Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

139,691 views ・ 2014-06-24

TED


Моля, кликнете два пъти върху английските субтитри по-долу, за да пуснете видеото.

Translator: Peter Petrov Reviewer: Dani Peteva
00:12
I am a computer science and engineering professor here at Carnegie Mellon,
0
12535
3445
Аз съм преподавател по компютърна наука и инженерство тук в Карнеги Мелън
00:15
and my research focuses on usable privacy and security,
1
15980
4248
и моето изследване е фокусирано върху прилаганите мерки за неприкосновеност и сигурност.
00:20
and so my friends like to give me examples
2
20228
2768
Мои приятели обичат да ми дават примери
00:22
of their frustrations with computing systems,
3
22996
2202
с обезсърчението си от компютърните системи
00:25
especially frustrations related to
4
25198
3354
и по-специално обезсърчението от
00:28
unusable privacy and security.
5
28552
4112
мерките за неприкосновеност и сигурност.
00:32
So passwords are something that I hear a lot about.
6
32664
2711
Паролите са нещо, за което аз чувам много.
00:35
A lot of people are frustrated with passwords,
7
35375
2880
Много хора имат проблеми с тях
00:38
and it's bad enough
8
38255
1694
и не е много приятна ситуацията,
00:39
when you have to have one really good password
9
39949
2644
когато се налага да имат наистина добра парола,
00:42
that you can remember
10
42593
1822
която да запомнят,
00:44
but nobody else is going to be able to guess.
11
44415
2894
но никой да не може да я отгатне.
00:47
But what do you do when you have accounts
12
47309
1637
Но какво правите, когато имате акаунти
00:48
on a hundred different systems
13
48946
1808
на сто различни системи
00:50
and you're supposed to have a unique password
14
50754
2276
и се очаква да имате уникална парола
00:53
for each of these systems?
15
53030
3037
за всяка от тези системи?
00:56
It's tough.
16
56067
2184
Трудно е.
00:58
At Carnegie Mellon, they used to make it
17
58251
1759
В Карнеги Мелън се опитаха да направят
01:00
actually pretty easy for us
18
60010
1299
много лесно
01:01
to remember our passwords.
19
61309
1737
запомнянето на паролите.
01:03
The password requirement up through 2009
20
63046
2403
Изискването за парола до 2009
01:05
was just that you had to have a password
21
65449
2379
беше просто да имате такава
01:07
with at least one character.
22
67828
2211
от поне един знак.
01:10
Pretty easy. But then they changed things,
23
70039
2888
Много лесно. Но го промениха.
01:12
and at the end of 2009, they announced
24
72927
2670
В края на 2009 обявиха
01:15
that we were going to have a new policy,
25
75597
2376
че ще има нова политика,
01:17
and this new policy required
26
77973
1863
която налага
01:19
passwords that were at least eight characters long,
27
79836
2681
паролите да са от поне 8 знака,
01:22
with an uppercase letter, lowercase letter,
28
82517
1775
включващи главни и малки букви,
01:24
a digit, a symbol,
29
84292
1288
цифри и символи,
01:25
you couldn't use the same character more than three times,
30
85580
2638
а един знак да не може да се ползва повече от три пъти
01:28
and it wasn't allowed to be in a dictionary.
31
88218
2434
и да не е дума от речника.
01:30
Now, when they implemented this new policy,
32
90652
2182
Когато започна прилагането на новата политика,
01:32
a lot of people, my colleagues and friends,
33
92834
2310
много хора, колеги и приятели
01:35
came up to me and they said, "Wow,
34
95144
1854
дойдоха при мен с думите:
01:36
now that's really unusable.
35
96998
1512
"Това наистина е неприложимо.
01:38
Why are they doing this to us,
36
98510
1193
Защо ни го причиняват,
01:39
and why didn't you stop them?"
37
99703
1711
защо не ги спря?"
01:41
And I said, "Well, you know what?
38
101414
1356
Отговярях им: "Знаете ли,
01:42
They didn't ask me."
39
102770
1508
никой не ме попита."
01:44
But I got curious, and I decided to go talk
40
104278
3465
Но проявих любопитство и отидох да поговоря
01:47
to the people in charge of our computer systems
41
107743
1937
с отговарящите за компютърните системи,
01:49
and find out what led them to introduce
42
109680
2831
където открих кое ги бе накарало да въведат
01:52
this new policy,
43
112511
1848
тази нова политика.
01:54
and they said that the university
44
114359
1584
Казаха ми че университетът
01:55
had joined a consortium of universities,
45
115943
2366
се е присъединил към университетски консорциум
01:58
and one of the requirements of membership
46
118309
2634
в който едно от изискванията за членство
02:00
was that we had to have stronger passwords
47
120943
2248
било да имаме по-силни пароли,
02:03
that complied with some new requirements,
48
123191
2272
което съответствало на някои нови изисквания,
02:05
and these requirements were that our passwords
49
125463
2104
а те били паролите
02:07
had to have a lot of entropy.
50
127567
1604
да са с голяма ентропия.
02:09
Now entropy is a complicated term,
51
129171
2278
Ентропията е сложен термин,
02:11
but basically it measures the strength of passwords.
52
131449
2798
но най-общо измерва силата на паролите.
02:14
But the thing is, there isn't actually
53
134247
1979
Но истината е, че всъщност няма
02:16
a standard measure of entropy.
54
136226
1949
стандартна мярка за ентропия.
