Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

139,276 views ・ 2014-06-24

TED


Bitte doppelklicken Sie auf die englischen Untertitel unten, um das Video abzuspielen.

Übersetzung: Angelika Lueckert Leon Lektorat: Nadine Hennig
00:12
I am a computer science and engineering professor here at Carnegie Mellon,
0
12535
3445
Ich bin Professorin für Technische Informatik
hier an der Carnegie Mellon,
00:15
and my research focuses on usable privacy and security,
1
15980
4248
und meine Forschung konzentriert sich auf nützlichen Datenschutz.
00:20
and so my friends like to give me examples
2
20228
2768
Daher geben meine Freunde mir gerne Beispiele
00:22
of their frustrations with computing systems,
3
22996
2202
für ihren Frust mit Rechnersystemen,
00:25
especially frustrations related to
4
25198
3354
vor allem in Bezug auf unbrauchbaren Datenschutz.
00:28
unusable privacy and security.
5
28552
4112
00:32
So passwords are something that I hear a lot about.
6
32664
2711
Ich höre viel über Passwörter.
00:35
A lot of people are frustrated with passwords,
7
35375
2880
Viele Menschen sind von Passwörtern genervt,
00:38
and it's bad enough
8
38255
1694
und das ist schlimm genug,
00:39
when you have to have one really good password
9
39949
2644
wenn man ein wirklich gutes Passwort braucht,
00:42
that you can remember
10
42593
1822
das man sich merken kann,
00:44
but nobody else is going to be able to guess.
11
44415
2894
aber das niemand anders erraten soll.
00:47
But what do you do when you have accounts
12
47309
1637
Was macht man, wenn man Konten auf hundert verschiedenen Systemen hat
00:48
on a hundred different systems
13
48946
1808
00:50
and you're supposed to have a unique password
14
50754
2276
und ein individuelles Passwort für jedes dieser Systeme haben sollte?
00:53
for each of these systems?
15
53030
3037
00:56
It's tough.
16
56067
2184
Das ist schwer.
00:58
At Carnegie Mellon, they used to make it
17
58251
1759
An der Carnegie Mellon machten sie es uns ziemlich einfach,
01:00
actually pretty easy for us
18
60010
1299
01:01
to remember our passwords.
19
61309
1737
uns unsere Passwörter zu merken.
01:03
The password requirement up through 2009
20
63046
2403
Bis 2009 war die Anforderung an ein Passwort nur,
01:05
was just that you had to have a password
21
65449
2379
dass man ein Passwort brauchte
01:07
with at least one character.
22
67828
2211
mit mindestens einem Zeichen.
01:10
Pretty easy. But then they changed things,
23
70039
2888
Ziemlich einfach.
Aber dann änderten sie es, und Ende 2009 gaben sie bekannt,
01:12
and at the end of 2009, they announced
24
72927
2670
01:15
that we were going to have a new policy,
25
75597
2376
dass sie eine neue Richtlinie bekämen,
01:17
and this new policy required
26
77973
1863
und die neue Richtlinie verlangte,
01:19
passwords that were at least eight characters long,
27
79836
2681
dass Passwörter mindestens 8 Zeichen lang sein mussten.
01:22
with an uppercase letter, lowercase letter,
28
82517
1775
mit einem Groß-, einem Kleinbuchstaben, einer Zahl und einem Symbol.
01:24
a digit, a symbol,
29
84292
1288
01:25
you couldn't use the same character more than three times,
30
85580
2638
Man durfte dieselben Zeichen nicht mehr als 3-mal nutzen,
01:28
and it wasn't allowed to be in a dictionary.
31
88218
2434
und es durfte kein Wort aus dem Wörterbuch sein.
01:30
Now, when they implemented this new policy,
32
90652
2182
Als sie die Richtlinie umsetzten,
01:32
a lot of people, my colleagues and friends,
33
92834
2310
kamen viele Leute, meine Kollegen und Freunde,
01:35
came up to me and they said, "Wow,
34
95144
1854
auf mich zu und sagten:
01:36
now that's really unusable.
35
96998
1512
"Wow, das ist wirklich unnütz.
01:38
Why are they doing this to us,
36
98510
1193
Warum machen sie das mit uns? Warum hast du sie nicht gestoppt?"
01:39
and why didn't you stop them?"
37
99703
1711
01:41
And I said, "Well, you know what?
38
101414
1356
Und ich sagte: "Weißt du was? Sie haben mich nicht gefragt."
01:42
They didn't ask me."
39
102770
1508
01:44
But I got curious, and I decided to go talk
40
104278
3465
Aber ich wurde neugierig und entschied,
mit den Verantwortlichen für unsere Computersysteme zu reden
01:47
to the people in charge of our computer systems
41
107743
1937
01:49
and find out what led them to introduce
42
109680
2831
und herauszufinden, was sie veranlasst hatte,
01:52
this new policy,
43
112511
1848
die neue Richtlinie einzuführen.
01:54
and they said that the university
44
114359
1584
Sie meinten, die Universität
01:55
had joined a consortium of universities,
45
115943
2366
wäre einem Universitäts-- Verbund beigetreten,
01:58
and one of the requirements of membership
46
118309
2634
und eine der Anforderungen an die Mitgliedschaft war,
02:00
was that we had to have stronger passwords
47
120943
2248
dass wir sichere Passwörter brauchten,
02:03
that complied with some new requirements,
48
123191
2272
die den neuen Anforderungen entsprachen.
02:05
and these requirements were that our passwords
49
125463
2104
Die neuen Vorgaben besagten,
unsere Passwörter müssten mehr Entropie haben.
02:07
had to have a lot of entropy.
50
127567
1604
02:09
Now entropy is a complicated term,
51
129171
2278
Entropie ist ein komplizierter Begriff,
02:11
but basically it measures the strength of passwords.
52
131449
2798
aber im Wesentlichen misst er die Stärke von Passwörtern.
02:14
But the thing is, there isn't actually
53
134247
1979
Es ist nur so, dass es tatsächlich kein Richtmaß für Entropie gibt.
02:16
a standard measure of entropy.
