Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

Lorrie Faith Cranor: ¿Qué hay de malo en su c0ntr@señ@?

139,691 views

2014-06-24 ・ TED


New videos

Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

Lorrie Faith Cranor: ¿Qué hay de malo en su c0ntr@señ@?

139,691 views ・ 2014-06-24

TED


Haga doble clic en los subtítulos en inglés para reproducir el vídeo.

Traductor: Lidia Cámara de la Fuente Revisor: Ciro Gomez
00:12
I am a computer science and engineering professor here at Carnegie Mellon,
0
12535
3445
Soy profesora de ciencias de la computación e ingeniería aquí en Carnegie Mellon,
00:15
and my research focuses on usable privacy and security,
1
15980
4248
y mi investigación se centra en la privacidad y seguridad utilizable,
00:20
and so my friends like to give me examples
2
20228
2768
y por ello, a mis amigos les gusta darme ejemplos
00:22
of their frustrations with computing systems,
3
22996
2202
de sus frustraciones con los sistemas informáticos,
00:25
especially frustrations related to
4
25198
3354
especialmente de frustraciones relacionados con
00:28
unusable privacy and security.
5
28552
4112
la privacidad y la seguridad inutilizable.
00:32
So passwords are something that I hear a lot about.
6
32664
2711
Así que he oído mucho sobre contraseñas.
00:35
A lot of people are frustrated with passwords,
7
35375
2880
Muchas personas se sienten frustradas con las contraseñas,
00:38
and it's bad enough
8
38255
1694
y es bastante lamentable
00:39
when you have to have one really good password
9
39949
2644
cuando uno debe tener una contraseña muy buena
00:42
that you can remember
10
42593
1822
que pueda recordar
00:44
but nobody else is going to be able to guess.
11
44415
2894
pero que nadie pueda adivinar.
00:47
But what do you do when you have accounts
12
47309
1637
Pero ¿qué hacer cuando se tienen cuentas
00:48
on a hundred different systems
13
48946
1808
en un centenar de diferentes sistemas
00:50
and you're supposed to have a unique password
14
50754
2276
y que a su vez se supone que deben ser contraseñas únicas
00:53
for each of these systems?
15
53030
3037
para cada uno de estos sistemas?
00:56
It's tough.
16
56067
2184
Es complejo.
00:58
At Carnegie Mellon, they used to make it
17
58251
1759
En Carnegie Mellon solían hacerlo
01:00
actually pretty easy for us
18
60010
1299
bastante fácil
01:01
to remember our passwords.
19
61309
1737
para que recordáramos nuestras contraseñas.
01:03
The password requirement up through 2009
20
63046
2403
El requisito hasta el 2009 para las contraseñas era
01:05
was just that you had to have a password
21
65449
2379
que estas tuvieran
01:07
with at least one character.
22
67828
2211
al menos un carácter.
01:10
Pretty easy. But then they changed things,
23
70039
2888
Bastante fácil. Pero luego cambiaron las cosas,
01:12
and at the end of 2009, they announced
24
72927
2670
y al final del 2009 se anunció
01:15
that we were going to have a new policy,
25
75597
2376
que íbamos a tener una nueva política,
01:17
and this new policy required
26
77973
1863
y esta nueva política precisaba
01:19
passwords that were at least eight characters long,
27
79836
2681
contraseñas que tuvieran al menos 8 caracteres,
01:22
with an uppercase letter, lowercase letter,
28
82517
1775
con una letra mayúscula, letra minúscula,
01:24
a digit, a symbol,
29
84292
1288
un dígito y un símbolo.
01:25
you couldn't use the same character more than three times,
30
85580
2638
No se podía utilizar el mismo carácter más de tres veces,
01:28
and it wasn't allowed to be in a dictionary.
31
88218
2434
y no podía aparecer en un diccionario.
01:30
Now, when they implemented this new policy,
32
90652
2182
Cuando implementaron esta nueva política,
01:32
a lot of people, my colleagues and friends,
33
92834
2310
muchos de mis colegas y amigos,
01:35
came up to me and they said, "Wow,
34
95144
1854
me vinieron para decirme:
01:36
now that's really unusable.
35
96998
1512
"Ahora sí que es realmente inservible.
01:38
Why are they doing this to us,
36
98510
1193
¿Por qué nos hacen esto
01:39
and why didn't you stop them?"
37
99703
1711
y por qué no los detuviste?"
01:41
And I said, "Well, you know what?
38
101414
1356
Y yo dije: "¿Saben qué?
01:42
They didn't ask me."
39
102770
1508
Nadie me preguntó".
01:44
But I got curious, and I decided to go talk
40
104278
3465
Pero me picó la curiosidad y decidí ir a hablar
01:47
to the people in charge of our computer systems
41
107743
1937
con las personas a cargo de nuestros sistemas informáticos
01:49
and find out what led them to introduce
42
109680
2831
y averiguar qué les llevó a introducir
01:52
this new policy,
43
112511
1848
esta nueva política.
01:54
and they said that the university
44
114359
1584
Y dijeron que la universidad
01:55
had joined a consortium of universities,
45
115943
2366
se había unido a un consorcio de universidades,
01:58
and one of the requirements of membership
46
118309
2634
y uno de los requisitos de membresía
02:00
was that we had to have stronger passwords
47
120943
2248
era que debíamos tener contraseñas más seguras
02:03
that complied with some new requirements,
48
123191
2272
que cumpliesen algunos nuevos requisitos,
02:05
and these requirements were that our passwords
49
125463
2104
y estos requisitos eran que nuestras contraseñas
02:07
had to have a lot of entropy.
50
127567
1604
tenía que tener una gran cantidad de entropía.
02:09
Now entropy is a complicated term,
51
129171
2278
La entropía es un término complicado,
02:11
but basically it measures the strength of passwords.
52
131449
2798
pero básicamente mide la fuerza de las contraseñas.
