Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

139,276 views ・ 2014-06-24

TED


Fare doppio clic sui sottotitoli in inglese per riprodurre il video.

Traduttore: Elisa Magni Revisore: Valentina Buda
00:12
I am a computer science and engineering professor here at Carnegie Mellon,
0
12535
3445
Sono una professoressa di scienza e ingegneria informatica
qui al Carnegie Mellon
00:15
and my research focuses on usable privacy and security,
1
15980
4248
e la mia ricerca si concentra sull'accessibilità di privacy e sicurezza.
00:20
and so my friends like to give me examples
2
20228
2768
Così ai miei amici piace farmi degli esempi
00:22
of their frustrations with computing systems,
3
22996
2202
delle loro frustrazioni con i sistemi informatici,
00:25
especially frustrations related to
4
25198
3354
in particolare di quelle frustrazioni che hanno a che fare
00:28
unusable privacy and security.
5
28552
4112
con l'inaccessibilità di privacy e sicurezza.
00:32
So passwords are something that I hear a lot about.
6
32664
2711
Quindi le password sono qualcosa di cui sento molto parlare.
00:35
A lot of people are frustrated with passwords,
7
35375
2880
Molte persone sono frustrate dalle password,
00:38
and it's bad enough
8
38255
1694
ed è già abbastanza difficile
00:39
when you have to have one really good password
9
39949
2644
quando devi avere una password davvero buona
00:42
that you can remember
10
42593
1822
che puoi ricordare
00:44
but nobody else is going to be able to guess.
11
44415
2894
ma che nessun altro sarà in grado di indovinare.
00:47
But what do you do when you have accounts
12
47309
1637
Ma che cosa fare quando si hanno account
00:48
on a hundred different systems
13
48946
1808
su centinaia di sistemi diversi
00:50
and you're supposed to have a unique password
14
50754
2276
e si dovrebbe avere una password diversa
00:53
for each of these systems?
15
53030
3037
per ognuno di questi sistemi?
00:56
It's tough.
16
56067
2184
È dura.
00:58
At Carnegie Mellon, they used to make it
17
58251
1759
Al Carnegie Mellon, era molto facile per noi
01:00
actually pretty easy for us
18
60010
1299
01:01
to remember our passwords.
19
61309
1737
ricordare le nostre password.
01:03
The password requirement up through 2009
20
63046
2403
Il requisito per le password fino al 2009
01:05
was just that you had to have a password
21
65449
2379
era che dovevi avere una password
01:07
with at least one character.
22
67828
2211
con almeno un carattere.
01:10
Pretty easy. But then they changed things,
23
70039
2888
Piuttosto semplice. Ma poi le cose sono cambiate,
01:12
and at the end of 2009, they announced
24
72927
2670
e alla fine del 2009 hanno annunciato
01:15
that we were going to have a new policy,
25
75597
2376
che avremmo avuto una nuova politica,
01:17
and this new policy required
26
77973
1863
e questa nuova politica richiedeva
01:19
passwords that were at least eight characters long,
27
79836
2681
che le password avessero almeno otto caratteri,
01:22
with an uppercase letter, lowercase letter,
28
82517
1775
con una lettera maiuscola, una minuscola,
01:24
a digit, a symbol,
29
84292
1288
una cifra, un simbolo,
01:25
you couldn't use the same character more than three times,
30
85580
2638
non si poteva usare lo stesso carattere più di tre volte,
01:28
and it wasn't allowed to be in a dictionary.
31
88218
2434
e la parola non poteva trovarsi in un dizionario.
01:30
Now, when they implemented this new policy,
32
90652
2182
Quando introdussero questa nuova politica,
01:32
a lot of people, my colleagues and friends,
33
92834
2310
molte persone, colleghi e amici,
01:35
came up to me and they said, "Wow,
34
95144
1854
vennero da me e mi dissero: "Wow,
01:36
now that's really unusable.
35
96998
1512
adesso sì che è inutilizzabile!
01:38
Why are they doing this to us,
36
98510
1193
Perché ci fanno questo,
01:39
and why didn't you stop them?"
37
99703
1711
e perché non glielo hai impedito?"
01:41
And I said, "Well, you know what?
38
101414
1356
E io risposi: "Be', sapete una cosa?
01:42
They didn't ask me."
39
102770
1508
Io non sono stata interpellata."
01:44
But I got curious, and I decided to go talk
40
104278
3465
Ma mi incuriosii, e decisi di andare a parlare
01:47
to the people in charge of our computer systems
41
107743
1937
con i responsabili dei sistemi informatici
01:49
and find out what led them to introduce
42
109680
2831
per scoprire che cosa li avesse spinti a introdurre
01:52
this new policy,
43
112511
1848
questa nuova politica.
01:54
and they said that the university
44
114359
1584
Dissero che l'università
01:55
had joined a consortium of universities,
45
115943
2366
aveva aderito a un consorzio di università,
01:58
and one of the requirements of membership
46
118309
2634
e uno dei requisiti per farne parte
02:00
was that we had to have stronger passwords
47
120943
2248
era che dovevamo avere password più efficaci
02:03
that complied with some new requirements,
48
123191
2272
che rispondessero a dei nuovi requisiti,
02:05
and these requirements were that our passwords
49
125463
2104
e questi requisiti prevedevano che le nostre password
02:07
had to have a lot of entropy.
50
127567
1604
dovessero avere molta entropia.
02:09
Now entropy is a complicated term,
51
129171
2278
Ora, "entropia" è un termine complicato,
02:11
but basically it measures the strength of passwords.
52
131449
2798
ma in pratica misura la forza delle password.
02:14
But the thing is, there isn't actually
53
134247
1979
Il fatto è che in realtà non c'è
02:16
a standard measure of entropy.
54
136226
1949
una misura standard dell'entropia.
