0:00:00.535,0:00:03.980
Аз съм преподавател по компютърна наука[br]и инженерство тук в Карнеги Мелън

0:00:03.980,0:00:08.228
и моето изследване е фокусирано върху [br]прилаганите мерки за неприкосновеност и сигурност.

0:00:08.228,0:00:10.996
Мои приятели обичат да ми дават примери

0:00:10.996,0:00:13.198
с обезсърчението си от компютърните системи

0:00:13.198,0:00:16.552
и по-специално обезсърчението от

0:00:16.552,0:00:20.664
мерките за неприкосновеност [br]и сигурност.

0:00:20.664,0:00:23.375
Паролите са нещо, за което аз чувам много.

0:00:23.375,0:00:26.255
Много хора имат проблеми с тях

0:00:26.255,0:00:27.949
и не е много приятна ситуацията,

0:00:27.949,0:00:30.593
когато се налага да имат [br]наистина добра парола,

0:00:30.593,0:00:32.415
която да запомнят,

0:00:32.415,0:00:35.309
но никой да не може да я отгатне.

0:00:35.309,0:00:36.946
Но какво правите, когато имате акаунти

0:00:36.946,0:00:38.754
на сто различни системи

0:00:38.754,0:00:41.030
и се очаква да имате уникална парола

0:00:41.030,0:00:44.067
за всяка от тези системи?

0:00:44.067,0:00:46.251
Трудно е.

0:00:46.251,0:00:48.010
В Карнеги Мелън се опитаха да направят

0:00:48.010,0:00:49.309
много лесно

0:00:49.309,0:00:51.046
запомнянето на паролите.

0:00:51.046,0:00:53.449
Изискването за парола до 2009

0:00:53.449,0:00:55.828
беше просто да имате такава

0:00:55.828,0:00:58.039
от поне един знак.

0:00:58.039,0:01:00.927
Много лесно. Но го промениха.

0:01:00.927,0:01:03.597
В края на 2009 обявиха

0:01:03.597,0:01:05.973
че ще има нова политика,

0:01:05.973,0:01:07.836
която налага

0:01:07.836,0:01:10.517
паролите да са от поне 8 знака,

0:01:10.517,0:01:12.292
включващи главни и малки букви,

0:01:12.292,0:01:13.580
цифри и символи,

0:01:13.580,0:01:16.218
а един знак да не може да се [br]ползва повече от три пъти

0:01:16.218,0:01:18.652
и да не е дума от речника.

0:01:18.652,0:01:20.834
Когато започна прилагането [br]на новата политика,

0:01:20.834,0:01:23.144
много хора, колеги и приятели

0:01:23.144,0:01:24.998
дойдоха при мен с думите:

0:01:24.998,0:01:26.510
"Това наистина е неприложимо.

0:01:26.510,0:01:27.703
Защо ни го причиняват,

0:01:27.703,0:01:29.414
защо не ги спря?"

0:01:29.414,0:01:30.770
Отговярях им: "Знаете ли,

0:01:30.770,0:01:32.278
никой не ме попита."

0:01:32.278,0:01:35.743
Но проявих любопитство и отидох да поговоря

0:01:35.743,0:01:37.680
с отговарящите за компютърните системи,

0:01:37.680,0:01:40.511
където открих кое ги бе накарало да въведат

0:01:40.511,0:01:42.359
тази нова политика.

0:01:42.359,0:01:43.943
Казаха ми че университетът

0:01:43.943,0:01:46.309
се е присъединил към университетски консорциум

0:01:46.309,0:01:48.943
в който едно от изискванията за членство

0:01:48.943,0:01:51.191
било да имаме по-силни пароли,

0:01:51.191,0:01:53.463
което съответствало на някои нови изисквания,

0:01:53.463,0:01:55.567
а те били паролите

0:01:55.567,0:01:57.171
да са с голяма ентропия.

0:01:57.171,0:01:59.449
Ентропията е сложен термин,

0:01:59.449,0:02:02.247
но най-общо измерва силата на паролите.

0:02:02.247,0:02:04.226
Но истината е, че всъщност няма

0:02:04.226,0:02:06.175
стандартна мярка за ентропия.

