Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

139,435 views ・ 2014-06-24

TED

Bitte doppelklicken Sie auf die englischen Untertitel unten, um das Video abzuspielen.

Übersetzung: Angelika Lueckert Leon Lektorat: Nadine Hennig

00:12

I am a computer science and engineering professor here at Carnegie Mellon,

12535

3445

Ich bin Professorin für Technische Informatik

hier an der Carnegie Mellon,

00:15

and my research focuses on usable privacy and security,

15980

4248

und meine Forschung konzentriert sich auf nützlichen Datenschutz.

00:20

and so my friends like to give me examples

20228

2768

Daher geben meine Freunde mir gerne Beispiele

00:22

of their frustrations with computing systems,

22996

2202

für ihren Frust mit Rechnersystemen,

00:25

especially frustrations related to

25198

3354

vor allem in Bezug auf unbrauchbaren Datenschutz.

00:28

unusable privacy and security.

28552

4112

00:32

So passwords are something that I hear a lot about.

32664

2711

Ich höre viel über Passwörter.

00:35

A lot of people are frustrated with passwords,

35375

2880

Viele Menschen sind von Passwörtern genervt,

00:38

and it's bad enough

38255

1694

und das ist schlimm genug,

00:39

when you have to have one really good password

39949

2644

wenn man ein wirklich gutes Passwort braucht,

00:42

that you can remember

42593

1822

das man sich merken kann,

00:44

but nobody else is going to be able to guess.

44415

2894

aber das niemand anders erraten soll.

00:47

But what do you do when you have accounts

47309

1637

Was macht man, wenn man Konten auf hundert verschiedenen Systemen hat

00:48

on a hundred different systems

48946

1808

00:50

and you're supposed to have a unique password

50754

2276

und ein individuelles Passwort für jedes dieser Systeme haben sollte?

00:53

for each of these systems?

53030

3037

00:56

It's tough.

56067

2184

Das ist schwer.

00:58

At Carnegie Mellon, they used to make it

58251

1759

An der Carnegie Mellon machten sie es uns ziemlich einfach,

01:00

actually pretty easy for us

60010

1299

01:01

to remember our passwords.

61309

1737

uns unsere Passwörter zu merken.

01:03

The password requirement up through 2009

63046

2403

Bis 2009 war die Anforderung an ein Passwort nur,

01:05

was just that you had to have a password

65449

2379

dass man ein Passwort brauchte

01:07

with at least one character.

67828

2211

mit mindestens einem Zeichen.

01:10

Pretty easy. But then they changed things,

70039

2888

Ziemlich einfach.

Aber dann änderten sie es, und Ende 2009 gaben sie bekannt,

01:12

and at the end of 2009, they announced

72927

2670

01:15

that we were going to have a new policy,

75597

2376

dass sie eine neue Richtlinie bekämen,

01:17

and this new policy required

77973

1863

und die neue Richtlinie verlangte,

01:19

passwords that were at least eight characters long,

79836

2681

dass Passwörter mindestens 8 Zeichen lang sein mussten.

01:22

with an uppercase letter, lowercase letter,

82517

1775

mit einem Groß-, einem Kleinbuchstaben, einer Zahl und einem Symbol.

01:24

a digit, a symbol,

84292

1288

01:25

you couldn't use the same character more than three times,

85580

2638

Man durfte dieselben Zeichen nicht mehr als 3-mal nutzen,

01:28

and it wasn't allowed to be in a dictionary.

88218

2434

und es durfte kein Wort aus dem Wörterbuch sein.

01:30

Now, when they implemented this new policy,

90652

2182

Als sie die Richtlinie umsetzten,

01:32

a lot of people, my colleagues and friends,

92834

2310

kamen viele Leute, meine Kollegen und Freunde,

01:35

came up to me and they said, "Wow,

95144

1854

auf mich zu und sagten:

01:36

now that's really unusable.

96998

1512

"Wow, das ist wirklich unnütz.

01:38

Why are they doing this to us,

98510

1193

Warum machen sie das mit uns? Warum hast du sie nicht gestoppt?"

01:39

and why didn't you stop them?"

99703

1711

01:41

And I said, "Well, you know what?

101414

1356

Und ich sagte: "Weißt du was? Sie haben mich nicht gefragt."

01:42

They didn't ask me."

102770

1508

01:44

But I got curious, and I decided to go talk

104278

3465

Aber ich wurde neugierig und entschied,

mit den Verantwortlichen für unsere Computersysteme zu reden

01:47

to the people in charge of our computer systems

107743

1937

01:49

and find out what led them to introduce

109680

2831

und herauszufinden, was sie veranlasst hatte,

01:52

this new policy,

112511

1848

die neue Richtlinie einzuführen.

01:54

and they said that the university

114359

1584

Sie meinten, die Universität

01:55

had joined a consortium of universities,

115943

2366

wäre einem Universitäts-- Verbund beigetreten,

01:58

and one of the requirements of membership

118309

2634

und eine der Anforderungen an die Mitgliedschaft war,

02:00

was that we had to have stronger passwords

120943

2248

dass wir sichere Passwörter brauchten,

02:03

that complied with some new requirements,

123191

2272

die den neuen Anforderungen entsprachen.

02:05

and these requirements were that our passwords

125463

2104

Die neuen Vorgaben besagten,

unsere Passwörter müssten mehr Entropie haben.

02:07

had to have a lot of entropy.

127567

1604

02:09

Now entropy is a complicated term,

129171

2278

Entropie ist ein komplizierter Begriff,

02:11

but basically it measures the strength of passwords.

131449

2798

aber im Wesentlichen misst er die Stärke von Passwörtern.

02:14

But the thing is, there isn't actually

134247

1979

Es ist nur so, dass es tatsächlich kein Richtmaß für Entropie gibt.

02:16

a standard measure of entropy.

136226

1949

02:18

Now, the National Institute of Standards and Technology

138175

2399

Das Nationale Institut für Standards und Technologie

02:20

has a set of guidelines

140574

1553

hat eine Reihe von Richtlinien mit einigen Faustregeln,

02:22

which have some rules of thumb

142127

2568

02:24

for measuring entropy,

144695

1440

um Entropie zu messen.

