0:00:00.535,0:00:03.980
Jsem profesorkou informatiky a inženýrství,[br]tady na Carnegie Mellon,

0:00:03.980,0:00:08.228
a můj výzkum se zaměřuje na [br]ochranu a zabezpečení osobních údajů,

0:00:08.228,0:00:10.996
a tak mi mí přátelé rádi říkají

0:00:10.996,0:00:13.198
o svých potížích s informačními systémy,

0:00:13.198,0:00:16.552
jde především o obavy souvisejícími

0:00:16.552,0:00:20.664
s nepoužitelnou ochranou osobních údajů.

0:00:20.664,0:00:23.375
Hesla jsou něco, o čem slýchávám hodně.

0:00:23.375,0:00:26.255
Hodně lidí je frustrováno hesly,

0:00:26.255,0:00:27.949
a je dost špatné,

0:00:27.949,0:00:30.593
když máte mít jedno opravdu dobré heslo,

0:00:30.593,0:00:32.415
které si jste schopni pamatovat,

0:00:32.415,0:00:35.309
ale nikdo jiný ho nebude schopen uhodnout.

0:00:35.309,0:00:36.946
Ale co uděláte, když máte účty

0:00:36.946,0:00:38.754
na milionech různých systémech

0:00:38.754,0:00:41.030
a měli byste mít jedinečné heslo

0:00:41.030,0:00:44.067
pro každý z těchto systémů?

0:00:44.067,0:00:46.251
Je to těžké.

0:00:46.251,0:00:48.010
V Carnegie Mellon pro nás bývávalo

0:00:48.010,0:00:49.309
zapamatování hesla

0:00:49.309,0:00:51.046
vlastně docela jednoduché.

0:00:51.046,0:00:53.449
Požadavkem na heslo do roku 2009

0:00:53.449,0:00:55.828
bylo pouze mít heslo

0:00:55.828,0:00:58.039
s alespoň jedním znakem.

0:00:58.039,0:01:00.927
Docela jednoduché.[br]Ale pak se věci změnili

0:01:00.927,0:01:03.597
a na konci roku 2009 oznámili,

0:01:03.597,0:01:05.973
že se chystají mít novou zásadu,

0:01:05.973,0:01:07.836
a tato nová zásada požadovala

0:01:07.836,0:01:10.517
hesla, která byla dlouhá alespoň 8 znaků,

0:01:10.517,0:01:12.292
s velkým písmenem, malým písmenem,

0:01:12.292,0:01:13.580
číslovkou, symbolem,

0:01:13.580,0:01:16.218
nemohli jste použít [br]stejný znak více než třikrát,

0:01:16.218,0:01:18.652
a nebylo povoleno heslo ze slovníku.

0:01:18.652,0:01:20.834
Nyní když zavedli tuto novou zásadu,

0:01:20.834,0:01:23.144
hodně lidí, mých kolegů a přátel,

0:01:23.144,0:01:24.998
přišli za mnou a říkali: "Wow,

0:01:24.998,0:01:26.510
teď je to opravdu nepoužitelné.

0:01:26.510,0:01:27.703
Proč nám to dělají

0:01:27.703,0:01:29.414
a proč jsi je nezastavila?"

0:01:29.414,0:01:30.770
A já jsem řekla: "No, víte co?

0:01:30.770,0:01:32.278
Oni se mě nezeptali."

0:01:32.278,0:01:35.743
Ale začalo mne to zajímat [br]a rozhodla jsem se jít promluvit

0:01:35.743,0:01:37.680
s lidmi ve vedení naší počítačové sítě,

0:01:37.680,0:01:40.511
a zjistit, co je vedlo k zavedení

0:01:40.511,0:01:42.359
této nové politiky,

0:01:42.359,0:01:43.943
a oni řekli, že se univerzita

0:01:43.943,0:01:46.309
připojila ke spolku univerzit

0:01:46.309,0:01:48.943
a jedním z požadavků na členství

0:01:48.943,0:01:51.191
bylo, že musíme mít silnější heslo,

0:01:51.191,0:01:53.463
které splňuje některé nové podmínky,

0:01:53.463,0:01:55.567
a těmito podmínkami bylo,[br]že naše hesla

0:01:55.567,0:01:57.171
musí obsahovat hodně entropie.

