektívnejšie vás prinútia
na hesle čo najviac pracovať,
09:57
but the passwordheslo metersmetre that were the mostväčšina effectiveefektívna
10:00
were the onesones that madevyrobený you work harderťažšie
10:02
before they gavedal you that thumbspalec hore up and said
predtým, ako vám dajú zelenú
a pochvália vás.
10:04
you were doing a good jobzamestnania,
10:06
and in factskutočnosť we foundnájdených that mostväčšina
Zistili sme však,
že väčšina z nich je príliš mierna.
10:07
of the passwordheslo metersmetre on the InternetInternet todaydnes
10:10
are too softmäkký.
Vaše heslo pochvália príliš skoro
10:10
They tell you you're doing a good jobzamestnania too earlyzavčas,
10:13
and if they would just wait a little bittrocha
a keby s kladným hodnotením
počkali o chvíľu dlhšie,
10:15
before givingdávať you that positivepozitívne feedbackspätná väzba,
10:17
you probablypravdepodobne would have better passwordsheslá.
mali by ste pravdepodobne lepšie heslo.
10:20
Now anotherďalší approachprístup to better passwordsheslá, perhapsmožno,
Ďalšou možnosťou, ako zlepšiť heslá,
by mohlo byť použitie prístupových fráz.
10:24
is to use passmíňať phrasesfrázy insteadnamiesto of passwordsheslá.
Tu vidíte internetový komiks xkcd,
10:27
So this was an xkcdxkcd cartoonkarikatúra
from a couplepár of yearsleta agopred,
v ktorom pred niekoľkými rokmi
autor navrhol používanie fráz.
10:30
and the cartoonistkarikaturista suggestsnavrhne
10:32
that we should all use passmíňať phrasesfrázy,
10:34
and if you look at the seconddruhý rowriadok of this cartoonkarikatúra,
V druhom riadku navrhuje frázu
„spravne kon spinka na baterke“,
10:37
you can see the cartoonistkarikaturista is suggestingnavrhovať
10:39
that the passmíňať phrasefrázy "correctkorektné horsekôň batterybatérie staplezošiť"
ktorá by bola nielen silná,
ale aj ľahko zapamätateľná.
10:42
would be a very strongsilný passmíňať phrasefrázy
10:45
and something really easyjednoduchý to rememberpamätať.
Podľa neho ste si ju už aj zapamätali.
10:47
He sayshovorí, in factskutočnosť, you've already rememberedpamätal it.
Rozhodli sme sa, že zistíme,
či má pravdu, alebo nie.
10:50
And so we decidedrozhodol to do a researchvýskum studyštudovať
10:52
to find out whetherči this was truepravdivý or not.
Vlastne každý, komu poviem,
že skúmam heslá,
10:54
In factskutočnosť, everybodyvšetci who I talk to,
10:56
who I mentionspomenúť I'm doing passwordheslo researchvýskum,
10:58
they pointbod out this cartoonkarikatúra.
sa ma opýta,
či poznám xkcd komiks s tou frázou.
10:59
"Oh, have you seenvidieť it? That xkcdxkcd.
11:01
CorrectOpraviť horsekôň batterybatérie staplezošiť."
11:03
So we did the researchvýskum studyštudovať to see
Chceli sme teda zistiť,
ako to funguje v realite.
11:04
what would actuallyvlastne happenstať sa.
Znovu sme využili MTurk
11:07
So in our studyštudovať, we used MechanicalMechanické TurkTurek again,
11:10
and we had the computerpočítačový pickvyzdvihnúť the randomnáhodný wordsslová
a náhodné slová vo fráze vybral počítač.
11:14
in the passmíňať phrasefrázy.
Na výber slov sme použili počítač,
lebo ľuďom to veľmi nejde.
11:15
Now the reasondôvod we did this
11:16
is that humansľudia are not very good
11:18
at pickingvyberanie randomnáhodný wordsslová.
11:19
If we askedspýtal a humančlovek to do it,
Slová, ktoré by vybral človek,
by neboli naozaj náhodné.
11:21
they would pickvyzdvihnúť things that were not very randomnáhodný.
Skúsili sme zadať rôzne požiadavky.
11:24
So we triedskúšal a fewmálo differentrozdielny conditionspodmienky.