02:26

but they don't have anything too specific,

146135

2895

Aber es gibt nichts wirklich Konkretes.

02:29

and the reason they only have rules of thumb

149030

2337

Der Grund, warum sie nur Faustregeln haben,

02:31

is it turns out they don't actually have any good data

151367

3136

liegt an der fehlenden guten Datenlage über Passwörter.

02:34

on passwords.

154503

1520

02:36

In fact, their report states,

156023

2312

In ihrem Bericht heißt es sogar:

02:38

"Unfortunately, we do not have much data

158335

2328

"Leider haben wir kaum Daten

02:40

on the passwords users choose under particular rules.

160663

2842

zu den von Nutzern unter bestimmten Bedingungen gewählten Passwörtern.

02:43

NIST would like to obtain more data

163505

2333

Das NIST würde gerne mehr Daten gewinnen,

02:45

on the passwords users actually choose,

165838

2462

über die von Nutzern gewählten Passwörter,

02:48

but system administrators are understandably reluctant

168300

2463

aber Systemadministratoren zögern verständlicherweise,

02:50

to reveal password data to others."

170763

2940

anderen die Passwörter offenzulegen."

02:53

So this is a problem, but our research group

173703

3097

Das ist also ein Problem,

aber unsere Forschungsgruppe sah es als Chance.

02:56

looked at it as an opportunity.

176800

2140

02:58

We said, "Well, there's a need for good password data.

178940

3100

Wir sagten: "Es gibt einen Bedarf für gute Passwort-Daten.

03:02

Maybe we can collect some good password data

182040

2148

Vielleicht können wir gute Passwort-Daten sammeln

03:04

and actually advance the state of the art here.

184188

2704

und den Stand den Technik verbessern."

03:06

So the first thing we did is,

186892

1672

Als Erstes besorgten wir uns eine Tüte Schokoriegel,

03:08

we got a bag of candy bars

188564

1556

03:10

and we walked around campus

190120

1086

liefen über den Campus,

03:11

and talked to students, faculty and staff,

191206

2798

sprachen mit Studenten, Dozenten und Mitarbeitern,

03:14

and asked them for information

194004

1530

und fragten sie nach Informationen zu ihren Passwörtern.

03:15

about their passwords.

195534

1552

03:17

Now we didn't say, "Give us your password."

197086

3004

Wir sagten aber nicht: "Geben Sie uns Ihr Passwort."

03:20

No, we just asked them about their password.

200090

2661

Nein, wir fragten sie etwas über ihr Passwort.

03:22

How long is it? Does it have a digit?

202751

1478

Wie lang ist es?

Hat es eine Zahl, ein Symbol?

03:24

Does it have a symbol?

204229

1068

03:25

And were you annoyed at having to create

205297

2045

Waren sie verärgert als sie letzte Woche ein neues erstellen mussten?

03:27

a new one last week?

207342

2744

03:30

So we got results from 470 students,

210086

3206

Wir erhielten Ergebnisse

von 470 Studenten, Dozenten und Mitarbeiter,

03:33

faculty and staff,

213292

971

03:34

and indeed we confirmed that the new policy

214263

2514

und wir konnten bestätigen, dass die neue Richtlinie

03:36

was very annoying,

216777

1453

wirklich nervig war,

03:38

but we also found that people said

218230

1792

aber wir stellten auch fest,

03:40

they felt more secure with these new passwords.

220022

3130

dass Leute sich mit den neuen Passwörtern sicherer fühlten.

03:43

We found that most people knew

223152

2306

Wir erfuhren, dass die meisten Leute wissen,

03:45

they were not supposed to write their password down,

225458

2152

dass sie ihr Passwort nicht aufschreiben sollten,

03:47

and only 13 percent of them did,

227610

2391

nur 13 % davon machten das,

03:50

but disturbingly, 80 percent of people

230001

2416

aber verstörende 80 % der Menschen sagten,

03:52

said they were reusing their password.

232417

2124

dass sie ihr Passwort wieder verwendeten.

03:54

Now, this is actually more dangerous

234541

1796

Das ist aber sogar viel gefährlicher als sein Passwort aufzuschreiben,

03:56

than writing your password down,

236337

2022

03:58

because it makes you much more susceptible to attackers.

100

238359

3561

denn es macht es für Angreifer viel anfälliger.

04:01

So if you have to, write your passwords down,

101

241920

3118

Wenn Sie müssen,

schreiben Sie Ihr Passwort auf, aber benutzen Sie es nicht wieder.

04:05

but don't reuse them.

102

245038

1799

04:06

We also found some interesting things

103

246837

1751

Wir fanden auch interessante Dinge

04:08

about the symbols people use in passwords.

104

248588

2961

über die in Passwörtern verwendeten Symbole heraus.

04:11

So CMU allows 32 possible symbols,

105

251549

2799

Die CMU erlaubt 32 mögliche Symbole,

04:14

but as you can see, there's only a small number

106

254348

2433

aber wie man sieht, wird nur ein kleiner Anteil

04:16

that most people are using,

107

256781

1802

von den Menschen genutzt.

04:18

so we're not actually getting very much strength

108

258583

2941

Daher tragen die Symbole in unseren Passwörtern

04:21

from the symbols in our passwords.

109

261524

2466

nicht viel zur Stärke bei.

04:23

So this was a really interesting study,

110

263990

2711

Das war also eine wirklich interessante Studie,

04:26

and now we had data from 470 people,

111

266701

2464

und jetzt hatten wir Daten von 470 Personen,

04:29

but in the scheme of things,

112

269165

1305

aber im Großen und Ganzen, sind das nicht viele Passwort-Daten.

04:30

that's really not very much password data,

113

270470

2580

04:33

and so we looked around to see

114

273050

1445

Daher sahen wir uns danach um,

04:34

where could we find additional password data?

115

274495

2560

wo wir weitere Passwort- Daten finden konnten.

04:37

So it turns out there are a lot of people

116

277055

2176

Es zeigt sich, dass viele Leute Passwörter stehlen,

04:39

going around stealing passwords,

117

279231

2202

04:41

and they often go and post these passwords

118

281433

2477

und sie stellen diese Passwörter dann oft ins Internet.

