ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: $ifrenizde yanlış olan ne?

Filmed:
1,520,582 views

Lorrie Faith Cranor, gerçek şifrelerle çalışma yaparak bir çok kullanıcının - ve güvenli sitelerin - güvenliği tehlikeye sokacak yaygın hatalar yaptığını ortaya çıkarttı. Peki sorabilirsiniz; hiçbir kullanıcının güvenliğini riske atmadan gerçek şifrelerle nasıl çalıştı? Bu ayrı bir hikaye. Bu öğrenmeye değer bir bilgi, özellikle de şifreniz 12356 ise ...
- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

00:12
I am a computerbilgisayar scienceBilim and engineeringmühendislik
professorprofesör here at CarnegieCarnegie MellonMellon,
0
535
3445
Burada Carneige Mellon'da bilgisayar
bilimi ve mühendisliği profesörüyüm
00:15
and my researchAraştırma focusesodaklanır on
usablekullanılabilir privacyGizlilik and securitygüvenlik,
1
3980
4248
ve çalışmalarım ağırlıkla "kullanılabilir
mahremiyet ve güvenlik" üzerine.
00:20
and so my friendsarkadaşlar like to give me examplesörnekler
2
8228
2768
Bu yüzden arkadaşlarım bana,
00:22
of theironların frustrationshayal kırıklıklarının with computingbilgi işlem systemssistemler,
3
10996
2202
bilişim sistemlerindeki sıkıntılarından,
00:25
especiallyözellikle frustrationshayal kırıklıklarının relatedilgili to
4
13198
3354
özellikle de kullanışsız
00:28
unusablekullanılamaz privacyGizlilik and securitygüvenlik.
5
16552
4112
mahremiyet ve güvenlikle ilgili
sıkıntılarından örnekler vermeyi sever.
00:32
So passwordsparolalar are something that I hearduymak a lot about.
6
20664
2711
Hâliyle şifreler, hakkında çok
konuşulduğunu duyduğum bir şey.
00:35
A lot of people are frustratedhayal kırıklığına uğramış with passwordsparolalar,
7
23375
2880
Çok kişi şifrelerle sıkıntı yaşıyor,
00:38
and it's badkötü enoughyeterli
8
26255
1694
ve bu durum, hatırlayabileceğiniz
00:39
when you have to have one really good passwordşifre
9
27949
2644
ancak başkasının tahmin edemeyeceği,
00:42
that you can rememberhatırlamak
10
30593
1822
gerçekten iyi bir şifreniz
00:44
but nobodykimse elsebaşka is going to be ableyapabilmek to guesstahmin.
11
32415
2894
olduğunda yeterince kötüdür.
00:47
But what do you do when you have accountshesapları
12
35309
1637
Yüz farklı sistem üzerinde
00:48
on a hundredyüz differentfarklı systemssistemler
13
36946
1808
hesaplarınız olsa
00:50
and you're supposedsözde to have a uniquebenzersiz passwordşifre
14
38754
2276
ve her bir sistem için
00:53
for eachher of these systemssistemler?
15
41030
3037
benzersiz bir şifreniz
olması gerekse ne yaparsınız?
00:56
It's toughsert.
16
44067
2184
Çok zor.
00:58
At CarnegieCarnegie MellonMellon, they used to make it
17
46251
1759
Carnegie Mellon'da
01:00
actuallyaslında prettygüzel easykolay for us
18
48010
1299
şifreleri hatırlamamız için
01:01
to rememberhatırlamak our passwordsparolalar.
19
49309
1737
çok kolay
bir yöntem uyguluyorlardı.
01:03
The passwordşifre requirementgereklilik up throughvasitasiyla 2009
20
51046
2403
2009 yılına kadar şifre koşulu
01:05
was just that you had to have a passwordşifre
21
53449
2379
şifrenizin sadece
01:07
with at leasten az one characterkarakter.
22
55828
2211
en az bir karakterli olmasıydı.
01:10
PrettyOldukça easykolay. But then they changeddeğişmiş things,
23
58039
2888
Oldukça kolay.
Fakat sonra bazı şeyleri değiştirdiler.
01:12
and at the endson of 2009, they announcedaçıkladı
24
60927
2670
2009 yılının sonunda yeni bir şifre
01:15
that we were going to have a newyeni policypolitika,
25
63597
2376
politikasının uygulamasına geçileceğini
01:17
and this newyeni policypolitika requiredgereklidir
26
65973
1863
ve yeni şifre politikasında
01:19
passwordsparolalar that were at leasten az eightsekiz characterskarakterler long,
27
67836
2681
şifrelerin en az sekiz karakter
uzunluğunda olacağını,
01:22
with an uppercasebüyük harf lettermektup, lowercaseküçük harf lettermektup,
28
70517
1775
en az bir büyük harf ve küçük harf,
01:24
a digitbasamak, a symbolsembol,
29
72292
1288
bir rakam ve sembol içermesi,
01:25
you couldn'tcould use the sameaynı
characterkarakter more than threeüç timeszamanlar,
30
73580
2638
aynı karakterin üç defadan
fazla kullanılmaması gerektiği
01:28
and it wasn'tdeğildi allowedizin to be in a dictionarysözlük.
31
76218
2434
ve sözlükte yer alan bir kelimeye
izin verilmeyeceğini duyurdular.
01:30
Now, when they implementeduygulanan this newyeni policypolitika,
32
78652
2182
Şu anda yeni şifre politikasını uygulamaya başladıklarında,
01:32
a lot of people, my colleaguesmeslektaşlar and friendsarkadaşlar,
33
80834
2310
birçok kişi,
meslektaşlarım ve arkadaşlarım
01:35
camegeldi up to me and they said, "WowVay canına,
34
83144
1854
bana gelip: "Of,
01:36
now that's really unusablekullanılamaz.
35
84998
1512
gerçekten kullanışsız.
Bunu bize neden yapıyorlar?
01:38
Why are they doing this to us,
36
86510
1193
Ve sen neden onları engellemedin?"
demişlerdi.
01:39
and why didn't you stop them?"
37
87703
1711
01:41
And I said, "Well, you know what?
38
89414
1356
Ve ben dedim ki: "Bak ne diyeceğim?
01:42
They didn't asksormak me."
39
90770
1508
Bana sormadılar."
01:44
But I got curiousMeraklı, and I decidedkarar to go talk
40
92278
3465
Fakat merak ettim ve gidip
01:47
to the people in chargeşarj etmek of our computerbilgisayar systemssistemler
41
95743
1937
bilişim sistemlerinden sorumlu kişilerle
01:49
and find out what led them to introducetakdim etmek
42
97680
2831
konuşmaya ve yeni sisteme
geçmelerine neyin sebep olduğunu
01:52
this newyeni policypolitika,
43
100511
1848
öğrenmeye karar verdim.
01:54
and they said that the universityÜniversite
44
102359
1584
Bana üniversitenin
01:55
had joinedkatıldı a consortiumKonsorsiyum of universitiesüniversiteler,
45
103943
2366
Üniversiteler Birliği'ne üye olduğunu
01:58
and one of the requirementsGereksinimler of membershipÜyelik
46
106309
2634
ve üyelik şartlarından birinin, bazı yeni
02:00
was that we had to have strongergüçlü passwordsparolalar
47
108943
2248
gereksinimlere uyumlu,
güçlü şifrelerimizin
02:03
that complieduyulması with some newyeni requirementsGereksinimler,
48
111191
2272
olmasını gerektirdiğini
ve bu gereksinimlerin
02:05
and these requirementsGereksinimler were that our passwordsparolalar
49
113463
2104
şifrelerimizin daha entropik olması
02:07
had to have a lot of entropyentropi.
50
115567
1604
anlamına geldiğini söylediler.