02:14
But the thing is, there isn't actually
53
134247
1979
Pero el tema es que eso no es en realidad
02:16
a standard measure of entropy.
54
136226
1949
una medida estándar de entropía.
02:18
Now, the National Institute of Standards and Technology
55
138175
2399
El Instituto Nacional de Estándares y Tecnología
02:20
has a set of guidelines
56
140574
1553
tiene un conjunto de directrices
02:22
which have some rules of thumb
57
142127
2568
con algunas reglas básicas
02:24
for measuring entropy,
58
144695
1440
para medir la entropía,
02:26
but they don't have anything too specific,
59
146135
2895
pero no tienen nada muy específico,
02:29
and the reason they only have rules of thumb
60
149030
2337
y la razón por la que solo tiene reglas básicas
02:31
is it turns out they don't actually have any good data
61
151367
3136
es porque en realidad no tienen buena información
02:34
on passwords.
62
154503
1520
sobre contraseñas.
02:36
In fact, their report states,
63
156023
2312
De hecho, su informe señala,
02:38
"Unfortunately, we do not have much data
64
158335
2328
"Desafortunadamente, no tenemos mucha información
02:40
on the passwords users choose under particular rules.
65
160663
2842
sobre las contraseñas que los usuarios eligen bajo reglas particulares.
02:43
NIST would like to obtain more data
66
163505
2333
Al Instituto de estándares y tecnología (NIST) le gustaría obtener más datos
02:45
on the passwords users actually choose,
67
165838
2462
sobre las contraseñas escogidas por los usuarios,
02:48
but system administrators are understandably reluctant
68
168300
2463
pero los administradores de sistemas son comprensiblemente reacios
02:50
to reveal password data to others."
69
170763
2940
a revelar datos de las contraseñas a externos".
02:53
So this is a problem, but our research group
70
173703
3097
Esto es un problema, pero nuestro grupo de investigación
02:56
looked at it as an opportunity.
71
176800
2140
lo vio como una oportunidad.
02:58
We said, "Well, there's a need for good password data.
72
178940
3100
Dijimos: "Hay una necesidad de tener buenos datos sobre contraseñas.
03:02
Maybe we can collect some good password data
73
182040
2148
Tal vez podamos recoger algunos buenos datos sobre contraseñas
03:04
and actually advance the state of the art here.
74
184188
2704
y de hecho avanzar el estado actual aquí".
03:06
So the first thing we did is,
75
186892
1672
Así que lo primero que hicimos fue
03:08
we got a bag of candy bars
76
188564
1556
ir con una bolsa de caramelos
03:10
and we walked around campus
77
190120
1086
a dar una vuelta por el campus
03:11
and talked to students, faculty and staff,
78
191206
2798
para hablar con los estudiantes, profesores y personal,
03:14
and asked them for information
79
194004
1530
y pedirles información
03:15
about their passwords.
80
195534
1552
sobre sus contraseñas.
03:17
Now we didn't say, "Give us your password."
81
197086
3004
No les decíamos: "Danos tu contraseña".
03:20
No, we just asked them about their password.
82
200090
2661
Solo les preguntamos acerca de su contraseña.
03:22
How long is it? Does it have a digit?
83
202751
1478
¿Cuánto tiempo hace que la tienes? ¿Tiene algún dígito?
03:24
Does it have a symbol?
84
204229
1068
¿Tiene un símbolo?
03:25
And were you annoyed at having to create
85
205297
2045
Y ¿te molestó tener que crear
03:27
a new one last week?
86
207342
2744
una nueva la semana pasada?
03:30
So we got results from 470 students,
87
210086
3206
Así que obtuvimos resultados de 470 estudiantes,
03:33
faculty and staff,
88
213292
971
personal docente y administrativo,
03:34
and indeed we confirmed that the new policy
89
214263
2514
y de hecho se confirmó que la nueva política
03:36
was very annoying,
90
216777
1453
era muy molesta.
03:38
but we also found that people said
91
218230
1792
No obstante, también averiguamos que
03:40
they felt more secure with these new passwords.
92
220022
3130
se sentían más seguros con estas nuevas contraseñas.
03:43
We found that most people knew
93
223152
2306
Averiguamos que la mayoría de la gente sabía
03:45
they were not supposed to write their password down,
94
225458
2152
que se suponía que no debía anotar su contraseña,
03:47
and only 13 percent of them did,
95
227610
2391
y solo el 13 % lo hizo,
03:50
but disturbingly, 80 percent of people
96
230001
2416
pero desconcertantemente, el 80 %
03:52
said they were reusing their password.
97
232417
2124
dijo que reutilizaban su contraseña.
03:54
Now, this is actually more dangerous
98
234541
1796
Ahora, esto es en realidad más peligroso
03:56
than writing your password down,
99
236337
2022
que anotar la contraseña,
03:58
because it makes you much more susceptible to attackers.
100
238359
3561
porque nos hace mucho más vulnerables a los atacantes.
04:01
So if you have to, write your passwords down,
101
241920
3118
Así que si tienen que hacerlo, anoten sus contraseñas,
04:05
but don't reuse them.
102
245038
1799
pero no la reutilicen.
04:06
We also found some interesting things
103
246837
1751
También averiguamos algunas cosas interesantes
04:08
about the symbols people use in passwords.
104
248588
2961
acerca de los símbolos que las personas utilizan en las contraseñas.
04:11
So CMU allows 32 possible symbols,
105
251549
2799
Así CMU permite 32 posibles símbolos,
04:14
but as you can see, there's only a small number
106
254348
2433
pero como pueden ver, solo hay un pequeño número
04:16
that most people are using,
107
256781
1802
que la mayoría de la gente utiliza,
04:18
so we're not actually getting very much strength
108
258583
2941
así que no estamos consiguiendo realmente mucha seguridad
04:21
from the symbols in our passwords.
109
261524
2466
con los símbolos en nuestras contraseñas.