0:02:06.175,0:02:08.574
Националният институт по стандарти и технологии

0:02:08.574,0:02:10.127
има комплект насоки,

0:02:10.127,0:02:12.695
даващи практически указания

0:02:12.695,0:02:14.135
за измерване на ентропията,

0:02:14.135,0:02:17.030
но в тях няма нищо специфично,

0:02:17.030,0:02:19.367
а причината да имат само [br]практически указания

0:02:19.367,0:02:22.503
е, че всъщност, оказва се, [br]нямат никаква информация

0:02:22.503,0:02:24.023
за паролите.

0:02:24.023,0:02:26.335
Докладите им казват:

0:02:26.335,0:02:28.663
"За съжаление нямаме много данни

0:02:28.663,0:02:31.505
за използваните от потребителите [br]пароли при определени правила.

0:02:31.505,0:02:33.838
Бихме искали да научим повече

0:02:33.838,0:02:36.300
за паролите, които потребителите избират,

0:02:36.300,0:02:38.763
но системните администратори, [br]разбираемо, не са склонни,

0:02:38.763,0:02:41.703
да разкриват данни за пароли."

0:02:41.703,0:02:44.800
Това е проблем, но [br]изследователската ни група

0:02:44.800,0:02:46.940
погледна на него, като на възможност.

0:02:46.940,0:02:50.040
Казахме си: "Има нужда от [br]добри данни за пароли.

0:02:50.040,0:02:52.188
Може би можем да съберем такива

0:02:52.188,0:02:54.892
и постигнем напредък по въпроса."

0:02:54.892,0:02:56.564
И така, първото нещо, [br]което направихме, бе

0:02:56.564,0:02:58.120
да вземем торба с бонбони,

0:02:58.120,0:02:59.206
да се разходим из кампуса,

0:02:59.206,0:03:02.004
и съберем от студенти, [br]преподаватели и персонал

0:03:02.004,0:03:03.534
информация

0:03:03.534,0:03:05.086
за паролите им.

0:03:05.086,0:03:08.090
Разбира се не казвахме [br]"Дайте ни паролата си."

0:03:08.090,0:03:10.751
Не, просто ги питахме за паролите им.

0:03:10.751,0:03:12.229
Колко дълга е? Има ли цифра?

0:03:12.229,0:03:13.297
Има ли символ?

0:03:13.297,0:03:15.342
Бяхте ли притеснен, [br]че трябва да измислите

0:03:15.342,0:03:18.086
нова миналата седмица?

0:03:18.086,0:03:21.292
Получихме резултати от 470 студенти,

0:03:21.292,0:03:22.263
преподаватели и персонал

0:03:22.263,0:03:24.777
и наистина потвърдихме, [br]че новата политика

0:03:24.777,0:03:26.230
е много досадна,

0:03:26.230,0:03:28.022
но от думите на хората [br]установихме също, че

0:03:28.022,0:03:31.152
те се чувстват по сигурни [br]с новите пароли.

0:03:31.152,0:03:33.458
Повечето хора знаеха,

0:03:33.458,0:03:35.610
че не бива да си записват паролите

0:03:35.610,0:03:38.001
и само 13% от тях не го спазват,

0:03:38.001,0:03:40.417
но, смущаващо, 80% от хората

0:03:40.417,0:03:42.541
казваха, че ги използват повторно.

0:03:42.541,0:03:44.337
Това всъщност е по-опасно,

0:03:44.337,0:03:46.359
отколкото записването,

0:03:46.359,0:03:49.920
защото те прави много [br]по-податлив на хакерите.

0:03:49.920,0:03:53.038
Така, че ако трябва, [br]запишете си паролата,

0:03:53.038,0:03:54.837
но не я използвайте повторно.

0:03:54.837,0:03:56.588
Открихме и някои интересни неща

0:03:56.588,0:03:59.549
за символите, [br]които хората ползват в пароли.

0:03:59.549,0:04:02.348
Университетът позолява [br]32 възможни символа,

0:04:02.348,0:04:04.781
но както виждате, повечето хора

0:04:04.781,0:04:06.583
използват малък брой от тях,

0:04:06.583,0:04:09.524
т. е. не получаваме много голяма сила

0:04:09.524,0:04:11.990
от символите в паролите ни.

0:04:11.990,0:04:14.701
Беше наистина интересно проучване,

0:04:14.701,0:04:17.165
имахме данни от 470 човека,

0:04:17.165,0:04:18.470
но в схемата на нещата

0:04:18.470,0:04:21.050
това не беше достатъчно

0:04:21.050,0:04:22.495
и трябваше да се огледаме, да видим

0:04:22.495,0:04:25.055
къде можем да намерим [br]още данни за паролите.