0:01:57.171,0:01:59.449
Entropie je docela složitý termín,

0:01:59.449,0:02:02.247
ale v podstatě jde o měření síly hesel.

0:02:02.247,0:02:04.226
Ale jde o to, že vlastně není

0:02:04.226,0:02:06.175
žádné standardní měřítko entropie.

0:02:06.175,0:02:08.574
Národní úřad pro normalizaci a měření (UNM)

0:02:08.574,0:02:10.127
má směrnice,

0:02:10.127,0:02:12.695
které mají určitá pravidla

0:02:12.695,0:02:14.135
pro měření entropie,

0:02:14.135,0:02:17.030
ale nemají nic příliš specifického,

0:02:17.030,0:02:19.367
a důvod, proč mají pravidla jen tak od oka

0:02:19.367,0:02:22.503
je, že oni vlastně nemají žádná dobrá data

0:02:22.503,0:02:24.023
týkající se hesel.

0:02:24.023,0:02:26.335
Ve skutečnosti jejich zpráva uvádí:

0:02:26.335,0:02:28.663
"Bohužel, nemáme příliš dat týkající se hesel,

0:02:28.663,0:02:31.505
která si uživatelé vybírají za určitých podmínek.

0:02:31.505,0:02:33.838
UNM by rád získal více dat

0:02:33.838,0:02:36.300
ohledně hesel, která si uživatelé vybírají,

0:02:36.300,0:02:38.763
nicméně systémoví administrátoři[br]se pochopitelně zdráhají

0:02:38.763,0:02:41.703
odhalit hesla ostatním."

0:02:41.703,0:02:44.800
Tohle je problém, [br]ale naše výzkumná skupina

0:02:44.800,0:02:46.940
to viděla jako příležitost.

0:02:46.940,0:02:50.040
Řekli jsme: "No, je tady potřeba [br]získat data ohledně hesel.

0:02:50.040,0:02:52.188
Možná budeme moci sesbírat informace k heslům

0:02:52.188,0:02:54.892
a vlastně dopomoci dobrému stavu věcí.

0:02:54.892,0:02:56.564
Takže první věc, kterou jsme udělali,

0:02:56.564,0:02:58.120
vzali jsme tašku sladkých tyčinek,

0:02:58.120,0:02:59.206
a chodili jsme po kampusu

0:02:59.206,0:03:02.004
a mluvili se studenty, učiteli[br]a zaměstnanci,

0:03:02.004,0:03:03.534
a ptali se jich na informace

0:03:03.534,0:03:05.086
ohledně jejich hesel.

0:03:05.086,0:03:08.090
Neříkali jsme: "Dej nám svoje heslo."

0:03:08.090,0:03:10.751
Ne, my jsme se jen ptali na jejich hesla.

0:03:10.751,0:03:12.229
Jak je dlouhé? Obsahuje číslovku?

0:03:12.229,0:03:13.297
Obsahuje symbol?

0:03:13.297,0:03:15.342
A obtěžovalo vás vytvořit si

0:03:15.342,0:03:18.086
nové heslo minulý týden?

0:03:18.086,0:03:21.292
Tak jsme získali výsledky od 470 studentů,

0:03:21.292,0:03:22.263
učitelů a zaměstnanců,

0:03:22.263,0:03:24.777
a opravdu jsme potvrdili, že nová politika

0:03:24.777,0:03:26.230
byla velmi otravná,

0:03:26.230,0:03:28.022
ale také jsme zjistili, že lidé říkali,

0:03:28.022,0:03:31.152
že se cítili více bezpečně [br]s těmito novými hesly.

0:03:31.152,0:03:33.458
Zjistili jsme, že většina lidí věděla,

0:03:33.458,0:03:35.610
že by si neměli svoje heslo zapsat

0:03:35.610,0:03:38.001
a pouze 13 procent z nich to udělalo,

0:03:38.001,0:03:40.417
ale znepokojivě, 80 procent lidí

0:03:40.417,0:03:42.541
řeklo, že opětovně používají svá hesla.

