Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

139,691 views ・ 2014-06-24

TED


아래 영문자막을 더블클릭하시면 영상이 재생됩니다.

번역: Gemma Lee 검토: Jeong-Lan Kinser
00:12
I am a computer science and engineering professor here at Carnegie Mellon,
0
12535
3445
저는 카네기 멜론 대학교의 컴퓨터공학과 교수입니다.
00:15
and my research focuses on usable privacy and security,
1
15980
4248
저는 사용가능한 사생활과 안보에 초점을 둔 연구를 하고 있습니다.
00:20
and so my friends like to give me examples
2
20228
2768
제 친구들은 컴퓨터 시스템과 관련해서
00:22
of their frustrations with computing systems,
3
22996
2202
짜증스런 경우를 얘기하는데
00:25
especially frustrations related to
4
25198
3354
특히 사용가능하지 않은 사생활과 안보에
00:28
unusable privacy and security.
5
28552
4112
관련한 짜증스런 경우를 얘기하죠.
00:32
So passwords are something that I hear a lot about.
6
32664
2711
전 암호와 관련된 얘기를 많이 듣는데요.
00:35
A lot of people are frustrated with passwords,
7
35375
2880
많은 분들이 암호 때문에 짜증스러워 하는데
00:38
and it's bad enough
8
38255
1694
아주 충분히 나쁜 정도이죠,
00:39
when you have to have one really good password
9
39949
2644
여러분이 기억할 수 있고
00:42
that you can remember
10
42593
1822
아무도 추측할 수 없는
00:44
but nobody else is going to be able to guess.
11
44415
2894
아주 좋은 암호 하나를 만들어야 하니까요.
00:47
But what do you do when you have accounts
12
47309
1637
하지만 여러분의 계좌가
00:48
on a hundred different systems
13
48946
1808
백 개의 다른 시스템에 있다면 어떻게 하겠습니까?
00:50
and you're supposed to have a unique password
14
50754
2276
고유의 암호를
00:53
for each of these systems?
15
53030
3037
각 시스템마다 만들어야 한다면요? (웃음)
00:56
It's tough.
16
56067
2184
힘들죠.
00:58
At Carnegie Mellon, they used to make it
17
58251
1759
카네기 멜론에서는
01:00
actually pretty easy for us
18
60010
1299
우리가 아주 수월하게
01:01
to remember our passwords.
19
61309
1737
암호를 기억하게 했습니다.
01:03
The password requirement up through 2009
20
63046
2403
2009년까지는 암호를 만드는 조건은
01:05
was just that you had to have a password
21
65449
2379
암호에
01:07
with at least one character.
22
67828
2211
한 글자만 있으면 됐었죠.
01:10
Pretty easy. But then they changed things,
23
70039
2888
아주 쉽죠. 하지만 정책을 바꾸게 되서,
01:12
and at the end of 2009, they announced
24
72927
2670
2009년 말에는
01:15
that we were going to have a new policy,
25
75597
2376
새로운 정책을 발표했는데
01:17
and this new policy required
26
77973
1863
새로운 정책에 따르면
01:19
passwords that were at least eight characters long,
27
79836
2681
암호는 최소한 8자가 되어야 하고
01:22
with an uppercase letter, lowercase letter,
28
82517
1775
대문자, 소문자,
01:24
a digit, a symbol,
29
84292
1288
숫자, 기호가 들어가야 합니다.
01:25
you couldn't use the same character more than three times,
30
85580
2638
똑같은 글자를 세 번 이상 쓸 수 없고
01:28
and it wasn't allowed to be in a dictionary.
31
88218
2434
사전에 나와 있어도 안됩니다.
01:30
Now, when they implemented this new policy,
32
90652
2182
자, 대학에서 새로운 정책을 내놓았을 때
01:32
a lot of people, my colleagues and friends,
33
92834
2310
제 동료와 친구들을 포함한 많은 사람들이
01:35
came up to me and they said, "Wow,
34
95144
1854
제게 와서 이렇게 말하더군요.
01:36
now that's really unusable.
35
96998
1512
"와, 이건 정말 쓸 수가 없군.
01:38
Why are they doing this to us,
36
98510
1193
우리에게 왜 이렇게 하는 거죠?
01:39
and why didn't you stop them?"
37
99703
1711
왜 그 사람들을 막지 않았어요?"
01:41
And I said, "Well, you know what?
38
101414
1356
그래서 제가 말했죠. "글쎄, 그거 아세요?
01:42
They didn't ask me."
39
102770
1508
나한테 물어보지 않았답니다."
01:44
But I got curious, and I decided to go talk
40
104278
3465
하지만 저는 궁금해져서
01:47
to the people in charge of our computer systems
41
107743
1937
컴퓨터 시스템을 담당하는 사람들에게 말해서
01:49
and find out what led them to introduce
42
109680
2831
무슨 이유로
01:52
this new policy,
43
112511
1848
새로운 정책을 내놓게 되었는지 알아보기로 했죠.
01:54
and they said that the university
44
114359
1584
그들이 답하기를 우리 대학이
01:55
had joined a consortium of universities,
45
115943
2366
여러 대학으로 이뤄진 협력단에 합류했는데
01:58
and one of the requirements of membership
46
118309
2634
가입조건 중의 하나가
02:00
was that we had to have stronger passwords
47
120943
2248
강한 암호를 가져야 한다는 것이었죠.
02:03
that complied with some new requirements,
48
123191
2272
거기다가 몇 가지 새로운 조건이 있는데
02:05
and these requirements were that our passwords
49
125463
2104
그 조건은 암호에
02:07
had to have a lot of entropy.
50
127567
1604
불확실성이 많아야 한다는 거였어요.
02:09
Now entropy is a complicated term,
51
129171
2278
불확실성은 복잡한 용어인데,
02:11
but basically it measures the strength of passwords.
52
131449
2798
기본적으로 그것은 암호의 강도를 측정합니다.
02:14
But the thing is, there isn't actually
53
134247
1979
하지만 실제로는
02:16
a standard measure of entropy.
54
136226
1949
불확실성을 재는 표준 측정법이 없습니다.