02:09
Now entropyentropi is a complicatedkarmaşık termterim,
51
117171
2278
Entropi karmaşık bir terim
02:11
but basicallytemel olarak it measuresönlemler the strengthkuvvet of passwordsparolalar.
52
119449
2798
fakat temelde entropi,
şifrelerin gücünü ölçer.
02:14
But the thing is, there isn't actuallyaslında
53
122247
1979
Fakat mesele şu ki; aslında
02:16
a standardstandart measureölçmek of entropyentropi.
54
124226
1949
entropinin standart bir ölçüsü yok.
02:18
Now, the NationalUlusal InstituteEnstitüsü
of StandardsStandartları and TechnologyTeknoloji
55
126175
2399
Ulusal Standartlar
ve Teknoloji Enstitüsü'nün
02:20
has a setset of guidelineskılavuzlar
56
128574
1553
entropiyi ölçmek üzere
02:22
whichhangi have some ruleskurallar of thumbbaşparmak
57
130127
2568
kabul görmüş bir takım
02:24
for measuringölçme entropyentropi,
58
132695
1440
pratik kılavuzları var.
02:26
but they don't have anything too specificözel,
59
134135
2895
Fakat bunlar çok detaylı değiller
02:29
and the reasonneden they only have ruleskurallar of thumbbaşparmak
60
137030
2337
ve sadece pratik kılavuzlarının
olmasının sebebi
02:31
is it turnsdönüşler out they don't actuallyaslında have any good dataveri
61
139367
3136
aslında şifreler üzerine yeterli veriye
02:34
on passwordsparolalar.
62
142503
1520
sahip olmamalarıdır.
02:36
In factgerçek, theironların reportrapor statesdevletler,
63
144023
2312
Aslında raporlarında
02:38
"UnfortunatelyNe yazık ki, we do not have much dataveri
64
146335
2328
"Maalesef, kullanıcıların
belirli kurallarla
02:40
on the passwordsparolalar userskullanıcılar
chooseseçmek underaltında particularbelirli ruleskurallar.
65
148663
2842
oluşturdukları şifrelerle ilgili
elimizde çok veri yok.
02:43
NISTNIST would like to obtainelde etmek more dataveri
66
151505
2333
NIST, kullanıcıların gerçekten seçtikleri
02:45
on the passwordsparolalar userskullanıcılar actuallyaslında chooseseçmek,
67
153838
2462
şifrelerden daha fazla veri
edinmek istiyor,
02:48
but systemsistem administratorsyöneticiler
are understandablyanlaşılır reluctantisteksiz
68
156300
2463
fakat sistem yöneticileri,
şifre bilgilerini
02:50
to revealortaya çıkartmak passwordşifre dataveri to othersdiğerleri."
69
158763
2940
başkalarıyla paylaşmaya
doğal olarak isteksizler."
02:53
So this is a problemsorun, but our researchAraştırma groupgrup
70
161703
3097
Bu bir problem fakat araştırma ekibimiz
02:56
lookedbaktı at it as an opportunityfırsat.
71
164800
2140
bunu bir fırsat olarak gördü.
02:58
We said, "Well, there's a need
for good passwordşifre dataveri.
72
166940
3100
Dedik ki: "Evet iyi bir şifre verisine
ihtiyacımız var.
03:02
Maybe we can collecttoplamak some good passwordşifre dataveri
73
170040
2148
Belki bunu toplayabilir ve gerçekten
03:04
and actuallyaslında advanceilerlemek the statebelirtmek, bildirmek of the artSanat here.
74
172188
2704
daha ileriye taşıyabiliriz.
03:06
So the first thing we did is,
75
174892
1672
Böylece yaptığımız ilk şey,
03:08
we got a bagsırt çantası of candyŞeker barsBarlar
76
176564
1556
bir paket dolusu çikolata aldık
ve kampüsün içinde dolaştık.
03:10
and we walkedyürüdü around campuskampus
77
178120
1086
03:11
and talkedkonuştuk to studentsöğrencilerin, facultyFakülte and staffpersonel,
78
179206
2798
Öğrencilerle, hocalarla,
çalışanlarla konuştuk,
03:14
and askeddiye sordu them for informationbilgi
79
182004
1530
onlardan şifreleri
03:15
about theironların passwordsparolalar.
80
183534
1552
hakkında bilgi istedik.
03:17
Now we didn't say, "Give us your passwordşifre."
81
185086
3004
Pekala "Bize şifrenizi verin" demedik.
03:20
No, we just askeddiye sordu them about theironların passwordşifre.
82
188090
2661
Sadece şifreleri hakkında soru sorduk.
03:22
How long is it? Does it have a digitbasamak?
83
190751
1478
Ne kadar uzun? Bir rakam,
bir sembol içeriyor mu?
03:24
Does it have a symbolsembol?
84
192229
1068
03:25
And were you annoyedkızgın at havingsahip olan to createyaratmak
85
193297
2045
Ve son bir hafta içerisinde yeni bir şifre
03:27
a newyeni one last weekhafta?
86
195342
2744
oluştururken sinir oldunuz mu?
03:30
So we got resultsSonuçlar from 470 studentsöğrencilerin,
87
198086
3206
470 öğrenci, öğretmen ve çalışandan
03:33
facultyFakülte and staffpersonel,
88
201292
971
verileri topladık
03:34
and indeedaslında we confirmedonaylı that the newyeni policypolitika
89
202263
2514
ve teyit ettik ki yeni şifre politikası
03:36
was very annoyingCan sıkıcı,
90
204777
1453
oldukça can sıkıcı
03:38
but we alsoAyrıca foundbulunan that people said
91
206230
1792
fakat insanların bu şifrelerle
03:40
they feltkeçe more securegüvenli with these newyeni passwordsparolalar.
92
208022
3130
kendilerini daha güvende
hissettiklerini de gördük.
03:43
We foundbulunan that mostçoğu people knewbiliyordum
93
211152
2306
Gördük ki; çoğu kişi şifrelerini
03:45
they were not supposedsözde to
writeyazmak theironların passwordşifre down,
94
213458
2152
bir yere yazmamaları gerektiğini biliyordu
03:47
and only 13 percentyüzde of them did,
95
215610
2391
ve sadece yüzde 13'ü yazıyordu.
03:50
but disturbinglyrahatsız edici, 80 percentyüzde of people
96
218001
2416
Fakat endişelendiren husus yüzde 80'inin
eski şifrelerini
tekrar kullandığını söylemesiydi.
03:52
said they were reusingYeniden kullanım theironların passwordşifre.
97
220417
2124
03:54
Now, this is actuallyaslında more dangeroustehlikeli
98
222541
1796
Aslında bu, şifreleri
03:56
than writingyazı your passwordşifre down,
99
224337
2022
bir yere yazmaktan daha tehlikeli.
03:58
because it makesmarkaları you much
more susceptibleduyarlı to attackerssaldırganların.
100
226359
3561
Çünkü bu durum sizi saldırganlara karşı
açık duruma getirecektir.
04:01
So if you have to, writeyazmak your passwordsparolalar down,
101
229920
3118
Yani eğer zorundaysan,
şifreleri bir yere yaz
04:05
but don't reuseyeniden them.
102
233038
1799
ama onları tekrar kullanma.
04:06
We alsoAyrıca foundbulunan some interestingilginç things
103
234837
1751
Ayrıca insanların şifrelerinde
04:08
about the symbolssemboller people use in passwordsparolalar.
104
236588
2961
kullandıkları sembollerle ilgili
ilginç şeyler de gördük.
04:11
So CMUCMU allowsverir 32 possiblemümkün symbolssemboller,
105
239549
2799
Şimdi, CMU 32 farklı sembole izin veriyor
04:14
but as you can see, there's only a smallküçük numbernumara
106
242348
2433
ancak görüldüğü üzere,
çoğu kişinin kullandığı
04:16
that mostçoğu people are usingkullanma,
107
244781
1802
sadece bir küçük numara var.