54
136226
1949
02:18
Now, the National Institute of Standards and Technology
55
138175
2399
Das Nationale Institut für Standards und Technologie
02:20
has a set of guidelines
56
140574
1553
hat eine Reihe von Richtlinien mit einigen Faustregeln,
02:22
which have some rules of thumb
57
142127
2568
02:24
for measuring entropy,
58
144695
1440
um Entropie zu messen.
02:26
but they don't have anything too specific,
59
146135
2895
Aber es gibt nichts wirklich Konkretes.
02:29
and the reason they only have rules of thumb
60
149030
2337
Der Grund, warum sie nur Faustregeln haben,
02:31
is it turns out they don't actually have any good data
61
151367
3136
liegt an der fehlenden guten Datenlage über Passwörter.
02:34
on passwords.
62
154503
1520
02:36
In fact, their report states,
63
156023
2312
In ihrem Bericht heißt es sogar:
02:38
"Unfortunately, we do not have much data
64
158335
2328
"Leider haben wir kaum Daten
02:40
on the passwords users choose under particular rules.
65
160663
2842
zu den von Nutzern unter bestimmten Bedingungen gewählten Passwörtern.
02:43
NIST would like to obtain more data
66
163505
2333
Das NIST würde gerne mehr Daten gewinnen,
02:45
on the passwords users actually choose,
67
165838
2462
über die von Nutzern gewählten Passwörter,
02:48
but system administrators are understandably reluctant
68
168300
2463
aber Systemadministratoren zögern verständlicherweise,
02:50
to reveal password data to others."
69
170763
2940
anderen die Passwörter offenzulegen."
02:53
So this is a problem, but our research group
70
173703
3097
Das ist also ein Problem,
aber unsere Forschungsgruppe sah es als Chance.
02:56
looked at it as an opportunity.
71
176800
2140
02:58
We said, "Well, there's a need for good password data.
72
178940
3100
Wir sagten: "Es gibt einen Bedarf für gute Passwort-Daten.
03:02
Maybe we can collect some good password data
73
182040
2148
Vielleicht können wir gute Passwort-Daten sammeln
03:04
and actually advance the state of the art here.
74
184188
2704
und den Stand den Technik verbessern."
03:06
So the first thing we did is,
75
186892
1672
Als Erstes besorgten wir uns eine Tüte Schokoriegel,
03:08
we got a bag of candy bars
76
188564
1556
03:10
and we walked around campus
77
190120
1086
liefen über den Campus,
03:11
and talked to students, faculty and staff,
78
191206
2798
sprachen mit Studenten, Dozenten und Mitarbeitern,
03:14
and asked them for information
79
194004
1530
und fragten sie nach Informationen zu ihren Passwörtern.
03:15
about their passwords.
80
195534
1552
03:17
Now we didn't say, "Give us your password."
81
197086
3004
Wir sagten aber nicht: "Geben Sie uns Ihr Passwort."
03:20
No, we just asked them about their password.
82
200090
2661
Nein, wir fragten sie etwas über ihr Passwort.
03:22
How long is it? Does it have a digit?
83
202751
1478
Wie lang ist es?
Hat es eine Zahl, ein Symbol?
03:24
Does it have a symbol?
84
204229
1068
03:25
And were you annoyed at having to create
85
205297
2045
Waren sie verärgert als sie letzte Woche ein neues erstellen mussten?
03:27
a new one last week?
86
207342
2744
03:30
So we got results from 470 students,
87
210086
3206
Wir erhielten Ergebnisse
von 470 Studenten, Dozenten und Mitarbeiter,
03:33
faculty and staff,
88
213292
971
03:34
and indeed we confirmed that the new policy
89
214263
2514
und wir konnten bestätigen, dass die neue Richtlinie
03:36
was very annoying,
90
216777
1453
wirklich nervig war,
03:38
but we also found that people said
91
218230
1792
aber wir stellten auch fest,
03:40
they felt more secure with these new passwords.
92
220022
3130
dass Leute sich mit den neuen Passwörtern sicherer fühlten.
03:43
We found that most people knew
93
223152
2306
Wir erfuhren, dass die meisten Leute wissen,
03:45
they were not supposed to write their password down,
94
225458
2152
dass sie ihr Passwort nicht aufschreiben sollten,
03:47
and only 13 percent of them did,
95
227610
2391
nur 13 % davon machten das,
03:50
but disturbingly, 80 percent of people
96
230001
2416
aber verstörende 80 % der Menschen sagten,
03:52
said they were reusing their password.
97
232417
2124
dass sie ihr Passwort wieder verwendeten.
03:54
Now, this is actually more dangerous
98
234541
1796
Das ist aber sogar viel gefährlicher als sein Passwort aufzuschreiben,
03:56
than writing your password down,
99
236337
2022
03:58
because it makes you much more susceptible to attackers.
100
238359
3561
denn es macht es für Angreifer viel anfälliger.
04:01
So if you have to, write your passwords down,
101
241920
3118
Wenn Sie müssen,
schreiben Sie Ihr Passwort auf, aber benutzen Sie es nicht wieder.
04:05
but don't reuse them.
102
245038
1799
04:06
We also found some interesting things
103
246837
1751
Wir fanden auch interessante Dinge
04:08
about the symbols people use in passwords.
104
248588
2961
über die in Passwörtern verwendeten Symbole heraus.
04:11
So CMU allows 32 possible symbols,
105
251549
2799
Die CMU erlaubt 32 mögliche Symbole,
04:14
but as you can see, there's only a small number
106
254348
2433
aber wie man sieht, wird nur ein kleiner Anteil
04:16
that most people are using,
107
256781
1802
von den Menschen genutzt.
04:18
so we're not actually getting very much strength
108
258583
2941
Daher tragen die Symbole in unseren Passwörtern
04:21
from the symbols in our passwords.
109
261524
2466
nicht viel zur Stärke bei.
04:23
So this was a really interesting study,
110
263990
2711
Das war also eine wirklich interessante Studie,
04:26
and now we had data from 470 people,
111
266701
2464
und jetzt hatten wir Daten von 470 Personen,
04:29
but in the scheme of things,
112
269165
1305
aber im Großen und Ganzen, sind das nicht viele Passwort-Daten.