04:23
So this was a really interesting study,
110
263990
2711
Así que fue un estudio muy interesante,
04:26
and now we had data from 470 people,
111
266701
2464
y ahora teníamos los datos de 470 personas,
04:29
but in the scheme of things,
112
269165
1305
pero en la situación actual
04:30
that's really not very much password data,
113
270470
2580
esos no son realmente muchos datos de contraseñas,
04:33
and so we looked around to see
114
273050
1445
y así miramos a nuestro alrededor para ver
04:34
where could we find additional password data?
115
274495
2560
dónde podríamos encontrar datos adicionales de contraseñas.
04:37
So it turns out there are a lot of people
116
277055
2176
Resulta que hay mucha gente
04:39
going around stealing passwords,
117
279231
2202
por ahí robando contraseñas
04:41
and they often go and post these passwords
118
281433
2477
y a menudo las publican
04:43
on the Internet.
119
283910
1337
en Internet.
04:45
So we were able to get access
120
285247
1673
Así que pudimos obtener acceso
04:46
to some of these stolen password sets.
121
286920
3970
a algunos de estos conjuntos de contraseñas robadas.
04:50
This is still not really ideal for research, though,
122
290890
2328
Sin embargo, esto todavía no es realmente ideal para una investigación,
04:53
because it's not entirely clear
123
293218
2037
porque no es del todo claro
04:55
where all of these passwords came from,
124
295255
2184
de dónde proceden todas estas contraseñas,
04:57
or exactly what policies were in effect
125
297439
2242
o qué políticas concretas estaban en efecto
04:59
when people created these passwords.
126
299681
2108
cuando las personas crearon esas contraseñas.
05:01
So we wanted to find some better source of data.
127
301789
3552
Así es que queríamos encontrar una mejor fuente de datos.
05:05
So we decided that one thing we could do
128
305341
1634
Decidimos qué una cosa que podríamos hacer
05:06
is we could do a study and have people
129
306975
2129
era hacer un estudio y que la gente
05:09
actually create passwords for our study.
130
309104
3240
realmente creara contraseñas para nuestro estudio.
05:12
So we used a service called Amazon Mechanical Turk,
131
312344
2821
Así que usamos un servicio llamado Amazon Mechanical Turk,
05:15
and this is a service where you can post
132
315165
2334
que es un servicio para enviar
05:17
a small job online that takes a minute,
133
317499
2304
un pequeña tarea que lleva un minuto,
05:19
a few minutes, an hour,
134
319803
1500
unos minutos, una hora,
05:21
and pay people, a penny, ten cents, a few dollars,
135
321303
2584
y paga a la gente un centavo, diez centavos, unos dólares
05:23
to do a task for you,
136
323887
1346
por hacer la tarea por Ud.,
05:25
and then you pay them through Amazon.com.
137
325233
2122
y después se les paga a través de Amazon.com.
05:27
So we paid people about 50 cents
138
327355
2294
Así que pagamos a la gente unos 50 centavos
05:29
to create a password following our rules
139
329649
2596
por crear una contraseña siguiendo nuestras reglas
05:32
and answering a survey,
140
332245
1410
y por responder una encuesta,
05:33
and then we paid them again to come back
141
333655
2525
y luego les pagamos de nuevo para volver
05:36
two days later and log in
142
336180
2071
dos días más tarde y abrir una sesión
05:38
using their password and answering another survey.
143
338251
2574
usando su contraseña y contestar otra encuesta.
05:40
So we did this, and we collected 5,000 passwords,
144
340825
4464
Haciendo esto, hemos recogido 5000 contraseñas,
05:45
and we gave people a bunch of different policies
145
345289
2695
y dimos a la gente una serie de diferentes políticas
05:47
to create passwords with.
146
347984
1508
para crear contraseñas.
05:49
So some people had a pretty easy policy,
147
349492
1910
Algunas personas debían aplicar una política bastante fácil,
05:51
we call it Basic8,
148
351402
1539
la llamamos Basic8,
05:52
and here the only rule was that your password
149
352941
2146
y ahí la única regla es que la contraseña
05:55
had to have at least eight characters.
150
355087
3416
debía tener al menos ocho caracteres.
05:58
Then some people had a much harder policy,
151
358503
2251
Otras personas tenían que aplicar una política mucho más dura,
06:00
and this was very similar to the CMU policy,
152
360754
2537
y esto era muy similar a la política de CMU,
06:03
that it had to have eight characters
153
363291
1934
es decir, ocho caracteres
06:05
including uppercase, lowercase, digit, symbol,
154
365225
2376
incluyendo mayúsculas, minúsculas, dígitos, símbolo,
06:07
and pass a dictionary check.
155
367601
2389
y pasar una verificación de diccionario.
06:09
And one of the other policies we tried,
156
369990
1335
Y una de las otras políticas que probamos,
06:11
and there were a whole bunch more,
157
371325
1270
y había un montón más,
06:12
but one of the ones we tried was called Basic16,
158
372595
2240
pero una de las que probamos fue la llamada Basic16,
06:14
and the only requirement here
159
374835
2632
y el único requisito aquí
06:17
was that your password had to have at least 16 characters.
160
377467
3153
era que la contraseña debía tener al menos 16 caracteres.
06:20
All right, so now we had 5,000 passwords,
161
380620
2458
Muy bien, así que ahora teníamos 5000 contraseñas,
06:23
and so we had much more detailed information.
162
383078
3563
e información mucho más detallada.
06:26
Again we see that there's only a small number
163
386641
2559
Una vez más constatamos que la gente realmente solo usa
06:29
of symbols that people are actually using
164
389200
1915
un pequeño número de símbolos
06:31
in their passwords.
165
391115
1886
en sus contraseñas.
06:33
We also wanted to get an idea of how strong
166
393001
2599
También queríamos tener una idea de cuánta seguridad
06:35
the passwords were that people were creating,
167
395600
2771
ofrecían las contraseñas que las personas creaban,
06:38
but as you may recall, there isn't a good measure
168
398371
2620
pero, como recordarán, no es una buena medida
06:40
of password strength.