02:18
Now, the National Institute of Standards and Technology
55
138175
2399
Il National Institute of Standards and Technology
02:20
has a set of guidelines
56
140574
1553
ha stabilito una serie di linee guida
02:22
which have some rules of thumb
57
142127
2568
che danno indicazioni generali
02:24
for measuring entropy,
58
144695
1440
per misurare l'entropia,
02:26
but they don't have anything too specific,
59
146135
2895
ma non contengono niente di troppo specifico,
02:29
and the reason they only have rules of thumb
60
149030
2337
e il motivo per cui hanno solo indicazioni generiche
02:31
is it turns out they don't actually have any good data
61
151367
3136
è che a quanto pare non dispongono di dati attendibili
02:34
on passwords.
62
154503
1520
sulle password.
02:36
In fact, their report states,
63
156023
2312
In effetti, il loro resoconto recita:
02:38
"Unfortunately, we do not have much data
64
158335
2328
"Purtroppo, non abbiamo a disposizione molti dati
02:40
on the passwords users choose under particular rules.
65
160663
2842
sulle password scelte dagli utenti secondo regole particolari.
02:43
NIST would like to obtain more data
66
163505
2333
Il NIST vorrebbe ottenere più dati
02:45
on the passwords users actually choose,
67
165838
2462
sulle password effettivamente scelte dagli utenti,
02:48
but system administrators are understandably reluctant
68
168300
2463
ma gli amministratori dei sistemi sono comprensibilmente restii
02:50
to reveal password data to others."
69
170763
2940
a rivelare le password a terzi."
02:53
So this is a problem, but our research group
70
173703
3097
Questo è un problema, ma il nostro gruppo di ricerca
02:56
looked at it as an opportunity.
71
176800
2140
lo ha considerato come un'opportunità.
02:58
We said, "Well, there's a need for good password data.
72
178940
3100
Ci siamo detti: "Beh, c'è bisogno di dati validi per le password.
03:02
Maybe we can collect some good password data
73
182040
2148
Forse possiamo raccogliere dei dati attendibili
03:04
and actually advance the state of the art here.
74
184188
2704
e fare davvero dei progressi".
03:06
So the first thing we did is,
75
186892
1672
La prima cosa che abbiamo fatto è stata
03:08
we got a bag of candy bars
76
188564
1556
prendere una borsa piena di barrette di cioccolata,
03:10
and we walked around campus
77
190120
1086
passeggiare per il campus
03:11
and talked to students, faculty and staff,
78
191206
2798
e parlare con gli studenti, il corpo docenti e lo staff,
03:14
and asked them for information
79
194004
1530
e chiedere loro informazioni
03:15
about their passwords.
80
195534
1552
sulle loro password.
03:17
Now we didn't say, "Give us your password."
81
197086
3004
Non abbiamo detto loro: "Dateci le vostre password".
03:20
No, we just asked them about their password.
82
200090
2661
No, gli facevamo solamente delle domande sulle loro password.
03:22
How long is it? Does it have a digit?
83
202751
1478
Quanto è lunga? Contiene una cifra?
03:24
Does it have a symbol?
84
204229
1068
Contiene un simbolo?
03:25
And were you annoyed at having to create
85
205297
2045
E ti ha dato fastidio doverne creare
03:27
a new one last week?
86
207342
2744
una nuova la settimana scorsa?
03:30
So we got results from 470 students,
87
210086
3206
Abbiamo raccolto risultati da 470 studenti,
03:33
faculty and staff,
88
213292
971
insegnanti e staff,
03:34
and indeed we confirmed that the new policy
89
214263
2514
e ci è stato confermato che la nuova politica
03:36
was very annoying,
90
216777
1453
era davvero molto fastidiosa,
03:38
but we also found that people said
91
218230
1792
ma abbiamo anche scoperto che le persone dicevano
03:40
they felt more secure with these new passwords.
92
220022
3130
di sentirsi più sicure con queste nuove password.
03:43
We found that most people knew
93
223152
2306
Abbiamo scoperto che la maggioranza sapeva
03:45
they were not supposed to write their password down,
94
225458
2152
che le password non si dovrebbero annotare,
03:47
and only 13 percent of them did,
95
227610
2391
e solo il 13 per cento lo aveva fatto,
03:50
but disturbingly, 80 percent of people
96
230001
2416
ma, preoccupantemente, l'80 per cento delle persone
03:52
said they were reusing their password.
97
232417
2124
ha dichiarato che stava riutilizzando la propria password precedente.
03:54
Now, this is actually more dangerous
98
234541
1796
Questo è di fatto molto più pericoloso
03:56
than writing your password down,
99
236337
2022
che annotare la propria password,
03:58
because it makes you much more susceptible to attackers.
100
238359
3561
perché vi rende molto più soggetti agli attacchi.
04:01
So if you have to, write your passwords down,
101
241920
3118
Perciò, se proprio dovete, annotatevi la password,
04:05
but don't reuse them.
102
245038
1799
ma non riutilizzatela.
04:06
We also found some interesting things
103
246837
1751
Abbiamo anche scoperto cose interessanti
04:08
about the symbols people use in passwords.
104
248588
2961
sui simboli usati dalle persone nelle password.
04:11
So CMU allows 32 possible symbols,
105
251549
2799
La CMU consente 32 simboli possibili,
04:14
but as you can see, there's only a small number
106
254348
2433
ma come potete vedere, c'è solo un piccolo numero
04:16
that most people are using,
107
256781
1802
che viene usato dalla maggioranza delle persone,
04:18
so we're not actually getting very much strength
108
258583
2941
perciò non stiamo ottenendo molta forza
04:21
from the symbols in our passwords.
109
261524
2466
dai simboli nelle nostre password.
