Lorrie Faith Cranor: What's wrong with your pa$$w0rd?

139,435 views ・ 2014-06-24

TED


Videoyu oynatmak için lütfen aşağıdaki İngilizce altyazılara çift tıklayınız.

Çeviri: Enes Kutuk Gözden geçirme: Serap Çakıl
00:12
I am a computer science and engineering professor here at Carnegie Mellon,
0
12535
3445
Burada Carneige Mellon'da bilgisayar bilimi ve mühendisliği profesörüyüm
00:15
and my research focuses on usable privacy and security,
1
15980
4248
ve çalışmalarım ağırlıkla "kullanılabilir mahremiyet ve güvenlik" üzerine.
00:20
and so my friends like to give me examples
2
20228
2768
Bu yüzden arkadaşlarım bana,
00:22
of their frustrations with computing systems,
3
22996
2202
bilişim sistemlerindeki sıkıntılarından,
00:25
especially frustrations related to
4
25198
3354
özellikle de kullanışsız
00:28
unusable privacy and security.
5
28552
4112
mahremiyet ve güvenlikle ilgili sıkıntılarından örnekler vermeyi sever.
00:32
So passwords are something that I hear a lot about.
6
32664
2711
Hâliyle şifreler, hakkında çok konuşulduğunu duyduğum bir şey.
00:35
A lot of people are frustrated with passwords,
7
35375
2880
Çok kişi şifrelerle sıkıntı yaşıyor,
00:38
and it's bad enough
8
38255
1694
ve bu durum, hatırlayabileceğiniz
00:39
when you have to have one really good password
9
39949
2644
ancak başkasının tahmin edemeyeceği,
00:42
that you can remember
10
42593
1822
gerçekten iyi bir şifreniz
00:44
but nobody else is going to be able to guess.
11
44415
2894
olduğunda yeterince kötüdür.
00:47
But what do you do when you have accounts
12
47309
1637
Yüz farklı sistem üzerinde
00:48
on a hundred different systems
13
48946
1808
hesaplarınız olsa
00:50
and you're supposed to have a unique password
14
50754
2276
ve her bir sistem için
00:53
for each of these systems?
15
53030
3037
benzersiz bir şifreniz olması gerekse ne yaparsınız?
00:56
It's tough.
16
56067
2184
Çok zor.
00:58
At Carnegie Mellon, they used to make it
17
58251
1759
Carnegie Mellon'da
01:00
actually pretty easy for us
18
60010
1299
şifreleri hatırlamamız için
01:01
to remember our passwords.
19
61309
1737
çok kolay bir yöntem uyguluyorlardı.
01:03
The password requirement up through 2009
20
63046
2403
2009 yılına kadar şifre koşulu
01:05
was just that you had to have a password
21
65449
2379
şifrenizin sadece
01:07
with at least one character.
22
67828
2211
en az bir karakterli olmasıydı.
01:10
Pretty easy. But then they changed things,
23
70039
2888
Oldukça kolay. Fakat sonra bazı şeyleri değiştirdiler.
01:12
and at the end of 2009, they announced
24
72927
2670
2009 yılının sonunda yeni bir şifre
01:15
that we were going to have a new policy,
25
75597
2376
politikasının uygulamasına geçileceğini
01:17
and this new policy required
26
77973
1863
ve yeni şifre politikasında
01:19
passwords that were at least eight characters long,
27
79836
2681
şifrelerin en az sekiz karakter uzunluğunda olacağını,
01:22
with an uppercase letter, lowercase letter,
28
82517
1775
en az bir büyük harf ve küçük harf,
01:24
a digit, a symbol,
29
84292
1288
bir rakam ve sembol içermesi,
01:25
you couldn't use the same character more than three times,
30
85580
2638
aynı karakterin üç defadan fazla kullanılmaması gerektiği
01:28
and it wasn't allowed to be in a dictionary.
31
88218
2434
ve sözlükte yer alan bir kelimeye izin verilmeyeceğini duyurdular.
01:30
Now, when they implemented this new policy,
32
90652
2182
Şu anda yeni şifre politikasını uygulamaya başladıklarında,
01:32
a lot of people, my colleagues and friends,
33
92834
2310
birçok kişi, meslektaşlarım ve arkadaşlarım
01:35
came up to me and they said, "Wow,
34
95144
1854
bana gelip: "Of,
01:36
now that's really unusable.
35
96998
1512
gerçekten kullanışsız.
01:38
Why are they doing this to us,
36
98510
1193
Bunu bize neden yapıyorlar?
01:39
and why didn't you stop them?"
37
99703
1711
Ve sen neden onları engellemedin?" demişlerdi.
01:41
And I said, "Well, you know what?
38
101414
1356
Ve ben dedim ki: "Bak ne diyeceğim?
01:42
They didn't ask me."
39
102770
1508
Bana sormadılar."
01:44
But I got curious, and I decided to go talk
40
104278
3465
Fakat merak ettim ve gidip
01:47
to the people in charge of our computer systems
41
107743
1937
bilişim sistemlerinden sorumlu kişilerle
01:49
and find out what led them to introduce
42
109680
2831
konuşmaya ve yeni sisteme geçmelerine neyin sebep olduğunu
01:52
this new policy,
43
112511
1848
öğrenmeye karar verdim.
01:54
and they said that the university
44
114359
1584
Bana üniversitenin
01:55
had joined a consortium of universities,
45
115943
2366
Üniversiteler Birliği'ne üye olduğunu
01:58
and one of the requirements of membership
46
118309
2634
ve üyelik şartlarından birinin, bazı yeni
02:00
was that we had to have stronger passwords
47
120943
2248
gereksinimlere uyumlu, güçlü şifrelerimizin
02:03
that complied with some new requirements,
48
123191
2272
olmasını gerektirdiğini ve bu gereksinimlerin
02:05
and these requirements were that our passwords
49
125463
2104
şifrelerimizin daha entropik olması
02:07
had to have a lot of entropy.
50
127567
1604
anlamına geldiğini söylediler.
02:09
Now entropy is a complicated term,
51
129171
2278
Entropi karmaşık bir terim
02:11
but basically it measures the strength of passwords.