169
400991
1754
de seguridad de la contraseña.
06:42
So what we decided to do was to see
170
402745
2312
Así que decidimos ver
06:45
how long it would take to crack these passwords
171
405057
2370
el tiempo que se tardaría en descifrar estas contraseñas
06:47
using the best cracking tools
172
407427
1414
utilizando las mejores herramientas de descifrado
06:48
that the bad guys are using,
173
408841
1808
que usan los malos,
06:50
or that we could find information about
174
410649
2016
o averiguando información al respecto
06:52
in the research literature.
175
412665
1537
en la literatura especializada.
06:54
So to give you an idea of how bad guys
176
414202
2758
Para que se hagan una idea de cómo los chicos malos
06:56
go about cracking passwords,
177
416960
2170
descifran contraseñas,
06:59
they will steal a password file
178
419130
1951
ellos roban un archivo de contraseñas
07:01
that will have all of the passwords
179
421081
2153
donde están todas las contraseñas
07:03
in kind of a scrambled form, called a hash,
180
423234
2889
en una especie de formulario codificado llamado hash,
07:06
and so what they'll do is they'll make a guess
181
426123
2562
y así lo que harán es una conjetura
07:08
as to what a password is,
182
428685
1712
acerca de lo que es una contraseña,
07:10
run it through a hashing function,
183
430397
1897
que se comparará con una función hash,
07:12
and see whether it matches
184
432294
1765
para ver si coincide con
07:14
the passwords they have on their stolen password list.
185
434059
3950
las contraseñas de su lista de contraseñas robadas.
07:18
So a dumb attacker will try every password in order.
186
438009
3105
Así que un atacante tonto tratará todas las contraseñas en orden.
07:21
They'll start with AAAAA and move on to AAAAB,
187
441114
3568
Empezarán con AAAAA y pasarán a AAAAB,
07:24
and this is going to take a really long time
188
444682
2418
y esto tomará mucho tiempo
07:27
before they get any passwords
189
447100
1526
antes de encontrar las contraseñas
07:28
that people are really likely to actually have.
190
448626
2697
que las personas son propensas a tener.
07:31
A smart attacker, on the other hand,
191
451323
2183
Por otra parte, un atacante astuto,
07:33
does something much more clever.
192
453506
1386
hace algo mucho más inteligente.
07:34
They look at the passwords
193
454892
1826
Miran las contraseñas
07:36
that are known to be popular
194
456718
1800
que se saben que son populares
07:38
from these stolen password sets,
195
458518
1727
a partir de estos conjuntos de contraseñas robadas,
07:40
and they guess those first.
196
460245
1189
y las adivinan en primer lugar.
07:41
So they're going to start by guessing "password,"
197
461434
2134
Así que empezaremos adivinando "contraseña"
07:43
and then they'll guess "I love you," and "monkey,"
198
463568
2751
y luego "Te amo" y "mono"
07:46
and "12345678,"
199
466319
2583
y "12345678",
07:48
because these are the passwords
200
468902
1312
porque estas son las contraseñas
07:50
that are most likely for people to have.
201
470214
1905
que con mayor probabilidad tiene la gente.
07:52
In fact, some of you probably have these passwords.
202
472119
3261
De hecho, algunos de Uds. probablemente tienen estas contraseñas.
07:57
So what we found
203
477191
1298
Así que lo que encontramos
07:58
by running all of these 5,000 passwords we collected
204
478489
3406
mediante la ejecución de todas estas 5000 contraseñas recogidas
08:01
through these tests to see how strong they were,
205
481895
4106
a través de estas pruebas para ver lo seguras que eran,
08:06
we found that the long passwords
206
486001
2752
encontramos que las contraseñas largas
08:08
were actually pretty strong,
207
488753
1280
eran en realidad bastante seguras,
08:10
and the complex passwords were pretty strong too.
208
490033
3262
y las contraseñas complejas eran bastante seguras también.
08:13
However, when we looked at the survey data,
209
493295
2442
Sin embargo, cuando nos fijamos en los datos del estudio,
08:15
we saw that people were really frustrated
210
495737
3024
vimos que la gente estaba realmente frustrada
08:18
by the very complex passwords,
211
498761
2339
por las contraseñas muy complejas,
08:21
and the long passwords were a lot more usable,
212
501100
2630
y que las contraseñas largas eran mucho más usables,
08:23
and in some cases, they were actually
213
503730
1325
y, en algunos casos, eran en realidad
08:25
even stronger than the complex passwords.
214
505055
2908
incluso más seguras que las contraseñas complejas.
08:27
So this suggests that,
215
507963
1169
Así que esto sugiere que,
08:29
instead of telling people that they need
216
509132
1703
en lugar de decirle a la gente que necesitan
08:30
to put all these symbols and numbers
217
510835
1522
poner todos estos símbolos y números
08:32
and crazy things into their passwords,
218
512357
2842
y cosas locas en sus contraseñas,
08:35
we might be better off just telling people
219
515199
2022
podríamos mejorar simplemente diciendo a la gente
08:37
to have long passwords.
220
517221
2652
que tengan contraseñas largas.
08:39
Now here's the problem, though:
221
519873
1792
Sin embargo, aquí hay el problema,
08:41
Some people had long passwords
222
521665
2255
Algunas personas tenían contraseñas largas
08:43
that actually weren't very strong.
223
523920
1555
que en realidad no eran muy seguras.
08:45
You can make long passwords
224
525475
1997
Pueden crear contraseñas largas
08:47
that are still the sort of thing
225
527472
1556
del tipo
08:49
that an attacker could easily guess.
226
529028
1742
que un atacante podría adivinar fácilmente.
08:50
So we need to do more than just say long passwords.
227
530770
3365
Así que debemos añadir algo más a las contraseñas largas.