04:30
that's really not very much password data,
113
270470
2580
04:33
and so we looked around to see
114
273050
1445
Daher sahen wir uns danach um,
04:34
where could we find additional password data?
115
274495
2560
wo wir weitere Passwort- Daten finden konnten.
04:37
So it turns out there are a lot of people
116
277055
2176
Es zeigt sich, dass viele Leute Passwörter stehlen,
04:39
going around stealing passwords,
117
279231
2202
04:41
and they often go and post these passwords
118
281433
2477
und sie stellen diese Passwörter dann oft ins Internet.
04:43
on the Internet.
119
283910
1337
04:45
So we were able to get access
120
285247
1673
Wir erlangten Zugang
04:46
to some of these stolen password sets.
121
286920
3970
zu einigen der gestohlenen Passworteinstellungen.
04:50
This is still not really ideal for research, though,
122
290890
2328
Das ist immer noch nicht ideal für die Erforschung,
04:53
because it's not entirely clear
123
293218
2037
denn es ist nicht völlig klar, woher all die Passwörter kamen
04:55
where all of these passwords came from,
124
295255
2184
04:57
or exactly what policies were in effect
125
297439
2242
oder welche Richtlinien galten, als die Leute diese Passwörter erstellten.
04:59
when people created these passwords.
126
299681
2108
05:01
So we wanted to find some better source of data.
127
301789
3552
Wir wollten daher eine bessere Datenquelle finden.
05:05
So we decided that one thing we could do
128
305341
1634
Wir entschieden eine Studie zu machen
05:06
is we could do a study and have people
129
306975
2129
und Menschen für unsere Studie Passwörter erstellen zu lassen.
05:09
actually create passwords for our study.
130
309104
3240
05:12
So we used a service called Amazon Mechanical Turk,
131
312344
2821
Wir nutzten einen Service namens "Amazon Mechanical Turk".
05:15
and this is a service where you can post
132
315165
2334
Bei diesem Service kann man eine kleine Aufgabe online einstellen,
05:17
a small job online that takes a minute,
133
317499
2304
für die man ca. 1 Minute, einige Minuten, eine Stunde braucht,
05:19
a few minutes, an hour,
134
319803
1500
05:21
and pay people, a penny, ten cents, a few dollars,
135
321303
2584
und Leuten Cents oder ein paar Dollar zahlt,
05:23
to do a task for you,
136
323887
1346
damit sie eine Aufgabe für einen zu erledigen.
05:25
and then you pay them through Amazon.com.
137
325233
2122
Man bezahlt über Amazon.com.
05:27
So we paid people about 50 cents
138
327355
2294
Wir zahlten Leuten etwa 50 Cents,
05:29
to create a password following our rules
139
329649
2596
um ein Passwort nach unseren Regeln zu erstellen
05:32
and answering a survey,
140
332245
1410
und eine Umfrage zu beantworten.
05:33
and then we paid them again to come back
141
333655
2525
Dann bezahlten wir sie erneut, um sich 2 Tage später wieder einzuloggen,
05:36
two days later and log in
142
336180
2071
05:38
using their password and answering another survey.
143
338251
2574
mit ihrem Passwort, und eine andere Umfrage zu beantworten.
05:40
So we did this, and we collected 5,000 passwords,
144
340825
4464
Wir machten das und sammelten 5000 Passwörter.
05:45
and we gave people a bunch of different policies
145
345289
2695
Wir gaben den Leuten eine Menge verschiedener Richtlinien,
05:47
to create passwords with.
146
347984
1508
um Passwörter zu erstellen.
05:49
So some people had a pretty easy policy,
147
349492
1910
Manche hatten eine recht leichte Richtlinie,
05:51
we call it Basic8,
148
351402
1539
wir nennen sie "Basic8".
05:52
and here the only rule was that your password
149
352941
2146
Die einzige Regel war hier,
05:55
had to have at least eight characters.
150
355087
3416
dass das Passwort mindestens 8 Zeichen haben muss.
05:58
Then some people had a much harder policy,
151
358503
2251
Einige bekamen eine viel strengere Richtlinie,
06:00
and this was very similar to the CMU policy,
152
360754
2537
ganz ähnlich wie die CMU-Richtlinie,
06:03
that it had to have eight characters
153
363291
1934
bei der man 8 Zeichen brauchte,
06:05
including uppercase, lowercase, digit, symbol,
154
365225
2376
die Groß-, Kleinbuchstabe, Zahl, Symbol beinhalten,
06:07
and pass a dictionary check.
155
367601
2389
und einen Wörterbuch-Test bestehen mussten.
06:09
And one of the other policies we tried,
156
369990
1335
Eine andere getestete Richtlinie,
06:11
and there were a whole bunch more,
157
371325
1270
und es gab noch jede Menge, war eine namens "Basic16".
06:12
but one of the ones we tried was called Basic16,
158
372595
2240
06:14
and the only requirement here
159
374835
2632
Die einzige Anforderung hier war,
06:17
was that your password had to have at least 16 characters.
160
377467
3153
dass das Passwort mindestens 16 Zeichen haben musste.
06:20
All right, so now we had 5,000 passwords,
161
380620
2458
Gut, wir hatten jetzt 5000 Passwörter
06:23
and so we had much more detailed information.
162
383078
3563
und damit hatten wir viel genauere Informationen.
06:26
Again we see that there's only a small number
163
386641
2559
Wieder sahen wir, dass nur eine kleine Anzahl von Symbolen
06:29
of symbols that people are actually using
164
389200
1915
für die Passwörter genutzt wurde.
06:31
in their passwords.
165
391115
1886
06:33
We also wanted to get an idea of how strong
166
393001
2599
Wir wollten eine Vorstellung von der Stärke der Passwörter bekommen,
06:35
the passwords were that people were creating,
167
395600
2771
die die Leuten erstellten.
06:38
but as you may recall, there isn't a good measure
168
398371
2620
Aber wie Sie vielleicht erinnern,
06:40
of password strength.
169
400991
1754
gibt es keine gute Maßeinheit für Passwort-Stärke.