0:03:42.541,0:03:44.337
A to je vlastně více nebezpečné

0:03:44.337,0:03:46.359
než zapsat si svoje heslo.

0:03:46.359,0:03:49.920
protože vás to dělá [br]více náchylnými k napadení.

0:03:49.920,0:03:53.038
Takže pokud musíte, zapište si svoje heslo,

0:03:53.038,0:03:54.837
ale nepoužívejte je opakovaně.

0:03:54.837,0:03:56.588
Také jsme zjistili nějaké zajímavě věci

0:03:56.588,0:03:59.549
ohledně symbolů , které lidé [br]ve svých heslech používají.

0:03:59.549,0:04:02.348
Univerzita dovoluje 32 možných symbolů,

0:04:02.348,0:04:04.781
ale jak můžete vidět, [br]je jen malé množství symbolů,

0:04:04.781,0:04:06.583
které lidé většinou používají,

0:04:06.583,0:04:09.524
takže vlastně nezískáváme moc síly

0:04:09.524,0:04:11.990
ze symbolů ve svých heslech.

0:04:12.000,0:04:14.615
Byla to velmi zajímavá studie

0:04:14.615,0:04:17.165
a nyní máme data od 470 lidí,

0:04:17.165,0:04:18.470
ale v souhrnu všech věcí,

0:04:18.470,0:04:21.050
to vlastně příliš dat o heslech není,

0:04:21.050,0:04:22.495
a tak jsme se porozhlédli kolem,

0:04:22.495,0:04:25.055
kde bychom mohli najít [br]dodatečná data o heslech?

0:04:25.055,0:04:27.231
Zdá se, že je zde mnoho lidí,

0:04:27.231,0:04:29.433
kteří hesla kradou,

0:04:29.433,0:04:31.910
a často tato hesla publikují

0:04:31.910,0:04:33.247
na internetu.

0:04:33.247,0:04:34.920
A my jsme byli schopní získat přístup

0:04:34.920,0:04:38.890
k některým z těchto kradených hesel.

0:04:38.890,0:04:41.218
Nicméně to stále není ideální pro výzkum,

0:04:41.218,0:04:43.255
protože není úplně jasné,

0:04:43.255,0:04:45.439
odkud se ta hesla vzala,

0:04:45.439,0:04:47.681
nebo jaké zásady zrovna platily,

0:04:47.681,0:04:49.789
když lidé ta hesla tvořili.

0:04:49.789,0:04:53.341
Tak jsme chtěli najít nějaký lepší zdroj dat.

0:04:53.341,0:04:54.975
Rozhodli jsme, že bychom mohli

0:04:54.975,0:04:57.104
udělat studii a přitom nechat lidi

0:04:57.104,0:05:00.344
vytvořit hesla pro naši studii.

0:05:00.344,0:05:03.165
Tak jsme použili službu zvanou[br]Amazon Mechanical Turk,

0:05:03.165,0:05:05.499
a to je služba, kde můžete publikovat

0:05:05.499,0:05:07.803
malý úkol online, který zabere minutu,

0:05:07.803,0:05:09.303
několik minut, hodinu,

0:05:09.303,0:05:11.887
a zaplatit lidem haléř, [br]10 centů, pár dolarů,

0:05:11.887,0:05:13.233
aby pro vás udělali úkol

0:05:13.233,0:05:15.355
a pak jim zaplatíte přes Amazon.com.

0:05:15.355,0:05:17.649
Tak jsme zaplatili lidem kolem 50 centů

0:05:17.649,0:05:20.245
za vytvoření hesla podle našich pravidel

0:05:20.245,0:05:21.655
a vyplnění dotazníku,

0:05:21.655,0:05:24.180
a pak jsme jim zaplatili [br]znovu, aby se vrátili

0:05:24.180,0:05:26.251
o dva dny později a přihlásili se

0:05:26.251,0:05:28.825
použitím jejich hesla [br]a vyplněním dalšího dotazníku.