04:23
So this was a really interesting study,
110
263990
2711
È stato uno studio davvero interessante,
04:26
and now we had data from 470 people,
111
266701
2464
e ora abbiamo dati da 470 persone
04:29
but in the scheme of things,
112
269165
1305
ma, data la situazione,
04:30
that's really not very much password data,
113
270470
2580
non sono poi così tante le informazioni raccolte sulle password
04:33
and so we looked around to see
114
273050
1445
e quindi ci siamo guardati intorno
04:34
where could we find additional password data?
115
274495
2560
per vedere dove si potessero trovare altri dati sulle password.
04:37
So it turns out there are a lot of people
116
277055
2176
Succede che ci sono un sacco di persone
04:39
going around stealing passwords,
117
279231
2202
che se ne vanno in giro a rubare le password
04:41
and they often go and post these passwords
118
281433
2477
e spesso pubblicano queste password
04:43
on the Internet.
119
283910
1337
su Internet.
04:45
So we were able to get access
120
285247
1673
Perciò siamo stati in grado di accedere
04:46
to some of these stolen password sets.
121
286920
3970
ad alcuni set di password rubate.
04:50
This is still not really ideal for research, though,
122
290890
2328
Tuttavia non è ancora la cosa ideale per una ricerca,
04:53
because it's not entirely clear
123
293218
2037
perché non è del tutto chiaro
04:55
where all of these passwords came from,
124
295255
2184
da dove provengano tutte queste password,
04:57
or exactly what policies were in effect
125
297439
2242
o quali politiche fossero effettivamente in vigore
04:59
when people created these passwords.
126
299681
2108
quando le persone avevano creato quelle password.
05:01
So we wanted to find some better source of data.
127
301789
3552
Quindi volevamo trovare fonti di informazioni migliori.
05:05
So we decided that one thing we could do
128
305341
1634
Così abbiamo deciso che una possibilità
05:06
is we could do a study and have people
129
306975
2129
era fare uno studio e far sì che alcune persone
05:09
actually create passwords for our study.
130
309104
3240
creassero delle password appositamente per il nostro studio.
05:12
So we used a service called Amazon Mechanical Turk,
131
312344
2821
Abbiamo usato un servizio chiamato Amazon Mechanical Turk,
05:15
and this is a service where you can post
132
315165
2334
un servizio dove si può pubblicare
05:17
a small job online that takes a minute,
133
317499
2304
un lavoretto online che impiega un minuto,
05:19
a few minutes, an hour,
134
319803
1500
qualche minuto, un'ora,
05:21
and pay people, a penny, ten cents, a few dollars,
135
321303
2584
e pagare le persone un penny, dieci centesimi, qualche dollaro
05:23
to do a task for you,
136
323887
1346
affinché svolgano un lavoro per voi,
05:25
and then you pay them through Amazon.com.
137
325233
2122
e poi pagate il servizio con Amazon.com.
05:27
So we paid people about 50 cents
138
327355
2294
Abbiamo pagato 50 centesimi a persona
05:29
to create a password following our rules
139
329649
2596
perché creassero password seguendo le nostre regole
05:32
and answering a survey,
140
332245
1410
e rispondendo a un sondaggio,
05:33
and then we paid them again to come back
141
333655
2525
e poi li abbiamo pagati ancora perché ritornassero
05:36
two days later and log in
142
336180
2071
due giorni dopo ed effettuassero il login,
05:38
using their password and answering another survey.
143
338251
2574
utilizzando le proprie password, e rispondessero a un altro sondaggio.
05:40
So we did this, and we collected 5,000 passwords,
144
340825
4464
L'abbiamo fatto, e abbiamo raccolto 5000 password.
05:45
and we gave people a bunch of different policies
145
345289
2695
Abbiamo dato ai partecipanti diverse direttive
05:47
to create passwords with.
146
347984
1508
con cui creare le password.
05:49
So some people had a pretty easy policy,
147
349492
1910
Alcune persone avevano regole molto semplici,
05:51
we call it Basic8,
148
351402
1539
che noi chiamiamo Basic8,
05:52
and here the only rule was that your password
149
352941
2146
e qui l'unica regola era che la password
05:55
had to have at least eight characters.
150
355087
3416
avesse almeno otto caratteri.
05:58
Then some people had a much harder policy,
151
358503
2251
Poi altre persone avevano una politica più difficile,
06:00
and this was very similar to the CMU policy,
152
360754
2537
piuttosto simile a quella della CMU,
06:03
that it had to have eight characters
153
363291
1934
cioè una password con otto caratteri
06:05
including uppercase, lowercase, digit, symbol,
154
365225
2376
comprese una lettera maiuscola, una minuscola, una cifra, un simbolo,
06:07
and pass a dictionary check.
155
367601
2389
e controllo sul dizionario.
06:09
And one of the other policies we tried,
156
369990
1335
E una delle altre politiche che abbiamo provato,
06:11
and there were a whole bunch more,
157
371325
1270
e ce ne sono state molte,
06:12
but one of the ones we tried was called Basic16,
158
372595
2240
una di quelle che abbiamo testato si chiamava Basic16,
06:14
and the only requirement here
159
374835
2632
e l'unico requisito
06:17
was that your password had to have at least 16 characters.
160
377467
3153
era che la password dovesse avere come minimo 16 caratteri.
06:20
All right, so now we had 5,000 passwords,
161
380620
2458
Ok, avevamo 5000 password,
06:23
and so we had much more detailed information.
162
383078
3563
e avevamo informazioni molto più dettagliate.
06:26
Again we see that there's only a small number
163
386641
2559
Ancora, vediamo che c'è solo un numero ridotto
06:29
of symbols that people are actually using
164
389200
1915
di simboli che vengono davvero usati dalle persone
06:31
in their passwords.
165
391115
1886
nelle loro password.
06:33
We also wanted to get an idea of how strong
166
393001
2599
Volevamo anche farci un'idea di quanto forti
06:35
the passwords were that people were creating,
167
395600
2771
fossero le password che creava la gente
06:38
but as you may recall, there isn't a good measure
168
398371
2620
ma, come forse ricorderete, non esiste un buon parametro
06:40
of password strength.