04:18
so we're not actuallyaslında gettingalma very much strengthkuvvet
108
246583
2941
Yani aslında, şifremizdeki sembollerden
04:21
from the symbolssemboller in our passwordsparolalar.
109
249524
2466
çok fazla güç elde edemiyoruz.
04:23
So this was a really interestingilginç studyders çalışma,
110
251990
2711
Evet, bu çok ilginç bir çalışma
04:26
and now we had dataveri from 470 people,
111
254701
2464
ve şu anda 470 kişiden bilgi aldık,
04:29
but in the schemedüzen of things,
112
257165
1305
ama bunların düzeninde,
04:30
that's really not very much passwordşifre dataveri,
113
258470
2580
aslında çok fazla şifre verisi yok
04:33
and so we lookedbaktı around to see
114
261050
1445
dolayısıyla biz de daha fazla
04:34
where could we find additionalek passwordşifre dataveri?
115
262495
2560
veriyi nerden bulabileceğimize baktık.
04:37
So it turnsdönüşler out there are a lot of people
116
265055
2176
Sonra ortaya çıktı ki birçok kişi
04:39
going around stealingçalmak passwordsparolalar,
117
267231
2202
etraftan şifreleri çalıyor,
04:41
and they oftensık sık go and postposta these passwordsparolalar
118
269433
2477
ve ekserisi bunları internete
04:43
on the InternetInternet.
119
271910
1337
yolluyor.
04:45
So we were ableyapabilmek to get accesserişim
120
273247
1673
Tabii biz de çalınmış şifrelerden
04:46
to some of these stolençalıntı passwordşifre setskümeler.
121
274920
3970
bazılarına erişebildik.
04:50
This is still not really idealideal for researchAraştırma, thoughgerçi,
122
278890
2328
Yine de ideal bir araştırma değil gerçi
04:53
because it's not entirelyBaştan sona clearaçık
123
281218
2037
çünkü şifrenin nereden geldiği
04:55
where all of these passwordsparolalar camegeldi from,
124
283255
2184
veya kullanıcıların
bu şifreleri oluştururken
04:57
or exactlykesinlikle what policiespolitikaları were in effectEfekt
125
285439
2242
hangi kurallardan etkilendiği
04:59
when people createdoluşturulan these passwordsparolalar.
126
287681
2108
tamamen açık değil.
05:01
So we wanted to find some better sourcekaynak of dataveri.
127
289789
3552
Bu yüzden daha iyi veri kaynağı
bulmak istedik.
05:05
So we decidedkarar that one thing we could do
128
293341
1634
Ve bir çalışma oluşturup,
05:06
is we could do a studyders çalışma and have people
129
294975
2129
insanların çalışmamız için
şifre oluşturmalarını
05:09
actuallyaslında createyaratmak passwordsparolalar for our studyders çalışma.
130
297104
3240
sağlayabileceğimize
karar verdik.
05:12
So we used a servicehizmet calleddenilen
AmazonAmazon MechanicalMekanik TurkTurk,
131
300344
2821
Bunun için, bir dakika, birkaç dakika
ya da bir saatlik
05:15
and this is a servicehizmet where you can postposta
132
303165
2334
online, küçük işler yollanabilen,
05:17
a smallküçük job onlineinternet üzerinden that takes a minutedakika,
133
305499
2304
her görev karşılığında bir sent, on sent,
05:19
a fewaz minutesdakika, an hoursaat,
134
307803
1500
ya da birkaç dolar verilen,
05:21
and payödeme people, a pennykuruş, tenon centscent, a fewaz dollarsdolar,
135
309303
2584
ve ödemenin Amazon.com üzerinden yapıldığı
05:23
to do a taskgörev for you,
136
311887
1346
"Amazon Mechanical Turk" denilen
05:25
and then you payödeme them throughvasitasiyla AmazonAmazon.comcom.
137
313233
2122
servisi kulllandık.
05:27
So we paidödenmiş people about 50 centscent
138
315355
2294
Ve kurallarımıza göre şifreler oluşturup
05:29
to createyaratmak a passwordşifre followingtakip etme our ruleskurallar
139
317649
2596
bir anketi cevaplayan kişilere
05:32
and answeringcevap veren a surveyanket,
140
320245
1410
yaklaşık 50 sent ödedik.
05:33
and then we paidödenmiş them again to come back
141
321655
2525
Ardından 2 gün sonra geri dönüp
05:36
two daysgünler latersonra and logkütük in
142
324180
2071
şifreleriyle giriş yapan ve farklı bir
05:38
usingkullanma theironların passwordşifre and answeringcevap veren anotherbir diğeri surveyanket.
143
326251
2574
anketi cevaplayan kişilere
tekrar ödeme yaptık.
05:40
So we did this, and we collectedtoplanmış 5,000 passwordsparolalar,
144
328825
4464
Ve bunu yaparak 5000 şifre topladık,
05:45
and we gaveverdi people a bunchDemet of differentfarklı policiespolitikaları
145
333289
2695
insanlara, şifrelerini oluşturmak için
05:47
to createyaratmak passwordsparolalar with.
146
335984
1508
bir takım kurallar verdik.
05:49
So some people had a prettygüzel easykolay policypolitika,
147
337492
1910
Bazı kişiler Basic8 dediğimiz
05:51
we call it BasicTemel8,
148
339402
1539
basit bir kurala sahipti.
05:52
and here the only rulekural was that your passwordşifre
149
340941
2146
görüldüğü gibi bundaki tek kural
05:55
had to have at leasten az eightsekiz characterskarakterler.
150
343087
3416
şifrelerinin en az sekiz karakterden
oluşmasıydı.
05:58
Then some people had a much harderDaha güçlü policypolitika,
151
346503
2251
Bazılarına da CMU'daki kurallara benzer
06:00
and this was very similarbenzer to the CMUCMU policypolitika,
152
348754
2537
daha zor kurallar verdik:
06:03
that it had to have eightsekiz characterskarakterler
153
351291
1934
en az sekiz karakterli,
06:05
includingdahil olmak üzere uppercasebüyük harf, lowercaseküçük harf, digitbasamak, symbolsembol,
154
353225
2376
büyük - küçük harf, sayı ve sembol içeren,
06:07
and passpas a dictionarysözlük checkKontrol.
155
355601
2389
sözlüklerde bulunmayan şifreler gibi.
06:09
And one of the other policiespolitikaları we trieddenenmiş,
156
357990
1335
Denediğimiz kurallardan biri
06:11
and there were a wholebütün bunchDemet more,
157
359325
1270
-daha birçok kural vardı-
06:12
but one of the onesolanlar we trieddenenmiş was calleddenilen BasicTemel16,
158
360595
2240
ama bunlardan Basic 16 denen kuralda
06:14
and the only requirementgereklilik here
159
362835
2632
aranan tek şart
06:17
was that your passwordşifre had
to have at leasten az 16 characterskarakterler.
160
365467
3153
şifrenin en az 16 karakterden
oluşmasıydı.
06:20
All right, so now we had 5,000 passwordsparolalar,
161
368620
2458
Evet, artık 5000 şifremiz
06:23
and so we had much more detailedDetaylı informationbilgi.
162
371078
3563
ve çok daha detaylı bilgiye sahibiz.
06:26
Again we see that there's only a smallküçük numbernumara
163
374641
2559
İnsanların şifrelerinde sembollerden
06:29
of symbolssemboller that people are actuallyaslında usingkullanma
164
377200
1915
sadece bir tanesini kullandıklarını
06:31
in theironların passwordsparolalar.
165
379115
1886
tekrar gördük.