02:18
Now, the National Institute of Standards and Technology
55
138175
2399
국립 표준 기술 연구소(NST)는
02:20
has a set of guidelines
56
140574
1553
지침서를 갖고 있는데
02:22
which have some rules of thumb
57
142127
2568
거기에 불확실성을 재는
02:24
for measuring entropy,
58
144695
1440
몇 가지 규칙이 나와있지만
02:26
but they don't have anything too specific,
59
146135
2895
구체적인 것은 없습니다.
02:29
and the reason they only have rules of thumb
60
149030
2337
경험에 근거한 규칙만 갖고 있는 까닭은
02:31
is it turns out they don't actually have any good data
61
151367
3136
실제로 암호에 관해서
02:34
on passwords.
62
154503
1520
다양한 자료가 없기 때문입니다.
02:36
In fact, their report states,
63
156023
2312
사실 국립 표준 기술 연구소의 보고를 보면
02:38
"Unfortunately, we do not have much data
64
158335
2328
"유감스럽게도 저희는 정해진 규칙에 따라
02:40
on the passwords users choose under particular rules.
65
160663
2842
사용자가 선택한 암호에 관해 많은 자료가 없습니다.
02:43
NIST would like to obtain more data
66
163505
2333
NIST는 사용자가 실제로 선택한
02:45
on the passwords users actually choose,
67
165838
2462
암호에 관해 더 많은 자료를 모으고 싶지만
02:48
but system administrators are understandably reluctant
68
168300
2463
시스템 관리자는 암호 자료를
02:50
to reveal password data to others."
69
170763
2940
다른 사람에게 공개하기를 꺼립니다."
02:53
So this is a problem, but our research group
70
173703
3097
그래서 이게 문제인데 저희 연구팀은
02:56
looked at it as an opportunity.
71
176800
2140
이걸 기회로 봤습니다.
02:58
We said, "Well, there's a need for good password data.
72
178940
3100
저희는 "좋은 암호 자료가 필요하다"고 말했죠.
03:02
Maybe we can collect some good password data
73
182040
2148
저희가 어쩌면 좋은 암호 자료를 모을 수 있고
03:04
and actually advance the state of the art here.
74
184188
2704
여기서 예술의 경지로 이끌어갈 지도 모르죠.
03:06
So the first thing we did is,
75
186892
1672
그래서 처음에 한 일은
03:08
we got a bag of candy bars
76
188564
1556
캔디바 (막대기형의 스낵) 한 봉지를 가지고
03:10
and we walked around campus
77
190120
1086
교내를 돌아다니면서
03:11
and talked to students, faculty and staff,
78
191206
2798
학생, 교수, 직원들에게
03:14
and asked them for information
79
194004
1530
암호에 관한
03:15
about their passwords.
80
195534
1552
질문을 던졌습니다.
03:17
Now we didn't say, "Give us your password."
81
197086
3004
"암호를 말해주세요." 라고 하지는 않았어요.
03:20
No, we just asked them about their password.
82
200090
2661
그저 암호에 관해서 물어봤습니다.
03:22
How long is it? Does it have a digit?
83
202751
1478
암호가 얼마나 길죠? 숫자가 들어갔나요?
03:24
Does it have a symbol?
84
204229
1068
기호가 들어갔습니까?
03:25
And were you annoyed at having to create
85
205297
2045
"지난 주에 새로운 암호를
03:27
a new one last week?
86
207342
2744
만들어야 했을 때 귀찮게 느껴졌나요?"
03:30
So we got results from 470 students,
87
210086
3206
그래서 저희는 470 명의 학생,
03:33
faculty and staff,
88
213292
971
교수, 직원들한테서 답을 받았고
03:34
and indeed we confirmed that the new policy
89
214263
2514
새로운 정책이 정말로 피곤하게 한다는
03:36
was very annoying,
90
216777
1453
사실을 확인했습니다.
03:38
but we also found that people said
91
218230
1792
하지만 동시에 사람들은
03:40
they felt more secure with these new passwords.
92
220022
3130
새 암호의 보안이 강화되었음을 느꼈다고 말했습니다.
03:43
We found that most people knew
93
223152
2306
대부분의 사람들이
03:45
they were not supposed to write their password down,
94
225458
2152
암호를 적어두면 안 된다고 알고 있었고
03:47
and only 13 percent of them did,
95
227610
2391
오직 13% 의 사람들이 암호를 적어 두었고
03:50
but disturbingly, 80 percent of people
96
230001
2416
놀랍게도 80 % 의 사람들이
03:52
said they were reusing their password.
97
232417
2124
암호를 다시 사용하고 있었습니다.
03:54
Now, this is actually more dangerous
98
234541
1796
이는 암호를 적어두는 것보다
03:56
than writing your password down,
99
236337
2022
실제로 더 위험합니다.
03:58
because it makes you much more susceptible to attackers.
100
238359
3561
왜냐하면 쉽게 공격받을 수 있기 때문입니다.
04:01
So if you have to, write your passwords down,
101
241920
3118
그러니 필요하다면 암호를 적되
04:05
but don't reuse them.
102
245038
1799
다시 사용하지는 마세요.
04:06
We also found some interesting things
103
246837
1751
저희는 또 사람들이 암호에 쓰는
04:08
about the symbols people use in passwords.
104
248588
2961
기호에 대해 재미난 사실을 알았습니다.
04:11
So CMU allows 32 possible symbols,
105
251549
2799
카네기 멜론 대학은 사용가능한 32 개의 기호를 허용하는데
04:14
but as you can see, there's only a small number
106
254348
2433
보시다시피 사람들은
04:16
that most people are using,
107
256781
1802
아주 적은 일부의 기호만 사용하고 있습니다.
04:18
so we're not actually getting very much strength
108
258583
2941
그래서 암호에 들어간 기호때문에
04:21
from the symbols in our passwords.
109
261524
2466
암호의 강도가 그다지 세지지 않습니다.
04:23
So this was a really interesting study,
110
263990
2711
이것은 정말 흥미로운 연구였는데
04:26
and now we had data from 470 people,
111
266701
2464
470 명한테 받은 자료가 있고
04:29
but in the scheme of things,
112
269165
1305
일반적으로 볼 때
04:30
that's really not very much password data,
113
270470
2580
암호 자료가 많은 것은 아닙니다.