02:18
Now, the National Institute of Standards and Technology
55
138175
2399
Националният институт по стандарти и технологии
02:20
has a set of guidelines
56
140574
1553
има комплект насоки,
02:22
which have some rules of thumb
57
142127
2568
даващи практически указания
02:24
for measuring entropy,
58
144695
1440
за измерване на ентропията,
02:26
but they don't have anything too specific,
59
146135
2895
но в тях няма нищо специфично,
02:29
and the reason they only have rules of thumb
60
149030
2337
а причината да имат само практически указания
02:31
is it turns out they don't actually have any good data
61
151367
3136
е, че всъщност, оказва се, нямат никаква информация
02:34
on passwords.
62
154503
1520
за паролите.
02:36
In fact, their report states,
63
156023
2312
Докладите им казват:
02:38
"Unfortunately, we do not have much data
64
158335
2328
"За съжаление нямаме много данни
02:40
on the passwords users choose under particular rules.
65
160663
2842
за използваните от потребителите пароли при определени правила.
02:43
NIST would like to obtain more data
66
163505
2333
Бихме искали да научим повече
02:45
on the passwords users actually choose,
67
165838
2462
за паролите, които потребителите избират,
02:48
but system administrators are understandably reluctant
68
168300
2463
но системните администратори, разбираемо, не са склонни,
02:50
to reveal password data to others."
69
170763
2940
да разкриват данни за пароли."
02:53
So this is a problem, but our research group
70
173703
3097
Това е проблем, но изследователската ни група
02:56
looked at it as an opportunity.
71
176800
2140
погледна на него, като на възможност.
02:58
We said, "Well, there's a need for good password data.
72
178940
3100
Казахме си: "Има нужда от добри данни за пароли.
03:02
Maybe we can collect some good password data
73
182040
2148
Може би можем да съберем такива
03:04
and actually advance the state of the art here.
74
184188
2704
и постигнем напредък по въпроса."
03:06
So the first thing we did is,
75
186892
1672
И така, първото нещо, което направихме, бе
03:08
we got a bag of candy bars
76
188564
1556
да вземем торба с бонбони,
03:10
and we walked around campus
77
190120
1086
да се разходим из кампуса,
03:11
and talked to students, faculty and staff,
78
191206
2798
и съберем от студенти, преподаватели и персонал
03:14
and asked them for information
79
194004
1530
информация
03:15
about their passwords.
80
195534
1552
за паролите им.
03:17
Now we didn't say, "Give us your password."
81
197086
3004
Разбира се не казвахме "Дайте ни паролата си."
03:20
No, we just asked them about their password.
82
200090
2661
Не, просто ги питахме за паролите им.
03:22
How long is it? Does it have a digit?
83
202751
1478
Колко дълга е? Има ли цифра?
03:24
Does it have a symbol?
84
204229
1068
Има ли символ?
03:25
And were you annoyed at having to create
85
205297
2045
Бяхте ли притеснен, че трябва да измислите
03:27
a new one last week?
86
207342
2744
нова миналата седмица?
03:30
So we got results from 470 students,
87
210086
3206
Получихме резултати от 470 студенти,
03:33
faculty and staff,
88
213292
971
преподаватели и персонал
03:34
and indeed we confirmed that the new policy
89
214263
2514
и наистина потвърдихме, че новата политика
03:36
was very annoying,
90
216777
1453
е много досадна,
03:38
but we also found that people said
91
218230
1792
но от думите на хората установихме също, че
03:40
they felt more secure with these new passwords.
92
220022
3130
те се чувстват по сигурни с новите пароли.
03:43
We found that most people knew
93
223152
2306
Повечето хора знаеха,
03:45
they were not supposed to write their password down,
94
225458
2152
че не бива да си записват паролите
03:47
and only 13 percent of them did,
95
227610
2391
и само 13% от тях не го спазват,
03:50
but disturbingly, 80 percent of people
96
230001
2416
но, смущаващо, 80% от хората
03:52
said they were reusing their password.
97
232417
2124
казваха, че ги използват повторно.
03:54
Now, this is actually more dangerous
98
234541
1796
Това всъщност е по-опасно,
03:56
than writing your password down,
99
236337
2022
отколкото записването,
03:58
because it makes you much more susceptible to attackers.
100
238359
3561
защото те прави много по-податлив на хакерите.
04:01
So if you have to, write your passwords down,
101
241920
3118
Така, че ако трябва, запишете си паролата,
04:05
but don't reuse them.
102
245038
1799
но не я използвайте повторно.
04:06
We also found some interesting things
103
246837
1751
Открихме и някои интересни неща
04:08
about the symbols people use in passwords.
104
248588
2961
за символите, които хората ползват в пароли.
04:11
So CMU allows 32 possible symbols,
105
251549
2799
Университетът позолява 32 възможни символа,
04:14
but as you can see, there's only a small number
106
254348
2433
но както виждате, повечето хора
04:16
that most people are using,
107
256781
1802
използват малък брой от тях,
04:18
so we're not actually getting very much strength
108
258583
2941
т. е. не получаваме много голяма сила
04:21
from the symbols in our passwords.
109
261524
2466
от символите в паролите ни.
04:23
So this was a really interesting study,
110
263990
2711
Беше наистина интересно проучване,
04:26
and now we had data from 470 people,
111
266701
2464
имахме данни от 470 човека,
04:29
but in the scheme of things,
112
269165
1305
но в схемата на нещата
04:30
that's really not very much password data,
113
270470
2580
това не беше достатъчно
04:33
and so we looked around to see
114
273050
1445
и трябваше да се огледаме, да видим
04:34
where could we find additional password data?
