Lorrie Faith Cranor: What's wrong with your pa$$w0rd?
Лорри Фэйт Крэнор: Что не так с вашим паролем?
139,276 views ・ 2014-06-24
Пожалуйста, дважды щелкните на английские субтитры ниже, чтобы воспроизвести видео.
Переводчик: Anna Kotova
Редактор: Olga Dmitrochenkova
00:12
I am a computer science and engineering
professor here at Carnegie Mellon,
0
12535
3445
Я профессор информатики и инженерии здесь,
в Университете Карнеги-Меллон.
00:15
and my research focuses on
usable privacy and security,
1
15980
4248
Я занимаюсь исследованием
полезной конфиденциальности и безопасности,
00:20
and so my friends like to give me examples
2
20228
2768
поэтому друзья любят делиться со мной
00:22
of their frustrations with computing systems,
3
22996
2202
своими огорчениями,
связанными с компьютерами,
00:25
especially frustrations related to
4
25198
3354
особенно теми, которые касаются
00:28
unusable privacy and security.
5
28552
4112
бесполезной конфиденциальности
и безопасности.
00:32
So passwords are something that I hear a lot about.
6
32664
2711
Мне часто приходится
слышать о паролях.
00:35
A lot of people are frustrated with passwords,
7
35375
2880
Многих людей пароли расстраивают
00:38
and it's bad enough
8
38255
1694
уже одним тем, что приходится
00:39
when you have to have one really good password
9
39949
2644
придумывать действительно
хороший пароль,
00:42
that you can remember
10
42593
1822
который легко запомнить
00:44
but nobody else is going to be able to guess.
11
44415
2894
и который никому не взломать.
00:47
But what do you do when you have accounts
12
47309
1637
Но что, если у вас сотни учётных записей
00:48
on a hundred different systems
13
48946
1808
в различных системах,
00:50
and you're supposed to have a unique password
14
50754
2276
и нужно иметь уникальный пароль
00:53
for each of these systems?
15
53030
3037
для каждой из них?
00:56
It's tough.
16
56067
2184
Это нелёгкая задача.
00:58
At Carnegie Mellon, they used to make it
17
58251
1759
Раньше в Карнеги-Меллон
01:00
actually pretty easy for us
18
60010
1299
нам было довольно легко
01:01
to remember our passwords.
19
61309
1737
запоминать наши пароли.
01:03
The password requirement up through 2009
20
63046
2403
До 2009 года требовалось,
01:05
was just that you had to have a password
21
65449
2379
чтобы пароль
01:07
with at least one character.
22
67828
2211
содержал хотя бы один знак.
01:10
Pretty easy. But then they changed things,
23
70039
2888
Легко.
Но затем требования изменились,
01:12
and at the end of 2009, they announced
24
72927
2670
и с конца 2009 года
01:15
that we were going to have a new policy,
25
75597
2376
были введены новые правила,
01:17
and this new policy required
26
77973
1863
согласно которым
01:19
passwords that were at least eight characters long,
27
79836
2681
пароли должны состоять
хотя бы из 8 знаков,
01:22
with an uppercase letter, lowercase letter,
28
82517
1775
с одной заглавной,
одной строчной буквой,
01:24
a digit, a symbol,
29
84292
1288
цифрой, специальным символом,
01:25
you couldn't use the same
character more than three times,
30
85580
2638
нельзя использовать
один и тот же знак более трёх раз,
01:28
and it wasn't allowed to be in a dictionary.
31
88218
2434
и пароля не должно быть в словаре.
01:30
Now, when they implemented this new policy,
32
90652
2182
Когда новые правила были введены,
01:32
a lot of people, my colleagues and friends,
33
92834
2310
многие мои коллеги и друзья
01:35
came up to me and they said, "Wow,
34
95144
1854
пришли ко мне и сказали:
01:36
now that's really unusable.
35
96998
1512
«Ну и ну! Этим невозможно пользоваться!
01:38
Why are they doing this to us,
36
98510
1193
За что они с нами так поступают?
01:39
and why didn't you stop them?"
37
99703
1711
Почему ты их не остановила?»
01:41
And I said, "Well, you know what?
38
101414
1356
Я ответила: «Знаете что?
01:42
They didn't ask me."
39
102770
1508
Меня никто и не спрашивал».
01:44
But I got curious, and I decided to go talk
40
104278
3465
Но мне стало любопытно,
и я решила поговорить
01:47
to the people in charge of our computer systems
41
107743
1937
с людьми,
отвечающими за наши компьютеры,
01:49
and find out what led them to introduce
42
109680
2831
и выяснить, что же заставило их
01:52
this new policy,
43
112511
1848
ввести новые правила.
01:54
and they said that the university
44
114359
1584
Мне ответили, что университет
01:55
had joined a consortium of universities,
45
115943
2366
вступил в Ассоциацию университетов,
01:58
and one of the requirements of membership
46
118309
2634
и одним из требований для её членов
02:00
was that we had to have stronger passwords
47
120943
2248
является наличие
более надёжных паролей,
02:03
that complied with some new requirements,
48
123191
2272
отвечающих новым условиям.
02:05
and these requirements were that our passwords
49
125463
2104
Этим условием было наличие в паролях
02:07
had to have a lot of entropy.
50
127567
1604
информационной энтропии.
02:09
Now entropy is a complicated term,
51
129171
2278
Информационная энтропия —
сложный термин.
02:11
but basically it measures the strength of passwords.
52
131449
2798
Говоря проще, он показывает,
насколько надёжен пароль.
02:14
But the thing is, there isn't actually
53
134247
1979
Проблема в том, что не существует
02:16
a standard measure of entropy.