04:33
and so we looked around to see
114
273050
1445
그래서 암호 자료를 추가로
04:34
where could we find additional password data?
115
274495
2560
얻을 수 있는 곳이 어딘가 살펴봤습니다.
04:37
So it turns out there are a lot of people
116
277055
2176
그런데 많은 사람들이
04:39
going around stealing passwords,
117
279231
2202
암호를 훔쳐서
04:41
and they often go and post these passwords
118
281433
2477
인터넷에
04:43
on the Internet.
119
283910
1337
훔친 암호를 올려놓는 것을 알았습니다.
04:45
So we were able to get access
120
285247
1673
저희는 이렇게 도난당한 암호에
04:46
to some of these stolen password sets.
121
286920
3970
접속할 수 있었지만
04:50
This is still not really ideal for research, though,
122
290890
2328
연구를 위해서는 적합하지 않습니다.
04:53
because it's not entirely clear
123
293218
2037
왜냐하면 이들 암호의
04:55
where all of these passwords came from,
124
295255
2184
출처가 분명하지 않고
04:57
or exactly what policies were in effect
125
297439
2242
사람들이 암호를 만들었을 때
04:59
when people created these passwords.
126
299681
2108
어떤 방침을 따랐는지 모르기 때문이죠.
05:01
So we wanted to find some better source of data.
127
301789
3552
그래서 저희는 좀더 나은 자료를 찾고 싶었습니다.
05:05
So we decided that one thing we could do
128
305341
1634
그래서 저희가 할 수 있는 방법 하나는
05:06
is we could do a study and have people
129
306975
2129
연구를 하고 그래서 사람들이
05:09
actually create passwords for our study.
130
309104
3240
저희가 하는 연구를 위해서 암호를 만들게 하는 것이죠.
05:12
So we used a service called Amazon Mechanical Turk,
131
312344
2821
저희는 아마존 미케니컬 터크라는 서비스를 이용했습니다.
05:15
and this is a service where you can post
132
315165
2334
이 서비스는
05:17
a small job online that takes a minute,
133
317499
2304
1 분, 몇 분, 1 시간이 걸리는
05:19
a few minutes, an hour,
134
319803
1500
작은 업무를 온라인에 올려서
05:21
and pay people, a penny, ten cents, a few dollars,
135
321303
2584
그 일을 하는 사람들에게
05:23
to do a task for you,
136
323887
1346
1 페니, 10 센트, 몇 달러를 지불하게 합니다.
05:25
and then you pay them through Amazon.com.
137
325233
2122
아마존으로 지불하죠.
05:27
So we paid people about 50 cents
138
327355
2294
그래서 저희는 사람들에게 50 센트를 주고
05:29
to create a password following our rules
139
329649
2596
저희가 제시하는 규칙에 따라
05:32
and answering a survey,
140
332245
1410
암호를 만들게 하고 설문조사에 답하도록 했습니다.
05:33
and then we paid them again to come back
141
333655
2525
그리고 이틀 뒤에
05:36
two days later and log in
142
336180
2071
그들의 암호로 로그인해서
05:38
using their password and answering another survey.
143
338251
2574
또다른 설문조사에 답하게 했죠.
05:40
So we did this, and we collected 5,000 passwords,
144
340825
4464
저희는 이런 실험을 해서 암호 5,000 개를 모았는데
05:45
and we gave people a bunch of different policies
145
345289
2695
암호를 만들 때 필요한
05:47
to create passwords with.
146
347984
1508
조건을 다양하게 줬습니다.
05:49
So some people had a pretty easy policy,
147
349492
1910
어떤 사람들한테는 아주 쉬운 정책을 줬는데
05:51
we call it Basic8,
148
351402
1539
기본 8 이라고 하겠습니다.
05:52
and here the only rule was that your password
149
352941
2146
여기서는 유일한 규칙이
05:55
had to have at least eight characters.
150
355087
3416
8개의 글자만 있으면 됩니다.
05:58
Then some people had a much harder policy,
151
358503
2251
다른 사람들한테는 아주 힘든 정책을 줬는데
06:00
and this was very similar to the CMU policy,
152
360754
2537
이는 카네기 멜론 대학의 정책과 아주 비슷했어요.
06:03
that it had to have eight characters
153
363291
1934
글자 수는 8개가 되어야 하고
06:05
including uppercase, lowercase, digit, symbol,
154
365225
2376
대문자, 소문자, 숫자, 기호가 있어야 하고
06:07
and pass a dictionary check.
155
367601
2389
사전에 없어야 됩니다.
06:09
And one of the other policies we tried,
156
369990
1335
저희가 해본 다른 정책 중 하나는
06:11
and there were a whole bunch more,
157
371325
1270
아주 다양한 실험을 했는데
06:12
but one of the ones we tried was called Basic16,
158
372595
2240
그 중 하나는 기본 16 이라고 부르는 것으로
06:14
and the only requirement here
159
374835
2632
여기서 필요한 것은 한 가지
06:17
was that your password had to have at least 16 characters.
160
377467
3153
최소한 16개의 글자만 있으면 됩니다.
06:20
All right, so now we had 5,000 passwords,
161
380620
2458
자, 그래서 저희는 암호 5,000 개를 모았고
06:23
and so we had much more detailed information.
162
383078
3563
아주 상세한 정보를 얻게 되었죠.
06:26
Again we see that there's only a small number
163
386641
2559
사람들이 암호에서
06:29
of symbols that people are actually using
164
389200
1915
실제로 사용하는 기호는
06:31
in their passwords.
165
391115
1886
몇 개 뿐임을 알 수 있었어요.
06:33
We also wanted to get an idea of how strong
166
393001
2599
저희는 사람들이 만드는 암호가
06:35
the passwords were that people were creating,
167
395600
2771
얼마나 강한지 알고 싶었습니다.
06:38
but as you may recall, there isn't a good measure
168
398371
2620
여러분이 기억하실 지 모르지만
06:40
of password strength.
169
400991
1754
암호의 강도를 재는 좋은 측정방법은 없습니다.
06:42
So what we decided to do was to see
170
402745
2312
그래서 저희가 한 일은
06:45
how long it would take to crack these passwords
171
405057
2370
이들 암호를 해독하는데 걸리는 시간을 보는 거였죠.