06:33
We alsoAyrıca wanted to get an ideaFikir of how stronggüçlü
166
381001
2599
Aynı zamanda
oluşturulan şifrelerin ne kadar
06:35
the passwordsparolalar were that people were creatingoluşturma,
167
383600
2771
güçlü oldukları hakkında
bilgi sahibi olmak da istedik,
06:38
but as you mayMayıs ayı recallhatırlama, there isn't a good measureölçmek
168
386371
2620
Hatırlayacağınız üzere, şifrelerin gücünün
06:40
of passwordşifre strengthkuvvet.
169
388991
1754
iyi bir ölçüsü yok.
06:42
So what we decidedkarar to do was to see
170
390745
2312
Bu yüzden, kötü insanların kullandığı
06:45
how long it would take to crackçatlak these passwordsparolalar
171
393057
2370
veya araştırma literatüründe
06:47
usingkullanma the besten iyi crackingçatlama toolsaraçlar
172
395427
1414
bilgi bulabildiğimiz
06:48
that the badkötü guys are usingkullanma,
173
396841
1808
en iyi şifre kırma yöntemleriyle
06:50
or that we could find informationbilgi about
174
398649
2016
şifreleri kırmanın ne kadar süreceğine
06:52
in the researchAraştırma literatureEdebiyat.
175
400665
1537
bakmaya karar verdik.
06:54
So to give you an ideaFikir of how badkötü guys
176
402202
2758
Kötü insanların şifreleri nasıl kırdığı
06:56
go about crackingçatlama passwordsparolalar,
177
404960
2170
hakkında bilgi sahibi olmanız adına,
06:59
they will stealçalmak a passwordşifre filedosya
178
407130
1951
hash (kargaşa) denilen
karmaşık form benzeri
07:01
that will have all of the passwordsparolalar
179
409081
2153
bütün şifreleri içeren
07:03
in kindtür of a scrambledşifreli formform, calleddenilen a hashKarma,
180
411234
2889
şifre dosyalarını çalıyorlar,
07:06
and so what they'llacaklar do is they'llacaklar make a guesstahmin
181
414123
2562
ardından şifreyi bulmak için
07:08
as to what a passwordşifre is,
182
416685
1712
hashing fonksiyonu üzerinden
07:10
runkoş it throughvasitasiyla a hashingKarma functionfonksiyon,
183
418397
1897
tahmin yapıyorlar
07:12
and see whetherolup olmadığını it matchesmaçlar
184
420294
1765
ve şifrenin, kendilerinde bulunan
07:14
the passwordsparolalar they have on
theironların stolençalıntı passwordşifre listliste.
185
422059
3950
çalınmış şifre listesindekilerle
eşleşip eşleşmediğine bakıyorlar.
07:18
So a dumbdilsiz attackersaldırgan will try everyher passwordşifre in ordersipariş.
186
426009
3105
Evet, ahmak bir saldırgan
bütün olasılıkları sırayla dener.
07:21
They'llOnlar olacak startbaşlama with AAAAAAAAAA and movehareket on to AAAABAAAAB,
187
429114
3568
AAAAA ile başlar ve AAAAB ile devam eder,
07:24
and this is going to take a really long time
188
432682
2418
ve insanların aslında kullandıkları
07:27
before they get any passwordsparolalar
189
435100
1526
şifrelere benzer şifrelere
07:28
that people are really likelymuhtemelen to actuallyaslında have.
190
436626
2697
ulaşmak çok uzun zaman alır.
07:31
A smartakıllı attackersaldırgan, on the other handel,
191
439323
2183
Diğer taraftan akıllı bir saldırgan
07:33
does something much more cleverzeki.
192
441506
1386
çok daha zekice bir şey yapar.
07:34
They look at the passwordsparolalar
193
442892
1826
Çalınmış şifre setlerinden
07:36
that are knownbilinen to be popularpopüler
194
444718
1800
popüler olarak
07:38
from these stolençalıntı passwordşifre setskümeler,
195
446518
1727
bilinen şifrelere bakar ve
07:40
and they guesstahmin those first.
196
448245
1189
önce onları tahmin eder.
07:41
So they're going to startbaşlama by guessingtahmin "passwordşifre,"
197
449434
2134
Yani "şifre" ile tahmine başlar,
07:43
and then they'llacaklar guesstahmin "I love you," and "monkeymaymun,"
198
451568
2751
"seni seviyorum", "maymun" ve "12345678"
07:46
and "12345678,"
199
454319
2583
ile devam eder
07:48
because these are the passwordsparolalar
200
456902
1312
çünkü bunlar insanların
07:50
that are mostçoğu likelymuhtemelen for people to have.
201
458214
1905
kullandıkları şifreler olması çok olası.
07:52
In factgerçek, some of you probablymuhtemelen have these passwordsparolalar.
202
460119
3261
Hatta sizlerden bazıları
bunları kullanıyor olabilir.
07:57
So what we foundbulunan
203
465191
1298
Böylece, topladığımız
07:58
by runningkoşu all of these 5,000 passwordsparolalar we collectedtoplanmış
204
466489
3406
5000 şifreden hepsini,
ne kadar güçlü olduklarını
08:01
throughvasitasiyla these teststestler to see how stronggüçlü they were,
205
469895
4106
görmek için bu testlerden
geçirdiğimizde gördüğümüz
08:06
we foundbulunan that the long passwordsparolalar
206
474001
2752
uzun şifrelerin aslında
bayağı güçlü olduğudur,
08:08
were actuallyaslında prettygüzel stronggüçlü,
207
476753
1280
08:10
and the complexkarmaşık passwordsparolalar were prettygüzel stronggüçlü too.
208
478033
3262
karmaşık şifreler de oldukça güçlü,
08:13
HoweverAncak, when we lookedbaktı at the surveyanket dataveri,
209
481295
2442
ancak anket verilerine baktığımızda,
08:15
we saw that people were really frustratedhayal kırıklığına uğramış
210
483737
3024
insanların karmaşık şifrelerden
08:18
by the very complexkarmaşık passwordsparolalar,
211
486761
2339
epeyce bıktıklarını,
08:21
and the long passwordsparolalar were a lot more usablekullanılabilir,
212
489100
2630
uzun şifrelerin çok daha kullanışlı,
08:23
and in some casesvakalar, they were actuallyaslında
213
491730
1325
hatta bazı durumlarda
08:25
even strongergüçlü than the complexkarmaşık passwordsparolalar.
214
493055
2908
karmaşık şifrelerden
daha güçlü olduklarını gördük.
08:27
So this suggestsanlaşılacağı that,
215
495963
1169
Bu durum insanlara
08:29
insteadyerine of tellingsöylüyorum people that they need
216
497132
1703
şifrelerinde sembol, numara
08:30
to put all these symbolssemboller and numberssayılar
217
498835
1522
ve çılgınca şeyler kullanmalarını
08:32
and crazyçılgın things into theironların passwordsparolalar,
218
500357
2842
söylemek yerine
uzun şifre kullanmalarına
teşvik etmenin
08:35
we mightbelki be better off just tellingsöylüyorum people
219
503199
2022
daha iyi olabileceğini gösteriyor.
08:37
to have long passwordsparolalar.
220
505221
2652
08:39
Now here'sburada the problemsorun, thoughgerçi:
221
507873
1792
Gerçi buradaki problem:
08:41
Some people had long passwordsparolalar
222
509665
2255
bazı insanların çok güçlü olmayan
08:43
that actuallyaslında weren'tdeğildi very stronggüçlü.
223
511920
1555
uzun şifrelere sahip olması.
08:45
You can make long passwordsparolalar
224
513475
1997
Sonuçta saldırganın
08:47
that are still the sortçeşit of thing
225
515472
1556
kolayca tahmin edebileceği türden
08:49
that an attackersaldırgan could easilykolayca guesstahmin.