52
131449
2798
fakat temelde entropi, şifrelerin gücünü ölçer.
02:14
But the thing is, there isn't actually
53
134247
1979
Fakat mesele şu ki; aslında
02:16
a standard measure of entropy.
54
136226
1949
entropinin standart bir ölçüsü yok.
02:18
Now, the National Institute of Standards and Technology
55
138175
2399
Ulusal Standartlar ve Teknoloji Enstitüsü'nün
02:20
has a set of guidelines
56
140574
1553
entropiyi ölçmek üzere
02:22
which have some rules of thumb
57
142127
2568
kabul görmüş bir takım
02:24
for measuring entropy,
58
144695
1440
pratik kılavuzları var.
02:26
but they don't have anything too specific,
59
146135
2895
Fakat bunlar çok detaylı değiller
02:29
and the reason they only have rules of thumb
60
149030
2337
ve sadece pratik kılavuzlarının olmasının sebebi
02:31
is it turns out they don't actually have any good data
61
151367
3136
aslında şifreler üzerine yeterli veriye
02:34
on passwords.
62
154503
1520
sahip olmamalarıdır.
02:36
In fact, their report states,
63
156023
2312
Aslında raporlarında
02:38
"Unfortunately, we do not have much data
64
158335
2328
"Maalesef, kullanıcıların belirli kurallarla
02:40
on the passwords users choose under particular rules.
65
160663
2842
oluşturdukları şifrelerle ilgili elimizde çok veri yok.
02:43
NIST would like to obtain more data
66
163505
2333
NIST, kullanıcıların gerçekten seçtikleri
02:45
on the passwords users actually choose,
67
165838
2462
şifrelerden daha fazla veri edinmek istiyor,
02:48
but system administrators are understandably reluctant
68
168300
2463
fakat sistem yöneticileri, şifre bilgilerini
02:50
to reveal password data to others."
69
170763
2940
başkalarıyla paylaşmaya doğal olarak isteksizler."
02:53
So this is a problem, but our research group
70
173703
3097
Bu bir problem fakat araştırma ekibimiz
02:56
looked at it as an opportunity.
71
176800
2140
bunu bir fırsat olarak gördü.
02:58
We said, "Well, there's a need for good password data.
72
178940
3100
Dedik ki: "Evet iyi bir şifre verisine ihtiyacımız var.
03:02
Maybe we can collect some good password data
73
182040
2148
Belki bunu toplayabilir ve gerçekten
03:04
and actually advance the state of the art here.
74
184188
2704
daha ileriye taşıyabiliriz.
03:06
So the first thing we did is,
75
186892
1672
Böylece yaptığımız ilk şey,
03:08
we got a bag of candy bars
76
188564
1556
bir paket dolusu çikolata aldık
03:10
and we walked around campus
77
190120
1086
ve kampüsün içinde dolaştık.
03:11
and talked to students, faculty and staff,
78
191206
2798
Öğrencilerle, hocalarla, çalışanlarla konuştuk,
03:14
and asked them for information
79
194004
1530
onlardan şifreleri
03:15
about their passwords.
80
195534
1552
hakkında bilgi istedik.
03:17
Now we didn't say, "Give us your password."
81
197086
3004
Pekala "Bize şifrenizi verin" demedik.
03:20
No, we just asked them about their password.
82
200090
2661
Sadece şifreleri hakkında soru sorduk.
03:22
How long is it? Does it have a digit?
83
202751
1478
Ne kadar uzun? Bir rakam,
03:24
Does it have a symbol?
84
204229
1068
bir sembol içeriyor mu?
03:25
And were you annoyed at having to create
85
205297
2045
Ve son bir hafta içerisinde yeni bir şifre
03:27
a new one last week?
86
207342
2744
oluştururken sinir oldunuz mu?
03:30
So we got results from 470 students,
87
210086
3206
470 öğrenci, öğretmen ve çalışandan
03:33
faculty and staff,
88
213292
971
verileri topladık
03:34
and indeed we confirmed that the new policy
89
214263
2514
ve teyit ettik ki yeni şifre politikası
03:36
was very annoying,
90
216777
1453
oldukça can sıkıcı
03:38
but we also found that people said
91
218230
1792
fakat insanların bu şifrelerle
03:40
they felt more secure with these new passwords.
92
220022
3130
kendilerini daha güvende hissettiklerini de gördük.
03:43
We found that most people knew
93
223152
2306
Gördük ki; çoğu kişi şifrelerini
03:45
they were not supposed to write their password down,
94
225458
2152
bir yere yazmamaları gerektiğini biliyordu
03:47
and only 13 percent of them did,
95
227610
2391
ve sadece yüzde 13'ü yazıyordu.
03:50
but disturbingly, 80 percent of people
96
230001
2416
Fakat endişelendiren husus yüzde 80'inin
03:52
said they were reusing their password.
97
232417
2124
eski şifrelerini tekrar kullandığını söylemesiydi.
03:54
Now, this is actually more dangerous
98
234541
1796
Aslında bu, şifreleri
03:56
than writing your password down,
99
236337
2022
bir yere yazmaktan daha tehlikeli.
03:58
because it makes you much more susceptible to attackers.
100
238359
3561
Çünkü bu durum sizi saldırganlara karşı açık duruma getirecektir.
04:01
So if you have to, write your passwords down,
101
241920
3118
Yani eğer zorundaysan, şifreleri bir yere yaz
04:05
but don't reuse them.
102
245038
1799
ama onları tekrar kullanma.
04:06
We also found some interesting things
103
246837
1751
Ayrıca insanların şifrelerinde
04:08
about the symbols people use in passwords.
104
248588
2961
kullandıkları sembollerle ilgili ilginç şeyler de gördük.
04:11
So CMU allows 32 possible symbols,
105
251549
2799
Şimdi, CMU 32 farklı sembole izin veriyor
04:14
but as you can see, there's only a small number
106
254348
2433
ancak görüldüğü üzere, çoğu kişinin kullandığı
04:16
that most people are using,
107
256781
1802
sadece bir küçük numara var.
04:18
so we're not actually getting very much strength
108
258583
2941
Yani aslında, şifremizdeki sembollerden
04:21
from the symbols in our passwords.
109
261524
2466
çok fazla güç elde edemiyoruz.