169
400991
1754
per misurare la forza di una password.
06:42
So what we decided to do was to see
170
402745
2312
Perciò abbiamo deciso di vedere
06:45
how long it would take to crack these passwords
171
405057
2370
quanto ci voleva per scoprire queste password
06:47
using the best cracking tools
172
407427
1414
usando i migliori strumenti di violazione
06:48
that the bad guys are using,
173
408841
1808
che usano i cattivi nel mondo informatico,
06:50
or that we could find information about
174
410649
2016
o di cui potevamo trovare informazioni
06:52
in the research literature.
175
412665
1537
nei libri di ricerca.
06:54
So to give you an idea of how bad guys
176
414202
2758
Per darvi un'idea di come facciano i cattivi
06:56
go about cracking passwords,
177
416960
2170
a violare le password:
06:59
they will steal a password file
178
419130
1951
rubano un file
07:01
that will have all of the passwords
179
421081
2153
che contiene tutte le password
07:03
in kind of a scrambled form, called a hash,
180
423234
2889
in una forma confusa, chiamata "hash",
07:06
and so what they'll do is they'll make a guess
181
426123
2562
e quello che fanno è indovinare
07:08
as to what a password is,
182
428685
1712
quale sia la password,
07:10
run it through a hashing function,
183
430397
1897
fare girare una funzione di hashing,
07:12
and see whether it matches
184
432294
1765
e verificare se corrisponde o meno
07:14
the passwords they have on their stolen password list.
185
434059
3950
alle password elencate nella loro lista di password rubate.
07:18
So a dumb attacker will try every password in order.
186
438009
3105
Un hacker stupido proverà tutte le password in ordine.
07:21
They'll start with AAAAA and move on to AAAAB,
187
441114
3568
Inizierà con AAAA e proseguirà con AAAAB,
07:24
and this is going to take a really long time
188
444682
2418
e questo richiede molto tempo
07:27
before they get any passwords
189
447100
1526
prima di trovare qualche password
07:28
that people are really likely to actually have.
190
448626
2697
che è probabile venga realmente usata dagli utenti.
07:31
A smart attacker, on the other hand,
191
451323
2183
Gli hacker intelligenti, invece,
07:33
does something much more clever.
192
453506
1386
agiscono in modo molto più intelligente.
07:34
They look at the passwords
193
454892
1826
Guardano le password
07:36
that are known to be popular
194
456718
1800
che sono popolari
07:38
from these stolen password sets,
195
458518
1727
tra i set di password rubate,
07:40
and they guess those first.
196
460245
1189
e provano quelle per prime.
07:41
So they're going to start by guessing "password,"
197
461434
2134
Inizieranno tirando a indovinare: "password",
07:43
and then they'll guess "I love you," and "monkey,"
198
463568
2751
e poi "ti amo", e "scimmia"
07:46
and "12345678,"
199
466319
2583
e "12345678",
07:48
because these are the passwords
200
468902
1312
perché sono queste le password
07:50
that are most likely for people to have.
201
470214
1905
più ricorrenti.
07:52
In fact, some of you probably have these passwords.
202
472119
3261
In effetti, è probabile che alcuni di voi le usi.
07:57
So what we found
203
477191
1298
Quello che abbiamo scoperto
07:58
by running all of these 5,000 passwords we collected
204
478489
3406
testando tutte le 5000 password da noi raccolte
08:01
through these tests to see how strong they were,
205
481895
4106
attraverso questi test per vedere quanto fossero forti
08:06
we found that the long passwords
206
486001
2752
è stato che le password più lunghe
08:08
were actually pretty strong,
207
488753
1280
erano piuttosto forti in realtà,
08:10
and the complex passwords were pretty strong too.
208
490033
3262
così come le password complesse.
08:13
However, when we looked at the survey data,
209
493295
2442
Tuttavia, quando abbiamo analizzato i dati dei sondaggi,
08:15
we saw that people were really frustrated
210
495737
3024
abbiamo visto che le persone erano davvero frustrate
08:18
by the very complex passwords,
211
498761
2339
dalle password molto complesse,
08:21
and the long passwords were a lot more usable,
212
501100
2630
e le password lunghe erano molto più utilizzabili,
08:23
and in some cases, they were actually
213
503730
1325
e in alcuni casi, erano
08:25
even stronger than the complex passwords.
214
505055
2908
persino più forti delle password complesse.
08:27
So this suggests that,
215
507963
1169
Questo perciò suggerisce che,
08:29
instead of telling people that they need
216
509132
1703
invece di dire alle persone che devono
08:30
to put all these symbols and numbers
217
510835
1522
mettere tutti questi simboli e numeri
08:32
and crazy things into their passwords,
218
512357
2842
e altre cose da matti nelle loro passwrod,
08:35
we might be better off just telling people
219
515199
2022
sarebbe meglio dire loro
08:37
to have long passwords.
220
517221
2652
di creare password lunghe.
08:39
Now here's the problem, though:
221
519873
1792
Ora, però ecco il problema:
08:41
Some people had long passwords
222
521665
2255
alcune persone avevano password lunghe
08:43
that actually weren't very strong.
223
523920
1555
che in realtà non erano molto forti.
08:45
You can make long passwords
224
525475
1997
Potete creare password lunghe
08:47
that are still the sort of thing
225
527472
1556
che però potrebbero comunque essere scoperte
08:49
that an attacker could easily guess.
226
529028
1742
facilmente da un hacker.
08:50
So we need to do more than just say long passwords.
227
530770
3365
Quindi non abbiamo solo bisogno di password più lunghe.
08:54
There has to be some additional requirements,
228
534135
1936
Ci devono essere dei requisiti in più,
08:56
and some of our ongoing research is looking at
229
536071
2969
e parte della nostra ricerca attuale sta considerando
08:59
what additional requirements we should add
230
539040
2439
quali requisiti dovremmo aggiungere
09:01
to make for stronger passwords
231
541479
2104
per creare password più forti
09:03
that also are going to be easy for people
232
543583
2312
che siano anche facili
09:05
to remember and type.