06:42
So what we decided to do was to see
170
402745
2312
Wir beschlossen zu schauen, wie lange es dauert,
06:45
how long it would take to crack these passwords
171
405057
2370
bis wir die Passwörter knacken würden,
06:47
using the best cracking tools
172
407427
1414
unter Verwendung der besten Knack-Tools, die die bösen Jungs nutzen,
06:48
that the bad guys are using,
173
408841
1808
06:50
or that we could find information about
174
410649
2016
oder über die wir Informationen in der Forschungsliteratur fanden.
06:52
in the research literature.
175
412665
1537
06:54
So to give you an idea of how bad guys
176
414202
2758
Hier zeige ich Ihnen, wie böse Jungs Passwörter knacken.
06:56
go about cracking passwords,
177
416960
2170
06:59
they will steal a password file
178
419130
1951
Sie klauen eine Passwort-Datei,
07:01
that will have all of the passwords
179
421081
2153
mit allen Passwörter in verschlüsselter Form,
07:03
in kind of a scrambled form, called a hash,
180
423234
2889
"Hash" genannt.
07:06
and so what they'll do is they'll make a guess
181
426123
2562
Sie raten dann, was ein Passwort sein könnte,
07:08
as to what a password is,
182
428685
1712
07:10
run it through a hashing function,
183
430397
1897
lassen es durch eine Hash-Funktion laufen
07:12
and see whether it matches
184
432294
1765
und schauen, ob es zu den Passwörtern
07:14
the passwords they have on their stolen password list.
185
434059
3950
auf der Liste gestohlener Passwörter passt.
07:18
So a dumb attacker will try every password in order.
186
438009
3105
Ein dummer Angreifer wird jedes Passwort nacheinander versuchen.
07:21
They'll start with AAAAA and move on to AAAAB,
187
441114
3568
Sie fangen mit "AAAAA" an und machen mit "AAAAB" weiter,
07:24
and this is going to take a really long time
188
444682
2418
und es dauert ziemlich lange, bis sie irgendein Passwort finden,
07:27
before they get any passwords
189
447100
1526
07:28
that people are really likely to actually have.
190
448626
2697
dass Leute wirklich benutzen.
07:31
A smart attacker, on the other hand,
191
451323
2183
Ein schlauer Angreifer andererseits macht etwas viel Klügeres.
07:33
does something much more clever.
192
453506
1386
07:34
They look at the passwords
193
454892
1826
Sie schauen sich die Passwörter an, die bekanntermaßen beliebt sind,
07:36
that are known to be popular
194
456718
1800
07:38
from these stolen password sets,
195
458518
1727
aus den gestohlenen Passwörtern,
07:40
and they guess those first.
196
460245
1189
und erraten diese zuerst.
07:41
So they're going to start by guessing "password,"
197
461434
2134
Sie tippen also erst auf "Passwort",
07:43
and then they'll guess "I love you," and "monkey,"
198
463568
2751
dann tippen sie auf "Ich liebe dich" und "Affe"
07:46
and "12345678,"
199
466319
2583
und "12345678",
07:48
because these are the passwords
200
468902
1312
denn diese Passwörter nutzen die meisten Leute.
07:50
that are most likely for people to have.
201
470214
1905
07:52
In fact, some of you probably have these passwords.
202
472119
3261
Wahrscheinlich haben einige von Ihnen diese Passwörter.
Wir fanden also heraus,
07:57
So what we found
203
477191
1298
07:58
by running all of these 5,000 passwords we collected
204
478489
3406
indem wir all diese 5000 Passwörter sammelten
08:01
through these tests to see how strong they were,
205
481895
4106
und testeten, wie stark sie waren,
erkannten wir, dass lange Passwörter ziemlich stark waren.
08:06
we found that the long passwords
206
486001
2752
08:08
were actually pretty strong,
207
488753
1280
08:10
and the complex passwords were pretty strong too.
208
490033
3262
Komplexe Passwörter waren auch ziemlich stark.
08:13
However, when we looked at the survey data,
209
493295
2442
Aber wenn wir uns die Umfrage-Daten ansahen,
08:15
we saw that people were really frustrated
210
495737
3024
sahen wir, dass viele wirklich frustriert waren
08:18
by the very complex passwords,
211
498761
2339
von den sehr komplexen Passwörtern.
08:21
and the long passwords were a lot more usable,
212
501100
2630
Lange Passwörter waren viel brauchbarer
08:23
and in some cases, they were actually
213
503730
1325
und manchmal waren sie sogar stärker als komplexe Passwörter.
08:25
even stronger than the complex passwords.
214
505055
2908
08:27
So this suggests that,
215
507963
1169
Das legt also nahe,
08:29
instead of telling people that they need
216
509132
1703
dass es statt den Leuten zu sagen, sie sollten Symbole, Zahlen
08:30
to put all these symbols and numbers
217
510835
1522
08:32
and crazy things into their passwords,
218
512357
2842
und anderes Zeug in ihren Passwörtern verwenden,
08:35
we might be better off just telling people
219
515199
2022
wohlmöglich besser wäre zu sagen,
08:37
to have long passwords.
220
517221
2652
man sollte lange Passwörter haben.
08:39
Now here's the problem, though:
221
519873
1792
Es gibt aber ein Problem:
08:41
Some people had long passwords
222
521665
2255
Einige Leute hatten lange Passwörter, die nicht wirklich stark waren.
08:43
that actually weren't very strong.
223
523920
1555
08:45
You can make long passwords
224
525475
1997
Man kann lange Passwörter erstellen, die trotzdem von der Art sind,
08:47
that are still the sort of thing
225
527472
1556
08:49
that an attacker could easily guess.
226
529028
1742
die ein Angreifer leicht erraten kann.
08:50
So we need to do more than just say long passwords.
227
530770
3365
Wir müssen also mehr tun als nur "lange Passwörter" zu sagen.
08:54
There has to be some additional requirements,
228
534135
1936
Es gibt weitere Anforderungen,
08:56
and some of our ongoing research is looking at
229
536071
2969
und ein Teil unserer laufenden Forschung untersucht,
welche weiteren Anforderungen wir hinzufügen sollten,
08:59
what additional requirements we should add
230
539040
2439
09:01
to make for stronger passwords
231
541479
2104
um für sichere Passwörter zu sorgen,
09:03
that also are going to be easy for people
232
543583
2312
die für die Menschen auch einfach zu merken und zu tippen sind.