04:23
So this was a really interesting study,
110
263990
2711
Evet, bu çok ilginç bir çalışma
04:26
and now we had data from 470 people,
111
266701
2464
ve şu anda 470 kişiden bilgi aldık,
04:29
but in the scheme of things,
112
269165
1305
ama bunların düzeninde,
04:30
that's really not very much password data,
113
270470
2580
aslında çok fazla şifre verisi yok
04:33
and so we looked around to see
114
273050
1445
dolayısıyla biz de daha fazla
04:34
where could we find additional password data?
115
274495
2560
veriyi nerden bulabileceğimize baktık.
04:37
So it turns out there are a lot of people
116
277055
2176
Sonra ortaya çıktı ki birçok kişi
04:39
going around stealing passwords,
117
279231
2202
etraftan şifreleri çalıyor,
04:41
and they often go and post these passwords
118
281433
2477
ve ekserisi bunları internete
04:43
on the Internet.
119
283910
1337
yolluyor.
04:45
So we were able to get access
120
285247
1673
Tabii biz de çalınmış şifrelerden
04:46
to some of these stolen password sets.
121
286920
3970
bazılarına erişebildik.
04:50
This is still not really ideal for research, though,
122
290890
2328
Yine de ideal bir araştırma değil gerçi
04:53
because it's not entirely clear
123
293218
2037
çünkü şifrenin nereden geldiği
04:55
where all of these passwords came from,
124
295255
2184
veya kullanıcıların bu şifreleri oluştururken
04:57
or exactly what policies were in effect
125
297439
2242
hangi kurallardan etkilendiği
04:59
when people created these passwords.
126
299681
2108
tamamen açık değil.
05:01
So we wanted to find some better source of data.
127
301789
3552
Bu yüzden daha iyi veri kaynağı bulmak istedik.
05:05
So we decided that one thing we could do
128
305341
1634
Ve bir çalışma oluşturup,
05:06
is we could do a study and have people
129
306975
2129
insanların çalışmamız için şifre oluşturmalarını
05:09
actually create passwords for our study.
130
309104
3240
sağlayabileceğimize karar verdik.
05:12
So we used a service called Amazon Mechanical Turk,
131
312344
2821
Bunun için, bir dakika, birkaç dakika ya da bir saatlik
05:15
and this is a service where you can post
132
315165
2334
online, küçük işler yollanabilen,
05:17
a small job online that takes a minute,
133
317499
2304
her görev karşılığında bir sent, on sent,
05:19
a few minutes, an hour,
134
319803
1500
ya da birkaç dolar verilen,
05:21
and pay people, a penny, ten cents, a few dollars,
135
321303
2584
ve ödemenin Amazon.com üzerinden yapıldığı
05:23
to do a task for you,
136
323887
1346
"Amazon Mechanical Turk" denilen
05:25
and then you pay them through Amazon.com.
137
325233
2122
servisi kulllandık.
05:27
So we paid people about 50 cents
138
327355
2294
Ve kurallarımıza göre şifreler oluşturup
05:29
to create a password following our rules
139
329649
2596
bir anketi cevaplayan kişilere
05:32
and answering a survey,
140
332245
1410
yaklaşık 50 sent ödedik.
05:33
and then we paid them again to come back
141
333655
2525
Ardından 2 gün sonra geri dönüp
05:36
two days later and log in
142
336180
2071
şifreleriyle giriş yapan ve farklı bir
05:38
using their password and answering another survey.
143
338251
2574
anketi cevaplayan kişilere tekrar ödeme yaptık.
05:40
So we did this, and we collected 5,000 passwords,
144
340825
4464
Ve bunu yaparak 5000 şifre topladık,
05:45
and we gave people a bunch of different policies
145
345289
2695
insanlara, şifrelerini oluşturmak için
05:47
to create passwords with.
146
347984
1508
bir takım kurallar verdik.
05:49
So some people had a pretty easy policy,
147
349492
1910
Bazı kişiler Basic8 dediğimiz
05:51
we call it Basic8,
148
351402
1539
basit bir kurala sahipti.
05:52
and here the only rule was that your password
149
352941
2146
görüldüğü gibi bundaki tek kural
05:55
had to have at least eight characters.
150
355087
3416
şifrelerinin en az sekiz karakterden oluşmasıydı.
05:58
Then some people had a much harder policy,
151
358503
2251
Bazılarına da CMU'daki kurallara benzer
06:00
and this was very similar to the CMU policy,
152
360754
2537
daha zor kurallar verdik:
06:03
that it had to have eight characters
153
363291
1934
en az sekiz karakterli,
06:05
including uppercase, lowercase, digit, symbol,
154
365225
2376
büyük - küçük harf, sayı ve sembol içeren,
06:07
and pass a dictionary check.
155
367601
2389
sözlüklerde bulunmayan şifreler gibi.
06:09
And one of the other policies we tried,
156
369990
1335
Denediğimiz kurallardan biri
06:11
and there were a whole bunch more,
157
371325
1270
-daha birçok kural vardı-
06:12
but one of the ones we tried was called Basic16,
158
372595
2240
ama bunlardan Basic 16 denen kuralda
06:14
and the only requirement here
159
374835
2632
aranan tek şart
06:17
was that your password had to have at least 16 characters.
160
377467
3153
şifrenin en az 16 karakterden oluşmasıydı.
06:20
All right, so now we had 5,000 passwords,
161
380620
2458
Evet, artık 5000 şifremiz
06:23
and so we had much more detailed information.
162
383078
3563
ve çok daha detaylı bilgiye sahibiz.
06:26
Again we see that there's only a small number
163
386641
2559
İnsanların şifrelerinde sembollerden
06:29
of symbols that people are actually using
164
389200
1915
sadece bir tanesini kullandıklarını
06:31
in their passwords.
165
391115
1886
tekrar gördük.
06:33
We also wanted to get an idea of how strong
166
393001
2599
Aynı zamanda oluşturulan şifrelerin ne kadar
06:35
the passwords were that people were creating,
167
395600
2771
güçlü oldukları hakkında bilgi sahibi olmak da istedik,
06:38
but as you may recall, there isn't a good measure
168
398371
2620
Hatırlayacağınız üzere, şifrelerin gücünün
06:40
of password strength.