115
274495
2560
къде можем да намерим още данни за паролите.
04:37
So it turns out there are a lot of people
116
277055
2176
Оказа се, че много хора
04:39
going around stealing passwords,
117
279231
2202
се навъртат наоколо да крадат пароли
04:41
and they often go and post these passwords
118
281433
2477
и често ги публикуват
04:43
on the Internet.
119
283910
1337
в интернет.
04:45
So we were able to get access
120
285247
1673
Ние можахме да получим достъп
04:46
to some of these stolen password sets.
121
286920
3970
до някои от тези откраднати комплекти пароли.
04:50
This is still not really ideal for research, though,
122
290890
2328
Те обаче, не ни вършеха работа за изследването,
04:53
because it's not entirely clear
123
293218
2037
защото не беше напълно ясно
04:55
where all of these passwords came from,
124
295255
2184
откъде идват паролите
04:57
or exactly what policies were in effect
125
297439
2242
или какви точно правила са били в сила за тях
04:59
when people created these passwords.
126
299681
2108
когато хората са ги създавали.
05:01
So we wanted to find some better source of data.
127
301789
3552
Искахме да намерим по-добър източник на данни.
05:05
So we decided that one thing we could do
128
305341
1634
Решихме, че това, което можем да направим
05:06
is we could do a study and have people
129
306975
2129
е да направим проучване, карайки хората
05:09
actually create passwords for our study.
130
309104
3240
да създават пароли за него.
05:12
So we used a service called Amazon Mechanical Turk,
131
312344
2821
И така използвахме услугата Amazon Mechanical Turk.
05:15
and this is a service where you can post
132
315165
2334
Услуга, при която публикувате
05:17
a small job online that takes a minute,
133
317499
2304
някаква малка задача онлайн, отнемаща минута,
05:19
a few minutes, an hour,
134
319803
1500
няколко минути, час,
05:21
and pay people, a penny, ten cents, a few dollars,
135
321303
2584
срещу пени, 10 цента, няколко долара. Хората
05:23
to do a task for you,
136
323887
1346
свършват тази работа за вас
05:25
and then you pay them through Amazon.com.
137
325233
2122
и вие им плащате през Amazon.com.
05:27
So we paid people about 50 cents
138
327355
2294
Плащахме по 50 цента на човек,
05:29
to create a password following our rules
139
329649
2596
да създаде парола, следвайки правилата ни
05:32
and answering a survey,
140
332245
1410
и да отговори на проучване,
05:33
and then we paid them again to come back
141
333655
2525
след което им плащахме да се върнат
05:36
two days later and log in
142
336180
2071
след два дни, да влязат
05:38
using their password and answering another survey.
143
338251
2574
с паролата си и да отговорят на друго проучване.
05:40
So we did this, and we collected 5,000 passwords,
144
340825
4464
Направихме го, събрахме 5 000 пароли,
05:45
and we gave people a bunch of different policies
145
345289
2695
давайки на хората куп различни правила
05:47
to create passwords with.
146
347984
1508
по които да създават пароли.
05:49
So some people had a pretty easy policy,
147
349492
1910
Някои получиха много лесно правило,
05:51
we call it Basic8,
148
351402
1539
което нарекохме Основни8
05:52
and here the only rule was that your password
149
352941
2146
с единственото изискване паролата ви
05:55
had to have at least eight characters.
150
355087
3416
да има поне осем знака.
05:58
Then some people had a much harder policy,
151
358503
2251
Други хора получиха доста по-трудни правила,
06:00
and this was very similar to the CMU policy,
152
360754
2537
подобни на университетските:
06:03
that it had to have eight characters
153
363291
1934
да са с осем знака,
06:05
including uppercase, lowercase, digit, symbol,
154
365225
2376
включващи главна, малка, цифра и символ,
06:07
and pass a dictionary check.
155
367601
2389
както и да минава проверката в речника.
06:09
And one of the other policies we tried,
156
369990
1335
Един друг вариант, който опитахме,
06:11
and there were a whole bunch more,
157
371325
1270
а ние имахме много,
06:12
but one of the ones we tried was called Basic16,
158
372595
2240
но един, който опитахме, наречен Основни16
06:14
and the only requirement here
159
374835
2632
беше с единственото изискване
06:17
was that your password had to have at least 16 characters.
160
377467
3153
паролата да има поне 16 знака.
06:20
All right, so now we had 5,000 passwords,
161
380620
2458
И така, имахме 5000 пароли
06:23
and so we had much more detailed information.
162
383078
3563
и много по-подробна информация.
06:26
Again we see that there's only a small number
163
386641
2559
Отново виждаме, че броят на символите
06:29
of symbols that people are actually using
164
389200
1915
които хората използват в паролите си
06:31
in their passwords.
165
391115
1886
е малък.
06:33
We also wanted to get an idea of how strong
166
393001
2599
Искахме също да разберем колко силни
06:35
the passwords were that people were creating,
167
395600
2771
са паролите, създавани от хората,
06:38
but as you may recall, there isn't a good measure
168
398371
2620
но вероятно помните, че няма добър измерител
06:40
of password strength.
169
400991
1754
за това.
06:42
So what we decided to do was to see
170
402745
2312
Това, което решихме да направим, бе да видим
06:45
how long it would take to crack these passwords
171
405057
2370
колко време ще отнеме разбиването им
06:47
using the best cracking tools
172
407427
1414
с най-добрите за целта инструменти,
06:48
that the bad guys are using,
173
408841
1808
които лошите момчета ползват
06:50
or that we could find information about
174
410649
2016
или за които можехме да намерим информация
06:52
in the research literature.