0:05:28.825,0:05:33.289
Tak jsme to udělali a sesbírali 5000 hesel

0:05:33.289,0:05:35.984
a dali jsme lidem kupu různých pravidel

0:05:35.984,0:05:37.492
pro tvoření hesel.

0:05:37.492,0:05:39.402
Někteří lidé měli docela jednoduché pravidlo,

0:05:39.402,0:05:40.941
říkáme mu Basic8,

0:05:40.941,0:05:43.087
a tady jediná podmínka bylo, že vaše heslo

0:05:43.087,0:05:46.503
musí mít alespoň 8 znaků.

0:05:46.503,0:05:48.754
Pak někteří lidé měli hodně těžší zásadu,

0:05:48.754,0:05:51.291
a to bylo velmi podobné politice CMU,

0:05:51.291,0:05:53.225
a to, že musí mít 8 znaků

0:05:53.225,0:05:55.601
včetně velkého a malého písmena,[br]číslovku, symbol,

0:05:55.601,0:05:57.990
a musí projít testem slovníku.

0:05:57.990,0:05:59.325
A jedna z dalších zásad, kterou jsme zkusili,

0:05:59.325,0:06:00.595
a bylo jich mnohem více,

0:06:00.595,0:06:02.835
ale jednu z těch, co jsme zkusili se jmenuje Basic16,

0:06:02.835,0:06:05.467
a jejím jediným požadavkem

0:06:05.467,0:06:08.620
je mít heslo s alespoň 16 znaky.

0:06:08.620,0:06:11.078
Dobře, tak teď jsme měli 5000 hesel,

0:06:11.078,0:06:14.641
a tak jsme měli mnohem detailnější informace.

0:06:14.641,0:06:17.200
Znova vidíme, že je jen malé množství

0:06:17.200,0:06:19.115
symbolů, které lidé vlastně používají

0:06:19.115,0:06:21.001
ve svých heslech.

0:06:21.001,0:06:23.600
Také jsme chtěli vědět, jak silná

0:06:23.600,0:06:26.371
hesla lidé vytvářeli,

0:06:26.371,0:06:28.991
ale jak si možná vzpomenete, [br]neexistuje dobré měřítko

0:06:28.991,0:06:30.745
síly hesla.

0:06:30.745,0:06:33.057
Takže jsme se rozhodli podívat,

0:06:33.057,0:06:35.427
jak dlouho bude trvat nabourat tato hesla

0:06:35.427,0:06:36.841
použitím nejlepších nabourávacích nástrojů,

0:06:36.841,0:06:38.649
které ti zlí hoši používají,

0:06:38.649,0:06:40.665
nebo jsme mohli najít informace

0:06:40.665,0:06:42.202
ve výzkumné literatuře.

0:06:42.202,0:06:44.960
Tak abych vám udělala[br]představu o tom, jak se zlí hoši

0:06:44.960,0:06:47.130
nabourávají do hesel,

0:06:47.130,0:06:49.081
ukradnou soubor hesel,

0:06:49.081,0:06:51.234
který obsahuje všechna ta hesla

0:06:51.234,0:06:54.123
v takové zakódované podobě,[br]nazvané "hash",

0:06:54.123,0:06:56.685
a co udělají je, že si tipnou,

0:06:56.685,0:06:58.397
jaké to heslo je,

0:06:58.397,0:07:00.294
projedou to skrz "hash" funkci,

0:07:00.294,0:07:02.059
a uvidí, jestli to odpovídá

0:07:02.059,0:07:06.009
heslům, které mají [br]na jejich ukradeném seznamu hesel.

0:07:06.009,0:07:09.114
No a hloupý útočník zkusí každé heslo postupně.

0:07:09.114,0:07:12.682
Začnou s AAAAA, pokračují s AAAAB

0:07:12.682,0:07:15.100
a tohle zabere opravdu dlouho

0:07:15.100,0:07:16.626
než získají hesla,

0:07:16.626,0:07:19.323
která lidé s velkou pravděpodobností mají.

0:07:19.323,0:07:21.506
Chytrý útočník, na druhou stranu,

0:07:21.506,0:07:22.892
udělá něco mnohem chytřejšího.