226
517028
1742
uzun şifreler oluşturabilirsiniz.
08:50
So we need to do more than
just say long passwordsparolalar.
227
518770
3365
O zaman uzun şifreden daha
fazlasına ihtiyacımız var.
08:54
There has to be some additionalek requirementsGereksinimler,
228
522135
1936
Bazı ek şartlar gerekiyor ki,
08:56
and some of our ongoingdevam eden researchAraştırma is looking at
229
524071
2969
devam eden araştırmalarımızdan bazıları,
08:59
what additionalek requirementsGereksinimler we should addeklemek
230
527040
2439
daha güçlü ve aynı zamanda
09:01
to make for strongergüçlü passwordsparolalar
231
529479
2104
insanların kolayca hatırlayıp yazacakları
09:03
that alsoAyrıca are going to be easykolay for people
232
531583
2312
şifreler için ne gibi şartlar
09:05
to rememberhatırlamak and typetip.
233
533895
2698
eklememiz gerektiğine bakıyor.
09:08
AnotherBaşka bir approachyaklaşım to gettingalma people to have
234
536593
2126
İnsanların daha güçlü şifre kullanmalarına
09:10
strongergüçlü passwordsparolalar is to use a passwordşifre metermetre.
235
538719
2257
diğer yaklaşım, şifre ölçer kullanmaktır.
09:12
Here are some examplesörnekler.
236
540976
1385
İşte bazı örnekler.
09:14
You mayMayıs ayı have seengörüldü these on the InternetInternet
237
542361
1401
Şifre oluştururken
09:15
when you were creatingoluşturma passwordsparolalar.
238
543762
3057
bunları internette görmüş olabilirsiniz.
09:18
We decidedkarar to do a studyders çalışma to find out
239
546819
2248
Bu şifre ölçerlerin gerçekten
çalışıp çalışmadığını
09:21
whetherolup olmadığını these passwordşifre metersmetre actuallyaslında work.
240
549067
2887
anlamak için bir çalışma
yapmaya karar verdik.
09:23
Do they actuallyaslında help people
241
551954
1421
Acaba insanlara gerçekten
09:25
have strongergüçlü passwordsparolalar,
242
553375
1453
yardımcı oluyorlar mı,
09:26
and if so, whichhangi onesolanlar are better?
243
554828
2086
oluyorlarsa hangisi daha iyi?
09:28
So we testedtest edilmiş passwordşifre metersmetre that were
244
556914
2507
Farklı uzunluk, şekil ve renkteki
şifre ölçerleri,
09:31
differentfarklı sizesboyutları, shapesşekiller, colorsrenkler,
245
559421
2098
yanlarında farklı kelimeler yazanları
09:33
differentfarklı wordskelimeler nextSonraki to them,
246
561519
1416
test ettik,
09:34
and we even testedtest edilmiş one that was a dancingdans bunnyBunny.
247
562935
3275
hatta bu dans eden
tavşanı bile test ettik.
09:38
As you typetip a better passwordşifre,
248
566210
1582
Daha iyi şifre yazdıkça
09:39
the bunnyBunny dancesdans etmek fasterDaha hızlı and fasterDaha hızlı.
249
567792
2539
tavşan daha hızlı dans ediyor.
09:42
So this was prettygüzel funeğlence.
250
570331
2529
Oldukça eğlenceli aslında.
09:44
What we foundbulunan
251
572860
1567
Şifre ölçerlerin
09:46
was that passwordşifre metersmetre do work.
252
574427
3572
işe yaradığını gördük,
09:49
(LaughterKahkaha)
253
577999
1801
(Gülüşmeler)
09:51
MostÇoğu of the passwordşifre metersmetre were actuallyaslında effectiveetkili,
254
579800
3333
Şifre ölçerlerin çoğu gerçekten etkili,
09:55
and the dancingdans bunnyBunny was very effectiveetkili too,
255
583133
2521
danseden tavşan da oldukça etkili
09:57
but the passwordşifre metersmetre that were the mostçoğu effectiveetkili
256
585654
2881
ama bunlardan en etkilileri, onay verip
10:00
were the onesolanlar that madeyapılmış you work harderDaha güçlü
257
588535
2355
"iyi işti" demeden önce kullanıcıların
10:02
before they gaveverdi you that thumbsbaşparmak up and said
258
590890
1980
gerçekten çabalamalarını
10:04
you were doing a good job,
259
592870
1377
sağlayanlardır.
10:06
and in factgerçek we foundbulunan that mostçoğu
260
594247
1512
Aslında şu an internetteki
10:07
of the passwordşifre metersmetre on the InternetInternet todaybugün
261
595759
2281
şifre ölçerlerin çoğunu oldukça
10:10
are too softyumuşak.
262
598040
952
zayıf bulduk.
10:10
They tell you you're doing a good job too earlyerken,
263
598992
2203
İyi iş yaptığınızı çok erken söylüyorlar,
10:13
and if they would just wait a little bitbit
264
601195
1929
halbuki pozitif dönüş yapmadan önce
10:15
before givingvererek you that positivepozitif feedbackgeri bildirim,
265
603124
2049
biraz daha bekleseler
10:17
you probablymuhtemelen would have better passwordsparolalar.
266
605173
3160
daha iyi şifreleriniz olabilir.
10:20
Now anotherbir diğeri approachyaklaşım to better passwordsparolalar, perhapsbelki,
267
608333
3847
Şimdi, daha iyi bir şifre için
diğer bir yaklaşım,
10:24
is to use passpas phrasesifadeler insteadyerine of passwordsparolalar.
268
612180
2890
belki de şifre yerine
anahtar parolası kullanmaktır.
10:27
So this was an xkcdxkcd cartoonkarikatür
from a coupleçift of yearsyıl agoönce,
269
615070
3418
Bu birkaç yıl önceden xkcd karikatürü,
10:30
and the cartoonistkarikatürist suggestsanlaşılacağı
270
618488
1674
ve karikatürist hepimizin
10:32
that we should all use passpas phrasesifadeler,
271
620162
2196
anahtar parolası kullanmamızı
tavsiye ediyor,
10:34
and if you look at the secondikinci rowsıra of this cartoonkarikatür,
272
622358
3170
ve karikatürün ikinci satırına
bakarsanız karikatürist,
10:37
you can see the cartoonistkarikatürist is suggestingdüşündüren
273
625528
1857
oldukça güçlü ve kolayca hatırlanabilecek
10:39
that the passpas phraseifade "correctdoğru horseat batterypil stapleElyaf"
274
627385
3441
bir anahtar parolası olduğundan
"doğru at batarya teli" kelimelerini
10:42
would be a very stronggüçlü passpas phraseifade
275
630826
2481
tavsiye ettiğini görebilirsiniz.
10:45
and something really easykolay to rememberhatırlamak.
276
633307
1916
10:47
He saysdiyor, in factgerçek, you've alreadyzaten rememberedhatırladı it.
277
635223
2797
Diyor ki, aslında
siz onu zaten hatırlıyorsunuz.
10:50
And so we decidedkarar to do a researchAraştırma studyders çalışma
278
638020
2150
Bİz de bunun doğru olup olmadığına dair
10:52
to find out whetherolup olmadığını this was truedoğru or not.
279
640170
2592
bir çalışma yapmaya karar verdik.
10:54
In factgerçek, everybodyherkes who I talk to,
280
642762
1775
Aslında, şifre araştırması
10:56
who I mentionsöz etmek I'm doing passwordşifre researchAraştırma,
281
644537
2042
yaptığımdan bahsettiğim herkes
10:58
they pointpuan out this cartoonkarikatür.
282
646579
1400
bu karikatürden bahsetti.
10:59
"Oh, have you seengörüldü it? That xkcdxkcd.