0:04:25.055,0:04:27.231
Оказа се, че много хора

0:04:27.231,0:04:29.433
се навъртат наоколо да крадат пароли

0:04:29.433,0:04:31.910
и често ги публикуват

0:04:31.910,0:04:33.247
в интернет.

0:04:33.247,0:04:34.920
Ние можахме да получим достъп

0:04:34.920,0:04:38.890
до някои от тези откраднати [br]комплекти пароли.

0:04:38.890,0:04:41.218
Те обаче, не ни вършеха [br]работа за изследването,

0:04:41.218,0:04:43.255
защото не беше напълно ясно

0:04:43.255,0:04:45.439
откъде идват паролите

0:04:45.439,0:04:47.681
или какви точно правила [br]са били в сила за тях

0:04:47.681,0:04:49.789
когато хората са ги създавали.

0:04:49.789,0:04:53.341
Искахме да намерим [br]по-добър източник на данни.

0:04:53.341,0:04:54.975
Решихме, че това, [br]което можем да направим

0:04:54.975,0:04:57.104
е да направим проучване, [br]карайки хората

0:04:57.104,0:05:00.344
да създават пароли за него.

0:05:00.344,0:05:03.165
И така използвахме услугата[br]Amazon Mechanical Turk.

0:05:03.165,0:05:05.499
Услуга, при която публикувате

0:05:05.499,0:05:07.803
някаква малка задача онлайн, отнемаща минута,

0:05:07.803,0:05:09.303
няколко минути, час,

0:05:09.303,0:05:11.887
срещу пени, 10 цента, няколко долара. Хората

0:05:11.887,0:05:13.233
свършват тази работа за вас

0:05:13.233,0:05:15.355
и вие им плащате през Amazon.com.

0:05:15.355,0:05:17.649
Плащахме по 50 цента на човек,

0:05:17.649,0:05:20.245
да създаде парола, [br]следвайки правилата ни

0:05:20.245,0:05:21.655
и да отговори на проучване,

0:05:21.655,0:05:24.180
след което им плащахме да се върнат

0:05:24.180,0:05:26.251
след два дни, да влязат

0:05:26.251,0:05:28.825
с паролата си и да отговорят [br]на друго проучване.

0:05:28.825,0:05:33.289
Направихме го, събрахме 5 000 пароли,

0:05:33.289,0:05:35.984
давайки на хората куп различни правила

0:05:35.984,0:05:37.492
по които да създават пароли.

0:05:37.492,0:05:39.402
Някои получиха много лесно правило,

0:05:39.402,0:05:40.941
което нарекохме Основни8

0:05:40.941,0:05:43.087
с единственото изискване паролата ви

0:05:43.087,0:05:46.503
да има поне осем знака.

0:05:46.503,0:05:48.754
Други хора получиха доста по-трудни правила,

0:05:48.754,0:05:51.291
подобни на университетските:

0:05:51.291,0:05:53.225
да са с осем знака,

0:05:53.225,0:05:55.601
включващи главна, малка, цифра и символ,

0:05:55.601,0:05:57.990
както и да минава проверката в речника.

0:05:57.990,0:05:59.325
Един друг вариант, който опитахме,

0:05:59.325,0:06:00.595
а ние имахме много,

0:06:00.595,0:06:02.835
но един, който опитахме, [br]наречен Основни16

0:06:02.835,0:06:05.467
беше с единственото изискване

0:06:05.467,0:06:08.620
паролата да има поне 16 знака.

0:06:08.620,0:06:11.078
И така, имахме 5000 пароли

0:06:11.078,0:06:14.641
и много по-подробна информация.

0:06:14.641,0:06:17.200
Отново виждаме, че броят на символите

0:06:17.200,0:06:19.115
които хората използват в паролите си

0:06:19.115,0:06:21.001
е малък.

0:06:21.001,0:06:23.600
Искахме също да разберем колко силни

0:06:23.600,0:06:26.371
са паролите, създавани от хората,

0:06:26.371,0:06:28.991
но вероятно помните, [br]че няма добър измерител

0:06:28.991,0:06:30.745
за това.

0:06:30.745,0:06:33.057
Това, което решихме да направим, [br]бе да видим

0:06:33.057,0:06:35.427
колко време ще отнеме разбиването им

0:06:35.427,0:06:36.841
с най-добрите за целта инструменти,

0:06:36.841,0:06:38.649
които лошите момчета ползват

0:06:38.649,0:06:40.665
или за които можехме да [br]намерим информация

0:06:40.665,0:06:42.202
в изследователската литература.

