Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

139,276 views ・ 2014-06-24

TED


Dubbelklik op de Engelse ondertitels hieronder om de video af te spelen.

Vertaald door: Dick Stada Nagekeken door: Rik Delaet
00:12
I am a computer science and engineering professor here at Carnegie Mellon,
0
12535
3445
Ik ben professor in computerwetenschappen hier op Carnegie Mellon.
00:15
and my research focuses on usable privacy and security,
1
15980
4248
Mijn onderzoek richt zich op bruikbare privacy en beveiliging.
00:20
and so my friends like to give me examples
2
20228
2768
Mijn vrienden geven me graag voorbeelden
00:22
of their frustrations with computing systems,
3
22996
2202
van hun frustraties met computersystemen.
00:25
especially frustrations related to
4
25198
3354
Vooral frustraties die te maken hebben
00:28
unusable privacy and security.
5
28552
4112
met onbruikbare privacy en beveiliging.
00:32
So passwords are something that I hear a lot about.
6
32664
2711
Ik hoor dus veel over wachtwoorden.
00:35
A lot of people are frustrated with passwords,
7
35375
2880
Veel mensen zijn gefrustreerd door wachtwoorden.
00:38
and it's bad enough
8
38255
1694
Het is al erg genoeg
00:39
when you have to have one really good password
9
39949
2644
als je één goed wachtwoord moet hebben
00:42
that you can remember
10
42593
1822
dat je kunt onthouden,
00:44
but nobody else is going to be able to guess.
11
44415
2894
maar dat niemand kan raden.
00:47
But what do you do when you have accounts
12
47309
1637
Maar wat moet je doen als je accounts hebt
00:48
on a hundred different systems
13
48946
1808
voor honderden systemen
00:50
and you're supposed to have a unique password
14
50754
2276
en je moet een uniek wachtwoord hebben
00:53
for each of these systems?
15
53030
3037
voor al die systemen?
00:56
It's tough.
16
56067
2184
Dat is lastig.
00:58
At Carnegie Mellon, they used to make it
17
58251
1759
Op Carnegie Mellon maakten ze het
01:00
actually pretty easy for us
18
60010
1299
redelijk makkelijk voor ons
01:01
to remember our passwords.
19
61309
1737
om onze wachtwoorden te onthouden.
01:03
The password requirement up through 2009
20
63046
2403
De wachtwoordvereisten waren tot 2009
01:05
was just that you had to have a password
21
65449
2379
dat je gewoon een wachtwoord moest hebben
01:07
with at least one character.
22
67828
2211
met minimaal 1 teken.
01:10
Pretty easy. But then they changed things,
23
70039
2888
Nogal simpel. Maar toen veranderden ze dat.
01:12
and at the end of 2009, they announced
24
72927
2670
Tegen het einde van 2009 verkondigden ze
01:15
that we were going to have a new policy,
25
75597
2376
dat we een nieuw beleid kregen.
01:17
and this new policy required
26
77973
1863
Dit beleid eiste
01:19
passwords that were at least eight characters long,
27
79836
2681
dat wachtwoorden minimaal 8 tekens moesten hebben,
01:22
with an uppercase letter, lowercase letter,
28
82517
1775
met een hoofdletter, kleine letter,
01:24
a digit, a symbol,
29
84292
1288
een cijfer, een teken,
01:25
you couldn't use the same character more than three times,
30
85580
2638
je mocht niet 3 dezelfde tekens hebben
01:28
and it wasn't allowed to be in a dictionary.
31
88218
2434
en het mocht niet in het woordenboek staan.
01:30
Now, when they implemented this new policy,
32
90652
2182
Toen ze dat nieuwe beleid toepasten,
01:32
a lot of people, my colleagues and friends,
33
92834
2310
zeiden veel mensen, collega's en vrienden me:
01:35
came up to me and they said, "Wow,
34
95144
1854
01:36
now that's really unusable.
35
96998
1512
"Poeh, dit is echt niet te doen.
01:38
Why are they doing this to us,
36
98510
1193
Waarom doen ze ons dat aan
01:39
and why didn't you stop them?"
37
99703
1711
en waarom houd je ze niet tegen?"
01:41
And I said, "Well, you know what?
38
101414
1356
Ik zei: "Weet je?
01:42
They didn't ask me."
39
102770
1508
Ze hebben mij niets gevraagd."
01:44
But I got curious, and I decided to go talk
40
104278
3465
Maar ik werd nieuwsgierig en ging praten
01:47
to the people in charge of our computer systems
41
107743
1937
met onze systeembeheerders
01:49
and find out what led them to introduce
42
109680
2831
en ontdekte waarom ze
01:52
this new policy,
43
112511
1848
dit beleid hadden bedacht.
01:54
and they said that the university
44
114359
1584
Ze zeiden dat de universiteit
01:55
had joined a consortium of universities,
45
115943
2366
was gaan samenwerken met andere universiteiten
01:58
and one of the requirements of membership
46
118309
2634
en dat een van de voorwaarden was
02:00
was that we had to have stronger passwords
47
120943
2248
dat we veiligere wachtwoorden kregen
02:03
that complied with some new requirements,
48
123191
2272
die voldeden aan nieuwe voorwaarden.
02:05
and these requirements were that our passwords
49
125463
2104
Die vereisten dat onze wachtwoorden
02:07
had to have a lot of entropy.
50
127567
1604
niet voorspelbaar mochten zijn.
02:09
Now entropy is a complicated term,
51
129171
2278
Onvoorspelbaarheid is een ingewikkelde term.
02:11
but basically it measures the strength of passwords.