169
400991
1754
iyi bir ölçüsü yok.
06:42
So what we decided to do was to see
170
402745
2312
Bu yüzden, kötü insanların kullandığı
06:45
how long it would take to crack these passwords
171
405057
2370
veya araştırma literatüründe
06:47
using the best cracking tools
172
407427
1414
bilgi bulabildiğimiz
06:48
that the bad guys are using,
173
408841
1808
en iyi şifre kırma yöntemleriyle
06:50
or that we could find information about
174
410649
2016
şifreleri kırmanın ne kadar süreceğine
06:52
in the research literature.
175
412665
1537
bakmaya karar verdik.
06:54
So to give you an idea of how bad guys
176
414202
2758
Kötü insanların şifreleri nasıl kırdığı
06:56
go about cracking passwords,
177
416960
2170
hakkında bilgi sahibi olmanız adına,
06:59
they will steal a password file
178
419130
1951
hash (kargaşa) denilen karmaşık form benzeri
07:01
that will have all of the passwords
179
421081
2153
bütün şifreleri içeren
07:03
in kind of a scrambled form, called a hash,
180
423234
2889
şifre dosyalarını çalıyorlar,
07:06
and so what they'll do is they'll make a guess
181
426123
2562
ardından şifreyi bulmak için
07:08
as to what a password is,
182
428685
1712
hashing fonksiyonu üzerinden
07:10
run it through a hashing function,
183
430397
1897
tahmin yapıyorlar
07:12
and see whether it matches
184
432294
1765
ve şifrenin, kendilerinde bulunan
07:14
the passwords they have on their stolen password list.
185
434059
3950
çalınmış şifre listesindekilerle eşleşip eşleşmediğine bakıyorlar.
07:18
So a dumb attacker will try every password in order.
186
438009
3105
Evet, ahmak bir saldırgan bütün olasılıkları sırayla dener.
07:21
They'll start with AAAAA and move on to AAAAB,
187
441114
3568
AAAAA ile başlar ve AAAAB ile devam eder,
07:24
and this is going to take a really long time
188
444682
2418
ve insanların aslında kullandıkları
07:27
before they get any passwords
189
447100
1526
şifrelere benzer şifrelere
07:28
that people are really likely to actually have.
190
448626
2697
ulaşmak çok uzun zaman alır.
07:31
A smart attacker, on the other hand,
191
451323
2183
Diğer taraftan akıllı bir saldırgan
07:33
does something much more clever.
192
453506
1386
çok daha zekice bir şey yapar.
07:34
They look at the passwords
193
454892
1826
Çalınmış şifre setlerinden
07:36
that are known to be popular
194
456718
1800
popüler olarak
07:38
from these stolen password sets,
195
458518
1727
bilinen şifrelere bakar ve
07:40
and they guess those first.
196
460245
1189
önce onları tahmin eder.
07:41
So they're going to start by guessing "password,"
197
461434
2134
Yani "şifre" ile tahmine başlar,
07:43
and then they'll guess "I love you," and "monkey,"
198
463568
2751
"seni seviyorum", "maymun" ve "12345678"
07:46
and "12345678,"
199
466319
2583
ile devam eder
07:48
because these are the passwords
200
468902
1312
çünkü bunlar insanların
07:50
that are most likely for people to have.
201
470214
1905
kullandıkları şifreler olması çok olası.
07:52
In fact, some of you probably have these passwords.
202
472119
3261
Hatta sizlerden bazıları bunları kullanıyor olabilir.
07:57
So what we found
203
477191
1298
Böylece, topladığımız
07:58
by running all of these 5,000 passwords we collected
204
478489
3406
5000 şifreden hepsini, ne kadar güçlü olduklarını
08:01
through these tests to see how strong they were,
205
481895
4106
görmek için bu testlerden
geçirdiğimizde gördüğümüz
08:06
we found that the long passwords
206
486001
2752
uzun şifrelerin aslında bayağı güçlü olduğudur,
08:08
were actually pretty strong,
207
488753
1280
08:10
and the complex passwords were pretty strong too.
208
490033
3262
karmaşık şifreler de oldukça güçlü,
08:13
However, when we looked at the survey data,
209
493295
2442
ancak anket verilerine baktığımızda,
08:15
we saw that people were really frustrated
210
495737
3024
insanların karmaşık şifrelerden
08:18
by the very complex passwords,
211
498761
2339
epeyce bıktıklarını,
08:21
and the long passwords were a lot more usable,
212
501100
2630
uzun şifrelerin çok daha kullanışlı,
08:23
and in some cases, they were actually
213
503730
1325
hatta bazı durumlarda
08:25
even stronger than the complex passwords.
214
505055
2908
karmaşık şifrelerden daha güçlü olduklarını gördük.
08:27
So this suggests that,
215
507963
1169
Bu durum insanlara
08:29
instead of telling people that they need
216
509132
1703
şifrelerinde sembol, numara
08:30
to put all these symbols and numbers
217
510835
1522
ve çılgınca şeyler kullanmalarını
08:32
and crazy things into their passwords,
218
512357
2842
söylemek yerine
uzun şifre kullanmalarına teşvik etmenin
08:35
we might be better off just telling people
219
515199
2022
daha iyi olabileceğini gösteriyor.
08:37
to have long passwords.
220
517221
2652
08:39
Now here's the problem, though:
221
519873
1792
Gerçi buradaki problem:
08:41
Some people had long passwords
222
521665
2255
bazı insanların çok güçlü olmayan
08:43
that actually weren't very strong.
223
523920
1555
uzun şifrelere sahip olması.
08:45
You can make long passwords
224
525475
1997
Sonuçta saldırganın
08:47
that are still the sort of thing
225
527472
1556
kolayca tahmin edebileceği türden
08:49
that an attacker could easily guess.
226
529028
1742
uzun şifreler oluşturabilirsiniz.
08:50
So we need to do more than just say long passwords.
227
530770
3365
O zaman uzun şifreden daha fazlasına ihtiyacımız var.