0:06:42.202,0:06:44.960
За да имате представа, [br]ето как лошите момчета

0:06:44.960,0:06:47.130
подхождат при разбиването на пароли:

0:06:47.130,0:06:49.081
Ще откраднат файл с пароли,

0:06:49.081,0:06:51.234
който ги съдържа

0:06:51.234,0:06:54.123
в кодирана форма, [br]наречена хаш [бъркотия].

0:06:54.123,0:06:56.685
След това ще направят предположение

0:06:56.685,0:06:58.397
каква е паролата,

0:06:58.397,0:07:00.294
ще го пуснат през хешираща функция

0:07:00.294,0:07:02.059
и ще видят дали съвпада

0:07:02.059,0:07:06.009
с паролите в откраднатия файл.

0:07:06.009,0:07:09.114
Тъп хакер би изпробвал всяка парола.

0:07:09.114,0:07:12.682
Ще започне с ААААА, ще премине на ААААB

0:07:12.682,0:07:15.100
и така това ще отнеме [br]наистина много време

0:07:15.100,0:07:16.626
преди да се получи някоя парола,

0:07:16.626,0:07:19.323
която хората е наистина [br]възможно да имат.

0:07:19.323,0:07:21.506
Хитрият хакер, от друга страна,

0:07:21.506,0:07:22.892
прави нещо много по-умно.

0:07:22.892,0:07:24.718
Подбира паролите

0:07:24.718,0:07:26.518
от откраднатия комплект,

0:07:26.518,0:07:28.245
които се знае, че са популярни

0:07:28.245,0:07:29.434
и започва да изпробва първо тях.

0:07:29.434,0:07:31.568
Ще се започне с [br]предположението "парола"

0:07:31.568,0:07:34.319
след това с "обичам те", "маймуна"

0:07:34.319,0:07:36.902
и "12345678",

0:07:36.902,0:07:38.214
защото това са паролите

0:07:38.214,0:07:40.119
които най-вероятно хората имат.

0:07:40.119,0:07:43.380
Някои от вас вероятно имат тези пароли.

0:07:45.191,0:07:46.489
Това, което открихме

0:07:46.489,0:07:49.895
когато пуснахме всичките [br]5 000 събрани пароли

0:07:49.895,0:07:54.001
през тестове, [br]за да видим колко са силни,

0:07:54.001,0:07:56.753
беше, че дългите пароли

0:07:56.753,0:07:58.033
са доста силни.

0:07:58.033,0:08:01.295
Сложните пароли - също.

0:08:01.295,0:08:03.737
Обаче, преглеждайки [br]данните от проучването

0:08:03.737,0:08:06.761
видяхме, че хората са [br]наистина обезсърчени

0:08:06.761,0:08:09.100
от твърде сложните пароли,

0:08:09.100,0:08:11.730
и използваха много повече [br]дълги пароли,

0:08:11.730,0:08:13.055
а в някои случаи те бяха

0:08:13.055,0:08:15.963
дори по-силни от сложните.

0:08:15.963,0:08:17.132
Това подсказва, че

0:08:17.132,0:08:18.835
вместо да се казва на хората, че трябва

0:08:18.835,0:08:20.357
да слагат всички тези символи, цифри

0:08:20.357,0:08:23.199
и дивотии в паролите си,

0:08:23.199,0:08:25.221
може би е по-добре да казваме на хората

0:08:25.221,0:08:27.873
да имат дълги пароли.

0:08:27.873,0:08:29.665
Ето го проблемът, обаче:

0:08:29.665,0:08:31.920
Някои хора имаха дълги пароли,

0:08:31.920,0:08:33.475
които не бяха много силни.

0:08:33.475,0:08:35.472
Може да правите дълги пароли,

0:08:35.472,0:08:37.028
които все още са от типа,

0:08:37.028,0:08:38.770
който един хакер лесно би познал.

0:08:38.770,0:08:42.135
Трябва ни нещо повече [br]от просто дълги пароли.

0:08:42.135,0:08:44.071
Трябва да има някакви [br]допълнителни изисквания.