175
412665
1537
в изследователската литература.
06:54
So to give you an idea of how bad guys
176
414202
2758
За да имате представа, ето как лошите момчета
06:56
go about cracking passwords,
177
416960
2170
подхождат при разбиването на пароли:
06:59
they will steal a password file
178
419130
1951
Ще откраднат файл с пароли,
07:01
that will have all of the passwords
179
421081
2153
който ги съдържа
07:03
in kind of a scrambled form, called a hash,
180
423234
2889
в кодирана форма, наречена хаш [бъркотия].
07:06
and so what they'll do is they'll make a guess
181
426123
2562
След това ще направят предположение
07:08
as to what a password is,
182
428685
1712
каква е паролата,
07:10
run it through a hashing function,
183
430397
1897
ще го пуснат през хешираща функция
07:12
and see whether it matches
184
432294
1765
и ще видят дали съвпада
07:14
the passwords they have on their stolen password list.
185
434059
3950
с паролите в откраднатия файл.
07:18
So a dumb attacker will try every password in order.
186
438009
3105
Тъп хакер би изпробвал всяка парола.
07:21
They'll start with AAAAA and move on to AAAAB,
187
441114
3568
Ще започне с ААААА, ще премине на ААААB
07:24
and this is going to take a really long time
188
444682
2418
и така това ще отнеме наистина много време
07:27
before they get any passwords
189
447100
1526
преди да се получи някоя парола,
07:28
that people are really likely to actually have.
190
448626
2697
която хората е наистина възможно да имат.
07:31
A smart attacker, on the other hand,
191
451323
2183
Хитрият хакер, от друга страна,
07:33
does something much more clever.
192
453506
1386
прави нещо много по-умно.
07:34
They look at the passwords
193
454892
1826
Подбира паролите
07:36
that are known to be popular
194
456718
1800
от откраднатия комплект,
07:38
from these stolen password sets,
195
458518
1727
които се знае, че са популярни
07:40
and they guess those first.
196
460245
1189
и започва да изпробва първо тях.
07:41
So they're going to start by guessing "password,"
197
461434
2134
Ще се започне с предположението "парола"
07:43
and then they'll guess "I love you," and "monkey,"
198
463568
2751
след това с "обичам те", "маймуна"
07:46
and "12345678,"
199
466319
2583
и "12345678",
07:48
because these are the passwords
200
468902
1312
защото това са паролите
07:50
that are most likely for people to have.
201
470214
1905
които най-вероятно хората имат.
07:52
In fact, some of you probably have these passwords.
202
472119
3261
Някои от вас вероятно имат тези пароли.
07:57
So what we found
203
477191
1298
Това, което открихме
07:58
by running all of these 5,000 passwords we collected
204
478489
3406
когато пуснахме всичките 5 000 събрани пароли
08:01
through these tests to see how strong they were,
205
481895
4106
през тестове, за да видим колко са силни,
08:06
we found that the long passwords
206
486001
2752
беше, че дългите пароли
08:08
were actually pretty strong,
207
488753
1280
са доста силни.
08:10
and the complex passwords were pretty strong too.
208
490033
3262
Сложните пароли - също.
08:13
However, when we looked at the survey data,
209
493295
2442
Обаче, преглеждайки данните от проучването
08:15
we saw that people were really frustrated
210
495737
3024
видяхме, че хората са наистина обезсърчени
08:18
by the very complex passwords,
211
498761
2339
от твърде сложните пароли,
08:21
and the long passwords were a lot more usable,
212
501100
2630
и използваха много повече дълги пароли,
08:23
and in some cases, they were actually
213
503730
1325
а в някои случаи те бяха
08:25
even stronger than the complex passwords.
214
505055
2908
дори по-силни от сложните.
08:27
So this suggests that,
215
507963
1169
Това подсказва, че
08:29
instead of telling people that they need
216
509132
1703
вместо да се казва на хората, че трябва
08:30
to put all these symbols and numbers
217
510835
1522
да слагат всички тези символи, цифри
08:32
and crazy things into their passwords,
218
512357
2842
и дивотии в паролите си,
08:35
we might be better off just telling people
219
515199
2022
може би е по-добре да казваме на хората
08:37
to have long passwords.
220
517221
2652
да имат дълги пароли.
08:39
Now here's the problem, though:
221
519873
1792
Ето го проблемът, обаче:
08:41
Some people had long passwords
222
521665
2255
Някои хора имаха дълги пароли,
08:43
that actually weren't very strong.
223
523920
1555
които не бяха много силни.
08:45
You can make long passwords
224
525475
1997
Може да правите дълги пароли,
08:47
that are still the sort of thing
225
527472
1556
които все още са от типа,
08:49
that an attacker could easily guess.
226
529028
1742
който един хакер лесно би познал.
08:50
So we need to do more than just say long passwords.
227
530770
3365
Трябва ни нещо повече от просто дълги пароли.
08:54
There has to be some additional requirements,
228
534135
1936
Трябва да има някакви допълнителни изисквания.
08:56
and some of our ongoing research is looking at
229
536071
2969
Някои от продължаващите ни изследвания търсят
08:59
what additional requirements we should add
230
539040
2439
какви още изисквания да добавим
09:01
to make for stronger passwords
231
541479
2104
за да направим така, че силните пароли,
09:03
that also are going to be easy for people
232
543583
2312
да бъдат лесни
09:05
to remember and type.