04:43

on the Internet.

119

283910

1337

04:45

So we were able to get access

120

285247

1673

Wir erlangten Zugang

04:46

to some of these stolen password sets.

121

286920

3970

zu einigen der gestohlenen Passworteinstellungen.

04:50

This is still not really ideal for research, though,

122

290890

2328

Das ist immer noch nicht ideal für die Erforschung,

04:53

because it's not entirely clear

123

293218

2037

denn es ist nicht völlig klar, woher all die Passwörter kamen

04:55

where all of these passwords came from,

124

295255

2184

04:57

or exactly what policies were in effect

125

297439

2242

oder welche Richtlinien galten, als die Leute diese Passwörter erstellten.

04:59

when people created these passwords.

126

299681

2108

05:01

So we wanted to find some better source of data.

127

301789

3552

Wir wollten daher eine bessere Datenquelle finden.

05:05

So we decided that one thing we could do

128

305341

1634

Wir entschieden eine Studie zu machen

05:06

is we could do a study and have people

129

306975

2129

und Menschen für unsere Studie Passwörter erstellen zu lassen.

05:09

actually create passwords for our study.

130

309104

3240

05:12

So we used a service called Amazon Mechanical Turk,

131

312344

2821

Wir nutzten einen Service namens "Amazon Mechanical Turk".

05:15

and this is a service where you can post

132

315165

2334

Bei diesem Service kann man eine kleine Aufgabe online einstellen,

05:17

a small job online that takes a minute,

133

317499

2304

für die man ca. 1 Minute, einige Minuten, eine Stunde braucht,

05:19

a few minutes, an hour,

134

319803

1500

05:21

and pay people, a penny, ten cents, a few dollars,

135

321303

2584

und Leuten Cents oder ein paar Dollar zahlt,

05:23

to do a task for you,

136

323887

1346

damit sie eine Aufgabe für einen zu erledigen.

05:25

and then you pay them through Amazon.com.

137

325233

2122

Man bezahlt über Amazon.com.

05:27

So we paid people about 50 cents

138

327355

2294

Wir zahlten Leuten etwa 50 Cents,

05:29

to create a password following our rules

139

329649

2596

um ein Passwort nach unseren Regeln zu erstellen

05:32

and answering a survey,

140

332245

1410

und eine Umfrage zu beantworten.

05:33

and then we paid them again to come back

141

333655

2525

Dann bezahlten wir sie erneut, um sich 2 Tage später wieder einzuloggen,

05:36

two days later and log in

142

336180

2071

05:38

using their password and answering another survey.

143

338251

2574

mit ihrem Passwort, und eine andere Umfrage zu beantworten.

05:40

So we did this, and we collected 5,000 passwords,

144

340825

4464

Wir machten das und sammelten 5000 Passwörter.

05:45

and we gave people a bunch of different policies

145

345289

2695

Wir gaben den Leuten eine Menge verschiedener Richtlinien,

05:47

to create passwords with.

146

347984

1508

um Passwörter zu erstellen.

05:49

So some people had a pretty easy policy,

147

349492

1910

Manche hatten eine recht leichte Richtlinie,

05:51

we call it Basic8,

148

351402

1539

wir nennen sie "Basic8".

05:52

and here the only rule was that your password

149

352941

2146

Die einzige Regel war hier,

05:55

had to have at least eight characters.

150

355087

3416

dass das Passwort mindestens 8 Zeichen haben muss.

05:58

Then some people had a much harder policy,

151

358503

2251

Einige bekamen eine viel strengere Richtlinie,

06:00

and this was very similar to the CMU policy,

152

360754

2537

ganz ähnlich wie die CMU-Richtlinie,

06:03

that it had to have eight characters

153

363291

1934

bei der man 8 Zeichen brauchte,

06:05

including uppercase, lowercase, digit, symbol,

154

365225

2376

die Groß-, Kleinbuchstabe, Zahl, Symbol beinhalten,

06:07

and pass a dictionary check.

155

367601

2389

und einen Wörterbuch-Test bestehen mussten.

06:09

And one of the other policies we tried,

156

369990

1335

Eine andere getestete Richtlinie,

06:11

and there were a whole bunch more,

157

371325

1270

und es gab noch jede Menge, war eine namens "Basic16".

06:12

but one of the ones we tried was called Basic16,

158

372595

2240

06:14

and the only requirement here

159

374835

2632

Die einzige Anforderung hier war,

06:17

was that your password had to have at least 16 characters.

160

377467

3153

dass das Passwort mindestens 16 Zeichen haben musste.

06:20

All right, so now we had 5,000 passwords,

161

380620

2458

Gut, wir hatten jetzt 5000 Passwörter

06:23

and so we had much more detailed information.

162

383078

3563

und damit hatten wir viel genauere Informationen.

06:26

Again we see that there's only a small number

163

386641

2559

Wieder sahen wir, dass nur eine kleine Anzahl von Symbolen

06:29

of symbols that people are actually using

164

389200

1915

für die Passwörter genutzt wurde.

06:31

in their passwords.

165

391115

1886

06:33

We also wanted to get an idea of how strong

166

393001

2599

Wir wollten eine Vorstellung von der Stärke der Passwörter bekommen,

06:35

the passwords were that people were creating,

167

395600

2771

die die Leuten erstellten.

06:38

but as you may recall, there isn't a good measure

168

398371

2620

Aber wie Sie vielleicht erinnern,

06:40

of password strength.

169

400991

1754

gibt es keine gute Maßeinheit für Passwort-Stärke.

06:42

So what we decided to do was to see

170

402745

2312

Wir beschlossen zu schauen, wie lange es dauert,

06:45

how long it would take to crack these passwords

171

405057

2370

bis wir die Passwörter knacken würden,

06:47

using the best cracking tools

172

407427

1414

unter Verwendung der besten Knack-Tools, die die bösen Jungs nutzen,

06:48

that the bad guys are using,

173

408841

1808

06:50

or that we could find information about

174

410649

2016

oder über die wir Informationen in der Forschungsliteratur fanden.

06:52

in the research literature.