0:08:44.071,0:08:47.040
Някои от продължаващите ни [br]изследвания търсят

0:08:47.040,0:08:49.479
какви още изисквания да добавим

0:08:49.479,0:08:51.583
за да направим така, че силните пароли,

0:08:51.583,0:08:53.895
да бъдат лесни

0:08:53.895,0:08:56.593
за запомняне и въвеждане.

0:08:56.593,0:08:58.719
Друг подход, да се накарат [br]хората да имат

0:08:58.719,0:09:00.976
по-силни пароли, е използването [br]на паролометър.

0:09:00.976,0:09:02.361
Ето няколко примера.

0:09:02.361,0:09:03.762
Сигурно сте ги виждали в интернет

0:09:03.762,0:09:06.819
когато сте създавали пароли.

0:09:06.819,0:09:09.067
Решихме чрез проучване, да установим

0:09:09.067,0:09:11.954
дали тези паролометри вършат работа.

0:09:11.954,0:09:13.375
Помагат ли наистина на хората

0:09:13.375,0:09:14.828
да имат по-силни пароли

0:09:14.828,0:09:16.914
и ако да, кои са по-добри?

0:09:16.914,0:09:19.421
Тествахме паролометри,

0:09:19.421,0:09:21.519
с различен размер, форма, цветове,

0:09:21.519,0:09:22.935
различни описания,

0:09:22.935,0:09:26.210
дори един, [br]представляващ танцуващо зайче.

0:09:26.210,0:09:27.792
Колкото по-добра е паролата

0:09:27.792,0:09:30.331
толкова по-бързо танцува зайчето.

0:09:30.331,0:09:32.860
Беше забавно.

0:09:32.860,0:09:34.427
Това, което установихме,

0:09:34.427,0:09:37.999
е ,че те наистина работят.

0:09:37.999,0:09:39.800
(Смях)

0:09:39.800,0:09:43.133
Повечето паролометри бяха ефективни,

0:09:43.133,0:09:45.654
танцуващото зайче - също,

0:09:45.654,0:09:48.535
но най-ефективните

0:09:48.535,0:09:50.890
бяха тези, каращи ви да се потрудите здраво

0:09:50.890,0:09:52.870
преди да ви покажат вдигнат палец

0:09:52.870,0:09:54.247
за това, че сте свършили добра работа.

0:09:54.247,0:09:55.759
Фактически, установихме, че повечето

0:09:55.759,0:09:58.040
от паролометрите в интернет днес

0:09:58.040,0:09:58.992
са твърде лековерни.

0:09:58.992,0:10:01.195
Казват ви, че се справяте [br]добре твърде рано,

0:10:01.195,0:10:03.124
и ако изчакат мъничко,

0:10:03.124,0:10:05.173
преди да ви дадат положителна [br]обратна връзка,

0:10:05.173,0:10:08.333
вероятно ще имате по-добри пароли.

0:10:08.333,0:10:12.180
Един друг подход за по-добри пароли, [br]може би,

0:10:12.180,0:10:15.070
е използването на фрази, вместо пароли.

0:10:15.070,0:10:18.488
Един комикс от xkcd.com [br]от преди няколко години

0:10:18.488,0:10:20.162
в който авторът му подсказва,

0:10:20.162,0:10:22.358
че всички трябва да използваме фрази

0:10:22.358,0:10:25.528
и ако погледнете втория ред на комикса,

0:10:25.528,0:10:27.385
може да видите че авторът предполага,

0:10:27.385,0:10:30.826
че фразата "правилно кон батерия скоба"

0:10:30.826,0:10:33.307
би била много силна парола

0:10:33.307,0:10:35.223
и нещо много лесно за запомняне.

0:10:35.223,0:10:38.020
Той казва, въщност, [br]че вие вече сте я запомнили.

0:10:38.020,0:10:40.170
Решихме да направим изследване

0:10:40.170,0:10:42.762
дали това е вярно или не.

0:10:42.762,0:10:44.537
На практика всеки с когото говорих,

0:10:44.537,0:10:46.579
казвайки, че правя изследване [br]върху паролите,

0:10:46.579,0:10:47.979
се сещаше за този комикс.

0:10:47.979,0:10:49.553
"О, виждали ли сте този XKCD:

0:10:49.553,0:10:51.155
"правилно кон батерия скоба"?

0:10:51.155,0:10:52.961
И така, направихме това изследване, [br]за да видим

0:10:52.961,0:10:55.320
какво би се случило.