06:47
using the best cracking tools
172
407427
1414
나쁜 사람들이 사용하는
06:48
that the bad guys are using,
173
408841
1808
암호 해독기를 사용하거나
06:50
or that we could find information about
174
410649
2016
연구소에서
06:52
in the research literature.
175
412665
1537
찾을 수 있는 정보를 이용해서 말이죠.
06:54
So to give you an idea of how bad guys
176
414202
2758
나쁜 사람들이 암호를 풀 때
06:56
go about cracking passwords,
177
416960
2170
어떻게 하는지를 보여드리자면
06:59
they will steal a password file
178
419130
1951
그들은 모든 암호가 들어있는
07:01
that will have all of the passwords
179
421081
2153
암호 파일을 훔칩니다.
07:03
in kind of a scrambled form, called a hash,
180
423234
2889
암호가 해시라고 부르는 형태로 들어있습니다.
07:06
and so what they'll do is they'll make a guess
181
426123
2562
그러면 암호가 뭔지
07:08
as to what a password is,
182
428685
1712
추측을 해 나갑니다.
07:10
run it through a hashing function,
183
430397
1897
해시 함수를 써서
07:12
and see whether it matches
184
432294
1765
훔친 목록에 들어있는 암호와
07:14
the passwords they have on their stolen password list.
185
434059
3950
맞는지 비교합니다.
07:18
So a dumb attacker will try every password in order.
186
438009
3105
멍청한 공격자는 모든 암호를 순서대로 해 볼겁니다.
07:21
They'll start with AAAAA and move on to AAAAB,
187
441114
3568
AAAAAA로 시작해서 AAAAB로 옮겨갑니다.
07:24
and this is going to take a really long time
188
444682
2418
이렇게 하면
07:27
before they get any passwords
189
447100
1526
사람들이 실제로 가진
07:28
that people are really likely to actually have.
190
448626
2697
암호를 풀기까지 상당한 시간이 걸립니다.
07:31
A smart attacker, on the other hand,
191
451323
2183
반면에 똑똑한 공격자는
07:33
does something much more clever.
192
453506
1386
훨씬 더 영리한 방법을 씁니다.
07:34
They look at the passwords
193
454892
1826
그들은 훔진 암호에서
07:36
that are known to be popular
194
456718
1800
인기가 많은
07:38
from these stolen password sets,
195
458518
1727
암호를 보고
07:40
and they guess those first.
196
460245
1189
그것들을 먼저 추측합니다.
07:41
So they're going to start by guessing "password,"
197
461434
2134
그래서 "암호"를 먼저 추측하고
07:43
and then they'll guess "I love you," and "monkey,"
198
463568
2751
그 다음은 "사랑해", "원숭이",
07:46
and "12345678,"
199
466319
2583
""12345678"을 추측하죠.
07:48
because these are the passwords
200
468902
1312
왜냐하면 이런 암호들을
07:50
that are most likely for people to have.
201
470214
1905
사람들이 자주 쓰기 때문이죠.
07:52
In fact, some of you probably have these passwords.
202
472119
3261
어쩌면 여러분 가운데 몇 분도 이런 암호를 갖고 계실지도 모릅니다.
07:57
So what we found
203
477191
1298
그래서 암호가 얼마나 강한지
07:58
by running all of these 5,000 passwords we collected
204
478489
3406
알아보기 위한 실험에서 저희가 모은 5 천개의 암호에서
08:01
through these tests to see how strong they were,
205
481895
4106
발견한 사실은
08:06
we found that the long passwords
206
486001
2752
긴 암호가
08:08
were actually pretty strong,
207
488753
1280
실제로 아주 강하다는 것이었어요.
08:10
and the complex passwords were pretty strong too.
208
490033
3262
복잡한 암호도 상당히 강했구요.
08:13
However, when we looked at the survey data,
209
493295
2442
하지만 저희가 조사한 자료를 봤을 때
08:15
we saw that people were really frustrated
210
495737
3024
사람들은 아주 복잡한 암호 때문에
08:18
by the very complex passwords,
211
498761
2339
정말 짜증스러워했습니다.
08:21
and the long passwords were a lot more usable,
212
501100
2630
긴 암호는 더 사용할 수 있고
08:23
and in some cases, they were actually
213
503730
1325
어떤 경우에는
08:25
even stronger than the complex passwords.
214
505055
2908
복잡한 암호보다 강했습니다.
08:27
So this suggests that,
215
507963
1169
이 말은
08:29
instead of telling people that they need
216
509132
1703
사람들한테
08:30
to put all these symbols and numbers
217
510835
1522
이런 기호와 숫자,
08:32
and crazy things into their passwords,
218
512357
2842
이상한 것들을 암호에 넣으라고 하는 대신,
08:35
we might be better off just telling people
219
515199
2022
긴 암호를 만들어라고
08:37
to have long passwords.
220
517221
2652
말하는게 나을 지도 모릅니다.
08:39
Now here's the problem, though:
221
519873
1792
하지만 문제가 생기죠.
08:41
Some people had long passwords
222
521665
2255
어떤 사람들은 긴 암호를 만들지만
08:43
that actually weren't very strong.
223
523920
1555
실제로 강하지는 않습니다.
08:45
You can make long passwords
224
525475
1997
여러분은 긴 암호를 만들 수 있지만
08:47
that are still the sort of thing
225
527472
1556
여전히 공격자가
08:49
that an attacker could easily guess.
226
529028
1742
쉽게 추측할 수 있습니다.
08:50
So we need to do more than just say long passwords.
227
530770
3365
그래서 저희는 긴 암호에 덧붙여 뭔가를 할 필요가 있어요.
08:54
There has to be some additional requirements,
228
534135
1936
어떤 부가적인 요소가 있어야 하는데,
08:56
and some of our ongoing research is looking at
229
536071
2969
저희가 계속하고 있는 연구의 일부는
08:59
what additional requirements we should add
230
539040
2439
어떤 부가적인 요소를 넣어야
09:01
to make for stronger passwords
231
541479
2104
강한 암호를 만들고
09:03
that also are going to be easy for people
232
543583
2312
또 사람들이 기억하기도 쉬우면서
09:05
to remember and type.