08:54
There has to be some additional requirements,
228
534135
1936
Bazı ek şartlar gerekiyor ki,
08:56
and some of our ongoing research is looking at
229
536071
2969
devam eden araştırmalarımızdan bazıları,
08:59
what additional requirements we should add
230
539040
2439
daha güçlü ve aynı zamanda
09:01
to make for stronger passwords
231
541479
2104
insanların kolayca hatırlayıp yazacakları
09:03
that also are going to be easy for people
232
543583
2312
şifreler için ne gibi şartlar
09:05
to remember and type.
233
545895
2698
eklememiz gerektiğine bakıyor.
09:08
Another approach to getting people to have
234
548593
2126
İnsanların daha güçlü şifre kullanmalarına
09:10
stronger passwords is to use a password meter.
235
550719
2257
diğer yaklaşım, şifre ölçer kullanmaktır.
09:12
Here are some examples.
236
552976
1385
İşte bazı örnekler.
09:14
You may have seen these on the Internet
237
554361
1401
Şifre oluştururken
09:15
when you were creating passwords.
238
555762
3057
bunları internette görmüş olabilirsiniz.
09:18
We decided to do a study to find out
239
558819
2248
Bu şifre ölçerlerin gerçekten çalışıp çalışmadığını
09:21
whether these password meters actually work.
240
561067
2887
anlamak için bir çalışma yapmaya karar verdik.
09:23
Do they actually help people
241
563954
1421
Acaba insanlara gerçekten
09:25
have stronger passwords,
242
565375
1453
yardımcı oluyorlar mı,
09:26
and if so, which ones are better?
243
566828
2086
oluyorlarsa hangisi daha iyi?
09:28
So we tested password meters that were
244
568914
2507
Farklı uzunluk, şekil ve renkteki şifre ölçerleri,
09:31
different sizes, shapes, colors,
245
571421
2098
yanlarında farklı kelimeler yazanları
09:33
different words next to them,
246
573519
1416
test ettik,
09:34
and we even tested one that was a dancing bunny.
247
574935
3275
hatta bu dans eden tavşanı bile test ettik.
09:38
As you type a better password,
248
578210
1582
Daha iyi şifre yazdıkça
09:39
the bunny dances faster and faster.
249
579792
2539
tavşan daha hızlı dans ediyor.
09:42
So this was pretty fun.
250
582331
2529
Oldukça eğlenceli aslında.
09:44
What we found
251
584860
1567
Şifre ölçerlerin
09:46
was that password meters do work.
252
586427
3572
işe yaradığını gördük,
09:49
(Laughter)
253
589999
1801
(Gülüşmeler)
09:51
Most of the password meters were actually effective,
254
591800
3333
Şifre ölçerlerin çoğu gerçekten etkili,
09:55
and the dancing bunny was very effective too,
255
595133
2521
danseden tavşan da oldukça etkili
09:57
but the password meters that were the most effective
256
597654
2881
ama bunlardan en etkilileri, onay verip
10:00
were the ones that made you work harder
257
600535
2355
"iyi işti" demeden önce kullanıcıların
10:02
before they gave you that thumbs up and said
258
602890
1980
gerçekten çabalamalarını
10:04
you were doing a good job,
259
604870
1377
sağlayanlardır.
10:06
and in fact we found that most
260
606247
1512
Aslında şu an internetteki
10:07
of the password meters on the Internet today
261
607759
2281
şifre ölçerlerin çoğunu oldukça
10:10
are too soft.
262
610040
952
10:10
They tell you you're doing a good job too early,
263
610992
2203
zayıf bulduk.
İyi iş yaptığınızı çok erken söylüyorlar,
10:13
and if they would just wait a little bit
264
613195
1929
halbuki pozitif dönüş yapmadan önce
10:15
before giving you that positive feedback,
265
615124
2049
biraz daha bekleseler
10:17
you probably would have better passwords.
266
617173
3160
daha iyi şifreleriniz olabilir.
10:20
Now another approach to better passwords, perhaps,
267
620333
3847
Şimdi, daha iyi bir şifre için diğer bir yaklaşım,
10:24
is to use pass phrases instead of passwords.
268
624180
2890
belki de şifre yerine anahtar parolası kullanmaktır.
10:27
So this was an xkcd cartoon from a couple of years ago,
269
627070
3418
Bu birkaç yıl önceden xkcd karikatürü,
10:30
and the cartoonist suggests
270
630488
1674
ve karikatürist hepimizin
10:32
that we should all use pass phrases,
271
632162
2196
anahtar parolası kullanmamızı tavsiye ediyor,
10:34
and if you look at the second row of this cartoon,
272
634358
3170
ve karikatürün ikinci satırına bakarsanız karikatürist,
10:37
you can see the cartoonist is suggesting
273
637528
1857
oldukça güçlü ve kolayca hatırlanabilecek
10:39
that the pass phrase "correct horse battery staple"
274
639385
3441
bir anahtar parolası olduğundan
"doğru at batarya teli" kelimelerini
10:42
would be a very strong pass phrase
275
642826
2481
tavsiye ettiğini görebilirsiniz.
10:45
and something really easy to remember.
276
645307
1916
10:47
He says, in fact, you've already remembered it.
277
647223
2797
Diyor ki, aslında siz onu zaten hatırlıyorsunuz.
10:50
And so we decided to do a research study
278
650020
2150
Bİz de bunun doğru olup olmadığına dair
10:52
to find out whether this was true or not.
279
652170
2592
bir çalışma yapmaya karar verdik.
10:54
In fact, everybody who I talk to,
280
654762
1775
Aslında, şifre araştırması
10:56
who I mention I'm doing password research,
281
656537
2042
yaptığımdan bahsettiğim herkes
10:58
they point out this cartoon.
282
658579
1400
bu karikatürden bahsetti.
10:59
"Oh, have you seen it? That xkcd.
283
659979
1574
"Şu xkcd karikatürünü gördün mü?
11:01
Correct horse battery staple."
284
661553
1602
Doğru at batarya teli."
11:03
So we did the research study to see
285
663155
1806
Gerçekten ne olacağını görmek için
11:04
what would actually happen.
286
664961
2359
araştırma yaptık.
11:07
So in our study, we used Mechanical Turk again,
287
667320
3060
Araştırmada yine Mechanical Turk'ü kullandık
11:10
and we had the computer pick the random words
288
670380
4167
ve anahtar paroladan kelimeleri rastgele seçen
11:14
in the pass phrase.