175

412665

1537

06:54

So to give you an idea of how bad guys

176

414202

2758

Hier zeige ich Ihnen, wie böse Jungs Passwörter knacken.

06:56

go about cracking passwords,

177

416960

2170

06:59

they will steal a password file

178

419130

1951

Sie klauen eine Passwort-Datei,

07:01

that will have all of the passwords

179

421081

2153

mit allen Passwörter in verschlüsselter Form,

07:03

in kind of a scrambled form, called a hash,

180

423234

2889

"Hash" genannt.

07:06

and so what they'll do is they'll make a guess

181

426123

2562

Sie raten dann, was ein Passwort sein könnte,

07:08

as to what a password is,

182

428685

1712

07:10

run it through a hashing function,

183

430397

1897

lassen es durch eine Hash-Funktion laufen

07:12

and see whether it matches

184

432294

1765

und schauen, ob es zu den Passwörtern

07:14

the passwords they have on their stolen password list.

185

434059

3950

auf der Liste gestohlener Passwörter passt.

07:18

So a dumb attacker will try every password in order.

186

438009

3105

Ein dummer Angreifer wird jedes Passwort nacheinander versuchen.

07:21

They'll start with AAAAA and move on to AAAAB,

187

441114

3568

Sie fangen mit "AAAAA" an und machen mit "AAAAB" weiter,

07:24

and this is going to take a really long time

188

444682

2418

und es dauert ziemlich lange, bis sie irgendein Passwort finden,

07:27

before they get any passwords

189

447100

1526

07:28

that people are really likely to actually have.

190

448626

2697

dass Leute wirklich benutzen.

07:31

A smart attacker, on the other hand,

191

451323

2183

Ein schlauer Angreifer andererseits macht etwas viel Klügeres.

07:33

does something much more clever.

192

453506

1386

07:34

They look at the passwords

193

454892

1826

Sie schauen sich die Passwörter an, die bekanntermaßen beliebt sind,

07:36

that are known to be popular

194

456718

1800

07:38

from these stolen password sets,

195

458518

1727

aus den gestohlenen Passwörtern,

07:40

and they guess those first.

196

460245

1189

und erraten diese zuerst.

07:41

So they're going to start by guessing "password,"

197

461434

2134

Sie tippen also erst auf "Passwort",

07:43

and then they'll guess "I love you," and "monkey,"

198

463568

2751

dann tippen sie auf "Ich liebe dich" und "Affe"

07:46

and "12345678,"

199

466319

2583

und "12345678",

07:48

because these are the passwords

200

468902

1312

denn diese Passwörter nutzen die meisten Leute.

07:50

that are most likely for people to have.

201

470214

1905

07:52

In fact, some of you probably have these passwords.

202

472119

3261

Wahrscheinlich haben einige von Ihnen diese Passwörter.

Wir fanden also heraus,

07:57

So what we found

203

477191

1298

07:58

by running all of these 5,000 passwords we collected

204

478489

3406

indem wir all diese 5000 Passwörter sammelten

08:01

through these tests to see how strong they were,

205

481895

4106

und testeten, wie stark sie waren,

erkannten wir, dass lange Passwörter ziemlich stark waren.

08:06

we found that the long passwords

206

486001

2752

08:08

were actually pretty strong,

207

488753

1280

08:10

and the complex passwords were pretty strong too.

208

490033

3262

Komplexe Passwörter waren auch ziemlich stark.

08:13

However, when we looked at the survey data,

209

493295

2442

Aber wenn wir uns die Umfrage-Daten ansahen,

08:15

we saw that people were really frustrated

210

495737

3024

sahen wir, dass viele wirklich frustriert waren

08:18

by the very complex passwords,

211

498761

2339

von den sehr komplexen Passwörtern.

08:21

and the long passwords were a lot more usable,

212

501100

2630

Lange Passwörter waren viel brauchbarer

08:23

and in some cases, they were actually

213

503730

1325

und manchmal waren sie sogar stärker als komplexe Passwörter.

08:25

even stronger than the complex passwords.

214

505055

2908

08:27

So this suggests that,

215

507963

1169

Das legt also nahe,

08:29

instead of telling people that they need

216

509132

1703

dass es statt den Leuten zu sagen, sie sollten Symbole, Zahlen

08:30

to put all these symbols and numbers

217

510835

1522

08:32

and crazy things into their passwords,

218

512357

2842

und anderes Zeug in ihren Passwörtern verwenden,

08:35

we might be better off just telling people

219

515199

2022

wohlmöglich besser wäre zu sagen,

08:37

to have long passwords.

220

517221

2652

man sollte lange Passwörter haben.

08:39

Now here's the problem, though:

221

519873

1792

Es gibt aber ein Problem:

08:41

Some people had long passwords

222

521665

2255

Einige Leute hatten lange Passwörter, die nicht wirklich stark waren.

08:43

that actually weren't very strong.

223

523920

1555

08:45

You can make long passwords

224

525475

1997

Man kann lange Passwörter erstellen, die trotzdem von der Art sind,

08:47

that are still the sort of thing

225

527472

1556

08:49

that an attacker could easily guess.

226

529028

1742

die ein Angreifer leicht erraten kann.

08:50

So we need to do more than just say long passwords.

227

530770

3365

Wir müssen also mehr tun als nur "lange Passwörter" zu sagen.

08:54

There has to be some additional requirements,

228

534135

1936

Es gibt weitere Anforderungen,

08:56

and some of our ongoing research is looking at

229

536071

2969

und ein Teil unserer laufenden Forschung untersucht,

welche weiteren Anforderungen wir hinzufügen sollten,

08:59

what additional requirements we should add

230

539040

2439

09:01

to make for stronger passwords

231

541479

2104

um für sichere Passwörter zu sorgen,

09:03

that also are going to be easy for people

232

543583

2312

die für die Menschen auch einfach zu merken und zu tippen sind.

09:05

to remember and type.

233

545895

2698

09:08

Another approach to getting people to have

234

548593

2126

Um Leute zu stärkeren Passwörtern zu bewegen,

09:10

stronger passwords is to use a password meter.

235

550719

2257

könnte man als weiteren Ansatz ein Passwort-Messgerät nutzen.