52
131449
2798
Ze geeft de sterkte van het wachtwoord weer,
02:14
But the thing is, there isn't actually
53
134247
1979
maar er is eigenlijk geen standaardmaat voor onvoorspelbaarheid.
02:16
a standard measure of entropy.
54
136226
1949
02:18
Now, the National Institute of Standards and Technology
55
138175
2399
Het National Institute of Standards and Technology
02:20
has a set of guidelines
56
140574
1553
heeft een paar richtlijnen
02:22
which have some rules of thumb
57
142127
2568
met wat vuistregels
02:24
for measuring entropy,
58
144695
1440
om onvoorspelbaarheid te meten,
02:26
but they don't have anything too specific,
59
146135
2895
maar ze hebben niets specifieks.
02:29
and the reason they only have rules of thumb
60
149030
2337
De reden dat ze alleen vuistregels hebben
02:31
is it turns out they don't actually have any good data
61
151367
3136
is dat ze geen goede informatie hebben
02:34
on passwords.
62
154503
1520
over wachtwoorden.
02:36
In fact, their report states,
63
156023
2312
Hun rapport zegt zelfs:
02:38
"Unfortunately, we do not have much data
64
158335
2328
"Helaas hebben we niet veel gegevens
02:40
on the passwords users choose under particular rules.
65
160663
2842
over welke wachtwoorden men kiest bij bepaalde regels.
02:43
NIST would like to obtain more data
66
163505
2333
NIST wil meer informatie hebben
02:45
on the passwords users actually choose,
67
165838
2462
over de wachtwoorden die men kiest,
02:48
but system administrators are understandably reluctant
68
168300
2463
maar systeembeheerders zijn natuurlijk terughoudend
02:50
to reveal password data to others."
69
170763
2940
om wachtwoordgegevens openbaar te maken."
02:53
So this is a problem, but our research group
70
173703
3097
Dat is dus een probleem, maar ons onderzoeksteam
02:56
looked at it as an opportunity.
71
176800
2140
vond dat een uitdaging.
02:58
We said, "Well, there's a need for good password data.
72
178940
3100
We zeiden: "Er is behoefte aan goede wachtwoordgegevens.
03:02
Maybe we can collect some good password data
73
182040
2148
We zouden ze kunnen verzamelen
03:04
and actually advance the state of the art here.
74
184188
2704
en de kennis daarover verspreiden."
03:06
So the first thing we did is,
75
186892
1672
Eerst regelden we een grote zak snoeprepen,
03:08
we got a bag of candy bars
76
188564
1556
03:10
and we walked around campus
77
190120
1086
en gingen over de campus wandelen
03:11
and talked to students, faculty and staff,
78
191206
2798
om studenten, professoren en medewerkers
03:14
and asked them for information
79
194004
1530
naar informatie te vragen
03:15
about their passwords.
80
195534
1552
over hun wachtwoorden.
03:17
Now we didn't say, "Give us your password."
81
197086
3004
We zeiden niet: "Geef me je wachtwoord."
03:20
No, we just asked them about their password.
82
200090
2661
We stelden vragen óver hun wachtwoord.
03:22
How long is it? Does it have a digit?
83
202751
1478
Hoe lang is het? Zit er een cijfer in? En een vreemd teken?
03:24
Does it have a symbol?
84
204229
1068
03:25
And were you annoyed at having to create
85
205297
2045
Was het vervelend
03:27
a new one last week?
86
207342
2744
dat je er vorige week een nieuw moest aanmaken?
03:30
So we got results from 470 students,
87
210086
3206
Zo kregen we gegevens over 470 studenten, professoren en medewerkers,
03:33
faculty and staff,
88
213292
971
03:34
and indeed we confirmed that the new policy
89
214263
2514
en zagen dat het nieuwe beleid inderdaad erg lastig was.
03:36
was very annoying,
90
216777
1453
03:38
but we also found that people said
91
218230
1792
We vonden ook mensen
03:40
they felt more secure with these new passwords.
92
220022
3130
die het veiliger vonden met deze wachtwoorden.
03:43
We found that most people knew
93
223152
2306
Het bleek dat de meesten wisten
03:45
they were not supposed to write their password down,
94
225458
2152
dat ze hun wachtwoord niet mochten noteren,
03:47
and only 13 percent of them did,
95
227610
2391
en slechts 13% deed dat.
03:50
but disturbingly, 80 percent of people
96
230001
2416
80% zei echter
03:52
said they were reusing their password.
97
232417
2124
dat ze hun wachtwoord hergebruikten.
03:54
Now, this is actually more dangerous
98
234541
1796
Dat is nog gevaarlijker
03:56
than writing your password down,
99
236337
2022
dan je wachtwoord opschrijven
03:58
because it makes you much more susceptible to attackers.
100
238359
3561
omdat het gevoeliger is voor aanvallen.
04:01
So if you have to, write your passwords down,
101
241920
3118
Als het echt moet, schrijf het dan op
04:05
but don't reuse them.
102
245038
1799
maar hergebruik het niet.
04:06
We also found some interesting things
103
246837
1751
We vonden nog meer interessants
04:08
about the symbols people use in passwords.
104
248588
2961
over de tekens die mensen gebruiken.
04:11
So CMU allows 32 possible symbols,
105
251549
2799
CMU staat 32 tekens toe,
maar je ziet dat de meesten er maar een paar gebruiken.
04:14
but as you can see, there's only a small number
106
254348
2433
04:16
that most people are using,
107
256781
1802
04:18
so we're not actually getting very much strength
108
258583
2941
Dat maakt wachtwoorden niet veel sterker.
04:21
from the symbols in our passwords.
109
261524
2466
04:23
So this was a really interesting study,
110
263990
2711
Dat was een interessant onderzoek.