283
647979
1574
"Şu xkcd karikatürünü gördün mü?
11:01
CorrectDüzeltmek horseat batterypil stapleElyaf."
284
649553
1602
Doğru at batarya teli."
11:03
So we did the researchAraştırma studyders çalışma to see
285
651155
1806
Gerçekten ne olacağını görmek için
11:04
what would actuallyaslında happenolmak.
286
652961
2359
araştırma yaptık.
11:07
So in our studyders çalışma, we used MechanicalMekanik TurkTurk again,
287
655320
3060
Araştırmada yine Mechanical Turk'ü kullandık
11:10
and we had the computerbilgisayar pickalmak the randomrasgele wordskelimeler
288
658380
4167
ve anahtar paroladan
kelimeleri rastgele seçen
11:14
in the passpas phraseifade.
289
662547
1100
bilgisayar kullandık,
11:15
Now the reasonneden we did this
290
663647
1153
çünkü insanlar
11:16
is that humansinsanlar are not very good
291
664800
1586
rastgele kelime seçmekte
11:18
at pickingtoplama randomrasgele wordskelimeler.
292
666386
1384
çok iyi değil.
11:19
If we askeddiye sordu a humaninsan to do it,
293
667770
1262
Seçimi insanlara bıraksaydık
11:21
they would pickalmak things that were not very randomrasgele.
294
669032
2998
pek de rastgele seçim yapmazlardı.
11:24
So we trieddenenmiş a fewaz differentfarklı conditionskoşullar.
295
672030
2032
Birkaç farklı durum denedik.
11:26
In one conditionşart, the computerbilgisayar pickedseçilmiş
296
674062
2090
Birisinde bilgisayar, ingilizcedeki
11:28
from a dictionarysözlük of the very commonortak wordskelimeler
297
676152
2216
oldukça yaygın kelimeler sözlüğünden
11:30
in the Englishİngilizce languagedil,
298
678368
1362
seçim yaptı,
11:31
and so you'dşimdi etsen get passpas phrasesifadeler like
299
679730
1764
bu durumda "dene orada üç gel" gibi
11:33
"try there threeüç come."
300
681494
1924
anahtar kelimeler alırdınız.
11:35
And we lookedbaktı at that, and we said,
301
683418
1732
Biz de buna bakıp
11:37
"Well, that doesn't really seemgörünmek very memorableunutulmaz."
302
685150
3050
"Eh, bu hatırlanacak bir şeye
benzemiyor pek" dedik,
11:40
So then we trieddenenmiş pickingtoplama wordskelimeler
303
688200
2240
ardından kelimeleri,
cümlenin belirli kısmından
11:42
that camegeldi from specificözel partsparçalar of speechkonuşma,
304
690440
2521
seçmeyi denedik,
11:44
so how about noun-verb-adjective-nounisim-fiil-sıfat-isim.
305
692961
2182
isim-fiil-sıfat-isim mesela.
11:47
That comesgeliyor up with something
that's sortçeşit of sentence-likecümle gibi.
306
695143
2577
Sonra karşımıza cümleye
benzer türden şeyler çıktı.
11:49
So you can get a passpas phraseifade like
307
697720
2070
Bu durumda da
"Plan mutlaka güç oluşturur",
11:51
"planplan buildskurar sure powergüç"
308
699790
1308
"son kırmızı uyuşturucuya neden olur"
11:53
or "endson determinesbelirleyen redkırmızı drugilaç."
309
701098
2786
gibi anahtar kelimeler alırdınız.
11:55
And these seemedgibiydi a little bitbit more memorableunutulmaz,
310
703884
2676
Bunlar daha akılda kalıcı gibi
11:58
and maybe people would like those a little bitbit better.
311
706560
2822
ve insanlar bunlardan
biraz daha hoşlanırlardı belki.
12:01
We wanted to comparekarşılaştırmak them with passwordsparolalar,
312
709382
2572
Bunları şifrelerle
karşılaştırmayı denedik,
12:03
and so we had the computerbilgisayar
pickalmak randomrasgele passwordsparolalar,
313
711954
3196
rastgele şifreler seçecek
bilgisayarımız vardı
12:07
and these were niceGüzel and shortkısa, but as you can see,
314
715150
1990
ve bunlar güzel ve kısa şifrelerdi,
12:09
they don't really look very memorableunutulmaz.
315
717140
2806
ama gördüğünüz gibi
pek akılda kalıcı değiller.
Bu yüzden telaffuz edilebilir şifre
12:11
And then we decidedkarar to try something calleddenilen
316
719946
1396
12:13
a pronounceableseslerden passwordşifre.
317
721342
1646
denilen şeyi
denemeye karar verdik.
12:14
So here the computerbilgisayar picksseçtikleri randomrasgele syllableshece
318
722988
2245
İşte bilgisayarın
rastgele hecelerden seçip
12:17
and putskoyar them togetherbirlikte
319
725233
1134
birleştirdiği kelimeler:
12:18
so you have something sortçeşit of pronounceableseslerden,
320
726367
2475
"tufritvi" ve"vadasabi" gibi
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
321
728842
2602
telaffuz edilir türden kelimeler oluştu.
12:23
That one kindtür of rollsRulo off your tonguedil.
322
731444
2147
Tekerlemenin bir türü gibi.
12:25
So these were randomrasgele passwordsparolalar that were
323
733591
2216
Bunlar bilgisayarımız
tarafından oluşturulan
12:27
generatedoluşturulan by our computerbilgisayar.
324
735807
2744
rastgele şifreler.
12:30
So what we foundbulunan in this studyders çalışma was that, surprisinglyşaşırtıcı biçimde,
325
738551
2978
Bu çalışmada gördüğümüz, şaşırtıcı biçimde
12:33
passpas phrasesifadeler were not actuallyaslında all that good.
326
741529
3768
anahtar parolaların
o kadar da iyi olmamalarıdır.
12:37
People were not really better at rememberinganımsama
327
745297
2793
İnsanlar onları rastgele şifreler
12:40
the passpas phrasesifadeler than these randomrasgele passwordsparolalar,
328
748090
2953
kadar iyi hatırlayamıyor,
12:43
and because the passpas phrasesifadeler are longeruzun,
329
751043
2754
ve daha uzun oldukları için
12:45
they tookaldı longeruzun to typetip
330
753797
1226
yazmak daha uzun sürüyor
12:47
and people madeyapılmış more errorshatalar while typingyazarak them in.
331
755023
3010
ve insanlar onu yazarken
daha çok hata yapıyorlar.
12:50
So it's not really a clearaçık winkazanmak for passpas phrasesifadeler.
332
758033
3227
Yani anahtar kelimeler
rahatlıkla kazandı denemez.
12:53
Sorry, all of you xkcdxkcd fanshayranları.
333
761260
3345
Üzgünüm xkcd taraftarları.
12:56
On the other handel, we did find
334
764605
1892
Diğer taraftan, telaffuz edilebilir
12:58
that pronounceableseslerden passwordsparolalar
335
766497
1804
şifreler sürpriz şekilde
13:00
workedişlenmiş surprisinglyşaşırtıcı biçimde well,
336
768301
1471
iyi çıktı,
13:01
and so we actuallyaslında are doing some more researchAraştırma
337
769772
2418
dolayısıyla bu yaklaşımı
daha iyi hale getirince
13:04
to see if we can make that
approachyaklaşım work even better.
338
772190
3195
ne olacağını görmek için
biraz daha araştırma yaptık.
13:07
So one of the problemssorunlar
339
775385
1812
Yaptığımız bazı araştırmalardaki
13:09
with some of the studiesçalışmalar that we'vebiz ettik donetamam
340
777197
1623
sorunlardan biri,
13:10
is that because they're all donetamam
341
778820
1683
şifrelerin hepsinin
Mechanical Turk
kullanarak yapılması.