09:12

Here are some examples.

236

552976

1385

Hier ein paar Beispiele.

09:14

You may have seen these on the Internet

237

554361

1401

Vielleicht kennen Sie sie aus dem Internet,

09:15

when you were creating passwords.

238

555762

3057

wenn Sie Passwörter erstellt haben.

09:18

We decided to do a study to find out

239

558819

2248

Wir entschieden mit einer Studie herauszufinden,

09:21

whether these password meters actually work.

240

561067

2887

ob diese Passwort-Messgeräte wirklich funktionieren.

09:23

Do they actually help people

241

563954

1421

Helfen Sie Menschen wirklich, stärkere Passwörter zu finden,

09:25

have stronger passwords,

242

565375

1453

09:26

and if so, which ones are better?

243

566828

2086

und wenn ja, welche sind besser?

09:28

So we tested password meters that were

244

568914

2507

Also testeten wir Passwort-Checker,

09:31

different sizes, shapes, colors,

245

571421

2098

die verschiedene Größen, Formen, Farben hatten,

09:33

different words next to them,

246

573519

1416

mit verschiedenen Worten daneben.

09:34

and we even tested one that was a dancing bunny.

247

574935

3275

Wir testeten sogar einen, der ein tanzender Hase war.

Wenn man ein besseres Passwort eintippt,

09:38

As you type a better password,

248

578210

1582

09:39

the bunny dances faster and faster.

249

579792

2539

tanzt der Hase immer schneller.

09:42

So this was pretty fun.

250

582331

2529

Das war sehr lustig.

09:44

What we found

251

584860

1567

Wir fanden heraus,

09:46

was that password meters do work.

252

586427

3572

dass Passwortstärke- Anzeiger funktionieren.

09:49

(Laughter)

253

589999

1801

(Gelächter)

09:51

Most of the password meters were actually effective,

254

591800

3333

Die meisten Passwort-Messer waren tatsächlich effektiv.

09:55

and the dancing bunny was very effective too,

255

595133

2521

Auch der tanzende Hase war sehr effektiv.

09:57

but the password meters that were the most effective

256

597654

2881

Aber die effektivsten Passwort-Messer waren die,

10:00

were the ones that made you work harder

257

600535

2355

die einen härter arbeiten ließen,

10:02

before they gave you that thumbs up and said

258

602890

1980

bis sie zustimmten und sagten, dass man es gut gemacht hatte.

10:04

you were doing a good job,

259

604870

1377

10:06

and in fact we found that most

260

606247

1512

Wir stellten aber fest,

10:07

of the password meters on the Internet today

261

607759

2281

die meisten heute im Internet verfügbaren Passwort-Messer sind zu leicht.

10:10

are too soft.

262

610040

952

10:10

They tell you you're doing a good job too early,

263

610992

2203

Sie sagen einem zu früh, dass man es gut macht.

10:13

and if they would just wait a little bit

264

613195

1929

Würden sie nur ein bisschen mehr warten, bevor sie eine positive Rückmeldung geben,

10:15

before giving you that positive feedback,

265

615124

2049

10:17

you probably would have better passwords.

266

617173

3160

hätte man vermutlich bessere Passwörter.

10:20

Now another approach to better passwords, perhaps,

267

620333

3847

Eine andere Methode für bessere Passwörter ist vielleicht,

10:24

is to use pass phrases instead of passwords.

268

624180

2890

Merksätze statt Passwörter zu nutzen.

10:27

So this was an xkcd cartoon from a couple of years ago,

269

627070

3418

Das war ein xkcd-Comic von vor einigen Jahren,

10:30

and the cartoonist suggests

270

630488

1674

und der Zeichner schlägt vor, dass wir alle Merksätze nutzen sollten.

10:32

that we should all use pass phrases,

271

632162

2196

10:34

and if you look at the second row of this cartoon,

272

634358

3170

Wenn man sich die zweite Reihe des Comics ansieht,

10:37

you can see the cartoonist is suggesting

273

637528

1857

sieht man wie der Zeichner vorschlägt,

10:39

that the pass phrase "correct horse battery staple"

274

639385

3441

dass der Merksatz "Correct horse battery staple"

10:42

would be a very strong pass phrase

275

642826

2481

ein sehr starker Merksatz wäre und sehr einfach zu merken ist.

10:45

and something really easy to remember.

276

645307

1916

10:47

He says, in fact, you've already remembered it.

277

647223

2797

Er sagt, dass Sie ihn sich gerade schon gemerkt haben.

Wir beschlossen eine Forschungsstudie zu machen,

10:50

And so we decided to do a research study

278

650020

2150

10:52

to find out whether this was true or not.

279

652170

2592

um herauszufinden, ob es stimmte.

10:54

In fact, everybody who I talk to,

280

654762

1775

Jeder, dem ich erzählte, dass ich eine Passwort-Studie machte,

10:56

who I mention I'm doing password research,

281

656537

2042

10:58

they point out this cartoon.

282

658579

1400

verwies auf diesen Comic.

10:59

"Oh, have you seen it? That xkcd.

283

659979

1574

"Hast du das gesehen? Von xkcd.

11:01

Correct horse battery staple."

284

661553

1602

Correct horse battery staple."

11:03

So we did the research study to see

285

663155

1806

In einer Forschungsstudie wollten wir sehen,

11:04

what would actually happen.

286

664961

2359

was wirklich passieren würde.

11:07

So in our study, we used Mechanical Turk again,

287

667320

3060

In unsere Studie nutzten wir wieder Mechanical Turk,

11:10

and we had the computer pick the random words

288

670380

4167

und ließen den Computer zufällige Wörter im Merksatz auswählen.

11:14

in the pass phrase.

289

674547

1100

11:15

Now the reason we did this

290

675647

1153

Wir machten das daher, weil Menschen nicht gut darin sind,

11:16

is that humans are not very good

291

676800

1586

11:18

at picking random words.

292

678386

1384

zufällige Wörter auszuwählen.

11:19

If we asked a human to do it,

293

679770

1262

Würden wir Menschen darum bitten,

11:21

they would pick things that were not very random.

294

681032

2998

würden sie nicht sehr zufällige Dinge auswählen.