04:26
and now we had data from 470 people,
111
266701
2464
We hadden nu gegevens over 470 mensen,
04:29
but in the scheme of things,
112
269165
1305
maar in verhouding was het niet veel.
04:30
that's really not very much password data,
113
270470
2580
04:33
and so we looked around to see
114
273050
1445
We gingen kijken
04:34
where could we find additional password data?
115
274495
2560
of we nog meer wachtwoordgegevens konden vinden.
04:37
So it turns out there are a lot of people
116
277055
2176
Het blijkt dat er veel mensen zijn
04:39
going around stealing passwords,
117
279231
2202
die wachtwoorden stelen
04:41
and they often go and post these passwords
118
281433
2477
en ze dan op het internet zetten.
04:43
on the Internet.
119
283910
1337
04:45
So we were able to get access
120
285247
1673
Zo kregen we toegang
04:46
to some of these stolen password sets.
121
286920
3970
tot een paar gestolen verzamelingen met wachtwoorden.
04:50
This is still not really ideal for research, though,
122
290890
2328
Dat is niet zo ideaal voor onderzoek
04:53
because it's not entirely clear
123
293218
2037
omdat niet helemaal duidelijk was
04:55
where all of these passwords came from,
124
295255
2184
waar ze vandaan kwamen,
04:57
or exactly what policies were in effect
125
297439
2242
of welk beleid gold
04:59
when people created these passwords.
126
299681
2108
toen men die wachtwoorden moest bedenken.
05:01
So we wanted to find some better source of data.
127
301789
3552
We wilden betere gegevensbronnen.
05:05
So we decided that one thing we could do
128
305341
1634
We wilden een onderzoek gaan doen
05:06
is we could do a study and have people
129
306975
2129
waarbij mensen wachtwoorden moesten bedenken
05:09
actually create passwords for our study.
130
309104
3240
voor ons onderzoek.
05:12
So we used a service called Amazon Mechanical Turk,
131
312344
2821
We gebruikten een dienst die Amazon Mechanical Turk heet.
05:15
and this is a service where you can post
132
315165
2334
Daarmee kan je een kleine taak online zetten
05:17
a small job online that takes a minute,
133
317499
2304
die een paar minuten of een uur duurt,
05:19
a few minutes, an hour,
134
319803
1500
05:21
and pay people, a penny, ten cents, a few dollars,
135
321303
2584
en je betaalt een cent, tien cent, een paar dollar
05:23
to do a task for you,
136
323887
1346
om die taak te laten doen.
05:25
and then you pay them through Amazon.com.
137
325233
2122
Je betaalt dan via Amazon.com.
05:27
So we paid people about 50 cents
138
327355
2294
We betaalden mensen ongeveer 50 cent
05:29
to create a password following our rules
139
329649
2596
om een wachtwoord te bedenken volgens onze regels
05:32
and answering a survey,
140
332245
1410
en een enquête te doen.
05:33
and then we paid them again to come back
141
333655
2525
We betaalden nogmaals als ze twee dagen later terugkwamen,
05:36
two days later and log in
142
336180
2071
inlogden met hun wachtwoord
05:38
using their password and answering another survey.
143
338251
2574
en nog een enquête invulden.
05:40
So we did this, and we collected 5,000 passwords,
144
340825
4464
Zo verzamelden we 5.000 wachtwoorden,
05:45
and we gave people a bunch of different policies
145
345289
2695
met diverse wachtwoordvoorschriften.
05:47
to create passwords with.
146
347984
1508
05:49
So some people had a pretty easy policy,
147
349492
1910
Sommigen kregen een makkelijk beleid,
05:51
we call it Basic8,
148
351402
1539
dat we Basic8 noemden.
05:52
and here the only rule was that your password
149
352941
2146
De enige regel was dat je wachtwoord
05:55
had to have at least eight characters.
150
355087
3416
minstens 8 tekens moest hebben.
05:58
Then some people had a much harder policy,
151
358503
2251
Sommigen hadden een strenger beleid
06:00
and this was very similar to the CMU policy,
152
360754
2537
dat erg lijkt op het beleid bij de CMU:
06:03
that it had to have eight characters
153
363291
1934
het moest 8 tekens hebben
06:05
including uppercase, lowercase, digit, symbol,
154
365225
2376
met kleine en grote letters, cijfers en tekens
06:07
and pass a dictionary check.
155
367601
2389
en voor de woordenboektest slagen.
06:09
And one of the other policies we tried,
156
369990
1335
We probeerden onder andere
06:11
and there were a whole bunch more,
157
371325
1270
06:12
but one of the ones we tried was called Basic16,
158
372595
2240
het beleid Basic16.
06:14
and the only requirement here
159
374835
2632
Het enige voorschrift was
06:17
was that your password had to have at least 16 characters.
160
377467
3153
dat het minstens 16 tekens moest hebben.
06:20
All right, so now we had 5,000 passwords,
161
380620
2458
Zo kregen we 5.000 wachtwoorden,
06:23
and so we had much more detailed information.
162
383078
3563
met veel nauwkeurigere gegevens.
06:26
Again we see that there's only a small number
163
386641
2559
We zien weer dat er maar een paar vreemde tekens werden gebruikt.
06:29
of symbols that people are actually using
164
389200
1915
06:31
in their passwords.
165
391115
1886
06:33
We also wanted to get an idea of how strong
166
393001
2599
We wilden ook eens kijken
06:35
the passwords were that people were creating,
167
395600
2771
hoe sterk de wachtwoorden waren die men bedacht.
06:38
but as you may recall, there isn't a good measure
168
398371
2620
Maar je weet nog dat je dat niet kan meten.
06:40
of password strength.