11:26
In one conditionpodmienka, the computerpočítačový pickedvyzdvihnúť
V jednom prípade počítač vybral slová
zo slovníka často používaných slov
11:28
from a dictionaryslovník of the very commonobyčajný wordsslová
11:30
in the Englishangličtina languageJazyk,
11:31
and so you'dby si get passmíňať phrasesfrázy like
a získali sme asi takéto frázy:
11:33
"try there threetri come."
„skusit tam tri prist“.
11:35
And we lookedpozrel at that, and we said,
Keď sme to zbadali, povedali sme si,
že to nevyzerá zapamätateľne.
11:37
"Well, that doesn't really seempripadať very memorablenezabudnuteľný."
Rozhodli sme sa použiť slovosled,
11:40
So then we triedskúšal pickingvyberanie wordsslová
11:42
that cameprišiel from specificšpecifický partsdiely of speechreč,
ktorý je v reči prirodzený, napríklad
podstatné meno pred a za slovesom.
11:44
so how about noun-verb-adjective-nounpodstatné meno-sloveso-adjektívum-podstatné meno.
11:47
That comesprichádza up with something
that's sortdruh of sentence-likeveta-ako.
Vtedy sa už výsledok podobal na vetu.
11:49
So you can get a passmíňať phrasefrázy like
Získali sme frázy ako
„plan vytvori istu energiu“
11:51
"planplán buildsbuduje sure powermoc"
11:53
or "endkoniec determinesurčuje redčervená drugliek."
alebo „koniec urci cerveny liek“.
11:55
And these seemedzdalo a little bittrocha more memorablenezabudnuteľný,
Tie už vyzerali zapamätateľnejšie
a ľuďom by sa mohli viac páčiť.
11:58
and maybe people would like those a little bittrocha better.
Chceli sme ich porovnať s heslami.
12:01
We wanted to compareporovnať them with passwordsheslá,
12:03
and so we had the computerpočítačový
pickvyzdvihnúť randomnáhodný passwordsheslá,
Počítač nám vybral náhodné heslá,
ktoré boli síce krátke,
12:07
and these were nicepekný and shortkrátky, but as you can see,
ale nevyzerali ľahko zapamätateľné.
12:09
they don't really look very memorablenezabudnuteľný.
Potom sme sa rozhodli skúsiť
tzv. vysloviteľné heslá.
12:11
And then we decidedrozhodol to try something calledvolal
12:13
a pronounceablenevysloviteľné passwordheslo.
12:14
So here the computerpočítačový picksvýber randomnáhodný syllablesslabiky
Počítač náhodne vybral slabiky
12:17
and putsputs them togetherspolu
a spojil ich tak,
že vzniklo niečo vysloviteľné,
12:18
so you have something sortdruh of pronounceablenevysloviteľné,
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
napríklad „tufritvi“ alebo „vadasabi“.
12:23
That one kinddruh of rollsrožky off your tonguejazyk.
To je ľahko vysloviteľné.
Takto vyzerali náhodné heslá,
ktoré vygeneroval náš počítač.
12:25
So these were randomnáhodný passwordsheslá that were
12:27
generatedgenerované by our computerpočítačový.
Prekvapujúco sme však zistili,
že frázy vlastne neboli až také dobré.
12:30
So what we foundnájdených in this studyštudovať was that, surprisinglyprekvapivo,
12:33
passmíňať phrasesfrázy were not actuallyvlastne all that good.
Ľudia si ich nepamätali oveľa lepšie
ako náhodné heslá
12:37
People were not really better at rememberingspomínania
12:40
the passmíňať phrasesfrázy than these randomnáhodný passwordsheslá,
12:43
and because the passmíňať phrasesfrázy are longerdlhšie,
a keďže boli dlhšie,
12:45
they tookzobral longerdlhšie to typetyp
ľuďom dlhšie trvalo ich napísať
a robili pri tom viac chýb.
12:47
and people madevyrobený more errorschyby while typingpísanie na stroji them in.
12:50
So it's not really a clearjasný winvýhra for passmíňať phrasesfrázy.
Nebola to teda jasná výhra pre frázy.
Ospravedlňujem sa fanúšikom xkcd.
12:53
Sorry, all of you xkcdxkcd fansfanúšikovia.