11:24

So we tried a few different conditions.

295

684030

2032

Wir testeten daher verschiedene Bedingungen,

11:26

In one condition, the computer picked

296

686062

2090

unter einer Bedingung wählte der Rechner aus einem Wörterbuch

11:28

from a dictionary of the very common words

297

688152

2216

sehr gängige Wörter aus dem Englischen aus.

11:30

in the English language,

298

690368

1362

11:31

and so you'd get pass phrases like

299

691730

1764

So erhielt man Merksätze wie

11:33

"try there three come."

300

693494

1924

"[Versuch dort drei kommen]."

11:35

And we looked at that, and we said,

301

695418

1732

Wir schauten das an und sagten:

11:37

"Well, that doesn't really seem very memorable."

302

697150

3050

"Das scheint nicht sehr einprägsam."

11:40

So then we tried picking words

303

700200

2240

Dann versuchten wir Worte auszuwählen,

11:42

that came from specific parts of speech,

304

702440

2521

die aus bestimmten Teilen der Sprache stammen,

11:44

so how about noun-verb-adjective-noun.

305

704961

2182

z. B. Nomen-Verb-Adjektiv-Nomen.

11:47

That comes up with something that's sort of sentence-like.

306

707143

2577

Dann kommt man zu einer Art Satz.

11:49

So you can get a pass phrase like

307

709720

2070

Man erhält dann einen Merksatz wie:

11:51

"plan builds sure power"

308

711790

1308

"[Plan baut sicher Kraft]"

11:53

or "end determines red drug."

309

713098

2786

oder "[Ende bestimmt rote Droge]".

11:55

And these seemed a little bit more memorable,

310

715884

2676

Diese erschienen etwas einprägsamer,

11:58

and maybe people would like those a little bit better.

311

718560

2822

und vielleicht hätten Menschen sie ein bisschen lieber.

12:01

We wanted to compare them with passwords,

312

721382

2572

Wir wollten sie mit Passwörtern vergleichen,

12:03

and so we had the computer pick random passwords,

313

723954

3196

daher ließen wir den Rechner zufällige Wörter auswählen,

diese waren nett und kurz, aber wie man sieht,

12:07

and these were nice and short, but as you can see,

314

727150

1990

12:09

they don't really look very memorable.

315

729140

2806

sehen sie nicht sehr einprägsam aus.

12:11

And then we decided to try something called

316

731946

1396

Dann probierten wir etwas aus,

12:13

a pronounceable password.

317

733342

1646

"aussprechbares Passwort" genannt.

12:14

So here the computer picks random syllables

318

734988

2245

Hier wählt der Rechner zufällig Silben aus und fügt sie zusammen,

12:17

and puts them together

319

737233

1134

12:18

so you have something sort of pronounceable,

320

738367

2475

dadurch erhält man etwas Aussprechbares

12:20

like "tufritvi" and "vadasabi."

321

740842

2602

wie "tufritvi" und "vadasabi".

12:23

That one kind of rolls off your tongue.

322

743444

2147

Das geht leicht von den Lippen.

12:25

So these were random passwords that were

323

745591

2216

Das sind zufällige Passwörter,

12:27

generated by our computer.

324

747807

2744

die vom Computer erzeugt wurden.

12:30

So what we found in this study was that, surprisingly,

325

750551

2978

Wir fanden in der Studie etwas Überraschendes heraus:

12:33

pass phrases were not actually all that good.

326

753529

3768

Merksätze waren gar nicht so gut.

Die Leute konnte sich die Merksätze

12:37

People were not really better at remembering

327

757297

2793

12:40

the pass phrases than these random passwords,

328

760090

2953

kaum besser merken als zufällige Passwörter.

12:43

and because the pass phrases are longer,

329

763043

2754

Da Merksätze länger sind, tippten sie länger,

12:45

they took longer to type

330

765797

1226

12:47

and people made more errors while typing them in.

331

767023

3010

und beim Eintippen entstanden mehr Fehler.

12:50

So it's not really a clear win for pass phrases.

332

770033

3227

Es gibt also keinen klaren Sieg für Merksätze.

12:53

Sorry, all of you xkcd fans.

333

773260

3345

Tut mir leid, ihr xkcd-Fans.

12:56

On the other hand, we did find

334

776605

1892

Andererseits fanden wir heraus,

12:58

that pronounceable passwords

335

778497

1804

dass aussprechbare Passwörter sehr gut funktionierten.

13:00

worked surprisingly well,

336

780301

1471

13:01

and so we actually are doing some more research

337

781772

2418

Daher erforschen wir gerade,

13:04

to see if we can make that approach work even better.

338

784190

3195

ob wir diesen Ansatz noch verbessern können.

13:07

So one of the problems

339

787385

1812

Eins der Probleme mit den von uns durchgeführten Studien war,

13:09

with some of the studies that we've done

340

789197

1623

13:10

is that because they're all done

341

790820

1683

dass sie alle mit Mechanical Turk gemacht wurden.

13:12

using Mechanical Turk,

342

792503

1590

Das sind keine echten Passwörter.

13:14

these are not people's real passwords.

343

794093

1812

13:15

They're the passwords that they created

344

795905

2105

Das sind Passwörter, die sie erstellt haben

13:18

or the computer created for them for our study.

345

798010

2495

oder die der Rechner für sie für die Studie erzeugt hat.

13:20

And we wanted to know whether people

346

800505

1568

Wir wollten wissen, ob Menschen sich bei ihren echten Passwörtern

13:22

would actually behave the same way

347

802073

2312

13:24

with their real passwords.

348

804385

2227

wirklich genauso verhalten würden.

13:26

So we talked to the information security office at Carnegie Mellon

349

806612

3681

Wir sprachen daher mit

den Informationssicherheitsbeauftragten an der Carnegie Mellon

13:30

and asked them if we could have everybody's real passwords.

350

810293

3803

und baten sie, die echten Passwörter von allen zu bekommen.