169
400991
1754
06:42
So what we decided to do was to see
170
402745
2312
We besloten te kijken
06:45
how long it would take to crack these passwords
171
405057
2370
hoe snel je de wachtwoorden kon kraken
06:47
using the best cracking tools
172
407427
1414
met de beste kraak-trucs die de boeven gebruiken,
06:48
that the bad guys are using,
173
408841
1808
06:50
or that we could find information about
174
410649
2016
of waar we iets over konden vinden
06:52
in the research literature.
175
412665
1537
in de onderzoeksliteratuur.
06:54
So to give you an idea of how bad guys
176
414202
2758
Om je een idee te geven wat boeven doen
06:56
go about cracking passwords,
177
416960
2170
om wachtwoorden te kraken:
06:59
they will steal a password file
178
419130
1951
ze stelen een wachtwoordbestand
07:01
that will have all of the passwords
179
421081
2153
waar alle wachtwoorden in zitten
07:03
in kind of a scrambled form, called a hash,
180
423234
2889
in een verhaspelde vorm, een 'hash',
07:06
and so what they'll do is they'll make a guess
181
426123
2562
en ze gokken wat een wachtwoord is,
07:08
as to what a password is,
182
428685
1712
07:10
run it through a hashing function,
183
430397
1897
gooien het door een verhaspelfunctie
07:12
and see whether it matches
184
432294
1765
en kijken of het klopt met de wachtwoorden
07:14
the passwords they have on their stolen password list.
185
434059
3950
die ze op hun gestolen lijst hebben.
07:18
So a dumb attacker will try every password in order.
186
438009
3105
Een domme kraker probeert alle wachtwoorden.
07:21
They'll start with AAAAA and move on to AAAAB,
187
441114
3568
Ze beginnen met AAAAA en dan AAAAB.
07:24
and this is going to take a really long time
188
444682
2418
Het duurt dus wel even om de meest gebruikte paswoorden te vinden.
07:27
before they get any passwords
189
447100
1526
07:28
that people are really likely to actually have.
190
448626
2697
07:31
A smart attacker, on the other hand,
191
451323
2183
Slimme krakers echter
07:33
does something much more clever.
192
453506
1386
doen het veel slimmer.
07:34
They look at the passwords
193
454892
1826
Die kijken naar wachtwoorden
07:36
that are known to be popular
194
456718
1800
die bekend staan als veelgebruikt
07:38
from these stolen password sets,
195
458518
1727
uit die gestolen wachtwoorden
07:40
and they guess those first.
196
460245
1189
en proberen die eerst.
07:41
So they're going to start by guessing "password,"
197
461434
2134
'password' proberen ze eerst uit.
07:43
and then they'll guess "I love you," and "monkey,"
198
463568
2751
Dan proberen ze 'I love you' en 'monkey'
07:46
and "12345678,"
199
466319
2583
en '12345678'
07:48
because these are the passwords
200
468902
1312
omdat het de meestgebruikte wachtwoorden zijn
07:50
that are most likely for people to have.
201
470214
1905
07:52
In fact, some of you probably have these passwords.
202
472119
3261
Sommigen van jullie zullen die wachtwoorden gebruiken.
07:57
So what we found
203
477191
1298
Door al onze 5.000 wachtwoorden te proberen,
07:58
by running all of these 5,000 passwords we collected
204
478489
3406
08:01
through these tests to see how strong they were,
205
481895
4106
en te testen hoe sterk ze waren,
08:06
we found that the long passwords
206
486001
2752
zagen we dat de lange wachtwoorden
08:08
were actually pretty strong,
207
488753
1280
best wel sterk waren.
08:10
and the complex passwords were pretty strong too.
208
490033
3262
De ingewikkelde waren ook vrij sterk.
08:13
However, when we looked at the survey data,
209
493295
2442
Maar als we keken naar de enquêtes,
08:15
we saw that people were really frustrated
210
495737
3024
zagen we dat men nogal gefrustreerd was
08:18
by the very complex passwords,
211
498761
2339
door deze ingewikkelde wachtwoorden.
08:21
and the long passwords were a lot more usable,
212
501100
2630
De lange waren een stuk bruikbaarder
08:23
and in some cases, they were actually
213
503730
1325
en soms waren ze zelfs sterker
08:25
even stronger than the complex passwords.
214
505055
2908
dan de ingewikkelde wachtwoorden.
08:27
So this suggests that,
215
507963
1169
Dit geeft aan dat je niet moet zeggen
08:29
instead of telling people that they need
216
509132
1703
08:30
to put all these symbols and numbers
217
510835
1522
dat je al die tekens, cijfers en idiote dingen
08:32
and crazy things into their passwords,
218
512357
2842
in je wachtwoorden moet stoppen.
08:35
we might be better off just telling people
219
515199
2022
Je kunt beter lange wachtwoorden gebruiken.
08:37
to have long passwords.
220
517221
2652
08:39
Now here's the problem, though:
221
519873
1792
Er is wel een probleem:
08:41
Some people had long passwords
222
521665
2255
sommigen hadden lange wachtwoorden
08:43
that actually weren't very strong.
223
523920
1555
die helemaal niet sterk waren.
08:45
You can make long passwords
224
525475
1997
Je kunt lange wachtwoorden maken
08:47
that are still the sort of thing
225
527472
1556
die nog steeds makkelijk te raden zijn door aanvallers.
08:49
that an attacker could easily guess.
226
529028
1742
08:50
So we need to do more than just say long passwords.
227
530770
3365
We moeten dus niet alleen lange wachtwoorden voorschrijven.
08:54
There has to be some additional requirements,
228
534135
1936
Er moet nog iets bij.