54
136226
1949
стандартной меры энтропии.
02:18
Now, the National Institute
of Standards and Technology
55
138175
2399
Национальный институт
стандартов и технологий
02:20
has a set of guidelines
56
140574
1553
имеет ряд инструкций,
02:22
which have some rules of thumb
57
142127
2568
содержащих общие правила
02:24
for measuring entropy,
58
144695
1440
измерения информационной энтропии,
02:26
but they don't have anything too specific,
59
146135
2895
однако они не носят
конкретного характера,
02:29
and the reason they only have rules of thumb
60
149030
2337
и причина этого в том,
02:31
is it turns out they don't actually have any good data
61
151367
3136
что у Института недостаточно данных
02:34
on passwords.
62
154503
1520
о паролях.
02:36
In fact, their report states,
63
156023
2312
Фактически, в их отчёте говорится:
02:38
"Unfortunately, we do not have much data
64
158335
2328
«К сожалению, мы не располагаем данными
02:40
on the passwords users
choose under particular rules.
65
160663
2842
о паролях, выбираемых пользователями
согласно правилам.
02:43
NIST would like to obtain more data
66
163505
2333
Институту хотелось бы получить
больше данных
02:45
on the passwords users actually choose,
67
165838
2462
о паролях,
которые выбираются на самом деле,
02:48
but system administrators
are understandably reluctant
68
168300
2463
но, по понятным причинам,
системные администраторы
02:50
to reveal password data to others."
69
170763
2940
делятся ими неохотно».
02:53
So this is a problem, but our research group
70
173703
3097
Задача трудная,
но наша исследовательская группа
02:56
looked at it as an opportunity.
71
176800
2140
увидела в ней хорошую возможность.
02:58
We said, "Well, there's a need
for good password data.
72
178940
3100
Мы сказали:
«Существует нехватка данных о паролях.
03:02
Maybe we can collect some good password data
73
182040
2148
Мы могли бы собрать такие данные
03:04
and actually advance the state of the art here.
74
184188
2704
и изменить положение дел».
03:06
So the first thing we did is,
75
186892
1672
Первое, что мы сделали, —
03:08
we got a bag of candy bars
76
188564
1556
мы взяли мешок с шоколадками
03:10
and we walked around campus
77
190120
1086
и прошлись по территории университета,
03:11
and talked to students, faculty and staff,
78
191206
2798
разговаривая со студентами
и преподавателями.
03:14
and asked them for information
79
194004
1530
Мы задавали им вопросы
03:15
about their passwords.
80
195534
1552
об их паролях.
03:17
Now we didn't say, "Give us your password."
81
197086
3004
Мы не просили их раскрывать пароли.
03:20
No, we just asked them about their password.
82
200090
2661
Мы просто спрашивали про них.
03:22
How long is it? Does it have a digit?
83
202751
1478
Какой они длины? Есть ли в них цифры?
03:24
Does it have a symbol?
84
204229
1068
Содержат ли они специальные символы?
03:25
And were you annoyed at having to create
85
205297
2045
Были ли вы раздражены,
когда вам пришлось
03:27
a new one last week?
86
207342
2744
создать новый пароль
на прошлой неделе?
03:30
So we got results from 470 students,
87
210086
3206
Мы собрали результаты опроса
470 студентов,
03:33
faculty and staff,
88
213292
971
преподавателей и сотрудников,
03:34
and indeed we confirmed that the new policy
89
214263
2514
и подтвердился тот факт,
что новые правила
03:36
was very annoying,
90
216777
1453
всех очень раздражали.
03:38
but we also found that people said
91
218230
1792
Но люди также говорили,
03:40
they felt more secure with these new passwords.
92
220022
3130
что с новыми паролями они чувствовали себя
более защищёнными.
03:43
We found that most people knew
93
223152
2306
Мы узнали,
что большинство людей знает,
03:45
they were not supposed to
write their password down,
94
225458
2152
что нельзя записывать свой пароль
на бумажку, —
03:47
and only 13 percent of them did,
95
227610
2391
так поступают только
13% опрошенных —
03:50
but disturbingly, 80 percent of people
96
230001
2416
но, что настораживает,
80% людей признались
03:52
said they were reusing their password.
97
232417
2124
в использовании одного пароля
по несколько раз.
03:54
Now, this is actually more dangerous
98
234541
1796
На самом деле, это ещё опаснее,
03:56
than writing your password down,
99
236337
2022
чем записывать пароль на бумажку,
03:58
because it makes you much
more susceptible to attackers.
100
238359
3561
потому что это делает вас
гораздо более уязвимыми перед хакерами.
04:01
So if you have to, write your passwords down,
101
241920
3118
Лучше уж записать пароль,
04:05
but don't reuse them.
102
245038
1799
но не использовать его повторно.
04:06
We also found some interesting things
103
246837
1751
Мы также узнали интересные факты о том,
04:08
about the symbols people use in passwords.
104
248588
2961
как люди используют в паролях
специальные символы.
04:11
So CMU allows 32 possible symbols,
105
251549
2799
В Карнеги-Меллон можно использовать
32 специальных символа,
04:14
but as you can see, there's only a small number
106
254348
2433
но, как видите,
только небольшое их число
04:16
that most people are using,
107
256781
1802
на самом деле используется,
04:18
so we're not actually getting very much strength
108
258583
2941
поэтому символы
не делают наши пароли
04:21
from the symbols in our passwords.
109
261524
2466
намного надёжнее.