289
674547
1100
bilgisayar kullandık,
11:15
Now the reason we did this
290
675647
1153
çünkü insanlar
11:16
is that humans are not very good
291
676800
1586
rastgele kelime seçmekte
11:18
at picking random words.
292
678386
1384
çok iyi değil.
11:19
If we asked a human to do it,
293
679770
1262
Seçimi insanlara bıraksaydık
11:21
they would pick things that were not very random.
294
681032
2998
pek de rastgele seçim yapmazlardı.
11:24
So we tried a few different conditions.
295
684030
2032
Birkaç farklı durum denedik.
11:26
In one condition, the computer picked
296
686062
2090
Birisinde bilgisayar, ingilizcedeki
11:28
from a dictionary of the very common words
297
688152
2216
oldukça yaygın kelimeler sözlüğünden
11:30
in the English language,
298
690368
1362
seçim yaptı,
11:31
and so you'd get pass phrases like
299
691730
1764
bu durumda "dene orada üç gel" gibi
11:33
"try there three come."
300
693494
1924
anahtar kelimeler alırdınız.
11:35
And we looked at that, and we said,
301
695418
1732
Biz de buna bakıp
11:37
"Well, that doesn't really seem very memorable."
302
697150
3050
"Eh, bu hatırlanacak bir şeye benzemiyor pek" dedik,
11:40
So then we tried picking words
303
700200
2240
ardından kelimeleri, cümlenin belirli kısmından
11:42
that came from specific parts of speech,
304
702440
2521
seçmeyi denedik,
11:44
so how about noun-verb-adjective-noun.
305
704961
2182
isim-fiil-sıfat-isim mesela.
11:47
That comes up with something that's sort of sentence-like.
306
707143
2577
Sonra karşımıza cümleye benzer türden şeyler çıktı.
11:49
So you can get a pass phrase like
307
709720
2070
Bu durumda da "Plan mutlaka güç oluşturur",
11:51
"plan builds sure power"
308
711790
1308
"son kırmızı uyuşturucuya neden olur"
11:53
or "end determines red drug."
309
713098
2786
gibi anahtar kelimeler alırdınız.
11:55
And these seemed a little bit more memorable,
310
715884
2676
Bunlar daha akılda kalıcı gibi
11:58
and maybe people would like those a little bit better.
311
718560
2822
ve insanlar bunlardan biraz daha hoşlanırlardı belki.
12:01
We wanted to compare them with passwords,
312
721382
2572
Bunları şifrelerle karşılaştırmayı denedik,
12:03
and so we had the computer pick random passwords,
313
723954
3196
rastgele şifreler seçecek bilgisayarımız vardı
12:07
and these were nice and short, but as you can see,
314
727150
1990
ve bunlar güzel ve kısa şifrelerdi,
12:09
they don't really look very memorable.
315
729140
2806
ama gördüğünüz gibi pek akılda kalıcı değiller.
12:11
And then we decided to try something called
316
731946
1396
Bu yüzden telaffuz edilebilir şifre
12:13
a pronounceable password.
317
733342
1646
denilen şeyi denemeye karar verdik.
12:14
So here the computer picks random syllables
318
734988
2245
İşte bilgisayarın rastgele hecelerden seçip
12:17
and puts them together
319
737233
1134
birleştirdiği kelimeler:
12:18
so you have something sort of pronounceable,
320
738367
2475
"tufritvi" ve"vadasabi" gibi
12:20
like "tufritvi" and "vadasabi."
321
740842
2602
telaffuz edilir türden kelimeler oluştu.
12:23
That one kind of rolls off your tongue.
322
743444
2147
Tekerlemenin bir türü gibi.
12:25
So these were random passwords that were
323
745591
2216
Bunlar bilgisayarımız tarafından oluşturulan
12:27
generated by our computer.
324
747807
2744
rastgele şifreler.
12:30
So what we found in this study was that, surprisingly,
325
750551
2978
Bu çalışmada gördüğümüz, şaşırtıcı biçimde
12:33
pass phrases were not actually all that good.
326
753529
3768
anahtar parolaların o kadar da iyi olmamalarıdır.
12:37
People were not really better at remembering
327
757297
2793
İnsanlar onları rastgele şifreler
12:40
the pass phrases than these random passwords,
328
760090
2953
kadar iyi hatırlayamıyor,
12:43
and because the pass phrases are longer,
329
763043
2754
ve daha uzun oldukları için
12:45
they took longer to type
330
765797
1226
yazmak daha uzun sürüyor
12:47
and people made more errors while typing them in.
331
767023
3010
ve insanlar onu yazarken daha çok hata yapıyorlar.
12:50
So it's not really a clear win for pass phrases.
332
770033
3227
Yani anahtar kelimeler rahatlıkla kazandı denemez.
12:53
Sorry, all of you xkcd fans.
333
773260
3345
Üzgünüm xkcd taraftarları.
12:56
On the other hand, we did find
334
776605
1892
Diğer taraftan, telaffuz edilebilir
12:58
that pronounceable passwords
335
778497
1804
şifreler sürpriz şekilde
13:00
worked surprisingly well,
336
780301
1471
iyi çıktı,
13:01
and so we actually are doing some more research
337
781772
2418
dolayısıyla bu yaklaşımı daha iyi hale getirince
13:04
to see if we can make that approach work even better.
338
784190
3195
ne olacağını görmek için biraz daha araştırma yaptık.
13:07
So one of the problems
339
787385
1812
Yaptığımız bazı araştırmalardaki
13:09
with some of the studies that we've done
340
789197
1623
sorunlardan biri,
13:10
is that because they're all done
341
790820
1683
şifrelerin hepsinin
13:12
using Mechanical Turk,
342
792503
1590
Mechanical Turk kullanarak yapılması.
13:14
these are not people's real passwords.
343
794093
1812
Gerçekten kullanılan şifreler değil,
13:15
They're the passwords that they created
344
795905
2105
bizim çalışmamız için insanlar
13:18
or the computer created for them for our study.
345
798010
2495
ya da bilgisayar tarafından oluşturulan şifrelerdir.