0:07:22.892,0:07:24.718
Podívají se na hesla,

0:07:24.718,0:07:26.518
o kterých se ví, že jsou populární

0:07:26.518,0:07:28.245
z těch ukradených souborů hesel

0:07:28.245,0:07:29.434
a právě ty hádají jako první.

0:07:29.434,0:07:31.568
Takže začnou s hádáním "heslo",

0:07:31.568,0:07:34.319
a pak tipnou "miluji tě", a "opice",

0:07:34.319,0:07:36.902
a "12345678"

0:07:36.902,0:07:38.214
protože to jsou hesla,

0:07:38.214,0:07:40.119
která lidé nejpravděpodobněji mají.

0:07:40.119,0:07:43.380
A opravdu, někteří z vás [br]pravděpodobně mají tato hesla.

0:07:45.191,0:07:46.489
Takže co jsme našli

0:07:46.489,0:07:49.895
díky testování všech těch 5000 hesel, [br]co jsme sesbírali,

0:07:49.895,0:07:54.001
v těch testech, které ukazují sílu hesel,

0:07:54.001,0:07:56.753
zjistili jsme, že dlouhá hesla

0:07:56.753,0:07:58.033
jsou vlastně docela silná,

0:07:58.033,0:08:01.295
a komplexní hesla jsou taky celkem silná.

0:08:01.295,0:08:03.737
Nicméně, když jsme se podívali [br]na data výzkumu,

0:08:03.737,0:08:06.761
viděli jsme, že lidé jsou [br]opravdu frustrovaní

0:08:06.761,0:08:09.100
velmi komplexními hesly,

0:08:09.100,0:08:11.730
a dlouhá hesla byla mnohem více použitelná

0:08:11.730,0:08:13.055
a v některých případech,[br]byla vlastně

0:08:13.055,0:08:15.963
dokonce silnější než komplexní hesla.

0:08:15.963,0:08:17.132
Takže tohle naznačuje,

0:08:17.132,0:08:18.835
že na místo říkat lidem, že mají

0:08:18.835,0:08:20.357
dát všechny ty symboly a čísla

0:08:20.357,0:08:23.199
a šílené věci do svých hesel,

0:08:23.199,0:08:25.221
tak bychom lépe lidem jen řekli,

0:08:25.221,0:08:27.873
aby měli dlouhá hesla.

0:08:27.873,0:08:29.665
No ale tady je teď problém:

0:08:29.665,0:08:31.920
Někteří lidé měli dlouhá hesla,

0:08:31.920,0:08:33.475
která vlastně nebyla moc silná.

0:08:33.475,0:08:35.472
Můžete vytvořit dlouhá hesla,

0:08:35.472,0:08:37.028
která jsou stejně

0:08:37.028,0:08:38.770
útočníkem lehce uhodnutelná.

0:08:38.770,0:08:42.135
Takže musíme udělat víc, [br]než jen zadat dlouhá hesla.

0:08:42.135,0:08:44.071
Musí tam být nějaké dodatečné požadavky,

0:08:44.071,0:08:47.040
a některé z našich probíhajících [br]výzkumů zkoumají

0:08:47.040,0:08:49.479
jaké dodatečné požadavky [br]bychom měli přidat,

0:08:49.479,0:08:51.583
abychom udělali silnější hesla,

0:08:51.583,0:08:53.895
která budou pro lidi jednoduchá

0:08:53.895,0:08:56.593
na zapamatování i psaní.

0:08:56.593,0:08:58.719
Další přístup, jak lidi dostat k tomu, aby měli

0:08:58.719,0:09:00.976
silnější hesla, je užití heslo-metru.

0:09:00.976,0:09:02.361
Tady jsou nějaké příklady.

0:09:02.361,0:09:03.762
Možná jste je viděli na internetu,

0:09:03.762,0:09:06.819
když jste vytvářeli hesla.

0:09:06.819,0:09:09.067
My jsme se rozhodli udělali studii, [br]abychom zjistili,

0:09:09.067,0:09:11.954
jestli ty heslo-metry opravdu fungují.