233
545895
2698
입력하기도 쉬운지를 살펴보는 일입니다.
09:08
Another approach to getting people to have
234
548593
2126
사람들에게 강한 암호를 만들게 하는
09:10
stronger passwords is to use a password meter.
235
550719
2257
또다른 방법은 암호 미터를 사용하는 것인데요.
09:12
Here are some examples.
236
552976
1385
여기 몇 가지 보기가 있습니다.
09:14
You may have seen these on the Internet
237
554361
1401
여러분이 인터넷에서
09:15
when you were creating passwords.
238
555762
3057
암호를 만들 때 봤을 거에요.
09:18
We decided to do a study to find out
239
558819
2248
이런 암호 미터가 정말로 효과가 있는지
09:21
whether these password meters actually work.
240
561067
2887
살펴보기 위해 연구를 했습니다.
09:23
Do they actually help people
241
563954
1421
실제로 암호 미터가 사람들이
09:25
have stronger passwords,
242
565375
1453
강한 암호를 만드는데 도움을 주는가?
09:26
and if so, which ones are better?
243
566828
2086
그렇다면 어느 방법이 더 나은가?
09:28
So we tested password meters that were
244
568914
2507
저희들은 서로 다른 암호 미터를 실험했습니다.
09:31
different sizes, shapes, colors,
245
571421
2098
다른 크기, 모양, 색깔,
09:33
different words next to them,
246
573519
1416
다른 말을 암호 옆에 뒀어요.
09:34
and we even tested one that was a dancing bunny.
247
574935
3275
춤추는 토끼까지 실험했습니다.
09:38
As you type a better password,
248
578210
1582
여러분이 좀더 나은 암호를 입력하면
09:39
the bunny dances faster and faster.
249
579792
2539
토끼가 더욱더 빨리 춤을 춥니다.
09:42
So this was pretty fun.
250
582331
2529
아주 재미있었어요.
09:44
What we found
251
584860
1567
저희가 발견한 사실은
09:46
was that password meters do work.
252
586427
3572
암호 미터가 효과가 있었다는 거죠.
09:49
(Laughter)
253
589999
1801
(웃음)
09:51
Most of the password meters were actually effective,
254
591800
3333
대부분의 암호 미터가 실제 효과가 있었고
09:55
and the dancing bunny was very effective too,
255
595133
2521
춤추는 토끼도 좋은 효과가 있었지만
09:57
but the password meters that were the most effective
256
597654
2881
가장 효과가 뛰어난 암호 미터는
10:00
were the ones that made you work harder
257
600535
2355
"잘하고 있어요" 라고
10:02
before they gave you that thumbs up and said
258
602890
1980
엄지손가락을 치켜세우는 화면을 보여주기 전까지
10:04
you were doing a good job,
259
604870
1377
사람들이 더 노력하게끔 만드는 것이었습니다.
10:06
and in fact we found that most
260
606247
1512
사실 인터넷에 나오는
10:07
of the password meters on the Internet today
261
607759
2281
대부분의 암호 미터는
10:10
are too soft.
262
610040
952
10:10
They tell you you're doing a good job too early,
263
610992
2203
너무 부드럽다는 것을 발견했습니다.
암호 미터는 "여러분이 잘하고 있다"고 너무나 일찍 말합니다.
10:13
and if they would just wait a little bit
264
613195
1929
그렇게 긍정적인 의견을 주기전에
10:15
before giving you that positive feedback,
265
615124
2049
조금만 더 기다린다면
10:17
you probably would have better passwords.
266
617173
3160
여러분은 조금 더 나은 암호를 만들겁니다.
10:20
Now another approach to better passwords, perhaps,
267
620333
3847
더 나은 암호를 만드는 또다른 방법은
10:24
is to use pass phrases instead of passwords.
268
624180
2890
암호 대신 비밀어구를 사용하는 것이죠.
10:27
So this was an xkcd cartoon from a couple of years ago,
269
627070
3418
이건 몇 년 전에 나온 xkcd 만화인데
10:30
and the cartoonist suggests
270
630488
1674
만화가는
10:32
that we should all use pass phrases,
271
632162
2196
우리가 비밀어구를 써야 한다고 말합니다.
10:34
and if you look at the second row of this cartoon,
272
634358
3170
이 만화의 둘째줄을 보면
10:37
you can see the cartoonist is suggesting
273
637528
1857
만화가가 비밀어구인
10:39
that the pass phrase "correct horse battery staple"
274
639385
3441
"바른 말 밧데리 스테이플" 이라고 제안하는데
10:42
would be a very strong pass phrase
275
642826
2481
이것은 꽤 강한 비밀어구이고
10:45
and something really easy to remember.
276
645307
1916
외우기도 쉽습니다.
10:47
He says, in fact, you've already remembered it.
277
647223
2797
만화가는 여러분이 이미 그걸 외웠다고 얘기합니다.
10:50
And so we decided to do a research study
278
650020
2150
그래서 저희는 이것이 사실인지 아닌지
10:52
to find out whether this was true or not.
279
652170
2592
확인하기 위해서 연구를 했습니다.
10:54
In fact, everybody who I talk to,
280
654762
1775
사실 제가 얘기한 모든 사람들이
10:56
who I mention I'm doing password research,
281
656537
2042
제가 암호에 관한 연구를 한다고 했더니
10:58
they point out this cartoon.
282
658579
1400
이 만화를 말하더군요.
10:59
"Oh, have you seen it? That xkcd.
283
659979
1574
"아, 그것 보셨어요? xkcd만화요.
11:01
Correct horse battery staple."
284
661553
1602
올바른 말 밧데리 스테이플."
11:03
So we did the research study to see
285
663155
1806
그래서 저희는 실제로
11:04
what would actually happen.
286
664961
2359
어떤 일이 벌어지는지 연구했습니다.
11:07
So in our study, we used Mechanical Turk again,
287
667320
3060
저희가 한 연구에서 미케니컬 터크를 다시 썼는데
11:10
and we had the computer pick the random words
288
670380
4167
컴퓨터가 무작위로 낱말을 뽑아서
11:14
in the pass phrase.