08:54
There has to be some additional requirements,
228
534135
1936
Deben existir requisitos adicionales,
08:56
and some of our ongoing research is looking at
229
536071
2969
y nuestra investigación en curso está mirando
08:59
what additional requirements we should add
230
539040
2439
qué requisitos adicionales hay que añadir
09:01
to make for stronger passwords
231
541479
2104
para crear contraseñas más seguras
09:03
that also are going to be easy for people
232
543583
2312
que también sean fáciles para la gente
09:05
to remember and type.
233
545895
2698
recordar y escribir.
09:08
Another approach to getting people to have
234
548593
2126
Otra forma para lograr que las personas tengan
09:10
stronger passwords is to use a password meter.
235
550719
2257
contraseñas más seguras es usar un medidor de contraseña.
09:12
Here are some examples.
236
552976
1385
Estos son algunos ejemplos:
09:14
You may have seen these on the Internet
237
554361
1401
Puede que los hayan visto en Internet
09:15
when you were creating passwords.
238
555762
3057
al crear sus contraseñas.
09:18
We decided to do a study to find out
239
558819
2248
Decidimos hacer un estudio para averiguar
09:21
whether these password meters actually work.
240
561067
2887
si estos medidores de contraseñas realmente funcionan.
09:23
Do they actually help people
241
563954
1421
¿Esto realmente ayuda a las personas
09:25
have stronger passwords,
242
565375
1453
a tener contraseñas seguras?
09:26
and if so, which ones are better?
243
566828
2086
Y si es así, ¿cuáles son mejores?
09:28
So we tested password meters that were
244
568914
2507
Así que probamos medidores de contraseñas
09:31
different sizes, shapes, colors,
245
571421
2098
de diferentes tamaños, formas, colores,
09:33
different words next to them,
246
573519
1416
diferentes palabras al lado,
09:34
and we even tested one that was a dancing bunny.
247
574935
3275
y hasta probamos uno con era un conejito bailarín.
09:38
As you type a better password,
248
578210
1582
Al escribir una mejor contraseña,
09:39
the bunny dances faster and faster.
249
579792
2539
el conejo baila cada vez más rápido.
09:42
So this was pretty fun.
250
582331
2529
Así que fue bastante divertido.
09:44
What we found
251
584860
1567
Lo que encontramos
09:46
was that password meters do work.
252
586427
3572
fue que los medidores de contraseñas funcionan.
09:49
(Laughter)
253
589999
1801
(Risas)
09:51
Most of the password meters were actually effective,
254
591800
3333
La mayoría de los medidores de contraseñas eran realmente eficaces,
09:55
and the dancing bunny was very effective too,
255
595133
2521
y el conejo bailarín era muy eficaz también,
09:57
but the password meters that were the most effective
256
597654
2881
pero los medidores de contraseña más eficaces
10:00
were the ones that made you work harder
257
600535
2355
fueron los que les hicieron trabajar más
10:02
before they gave you that thumbs up and said
258
602890
1980
antes de mostrar el pulgar alzado y decir
10:04
you were doing a good job,
259
604870
1377
que estábamos haciendo un buen trabajo,
10:06
and in fact we found that most
260
606247
1512
y de hecho encontramos que la mayoría
10:07
of the password meters on the Internet today
261
607759
2281
de los medidores de contraseña en Internet hoy
10:10
are too soft.
262
610040
952
10:10
They tell you you're doing a good job too early,
263
610992
2203
son demasiado permisivos.
Dicen que lo hacemos bien antes de tiempo,
10:13
and if they would just wait a little bit
264
613195
1929
y si solo esperaran un poco
10:15
before giving you that positive feedback,
265
615124
2049
antes de dar esa respuesta positiva,
10:17
you probably would have better passwords.
266
617173
3160
Uds. probablemente tendrían mejores contraseñas.
10:20
Now another approach to better passwords, perhaps,
267
620333
3847
Ahora, otro enfoque para mejorar las contraseñas, tal vez,
10:24
is to use pass phrases instead of passwords.
268
624180
2890
es usar frases de paso en lugar de contraseñas.
10:27
So this was an xkcd cartoon from a couple of years ago,
269
627070
3418
Este fue un dibujo animado xkcd de hace unos años,
10:30
and the cartoonist suggests
270
630488
1674
y el dibujante sugiere
10:32
that we should all use pass phrases,
271
632162
2196
que todos debemos utilizar frases de paso,
10:34
and if you look at the second row of this cartoon,
272
634358
3170
y si nos fijamos en la segunda fila de esta caricatura,
10:37
you can see the cartoonist is suggesting
273
637528
1857
se puede ver que el dibujante sugiere
10:39
that the pass phrase "correct horse battery staple"
274
639385
3441
que la frase "batería básica del caballo correcto"
10:42
would be a very strong pass phrase
275
642826
2481
sería una frase muy segura
10:45
and something really easy to remember.
276
645307
1916
y algo muy fácil de recordar.
10:47
He says, in fact, you've already remembered it.
277
647223
2797
Él dice que, de hecho, uno ya la recuerda.
10:50
And so we decided to do a research study
278
650020
2150
Así que decidimos hacer un estudio
10:52
to find out whether this was true or not.
279
652170
2592
para averiguar si esto era cierto o no.
10:54
In fact, everybody who I talk to,
280
654762
1775
De hecho, a todos con los que hablo que
10:56
who I mention I'm doing password research,
281
656537
2042
les menciono que estoy haciendo una investigación sobre contraseñas,
10:58
they point out this cartoon.
282
658579
1400
señalan esta caricatura.
10:59
"Oh, have you seen it? That xkcd.
283
659979
1574
"¿Has visto esto? Ese xkcd.
11:01
Correct horse battery staple."
284
661553
1602
Batería básica del caballo correcto".
11:03
So we did the research study to see
285
663155
1806
Así que hicimos el estudio para ver
11:04
what would actually happen.
286
664961
2359
lo que realmente pasaría.