0:09:11.954,0:09:13.375
Opravdu lidem pomáhají

0:09:13.375,0:09:14.828
mít silnější heslo,

0:09:14.828,0:09:16.914
a jestli ano,[br]které jsou lepší?

0:09:16.914,0:09:19.421
Tak jsme otestovali heslo-metry,[br]které měly

0:09:19.421,0:09:21.519
různé velikosti, tvary, barvy,

0:09:21.519,0:09:22.935
různá slova vedle nich,

0:09:22.935,0:09:26.210
a dokonce jsme otestovali ten,[br]co byl tančící králík.

0:09:26.210,0:09:27.792
Když napíšete lepší heslo,

0:09:27.792,0:09:30.331
králík tančí rychleji a rychleji.

0:09:30.331,0:09:32.860
Takže to bylo docela sranda.

0:09:32.860,0:09:34.427
Co jsme zjistili

0:09:34.427,0:09:37.999
bylo, že heslo-metry fungují.

0:09:37.999,0:09:39.800
(smích)

0:09:39.800,0:09:43.133
Většina heslo-metrů byla vlastně efektních,

0:09:43.133,0:09:45.654
a tančící králík byl taky hodně efektní,

0:09:45.654,0:09:48.535
ale heslo-metry, které byly nejvíce efektní,

0:09:48.535,0:09:50.890
byly ty, co vás přiměly pracovat pilněji

0:09:50.890,0:09:52.870
předtím než vám ukázaly [br]palec nahoru a řekly,

0:09:52.870,0:09:54.247
že děláte dobrou práci,

0:09:54.247,0:09:55.759
a ve skutečnosti jsme zjistili, [br]že většina

0:09:55.759,0:09:58.040
heslo-metrů na internetu

0:09:58.040,0:09:58.992
je dnes příliš slabá.

0:09:58.992,0:10:01.195
Řeknou vám, [br]že děláte dobrou práci příliš brzy,

0:10:01.195,0:10:03.124
a pokud by počkali jen chvilku předtím

0:10:03.124,0:10:05.173
než vám dají tu pozitivní zpětnou vazbu,

0:10:05.173,0:10:08.333
pravděpodobně byste měli lepší hesla.

0:10:08.333,0:10:12.180
Další přístup k lepším heslům je možná

0:10:12.180,0:10:15.070
užití frází namísto hesel.

0:10:15.070,0:10:18.488
toto byl xkcd kreslený vtip,[br]několik let starý,

0:10:18.488,0:10:20.162
a ten karikaturista navrhl,

0:10:20.162,0:10:22.358
že bychom všichni měli používat fráze,

0:10:22.358,0:10:25.528
a když se podíváte na druhý řádek [br]toho kresleného vtipu,

0:10:25.528,0:10:27.385
můžete vidět, že karikaturista navrhuje,

0:10:27.385,0:10:30.826
že fráze "Oprav koňské svorky baterie"

0:10:30.826,0:10:33.307
by byla velmi silnou frází

0:10:33.307,0:10:35.223
a něčím opravdu jednoduchým k zapamatování.

0:10:35.223,0:10:38.020
Říká, vlastně jste si to už zapamatovali.

0:10:38.020,0:10:40.170
A tak jsme se rozhodli udělat studii,

0:10:40.170,0:10:42.762
abychom zjistili, [br]jestli je to pravda nebo ne.

0:10:42.762,0:10:44.537
Ve skutečnosti, každý s kým mluvím,

0:10:44.537,0:10:46.579
komu zmíním, že dělám výzkum o heslech,

0:10:46.579,0:10:47.979
poukáží na tento kreslený vtip.

0:10:47.979,0:10:49.553
"Oh, viděla jsi to? Ten komix.

0:10:49.553,0:10:51.155
Oprav koňské svorky baterie."

0:10:51.155,0:10:52.961
Tak jsme udělali výzkumnou studii, [br]abychom viděli

0:10:52.961,0:10:55.320
co by se vlastně stalo.