13:12
usingkullanma MechanicalMekanik TurkTurk,
342
780503
1590
13:14
these are not people'sinsanların realgerçek passwordsparolalar.
343
782093
1812
Gerçekten kullanılan şifreler değil,
13:15
They're the passwordsparolalar that they createdoluşturulan
344
783905
2105
bizim çalışmamız için insanlar
13:18
or the computerbilgisayar createdoluşturulan for them for our studyders çalışma.
345
786010
2495
ya da bilgisayar tarafından
oluşturulan şifrelerdir.
13:20
And we wanted to know whetherolup olmadığını people
346
788505
1568
Biz de insanların
13:22
would actuallyaslında behaveDavranmak the sameaynı way
347
790073
2312
gerçek şifrelerinde de aynı yolu
13:24
with theironların realgerçek passwordsparolalar.
348
792385
2227
kullanıp kullanmayacaklarını
bilmek istedik.
13:26
So we talkedkonuştuk to the informationbilgi
securitygüvenlik officeofis at CarnegieCarnegie MellonMellon
349
794612
3681
Carnegie Mellon'daki bilgi güvenliği
ofisiyle görüştük
13:30
and askeddiye sordu them if we could
have everybody'sherkesin realgerçek passwordsparolalar.
350
798293
3803
ve gerçek şifreleri
alabilir miyiz diye sorduk.
13:34
Not surprisinglyşaşırtıcı biçimde, they were a little bitbit reluctantisteksiz
351
802096
1754
Haliyle şifreleri bizle paylaşmaya
13:35
to sharepay them with us,
352
803850
1550
birazcık gönülsüzlerdi
13:37
but we were actuallyaslında ableyapabilmek to work out
353
805400
1810
ancak 25000 CMU öğrencisinin,
13:39
a systemsistem with them
354
807210
1040
öğretim üyelerinin
13:40
where they put all of the realgerçek passwordsparolalar
355
808250
2109
ve personellerin şifrelerini sakladıkları
13:42
for 25,000 CMUCMU studentsöğrencilerin, facultyFakülte and staffpersonel,
356
810359
3091
kilitli bir odadaki, internete
bağlı olmayan şifreli bilgisayarda
13:45
into a lockedkilitli computerbilgisayar in a lockedkilitli roomoda,
357
813450
2448
onlarla bir sistem geliştirme
13:47
not connectedbağlı to the InternetInternet,
358
815898
1394
imkanı elde ettik,
13:49
and they ranran codekod on it that we wroteyazdı
359
817292
1848
bilgisayarda şifreleri
analiz etmek için
13:51
to analyzeçözümlemek these passwordsparolalar.
360
819140
2152
yazdığımız kodu çalıştırdılar.
13:53
They auditeddenetlenmiş our codekod.
361
821292
1326
Kodu denetlediler.
13:54
They ranran the codekod.
362
822618
1312
Kodu çalıştırdılar.
13:55
And so we never actuallyaslında saw
363
823930
1738
Yani aslında kimsenin
13:57
anybody'sherkes var passwordşifre.
364
825668
2817
şifresini görmedik.
14:00
We got some interestingilginç resultsSonuçlar,
365
828485
1515
Bazı ilginç sonuçlar elde ettik,
14:02
and those of you TepperTepper studentsöğrencilerin in the back
366
830000
1696
arka taraftaki
Tepper öğrencilerinin
14:03
will be very interestedilgili in this.
367
831696
2875
oldukça ilgisini çekecek.
14:06
So we foundbulunan that the passwordsparolalar createdoluşturulan
368
834571
3731
Bilgisayar bilimi bölümüne
kayıtlı kişiler tarafından
14:10
by people affiliatedbağlı with the
schoolokul of computerbilgisayar scienceBilim
369
838302
2158
oluşturulan şifreleri,
ticaret okulundakilerin şifrelerine
14:12
were actuallyaslında 1.8 timeszamanlar strongergüçlü
370
840460
2324
14:14
than those affiliatedbağlı with the business schoolokul.
371
842784
3738
oranla 1.8 kat daha güçlü olduğunu bulduk.
14:18
We have lots of other really interestingilginç
372
846522
2040
Birçok ilginç demografik
14:20
demographicdemografik informationbilgi as well.
373
848562
2238
bilgiler de elde ettik.
14:22
The other interestingilginç thing that we foundbulunan
374
850800
1846
Bulduğumuz diğer ilginç şey,
14:24
is that when we comparedkarşılaştırıldığında
the CarnegieCarnegie MellonMellon passwordsparolalar
375
852646
2440
CMU'daki şifrelerle Mechanical Turk-kaynaklı
14:27
to the MechanicalMekanik Turk-generatedTurk tarafından oluşturulan passwordsparolalar,
376
855086
2283
şifreleri karşılaştırdığımızda
14:29
there was actuallyaslında a lot of similaritiesbenzerlikler,
377
857369
2619
çok fazla benzerlik gördük
14:31
and so this helpedyardım etti validatedoğrulamak our researchAraştırma methodyöntem
378
859988
1948
ve bu araştırma yöntemlerimizi
14:33
and showgöstermek that actuallyaslında, collectingtoplama passwordsparolalar
379
861936
2510
doğrulamaya yardımcı oldu ve Mekanik Türk
14:36
usingkullanma these MechanicalMekanik TurkTurk studiesçalışmalar
380
864446
1808
kullanarak şifre toplamanın
14:38
is actuallyaslında a validgeçerli way to studyders çalışma passwordsparolalar.
381
866254
2788
çalışma yapmak için
geçerli bir yol olduğunu gösterdi.
14:41
So that was good newshaber.
382
869042
2285
Bunlar iyi haberdi.
14:43
Okay, I want to closekapat by talkingkonuşma about
383
871327
2414
Evet, geçen sene Carnegie Mellon
sanat okulunda
14:45
some insightsanlayışlar I gainedkazanmış while on sabbaticalizinli
384
873741
2068
tatildeyken kazandığım bazı izlenimleri
14:47
last yearyıl in the CarnegieCarnegie MellonMellon artSanat schoolokul.
385
875809
3201
anlatarak bitirmek istiyorum.
14:51
One of the things that I did
386
879010
1281
Yaptığım şeylerden biri
14:52
is I madeyapılmış a numbernumara of quiltsYorgan,
387
880291
1524
çeşit çeşit yorganlar.
14:53
and I madeyapılmış this quiltYorgan here.
388
881815
1548
ve bu yorganı burada yaptım.
14:55
It's calleddenilen "SecurityGüvenlik BlanketBattaniye."
389
883363
1899
Buna "Güvenlik Battaniyesi" deniliyor.
14:57
(LaughterKahkaha)
390
885262
2431
(Gülüşmeler)
14:59
And this quiltYorgan has the 1,000
391
887693
3095
Bu yorganda RockYou sitesinden çalınmış
15:02
mostçoğu frequentsık passwordsparolalar stolençalıntı
392
890788
2328
şifreler arasında en çok görülen
15:05
from the RockYouRockYou websiteWeb sitesi.
393
893116
2571
1000 şifre bulunuyor.
15:07
And the sizeboyut of the passwordsparolalar is proportionalorantılı
394
895687
2061
Şifrelerin boyutu çalınmış veri setinde
15:09
to how frequentlysık sık they appearedortaya çıktı
395
897748
1901
ne kadar sık görüldüğüyle
15:11
in the stolençalıntı datasetveri kümesi.
396
899649
2248
doğru orantılı.
15:13
And what I did is I createdoluşturulan this wordsözcük cloudbulut,
397
901897
2632
Ben de bu kelime bulutunu oluşturdum,
15:16
and I wentgitti throughvasitasiyla all 1,000 wordskelimeler,
398
904529
2132
1000 kelimenin hepsini tarayıp
15:18
and I categorizedkategorize them into
399
906661
1795
onları dağınık tematik kategorilere
15:20
loosegevşek thematictematik categorieskategoriler.