289
674547
1100
비밀어구를 만들게 했습니다.
11:15
Now the reason we did this
290
675647
1153
그렇게 한 까닭은
11:16
is that humans are not very good
291
676800
1586
사람들이 무작위로 낱말을 고르는데
11:18
at picking random words.
292
678386
1384
익숙하지 않기 때문입니다.
11:19
If we asked a human to do it,
293
679770
1262
사람들한테 그렇게 하라고 하면
11:21
they would pick things that were not very random.
294
681032
2998
별로 무작위적이지 않은 낱말을 고르고는 했죠.
11:24
So we tried a few different conditions.
295
684030
2032
그래서 저희는 다른 조건을 넣었습니다.
11:26
In one condition, the computer picked
296
686062
2090
한 조건에는, 컴퓨터가
11:28
from a dictionary of the very common words
297
688152
2216
영어 사전에서
11:30
in the English language,
298
690368
1362
아주 흔한 낱말을 고르게 했고
11:31
and so you'd get pass phrases like
299
691730
1764
그러면 여러분은 다음과 같은 비밀어구를 얻습니다.
11:33
"try there three come."
300
693494
1924
"거기서 셋이 오게 해."
11:35
And we looked at that, and we said,
301
695418
1732
저희는 그걸 보고
11:37
"Well, that doesn't really seem very memorable."
302
697150
3050
"쉽게 외울 수 없어보여."라고 했죠.
11:40
So then we tried picking words
303
700200
2240
그래서 저희들은
11:42
that came from specific parts of speech,
304
702440
2521
연설의 구체적인 한 부분에서 낱말을 고르게 했습니다.
11:44
so how about noun-verb-adjective-noun.
305
704961
2182
명사-동사-형용사-명사 이런 식으로요.
11:47
That comes up with something that's sort of sentence-like.
306
707143
2577
그러면 일종의 문장처럼 나옵니다.
11:49
So you can get a pass phrase like
307
709720
2070
그래서 다음과 같은 비밀어구가 생기죠.
11:51
"plan builds sure power"
308
711790
1308
"계획은 확실한 힘을 세운다" 나
11:53
or "end determines red drug."
309
713098
2786
"마지막은 빨간 약을 결정짓는다."
11:55
And these seemed a little bit more memorable,
310
715884
2676
이것들은 좀 더 외우기가 쉬운것처럼 보이죠.
11:58
and maybe people would like those a little bit better.
311
718560
2822
사람들이 이런 걸 조금 더 좋아할 지도 모르죠.
12:01
We wanted to compare them with passwords,
312
721382
2572
저희는 비밀어구를 암호와 비교해보고 싶었습니다.
12:03
and so we had the computer pick random passwords,
313
723954
3196
그래서 컴퓨터가 무작위로 암호를 고르게 했는데
12:07
and these were nice and short, but as you can see,
314
727150
1990
이들 암호는 짧고 멋지지만 여러분이 보시다시피
12:09
they don't really look very memorable.
315
729140
2806
쉽게 외울 수 없게 보입니다.
12:11
And then we decided to try something called
316
731946
1396
그 다음에는
12:13
a pronounceable password.
317
733342
1646
발음하기 쉬운 암호를 연구했습니다.
12:14
So here the computer picks random syllables
318
734988
2245
여기서는 컴퓨터가 무작위로
12:17
and puts them together
319
737233
1134
음절을 골라 같이 묶어서
12:18
so you have something sort of pronounceable,
320
738367
2475
발음할 수 있는 낱말을 만듭니다.
12:20
like "tufritvi" and "vadasabi."
321
740842
2602
"투프리트비"나 "바다사비" 같은 것이죠.
12:23
That one kind of rolls off your tongue.
322
743444
2147
그런 말은 여러분 혀에서 굴러나옵니다.
12:25
So these were random passwords that were
323
745591
2216
이렇게 무작위로 나온 암호가
12:27
generated by our computer.
324
747807
2744
컴퓨터로 만들어집니다.
12:30
So what we found in this study was that, surprisingly,
325
750551
2978
저희가 한 연구에서 발견한 사실은 놀랍게도
12:33
pass phrases were not actually all that good.
326
753529
3768
비밀어구가 실제로는 그렇게 훌륭하지 않다는 것입니다.
12:37
People were not really better at remembering
327
757297
2793
사람들은 이렇게 무작위로 뽑은 암호보다
12:40
the pass phrases than these random passwords,
328
760090
2953
비밀어구를 잘 외우지 못했는데
12:43
and because the pass phrases are longer,
329
763043
2754
비밀어구가 길고
12:45
they took longer to type
330
765797
1226
입력하기도 길고
12:47
and people made more errors while typing them in.
331
767023
3010
사람들이 입력하면서 실수도 하기 때문이죠.
12:50
So it's not really a clear win for pass phrases.
332
770033
3227
그래서 비밀어구의 명백한 승리는 아닙니다.
12:53
Sorry, all of you xkcd fans.
333
773260
3345
xkcd 팬 여러분께는 죄송하군요.
12:56
On the other hand, we did find
334
776605
1892
다른 한편으로
12:58
that pronounceable passwords
335
778497
1804
발음할 수 있는 암호가
13:00
worked surprisingly well,
336
780301
1471
놀랍게도 효과가 있었고
13:01
and so we actually are doing some more research
337
781772
2418
그러한 접근방법이 더 나은지
13:04
to see if we can make that approach work even better.
338
784190
3195
연구를 좀 더 했습니다.
13:07
So one of the problems
339
787385
1812
저희가 한 연구의 일부에서
13:09
with some of the studies that we've done
340
789197
1623
맞닥뜨린 문제는
13:10
is that because they're all done
341
790820
1683
모든 연구를
13:12
using Mechanical Turk,
342
792503
1590
미케니컬 터크를 이용한 것이어서
13:14
these are not people's real passwords.
343
794093
1812
이것들이 사람들이 사용하는 진짜 암호는 아니라는 거죠.
13:15
They're the passwords that they created
344
795905
2105
저희가 하는 연구를 위해서 사람들이 만든 암호이거나
13:18
or the computer created for them for our study.
345
798010
2495
컴퓨터가 만든 암호입니다.