13:20
And we wanted to know whether people
346
800505
1568
Biz de insanların
13:22
would actually behave the same way
347
802073
2312
gerçek şifrelerinde de aynı yolu
13:24
with their real passwords.
348
804385
2227
kullanıp kullanmayacaklarını bilmek istedik.
13:26
So we talked to the information security office at Carnegie Mellon
349
806612
3681
Carnegie Mellon'daki bilgi güvenliği ofisiyle görüştük
13:30
and asked them if we could have everybody's real passwords.
350
810293
3803
ve gerçek şifreleri alabilir miyiz diye sorduk.
13:34
Not surprisingly, they were a little bit reluctant
351
814096
1754
Haliyle şifreleri bizle paylaşmaya
13:35
to share them with us,
352
815850
1550
birazcık gönülsüzlerdi
13:37
but we were actually able to work out
353
817400
1810
ancak 25000 CMU öğrencisinin,
13:39
a system with them
354
819210
1040
öğretim üyelerinin
13:40
where they put all of the real passwords
355
820250
2109
ve personellerin şifrelerini sakladıkları
13:42
for 25,000 CMU students, faculty and staff,
356
822359
3091
kilitli bir odadaki, internete bağlı olmayan şifreli bilgisayarda
13:45
into a locked computer in a locked room,
357
825450
2448
onlarla bir sistem geliştirme
13:47
not connected to the Internet,
358
827898
1394
imkanı elde ettik,
13:49
and they ran code on it that we wrote
359
829292
1848
bilgisayarda şifreleri analiz etmek için
13:51
to analyze these passwords.
360
831140
2152
yazdığımız kodu çalıştırdılar.
13:53
They audited our code.
361
833292
1326
Kodu denetlediler.
13:54
They ran the code.
362
834618
1312
Kodu çalıştırdılar.
13:55
And so we never actually saw
363
835930
1738
Yani aslında kimsenin
13:57
anybody's password.
364
837668
2817
şifresini görmedik.
14:00
We got some interesting results,
365
840485
1515
Bazı ilginç sonuçlar elde ettik,
14:02
and those of you Tepper students in the back
366
842000
1696
arka taraftaki Tepper öğrencilerinin
14:03
will be very interested in this.
367
843696
2875
oldukça ilgisini çekecek.
14:06
So we found that the passwords created
368
846571
3731
Bilgisayar bilimi bölümüne kayıtlı kişiler tarafından
14:10
by people affiliated with the school of computer science
369
850302
2158
oluşturulan şifreleri,
14:12
were actually 1.8 times stronger
370
852460
2324
ticaret okulundakilerin şifrelerine
14:14
than those affiliated with the business school.
371
854784
3738
oranla 1.8 kat daha güçlü olduğunu bulduk.
14:18
We have lots of other really interesting
372
858522
2040
Birçok ilginç demografik
14:20
demographic information as well.
373
860562
2238
bilgiler de elde ettik.
14:22
The other interesting thing that we found
374
862800
1846
Bulduğumuz diğer ilginç şey,
14:24
is that when we compared the Carnegie Mellon passwords
375
864646
2440
CMU'daki şifrelerle Mechanical Turk-kaynaklı
14:27
to the Mechanical Turk-generated passwords,
376
867086
2283
şifreleri karşılaştırdığımızda
14:29
there was actually a lot of similarities,
377
869369
2619
çok fazla benzerlik gördük
14:31
and so this helped validate our research method
378
871988
1948
ve bu araştırma yöntemlerimizi
14:33
and show that actually, collecting passwords
379
873936
2510
doğrulamaya yardımcı oldu ve Mekanik Türk
14:36
using these Mechanical Turk studies
380
876446
1808
kullanarak şifre toplamanın
14:38
is actually a valid way to study passwords.
381
878254
2788
çalışma yapmak için geçerli bir yol olduğunu gösterdi.
14:41
So that was good news.
382
881042
2285
Bunlar iyi haberdi.
14:43
Okay, I want to close by talking about
383
883327
2414
Evet, geçen sene Carnegie Mellon sanat okulunda
14:45
some insights I gained while on sabbatical
384
885741
2068
tatildeyken kazandığım bazı izlenimleri
14:47
last year in the Carnegie Mellon art school.
385
887809
3201
anlatarak bitirmek istiyorum.
14:51
One of the things that I did
386
891010
1281
Yaptığım şeylerden biri
14:52
is I made a number of quilts,
387
892291
1524
çeşit çeşit yorganlar.
14:53
and I made this quilt here.
388
893815
1548
ve bu yorganı burada yaptım.
14:55
It's called "Security Blanket."
389
895363
1899
Buna "Güvenlik Battaniyesi" deniliyor.
14:57
(Laughter)
390
897262
2431
(Gülüşmeler)
14:59
And this quilt has the 1,000
391
899693
3095
Bu yorganda RockYou sitesinden çalınmış
15:02
most frequent passwords stolen
392
902788
2328
şifreler arasında en çok görülen
15:05
from the RockYou website.
393
905116
2571
1000 şifre bulunuyor.
15:07
And the size of the passwords is proportional
394
907687
2061
Şifrelerin boyutu çalınmış veri setinde
15:09
to how frequently they appeared
395
909748
1901
ne kadar sık görüldüğüyle
15:11
in the stolen dataset.
396
911649
2248
doğru orantılı.
15:13
And what I did is I created this word cloud,
397
913897
2632
Ben de bu kelime bulutunu oluşturdum,
15:16
and I went through all 1,000 words,
398
916529
2132
1000 kelimenin hepsini tarayıp
15:18
and I categorized them into
399
918661
1795
onları dağınık tematik kategorilere
15:20
loose thematic categories.
400
920456
2380
sınıflandırdım.
15:22
And it was, in some cases,
401
922836
1903
Ve bu, bazı açıdan,
15:24
it was kind of difficult to figure out
402
924739
2038
kelimelerin hangi kategoriye ait olduğunu
15:26
what category they should be in,
403
926777
1755
çözmek biraz zordu,
15:28
and then I color-coded them.
404
928532
1899
ardından kategorileri renklerle kodladım.
15:30
So here are some examples of the difficulty.
405
930431
2619
İşte bu zorluklardan bazıları:
15:33
So "justin."