Na druhú stranu sme zistili,
12:56
On the other handručné, we did find
12:58
that pronounceablenevysloviteľné passwordsheslá
že vysloviteľné heslá fungovali
až prekvapivo dobre.
13:00
workedpracoval surprisinglyprekvapivo well,
13:01
and so we actuallyvlastne are doing some more researchvýskum
Teraz skúmame,
či ich nemôžeme ešte nejako vylepšiť.
13:04
to see if we can make that
approachprístup work even better.
13:07
So one of the problemsproblémy
Počas práce sme narazili
na niekoľko problémov.
13:09
with some of the studiesštúdie that we'vemy máme donehotový
Jeden z nich bol,
že heslá získané pomocou MTurk
13:10
is that because they're all donehotový
13:12
usingpoužitím MechanicalMechanické TurkTurek,
neboli skutočné heslá.
13:14
these are not people'sľudia sa realskutočný passwordsheslá.
Tieto heslá vytvorili ľudia
alebo počítač pre náš výskum.
13:15
They're the passwordsheslá that they createdvytvoril
13:18
or the computerpočítačový createdvytvoril for them for our studyštudovať.
Chceli sme však vedieť,
13:20
And we wanted to know whetherči people
či by sa ľudia správali rovnako
aj pri svojich skutočných heslách.
13:22
would actuallyvlastne behavesprávať sa the samerovnaký way
13:24
with theirich realskutočný passwordsheslá.
Opýtali sme sa správcov systémov na CMU,
či by nám mohli dať skutočné heslá ľudí.
13:26
So we talkedhovorili to the informationinformácie
securityzabezpečenia officekancelária at CarnegieCarnegie MellonMellon
13:30
and askedspýtal them if we could
have everybody'svšetci sú realskutočný passwordsheslá.
Neprekvapilo nás, že sa trochu zdráhali.
13:34
Not surprisinglyprekvapivo, they were a little bittrocha reluctantneochotný
13:35
to sharezdieľam them with us,
Nakoniec sme sa dohodli,
13:37
but we were actuallyvlastne ableschopný to work out
13:39
a systemsystém with them
13:40
where they put all of the realskutočný passwordsheslá
že 25 000 skutočných hesiel
bude uložených v uzamknutom počítači
13:42
for 25,000 CMUÚNIA KAPITÁLOVÝCH TRHOV studentsštudentov, facultyfakulta and staffzamestnanci,
13:45
into a lockedzamknutý computerpočítačový in a lockedzamknutý roomizba,
v uzavretej miestnosti
bez prístupu na internet
13:47
not connectedspojený to the InternetInternet,
13:49
and they ranbežal codekód on it that we wrotenapísal
a oni spustia kód,
ktorý sme vytvorili na analýzu hesiel.
13:51
to analyzeanalyzovať these passwordsheslá.
Oni kód preverili.
Oni ho spustili.
13:53
They auditedaudit our codekód.
13:54
They ranbežal the codekód.
13:55
And so we never actuallyvlastne saw
My sme skutočné heslá nikdy nevideli.
13:57
anybody'sniekto je passwordheslo.
Výsledky boli celkom zaujímavé.
14:00
We got some interestingzaujímavý resultsvýsledok,
14:02
and those of you TepperSpoločnosť Tepper studentsštudentov in the back
Určite zaujmú
aj študentov ekonómie tam vzadu.
14:03
will be very interestedzáujem in this.
Zistili sme, že heslá ľudí,
ktorí sa zaoberajú informatikou,
14:06
So we foundnájdených that the passwordsheslá createdvytvoril
14:10
by people affiliatedspojený with the
schoolškolské of computerpočítačový scienceveda
14:12
were actuallyvlastne 1.8 timesdoba strongersilnejší
sú 1,8-krát silnejšie ako heslá ľudí,
ktorí sa venujú ekonómii.
14:14
than those affiliatedspojený with the businessobchodné schoolškolské.
Získali sme aj zaujímavé
demografické informácie.
14:18
We have lots of other really interestingzaujímavý
14:20
demographicdemografický informationinformácie as well.