09:05
to remember and type.
233
545895
2698
09:08
Another approach to getting people to have
234
548593
2126
Um Leute zu stärkeren Passwörtern zu bewegen,
09:10
stronger passwords is to use a password meter.
235
550719
2257
könnte man als weiteren Ansatz ein Passwort-Messgerät nutzen.
09:12
Here are some examples.
236
552976
1385
Hier ein paar Beispiele.
09:14
You may have seen these on the Internet
237
554361
1401
Vielleicht kennen Sie sie aus dem Internet,
09:15
when you were creating passwords.
238
555762
3057
wenn Sie Passwörter erstellt haben.
09:18
We decided to do a study to find out
239
558819
2248
Wir entschieden mit einer Studie herauszufinden,
09:21
whether these password meters actually work.
240
561067
2887
ob diese Passwort-Messgeräte wirklich funktionieren.
09:23
Do they actually help people
241
563954
1421
Helfen Sie Menschen wirklich, stärkere Passwörter zu finden,
09:25
have stronger passwords,
242
565375
1453
09:26
and if so, which ones are better?
243
566828
2086
und wenn ja, welche sind besser?
09:28
So we tested password meters that were
244
568914
2507
Also testeten wir Passwort-Checker,
09:31
different sizes, shapes, colors,
245
571421
2098
die verschiedene Größen, Formen, Farben hatten,
09:33
different words next to them,
246
573519
1416
mit verschiedenen Worten daneben.
09:34
and we even tested one that was a dancing bunny.
247
574935
3275
Wir testeten sogar einen, der ein tanzender Hase war.
Wenn man ein besseres Passwort eintippt,
09:38
As you type a better password,
248
578210
1582
09:39
the bunny dances faster and faster.
249
579792
2539
tanzt der Hase immer schneller.
09:42
So this was pretty fun.
250
582331
2529
Das war sehr lustig.
09:44
What we found
251
584860
1567
Wir fanden heraus,
09:46
was that password meters do work.
252
586427
3572
dass Passwortstärke- Anzeiger funktionieren.
09:49
(Laughter)
253
589999
1801
(Gelächter)
09:51
Most of the password meters were actually effective,
254
591800
3333
Die meisten Passwort-Messer waren tatsächlich effektiv.
09:55
and the dancing bunny was very effective too,
255
595133
2521
Auch der tanzende Hase war sehr effektiv.
09:57
but the password meters that were the most effective
256
597654
2881
Aber die effektivsten Passwort-Messer waren die,
10:00
were the ones that made you work harder
257
600535
2355
die einen härter arbeiten ließen,
10:02
before they gave you that thumbs up and said
258
602890
1980
bis sie zustimmten und sagten, dass man es gut gemacht hatte.
10:04
you were doing a good job,
259
604870
1377
10:06
and in fact we found that most
260
606247
1512
Wir stellten aber fest,
10:07
of the password meters on the Internet today
261
607759
2281
die meisten heute im Internet verfügbaren Passwort-Messer sind zu leicht.
10:10
are too soft.
262
610040
952
10:10
They tell you you're doing a good job too early,
263
610992
2203
Sie sagen einem zu früh, dass man es gut macht.
10:13
and if they would just wait a little bit
264
613195
1929
Würden sie nur ein bisschen mehr warten, bevor sie eine positive Rückmeldung geben,
10:15
before giving you that positive feedback,
265
615124
2049
10:17
you probably would have better passwords.
266
617173
3160
hätte man vermutlich bessere Passwörter.
10:20
Now another approach to better passwords, perhaps,
267
620333
3847
Eine andere Methode für bessere Passwörter ist vielleicht,
10:24
is to use pass phrases instead of passwords.
268
624180
2890
Merksätze statt Passwörter zu nutzen.
10:27
So this was an xkcd cartoon from a couple of years ago,
269
627070
3418
Das war ein xkcd-Comic von vor einigen Jahren,
10:30
and the cartoonist suggests
270
630488
1674
und der Zeichner schlägt vor, dass wir alle Merksätze nutzen sollten.
10:32
that we should all use pass phrases,
271
632162
2196
10:34
and if you look at the second row of this cartoon,
272
634358
3170
Wenn man sich die zweite Reihe des Comics ansieht,
10:37
you can see the cartoonist is suggesting
273
637528
1857
sieht man wie der Zeichner vorschlägt,
10:39
that the pass phrase "correct horse battery staple"
274
639385
3441
dass der Merksatz "Correct horse battery staple"
10:42
would be a very strong pass phrase
275
642826
2481
ein sehr starker Merksatz wäre und sehr einfach zu merken ist.
10:45
and something really easy to remember.
276
645307
1916
10:47
He says, in fact, you've already remembered it.
277
647223
2797
Er sagt, dass Sie ihn sich gerade schon gemerkt haben.
Wir beschlossen eine Forschungsstudie zu machen,
10:50
And so we decided to do a research study
278
650020
2150
10:52
to find out whether this was true or not.
279
652170
2592
um herauszufinden, ob es stimmte.
10:54
In fact, everybody who I talk to,
280
654762
1775
Jeder, dem ich erzählte, dass ich eine Passwort-Studie machte,
10:56
who I mention I'm doing password research,
281
656537
2042
10:58
they point out this cartoon.
282
658579
1400
verwies auf diesen Comic.
10:59
"Oh, have you seen it? That xkcd.
283
659979
1574
"Hast du das gesehen? Von xkcd.
11:01
Correct horse battery staple."
284
661553
1602
Correct horse battery staple."
11:03
So we did the research study to see
285
663155
1806
In einer Forschungsstudie wollten wir sehen,
11:04
what would actually happen.
286
664961
2359
was wirklich passieren würde.
11:07
So in our study, we used Mechanical Turk again,
287
667320
3060
In unsere Studie nutzten wir wieder Mechanical Turk,
11:10
and we had the computer pick the random words
288
670380
4167
und ließen den Computer zufällige Wörter im Merksatz auswählen.