233
545895
2698
за запомняне и въвеждане.
09:08
Another approach to getting people to have
234
548593
2126
Друг подход, да се накарат хората да имат
09:10
stronger passwords is to use a password meter.
235
550719
2257
по-силни пароли, е използването на паролометър.
09:12
Here are some examples.
236
552976
1385
Ето няколко примера.
09:14
You may have seen these on the Internet
237
554361
1401
Сигурно сте ги виждали в интернет
09:15
when you were creating passwords.
238
555762
3057
когато сте създавали пароли.
09:18
We decided to do a study to find out
239
558819
2248
Решихме чрез проучване, да установим
09:21
whether these password meters actually work.
240
561067
2887
дали тези паролометри вършат работа.
09:23
Do they actually help people
241
563954
1421
Помагат ли наистина на хората
09:25
have stronger passwords,
242
565375
1453
да имат по-силни пароли
09:26
and if so, which ones are better?
243
566828
2086
и ако да, кои са по-добри?
09:28
So we tested password meters that were
244
568914
2507
Тествахме паролометри,
09:31
different sizes, shapes, colors,
245
571421
2098
с различен размер, форма, цветове,
09:33
different words next to them,
246
573519
1416
различни описания,
09:34
and we even tested one that was a dancing bunny.
247
574935
3275
дори един, представляващ танцуващо зайче.
09:38
As you type a better password,
248
578210
1582
Колкото по-добра е паролата
09:39
the bunny dances faster and faster.
249
579792
2539
толкова по-бързо танцува зайчето.
09:42
So this was pretty fun.
250
582331
2529
Беше забавно.
09:44
What we found
251
584860
1567
Това, което установихме,
09:46
was that password meters do work.
252
586427
3572
е ,че те наистина работят.
09:49
(Laughter)
253
589999
1801
(Смях)
09:51
Most of the password meters were actually effective,
254
591800
3333
Повечето паролометри бяха ефективни,
09:55
and the dancing bunny was very effective too,
255
595133
2521
танцуващото зайче - също,
09:57
but the password meters that were the most effective
256
597654
2881
но най-ефективните
10:00
were the ones that made you work harder
257
600535
2355
бяха тези, каращи ви да се потрудите здраво
10:02
before they gave you that thumbs up and said
258
602890
1980
преди да ви покажат вдигнат палец
10:04
you were doing a good job,
259
604870
1377
за това, че сте свършили добра работа.
10:06
and in fact we found that most
260
606247
1512
Фактически, установихме, че повечето
10:07
of the password meters on the Internet today
261
607759
2281
от паролометрите в интернет днес
10:10
are too soft.
262
610040
952
10:10
They tell you you're doing a good job too early,
263
610992
2203
са твърде лековерни.
Казват ви, че се справяте добре твърде рано,
10:13
and if they would just wait a little bit
264
613195
1929
и ако изчакат мъничко,
10:15
before giving you that positive feedback,
265
615124
2049
преди да ви дадат положителна обратна връзка,
10:17
you probably would have better passwords.
266
617173
3160
вероятно ще имате по-добри пароли.
10:20
Now another approach to better passwords, perhaps,
267
620333
3847
Един друг подход за по-добри пароли, може би,
10:24
is to use pass phrases instead of passwords.
268
624180
2890
е използването на фрази, вместо пароли.
10:27
So this was an xkcd cartoon from a couple of years ago,
269
627070
3418
Един комикс от xkcd.com от преди няколко години
10:30
and the cartoonist suggests
270
630488
1674
в който авторът му подсказва,
10:32
that we should all use pass phrases,
271
632162
2196
че всички трябва да използваме фрази
10:34
and if you look at the second row of this cartoon,
272
634358
3170
и ако погледнете втория ред на комикса,
10:37
you can see the cartoonist is suggesting
273
637528
1857
може да видите че авторът предполага,
10:39
that the pass phrase "correct horse battery staple"
274
639385
3441
че фразата "правилно кон батерия скоба"
10:42
would be a very strong pass phrase
275
642826
2481
би била много силна парола
10:45
and something really easy to remember.
276
645307
1916
и нещо много лесно за запомняне.
10:47
He says, in fact, you've already remembered it.
277
647223
2797
Той казва, въщност, че вие вече сте я запомнили.
10:50
And so we decided to do a research study
278
650020
2150
Решихме да направим изследване
10:52
to find out whether this was true or not.
279
652170
2592
дали това е вярно или не.
10:54
In fact, everybody who I talk to,
280
654762
1775
На практика всеки с когото говорих,
10:56
who I mention I'm doing password research,
281
656537
2042
казвайки, че правя изследване върху паролите,
10:58
they point out this cartoon.
282
658579
1400
се сещаше за този комикс.
10:59
"Oh, have you seen it? That xkcd.
283
659979
1574
"О, виждали ли сте този XKCD:
11:01
Correct horse battery staple."
284
661553
1602
"правилно кон батерия скоба"?
11:03
So we did the research study to see
285
663155
1806
И така, направихме това изследване, за да видим
11:04
what would actually happen.
286
664961
2359
какво би се случило.
11:07
So in our study, we used Mechanical Turk again,
287
667320
3060
За него отново използвахме Mechanical Turk,
11:10
and we had the computer pick the random words
288
670380
4167
като накарахме компютъра да подбере случайни думи
11:14
in the pass phrase.
289
674547
1100
за паролата-фраза.