233
545895
2698
da ricordare e da digitare.
09:08
Another approach to getting people to have
234
548593
2126
Un altro approccio per far sì che le persone abbiano
09:10
stronger passwords is to use a password meter.
235
550719
2257
password più forti è usare un misuratore di robustezza della password.
09:12
Here are some examples.
236
552976
1385
Ecco alcuni esempi.
09:14
You may have seen these on the Internet
237
554361
1401
Forse li avete visti online
09:15
when you were creating passwords.
238
555762
3057
creando delle password.
09:18
We decided to do a study to find out
239
558819
2248
Abbiamo deciso di condurre uno studio per scoprire
09:21
whether these password meters actually work.
240
561067
2887
se i misuratori di password funzionano davvero oppure no.
09:23
Do they actually help people
241
563954
1421
Aiutano davvero le persone
09:25
have stronger passwords,
242
565375
1453
ad avere password più forti,
09:26
and if so, which ones are better?
243
566828
2086
e se sì, quali sono i migliori?
09:28
So we tested password meters that were
244
568914
2507
Perciò abbiamo testato dei misuratori di password
09:31
different sizes, shapes, colors,
245
571421
2098
diversi per dimensioni, forma, colore,
09:33
different words next to them,
246
573519
1416
diversi per le parole vicine a loro,
09:34
and we even tested one that was a dancing bunny.
247
574935
3275
e ne abbiamo anche testato uno che era un coniglietto ballerino.
09:38
As you type a better password,
248
578210
1582
Quando si scrive una password buona,
09:39
the bunny dances faster and faster.
249
579792
2539
il coniglietto balla sempre più velocemente.
09:42
So this was pretty fun.
250
582331
2529
È piuttosto divertente.
09:44
What we found
251
584860
1567
Abbiamo scoperto che
09:46
was that password meters do work.
252
586427
3572
i misuratori di password funzionano davvero.
09:49
(Laughter)
253
589999
1801
(Risate)
09:51
Most of the password meters were actually effective,
254
591800
3333
Gran parte dei misuratori di password era davvero efficace,
09:55
and the dancing bunny was very effective too,
255
595133
2521
così come il coniglietto di prima,
09:57
but the password meters that were the most effective
256
597654
2881
ma i misuratori di password più efficaci in assoluto
10:00
were the ones that made you work harder
257
600535
2355
erano quelli che ci facevano faticare
10:02
before they gave you that thumbs up and said
258
602890
1980
prima di darci l'ok e dirci
10:04
you were doing a good job,
259
604870
1377
che stavamo facendo un buon lavoro,
10:06
and in fact we found that most
260
606247
1512
e in effetti abbiamo scoperto che la maggior parte
10:07
of the password meters on the Internet today
261
607759
2281
dei password meter online oggi
10:10
are too soft.
262
610040
952
10:10
They tell you you're doing a good job too early,
263
610992
2203
è troppo indulgente.
Vi dicono che state andando bene troppo presto,
10:13
and if they would just wait a little bit
264
613195
1929
e se aspettassero solo un po' di più
10:15
before giving you that positive feedback,
265
615124
2049
prima di darvi un riscontro positivo,
10:17
you probably would have better passwords.
266
617173
3160
probabilmente voi avreste password migliori.
10:20
Now another approach to better passwords, perhaps,
267
620333
3847
Un altro approccio per migliorare le password, forse,
10:24
is to use pass phrases instead of passwords.
268
624180
2890
è usare le passphrase al posto delle password.
10:27
So this was an xkcd cartoon from a couple of years ago,
269
627070
3418
Questo è una vignetta xkcd di un paio di anni fa,
10:30
and the cartoonist suggests
270
630488
1674
e il disegnatore consiglia a tutti
10:32
that we should all use pass phrases,
271
632162
2196
di usare le passphrase,
10:34
and if you look at the second row of this cartoon,
272
634358
3170
e se guardate nella seconda fila di questa vignetta,
10:37
you can see the cartoonist is suggesting
273
637528
1857
vedrete che il disegnatore consiglia
10:39
that the pass phrase "correct horse battery staple"
274
639385
3441
la pass phrase: "correct horse battery staple",
10:42
would be a very strong pass phrase
275
642826
2481
che sarebbe una chiave di accesso molto forte
10:45
and something really easy to remember.
276
645307
1916
e molto facile da ricordare.
10:47
He says, in fact, you've already remembered it.
277
647223
2797
Dice, in effetti, che ce la ricordiamo già.
10:50
And so we decided to do a research study
278
650020
2150
E così abbiamo deciso di fare uno studio
10:52
to find out whether this was true or not.
279
652170
2592
per scoprire se era vero o no.
10:54
In fact, everybody who I talk to,
280
654762
1775
In realtà, tutte le persone con cui parlo
10:56
who I mention I'm doing password research,
281
656537
2042
e a cui menziono la mia ricerca sulle password,
10:58
they point out this cartoon.
282
658579
1400
mi parlano di questa vignetta.
10:59
"Oh, have you seen it? That xkcd.
283
659979
1574
"Oh, l'hai vista? L'xkcd.
11:01
Correct horse battery staple."
284
661553
1602
'correct horse battery staple'".
11:03
So we did the research study to see
285
663155
1806
Abbiamo fatto questa ricerca per vedere
11:04
what would actually happen.
286
664961
2359
che cosa sarebbe successo nella realtà.
11:07
So in our study, we used Mechanical Turk again,
287
667320
3060
Nel nostro studio abbiamo usato ancora Mechanical Turk,
11:10
and we had the computer pick the random words
288
670380
4167
e abbiamo fatto scegliere al computer le parole a caso
11:14
in the pass phrase.