04:23
So this was a really interesting study,
110
263990
2711
Это было интересное исследование:
04:26
and now we had data from 470 people,
111
266701
2464
мы получили данные от 470 человек,
04:29
but in the scheme of things,
112
269165
1305
но, по большому счёту,
04:30
that's really not very much password data,
113
270470
2580
это не так много,
04:33
and so we looked around to see
114
273050
1445
поэтому мы стали искать, где ещё
04:34
where could we find additional password data?
115
274495
2560
можно достать данные о паролях.
04:37
So it turns out there are a lot of people
116
277055
2176
Оказывается, полно людей,
04:39
going around stealing passwords,
117
279231
2202
занимающихся воровством паролей,
04:41
and they often go and post these passwords
118
281433
2477
и они часто публикуют их
04:43
on the Internet.
119
283910
1337
в Интернете.
04:45
So we were able to get access
120
285247
1673
Нам удалось заполучить
04:46
to some of these stolen password sets.
121
286920
3970
несколько таких подборок
украденных паролей.
04:50
This is still not really ideal for research, though,
122
290890
2328
Конечно, для исследования
это не идеальный вариант,
04:53
because it's not entirely clear
123
293218
2037
так как непонятно,
04:55
where all of these passwords came from,
124
295255
2184
откуда все эти пароли взялись
04:57
or exactly what policies were in effect
125
297439
2242
и какие правила действовали,
04:59
when people created these passwords.
126
299681
2108
когда люди их создавали.
05:01
So we wanted to find some better source of data.
127
301789
3552
Нам хотелось найти
источник данных получше.
05:05
So we decided that one thing we could do
128
305341
1634
Поэтому мы решили
05:06
is we could do a study and have people
129
306975
2129
провести исследование
и попросить людей
05:09
actually create passwords for our study.
130
309104
3240
по-настоящему создать для него пароли.
05:12
So we used a service called
Amazon Mechanical Turk,
131
312344
2821
Мы использовали сервис под названием
Amazon Mechanical Turk.
05:15
and this is a service where you can post
132
315165
2334
Он позволяет размещать
05:17
a small job online that takes a minute,
133
317499
2304
небольшие задания в интернете,
05:19
a few minutes, an hour,
134
319803
1500
занимающие минуту, пару минут
или час,
05:21
and pay people, a penny, ten cents, a few dollars,
135
321303
2584
и платить один, десять центов
или несколько долларов
05:23
to do a task for you,
136
323887
1346
за их выполнение
05:25
and then you pay them through Amazon.com.
137
325233
2122
через сайт amazon.com.
05:27
So we paid people about 50 cents
138
327355
2294
Мы платили людям около 50 центов
05:29
to create a password following our rules
139
329649
2596
за то, чтобы они создали пароль,
следуя нашим правилам,
05:32
and answering a survey,
140
332245
1410
и ответили на наши вопросы.
05:33
and then we paid them again to come back
141
333655
2525
Затем мы снова платили им за то,
чтобы они вернулись
05:36
two days later and log in
142
336180
2071
через два дня, вошли на сайт,
05:38
using their password and answering another survey.
143
338251
2574
используя свой пароль,
и ответили на другие вопросы.
05:40
So we did this, and we collected 5,000 passwords,
144
340825
4464
Мы собрали 5 000 паролей.
05:45
and we gave people a bunch of different policies
145
345289
2695
Мы задавали участникам
множество разных правил
05:47
to create passwords with.
146
347984
1508
создания паролей.
05:49
So some people had a pretty easy policy,
147
349492
1910
Некоторым попадалось
простое правило,
05:51
we call it Basic8,
148
351402
1539
мы называем его «Базовая восьмёрка»,
05:52
and here the only rule was that your password
149
352941
2146
единственное условие которого —
пароль должен содержать
05:55
had to have at least eight characters.
150
355087
3416
хотя бы 8 знаков.
05:58
Then some people had a much harder policy,
151
358503
2251
Некоторым попадались
правила посложнее,
06:00
and this was very similar to the CMU policy,
152
360754
2537
похожие на правила Карнеги-Меллон:
06:03
that it had to have eight characters
153
363291
1934
пароль должен содержать 8 знаков,
06:05
including uppercase, lowercase, digit, symbol,
154
365225
2376
включая заглавную и строчную буквы,
цифру, специальный символ,
06:07
and pass a dictionary check.
155
367601
2389
и пройти проверку словарём.
06:09
And one of the other policies we tried,
156
369990
1335
Другой набор правил —
06:11
and there were a whole bunch more,
157
371325
1270
а их было много —
06:12
but one of the ones we tried was called Basic16,
158
372595
2240
названный нами «Базовые шестнадцать»,
06:14
and the only requirement here
159
374835
2632
требовал только одно:
06:17
was that your password had
to have at least 16 characters.
160
377467
3153
пароль должен был содержать
хотя бы 16 знаков.
06:20
All right, so now we had 5,000 passwords,
161
380620
2458
Итак, у нас было 5 000 паролей,
06:23
and so we had much more detailed information.
162
383078
3563
более детальная информация.
06:26
Again we see that there's only a small number
163
386641
2559
И снова мы видим,
что существует лишь небольшое число
06:29
of symbols that people are actually using
164
389200
1915
специальных символов, используемых людьми
06:31
in their passwords.
165
391115
1886
в паролях.
06:33
We also wanted to get an idea of how strong
166
393001
2599
Мы также хотели понять,
насколько надёжны
06:35
the passwords were that people were creating,
167
395600
2771
были пароли,
созданные нашими участниками.
06:38
but as you may recall, there isn't a good measure
168
398371
2620
Но, как вы помните,
хорошего стандарта измерения
06:40
of password strength.
169
400991
1754
надёжности паролей не существует.