11:15
Now the reason we did this
290
675647
1153
Причината да направим това
11:16
is that humans are not very good
291
676800
1586
е, че хората не са много добри
11:18
at picking random words.
292
678386
1384
в избора на случайни думи.
11:19
If we asked a human to do it,
293
679770
1262
Карала съм хора да го правят.
11:21
they would pick things that were not very random.
294
681032
2998
Те избират думи, които не са много случайни.
11:24
So we tried a few different conditions.
295
684030
2032
Опитахме няколко различни условия.
11:26
In one condition, the computer picked
296
686062
2090
В единия случай компютърът избра
11:28
from a dictionary of the very common words
297
688152
2216
от речник с често срещани думи
11:30
in the English language,
298
690368
1362
в английския език,
11:31
and so you'd get pass phrases like
299
691730
1764
Така бихте получили фрази като
11:33
"try there three come."
300
693494
1924
"опитай там три ела".
11:35
And we looked at that, and we said,
301
695418
1732
Погледнахме и си казахме:
11:37
"Well, that doesn't really seem very memorable."
302
697150
3050
"Това не изглежда много запомнящо се."
11:40
So then we tried picking words
303
700200
2240
След това опитахме да вземем думи,
11:42
that came from specific parts of speech,
304
702440
2521
идващи от специфични части на речта, например
11:44
so how about noun-verb-adjective-noun.
305
704961
2182
съществително-глагол-прилагателно- съществително.
11:47
That comes up with something that's sort of sentence-like.
306
707143
2577
Това дава нещо, приличащо на изречение.
11:49
So you can get a pass phrase like
307
709720
2070
Така може да се получат фрази като
11:51
"plan builds sure power"
308
711790
1308
"план строи сигурна мощност"
11:53
or "end determines red drug."
309
713098
2786
или "край определя червено лекарство".
11:55
And these seemed a little bit more memorable,
310
715884
2676
Това изглеждаше малко по запомнящо се
11:58
and maybe people would like those a little bit better.
311
718560
2822
и може би хората биха го харесали повече.
12:01
We wanted to compare them with passwords,
312
721382
2572
Искахме да ги сравним с паролите
12:03
and so we had the computer pick random passwords,
313
723954
3196
и накарахме компютъра да избере случайни пароли.
12:07
and these were nice and short, but as you can see,
314
727150
1990
Те бяха хубави и кратки, но както виждате,
12:09
they don't really look very memorable.
315
729140
2806
не изглеждат много запомнящи се.
12:11
And then we decided to try something called
316
731946
1396
И тогава решихме да опитаме нещо, наречено
12:13
a pronounceable password.
317
733342
1646
произносима парола.
12:14
So here the computer picks random syllables
318
734988
2245
Тук компютърът подбира случайни срички
12:17
and puts them together
319
737233
1134
и ги събира
12:18
so you have something sort of pronounceable,
320
738367
2475
така че имате нещо произносимо
12:20
like "tufritvi" and "vadasabi."
321
740842
2602
като "туфритви" и "вадасаби".
12:23
That one kind of rolls off your tongue.
322
743444
2147
Този тип бърборене.
12:25
So these were random passwords that were
323
745591
2216
Това бяха случайни пароли,
12:27
generated by our computer.
324
747807
2744
генерирани от компютъра ни.
12:30
So what we found in this study was that, surprisingly,
325
750551
2978
Това, което установихме с изненада беше,
12:33
pass phrases were not actually all that good.
326
753529
3768
че паролите фрази не са толкова добри.
12:37
People were not really better at remembering
327
757297
2793
Хората не ги запомняха по-лесно,
12:40
the pass phrases than these random passwords,
328
760090
2953
отколкото тези случайни пароли.
12:43
and because the pass phrases are longer,
329
763043
2754
И тъй като фразите бяха по-дълги,
12:45
they took longer to type
330
765797
1226
отнемаха повече време за изписване
12:47
and people made more errors while typing them in.
331
767023
3010
и хората правеха повече грешки при писането им.
12:50
So it's not really a clear win for pass phrases.
332
770033
3227
Т.е. паролите-фрази не са чисти победители.
12:53
Sorry, all of you xkcd fans.
333
773260
3345
Съжалявам, фенове на XKCD.
12:56
On the other hand, we did find
334
776605
1892
От друга страна установихме,
12:58
that pronounceable passwords
335
778497
1804
че произносимите пароли
13:00
worked surprisingly well,
336
780301
1471
работят изненадващо добре
13:01
and so we actually are doing some more research
337
781772
2418
и затова правим допълнително изследване,
13:04
to see if we can make that approach work even better.
338
784190
3195
за да видим дали можем да подобрим този подход.
13:07
So one of the problems
339
787385
1812
Един от проблемите
13:09
with some of the studies that we've done
340
789197
1623
при някои от проучванията ни
13:10
is that because they're all done
341
790820
1683
е, че поради използването
13:12
using Mechanical Turk,
342
792503
1590
на Mechanical Turk,
13:14
these are not people's real passwords.
343
794093
1812
това не бяха истинските пароли на хората.
13:15
They're the passwords that they created
344
795905
2105
Това бяха пароли създадени от тях
13:18
or the computer created for them for our study.
345
798010
2495
или от компютъра за изследването ни.
13:20
And we wanted to know whether people
346
800505
1568
Искахме да знаем дали хората
13:22
would actually behave the same way
347
802073
2312
биха постъпили по същия начин
13:24
with their real passwords.
348
804385
2227
с истинските им пароли.