13:20
And we wanted to know whether people
346
800505
1568
저희가 알고 싶었던 것은
13:22
would actually behave the same way
347
802073
2312
사람들이 자신들의 진짜 암호에도
13:24
with their real passwords.
348
804385
2227
비슷하게 행동하는지 였습니다.
13:26
So we talked to the information security office at Carnegie Mellon
349
806612
3681
그래서 저희는 카네기멜론 대학의 정보 안전소와 얘기해서
13:30
and asked them if we could have everybody's real passwords.
350
810293
3803
모든 사람들의 진짜 암호를 얻을 수 있는지 물었습니다.
13:34
Not surprisingly, they were a little bit reluctant
351
814096
1754
당연히 그들은
13:35
to share them with us,
352
815850
1550
암호를 공개하고 싶어하지 않았어요.
13:37
but we were actually able to work out
353
817400
1810
하지만 저희는 실제로 암호를
13:39
a system with them
354
819210
1040
연구할 수 있는 시스템을 생각해냈습니다.
13:40
where they put all of the real passwords
355
820250
2109
25,000 명의 카네기멜론 대학 학생, 교수, 직원들의
13:42
for 25,000 CMU students, faculty and staff,
356
822359
3091
진짜 암호를
13:45
into a locked computer in a locked room,
357
825450
2448
암호가 걸린 컴퓨터에 넣고 암호가 걸린 방에 두고
13:47
not connected to the Internet,
358
827898
1394
인터넷 연결도 끊은 채
13:49
and they ran code on it that we wrote
359
829292
1848
이들 암호를 분석하기 위해
13:51
to analyze these passwords.
360
831140
2152
저희가 개발한 프로그램을 돌렸습니다.
13:53
They audited our code.
361
833292
1326
그들은 저희가 개발한 프로그램을 검토한 뒤
13:54
They ran the code.
362
834618
1312
그걸 실행했습니다.
13:55
And so we never actually saw
363
835930
1738
그래서 저희는 실제로
13:57
anybody's password.
364
837668
2817
누구의 암호도 보지 못했습니다.
14:00
We got some interesting results,
365
840485
1515
저희는 재미있는 결과를 얻었는데
14:02
and those of you Tepper students in the back
366
842000
1696
저 뒤에 앉아있는 테퍼스쿨 학생들이
14:03
will be very interested in this.
367
843696
2875
흥미로워 할 결과입니다.
14:06
So we found that the passwords created
368
846571
3731
컴퓨터 학부에 소속된
14:10
by people affiliated with the school of computer science
369
850302
2158
사람들이 만든 암호는
14:12
were actually 1.8 times stronger
370
852460
2324
경영 대학에 소속된
14:14
than those affiliated with the business school.
371
854784
3738
사람들이 만든 암호보다 1.8배 강했습니다.
14:18
We have lots of other really interesting
372
858522
2040
아주 재미있는
14:20
demographic information as well.
373
860562
2238
인구통계학 정보도 많은데요.
14:22
The other interesting thing that we found
374
862800
1846
저희가 발견한 또다른 재미있는 사실은
14:24
is that when we compared the Carnegie Mellon passwords
375
864646
2440
카네기멜론 대학의 암호와
14:27
to the Mechanical Turk-generated passwords,
376
867086
2283
미케니컬 터크가 만든 암호를 비교했을 때
14:29
there was actually a lot of similarities,
377
869369
2619
실제로 아주 비슷한 점이 많아서
14:31
and so this helped validate our research method
378
871988
1948
저희가 한 연구방법을 인증하는데 도움이 되었고
14:33
and show that actually, collecting passwords
379
873936
2510
미케니컬 터크를 이용해서
14:36
using these Mechanical Turk studies
380
876446
1808
암호를 모은 방법이
14:38
is actually a valid way to study passwords.
381
878254
2788
암호를 연구하는데 효과적인 방법임을 보여줬습니다.
14:41
So that was good news.
382
881042
2285
그래서 그건 좋은 뉴스였죠.
14:43
Okay, I want to close by talking about
383
883327
2414
자, 마지막으로
14:45
some insights I gained while on sabbatical
384
885741
2068
제가 작년에 안식년을
14:47
last year in the Carnegie Mellon art school.
385
887809
3201
카네기멜론 예술 대학에서 보냈을 때 얻은 경험을 얘기하겠습니다.
14:51
One of the things that I did
386
891010
1281
제가 한 일 가운데 하나는
14:52
is I made a number of quilts,
387
892291
1524
조각 이불을 몇 개를 만든 거죠.
14:53
and I made this quilt here.
388
893815
1548
여기 보시는 조각 이불을 만들었는데
14:55
It's called "Security Blanket."
389
895363
1899
"안보 이불"이라고 부릅니다.
14:57
(Laughter)
390
897262
2431
(웃음)
14:59
And this quilt has the 1,000
391
899693
3095
이 조각 이불은
15:02
most frequent passwords stolen
392
902788
2328
롹 유 웹사이트에서 가장 많이
15:05
from the RockYou website.
393
905116
2571
도난당한 암호 1,000 개가 들어있어요.
15:07
And the size of the passwords is proportional
394
907687
2061
암호의 크기는
15:09
to how frequently they appeared
395
909748
1901
도난당한 자료에서
15:11
in the stolen dataset.
396
911649
2248
자주 나오는 횟수에 비례합니다.
15:13
And what I did is I created this word cloud,
397
913897
2632
제가 한 일은 낱말로 된 구름을 만들어서
15:16
and I went through all 1,000 words,
398
916529
2132
1,000 개의 낱말을 보고
15:18
and I categorized them into
399
918661
1795
어떤 주제로
15:20
loose thematic categories.
400
920456
2380
분류를 했습니다.
15:22
And it was, in some cases,
401
922836
1903
어떤 경우에는
15:24
it was kind of difficult to figure out
402
924739
2038
어떤 주제로
15:26
what category they should be in,
403
926777
1755
분류해야 할 지 모를 때도 있었죠.
15:28
and then I color-coded them.
404
928532
1899
그 뒤에 색깔로 분류했어요.
15:30
So here are some examples of the difficulty.
405
930431
2619
그 과정이 얼마나 힘들었는지 여기서 보실 수 있습니다.