11:14
in the pass phrase.
289
674547
1100
11:15
Now the reason we did this
290
675647
1153
Wir machten das daher, weil Menschen nicht gut darin sind,
11:16
is that humans are not very good
291
676800
1586
11:18
at picking random words.
292
678386
1384
zufällige Wörter auszuwählen.
11:19
If we asked a human to do it,
293
679770
1262
Würden wir Menschen darum bitten,
11:21
they would pick things that were not very random.
294
681032
2998
würden sie nicht sehr zufällige Dinge auswählen.
11:24
So we tried a few different conditions.
295
684030
2032
Wir testeten daher verschiedene Bedingungen,
11:26
In one condition, the computer picked
296
686062
2090
unter einer Bedingung wählte der Rechner aus einem Wörterbuch
11:28
from a dictionary of the very common words
297
688152
2216
sehr gängige Wörter aus dem Englischen aus.
11:30
in the English language,
298
690368
1362
11:31
and so you'd get pass phrases like
299
691730
1764
So erhielt man Merksätze wie
11:33
"try there three come."
300
693494
1924
"[Versuch dort drei kommen]."
11:35
And we looked at that, and we said,
301
695418
1732
Wir schauten das an und sagten:
11:37
"Well, that doesn't really seem very memorable."
302
697150
3050
"Das scheint nicht sehr einprägsam."
11:40
So then we tried picking words
303
700200
2240
Dann versuchten wir Worte auszuwählen,
11:42
that came from specific parts of speech,
304
702440
2521
die aus bestimmten Teilen der Sprache stammen,
11:44
so how about noun-verb-adjective-noun.
305
704961
2182
z. B. Nomen-Verb-Adjektiv-Nomen.
11:47
That comes up with something that's sort of sentence-like.
306
707143
2577
Dann kommt man zu einer Art Satz.
11:49
So you can get a pass phrase like
307
709720
2070
Man erhält dann einen Merksatz wie:
11:51
"plan builds sure power"
308
711790
1308
"[Plan baut sicher Kraft]"
11:53
or "end determines red drug."
309
713098
2786
oder "[Ende bestimmt rote Droge]".
11:55
And these seemed a little bit more memorable,
310
715884
2676
Diese erschienen etwas einprägsamer,
11:58
and maybe people would like those a little bit better.
311
718560
2822
und vielleicht hätten Menschen sie ein bisschen lieber.
12:01
We wanted to compare them with passwords,
312
721382
2572
Wir wollten sie mit Passwörtern vergleichen,
12:03
and so we had the computer pick random passwords,
313
723954
3196
daher ließen wir den Rechner zufällige Wörter auswählen,
diese waren nett und kurz, aber wie man sieht,
12:07
and these were nice and short, but as you can see,
314
727150
1990
12:09
they don't really look very memorable.
315
729140
2806
sehen sie nicht sehr einprägsam aus.
12:11
And then we decided to try something called
316
731946
1396
Dann probierten wir etwas aus,
12:13
a pronounceable password.
317
733342
1646
"aussprechbares Passwort" genannt.
12:14
So here the computer picks random syllables
318
734988
2245
Hier wählt der Rechner zufällig Silben aus und fügt sie zusammen,
12:17
and puts them together
319
737233
1134
12:18
so you have something sort of pronounceable,
320
738367
2475
dadurch erhält man etwas Aussprechbares
12:20
like "tufritvi" and "vadasabi."
321
740842
2602
wie "tufritvi" und "vadasabi".
12:23
That one kind of rolls off your tongue.
322
743444
2147
Das geht leicht von den Lippen.
12:25
So these were random passwords that were
323
745591
2216
Das sind zufällige Passwörter,
12:27
generated by our computer.
324
747807
2744
die vom Computer erzeugt wurden.
12:30
So what we found in this study was that, surprisingly,
325
750551
2978
Wir fanden in der Studie etwas Überraschendes heraus:
12:33
pass phrases were not actually all that good.
326
753529
3768
Merksätze waren gar nicht so gut.
Die Leute konnte sich die Merksätze
12:37
People were not really better at remembering
327
757297
2793
12:40
the pass phrases than these random passwords,
328
760090
2953
kaum besser merken als zufällige Passwörter.
12:43
and because the pass phrases are longer,
329
763043
2754
Da Merksätze länger sind, tippten sie länger,
12:45
they took longer to type
330
765797
1226
12:47
and people made more errors while typing them in.
331
767023
3010
und beim Eintippen entstanden mehr Fehler.
12:50
So it's not really a clear win for pass phrases.
332
770033
3227
Es gibt also keinen klaren Sieg für Merksätze.
12:53
Sorry, all of you xkcd fans.
333
773260
3345
Tut mir leid, ihr xkcd-Fans.
12:56
On the other hand, we did find
334
776605
1892
Andererseits fanden wir heraus,
12:58
that pronounceable passwords
335
778497
1804
dass aussprechbare Passwörter sehr gut funktionierten.
13:00
worked surprisingly well,
336
780301
1471
13:01
and so we actually are doing some more research
337
781772
2418
Daher erforschen wir gerade,
13:04
to see if we can make that approach work even better.
338
784190
3195
ob wir diesen Ansatz noch verbessern können.
13:07
So one of the problems
339
787385
1812
Eins der Probleme mit den von uns durchgeführten Studien war,
13:09
with some of the studies that we've done
340
789197
1623
13:10
is that because they're all done
341
790820
1683
dass sie alle mit Mechanical Turk gemacht wurden.
13:12
using Mechanical Turk,
342
792503
1590
Das sind keine echten Passwörter.
13:14
these are not people's real passwords.
343
794093
1812
13:15
They're the passwords that they created
344
795905
2105
Das sind Passwörter, die sie erstellt haben
13:18
or the computer created for them for our study.
345
798010
2495
oder die der Rechner für sie für die Studie erzeugt hat.
13:20
And we wanted to know whether people
346
800505
1568
Wir wollten wissen, ob Menschen sich bei ihren echten Passwörtern
13:22
would actually behave the same way
347
802073
2312
13:24
with their real passwords.