08:56
and some of our ongoing research is looking at
229
536071
2969
We onderzoeken nog
08:59
what additional requirements we should add
230
539040
2439
welke extra voorschriften het moeten zijn
09:01
to make for stronger passwords
231
541479
2104
om sterkere wachtwoorden te krijgen
09:03
that also are going to be easy for people
232
543583
2312
die makkelijk te onthouden en te typen zijn.
09:05
to remember and type.
233
545895
2698
09:08
Another approach to getting people to have
234
548593
2126
Een andere aanpak voor sterkere wachtwoorden
09:10
stronger passwords is to use a password meter.
235
550719
2257
is een wachtwoordmeter.
09:12
Here are some examples.
236
552976
1385
Hier zijn wat voorbeelden.
09:14
You may have seen these on the Internet
237
554361
1401
Misschien heb je ze al gezien
09:15
when you were creating passwords.
238
555762
3057
toen je een wachtwoord moest maken.
09:18
We decided to do a study to find out
239
558819
2248
We besloten te onderzoeken
09:21
whether these password meters actually work.
240
561067
2887
of deze wachtwoordmeters echt werken.
09:23
Do they actually help people
241
563954
1421
Helpen ze echt
09:25
have stronger passwords,
242
565375
1453
om sterkere wachtwoorden te maken?
09:26
and if so, which ones are better?
243
566828
2086
Zo ja, welke zijn het best?
09:28
So we tested password meters that were
244
568914
2507
We hebben wachtwoordmeters getest
09:31
different sizes, shapes, colors,
245
571421
2098
met verschillende lengtes, vormen, kleuren,
09:33
different words next to them,
246
573519
1416
met allerlei woorden erbij.
09:34
and we even tested one that was a dancing bunny.
247
574935
3275
Zelfs eentje met een dansend konijn.
09:38
As you type a better password,
248
578210
1582
Terwijl je een wachtwoord typt, danst het konijn steeds sneller.
09:39
the bunny dances faster and faster.
249
579792
2539
09:42
So this was pretty fun.
250
582331
2529
Dat was lachen.
09:44
What we found
251
584860
1567
We zagen dat wachtwoordmeters werken.
09:46
was that password meters do work.
252
586427
3572
09:49
(Laughter)
253
589999
1801
(Gelach)
09:51
Most of the password meters were actually effective,
254
591800
3333
De meeste wachtwoordmeters waren effectief
09:55
and the dancing bunny was very effective too,
255
595133
2521
en het dansend konijn was ook erg effectief,
09:57
but the password meters that were the most effective
256
597654
2881
maar de effectiefste wachtwoordmeters
10:00
were the ones that made you work harder
257
600535
2355
waren die waar je harder moest werken
10:02
before they gave you that thumbs up and said
258
602890
1980
voordat je een opgestoken duim kreeg en geprezen werd.
10:04
you were doing a good job,
259
604870
1377
10:06
and in fact we found that most
260
606247
1512
We zagen dat de meeste wachtwoordmeters
10:07
of the password meters on the Internet today
261
607759
2281
op het internet te flauw zijn.
10:10
are too soft.
262
610040
952
10:10
They tell you you're doing a good job too early,
263
610992
2203
Ze zeggen te snel dat je het goed doet.
10:13
and if they would just wait a little bit
264
613195
1929
Als ze iets langer zouden wachten
10:15
before giving you that positive feedback,
265
615124
2049
voordat ze je postieve feedback gaven,
10:17
you probably would have better passwords.
266
617173
3160
dan zou je waarschijnlijk betere wachtwoorden maken.
10:20
Now another approach to better passwords, perhaps,
267
620333
3847
Een andere aanpak voor betere wachtwoorden is misschien
10:24
is to use pass phrases instead of passwords.
268
624180
2890
om zinnen te gebruiken in plaats van wachtwoorden.
10:27
So this was an xkcd cartoon from a couple of years ago,
269
627070
3418
Dit was een cartoon van xkcd van een paar jaar geleden.
10:30
and the cartoonist suggests
270
630488
1674
De tekenaar suggereert
10:32
that we should all use pass phrases,
271
632162
2196
dat we zinnen moeten gebruiken.
10:34
and if you look at the second row of this cartoon,
272
634358
3170
Als je naar de tweede rij kijkt,
10:37
you can see the cartoonist is suggesting
273
637528
1857
dan zie je dat de tekenaar aangeeft
10:39
that the pass phrase "correct horse battery staple"
274
639385
3441
dat de zin 'correct horse battery staple'
10:42
would be a very strong pass phrase
275
642826
2481
een erg sterk wachtwoord zou zijn
10:45
and something really easy to remember.
276
645307
1916
dat makkelijk te onthouden is.
10:47
He says, in fact, you've already remembered it.
277
647223
2797
Hij zegt dat je het al hebt onthouden.
10:50
And so we decided to do a research study
278
650020
2150
We besloten uit te zoeken
10:52
to find out whether this was true or not.
279
652170
2592
of dat waar was.
10:54
In fact, everybody who I talk to,
280
654762
1775
Iedereen aan wie ik zeg
10:56
who I mention I'm doing password research,
281
656537
2042
dat ik wachtwoordonderzoek doe,
10:58
they point out this cartoon.
282
658579
1400
wijst me op deze strip.
10:59
"Oh, have you seen it? That xkcd.
283
659979
1574
"Heb je die gezien? Van xkcd.
11:01
Correct horse battery staple."
284
661553
1602
Correct horse battery staple."
11:03
So we did the research study to see
285
663155
1806
We deden onderzoek
11:04
what would actually happen.
286
664961
2359
om te zien wat er zou gebeuren.
11:07
So in our study, we used Mechanical Turk again,
287
667320
3060
In ons onderzoek gebruikten we weer die Mechanische Turk.