0:10:55.320,0:10:58.380
За него отново използвахме [br]Mechanical Turk,

0:10:58.380,0:11:02.547
като накарахме компютъра [br]да подбере случайни думи

0:11:02.547,0:11:03.647
за паролата-фраза.

0:11:03.647,0:11:04.800
Причината да направим това

0:11:04.800,0:11:06.386
е, че хората не са много добри

0:11:06.386,0:11:07.770
в избора на случайни думи.

0:11:07.770,0:11:09.032
Карала съм хора да го правят.

0:11:09.032,0:11:12.030
Те избират думи, [br]които не са много случайни.

0:11:12.030,0:11:14.062
Опитахме няколко различни условия.

0:11:14.062,0:11:16.152
В единия случай компютърът избра

0:11:16.152,0:11:18.368
от речник с често срещани думи

0:11:18.368,0:11:19.730
в английския език,

0:11:19.730,0:11:21.494
Така бихте получили фрази като

0:11:21.494,0:11:23.418
"опитай там три ела".

0:11:23.418,0:11:25.150
Погледнахме и си казахме:

0:11:25.150,0:11:28.200
"Това не изглежда много запомнящо се."

0:11:28.200,0:11:30.440
След това опитахме да вземем думи,

0:11:30.440,0:11:32.961
идващи от специфични части на речта, [br]например

0:11:32.961,0:11:35.143
съществително-глагол-прилагателно-[br]съществително.

0:11:35.143,0:11:37.720
Това дава нещо, приличащо на изречение.

0:11:37.720,0:11:39.790
Така може да се получат фрази като

0:11:39.790,0:11:41.098
"план строи сигурна мощност"

0:11:41.098,0:11:43.884
или "край определя червено лекарство".

0:11:43.884,0:11:46.560
Това изглеждаше малко по запомнящо се

0:11:46.560,0:11:49.382
и може би хората [br]биха го харесали повече.

0:11:49.382,0:11:51.954
Искахме да ги сравним с паролите

0:11:51.954,0:11:55.150
и накарахме компютъра [br]да избере случайни пароли.

0:11:55.150,0:11:57.140
Те бяха хубави и кратки, [br]но както виждате,

0:11:57.140,0:11:59.946
не изглеждат много запомнящи се.

0:11:59.946,0:12:01.342
И тогава решихме да опитаме [br]нещо, наречено

0:12:01.342,0:12:02.988
произносима парола.

0:12:02.988,0:12:05.233
Тук компютърът подбира случайни срички

0:12:05.233,0:12:06.367
и ги събира

0:12:06.367,0:12:08.842
така че имате нещо произносимо

0:12:08.842,0:12:11.444
като "туфритви" и "вадасаби".

0:12:11.444,0:12:13.591
Този тип бърборене.

0:12:13.591,0:12:15.807
Това бяха случайни пароли,

0:12:15.807,0:12:18.551
генерирани от компютъра ни.

0:12:18.551,0:12:21.529
Това, което установихме с изненада беше,

0:12:21.529,0:12:25.297
че паролите фрази не са толкова добри.

0:12:25.297,0:12:28.090
Хората не ги запомняха по-лесно,

0:12:28.090,0:12:31.043
отколкото тези случайни пароли.

0:12:31.043,0:12:33.797
И тъй като фразите бяха по-дълги,

0:12:33.797,0:12:35.023
отнемаха повече време за изписване

0:12:35.023,0:12:38.033
и хората правеха повече грешки [br]при писането им.

0:12:38.033,0:12:41.260
Т.е. паролите-фрази не са [br]чисти победители.

0:12:41.260,0:12:44.605
Съжалявам, фенове на XKCD.

0:12:44.605,0:12:46.497
От друга страна установихме,

0:12:46.497,0:12:48.301
че произносимите пароли

0:12:48.301,0:12:49.772
работят изненадващо добре

0:12:49.772,0:12:52.190
и затова правим [br]допълнително изследване,

0:12:52.190,0:12:55.385
за да видим дали можем [br]да подобрим този подход.

0:12:55.385,0:12:57.197
Един от проблемите

0:12:57.197,0:12:58.820
при някои от проучванията ни

0:12:58.820,0:13:00.503
е, че поради използването

0:13:00.503,0:13:02.093
на Mechanical Turk,

0:13:02.093,0:13:03.905
това не бяха истинските [br]пароли на хората.

0:13:03.905,0:13:06.010
Това бяха пароли създадени от тях

0:13:06.010,0:13:08.505
или от компютъра за изследването ни.