0:10:55.320,0:10:58.380
Takže v naší studii jsme [br]zase použili Mechanical Turk,

0:10:58.380,0:11:02.547
a počítač nám vybral náhodná slova

0:11:02.547,0:11:03.647
do heslových frází.

0:11:03.647,0:11:04.800
Důvod, proč jsme to udělali

0:11:04.800,0:11:06.386
je, že lidé nejsou velmi dobří

0:11:06.386,0:11:07.770
ve vybírání náhodných slov.

0:11:07.770,0:11:09.032
Pokud bychom požádali člověka,[br]aby to udělal,

0:11:09.032,0:11:12.030
vybral by věci, [br]které by nebyly moc náhodné.

0:11:12.030,0:11:14.062
Tak jsme zkusili pár různých podmínek.

0:11:14.062,0:11:16.152
Za první podmínky počítač vybral

0:11:16.152,0:11:18.368
ze slovníku velmi běžných slov

0:11:18.368,0:11:19.730
anglického jazyka,

0:11:19.730,0:11:21.494
a tak byste narazili na fráze jako

0:11:21.494,0:11:23.418
"zkus tam tři přijít".

0:11:23.418,0:11:25.150
A my jsme se na to podívali a řekli:

0:11:25.150,0:11:28.200
"No, to opravdu nevypadá velmi zapamatovatelně."

0:11:28.200,0:11:30.440
Tak pak jsme zkusili vybírání slov,

0:11:30.440,0:11:32.961
které pocházeli ze specifických částí řeči,

0:11:32.961,0:11:35.143
takže co třeba podstatné jm.-sloveso-přídavné jm.-podstatné jm.

0:11:35.143,0:11:37.720
To přijde s něčím,[br]co už trochu vypadá jako věta.

0:11:37.720,0:11:39.790
Tak můžete dostat frázi jako

0:11:39.790,0:11:41.098
"plán buduje spolehlivou sílu"

0:11:41.098,0:11:43.884
nebo "konec určuje červenou drogu"

0:11:43.884,0:11:46.560
A tyto vypadají trochu víc zapamatovatelně,

0:11:46.560,0:11:49.382
a lidé by je asi měli trochu raději.

0:11:49.382,0:11:51.954
Chtěli jsme je porovnat s hesly

0:11:51.954,0:11:55.150
a tak jsme nechali počítač [br]vybrat náhodná hesla,

0:11:55.150,0:11:57.140
a ty byly pěkné a krátké, ale jak můžete vidět,

0:11:57.140,0:11:59.946
opravdu nevypadají moc zapamatovatelně.

0:11:59.946,0:12:01.342
A pak jsme se rozhodli [br]vyzkoušet něco nazvané

0:12:01.342,0:12:02.988
vyslovitelné heslo.

0:12:02.988,0:12:05.233
Tak tady počítač vybere náhodné slabiky

0:12:05.233,0:12:06.367
a dá je dohromady

0:12:06.367,0:12:08.842
tak, že máte něco nějak vyslovitelného,

0:12:08.842,0:12:11.444
jako "tufritvi" a "vadasabi".

0:12:11.444,0:12:13.591
Ten se nějak váli na jazyku.

0:12:13.591,0:12:15.807
Takže ta byla náhodná hesla, která byla

0:12:15.807,0:12:18.551
vygenerovaná počítačem.

0:12:18.551,0:12:21.529
Co jsme zjistili v této studii je, překvapivě,

0:12:21.529,0:12:25.297
že heslové fráze nebyly vlastně tak dobré.

0:12:25.297,0:12:28.090
Lidé opravdu nebyli lepší v pamatování

0:12:28.090,0:12:31.043
frází než těchto náhodných hesel,

0:12:31.043,0:12:33.797
a protože fráze jsou delší,

0:12:33.797,0:12:35.023
jejich napsání trvá déle

0:12:35.023,0:12:38.033
a lidé dělají více chyb, když je píší.

0:12:38.033,0:12:41.260
Takže to opravdu není [br]čistá výhra pro fráze.

0:12:41.260,0:12:44.605
Promiňte, všichni fanoušci komixu xkcd.