11:10
and we had the computer pick the random words
288
670380
4167
We lieten de computer woorden kiezen
11:14
in the pass phrase.
289
674547
1100
voor de wachtwoordzin.
11:15
Now the reason we did this
290
675647
1153
De reden ervan was
11:16
is that humans are not very good
291
676800
1586
dat mensen slecht zijn in willekeurige woorden kiezen.
11:18
at picking random words.
292
678386
1384
11:19
If we asked a human to do it,
293
679770
1262
Als we een mens laten kiezen, kiest hij niet willekeurig.
11:21
they would pick things that were not very random.
294
681032
2998
11:24
So we tried a few different conditions.
295
684030
2032
We kozen een paar voorwaarden.
11:26
In one condition, the computer picked
296
686062
2090
Bij eentje koos de computer
11:28
from a dictionary of the very common words
297
688152
2216
uit een woordenlijst met normale Engelse woorden.
11:30
in the English language,
298
690368
1362
11:31
and so you'd get pass phrases like
299
691730
1764
Dan krijg je zinnen als
11:33
"try there three come."
300
693494
1924
"try there three come".
11:35
And we looked at that, and we said,
301
695418
1732
Dat leek ons niet makkelijk te onthouden.
11:37
"Well, that doesn't really seem very memorable."
302
697150
3050
11:40
So then we tried picking words
303
700200
2240
Toen lieten we woorden kiezen
11:42
that came from specific parts of speech,
304
702440
2521
uit specifieke woordsoorten, bijvoorbeeld
11:44
so how about noun-verb-adjective-noun.
305
704961
2182
substantief-werkwoord-adjectief-substantief.
11:47
That comes up with something that's sort of sentence-like.
306
707143
2577
Dan krijg je een soort zinnen.
11:49
So you can get a pass phrase like
307
709720
2070
Je krijgt dan een zin als
11:51
"plan builds sure power"
308
711790
1308
'plan builds sure power',
11:53
or "end determines red drug."
309
713098
2786
of 'end determines red drug'.
11:55
And these seemed a little bit more memorable,
310
715884
2676
Deze leken wat makkelijker te onthouden.
11:58
and maybe people would like those a little bit better.
311
718560
2822
Misschien wilde men die liever.
12:01
We wanted to compare them with passwords,
312
721382
2572
We wilden ze vergelijken met wachtwoorden.
12:03
and so we had the computer pick random passwords,
313
723954
3196
We lieten de computer willekeurig woorden kiezen.
12:07
and these were nice and short, but as you can see,
314
727150
1990
Deze waren kort en mooi, maar je ziet
12:09
they don't really look very memorable.
315
729140
2806
dat ze niet makkelijk te onthouden zijn.
12:11
And then we decided to try something called
316
731946
1396
Toen probeerden we iets wat een 'uitspreekbaar woord' heet.
12:13
a pronounceable password.
317
733342
1646
12:14
So here the computer picks random syllables
318
734988
2245
De computer neemt dan lettergrepen
12:17
and puts them together
319
737233
1134
en plakt ze aan elkaar.
12:18
so you have something sort of pronounceable,
320
738367
2475
Dan krijg je iets dat je kunt uitspreken,
12:20
like "tufritvi" and "vadasabi."
321
740842
2602
zoals 'tufritvi' en 'vadasabi'.
12:23
That one kind of rolls off your tongue.
322
743444
2147
Dat rolt zo van je tong.
12:25
So these were random passwords that were
323
745591
2216
Het waren willekeurige wachtwoorden
12:27
generated by our computer.
324
747807
2744
die uit de computer kwamen.
12:30
So what we found in this study was that, surprisingly,
325
750551
2978
We ontdekten met dit onderzoek, gek genoeg,
12:33
pass phrases were not actually all that good.
326
753529
3768
dat wachtwoordzinnen niet zo goed zijn.
12:37
People were not really better at remembering
327
757297
2793
Mensen kunnen niet veel beter de wachtwoordzinnen onthouden
12:40
the pass phrases than these random passwords,
328
760090
2953
dan willekeurige wachtwoorden.
12:43
and because the pass phrases are longer,
329
763043
2754
Omdat de wachtwoordzinnen langer zijn,
12:45
they took longer to type
330
765797
1226
duurt het typen langer
12:47
and people made more errors while typing them in.
331
767023
3010
en maakt men meer fouten.
12:50
So it's not really a clear win for pass phrases.
332
770033
3227
Wachtwoordzinnen zijn dus niet duidelijk beter.
12:53
Sorry, all of you xkcd fans.
333
773260
3345
Sorry, xkcd-liefhebbers.
12:56
On the other hand, we did find
334
776605
1892
Maar we vonden wel
12:58
that pronounceable passwords
335
778497
1804
dat uitspreekbare wachtwoorden
13:00
worked surprisingly well,
336
780301
1471
verrassend goed werkten.
13:01
and so we actually are doing some more research
337
781772
2418
We doen nu nog meer onderzoek
13:04
to see if we can make that approach work even better.
338
784190
3195
om te zien of we het beter kunnen aanpakken.
13:07
So one of the problems
339
787385
1812
Een van de problemen was
13:09
with some of the studies that we've done
340
789197
1623
dat sommige van onze onderzoeken
13:10
is that because they're all done
341
790820
1683
met de Mechanische Turk
13:12
using Mechanical Turk,
342
792503
1590
gedaan werden.
13:14
these are not people's real passwords.
343
794093
1812
Het zijn geen echte wachtwoorden.
13:15
They're the passwords that they created
344
795905
2105
Het zijn de wachtwoorden die men, of de computer,
13:18
or the computer created for them for our study.
345
798010
2495
voor het onderzoek maakte.