11:07
So in our study, we used Mechanical Turk again,
287
667320
3060
En nuestro estudio, hemos utilizado Mechanical Turk de nuevo,
11:10
and we had the computer pick the random words
288
670380
4167
e hicimos que la computadora recogiera palabras al azar
11:14
in the pass phrase.
289
674547
1100
en la frase de paso.
11:15
Now the reason we did this
290
675647
1153
Ahora, la razón para hacerlo
11:16
is that humans are not very good
291
676800
1586
es que los humanos no son muy buenos
11:18
at picking random words.
292
678386
1384
escogiendo palabras al azar.
11:19
If we asked a human to do it,
293
679770
1262
Si pidiéramos a un humano hacerlo,
11:21
they would pick things that were not very random.
294
681032
2998
elegirían las cosas que no son muy arbitrarias.
11:24
So we tried a few different conditions.
295
684030
2032
Así que probamos algunas premisas diferentes.
11:26
In one condition, the computer picked
296
686062
2090
Bajo una de las premisas la computadora escogió
11:28
from a dictionary of the very common words
297
688152
2216
de un diccionario de palabras muy comunes
11:30
in the English language,
298
690368
1362
del idioma inglés,
11:31
and so you'd get pass phrases like
299
691730
1764
y así se obtendría frases de paso como
11:33
"try there three come."
300
693494
1924
"Intentemos hay tres vienen".
11:35
And we looked at that, and we said,
301
695418
1732
Y nos fijamos en eso, y dijimos,
11:37
"Well, that doesn't really seem very memorable."
302
697150
3050
"Bueno, no parece realmente muy memorizable".
11:40
So then we tried picking words
303
700200
2240
Así que intentamos recoger las palabras
11:42
that came from specific parts of speech,
304
702440
2521
que vinieron de partes específicas de la conversación
11:44
so how about noun-verb-adjective-noun.
305
704961
2182
como por ejemplo nombre-verbo-sustantivo-adjetivo.
11:47
That comes up with something that's sort of sentence-like.
306
707143
2577
Eso está relacionado con algo que es una especie de oración.
11:49
So you can get a pass phrase like
307
709720
2070
Así que Uds. pueden obtener una frase como
11:51
"plan builds sure power"
308
711790
1308
"plan construye poder seguro".
11:53
or "end determines red drug."
309
713098
2786
o "final determina drogas rojas".
11:55
And these seemed a little bit more memorable,
310
715884
2676
Y estas parecían un poco más memorizables,
11:58
and maybe people would like those a little bit better.
311
718560
2822
y tal vez a la gente le gustarían más.
12:01
We wanted to compare them with passwords,
312
721382
2572
Queríamos compararlas con las contraseñas,
12:03
and so we had the computer pick random passwords,
313
723954
3196
y teníamos la computadora para escoger contraseñas aleatorias,
12:07
and these were nice and short, but as you can see,
314
727150
1990
y estas eran agradables y cortas, pero como pueden ver,
12:09
they don't really look very memorable.
315
729140
2806
en realidad, no parecen muy memorizables.
12:11
And then we decided to try something called
316
731946
1396
Y entonces decidimos probar algo llamado
12:13
a pronounceable password.
317
733342
1646
contraseña pronunciable.
12:14
So here the computer picks random syllables
318
734988
2245
Así que aquí la computadora recoge sílabas al azar
12:17
and puts them together
319
737233
1134
y las pone une
12:18
so you have something sort of pronounceable,
320
738367
2475
para obtener algo pronunciable,
12:20
like "tufritvi" and "vadasabi."
321
740842
2602
como "tufritvi" y "vadasabi".
12:23
That one kind of rolls off your tongue.
322
743444
2147
Eso fluye en la lengua.
12:25
So these were random passwords that were
323
745591
2216
Así que eran contraseñas aleatorias
12:27
generated by our computer.
324
747807
2744
generadas por nuestra computadora
12:30
So what we found in this study was that, surprisingly,
325
750551
2978
Lo que encontramos en este estudio fue que, sorprendentemente,
12:33
pass phrases were not actually all that good.
326
753529
3768
utilizar frases no era, en realidad, tan bueno.
12:37
People were not really better at remembering
327
757297
2793
La gente no recordaba mejor
12:40
the pass phrases than these random passwords,
328
760090
2953
las frases de paso que estas contraseñas aleatorias,
12:43
and because the pass phrases are longer,
329
763043
2754
y como las frases de paso son más largas,
12:45
they took longer to type
330
765797
1226
se precisa más tiempo para escribirlas
12:47
and people made more errors while typing them in.
331
767023
3010
y la gente cometía más errores al escribirlas.
12:50
So it's not really a clear win for pass phrases.
332
770033
3227
Así que no es realmente una victoria clara para las frases de paso.
12:53
Sorry, all of you xkcd fans.
333
773260
3345
Perdón por todos los fans de xkcd.
12:56
On the other hand, we did find
334
776605
1892
Por otro lado, averiguamos
12:58
that pronounceable passwords
335
778497
1804
que las contraseñas pronunciables
13:00
worked surprisingly well,
336
780301
1471
funcionaron sorprendentemente bien,
13:01
and so we actually are doing some more research
337
781772
2418
por eso estamos profundizando más
13:04
to see if we can make that approach work even better.
338
784190
3195
para ver si podemos hacer que este enfoque sea aún mejor.
13:07
So one of the problems
339
787385
1812
Uno de los problemas
13:09
with some of the studies that we've done
340
789197
1623
con algunos de los estudios realizados
13:10
is that because they're all done
341
790820
1683
es que, debido a que está todo hecho,
13:12
using Mechanical Turk,
342
792503
1590
usando Mechanical Turk,
13:14
these are not people's real passwords.
343
794093
1812
no se trata de contraseñas reales de la gente.
13:15
They're the passwords that they created
344
795905
2105
Son las claves que
13:18
or the computer created for them for our study.
345
798010
2495
la computadora ha creado para ellos para nuestro estudio.