06:42
So what we decided to do was to see
170
402745
2312
Мы решили посмотреть,
06:45
how long it would take to crack these passwords
171
405057
2370
сколько времени займёт их расшифровка
06:47
using the best cracking tools
172
407427
1414
с помощью лучших приёмов
06:48
that the bad guys are using,
173
408841
1808
из арсенала злоумышленников
06:50
or that we could find information about
174
410649
2016
или тех способов,
о которых мы нашли информацию
06:52
in the research literature.
175
412665
1537
в научной литературе.
06:54
So to give you an idea of how bad guys
176
414202
2758
Как злоумышленники
06:56
go about cracking passwords,
177
416960
2170
взламывают пароли?
06:59
they will steal a password file
178
419130
1951
Они крадут файл, в котором содержатся
07:01
that will have all of the passwords
179
421081
2153
хеш-значения паролей, другими словами —
07:03
in kind of a scrambled form, called a hash,
180
423234
2889
пароли в зашифрованном виде.
07:06
and so what they'll do is they'll make a guess
181
426123
2562
Затем они пытаются
07:08
as to what a password is,
182
428685
1712
угадать пароль
07:10
run it through a hashing function,
183
430397
1897
с помощью хеш-функции
07:12
and see whether it matches
184
432294
1765
и смотрят, совпадает ли он
07:14
the passwords they have on
their stolen password list.
185
434059
3950
с паролями из украденного списка.
07:18
So a dumb attacker will try every password in order.
186
438009
3105
Не слишком умные хакеры
проверяют все пароли по порядку.
07:21
They'll start with AAAAA and move on to AAAAB,
187
441114
3568
Начиная с ААААА, затем ААААВ —
07:24
and this is going to take a really long time
188
444682
2418
пройдёт очень много времени
07:27
before they get any passwords
189
447100
1526
прежде чем они получат пароли,
07:28
that people are really likely to actually have.
190
448626
2697
которые реально создаются пользователями.
07:31
A smart attacker, on the other hand,
191
451323
2183
Толковые хакеры
07:33
does something much more clever.
192
453506
1386
действуют гораздо умнее.
07:34
They look at the passwords
193
454892
1826
Они берут пароли,
07:36
that are known to be popular
194
456718
1800
чаще всего встречающиеся
07:38
from these stolen password sets,
195
458518
1727
в украденных наборах хеш-значений паролей,
07:40
and they guess those first.
196
460245
1189
и начинают попытки взлома с них.
07:41
So they're going to start by guessing "password,"
197
461434
2134
Они начнут со слова «пароль»,
07:43
and then they'll guess "I love you," and "monkey,"
198
463568
2751
затем возьмут «я тебя люблю»
и «обезьянка»,
07:46
and "12345678,"
199
466319
2583
а затем «12345678».
07:48
because these are the passwords
200
468902
1312
Именно эти пароли
07:50
that are most likely for people to have.
201
470214
1905
люди выбирают чаще всего.
07:52
In fact, some of you probably have these passwords.
202
472119
3261
Наверняка у кого-то из вас
пароли именно такие.
07:57
So what we found
203
477191
1298
В своём исследовании,
07:58
by running all of these 5,000 passwords we collected
204
478489
3406
проверив все 5 000 собранных паролей
08:01
through these tests to see how strong they were,
205
481895
4106
с помощью тестов на надёжность,
08:06
we found that the long passwords
206
486001
2752
мы обнаружили, что длинные пароли
08:08
were actually pretty strong,
207
488753
1280
довольно надёжны.
08:10
and the complex passwords were pretty strong too.
208
490033
3262
Сложные пароли тоже.
08:13
However, when we looked at the survey data,
209
493295
2442
Однако результат опросов показал,
08:15
we saw that people were really frustrated
210
495737
3024
что сложные пароли
08:18
by the very complex passwords,
211
498761
2339
очень раздражают людей,
08:21
and the long passwords were a lot more usable,
212
501100
2630
а длинные пароли гораздо удобнее.
08:23
and in some cases, they were actually
213
503730
1325
В некоторых случаях длинные пароли
08:25
even stronger than the complex passwords.
214
505055
2908
оказывались даже надёжнее сложных.
08:27
So this suggests that,
215
507963
1169
Можно заключить,
08:29
instead of telling people that they need
216
509132
1703
что вместо того, чтобы
08:30
to put all these symbols and numbers
217
510835
1522
использовать специальные символы, цифры
08:32
and crazy things into their passwords,
218
512357
2842
и другие безумные штуки в паролях,
08:35
we might be better off just telling people
219
515199
2022
гораздо эффективнее
08:37
to have long passwords.
220
517221
2652
просто иметь длинные пароли.
08:39
Now here's the problem, though:
221
519873
1792
Однако здесь кроется проблема:
08:41
Some people had long passwords
222
521665
2255
некоторые длинные пароли
08:43
that actually weren't very strong.
223
523920
1555
были не так уж и надёжны.
08:45
You can make long passwords
224
525475
1997
Можно придумать длинный пароль,
08:47
that are still the sort of thing
225
527472
1556
который всё равно
08:49
that an attacker could easily guess.
226
529028
1742
будет с лёгкостью угадан взломщиком.
08:50
So we need to do more than
just say long passwords.
227
530770
3365
Получается, нужно что-то большее,
чем просто длинные пароли.
08:54
There has to be some additional requirements,
228
534135
1936
Нужны дополнительные условия.
08:56
and some of our ongoing research is looking at
229
536071
2969
Некоторые наши текущие исследования
08:59
what additional requirements we should add
230
539040
2439
изучают необходимые
дополнительные условия того,
09:01
to make for stronger passwords
231
541479
2104
как сделать пароли более надёжными
09:03
that also are going to be easy for people
232
543583
2312
и в тоже время лёгкими
09:05
to remember and type.