13:20
And we wanted to know whether people
346
800505
1568
We wilden weten of mensen hetzelfde deden
13:22
would actually behave the same way
347
802073
2312
13:24
with their real passwords.
348
804385
2227
met hun echte wachtwoorden.
13:26
So we talked to the information security office at Carnegie Mellon
349
806612
3681
We overlegden met de IT-afdeling van Carnegie Mellon
13:30
and asked them if we could have everybody's real passwords.
350
810293
3803
en vroegen of we alle wachtwoorden mochten hebben.
13:34
Not surprisingly, they were a little bit reluctant
351
814096
1754
Ze waren natuurlijk terughoudend
13:35
to share them with us,
352
815850
1550
om ze met ons te delen,
13:37
but we were actually able to work out
353
817400
1810
maar we mochten een systeem uitwerken
13:39
a system with them
354
819210
1040
13:40
where they put all of the real passwords
355
820250
2109
waarbij ze alle echte wachtwoorden
13:42
for 25,000 CMU students, faculty and staff,
356
822359
3091
van 25.000 studenten, professoren en medewerkers
13:45
into a locked computer in a locked room,
357
825450
2448
in een gesloten computer stopten
13:47
not connected to the Internet,
358
827898
1394
in een afgesloten kamer zonder internet.
13:49
and they ran code on it that we wrote
359
829292
1848
Ze lieten met een programma
13:51
to analyze these passwords.
360
831140
2152
deze wachtwoorden analyseren.
13:53
They audited our code.
361
833292
1326
Ze checkten ons programma.
13:54
They ran the code.
362
834618
1312
Ze lieten het draaien.
13:55
And so we never actually saw
363
835930
1738
Op die manier konden we nooit de wachtwoorden zien.
13:57
anybody's password.
364
837668
2817
We kregen interessante uitkomsten
14:00
We got some interesting results,
365
840485
1515
en de Tepper-studenten daar achteraan
14:02
and those of you Tepper students in the back
366
842000
1696
14:03
will be very interested in this.
367
843696
2875
zullen het interessant vinden.
14:06
So we found that the passwords created
368
846571
3731
We ontdekten dat de mensen
14:10
by people affiliated with the school of computer science
369
850302
2158
van Computerwetenschappen
14:12
were actually 1.8 times stronger
370
852460
2324
een 1,8 keer zo sterk wachtwoord hadden
14:14
than those affiliated with the business school.
371
854784
3738
als die van de business-school.
14:18
We have lots of other really interesting
372
858522
2040
Er kwam ook veel interessante
14:20
demographic information as well.
373
860562
2238
demografische informatie uit.
14:22
The other interesting thing that we found
374
862800
1846
Ook interessant was
14:24
is that when we compared the Carnegie Mellon passwords
375
864646
2440
dat tussen de wachtwoorden van Carnegie Mellon
14:27
to the Mechanical Turk-generated passwords,
376
867086
2283
en die van de Mechanische Turk
14:29
there was actually a lot of similarities,
377
869369
2619
weinig verschil bestond.
14:31
and so this helped validate our research method
378
871988
1948
Dat hielp de methode te valideren
14:33
and show that actually, collecting passwords
379
873936
2510
en liet zien dat het verzamelen van wachtwoorden
14:36
using these Mechanical Turk studies
380
876446
1808
met de Mechanische Turk
14:38
is actually a valid way to study passwords.
381
878254
2788
een geldige manier was om wachtwoorden te bestuderen.
14:41
So that was good news.
382
881042
2285
Dat was dus goed nieuws.
14:43
Okay, I want to close by talking about
383
883327
2414
Ik wil afsluiten met wat inzichten
14:45
some insights I gained while on sabbatical
384
885741
2068
die ik kreeg tijdens mijn sabbatical
14:47
last year in the Carnegie Mellon art school.
385
887809
3201
afgelopen jaar op de kunstfaculteit van Carnegie Mellon.
Een van de dingen die ik deed,
14:51
One of the things that I did
386
891010
1281
14:52
is I made a number of quilts,
387
892291
1524
was quilts maken.
14:53
and I made this quilt here.
388
893815
1548
Ik heb deze gemaakt.
14:55
It's called "Security Blanket."
389
895363
1899
Hij heet 'Veiligheidsdeken'.
14:57
(Laughter)
390
897262
2431
(Gelach)
14:59
And this quilt has the 1,000
391
899693
3095
Deze heeft de duizend meest gestolen wachtwoorden
15:02
most frequent passwords stolen
392
902788
2328
15:05
from the RockYou website.
393
905116
2571
van de website van RockYou.
15:07
And the size of the passwords is proportional
394
907687
2061
De grootte van het wachtwoord geeft aan
15:09
to how frequently they appeared
395
909748
1901
hoe vaak het gestolen is.
15:11
in the stolen dataset.
396
911649
2248
15:13
And what I did is I created this word cloud,
397
913897
2632
Ik heb deze woordenwolk gemaakt
15:16
and I went through all 1,000 words,
398
916529
2132
door alle 1000 woorden langs te gaan,
15:18
and I categorized them into
399
918661
1795
en in aparte thema's te groeperen.
15:20
loose thematic categories.
400
920456
2380
15:22
And it was, in some cases,
401
922836
1903
Soms was het moeilijk om uit te vinden
15:24
it was kind of difficult to figure out
402
924739
2038
15:26
what category they should be in,
403
926777
1755
in welke categorie ze moesten.
15:28
and then I color-coded them.
404
928532
1899
Daarna gaf ik ze een kleur.
15:30
So here are some examples of the difficulty.
405
930431
2619
Hier is een voorbeeld hoe lastig dat was:
15:33
So "justin."
406
933050
1181
'Justin'
15:34
Is that the name of the user,
407
934231
1829
Is dat de naam van de gebruiker?