Zaujímavé bolo aj to,
14:22
The other interestingzaujímavý thing that we foundnájdených
že keď sme porovnali heslá z CMU
s heslami z MTurk,
14:24
is that when we comparednákupný
the CarnegieCarnegie MellonMellon passwordsheslá
14:27
to the MechanicalMechanické Turk-generatedTurek-generované passwordsheslá,
mali toho veľa spoločného,
14:29
there was actuallyvlastne a lot of similaritiespodobnosti,
čo nám pomohlo potvrdiť výskumnú metódu
14:31
and so this helpedpomohol validateoverenie our researchvýskum methodmetóda
a preukázať,
že získavanie hesiel pomocou MTurk
14:33
and showšou that actuallyvlastne, collectingzberný passwordsheslá
14:36
usingpoužitím these MechanicalMechanické TurkTurek studiesštúdie
je skutočne vhodný spôsob,
ako skúmať heslá.
14:38
is actuallyvlastne a validplatný way to studyštudovať passwordsheslá.
Bola to dobrá správa.
14:41
So that was good newsnoviny.
Na záver by som chcela spomenúť niečo,
14:43
Okay, I want to closeZavrieť by talkingrozprávanie about
14:45
some insightspostrehy I gainedzískané while on sabbaticalštudijné voľno
čo som si uvedomila počas
vedeckej dovolenky na umeleckej škole.
14:47
last yearrok in the CarnegieCarnegie MellonMellon artumenie schoolškolské.
Okrem iného som ušila
niekoľko prešívaných diek
14:51
One of the things that I did
14:52
is I madevyrobený a numberčíslo of quiltsPaplóny,
vrátane tejto.
14:53
and I madevyrobený this quiltQuilt here.
Volám ju
„Deka plná bezpečnosti“.
14:55
It's calledvolal "SecurityZabezpečenia BlanketDeka."
14:57
(LaughterSmiech)
(smiech)
14:59
And this quiltQuilt has the 1,000
Je na nej 1000 najčastejších hesiel,
15:02
mostväčšina frequentčastý passwordsheslá stolenukradnutý
ktoré boli ukradnuté zo stránky RockYou.
15:05
from the RockYouRockym websitewebové stránky.
Veľkosť ich plochy na deke
je priamo úmerná tomu,
15:07
And the sizeveľkosť of the passwordsheslá is proportionalúmerný
15:09
to how frequentlyčasto they appearedobjavil
ako často sa heslá nachádzali
v ukradnutých súboroch.
15:11
in the stolenukradnutý datasetMnožina údajov.
Vytvorila som si ich zoznam,
všetky som prešla
15:13
And what I did is I createdvytvoril this wordslovo cloudmrak,
15:16
and I wentšiel throughskrz all 1,000 wordsslová,
a rozdelila do približných
tematických kategórií.
15:18
and I categorizedkategorizované them into
15:20
loosevoľný thematictematických categoriesKategórie.
15:22
And it was, in some casesprípady,
V niektorých prípadoch bolo ťažké
nájsť tú správnu kategóriu.
15:24
it was kinddruh of difficultnáročný to figurefigúra out
15:26
what categorykategórie they should be in,
Potom som ich farebne rozlíšila.
15:28
and then I color-codedfarebne them.
Uvediem príklady problémových hesiel:
15:30
So here are some examplespríklady of the difficultyobtiažnosť.
15:33
So "justinJustin."
„justin“
Ide o meno používateľa,
meno priateľa alebo syna?
15:34
Is that the namenázov of the useružívateľ,
15:36
theirich boyfriendpriateľ, theirich sonsyn?
Možno ide o fanúšika Justina Biebera.
15:37
Maybe they're a JustinJustin BieberBieber fanventilátor.
15:40
Or "princessPrincezná."
Alebo „princezna“.
Je to prezývka? Páčia sa im princezné?
15:42
Is that a nicknamePrezývka?
15:44
Are they DisneyDisney princessPrincezná fansfanúšikovia?
15:45
Or maybe that's the namenázov of theirich catmačka.
Možno sa tak volá mačka.
Často sa vyskytuje aj „milujemta“
a to v rôznych jazykoch.
15:49
"IloveyouILOVEYOU" appearsobjavia manyveľa timesdoba
15:51
in manyveľa differentrozdielny languagesjazyky.
15:52
There's a lot of love in these passwordsheslá.
Tie heslá sú plné lásky.
Keď sa však pozorne pozriete,
nájdete aj vulgarizmy,
15:56
If you look carefullyopatrne, you'llbudete see there's alsotaktiež
15:58
some profanityvulgárne výrazy,
ale zaujalo ma, že v heslách
bolo viac lásky ako nenávisti.