233
545895
2698
для запоминания
и набора на клавиатуре.
09:08
Another approach to getting people to have
234
548593
2126
Ещё один способ
заставить людей создавать
09:10
stronger passwords is to use a password meter.
235
550719
2257
надёжные пароли —
использовать индикатор надёжности.
09:12
Here are some examples.
236
552976
1385
Вот несколько примеров.
09:14
You may have seen these on the Internet
237
554361
1401
Возможно, вы видели их в Интернете,
09:15
when you were creating passwords.
238
555762
3057
когда создавали пароли.
09:18
We decided to do a study to find out
239
558819
2248
Мы решили исследовать,
09:21
whether these password meters actually work.
240
561067
2887
действительно ли
индикаторы надёжности работают.
09:23
Do they actually help people
241
563954
1421
Действительно ли они помогают
09:25
have stronger passwords,
242
565375
1453
создавать более надёжные пароли,
09:26
and if so, which ones are better?
243
566828
2086
и, если да, то какие индикаторы лучше?
09:28
So we tested password meters that were
244
568914
2507
Мы протестировали
индикаторы надёжности паролей
09:31
different sizes, shapes, colors,
245
571421
2098
различных размеров, форм и цветов,
09:33
different words next to them,
246
573519
1416
с разными инструкциями
09:34
and we even tested one that was a dancing bunny.
247
574935
3275
и даже с танцующим кроликом.
09:38
As you type a better password,
248
578210
1582
Когда вы вводите
более надёжный пароль,
09:39
the bunny dances faster and faster.
249
579792
2539
кролик начинает танцевать быстрее.
09:42
So this was pretty fun.
250
582331
2529
Довольно весело.
09:44
What we found
251
584860
1567
Мы обнаружили,
09:46
was that password meters do work.
252
586427
3572
что индикаторы
действительно работают.
09:49
(Laughter)
253
589999
1801
(Смех)
09:51
Most of the password meters were actually effective,
254
591800
3333
Большинство из них
довольно эффективны,
09:55
and the dancing bunny was very effective too,
255
595133
2521
танцующий кролик тоже,
09:57
but the password meters that were the most effective
256
597654
2881
но самые эффективные
индикаторы надёжности —
10:00
were the ones that made you work harder
257
600535
2355
те, которые заставляют вас попотеть,
10:02
before they gave you that thumbs up and said
258
602890
1980
прежде чем дают добро
10:04
you were doing a good job,
259
604870
1377
вашему паролю.
10:06
and in fact we found that most
260
606247
1512
Как оказалось, большинство
10:07
of the password meters on the Internet today
261
607759
2281
индикаторов надёжности
в сегодняшнем Интернете
10:10
are too soft.
262
610040
952
10:10
They tell you you're doing a good job too early,
263
610992
2203
не слишком строги.
Они слишком рано сообщают о том,
что вы на правильном пути.
10:13
and if they would just wait a little bit
264
613195
1929
Если бы они подождали
совсем чуть-чуть,
10:15
before giving you that positive feedback,
265
615124
2049
прежде чем выразить вам одобрение,
10:17
you probably would have better passwords.
266
617173
3160
ваш пароль, скорее всего,
был бы лучше.
10:20
Now another approach to better passwords, perhaps,
267
620333
3847
Ещё один вероятный путь
к надёжным паролям —
10:24
is to use pass phrases instead of passwords.
268
624180
2890
использование фраз вместо слов.
10:27
So this was an xkcd cartoon
from a couple of years ago,
269
627070
3418
Это комикс «xkcd»
примерно двухлетней давности.
10:30
and the cartoonist suggests
270
630488
1674
Его автор советует
10:32
that we should all use pass phrases,
271
632162
2196
использовать в паролях фразы.
10:34
and if you look at the second row of this cartoon,
272
634358
3170
Если вы посмотрите
на второй ряд комикса,
10:37
you can see the cartoonist is suggesting
273
637528
1857
то увидите, что автор предлагает
10:39
that the pass phrase "correct horse battery staple"
274
639385
3441
фразу «верно лошадь батарея скрепка»
10:42
would be a very strong pass phrase
275
642826
2481
в качестве надёжного пароля,
10:45
and something really easy to remember.
276
645307
1916
который очень легко запомнить.
10:47
He says, in fact, you've already remembered it.
277
647223
2797
Он говорит:
«Да вы это уже запомнили».
10:50
And so we decided to do a research study
278
650020
2150
Мы решили выяснить,
10:52
to find out whether this was true or not.
279
652170
2592
так ли это на самом деле.
10:54
In fact, everybody who I talk to,
280
654762
1775
Кстати, все,
с кем я разговариваю
10:56
who I mention I'm doing password research,
281
656537
2042
и упоминаю свою работу с паролями,
10:58
they point out this cartoon.
282
658579
1400
вспоминают этот комикс.
10:59
"Oh, have you seen it? That xkcd.
283
659979
1574
«Ты видела «xkcd»?
11:01
Correct horse battery staple."
284
661553
1602
Верно лошадь батарея скрепка».
11:03
So we did the research study to see
285
663155
1806
Мы провели исследование,
11:04
what would actually happen.
286
664961
2359
чтобы узнать,
как всё обстоит на самом деле.
11:07
So in our study, we used Mechanical Turk again,
287
667320
3060
Мы снова использовали сервис
Mechanical Turk
11:10
and we had the computer pick the random words
288
670380
4167
и заставили компьютер выдать
случайные слова
11:14
in the pass phrase.