13:20
And we wanted to know whether people
346
800505
1568
Y lo que queríamos saber es si la gente
13:22
would actually behave the same way
347
802073
2312
en realidad se comportaría de la misma forma
13:24
with their real passwords.
348
804385
2227
con sus contraseñas reales.
13:26
So we talked to the information security office at Carnegie Mellon
349
806612
3681
Así que hablamos con la oficina de seguridad informática en Carnegie Mellon
13:30
and asked them if we could have everybody's real passwords.
350
810293
3803
y preguntamos si podíamos obtener contraseñas reales de todo el mundo.
13:34
Not surprisingly, they were a little bit reluctant
351
814096
1754
No es de extrañar, que fueran un poco reticentes
13:35
to share them with us,
352
815850
1550
de dárnoslas,
13:37
but we were actually able to work out
353
817400
1810
pero estábamos realmente dispuestos a elaborar
13:39
a system with them
354
819210
1040
un sistema con ellos
13:40
where they put all of the real passwords
355
820250
2109
donde poner todas las contraseñas reales
13:42
for 25,000 CMU students, faculty and staff,
356
822359
3091
de 25 000 estudiantes de CMU, profesores y personal,
13:45
into a locked computer in a locked room,
357
825450
2448
en una computadora bloqueada en una habitación cerrada,
13:47
not connected to the Internet,
358
827898
1394
sin conexión a Internet,
13:49
and they ran code on it that we wrote
359
829292
1848
para ejecutar el código que escribimos
13:51
to analyze these passwords.
360
831140
2152
para analizar estas contraseñas.
13:53
They audited our code.
361
833292
1326
Auditaron nuestro código.
13:54
They ran the code.
362
834618
1312
Ejecutaron el código.
13:55
And so we never actually saw
363
835930
1738
Y así nunca, en realidad, vimos
13:57
anybody's password.
364
837668
2817
las contraseñas de nadie.
14:00
We got some interesting results,
365
840485
1515
Obtuvimos algunos resultados interesantes,
14:02
and those of you Tepper students in the back
366
842000
1696
y aquellos de Uds. estudiantes de Tepper de atrás
14:03
will be very interested in this.
367
843696
2875
estarán muy interesados en esto.
14:06
So we found that the passwords created
368
846571
3731
Así nos encontramos con que las contraseñas creadas
14:10
by people affiliated with the school of computer science
369
850302
2158
por las personas afiliadas a la escuela de ciencias de la computación
14:12
were actually 1.8 times stronger
370
852460
2324
en realidad eran 1,8 veces más seguras
14:14
than those affiliated with the business school.
371
854784
3738
que las de los afiliados a la escuela de negocios.
14:18
We have lots of other really interesting
372
858522
2040
Tenemos también información
14:20
demographic information as well.
373
860562
2238
demográfica muy interesante.
14:22
The other interesting thing that we found
374
862800
1846
Otra cosa interesante que encontramos
14:24
is that when we compared the Carnegie Mellon passwords
375
864646
2440
es que al comparar las contraseñas de Carnegie Mellon
14:27
to the Mechanical Turk-generated passwords,
376
867086
2283
con las contraseñas generadas por Mechanical Turk,
14:29
there was actually a lot of similarities,
377
869369
2619
había una gran cantidad de similitudes,
14:31
and so this helped validate our research method
378
871988
1948
y así que esto ayudó a validar nuestro método de investigación
14:33
and show that actually, collecting passwords
379
873936
2510
y mostrar que en realidad, la recogida de contraseñas
14:36
using these Mechanical Turk studies
380
876446
1808
utilizando estos estudios de Mechanical Turk
14:38
is actually a valid way to study passwords.
381
878254
2788
es en realidad una forma válida para estudiar las contraseñas.
14:41
So that was good news.
382
881042
2285
Así que fue una buena noticia.
14:43
Okay, I want to close by talking about
383
883327
2414
Bien, quiero cerrar hablando de
14:45
some insights I gained while on sabbatical
384
885741
2068
algunas ideas que tuve durante mi año sabático
14:47
last year in the Carnegie Mellon art school.
385
887809
3201
el año pasado en la escuela de arte de Carnegie Mellon.
14:51
One of the things that I did
386
891010
1281
Una de las cosas que hice
14:52
is I made a number of quilts,
387
892291
1524
es una serie de edredones,
14:53
and I made this quilt here.
388
893815
1548
y he hecho este edredón de aquí.
14:55
It's called "Security Blanket."
389
895363
1899
Se llama "Manta de Seguridad".
14:57
(Laughter)
390
897262
2431
(Risas)
14:59
And this quilt has the 1,000
391
899693
3095
Este edredón tiene las 1000
15:02
most frequent passwords stolen
392
902788
2328
contraseñas robadas con más frecuencia
15:05
from the RockYou website.
393
905116
2571
del sitio web RockYou.
15:07
And the size of the passwords is proportional
394
907687
2061
El tamaño de las contraseñas es proporcional
15:09
to how frequently they appeared
395
909748
1901
a la frecuencia con que aparecían
15:11
in the stolen dataset.
396
911649
2248
en el conjunto de datos robados.
15:13
And what I did is I created this word cloud,
397
913897
2632
Lo que hice es crear esta nube de palabras,
15:16
and I went through all 1,000 words,
398
916529
2132
y examiné todas las 1000 palabras,
15:18
and I categorized them into
399
918661
1795
y las categoricé en
15:20
loose thematic categories.
400
920456
2380
categorías temáticas sueltas.
15:22
And it was, in some cases,
401
922836
1903
Y, en algunos casos,
15:24
it was kind of difficult to figure out
402
924739
2038
era un poco difícil de entender
15:26
what category they should be in,
403
926777
1755
en qué categoría debían estar
15:28
and then I color-coded them.
404
928532
1899
y entonces las identifiqué por colores.
15:30
So here are some examples of the difficulty.
405
930431
2619
Así que estos son algunos ejemplos de la dificultad.