289
674547
1100
nella chiave di accesso.
11:15
Now the reason we did this
290
675647
1153
Il motivo per cui l'abbiamo fatto
11:16
is that humans are not very good
291
676800
1586
è che gli esseri umani non sono molto bravi
11:18
at picking random words.
292
678386
1384
a scegliere le parole a caso.
11:19
If we asked a human to do it,
293
679770
1262
Se avessimo chiesto alle persone di farlo,
11:21
they would pick things that were not very random.
294
681032
2998
non avrebbero scelto casualmente.
11:24
So we tried a few different conditions.
295
684030
2032
Perciò abbiamo provato diverse condizioni.
11:26
In one condition, the computer picked
296
686062
2090
In una condizione, il computer sceglieva
11:28
from a dictionary of the very common words
297
688152
2216
da un dizionario delle parole più comuni
11:30
in the English language,
298
690368
1362
della lingua inglese,
11:31
and so you'd get pass phrases like
299
691730
1764
così si ottenevano chiavi come:
11:33
"try there three come."
300
693494
1924
"prova là albero venire".
11:35
And we looked at that, and we said,
301
695418
1732
L'abbiamo guardata, e ci siamo detti:
11:37
"Well, that doesn't really seem very memorable."
302
697150
3050
"Beh, non sembra poi così tanto facile da tenere a mente".
11:40
So then we tried picking words
303
700200
2240
Poi abbiamo provato a scegliere
11:42
that came from specific parts of speech,
304
702440
2521
parti del discorso specifiche
11:44
so how about noun-verb-adjective-noun.
305
704961
2182
come ad esempio sostantivo-verbo-aggettivo-sostantivo.
11:47
That comes up with something that's sort of sentence-like.
306
707143
2577
Questa combinazione può anche risultare in una specie di frase.
11:49
So you can get a pass phrase like
307
709720
2070
Quindi si possono ottenere chiavi di accesso come
11:51
"plan builds sure power"
308
711790
1308
"piano costruisce sicuro potere"
11:53
or "end determines red drug."
309
713098
2786
o "fine determina farmaco rosso".
11:55
And these seemed a little bit more memorable,
310
715884
2676
E queste ci sembravano un po' più facili da ricordare,
11:58
and maybe people would like those a little bit better.
311
718560
2822
e forse alla gente piacerebbero anche di più.
12:01
We wanted to compare them with passwords,
312
721382
2572
Volevamo confrontarle con le password,
12:03
and so we had the computer pick random passwords,
313
723954
3196
e così abbiamo fatto scegliere password a caso ai computer,
12:07
and these were nice and short, but as you can see,
314
727150
1990
e queste erano belle e corte ma, come potete vedere,
12:09
they don't really look very memorable.
315
729140
2806
non sono molto facili da ricordare.
12:11
And then we decided to try something called
316
731946
1396
E poi abbiamo deciso di provare le cosidette
12:13
a pronounceable password.
317
733342
1646
password pronunciabili.
12:14
So here the computer picks random syllables
318
734988
2245
Il computer in questo caso sceglie sillabe a caso
12:17
and puts them together
319
737233
1134
e le assembla
12:18
so you have something sort of pronounceable,
320
738367
2475
in modo da ottenere frasi più o meno pronunciabili,
12:20
like "tufritvi" and "vadasabi."
321
740842
2602
come "tufritvi" e "vadasabi".
12:23
That one kind of rolls off your tongue.
322
743444
2147
Quest'ultima è una specie di scioglilingua.
12:25
So these were random passwords that were
323
745591
2216
Queste sono alcune password casuali
12:27
generated by our computer.
324
747807
2744
generate dal nostro computer.
12:30
So what we found in this study was that, surprisingly,
325
750551
2978
Ciò che abbiamo scoperto in questo studio è che, sorprendentemente,
12:33
pass phrases were not actually all that good.
326
753529
3768
le passphrase non erano poi così valide.
12:37
People were not really better at remembering
327
757297
2793
Le persone non se le ricordavano meglio
12:40
the pass phrases than these random passwords,
328
760090
2953
in confronto a queste password create a caso,
12:43
and because the pass phrases are longer,
329
763043
2754
e dato che le passphrase sono più lunghe,
12:45
they took longer to type
330
765797
1226
ci voleva più tempo per scriverle
12:47
and people made more errors while typing them in.
331
767023
3010
e le persone facevano più errori scrivendole.
12:50
So it's not really a clear win for pass phrases.
332
770033
3227
Quindi le passphrase non hanno proprio la meglio.
12:53
Sorry, all of you xkcd fans.
333
773260
3345
Ci dispiace, fan dell'xkcd.
12:56
On the other hand, we did find
334
776605
1892
D'altro canto, abbiamo scoperto
12:58
that pronounceable passwords
335
778497
1804
che le password pronunciabili
13:00
worked surprisingly well,
336
780301
1471
funzionavano sorprendentemente bene,
13:01
and so we actually are doing some more research
337
781772
2418
e così stiamo facendo ancora qualche ricerca
13:04
to see if we can make that approach work even better.
338
784190
3195
per vedere se possiamo far funzionare ancora meglio questo tipo di approccio.
13:07
So one of the problems
339
787385
1812
Uno dei problemi
13:09
with some of the studies that we've done
340
789197
1623
con alcuni degli studi che abbiamo condotto
13:10
is that because they're all done
341
790820
1683
è che, siccome sono state fatte tutte
13:12
using Mechanical Turk,
342
792503
1590
usando Mechanical Turk,
13:14
these are not people's real passwords.
343
794093
1812
queste password non sono quelle usate realmente dagli utenti.
13:15
They're the passwords that they created
344
795905
2105
Sono le password che hanno creato
13:18
or the computer created for them for our study.
345
798010
2495
o che il computer ha creato per loro per il nostro studio.