289
674547
1100
для фразы-пароля.
11:15
Now the reason we did this
290
675647
1153
Мы сделали это потому,
11:16
is that humans are not very good
291
676800
1586
что люди не очень хорошо умеют
11:18
at picking random words.
292
678386
1384
подбирать слова случайно.
11:19
If we asked a human to do it,
293
679770
1262
Если бы мы попросили людей,
11:21
they would pick things that were not very random.
294
681032
2998
они бы подобрали слова,
не являющиеся случайными.
11:24
So we tried a few different conditions.
295
684030
2032
Мы протестировали
несколько разных условий.
11:26
In one condition, the computer picked
296
686062
2090
В одном случае
компьютер выбирал слова
11:28
from a dictionary of the very common words
297
688152
2216
из обычного словаря
11:30
in the English language,
298
690368
1362
английского языка.
11:31
and so you'd get pass phrases like
299
691730
1764
Получались фразы вроде
11:33
"try there three come."
300
693494
1924
«попытка там три приходить».
11:35
And we looked at that, and we said,
301
695418
1732
Мы подумали и сказали:
11:37
"Well, that doesn't really seem very memorable."
302
697150
3050
«Нет, это трудно запомнить».
11:40
So then we tried picking words
303
700200
2240
Тогда мы попытались подбирать слова,
11:42
that came from specific parts of speech,
304
702440
2521
являющиеся
определёнными частями речи, —
11:44
so how about noun-verb-adjective-noun.
305
704961
2182
существительное — глагол —
прилагательное — существительное.
11:47
That comes up with something
that's sort of sentence-like.
306
707143
2577
Это уже даёт нам что-то похожее
на предложение.
11:49
So you can get a pass phrase like
307
709720
2070
Можно получить фразу
11:51
"plan builds sure power"
308
711790
1308
«план строить твёрдую власть»
11:53
or "end determines red drug."
309
713098
2786
или «конец определяет
красное лекарство».
11:55
And these seemed a little bit more memorable,
310
715884
2676
Это оказалось легче запомнить,
11:58
and maybe people would like those a little bit better.
311
718560
2822
и, возможно, людям бы это
понравилось больше.
12:01
We wanted to compare them with passwords,
312
721382
2572
Мы хотели сравнить фразы-пароли
со словами
12:03
and so we had the computer
pick random passwords,
313
723954
3196
и заставили компьютер
сгенерировать случайные слова,
12:07
and these were nice and short, but as you can see,
314
727150
1990
которые были короткими,
но, как видите,
12:09
they don't really look very memorable.
315
729140
2806
не очень запоминающимися.
12:11
And then we decided to try something called
316
731946
1396
Тогда мы решили испытать то,
12:13
a pronounceable password.
317
733342
1646
что называется
«произносимый пароль».
12:14
So here the computer picks random syllables
318
734988
2245
Компьютер подбирает случайные слоги,
12:17
and puts them together
319
737233
1134
складывает их вместе,
12:18
so you have something sort of pronounceable,
320
738367
2475
и вы получаете нечто произносимое,
12:20
like "tufritvi" and "vadasabi."
321
740842
2602
например, «туфритви» или «вадасаби».
12:23
That one kind of rolls off your tongue.
322
743444
2147
Этот вообще приятно произносить.
12:25
So these were random passwords that were
323
745591
2216
Это случайные пароли,
12:27
generated by our computer.
324
747807
2744
сгенерированные нашим компьютером.
12:30
So what we found in this study was that, surprisingly,
325
750551
2978
Исследование показало,
как ни удивительно,
12:33
pass phrases were not actually all that good.
326
753529
3768
что пароли-фразы не так уж и хороши.
12:37
People were not really better at remembering
327
757297
2793
Люди на самом деле
не запоминали их лучше,
12:40
the pass phrases than these random passwords,
328
760090
2953
чем случайные пароли,
12:43
and because the pass phrases are longer,
329
763043
2754
а из-за того, что они длиннее,
12:45
they took longer to type
330
765797
1226
их приходилось дольше вводить,
12:47
and people made more errors while typing them in.
331
767023
3010
и люди при этом
совершали больше ошибок.
12:50
So it's not really a clear win for pass phrases.
332
770033
3227
То есть пароли-фразы не смогли одержать
явную победу.
12:53
Sorry, all of you xkcd fans.
333
773260
3345
Простите меня, фанаты «xkcd».
12:56
On the other hand, we did find
334
776605
1892
С другой стороны, мы убедились,
12:58
that pronounceable passwords
335
778497
1804
что произносимые пароли
13:00
worked surprisingly well,
336
780301
1471
работают на удивление хорошо,
13:01
and so we actually are doing some more research
337
781772
2418
и теперь мы проводим
больше исследований,
13:04
to see if we can make that
approach work even better.
338
784190
3195
чтобы узнать, можно ли этот подход
сделать ещё эффективнее.
13:07
So one of the problems
339
787385
1812
Одна из трудностей,
13:09
with some of the studies that we've done
340
789197
1623
возникших в этих исследованиях, —
13:10
is that because they're all done
341
790820
1683
то, что они все проводились
13:12
using Mechanical Turk,
342
792503
1590
с использованием сервиса
Mechanical Turk,
13:14
these are not people's real passwords.
343
794093
1812
это не были настоящие пароли.
13:15
They're the passwords that they created
344
795905
2105
Эти пароли создавались людьми
13:18
or the computer created for them for our study.
345
798010
2495
или компьютером
в исследовательских целях.
13:20
And we wanted to know whether people
346
800505
1568
Мы же хотели узнать, будут ли люди
13:22
would actually behave the same way
347
802073
2312
вести себя таким же образом,
13:24
with their real passwords.