Kein Wunder, dass sie etwas zögerten, sie mit uns zu teilen,

13:34

Not surprisingly, they were a little bit reluctant

351

814096

1754

13:35

to share them with us,

352

815850

1550

13:37

but we were actually able to work out

353

817400

1810

aber wir erarbeiteten mit ihnen ein System,

13:39

a system with them

354

819210

1040

13:40

where they put all of the real passwords

355

820250

2109

wo sie alle echten Passwörter

13:42

for 25,000 CMU students, faculty and staff,

356

822359

3091

für 25 000 CMU-Studenten, -Dozenten und -Mitarbeiter

in einen gesicherten Rechner in einem gesicherten Raum eingaben,

13:45

into a locked computer in a locked room,

357

825450

2448

13:47

not connected to the Internet,

358

827898

1394

ohne Verbindung zum Internet,

13:49

and they ran code on it that we wrote

359

829292

1848

und sie führten eine Code aus, den wir schrieben,

13:51

to analyze these passwords.

360

831140

2152

um diese Passwörter zu analysieren.

13:53

They audited our code.

361

833292

1326

Sie prüften unseren Code.

13:54

They ran the code.

362

834618

1312

Sie führten den Code aus.

13:55

And so we never actually saw

363

835930

1738

Wir sahen also tatsächlich von niemandem das Passwort.

13:57

anybody's password.

364

837668

2817

14:00

We got some interesting results,

365

840485

1515

Wir erhielten interessante Ergebnisse,

14:02

and those of you Tepper students in the back

366

842000

1696

und alle Tepper-Studenten in den hinteren Reihen

14:03

will be very interested in this.

367

843696

2875

wird das sehr interessieren.

14:06

So we found that the passwords created

368

846571

3731

Wir stellten fest, dass die von Angestellten der Informatik-Fakultät

14:10

by people affiliated with the school of computer science

369

850302

2158

erstellten Passwörter 1,8-mal stärker waren,

14:12

were actually 1.8 times stronger

370

852460

2324

14:14

than those affiliated with the business school.

371

854784

3738

als die der Angestellten der Fakultät für Wirtschaft.

14:18

We have lots of other really interesting

372

858522

2040

Wir haben auch noch einige andere interessante demografische Informationen.

14:20

demographic information as well.

373

860562

2238

14:22

The other interesting thing that we found

374

862800

1846

Es war interessant zu sehen,

14:24

is that when we compared the Carnegie Mellon passwords

375

864646

2440

dass, als wir die Carnegie-Mellon-Passwörter

14:27

to the Mechanical Turk-generated passwords,

376

867086

2283

mit denen von Mechanical Turk generierten Passwörtern verglichen,

14:29

there was actually a lot of similarities,

377

869369

2619

es viele Parallelen gab.

14:31

and so this helped validate our research method

378

871988

1948

Dies half dabei, unsere Forschungsmethode zu bestätigen

14:33

and show that actually, collecting passwords

379

873936

2510

und zu zeigen, dass Sammeln von Passwörtern

14:36

using these Mechanical Turk studies

380

876446

1808

mit den Mechanical-Turk-Studien

14:38

is actually a valid way to study passwords.

381

878254

2788

eine gültige Weise war, Passwörter zu untersuchen.

14:41

So that was good news.

382

881042

2285

Das sind also gute Neuigkeiten.

14:43

Okay, I want to close by talking about

383

883327

2414

Zum Schluss möchte ich noch über ein paar Erkenntnisse sprechen,

14:45

some insights I gained while on sabbatical

384

885741

2068

die ich während des Sabbatical letztes Jahr

14:47

last year in the Carnegie Mellon art school.

385

887809

3201

an der Carnegie Mellon- Kunsthochschule gewann.

14:51

One of the things that I did

386

891010

1281

Ich machte unter anderem eine Anzahl von Quilts,

14:52

is I made a number of quilts,

387

892291

1524

14:53

and I made this quilt here.

388

893815

1548

und ich machte diesen Quilt hier.

14:55

It's called "Security Blanket."

389

895363

1899

Er nennt sich "Sicherheitspolster".

14:57

(Laughter)

390

897262

2431

(Gelächter)

14:59

And this quilt has the 1,000

391

899693

3095

Dieser Quilt zeigt die 1000 gängigsten gestohlenen Passwörter

15:02

most frequent passwords stolen

392

902788

2328

15:05

from the RockYou website.

393

905116

2571

von der RockYou-Website.

15:07

And the size of the passwords is proportional

394

907687

2061

Die Größe eines Passworts ist proportional zur Häufigkeit seines Auftretens

15:09

to how frequently they appeared

395

909748

1901

15:11

in the stolen dataset.

396

911649

2248

im gestohlenen Datensatz.

15:13

And what I did is I created this word cloud,

397

913897

2632

Ich schuf diese Wortwolke,

15:16

and I went through all 1,000 words,

398

916529

2132

ich ging alle 1000 Wörter durch

15:18

and I categorized them into

399

918661

1795

und teilte sie in lose thematische Kategorien ein.

15:20

loose thematic categories.

400

920456

2380

15:22

And it was, in some cases,

401

922836

1903

Und manchmal war es ziemlich schwierig herauszufinden,

15:24

it was kind of difficult to figure out

402

924739

2038

15:26

what category they should be in,

403

926777

1755

in welcher Kategorie sie sein sollten, und kodierte sie nach Farbe.

15:28

and then I color-coded them.

404

928532

1899

15:30

So here are some examples of the difficulty.

405

930431

2619

Hier sind ein paar Beispiele für die Schwierigkeit.

15:33

So "justin."

406

933050

1181

Etwa "Justin".

15:34

Is that the name of the user,

407

934231

1829

Ist das der Name des Nutzers, des Freundes, des Sohns?

15:36

their boyfriend, their son?

408

936060

1322

15:37

Maybe they're a Justin Bieber fan.

409

937382

2888

Vielleicht sind sie nur eine Bieber-Fan.

15:40

Or "princess."

410

940270

2225

Oder "Prinzessin".

15:42

Is that a nickname?

411

942495

1635

Ist das eine Spitzname?

15:44

Are they Disney princess fans?

412

944130

1595

Oder sind sie Disney-Prinzessinnen-Fans?

15:45

Or maybe that's the name of their cat.

413

945725

3694

Oder vielleicht ist das der Name ihrer Katze.