15:36
their boyfriend, their son?
408
936060
1322
Haar vriendje of haar zoon?
15:37
Maybe they're a Justin Bieber fan.
409
937382
2888
Misschien wel een Justin Bieber-fan.
15:40
Or "princess."
410
940270
2225
Of 'princess'.
15:42
Is that a nickname?
411
942495
1635
Is dat een koosnaam?
Zijn het fans van de Disney-prinses?
15:44
Are they Disney princess fans?
412
944130
1595
15:45
Or maybe that's the name of their cat.
413
945725
3694
Of het is de naam van hun kat.
15:49
"Iloveyou" appears many times
414
949419
1655
'Iloveyou' verschijnt vaak,
15:51
in many different languages.
415
951074
1545
in allerlei talen.
15:52
There's a lot of love in these passwords.
416
952619
3735
Er zit veel liefde in deze wachtwoorden.
15:56
If you look carefully, you'll see there's also
417
956354
1680
Als je goed oplet, vind je ook wat vulgariteit,
15:58
some profanity,
418
958034
2267
16:00
but it was really interesting to me to see
419
960301
1950
maar ik vond het erg interessant
16:02
that there's a lot more love than hate
420
962251
2307
dat er meer liefde dan haat
16:04
in these passwords.
421
964558
2292
in deze wachtwoorden zat.
16:06
And there are animals,
422
966850
1490
En er zijn dieren,
16:08
a lot of animals,
423
968340
1360
veel dieren.
16:09
and "monkey" is the most common animal
424
969700
2304
'monkey' is het meestgebruikte dier.
16:12
and the 14th most popular password overall.
425
972004
3675
Het op 14 na meestgebruikte wachtwoord.
16:15
And this was really curious to me,
426
975679
2231
Dat vond ik heel bijzonder.
16:17
and I wondered, "Why are monkeys so popular?"
427
977910
2523
Ik vroeg me af waarom apen zo populair zijn.
16:20
And so in our last password study,
428
980433
3352
Telkens we tijdens ons laatste onderzoek iemand ontdekten
16:23
any time we detected somebody
429
983785
1686
16:25
creating a password with the word "monkey" in it,
430
985471
2649
die een wachtwoord had met 'monkey' erin,
16:28
we asked them why they had a monkey in their password.
431
988120
3030
vroegen we waarom ze dat hadden.
16:31
And what we found out --
432
991150
1910
We ontdekten --
16:33
we found 17 people so far, I think,
433
993060
2103
we vonden tot nu toe 17 mensen
die het woord 'monkey' hadden --
16:35
who have the word "monkey" --
434
995163
1283
16:36
We found out about a third of them said
435
996446
1812
We ontdekten dat een derde
16:38
they have a pet named "monkey"
436
998258
1740
een huisdier heeft dat 'monkey' heet.
16:39
or a friend whose nickname is "monkey,"
437
999998
2291
of een vriend met koosnaam 'monkey'.
16:42
and about a third of them said
438
1002289
1660
Een derde hield gewoon van apen.
16:43
that they just like monkeys
439
1003949
1533
16:45
and monkeys are really cute.
440
1005482
1638
en vond apen gewoon leuk.
16:47
And that guy is really cute.
441
1007120
3639
Dit ventje is echt schattig.
16:50
So it seems that at the end of the day,
442
1010759
3408
Het komt erop neer dat we bij het maken van wachtwoorden
16:54
when we make passwords,
443
1014167
1783
16:55
we either make something that's really easy
444
1015950
1974
iets maken dat makkelijk te typen is,
16:57
to type, a common pattern,
445
1017924
3009
een bekend patroon,
17:00
or things that remind us of the word password
446
1020933
2486
of iets dat herinnert aan het woord 'wachtwoord'
17:03
or the account that we've created the password for,
447
1023419
3312
of aan het account waar we het voor maken
17:06
or whatever.
448
1026731
2617
of 'watdanook'.
17:09
Or we think about things that make us happy,
449
1029348
2642
Of we denken aan dingen waar we blij van worden.
17:11
and we create our password
450
1031990
1304
We baseren ons wachtwoord
17:13
based on things that make us happy.
451
1033294
2238
op dingen waar we blij van worden.
17:15
And while this makes typing
452
1035532
2863
Hoewel dat het typen en onthouden
17:18
and remembering your password more fun,
453
1038395
2870
van je wachtwoord leuker maakt,
17:21
it also makes it a lot easier
454
1041265
1807
wordt het wel een stuk makkelijker
17:23
to guess your password.
455
1043072
1506
om je wachtwoord te raden.
17:24
So I know a lot of these TED Talks
456
1044578
1748
Ik weet dat TED Talks
17:26
are inspirational
457
1046326
1634
vaak inspirerend zijn
17:27
and they make you think about nice, happy things,
458
1047960
2461
en je doen denken aan fijne dingen,
17:30
but when you're creating your password,
459
1050421
1897
maar als je je wachtwoord maakt,
17:32
try to think about something else.
460
1052318
1991
probeer dan aan iets anders te denken.
17:34
Thank you.
461
1054309
1107
Dank je wel.
17:35
(Applause)
462
1055416
553
(Applaus)
Over deze website

Deze site laat u kennismaken met YouTube-video's die nuttig zijn om Engels te leren. U ziet Engelse lessen gegeven door topdocenten uit de hele wereld. Dubbelklik op de Engelse ondertitels op elke videopagina om de video af te spelen. De ondertitels scrollen synchroon met het afspelen van de video. Heeft u opmerkingen of verzoeken, neem dan contact met ons op via dit contactformulier.

https://forms.gle/WvT1wiN1qDtmnspy7