348
804385
2227
придумывая настоящие пароли.
13:26
So we talked to the information
security office at Carnegie Mellon
349
806612
3681
Мы поговорили с отделом информационной
безопасности Карнеги-Меллон
13:30
and asked them if we could
have everybody's real passwords.
350
810293
3803
и спросили, можем ли мы получить
настоящие пароли пользователей.
13:34
Not surprisingly, they were a little bit reluctant
351
814096
1754
Как и следовало ожидать,
им не хотелось
13:35
to share them with us,
352
815850
1550
ничего нам раскрывать,
13:37
but we were actually able to work out
353
817400
1810
однако мы вместе смогли
13:39
a system with them
354
819210
1040
придумать выход:
13:40
where they put all of the real passwords
355
820250
2109
они собрали все настоящие пароли
13:42
for 25,000 CMU students, faculty and staff,
356
822359
3091
25 000 студентов,
преподавателей и персонала
13:45
into a locked computer in a locked room,
357
825450
2448
на защищённом компьютере
в запертой комнате
13:47
not connected to the Internet,
358
827898
1394
без подключения к Интернету.
13:49
and they ran code on it that we wrote
359
829292
1848
Была запущена
написанная нами программа
13:51
to analyze these passwords.
360
831140
2152
анализа паролей.
13:53
They audited our code.
361
833292
1326
Они сами проверили
13:54
They ran the code.
362
834618
1312
и запустили нашу программу.
13:55
And so we never actually saw
363
835930
1738
Так что мы даже не видели
13:57
anybody's password.
364
837668
2817
ни одного пароля своими глазами.
14:00
We got some interesting results,
365
840485
1515
Мы получили интересные результаты.
14:02
and those of you Tepper students in the back
366
842000
1696
Студентам Бизнес-школы Теппера
на заднем ряду
14:03
will be very interested in this.
367
843696
2875
будет очень интересно.
14:06
So we found that the passwords created
368
846571
3731
Обнаружилось, что пароли, созданные
14:10
by people affiliated with the
school of computer science
369
850302
2158
людьми из Школы информатики,
14:12
were actually 1.8 times stronger
370
852460
2324
были в 1,8 раза надёжнее,
14:14
than those affiliated with the business school.
371
854784
3738
чем пароли тех,
кто связан с Бизнес-школой.
14:18
We have lots of other really interesting
372
858522
2040
Мы получили и много другой
14:20
demographic information as well.
373
860562
2238
демографической информации.
14:22
The other interesting thing that we found
374
862800
1846
Интересно также,
14:24
is that when we compared
the Carnegie Mellon passwords
375
864646
2440
что, сравнив пароли Карнеги-Меллон
14:27
to the Mechanical Turk-generated passwords,
376
867086
2283
с паролями,
сгенерированными Mechanical Turk,
14:29
there was actually a lot of similarities,
377
869369
2619
мы нашли много похожего,
14:31
and so this helped validate our research method
378
871988
1948
убедились в правильности нашего метода
14:33
and show that actually, collecting passwords
379
873936
2510
и показали, что сбор паролей
14:36
using these Mechanical Turk studies
380
876446
1808
с помощью Mechanical Turk —
14:38
is actually a valid way to study passwords.
381
878254
2788
вполне достоверный способ
их изучать.
14:41
So that was good news.
382
881042
2285
Это хорошие новости.
14:43
Okay, I want to close by talking about
383
883327
2414
Я хочу завершить рассказом
14:45
some insights I gained while on sabbatical
384
885741
2068
о своих наблюдениях
во время творческого отпуска
14:47
last year in the Carnegie Mellon art school.
385
887809
3201
в Школе искусств Карнеги-Меллон
в прошлом году.
14:51
One of the things that I did
386
891010
1281
Помимо всего прочего,
14:52
is I made a number of quilts,
387
892291
1524
я сшила несколько лоскутных одеял,
14:53
and I made this quilt here.
388
893815
1548
таких как вот этот.
14:55
It's called "Security Blanket."
389
895363
1899
Он называется «Одеяло безопасности».
14:57
(Laughter)
390
897262
2431
(Смех)
14:59
And this quilt has the 1,000
391
899693
3095
На этом одеяле
15:02
most frequent passwords stolen
392
902788
2328
1 000 самых распространённых паролей,
украденных
15:05
from the RockYou website.
393
905116
2571
с сайта RockYou.
15:07
And the size of the passwords is proportional
394
907687
2061
Размер паролей
прямо пропорционален тому,
15:09
to how frequently they appeared
395
909748
1901
насколько часто они появляются
15:11
in the stolen dataset.
396
911649
2248
в украденных базах данных.
15:13
And what I did is I created this word cloud,
397
913897
2632
Я создала словарное облако,
15:16
and I went through all 1,000 words,
398
916529
2132
разобрала все 1 000 слов
15:18
and I categorized them into
399
918661
1795
и распределила их
15:20
loose thematic categories.
400
920456
2380
по достаточно свободным категориям.
15:22
And it was, in some cases,
401
922836
1903
В некоторых случаях
15:24
it was kind of difficult to figure out
402
924739
2038
было сложно определить,
15:26
what category they should be in,
403
926777
1755
к какой категории
принадлежит то или иное слово.
15:28
and then I color-coded them.
404
928532
1899
Каждой категории я задала свой цвет.
15:30
So here are some examples of the difficulty.
405
930431
2619
Вот пара примеров сложностей.
15:33
So "justin."
406
933050
1181
Слово «джастин».
15:34
Is that the name of the user,
407
934231
1829
Что это? Имя пользователя,
15:36
their boyfriend, their son?