15:33
So "justin."
406
933050
1181
"져스틴"은
15:34
Is that the name of the user,
407
934231
1829
사용자의 이름이거나
15:36
their boyfriend, their son?
408
936060
1322
남자친구, 아들이겠죠?
15:37
Maybe they're a Justin Bieber fan.
409
937382
2888
어쩌면 져스틴 비버의 팬일지도 몰라요.
15:40
Or "princess."
410
940270
2225
또는 "공주."
15:42
Is that a nickname?
411
942495
1635
별명일까요?
15:44
Are they Disney princess fans?
412
944130
1595
디즈니 공주의 팬일까요?
15:45
Or maybe that's the name of their cat.
413
945725
3694
어쩌면 고양이의 이름일수도 있겠죠.
15:49
"Iloveyou" appears many times
414
949419
1655
"사랑해"는 여러 언어에서
15:51
in many different languages.
415
951074
1545
많이 나왔습니다.
15:52
There's a lot of love in these passwords.
416
952619
3735
이들 암호에는 사랑이 넘칩니다.
15:56
If you look carefully, you'll see there's also
417
956354
1680
자세히 살펴보면
15:58
some profanity,
418
958034
2267
비속한 말도 있지만
16:00
but it was really interesting to me to see
419
960301
1950
이들 암호에
16:02
that there's a lot more love than hate
420
962251
2307
미움보다는 사랑이 훨씬 많다는 것을
16:04
in these passwords.
421
964558
2292
보는게 저한테는 흥미로웠습니다.
16:06
And there are animals,
422
966850
1490
동물도 있었는데
16:08
a lot of animals,
423
968340
1360
아주 많은 동물이 나왔어요.
16:09
and "monkey" is the most common animal
424
969700
2304
"원숭이"는 가장 흔한 동물이고
16:12
and the 14th most popular password overall.
425
972004
3675
전체로 봤을 때 14번째로 인기있는 암호입니다.
16:15
And this was really curious to me,
426
975679
2231
저는 이게 정말 궁금했어요.
16:17
and I wondered, "Why are monkeys so popular?"
427
977910
2523
"왜 이렇게 원숭이가 인기가 많지?"
16:20
And so in our last password study,
428
980433
3352
그래서 마지막 암호 연구에서
16:23
any time we detected somebody
429
983785
1686
"원숭이"가 들어간 암호를
16:25
creating a password with the word "monkey" in it,
430
985471
2649
만든 사람을 감지하면
16:28
we asked them why they had a monkey in their password.
431
988120
3030
암호에 원숭이를 넣는 이유를 물었습니다.
16:31
And what we found out --
432
991150
1910
저희가 발견한 사실은
16:33
we found 17 people so far, I think,
433
993060
2103
지금까지 17명이
16:35
who have the word "monkey" --
434
995163
1283
"원숭이"를 암호에 썼다는 것이죠.
16:36
We found out about a third of them said
435
996446
1812
그중의 1/3 은
16:38
they have a pet named "monkey"
436
998258
1740
"원숭이"라고 이름붙인 애완동물을 갖고 있거나
16:39
or a friend whose nickname is "monkey,"
437
999998
2291
별명이 "원숭이"인 친구가 있다고 했습니다.
16:42
and about a third of them said
438
1002289
1660
그리고 1/3 은
16:43
that they just like monkeys
439
1003949
1533
원숭이를 좋아하고
16:45
and monkeys are really cute.
440
1005482
1638
원숭이가 정말 귀엽다고 말했어요.
16:47
And that guy is really cute.
441
1007120
3639
그렇게 말한 사람은 참 귀엽습니다.
16:50
So it seems that at the end of the day,
442
1010759
3408
그래서, 최종적인 경향은
16:54
when we make passwords,
443
1014167
1783
우리가 암호를 만들 때
16:55
we either make something that's really easy
444
1015950
1974
입력하기 아주 쉽거나
16:57
to type, a common pattern,
445
1017924
3009
흔한 패턴으로 만들거나,
17:00
or things that remind us of the word password
446
1020933
2486
우리에게 그 암호를 떠올리게 하는 것들이나
17:03
or the account that we've created the password for,
447
1023419
3312
우리가 암호를 위해 만든 계좌나
17:06
or whatever.
448
1026731
2617
다른 어떤것이든지로 만들죠.
17:09
Or we think about things that make us happy,
449
1029348
2642
또는 우리를 행복하게 만드는 것을 생각하거나
17:11
and we create our password
450
1031990
1304
우리를 행복하게 만드는 것에
17:13
based on things that make us happy.
451
1033294
2238
근거해서 암호를 만듭니다.
17:15
And while this makes typing
452
1035532
2863
그래서 이렇게 하는 것은 암호를 입력하고
17:18
and remembering your password more fun,
453
1038395
2870
기억하는게 재미있게 만들지만,
17:21
it also makes it a lot easier
454
1041265
1807
암호를 추측하는 것 또한
17:23
to guess your password.
455
1043072
1506
훨씬 쉽게 합니다.
17:24
So I know a lot of these TED Talks
456
1044578
1748
저는 많은 TED 강연들이
17:26
are inspirational
457
1046326
1634
영감을 주는 것을 알고 있고
17:27
and they make you think about nice, happy things,
458
1047960
2461
기분좋고 즐거운 것을 생각하게 만들지만
17:30
but when you're creating your password,
459
1050421
1897
여러분이 암호를 만들 때는
17:32
try to think about something else.
460
1052318
1991
뭔가 다른 것을 생각하도록 하세요.
17:34
Thank you.
461
1054309
1107
고맙습니다.
17:35
(Applause)
462
1055416
553
(박수)
이 웹사이트 정보

이 사이트는 영어 학습에 유용한 YouTube 동영상을 소개합니다. 전 세계 최고의 선생님들이 가르치는 영어 수업을 보게 될 것입니다. 각 동영상 페이지에 표시되는 영어 자막을 더블 클릭하면 그곳에서 동영상이 재생됩니다. 비디오 재생에 맞춰 자막이 스크롤됩니다. 의견이나 요청이 있는 경우 이 문의 양식을 사용하여 문의하십시오.

https://forms.gle/WvT1wiN1qDtmnspy7