400
908456
2380
sınıflandırdım.
15:22
And it was, in some casesvakalar,
401
910836
1903
Ve bu, bazı açıdan,
15:24
it was kindtür of difficultzor to figureşekil out
402
912739
2038
kelimelerin hangi kategoriye ait olduğunu
15:26
what categorykategori they should be in,
403
914777
1755
çözmek biraz zordu,
15:28
and then I color-codedrenk kodlu them.
404
916532
1899
ardından kategorileri
renklerle kodladım.
15:30
So here are some examplesörnekler of the difficultyzorluk.
405
918431
2619
İşte bu zorluklardan bazıları:
15:33
So "justinJustin."
406
921050
1181
Mesela "justin".
15:34
Is that the nameisim of the userkullanıcı,
407
922231
1829
Acaba kullanıcının adı mı,
15:36
theironların boyfrienderkek arkadaş, theironların sonoğul?
408
924060
1322
erkek arkadaşı mı, oğlu mu?
15:37
Maybe they're a JustinJustin BieberBieber fanyelpaze.
409
925382
2888
Belki de Justin Bieber hayranıdır.
15:40
Or "princessPrenses."
410
928270
2225
Veya "prenses".
15:42
Is that a nicknameKullanıcı adı?
411
930495
1635
Bir takma ad mı?
15:44
Are they DisneyDisney princessPrenses fanshayranları?
412
932130
1595
Disney prenses hayranları mı?
15:45
Or maybe that's the nameisim of theironların catkedi.
413
933725
3694
Belki de kedilerinin adıdır.
15:49
"IloveyouILOVEYOU" appearsbelirir manyçok timeszamanlar
414
937419
1655
"seniseviyorum", farklı dillerde
15:51
in manyçok differentfarklı languagesdiller.
415
939074
1545
birçok defa görülüyor.
15:52
There's a lot of love in these passwordsparolalar.
416
940619
3735
Bu şifrelerde oldukça fazla aşk var.
15:56
If you look carefullydikkatlice, you'llEğer olacak see there's alsoAyrıca
417
944354
1680
Dikkatli bakarsanız,
birkaç küfür de
15:58
some profanityküfür,
418
946034
2267
görebilirsiniz
16:00
but it was really interestingilginç to me to see
419
948301
1950
ama şifrelerde nefret ifadelerinden çok
16:02
that there's a lot more love than hatenefret
420
950251
2307
aşk kelimelerinin olması bana oldukça
16:04
in these passwordsparolalar.
421
952558
2292
ilginç geldi.
16:06
And there are animalshayvanlar,
422
954850
1490
Evet hayvanlar,
16:08
a lot of animalshayvanlar,
423
956340
1360
birçok hayvan,
16:09
and "monkeymaymun" is the mostçoğu commonortak animalhayvan
424
957700
2304
"maymun" en yaygını
16:12
and the 14thinci mostçoğu popularpopüler passwordşifre overalltüm.
425
960004
3675
ve toplamda 14. popüler şifre.
16:15
And this was really curiousMeraklı to me,
426
963679
2231
Bana oldukça tuhaf göründü ve
16:17
and I wonderedmerak, "Why are monkeysmaymunlar so popularpopüler?"
427
965910
2523
"neden maymunlar bu kadar popüler"
diye merak ettim.
16:20
And so in our last passwordşifre studyders çalışma,
428
968433
3352
Bu da bizim son çalışmamız,
16:23
any time we detectedtespit somebodybirisi
429
971785
1686
birisinin "maymun" kelimesini
16:25
creatingoluşturma a passwordşifre with the wordsözcük "monkeymaymun" in it,
430
973471
2649
kullandığını tespit ettiğimiz her seferde
16:28
we askeddiye sordu them why they had
a monkeymaymun in theironların passwordşifre.
431
976120
3030
neden şifrelerinde
onu kullandıklarını sorduk.
16:31
And what we foundbulunan out --
432
979150
1910
Ortaya çıkardık ki
16:33
we foundbulunan 17 people so faruzak, I think,
433
981060
2103
-şu ana kadar "maymun" kelimesini kullanan
16:35
who have the wordsözcük "monkeymaymun" --
434
983163
1283
17 kişi bulduk sanırım-
16:36
We foundbulunan out about a thirdüçüncü of them said
435
984446
1812
bunlardan üçte biri,
"maymun" isimli evcil hayvanları olduğunu
16:38
they have a petEvcil Hayvan namedadlı "monkeymaymun"
436
986258
1740
ya da arkadaşının lakabının
maymun olduğunu söyledi
16:39
or a friendarkadaş whosekimin nicknameKullanıcı adı is "monkeymaymun,"
437
987998
2291
yine üçte biri,
maymun gibi olduklarını
16:42
and about a thirdüçüncü of them said
438
990289
1660
16:43
that they just like monkeysmaymunlar
439
991949
1533
ve maymunların
16:45
and monkeysmaymunlar are really cuteşirin.
440
993482
1638
çok tatlı olduğunu söyledi.
16:47
And that guy is really cuteşirin.
441
995120
3639
Bu da oldukça tatlı.
16:50
So it seemsgörünüyor that at the endson of the day,
442
998759
3408
Sonuçta görülüyor ki
16:54
when we make passwordsparolalar,
443
1002167
1783
şifreleri oluştururken,
16:55
we eitherya make something that's really easykolay
444
1003950
1974
ya yazılması kolay şeyler,
16:57
to typetip, a commonortak patternmodel,
445
1005924
3009
yaygın bir şablon,
17:00
or things that remindhatırlatmak us of the wordsözcük passwordşifre
446
1008933
2486
veya şifre kelimesini hatırlatan şeyler
17:03
or the accounthesap that we'vebiz ettik createdoluşturulan the passwordşifre for,
447
1011419
3312
veya şifre oluşturduğumuz hesap hakkında
17:06
or whateverher neyse.
448
1014731
2617
şeylerden birini seçiyoruz.
17:09
Or we think about things that make us happymutlu,
449
1017348
2642
Veya bizi mutlu eden şeyler
hakkında düşünüp
17:11
and we createyaratmak our passwordşifre
450
1019990
1304
şifre oluştururken
17:13
basedmerkezli on things that make us happymutlu.
451
1021294
2238
onun üzerinden hareket ediyoruz.
17:15
And while this makesmarkaları typingyazarak
452
1023532
2863
Ama bu şifrenizi yazmanızı
17:18
and rememberinganımsama your passwordşifre more funeğlence,
453
1026395
2870
ve hatırlamanızı kolaylaştırdığı gibi
17:21
it alsoAyrıca makesmarkaları it a lot easierDaha kolay
454
1029265
1807
onun tahmin edilmesini de
17:23
to guesstahmin your passwordşifre.
455
1031072
1506
kolaylaştırıyor.
17:24
So I know a lot of these TEDTED TalksGörüşmeler
456
1032578
1748
Biliyorum birçok TED konuşması
17:26
are inspirationalilham verici
457
1034326
1634
ilham verici
17:27
and they make you think about niceGüzel, happymutlu things,
458
1035960
2461
ve güzel, mutlu şeyleri
düşünmenizi sağlıyor
17:30
but when you're creatingoluşturma your passwordşifre,
459
1038421
1897
ama şifrelerinizi oluştururken
17:32
try to think about something elsebaşka.
460
1040318
1991
başka şeyler düşünmeye çalışın.
17:34
Thank you.
461
1042309
1107
Teşekkürler
17:35
(ApplauseAlkış)
462
1043416
553
(Alkış)
Translated by enes kutuk
Reviewed by Serap Cakil

▲Back to top

ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com