13:20
And we wanted to know whether people
346
800505
1568
E volevamo sapere se le persone
13:22
would actually behave the same way
347
802073
2312
si sarebbero davvero comportate così
13:24
with their real passwords.
348
804385
2227
con le loro password reali.
13:26
So we talked to the information security office at Carnegie Mellon
349
806612
3681
Abbiamo parlato con l'ufficio per la sicurezza delle informazioni
alla Carnegie Mellon
13:30
and asked them if we could have everybody's real passwords.
350
810293
3803
e abbiamo chiesto se potevamo avere le password di tutti.
Ovviamente, erano un po' restii
13:34
Not surprisingly, they were a little bit reluctant
351
814096
1754
13:35
to share them with us,
352
815850
1550
a condividerle con noi,
13:37
but we were actually able to work out
353
817400
1810
ma noi siamo stati capaci di ideare
13:39
a system with them
354
819210
1040
un sistema con loro
13:40
where they put all of the real passwords
355
820250
2109
dove si mettono tutte le password vere
13:42
for 25,000 CMU students, faculty and staff,
356
822359
3091
per 25 mila studenti, corpo docenti e staff,
13:45
into a locked computer in a locked room,
357
825450
2448
in un computer bloccato in una stanza chiusa a chiave,
13:47
not connected to the Internet,
358
827898
1394
non connessa a internet,
13:49
and they ran code on it that we wrote
359
829292
1848
e loro facevano passare il codice
13:51
to analyze these passwords.
360
831140
2152
sulle password che analizzavamo.
13:53
They audited our code.
361
833292
1326
Verificavano il nostro codice.
13:54
They ran the code.
362
834618
1312
Facevano passare il codice.
13:55
And so we never actually saw
363
835930
1738
E perciò non abbiamo mai visto
13:57
anybody's password.
364
837668
2817
la password di nessuno.
14:00
We got some interesting results,
365
840485
1515
Abbiamo ottenuto risultati interessanti,
14:02
and those of you Tepper students in the back
366
842000
1696
e per voi studenti del corso Tepper lì in fondo
14:03
will be very interested in this.
367
843696
2875
saranno molto interessanti.
14:06
So we found that the passwords created
368
846571
3731
Così abbiamo scoperto che le password create
14:10
by people affiliated with the school of computer science
369
850302
2158
dalle persone che frequentano la facoltà di informatica
14:12
were actually 1.8 times stronger
370
852460
2324
sono 1,8 volte più forti
14:14
than those affiliated with the business school.
371
854784
3738
rispetto a quelle degli studenti di economia.
14:18
We have lots of other really interesting
372
858522
2040
Abbiamo anche molte altre informazioni
14:20
demographic information as well.
373
860562
2238
demografiche interessanti.
14:22
The other interesting thing that we found
374
862800
1846
L'altra cosa interessante che abbiamo scoperto
14:24
is that when we compared the Carnegie Mellon passwords
375
864646
2440
è che quando abbiamo paragonato le password della Carnegie Mellon
14:27
to the Mechanical Turk-generated passwords,
376
867086
2283
a quelle generate dal Mechanical Turk,
14:29
there was actually a lot of similarities,
377
869369
2619
in realtà c'erano molte somiglianze,
14:31
and so this helped validate our research method
378
871988
1948
e questo ci ha aiutato a convalidare il nostro metodo di ricerca
14:33
and show that actually, collecting passwords
379
873936
2510
e mostrare che, in realtà, raccogliere le password
14:36
using these Mechanical Turk studies
380
876446
1808
usando questi studi di Mechanical Turk
14:38
is actually a valid way to study passwords.
381
878254
2788
è davvero un modo valido per studiare le password.
14:41
So that was good news.
382
881042
2285
È una buona notizia.
14:43
Okay, I want to close by talking about
383
883327
2414
Ok, vorrei concludere parlando
14:45
some insights I gained while on sabbatical
384
885741
2068
di alcune cose che ho scoperto durante
14:47
last year in the Carnegie Mellon art school.
385
887809
3201
lo scorso anno sabbatico alla facoltà di arte alla Carnegie Mellon.
14:51
One of the things that I did
386
891010
1281
Una delle cose che ho fatto
14:52
is I made a number of quilts,
387
892291
1524
è stata cucire parecchie trapunte,
14:53
and I made this quilt here.
388
893815
1548
e questa l'ho fatta io.
14:55
It's called "Security Blanket."
389
895363
1899
Si chiama "Coperta di Sicurezza".
14:57
(Laughter)
390
897262
2431
(Risate)
14:59
And this quilt has the 1,000
391
899693
3095
Questa trapunta ha le mille password
15:02
most frequent passwords stolen
392
902788
2328
più frequenti rubate
15:05
from the RockYou website.
393
905116
2571
dal sito web RockYou.
15:07
And the size of the passwords is proportional
394
907687
2061
E le dimensioni delle password sono proporzionali
15:09
to how frequently they appeared
395
909748
1901
alla frequenza con cui appaiono
15:11
in the stolen dataset.
396
911649
2248
tra i dati rubati.
15:13
And what I did is I created this word cloud,
397
913897
2632
Quello che ho fatto è stato creare questa nuvola di parole,
15:16
and I went through all 1,000 words,
398
916529
2132
analizzare tutte le mille parole,
15:18
and I categorized them into
399
918661
1795
e classificarle
15:20
loose thematic categories.
400
920456
2380
in categorie tematiche ampie.
15:22
And it was, in some cases,
401
922836
1903
E, in alcuni casi,
15:24
it was kind of difficult to figure out
402
924739
2038
è stato difficile capire
15:26
what category they should be in,
403
926777
1755
in quale categoria rientrassero,
15:28
and then I color-coded them.
404
928532
1899
e poi le ho codificate tramite dei colori.
15:30
So here are some examples of the difficulty.
405
930431
2619
Ecco alcuni esempi delle difficoltà che ho riscontrato.