348
804385
2227
wirklich genauso verhalten würden.
13:26
So we talked to the information security office at Carnegie Mellon
349
806612
3681
Wir sprachen daher mit
den Informationssicherheitsbeauftragten an der Carnegie Mellon
13:30
and asked them if we could have everybody's real passwords.
350
810293
3803
und baten sie, die echten Passwörter von allen zu bekommen.
Kein Wunder, dass sie etwas zögerten, sie mit uns zu teilen,
13:34
Not surprisingly, they were a little bit reluctant
351
814096
1754
13:35
to share them with us,
352
815850
1550
13:37
but we were actually able to work out
353
817400
1810
aber wir erarbeiteten mit ihnen ein System,
13:39
a system with them
354
819210
1040
13:40
where they put all of the real passwords
355
820250
2109
wo sie alle echten Passwörter
13:42
for 25,000 CMU students, faculty and staff,
356
822359
3091
für 25 000 CMU-Studenten, -Dozenten und -Mitarbeiter
in einen gesicherten Rechner in einem gesicherten Raum eingaben,
13:45
into a locked computer in a locked room,
357
825450
2448
13:47
not connected to the Internet,
358
827898
1394
ohne Verbindung zum Internet,
13:49
and they ran code on it that we wrote
359
829292
1848
und sie führten eine Code aus, den wir schrieben,
13:51
to analyze these passwords.
360
831140
2152
um diese Passwörter zu analysieren.
13:53
They audited our code.
361
833292
1326
Sie prüften unseren Code.
13:54
They ran the code.
362
834618
1312
Sie führten den Code aus.
13:55
And so we never actually saw
363
835930
1738
Wir sahen also tatsächlich von niemandem das Passwort.
13:57
anybody's password.
364
837668
2817
14:00
We got some interesting results,
365
840485
1515
Wir erhielten interessante Ergebnisse,
14:02
and those of you Tepper students in the back
366
842000
1696
und alle Tepper-Studenten in den hinteren Reihen
14:03
will be very interested in this.
367
843696
2875
wird das sehr interessieren.
14:06
So we found that the passwords created
368
846571
3731
Wir stellten fest, dass die von Angestellten der Informatik-Fakultät
14:10
by people affiliated with the school of computer science
369
850302
2158
erstellten Passwörter 1,8-mal stärker waren,
14:12
were actually 1.8 times stronger
370
852460
2324
14:14
than those affiliated with the business school.
371
854784
3738
als die der Angestellten der Fakultät für Wirtschaft.
14:18
We have lots of other really interesting
372
858522
2040
Wir haben auch noch einige andere interessante demografische Informationen.
14:20
demographic information as well.
373
860562
2238
14:22
The other interesting thing that we found
374
862800
1846
Es war interessant zu sehen,
14:24
is that when we compared the Carnegie Mellon passwords
375
864646
2440
dass, als wir die Carnegie-Mellon-Passwörter
14:27
to the Mechanical Turk-generated passwords,
376
867086
2283
mit denen von Mechanical Turk generierten Passwörtern verglichen,
14:29
there was actually a lot of similarities,
377
869369
2619
es viele Parallelen gab.
14:31
and so this helped validate our research method
378
871988
1948
Dies half dabei, unsere Forschungsmethode zu bestätigen
14:33
and show that actually, collecting passwords
379
873936
2510
und zu zeigen, dass Sammeln von Passwörtern
14:36
using these Mechanical Turk studies
380
876446
1808
mit den Mechanical-Turk-Studien
14:38
is actually a valid way to study passwords.
381
878254
2788
eine gültige Weise war, Passwörter zu untersuchen.
14:41
So that was good news.
382
881042
2285
Das sind also gute Neuigkeiten.
14:43
Okay, I want to close by talking about
383
883327
2414
Zum Schluss möchte ich noch über ein paar Erkenntnisse sprechen,
14:45
some insights I gained while on sabbatical
384
885741
2068
die ich während des Sabbatical letztes Jahr
14:47
last year in the Carnegie Mellon art school.
385
887809
3201
an der Carnegie Mellon- Kunsthochschule gewann.
14:51
One of the things that I did
386
891010
1281
Ich machte unter anderem eine Anzahl von Quilts,
14:52
is I made a number of quilts,
387
892291
1524
14:53
and I made this quilt here.
388
893815
1548
und ich machte diesen Quilt hier.
14:55
It's called "Security Blanket."
389
895363
1899
Er nennt sich "Sicherheitspolster".
14:57
(Laughter)
390
897262
2431
(Gelächter)
14:59
And this quilt has the 1,000
391
899693
3095
Dieser Quilt zeigt die 1000 gängigsten gestohlenen Passwörter
15:02
most frequent passwords stolen
392
902788
2328
15:05
from the RockYou website.
393
905116
2571
von der RockYou-Website.
15:07
And the size of the passwords is proportional
394
907687
2061
Die Größe eines Passworts ist proportional zur Häufigkeit seines Auftretens
15:09
to how frequently they appeared
395
909748
1901
15:11
in the stolen dataset.
396
911649
2248
im gestohlenen Datensatz.
15:13
And what I did is I created this word cloud,
397
913897
2632
Ich schuf diese Wortwolke,
15:16
and I went through all 1,000 words,
398
916529
2132
ich ging alle 1000 Wörter durch
15:18
and I categorized them into
399
918661
1795
und teilte sie in lose thematische Kategorien ein.
15:20
loose thematic categories.
400
920456
2380
15:22
And it was, in some cases,
401
922836
1903
Und manchmal war es ziemlich schwierig herauszufinden,
15:24
it was kind of difficult to figure out
402
924739
2038
15:26
what category they should be in,
403
926777
1755
in welcher Kategorie sie sein sollten, und kodierte sie nach Farbe.
15:28
and then I color-coded them.
404
928532
1899
15:30
So here are some examples of the difficulty.
405
930431
2619
Hier sind ein paar Beispiele für die Schwierigkeit.
15:33
So "justin."
406
933050
1181
Etwa "Justin".
15:34
Is that the name of the user,
407
934231
1829
Ist das der Name des Nutzers, des Freundes, des Sohns?