0:13:08.505,0:13:10.073
Искахме да знаем дали хората

0:13:10.073,0:13:12.385
биха постъпили по същия начин

0:13:12.385,0:13:14.612
с истинските им пароли.

0:13:14.612,0:13:18.293
Обърнахме се към бюрото по сигурност[br]на информацията в Карнеги Мелън

0:13:18.293,0:13:22.096
с въпрос дали бихме могли да имаме [br]истинските пароли на всички.

0:13:22.096,0:13:23.850
Не е изненада, че те [br]не проявиха склонност

0:13:23.850,0:13:25.400
да ги споделят с нас,

0:13:25.400,0:13:27.210
но можахме да изработим

0:13:27.210,0:13:28.250
с тях система,

0:13:28.250,0:13:30.359
в която те сложиха [br]всички истински пароли

0:13:30.359,0:13:33.450
на 25 000 студенти, [br]преподаватели и персонал

0:13:33.450,0:13:35.898
в един заключен компютър, [br]в заключена стая,

0:13:35.898,0:13:37.292
без връзка с интернет,

0:13:37.292,0:13:39.140
и пуснаха кода, който бяхме написали

0:13:39.140,0:13:41.292
за анализ на тези пароли.

0:13:41.292,0:13:42.618
Те провериха кода

0:13:42.618,0:13:43.930
и го изпълниха,

0:13:43.930,0:13:45.668
така че ние никога не видяхме

0:13:45.668,0:13:48.485
чиято и да било парола.

0:13:48.485,0:13:50.000
Получихме някои интересни резултати.

0:13:50.000,0:13:51.696
Студентите от [br][бизнес факултета] Тепер отзад

0:13:51.696,0:13:54.571
ще бъдат силно заинтригувани от тях.

0:13:54.571,0:13:58.302
Установихме, че паролите, създадени

0:13:58.302,0:14:00.460
от хора, числящи се към [br]факултета за компютърна наука

0:14:00.460,0:14:02.784
са 1.8 пъти по-силни

0:14:02.784,0:14:06.522
от тези, числящи се [br]към бизнес факултета.

0:14:06.522,0:14:08.562
Получихме и много друга интересна

0:14:08.562,0:14:10.800
демографска информация.

0:14:10.800,0:14:12.646
Друго интересно нещо, което установихме

0:14:12.646,0:14:15.086
при сравнаване паролите [br]на Карнеги Мелън

0:14:15.086,0:14:17.369
с генерираните от Mechanical Turk,

0:14:17.369,0:14:19.988
е, че имаше много прилики,

0:14:19.988,0:14:21.936
което потвърди [br]изследователския ни метод

0:14:21.936,0:14:24.446
и показа, че събирането на пароли

0:14:24.446,0:14:26.254
с Mechanical Turk

0:14:26.254,0:14:29.042
е валиден начин за изучаване на пароли.

0:14:29.042,0:14:31.327
Това беше добра новина.

0:14:31.327,0:14:33.741
Искам да приключа, разказвайки за

0:14:33.741,0:14:35.809
някои прозрения, [br]осенили ме през отпуска

0:14:35.809,0:14:39.010
миналата година [br]във факултета по изкуства.

0:14:39.010,0:14:40.291
Едно от нещата, които направих

0:14:40.291,0:14:41.815
бяха няколко покривала,

0:14:41.815,0:14:43.363
едно от които е това тук,

0:14:43.363,0:14:45.262
което нарекох "Одеяло на сигурността".

0:14:45.262,0:14:47.693
(Смях)

0:14:47.693,0:14:50.788
То има 1 000

0:14:50.788,0:14:53.116
най-често използвани пароли, откраднати

0:14:53.116,0:14:55.687
от сайта на RockYou.

0:14:55.687,0:14:57.748
Размерът на паролите е пропорционален

0:14:57.748,0:14:59.649
на честотата с която те се появяват

0:14:59.649,0:15:01.897
в откраднатия набор от данни.

0:15:01.897,0:15:04.529
Това, което направих е [br]този облак от думи.

0:15:04.529,0:15:06.661
Минах през всичките хиляда

0:15:06.661,0:15:08.456
и ги категоризирах в

0:15:08.456,0:15:10.836
свободни тематични категории.

0:15:10.836,0:15:12.739
В някои случаи

0:15:12.739,0:15:14.777
беше доста трудно да определя

0:15:14.777,0:15:16.532
в коя категория трябва да са.