15:33
So "justin."
406
933050
1181
"justin".
15:34
Is that the name of the user,
407
934231
1829
È il nome dell'utente,
15:36
their boyfriend, their son?
408
936060
1322
del suo ragazzo, di suo figlio?
15:37
Maybe they're a Justin Bieber fan.
409
937382
2888
Forse si tratta di un fan di Justin Bieber.
15:40
Or "princess."
410
940270
2225
O "principesssa".
15:42
Is that a nickname?
411
942495
1635
È un soprannome?
15:44
Are they Disney princess fans?
412
944130
1595
L'utente è un fan delle principesse Disney?
15:45
Or maybe that's the name of their cat.
413
945725
3694
Oppure è il nome del suo gatto.
15:49
"Iloveyou" appears many times
414
949419
1655
"Iloveyou" compare molte volte
15:51
in many different languages.
415
951074
1545
in tante lingue diverse.
15:52
There's a lot of love in these passwords.
416
952619
3735
C'è molto amore in queste password.
15:56
If you look carefully, you'll see there's also
417
956354
1680
Se guardate attentamente, vedrete che c'è anche
15:58
some profanity,
418
958034
2267
del profano,
16:00
but it was really interesting to me to see
419
960301
1950
ma per me è stato davvero interessante
16:02
that there's a lot more love than hate
420
962251
2307
vedere che c'è molto più amore che odio
16:04
in these passwords.
421
964558
2292
in queste password.
16:06
And there are animals,
422
966850
1490
E c'erano anche gli animali,
16:08
a lot of animals,
423
968340
1360
molti animali,
16:09
and "monkey" is the most common animal
424
969700
2304
e "scimmia" è l'animale più comune,
16:12
and the 14th most popular password overall.
425
972004
3675
in generale la 14esima password più comune.
16:15
And this was really curious to me,
426
975679
2231
Questo mi ha incuriosita,
16:17
and I wondered, "Why are monkeys so popular?"
427
977910
2523
e mi sono chiesta: "Perché le scimmie sono così popolari?"
16:20
And so in our last password study,
428
980433
3352
E così è nato il nostro ultimo studio sulle password:
16:23
any time we detected somebody
429
983785
1686
ogni volta che notavamo qualcuno
16:25
creating a password with the word "monkey" in it,
430
985471
2649
che creava una password contenente la parola "scimmia",
16:28
we asked them why they had a monkey in their password.
431
988120
3030
gli abbiamo chiesto perché l'avesse scelta.
16:31
And what we found out --
432
991150
1910
E abbiamo scoperto che --
16:33
we found 17 people so far, I think,
433
993060
2103
finora abbiamo trovato 17 persone
16:35
who have the word "monkey" --
434
995163
1283
che hanno "scimmia" nelle proprie password ‒-
16:36
We found out about a third of them said
435
996446
1812
abbiamo scoperto che circa un terzo di loro
16:38
they have a pet named "monkey"
436
998258
1740
ha un animale domestico che si chiama "scimmmia"
16:39
or a friend whose nickname is "monkey,"
437
999998
2291
o hanno un amico il cui soprannome è "scimmia",
16:42
and about a third of them said
438
1002289
1660
e circa un terzo ha detto
16:43
that they just like monkeys
439
1003949
1533
che gli piacciono le scimmie
16:45
and monkeys are really cute.
440
1005482
1638
e che sono molto carine.
16:47
And that guy is really cute.
441
1007120
3639
E quella è molto carina.
16:50
So it seems that at the end of the day,
442
1010759
3408
Perciò, alla fine dei conti, sembra che
16:54
when we make passwords,
443
1014167
1783
quando creiamo delle password,
16:55
we either make something that's really easy
444
1015950
1974
creiamo qualcosa di molto facile
16:57
to type, a common pattern,
445
1017924
3009
da scrivere, un modello comune,
17:00
or things that remind us of the word password
446
1020933
2486
oppure pensiamo a cose che ci ricordino la parola password,
17:03
or the account that we've created the password for,
447
1023419
3312
l'account per cui abbiamo creato la password,
17:06
or whatever.
448
1026731
2617
o roba del genere.
17:09
Or we think about things that make us happy,
449
1029348
2642
Oppure ancora pensiamo a cose che ci rendono felici,
17:11
and we create our password
450
1031990
1304
e creiamo la nostra password
17:13
based on things that make us happy.
451
1033294
2238
in base alle cose che ci rendono felici.
17:15
And while this makes typing
452
1035532
2863
E mentre questo fa sì che sia più divertente
17:18
and remembering your password more fun,
453
1038395
2870
scrivere e ricordarsi la propria password,
17:21
it also makes it a lot easier
454
1041265
1807
la rende anche più facile da indovinare.
17:23
to guess your password.
455
1043072
1506
17:24
So I know a lot of these TED Talks
456
1044578
1748
So che molti discorsi TED
17:26
are inspirational
457
1046326
1634
17:27
and they make you think about nice, happy things,
458
1047960
2461
sono d'ispirazione
e che vi fanno pensare a cose belle e felici,
17:30
but when you're creating your password,
459
1050421
1897
ma quando create la vostra password
17:32
try to think about something else.
460
1052318
1991
cercate di pensare a qualcos'altro.
17:34
Thank you.
461
1054309
1107
Grazie.
17:35
(Applause)
462
1055416
553
(Applausi)
A proposito di questo sito web

Questo sito vi presenterà i video di YouTube utili per l'apprendimento dell'inglese. Vedrete lezioni di inglese tenute da insegnanti di alto livello provenienti da tutto il mondo. Fate doppio clic sui sottotitoli in inglese visualizzati su ogni pagina video per riprodurre il video da lì. I sottotitoli scorrono in sincronia con la riproduzione del video. Se avete commenti o richieste, contattateci tramite questo modulo di contatto.

https://forms.gle/WvT1wiN1qDtmnspy7