408
936060
1322
или любимого человека, или сына?
15:37
Maybe they're a Justin Bieber fan.
409
937382
2888
Может, это поклонник Джастина Бибера?
15:40
Or "princess."
410
940270
2225
Или «принцесса».
15:42
Is that a nickname?
411
942495
1635
Это прозвище?
15:44
Are they Disney princess fans?
412
944130
1595
Придумано фанатом
диснеевских принцесс?
15:45
Or maybe that's the name of their cat.
413
945725
3694
Или это кошачье имя?
15:49
"Iloveyou" appears many times
414
949419
1655
«Ятебялюблю»
неоднократно появляется
15:51
in many different languages.
415
951074
1545
на многих языках.
15:52
There's a lot of love in these passwords.
416
952619
3735
Эти пароли дышат любовью.
15:56
If you look carefully, you'll see there's also
417
956354
1680
Если присмотреться, можно найти
15:58
some profanity,
418
958034
2267
и сквернословия.
16:00
but it was really interesting to me to see
419
960301
1950
Но интересно было то, что я увидела
16:02
that there's a lot more love than hate
420
962251
2307
гораздо больше любви, чем ненависти
16:04
in these passwords.
421
964558
2292
в этих паролях.
16:06
And there are animals,
422
966850
1490
Здесь есть и животные —
16:08
a lot of animals,
423
968340
1360
много животных —
16:09
and "monkey" is the most common animal
424
969700
2304
и «обезьянка» —
самое распространённое из них
16:12
and the 14th most popular password overall.
425
972004
3675
и 14-е в списке
самых популярных паролей.
16:15
And this was really curious to me,
426
975679
2231
Мне стало очень любопытно,
16:17
and I wondered, "Why are monkeys so popular?"
427
977910
2523
я подумала:
«Почему обезьянки так популярны?»
16:20
And so in our last password study,
428
980433
3352
В нашем последнем исследовании
16:23
any time we detected somebody
429
983785
1686
каждый раз, когда мы видели,
16:25
creating a password with the word "monkey" in it,
430
985471
2649
что кто-то создавал пароль
со словом «обезьянка»,
16:28
we asked them why they had
a monkey in their password.
431
988120
3030
мы спрашивали, почему.
16:31
And what we found out --
432
991150
1910
Мы обнаружили —
16:33
we found 17 people so far, I think,
433
993060
2103
а всего мы нашли 17 человек,
16:35
who have the word "monkey" --
434
995163
1283
использовавших это слово, —
16:36
We found out about a third of them said
435
996446
1812
около трети опрошенных сказали,
16:38
they have a pet named "monkey"
436
998258
1740
что их домашнего любимца
зовут Обезьянка
16:39
or a friend whose nickname is "monkey,"
437
999998
2291
или у них есть друг с таким прозвищем.
16:42
and about a third of them said
438
1002289
1660
Ещё треть людей сказали,
16:43
that they just like monkeys
439
1003949
1533
что им просто нравятся обезьянки,
16:45
and monkeys are really cute.
440
1005482
1638
они ведь действительно милые.
16:47
And that guy is really cute.
441
1007120
3639
Посмотрите, какой он хорошенький.
16:50
So it seems that at the end of the day,
442
1010759
3408
Кажется, в конечном итоге,
16:54
when we make passwords,
443
1014167
1783
когда мы придумываем пароль,
16:55
we either make something that's really easy
444
1015950
1974
мы либо создаём что-то очень простое
16:57
to type, a common pattern,
445
1017924
3009
для введения,
какую-то общую закономерность,
17:00
or things that remind us of the word password
446
1020933
2486
или что-то, что напоминает нам
само слово «пароль»,
17:03
or the account that we've created the password for,
447
1023419
3312
или саму учётную запись,
для которой мы его создаём,
17:06
or whatever.
448
1026731
2617
или «всёравно».
17:09
Or we think about things that make us happy,
449
1029348
2642
Либо же мы думаем о том,
что приносит нам счастье.
17:11
and we create our password
450
1031990
1304
Мы создаём пароль,
17:13
based on things that make us happy.
451
1033294
2238
исходя из того,
что делает нас счастливыми.
17:15
And while this makes typing
452
1035532
2863
И хотя это делает введение
17:18
and remembering your password more fun,
453
1038395
2870
и запоминание пароля
более занимательным,
17:21
it also makes it a lot easier
454
1041265
1807
это также делает его
17:23
to guess your password.
455
1043072
1506
более уязвимым.
17:24
So I know a lot of these TED Talks
456
1044578
1748
Многие выступления на TED
17:26
are inspirational
457
1046326
1634
вдохновляют
17:27
and they make you think about nice, happy things,
458
1047960
2461
и навевают мысли о прекрасных,
замечательных вещах.
17:30
but when you're creating your password,
459
1050421
1897
Но когда вы придумываете пароль,
17:32
try to think about something else.
460
1052318
1991
лучше подумайте о чём-нибудь другом.
17:34
Thank you.
461
1054309
1107
Спасибо.
17:35
(Applause)
462
1055416
553
(Аплодисменты)
New videos
Об этом сайте
Этот сайт познакомит вас с видеороликами YouTube, полезными для изучения английского языка. Вы увидите уроки английского языка, преподаваемые высококлассными учителями со всего мира. Дважды щелкните по английским субтитрам, отображаемым на каждой странице видео, чтобы воспроизвести видео оттуда. Субтитры прокручиваются синхронно с воспроизведением видео. Если у вас есть какие-либо комментарии или пожелания, пожалуйста, свяжитесь с нами, используя эту контактную форму.