406
933050
1181
Mesela "justin".
15:34
Is that the name of the user,
407
934231
1829
Acaba kullanıcının adı mı,
15:36
their boyfriend, their son?
408
936060
1322
erkek arkadaşı mı, oğlu mu?
15:37
Maybe they're a Justin Bieber fan.
409
937382
2888
Belki de Justin Bieber hayranıdır.
15:40
Or "princess."
410
940270
2225
Veya "prenses".
15:42
Is that a nickname?
411
942495
1635
Bir takma ad mı?
15:44
Are they Disney princess fans?
412
944130
1595
Disney prenses hayranları mı?
15:45
Or maybe that's the name of their cat.
413
945725
3694
Belki de kedilerinin adıdır.
15:49
"Iloveyou" appears many times
414
949419
1655
"seniseviyorum", farklı dillerde
15:51
in many different languages.
415
951074
1545
birçok defa görülüyor.
15:52
There's a lot of love in these passwords.
416
952619
3735
Bu şifrelerde oldukça fazla aşk var.
15:56
If you look carefully, you'll see there's also
417
956354
1680
Dikkatli bakarsanız, birkaç küfür de
15:58
some profanity,
418
958034
2267
görebilirsiniz
16:00
but it was really interesting to me to see
419
960301
1950
ama şifrelerde nefret ifadelerinden çok
16:02
that there's a lot more love than hate
420
962251
2307
aşk kelimelerinin olması bana oldukça
16:04
in these passwords.
421
964558
2292
ilginç geldi.
16:06
And there are animals,
422
966850
1490
Evet hayvanlar,
16:08
a lot of animals,
423
968340
1360
birçok hayvan,
16:09
and "monkey" is the most common animal
424
969700
2304
"maymun" en yaygını
16:12
and the 14th most popular password overall.
425
972004
3675
ve toplamda 14. popüler şifre.
16:15
And this was really curious to me,
426
975679
2231
Bana oldukça tuhaf göründü ve
16:17
and I wondered, "Why are monkeys so popular?"
427
977910
2523
"neden maymunlar bu kadar popüler" diye merak ettim.
16:20
And so in our last password study,
428
980433
3352
Bu da bizim son çalışmamız,
16:23
any time we detected somebody
429
983785
1686
birisinin "maymun" kelimesini
16:25
creating a password with the word "monkey" in it,
430
985471
2649
kullandığını tespit ettiğimiz her seferde
16:28
we asked them why they had a monkey in their password.
431
988120
3030
neden şifrelerinde onu kullandıklarını sorduk.
16:31
And what we found out --
432
991150
1910
Ortaya çıkardık ki
16:33
we found 17 people so far, I think,
433
993060
2103
-şu ana kadar "maymun" kelimesini kullanan
16:35
who have the word "monkey" --
434
995163
1283
17 kişi bulduk sanırım-
16:36
We found out about a third of them said
435
996446
1812
bunlardan üçte biri,
"maymun" isimli evcil hayvanları olduğunu
16:38
they have a pet named "monkey"
436
998258
1740
16:39
or a friend whose nickname is "monkey,"
437
999998
2291
ya da arkadaşının lakabının maymun olduğunu söyledi
16:42
and about a third of them said
438
1002289
1660
yine üçte biri, maymun gibi olduklarını
16:43
that they just like monkeys
439
1003949
1533
ve maymunların
16:45
and monkeys are really cute.
440
1005482
1638
çok tatlı olduğunu söyledi.
16:47
And that guy is really cute.
441
1007120
3639
Bu da oldukça tatlı.
16:50
So it seems that at the end of the day,
442
1010759
3408
Sonuçta görülüyor ki
16:54
when we make passwords,
443
1014167
1783
şifreleri oluştururken,
16:55
we either make something that's really easy
444
1015950
1974
ya yazılması kolay şeyler,
16:57
to type, a common pattern,
445
1017924
3009
yaygın bir şablon,
17:00
or things that remind us of the word password
446
1020933
2486
veya şifre kelimesini hatırlatan şeyler
17:03
or the account that we've created the password for,
447
1023419
3312
veya şifre oluşturduğumuz hesap hakkında
17:06
or whatever.
448
1026731
2617
şeylerden birini seçiyoruz.
17:09
Or we think about things that make us happy,
449
1029348
2642
Veya bizi mutlu eden şeyler hakkında düşünüp
17:11
and we create our password
450
1031990
1304
şifre oluştururken
17:13
based on things that make us happy.
451
1033294
2238
onun üzerinden hareket ediyoruz.
17:15
And while this makes typing
452
1035532
2863
Ama bu şifrenizi yazmanızı
17:18
and remembering your password more fun,
453
1038395
2870
ve hatırlamanızı kolaylaştırdığı gibi
17:21
it also makes it a lot easier
454
1041265
1807
onun tahmin edilmesini de
17:23
to guess your password.
455
1043072
1506
kolaylaştırıyor.
17:24
So I know a lot of these TED Talks
456
1044578
1748
Biliyorum birçok TED konuşması
17:26
are inspirational
457
1046326
1634
ilham verici
17:27
and they make you think about nice, happy things,
458
1047960
2461
ve güzel, mutlu şeyleri düşünmenizi sağlıyor
17:30
but when you're creating your password,
459
1050421
1897
ama şifrelerinizi oluştururken
17:32
try to think about something else.
460
1052318
1991
başka şeyler düşünmeye çalışın.
17:34
Thank you.
461
1054309
1107
Teşekkürler
17:35
(Applause)
462
1055416
553
(Alkış)
Bu web sitesi hakkında

Bu site size İngilizce öğrenmek için yararlı olan YouTube videolarını tanıtacaktır. Dünyanın dört bir yanından birinci sınıf öğretmenler tarafından verilen İngilizce derslerini göreceksiniz. Videoyu oradan oynatmak için her video sayfasında görüntülenen İngilizce altyazılara çift tıklayın. Altyazılar video oynatımı ile senkronize olarak kayar. Herhangi bir yorumunuz veya isteğiniz varsa, lütfen bu iletişim formunu kullanarak bizimle iletişime geçin.

https://forms.gle/WvT1wiN1qDtmnspy7