13:26
So we talked to the information security office at Carnegie Mellon
349
806612
3681
Обърнахме се към бюрото по сигурност на информацията в Карнеги Мелън
13:30
and asked them if we could have everybody's real passwords.
350
810293
3803
с въпрос дали бихме могли да имаме истинските пароли на всички.
13:34
Not surprisingly, they were a little bit reluctant
351
814096
1754
Не е изненада, че те не проявиха склонност
13:35
to share them with us,
352
815850
1550
да ги споделят с нас,
13:37
but we were actually able to work out
353
817400
1810
но можахме да изработим
13:39
a system with them
354
819210
1040
с тях система,
13:40
where they put all of the real passwords
355
820250
2109
в която те сложиха всички истински пароли
13:42
for 25,000 CMU students, faculty and staff,
356
822359
3091
на 25 000 студенти, преподаватели и персонал
13:45
into a locked computer in a locked room,
357
825450
2448
в един заключен компютър, в заключена стая,
13:47
not connected to the Internet,
358
827898
1394
без връзка с интернет,
13:49
and they ran code on it that we wrote
359
829292
1848
и пуснаха кода, който бяхме написали
13:51
to analyze these passwords.
360
831140
2152
за анализ на тези пароли.
13:53
They audited our code.
361
833292
1326
Те провериха кода
13:54
They ran the code.
362
834618
1312
и го изпълниха,
13:55
And so we never actually saw
363
835930
1738
така че ние никога не видяхме
13:57
anybody's password.
364
837668
2817
чиято и да било парола.
14:00
We got some interesting results,
365
840485
1515
Получихме някои интересни резултати.
14:02
and those of you Tepper students in the back
366
842000
1696
Студентите от [бизнес факултета] Тепер отзад
14:03
will be very interested in this.
367
843696
2875
ще бъдат силно заинтригувани от тях.
14:06
So we found that the passwords created
368
846571
3731
Установихме, че паролите, създадени
14:10
by people affiliated with the school of computer science
369
850302
2158
от хора, числящи се към факултета за компютърна наука
14:12
were actually 1.8 times stronger
370
852460
2324
са 1.8 пъти по-силни
14:14
than those affiliated with the business school.
371
854784
3738
от тези, числящи се към бизнес факултета.
14:18
We have lots of other really interesting
372
858522
2040
Получихме и много друга интересна
14:20
demographic information as well.
373
860562
2238
демографска информация.
14:22
The other interesting thing that we found
374
862800
1846
Друго интересно нещо, което установихме
14:24
is that when we compared the Carnegie Mellon passwords
375
864646
2440
при сравнаване паролите на Карнеги Мелън
14:27
to the Mechanical Turk-generated passwords,
376
867086
2283
с генерираните от Mechanical Turk,
14:29
there was actually a lot of similarities,
377
869369
2619
е, че имаше много прилики,
14:31
and so this helped validate our research method
378
871988
1948
което потвърди изследователския ни метод
14:33
and show that actually, collecting passwords
379
873936
2510
и показа, че събирането на пароли
14:36
using these Mechanical Turk studies
380
876446
1808
с Mechanical Turk
14:38
is actually a valid way to study passwords.
381
878254
2788
е валиден начин за изучаване на пароли.
14:41
So that was good news.
382
881042
2285
Това беше добра новина.
14:43
Okay, I want to close by talking about
383
883327
2414
Искам да приключа, разказвайки за
14:45
some insights I gained while on sabbatical
384
885741
2068
някои прозрения, осенили ме през отпуска
14:47
last year in the Carnegie Mellon art school.
385
887809
3201
миналата година във факултета по изкуства.
14:51
One of the things that I did
386
891010
1281
Едно от нещата, които направих
14:52
is I made a number of quilts,
387
892291
1524
бяха няколко покривала,
14:53
and I made this quilt here.
388
893815
1548
едно от които е това тук,
14:55
It's called "Security Blanket."
389
895363
1899
което нарекох "Одеяло на сигурността".
14:57
(Laughter)
390
897262
2431
(Смях)
14:59
And this quilt has the 1,000
391
899693
3095
То има 1 000
15:02
most frequent passwords stolen
392
902788
2328
най-често използвани пароли, откраднати
15:05
from the RockYou website.
393
905116
2571
от сайта на RockYou.
15:07
And the size of the passwords is proportional
394
907687
2061
Размерът на паролите е пропорционален
15:09
to how frequently they appeared
395
909748
1901
на честотата с която те се появяват
15:11
in the stolen dataset.
396
911649
2248
в откраднатия набор от данни.
15:13
And what I did is I created this word cloud,
397
913897
2632
Това, което направих е този облак от думи.
15:16
and I went through all 1,000 words,
398
916529
2132
Минах през всичките хиляда
15:18
and I categorized them into
399
918661
1795
и ги категоризирах в
15:20
loose thematic categories.
400
920456
2380
свободни тематични категории.
15:22
And it was, in some cases,
401
922836
1903
В някои случаи
15:24
it was kind of difficult to figure out
402
924739
2038
беше доста трудно да определя
15:26
what category they should be in,
403
926777
1755
в коя категория трябва да са.
15:28
and then I color-coded them.
404
928532
1899
След това им дадох цветен код.
15:30
So here are some examples of the difficulty.
405
930431
2619
Ето няколко примера за трудност.
15:33
So "justin."
406
933050
1181
"Джъстин"
15:34
Is that the name of the user,
407
934231
1829
Това името на потребителя ли е,
15:36
their boyfriend, their son?
408
936060
1322
на приятеля или на сина?