15:33
So "justin."
406
933050
1181
Digamos "justin".
15:34
Is that the name of the user,
407
934231
1829
¿Es ese el nombre del usuario,
15:36
their boyfriend, their son?
408
936060
1322
su novio, su hijo?
15:37
Maybe they're a Justin Bieber fan.
409
937382
2888
Tal vez son un fan de Justin Bieber.
15:40
Or "princess."
410
940270
2225
O "princesa".
15:42
Is that a nickname?
411
942495
1635
¿Es un apodo?
15:44
Are they Disney princess fans?
412
944130
1595
¿Son fans de las princesas de Disney?
15:45
Or maybe that's the name of their cat.
413
945725
3694
O tal vez ese es el nombre de su gato.
15:49
"Iloveyou" appears many times
414
949419
1655
"Iloveyou" aparece muchas veces
15:51
in many different languages.
415
951074
1545
en muchos idiomas diferentes.
15:52
There's a lot of love in these passwords.
416
952619
3735
Hay mucho amor en estas contraseñas.
15:56
If you look carefully, you'll see there's also
417
956354
1680
Si miran atentamente, verán que hay también
15:58
some profanity,
418
958034
2267
algunas palabras soeces,
16:00
but it was really interesting to me to see
419
960301
1950
pero lo que fue realmente interesante ver para mí
16:02
that there's a lot more love than hate
420
962251
2307
es que hay mucho más amor que odio
16:04
in these passwords.
421
964558
2292
en estas contraseñas.
16:06
And there are animals,
422
966850
1490
Y hay animales,
16:08
a lot of animals,
423
968340
1360
una gran cantidad de animales,
16:09
and "monkey" is the most common animal
424
969700
2304
y "mono" es el animal más común
16:12
and the 14th most popular password overall.
425
972004
3675
y la 14 contraseña más popular.
16:15
And this was really curious to me,
426
975679
2231
Y esto fue realmente curioso para mí,
16:17
and I wondered, "Why are monkeys so popular?"
427
977910
2523
y me pregunté: "¿Por qué son tan populares los monos?"
16:20
And so in our last password study,
428
980433
3352
Y así, en nuestro último estudio sobre contraseñas,
16:23
any time we detected somebody
429
983785
1686
cuando detectamos que alguien
16:25
creating a password with the word "monkey" in it,
430
985471
2649
crea una contraseña usando "mono",
16:28
we asked them why they had a monkey in their password.
431
988120
3030
les preguntamos por qué tenían un mono en su contraseña.
16:31
And what we found out --
432
991150
1910
Y lo que averiguamos...
16:33
we found 17 people so far, I think,
433
993060
2103
encontramos 17 personas hasta el momento
16:35
who have the word "monkey" --
434
995163
1283
que tienen la palabra "mono"...
16:36
We found out about a third of them said
435
996446
1812
Encontramos que un tercio de ellos dijo
16:38
they have a pet named "monkey"
436
998258
1740
que tienen una mascota llamada "mono"
16:39
or a friend whose nickname is "monkey,"
437
999998
2291
o un amigo cuyo apodo es "mono"
16:42
and about a third of them said
438
1002289
1660
y alrededor de un tercio de ellos dijo
16:43
that they just like monkeys
439
1003949
1533
simplemente que le gustan los monos
16:45
and monkeys are really cute.
440
1005482
1638
y que los monos son muy lindos.
16:47
And that guy is really cute.
441
1007120
3639
Y ese joven es muy lindo.
16:50
So it seems that at the end of the day,
442
1010759
3408
Así, parece que al final,
16:54
when we make passwords,
443
1014167
1783
cuando hacemos las contraseñas,
16:55
we either make something that's really easy
444
1015950
1974
hacemos algo que o es muy fácil
16:57
to type, a common pattern,
445
1017924
3009
de escribir, un patrón común,
17:00
or things that remind us of the word password
446
1020933
2486
o cosas que nos recuerdan a la palabra contraseña
17:03
or the account that we've created the password for,
447
1023419
3312
o a la cuenta para la que hemos creado la contraseña,
17:06
or whatever.
448
1026731
2617
o lo que sea.
17:09
Or we think about things that make us happy,
449
1029348
2642
O pensamos acerca de las cosas que nos hacen felices,
17:11
and we create our password
450
1031990
1304
y creamos nuestra contraseña
17:13
based on things that make us happy.
451
1033294
2238
basados en las cosas que nos hacen felices.
17:15
And while this makes typing
452
1035532
2863
Y si bien esto facilita la escritura
17:18
and remembering your password more fun,
453
1038395
2870
y recordarla es más divertido,
17:21
it also makes it a lot easier
454
1041265
1807
también hace que sea mucho más fácil
17:23
to guess your password.
455
1043072
1506
descifrar la contraseña.
17:24
So I know a lot of these TED Talks
456
1044578
1748
Así que sé que un montón de estas charlas TED
17:26
are inspirational
457
1046326
1634
son fuente de inspiración
17:27
and they make you think about nice, happy things,
458
1047960
2461
y hacen pensar sobre cosas agradables y felices,
17:30
but when you're creating your password,
459
1050421
1897
pero cuando estén creando su contraseña,
17:32
try to think about something else.
460
1052318
1991
traten de pensar en otra cosa.
17:34
Thank you.
461
1054309
1107
Gracias.
17:35
(Applause)
462
1055416
553
(Aplausos)
Acerca de este sitio web

Este sitio le presentará vídeos de YouTube útiles para aprender inglés. Verá lecciones de inglés impartidas por profesores de primera categoría de todo el mundo. Haz doble clic en los subtítulos en inglés que aparecen en cada página de vídeo para reproducir el vídeo desde allí. Los subtítulos se desplazan en sincronía con la reproducción del vídeo. Si tiene algún comentario o petición, póngase en contacto con nosotros mediante este formulario de contacto.

https://forms.gle/WvT1wiN1qDtmnspy7