16:00
but it was really interestingzaujímavý to me to see
16:02
that there's a lot more love than hatenenávidieť
16:04
in these passwordsheslá.
Ďalej tu máme zvieratá, veľa zvierat,
16:06
And there are animalszver,
16:08
a lot of animalszver,
pričom najčastejšia je „opicka“,
16:09
and "monkeyopice" is the mostväčšina commonobyčajný animalzviera
ktorá je zároveň
14. najpopulárnejším heslom.
16:12
and the 14thth mostväčšina popularpopulárne passwordheslo overallcelkovo.
Zaujalo ma to a chcela som zistiť,
prečo sú opičky také obľúbené.
16:15
And this was really curiouszvedavý to me,
16:17
and I wonderedzaujímalo, "Why are monkeysopice so popularpopulárne?"
16:20
And so in our last passwordheslo studyštudovať,
V najnovšej štúdii sa pýtame každého,
kto v hesle použije slovo opička,
16:23
any time we detectedzistené somebodyniekto
16:25
creatingvytváranie a passwordheslo with the wordslovo "monkeyopice" in it,
16:28
we askedspýtal them why they had
a monkeyopice in theirich passwordheslo.
prečo to slovo použili.
Zatiaľ ho použilo 17 ľudí
a zistili sme, že...
16:31
And what we foundnájdených out --
16:33
we foundnájdených 17 people so farďaleko, I think,
16:35
who have the wordslovo "monkeyopice" --
Približne tretina povedala,
16:36
We foundnájdených out about a thirdtretina of them said
že ich domáci miláčik sa volá Opička,
alebo, že je to prezývka priateľa.
16:38
they have a petdomáce zviera namedpomenovaný "monkeyopice"
16:39
or a friendpriateľ whosečí nicknamePrezývka is "monkeyopice,"
16:42
and about a thirdtretina of them said
Ďalšia tretina povedala,
16:43
that they just like monkeysopice
že sa im opice páčia,
pretože sú skutočne roztomilé.
16:45
and monkeysopice are really cutemilý.
16:47
And that guy is really cutemilý.
Tento je fakt roztomilý.
Vyzerá to, že pri tvorbe hesla
myslíme buď na niečo,
16:50
So it seemszdá that at the endkoniec of the day,
16:54
when we make passwordsheslá,
16:55
we eitherbuď make something that's really easyjednoduchý
čo sa jednoducho napíše na klávesnici,
16:57
to typetyp, a commonobyčajný patternvzor,
alebo na veci,
ktoré nám pripomínajú slovo „heslo“,
17:00
or things that remindpripomenúť us of the wordslovo passwordheslo
17:03
or the accountúčet that we'vemy máme createdvytvoril the passwordheslo for,
alebo účet,
pre ktorý sme si ho vytvorili a tak.
17:06
or whateverHocičo.
Možno myslíme na veci,
vďaka ktorým sme šťastní,
17:09
Or we think about things that make us happyšťastný,
17:11
and we createvytvoriť our passwordheslo
a na ich základe vytvoríme heslo.
17:13
basedzaložené on things that make us happyšťastný.
Vďaka tomu si heslá
lepšie zapamätáme a lepšie sa píšu,
17:15
And while this makesznačky typingpísanie na stroji
17:18
and rememberingspomínania your passwordheslo more funzábava,
ale dajú sa aj ľahšie uhádnuť.
17:21
it alsotaktiež makesznačky it a lot easierľahšie
17:23
to guesshádať your passwordheslo.
17:24
So I know a lot of these TEDTED TalksRozhovory
Viem, že prednášky TED
ľudí často inšpirujú
17:26
are inspirationalinšpiratívne
a ľudia vďaka nim myslia na pekné veci,
17:27
and they make you think about nicepekný, happyšťastný things,
ale keď si tvoríte heslo,
skúste myslieť na niečo iné.
17:30
but when you're creatingvytváranie your passwordheslo,
17:32
try to think about something elseinak.
Ďakujem.
17:34
Thank you.
(potlesk)
17:35
(ApplausePotlesk)
Translated by Lucia Lichá
Reviewed by Petra Submarine

▲Back to top

About the speaker:

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com