0:15:16.532,0:15:18.431
След това им дадох цветен код.

0:15:18.431,0:15:21.050
Ето няколко примера за трудност.

0:15:21.050,0:15:22.231
"Джъстин"

0:15:22.231,0:15:24.060
Това името на потребителя ли е,

0:15:24.060,0:15:25.382
на приятеля или на сина?

0:15:25.382,0:15:28.270
Може би са били фенове на [br]Джъстин Бийбър.

0:15:28.270,0:15:30.495
Или "принцеса".

0:15:30.495,0:15:32.130
Това прозвище ли е?

0:15:32.130,0:15:33.725
Или са фенове на принцесата на Дисни?

0:15:33.725,0:15:37.419
Или може би това е името на котката им.

0:15:37.419,0:15:39.074
"Обичам те"се появява много пъти

0:15:39.074,0:15:40.619
на много езици.

0:15:40.619,0:15:44.354
Има изобилие от любов в тези пароли.

0:15:44.354,0:15:46.034
Ако гледате внимателно, ще видите и

0:15:46.034,0:15:48.301
някои ругатни,

0:15:48.301,0:15:50.251
но за мен беше наистина [br]интересно да видя,

0:15:50.251,0:15:52.558
че има много повече любов, [br]отколкото омраза

0:15:52.558,0:15:54.850
в тези пароли.

0:15:54.850,0:15:56.340
Има и животни.

0:15:56.340,0:15:57.700
Много животни.

0:15:57.700,0:16:00.004
"Маймуна" е най-често срещаното,

0:16:00.004,0:16:03.679
при това е 14-та най-популярна [br]парола изобщо.

0:16:03.679,0:16:05.910
Беше ми наистина любопитно.

0:16:05.910,0:16:08.433
Чудех се защо маймуните са [br]толкова популярни.

0:16:08.433,0:16:11.785
И така в последното ни [br]изследване на пароли,

0:16:11.785,0:16:13.471
всеки път, когато откриехме някой,

0:16:13.471,0:16:16.120
създаващ парола с думата [br]"маймуна" в нея,

0:16:16.120,0:16:19.150
го питахме защо я слага.

0:16:19.150,0:16:21.060
Това, което установихме -

0:16:21.060,0:16:23.163
засега сме намерили, мисля, 17 души,

0:16:23.163,0:16:24.446
които използваха думата "маймуна" -

0:16:24.446,0:16:26.258
е, че около една трета от тях

0:16:26.258,0:16:27.998
имат домашен любимец, наричан така

0:16:27.998,0:16:30.289
или приятел с прозвището "маймуна".

0:16:30.289,0:16:31.949
Около една трета казаха,

0:16:31.949,0:16:33.482
че просто харесват маймуни

0:16:33.482,0:16:35.120
защото са много мили.

0:16:35.120,0:16:38.759
Тази тук е наистина сладка.

0:16:38.759,0:16:42.167
Изглежда, че в края на краищата,

0:16:42.167,0:16:43.950
когато измисляме пароли,

0:16:43.950,0:16:45.924
ние или правим нещо лесно

0:16:45.924,0:16:48.933
за написване, общ модел,

0:16:48.933,0:16:51.419
или неща, които ни напомнят [br]за думата парола

0:16:51.419,0:16:54.731
или за акаунта, за който [br]създаваме паролата

0:16:54.731,0:16:57.348
или нещо такова.

0:16:57.348,0:16:59.990
Или мислим за неща, [br]които ни правят щастливи

0:16:59.990,0:17:01.294
и създаваме нашите пароли

0:17:01.294,0:17:03.532
въз основа на тях.

0:17:03.532,0:17:06.395
И докато това прави писането

0:17:06.395,0:17:09.265
и запомнянето на паролите забавно,

0:17:09.265,0:17:11.072
също така го прави лесно

0:17:11.072,0:17:12.578
за отгатване на паролата ви.

0:17:12.578,0:17:14.326
Аз зная, че много от тези TED беседи

0:17:14.326,0:17:15.960
вдъхновяват

0:17:15.960,0:17:18.421
и ви карат да мислите за хубави, [br]радостни неща,

0:17:18.421,0:17:20.318
но когато създавате паролата си

0:17:20.318,0:17:22.309
опитайте да мислите за нещо друго.

0:17:22.309,0:17:23.416
Благодаря ви.

0:17:23.416,0:17:23.969
(Аплодисменти)