15:36
their boyfriend, their son?
408
936060
1322
15:37
Maybe they're a Justin Bieber fan.
409
937382
2888
Vielleicht sind sie nur eine Bieber-Fan.
15:40
Or "princess."
410
940270
2225
Oder "Prinzessin".
15:42
Is that a nickname?
411
942495
1635
Ist das eine Spitzname?
15:44
Are they Disney princess fans?
412
944130
1595
Oder sind sie Disney-Prinzessinnen-Fans?
15:45
Or maybe that's the name of their cat.
413
945725
3694
Oder vielleicht ist das der Name ihrer Katze.
15:49
"Iloveyou" appears many times
414
949419
1655
"iloveyou" erscheint häufig in vielen verschiedenen Sprachen.
15:51
in many different languages.
415
951074
1545
15:52
There's a lot of love in these passwords.
416
952619
3735
Es gibt viel Liebe in diesen Passwörtern.
15:56
If you look carefully, you'll see there's also
417
956354
1680
Wenn man genau hinsieht, sieht man auch Alltägliches.
15:58
some profanity,
418
958034
2267
Aber für mich war es wirklich interessant zu sehen,
16:00
but it was really interesting to me to see
419
960301
1950
16:02
that there's a lot more love than hate
420
962251
2307
dass in den Passwörtern viel mehr Liebe als Hass steckt.
16:04
in these passwords.
421
964558
2292
16:06
And there are animals,
422
966850
1490
Es gibt auch viele Tiere.
16:08
a lot of animals,
423
968340
1360
16:09
and "monkey" is the most common animal
424
969700
2304
"Affe" ist das häufigste Tier
16:12
and the 14th most popular password overall.
425
972004
3675
und das am 14. beliebteste Passwort überhaupt.
16:15
And this was really curious to me,
426
975679
2231
Das war sehr seltsam für mich,
16:17
and I wondered, "Why are monkeys so popular?"
427
977910
2523
und ich fragte mich: "Warum sind Affen so beliebt?"
16:20
And so in our last password study,
428
980433
3352
In unserer letzten Passwort-Studie
16:23
any time we detected somebody
429
983785
1686
fragten wir immer, wenn wir jemanden fanden,
16:25
creating a password with the word "monkey" in it,
430
985471
2649
der ein Passwort mit dem Wort "Affe" anlegte,
16:28
we asked them why they had a monkey in their password.
431
988120
3030
warum sie Affe im Passwort hatten.
16:31
And what we found out --
432
991150
1910
Und wir fanden heraus --
wir fanden bisher 17 Menschen, die das Wort "Affe" nutzen --
16:33
we found 17 people so far, I think,
433
993060
2103
16:35
who have the word "monkey" --
434
995163
1283
16:36
We found out about a third of them said
435
996446
1812
dass ein Drittel von ihnen ein Haustier namens "Affe" hätten,
16:38
they have a pet named "monkey"
436
998258
1740
16:39
or a friend whose nickname is "monkey,"
437
999998
2291
oder einen Freund, dessen Spitzname "Affe" war.
16:42
and about a third of them said
438
1002289
1660
Und ein Drittel von ihnen sagte,
16:43
that they just like monkeys
439
1003949
1533
dass sie Affen einfach mögen und Affen wirklich süß sind.
16:45
and monkeys are really cute.
440
1005482
1638
16:47
And that guy is really cute.
441
1007120
3639
Dieser Affe ist wirklich süß.
16:50
So it seems that at the end of the day,
442
1010759
3408
Letztendlich scheint es so,
16:54
when we make passwords,
443
1014167
1783
wenn wir Passwörter erstellen,
16:55
we either make something that's really easy
444
1015950
1974
nehmen wir etwas wirklich Einfaches zum Tippen, ein gängiges Muster,
16:57
to type, a common pattern,
445
1017924
3009
17:00
or things that remind us of the word password
446
1020933
2486
oder Dinge, die uns an das Wort Passwort erinnern,
17:03
or the account that we've created the password for,
447
1023419
3312
oder an das Konto, für das wir das Passwort erstellt haben,
17:06
or whatever.
448
1026731
2617
oder so etwas.
17:09
Or we think about things that make us happy,
449
1029348
2642
Oder wir denken an Dinge, die uns glücklich machen,
17:11
and we create our password
450
1031990
1304
und wir nehmen ein Passwort,
17:13
based on things that make us happy.
451
1033294
2238
basierend auf Dingen, die uns glücklich machen.
17:15
And while this makes typing
452
1035532
2863
Obwohl dadurch das Tippen und Erinnern Ihres Passwort mehr Spaß macht,
17:18
and remembering your password more fun,
453
1038395
2870
17:21
it also makes it a lot easier
454
1041265
1807
erleichtert es auch sehr, Ihr Passwort zu erraten.
17:23
to guess your password.
455
1043072
1506
17:24
So I know a lot of these TED Talks
456
1044578
1748
Ich weiß, dass viele der TEDTalks inspirierend sind
17:26
are inspirational
457
1046326
1634
17:27
and they make you think about nice, happy things,
458
1047960
2461
und einen an nette, fröhliche Dinge denken lassen,
17:30
but when you're creating your password,
459
1050421
1897
aber wenn Sie Passwort erstellen, versuchen Sie an etwas anderes zu denken.
17:32
try to think about something else.
460
1052318
1991
17:34
Thank you.
461
1054309
1107
Danke.
17:35
(Applause)
462
1055416
553
Über diese Website

Auf dieser Seite finden Sie YouTube-Videos, die zum Englischlernen nützlich sind. Sie sehen Englischlektionen, die von hochkarätigen Lehrern aus der ganzen Welt unterrichtet werden. Doppelklicken Sie auf die englischen Untertitel, die auf jeder Videoseite angezeigt werden, um das Video von dort aus abzuspielen. Die Untertitel laufen synchron mit der Videowiedergabe. Wenn Sie irgendwelche Kommentare oder Wünsche haben, kontaktieren Sie uns bitte über dieses Kontaktformular.

https://forms.gle/WvT1wiN1qDtmnspy7