15:37
Maybe they're a Justin Bieber fan.
409
937382
2888
Може би са били фенове на Джъстин Бийбър.
15:40
Or "princess."
410
940270
2225
Или "принцеса".
15:42
Is that a nickname?
411
942495
1635
Това прозвище ли е?
15:44
Are they Disney princess fans?
412
944130
1595
Или са фенове на принцесата на Дисни?
15:45
Or maybe that's the name of their cat.
413
945725
3694
Или може би това е името на котката им.
15:49
"Iloveyou" appears many times
414
949419
1655
"Обичам те"се появява много пъти
15:51
in many different languages.
415
951074
1545
на много езици.
15:52
There's a lot of love in these passwords.
416
952619
3735
Има изобилие от любов в тези пароли.
15:56
If you look carefully, you'll see there's also
417
956354
1680
Ако гледате внимателно, ще видите и
15:58
some profanity,
418
958034
2267
някои ругатни,
16:00
but it was really interesting to me to see
419
960301
1950
но за мен беше наистина интересно да видя,
16:02
that there's a lot more love than hate
420
962251
2307
че има много повече любов, отколкото омраза
16:04
in these passwords.
421
964558
2292
в тези пароли.
16:06
And there are animals,
422
966850
1490
Има и животни.
16:08
a lot of animals,
423
968340
1360
Много животни.
16:09
and "monkey" is the most common animal
424
969700
2304
"Маймуна" е най-често срещаното,
16:12
and the 14th most popular password overall.
425
972004
3675
при това е 14-та най-популярна парола изобщо.
16:15
And this was really curious to me,
426
975679
2231
Беше ми наистина любопитно.
16:17
and I wondered, "Why are monkeys so popular?"
427
977910
2523
Чудех се защо маймуните са толкова популярни.
16:20
And so in our last password study,
428
980433
3352
И така в последното ни изследване на пароли,
16:23
any time we detected somebody
429
983785
1686
всеки път, когато откриехме някой,
16:25
creating a password with the word "monkey" in it,
430
985471
2649
създаващ парола с думата "маймуна" в нея,
16:28
we asked them why they had a monkey in their password.
431
988120
3030
го питахме защо я слага.
16:31
And what we found out --
432
991150
1910
Това, което установихме -
16:33
we found 17 people so far, I think,
433
993060
2103
засега сме намерили, мисля, 17 души,
16:35
who have the word "monkey" --
434
995163
1283
които използваха думата "маймуна" -
16:36
We found out about a third of them said
435
996446
1812
е, че около една трета от тях
16:38
they have a pet named "monkey"
436
998258
1740
имат домашен любимец, наричан така
16:39
or a friend whose nickname is "monkey,"
437
999998
2291
или приятел с прозвището "маймуна".
16:42
and about a third of them said
438
1002289
1660
Около една трета казаха,
16:43
that they just like monkeys
439
1003949
1533
че просто харесват маймуни
16:45
and monkeys are really cute.
440
1005482
1638
защото са много мили.
16:47
And that guy is really cute.
441
1007120
3639
Тази тук е наистина сладка.
16:50
So it seems that at the end of the day,
442
1010759
3408
Изглежда, че в края на краищата,
16:54
when we make passwords,
443
1014167
1783
когато измисляме пароли,
16:55
we either make something that's really easy
444
1015950
1974
ние или правим нещо лесно
16:57
to type, a common pattern,
445
1017924
3009
за написване, общ модел,
17:00
or things that remind us of the word password
446
1020933
2486
или неща, които ни напомнят за думата парола
17:03
or the account that we've created the password for,
447
1023419
3312
или за акаунта, за който създаваме паролата
17:06
or whatever.
448
1026731
2617
или нещо такова.
17:09
Or we think about things that make us happy,
449
1029348
2642
Или мислим за неща, които ни правят щастливи
17:11
and we create our password
450
1031990
1304
и създаваме нашите пароли
17:13
based on things that make us happy.
451
1033294
2238
въз основа на тях.
17:15
And while this makes typing
452
1035532
2863
И докато това прави писането
17:18
and remembering your password more fun,
453
1038395
2870
и запомнянето на паролите забавно,
17:21
it also makes it a lot easier
454
1041265
1807
също така го прави лесно
17:23
to guess your password.
455
1043072
1506
за отгатване на паролата ви.
17:24
So I know a lot of these TED Talks
456
1044578
1748
Аз зная, че много от тези TED беседи
17:26
are inspirational
457
1046326
1634
вдъхновяват
17:27
and they make you think about nice, happy things,
458
1047960
2461
и ви карат да мислите за хубави, радостни неща,
17:30
but when you're creating your password,
459
1050421
1897
но когато създавате паролата си
17:32
try to think about something else.
460
1052318
1991
опитайте да мислите за нещо друго.
17:34
Thank you.
461
1054309
1107
Благодаря ви.
17:35
(Applause)
462
1055416
553
(Аплодисменти)
Относно този уебсайт

Този сайт ще ви запознае с видеоклипове в YouTube, които са полезни за изучаване на английски език. Ще видите уроци по английски език, преподавани от първокласни учители от цял свят. Кликнете два пъти върху английските субтитри, показани на всяка страница с видеоклипове, за да възпроизведете видеото оттам. Субтитрите се превъртат в синхрон с възпроизвеждането на видеото. Ако имате някакви коментари или искания, моля, свържете се с нас, като използвате тази форма за контакт.

https://forms.gle/WvT1wiN1qDtmnspy7