15:49

"Iloveyou" appears many times

414

949419

1655

"iloveyou" erscheint häufig in vielen verschiedenen Sprachen.

15:51

in many different languages.

415

951074

1545

15:52

There's a lot of love in these passwords.

416

952619

3735

Es gibt viel Liebe in diesen Passwörtern.

15:56

If you look carefully, you'll see there's also

417

956354

1680

Wenn man genau hinsieht, sieht man auch Alltägliches.

15:58

some profanity,

418

958034

2267

Aber für mich war es wirklich interessant zu sehen,

16:00

but it was really interesting to me to see

419

960301

1950

16:02

that there's a lot more love than hate

420

962251

2307

dass in den Passwörtern viel mehr Liebe als Hass steckt.

16:04

in these passwords.

421

964558

2292

16:06

And there are animals,

422

966850

1490

Es gibt auch viele Tiere.

16:08

a lot of animals,

423

968340

1360

16:09

and "monkey" is the most common animal

424

969700

2304

"Affe" ist das häufigste Tier

16:12

and the 14th most popular password overall.

425

972004

3675

und das am 14. beliebteste Passwort überhaupt.

16:15

And this was really curious to me,

426

975679

2231

Das war sehr seltsam für mich,

16:17

and I wondered, "Why are monkeys so popular?"

427

977910

2523

und ich fragte mich: "Warum sind Affen so beliebt?"

16:20

And so in our last password study,

428

980433

3352

In unserer letzten Passwort-Studie

16:23

any time we detected somebody

429

983785

1686

fragten wir immer, wenn wir jemanden fanden,

16:25

creating a password with the word "monkey" in it,

430

985471

2649

der ein Passwort mit dem Wort "Affe" anlegte,

16:28

we asked them why they had a monkey in their password.

431

988120

3030

warum sie Affe im Passwort hatten.

16:31

And what we found out --

432

991150

1910

Und wir fanden heraus --

wir fanden bisher 17 Menschen, die das Wort "Affe" nutzen --

16:33

we found 17 people so far, I think,

433

993060

2103

16:35

who have the word "monkey" --

434

995163

1283

16:36

We found out about a third of them said

435

996446

1812

dass ein Drittel von ihnen ein Haustier namens "Affe" hätten,

16:38

they have a pet named "monkey"

436

998258

1740

16:39

or a friend whose nickname is "monkey,"

437

999998

2291

oder einen Freund, dessen Spitzname "Affe" war.

16:42

and about a third of them said

438

1002289

1660

Und ein Drittel von ihnen sagte,

16:43

that they just like monkeys

439

1003949

1533

dass sie Affen einfach mögen und Affen wirklich süß sind.

16:45

and monkeys are really cute.

440

1005482

1638

16:47

And that guy is really cute.

441

1007120

3639

Dieser Affe ist wirklich süß.

16:50

So it seems that at the end of the day,

442

1010759

3408

Letztendlich scheint es so,

16:54

when we make passwords,

443

1014167

1783

wenn wir Passwörter erstellen,

16:55

we either make something that's really easy

444

1015950

1974

nehmen wir etwas wirklich Einfaches zum Tippen, ein gängiges Muster,

16:57

to type, a common pattern,

445

1017924

3009

17:00

or things that remind us of the word password

446

1020933

2486

oder Dinge, die uns an das Wort Passwort erinnern,

17:03

or the account that we've created the password for,

447

1023419

3312

oder an das Konto, für das wir das Passwort erstellt haben,

17:06

or whatever.

448

1026731

2617

oder so etwas.

17:09

Or we think about things that make us happy,

449

1029348

2642

Oder wir denken an Dinge, die uns glücklich machen,

17:11

and we create our password

450

1031990

1304

und wir nehmen ein Passwort,

17:13

based on things that make us happy.

451

1033294

2238

basierend auf Dingen, die uns glücklich machen.

17:15

And while this makes typing

452

1035532

2863

Obwohl dadurch das Tippen und Erinnern Ihres Passwort mehr Spaß macht,

17:18

and remembering your password more fun,

453

1038395

2870

17:21

it also makes it a lot easier

454

1041265

1807

erleichtert es auch sehr, Ihr Passwort zu erraten.

17:23

to guess your password.

455

1043072

1506

17:24

So I know a lot of these TED Talks

456

1044578

1748

Ich weiß, dass viele der TEDTalks inspirierend sind

17:26

are inspirational

457

1046326

1634

17:27

and they make you think about nice, happy things,

458

1047960

2461

und einen an nette, fröhliche Dinge denken lassen,

17:30

but when you're creating your password,

459

1050421

1897

aber wenn Sie Passwort erstellen, versuchen Sie an etwas anderes zu denken.

17:32

try to think about something else.

460

1052318

1991

17:34

Thank you.

461

1054309

1107

Danke.

17:35

(Applause)

462

1055416

553

New videos

08:21

There's a LAZY Way to Learn English

14:39

Improve English Speaking Skills Everyday (Ways ...

13:32

English Conversation Practice (At the gym) Impr...

15:13

Improve English Speaking Skills Everyday (Tips ...

15:02

English Conversation Practice (Cell phone addic...

12:34

Improve English Speaking Skills (Questions in E...

10:38

Job interview in English - English Conversation...

13:17

Improve English Speaking Skills Everyday (Tips ...

Original video on YouTube.com

Lorrie Faith Cranor: What's wrong with your pa$$w0rd? - YouTube

Über diese Website

Auf dieser Seite finden Sie YouTube-Videos, die zum Englischlernen nützlich sind. Sie sehen Englischlektionen, die von hochkarätigen Lehrern aus der ganzen Welt unterrichtet werden. Doppelklicken Sie auf die englischen Untertitel, die auf jeder Videoseite angezeigt werden, um das Video von dort aus abzuspielen. Die Untertitel laufen synchron mit der Videowiedergabe. Wenn Sie irgendwelche Kommentare oder Wünsche haben, kontaktieren Sie uns bitte über dieses Kontaktformular.

https://forms.gle/WvT1wiN1qDtmnspy7

Playback speed

Subtitle font size

Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

New videos

Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

New videos

Original video on YouTube.com