0:12:44.605,0:12:46.497
Na druhou stranu jsme zjistili,

0:12:46.497,0:12:48.301
že vyslovitelná hesla

0:12:48.301,0:12:49.772
fungují překvapivě dobře,

0:12:49.772,0:12:52.190
a tak už děláme další výzkum,

0:12:52.190,0:12:55.385
abychom zjistili, jestli můžeme [br]tento přístup udělat ještě lepším.

0:12:55.385,0:12:57.197
Jeden z problémů

0:12:57.197,0:12:58.820
s některými z našich studií

0:12:58.820,0:13:00.503
je, že protože jsou udělány

0:13:00.503,0:13:02.093
za pomoci Mechanical Turk,

0:13:02.093,0:13:03.905
nejsou to opravdová hesla lidí.

0:13:03.905,0:13:06.010
Jsou to hesla, která lidé vytvořili

0:13:06.010,0:13:08.505
nebo počítač vytvořil za ně [br]pro náš výzkum.

0:13:08.505,0:13:10.073
A my jsme chtěli vědět,

0:13:10.073,0:13:12.385
jestli by se lidé chovali stejně

0:13:12.385,0:13:14.612
se svými opravdovými hesly.

0:13:14.612,0:13:18.293
Tak jsme si promluvili s informační [br]bezpečností službou v Carnegie Mellon

0:13:18.293,0:13:22.096
a zeptali se jich, jestli bychom [br]mohli mít opravdová hesla všech.

0:13:22.096,0:13:23.850
Nepřekvapivě byli trochu zdráhaví

0:13:23.850,0:13:25.400
je s námi sdílet,

0:13:25.400,0:13:27.210
ale my jsme vlastně byli schopní s nimi

0:13:27.210,0:13:28.250
vypracovat systém,

0:13:28.250,0:13:30.359
kam vložili všechna reálná hesla

0:13:30.359,0:13:33.450
25000 studentů, učitelů a zaměstnanců,

0:13:33.450,0:13:35.898
do uzamčeného počítače [br]v uzamčené místnosti,

0:13:35.898,0:13:37.292
nepřipojeném k internetu

0:13:37.292,0:13:39.140
a oni na něm spustili kód, [br]který jsme napsali,

0:13:39.140,0:13:41.292
abychom zanalyzovali ta hesla.

0:13:41.292,0:13:42.618
Oni nahráli náš kód.

0:13:42.618,0:13:43.930
Spustili ten kód.

0:13:43.930,0:13:45.668
A tak jsme nikdy vlastně neviděli

0:13:45.668,0:13:48.485
ničí heslo.

0:13:48.485,0:13:50.000
Dostali jsme nějaké zajímavé výsledky,

0:13:50.000,0:13:51.696
a vás, studenty Tepper, vzadu,

0:13:51.696,0:13:54.571
to bude velmi zajímat.

0:13:54.571,0:13:58.302
Zjistili jsme, že hesla vytvořená

0:13:58.302,0:14:00.460
lidmi z fakulty počítačových věd

0:14:00.460,0:14:02.784
byla vlastně 1.8 krát silnější

0:14:02.784,0:14:06.522
než těch z ekonomické fakulty.

0:14:06.522,0:14:08.562
Máme také hodně dalších opravdu zajímavých

0:14:08.562,0:14:10.800
demografických informací.

0:14:10.800,0:14:12.646
Další zajímá věc, kterou jsme zjistili

0:14:12.646,0:14:15.086
je, že když srovnáme [br]hesla z Carnegie Mellon

0:14:15.086,0:14:17.369
s hesly vygenerovanými na Mechanical Turk,

0:14:17.369,0:14:19.988
bylo tam celkem hodně podobností,

0:14:19.988,0:14:21.936
a pomohlo to ověřit naši výzkumnou metodu

0:14:21.936,0:14:24.446
a ukázat, že sbírání hesel

0:14:24.446,0:14:26.254
za pomoci Mechanical Turk studí

0:14:26.254,0:14:29.042
je vlastně správná cesta ke zkoumání hesel.

0:14:29.042,0:14:31.327
A to byla dobrá zpráva.

0:14:31.327,0:14:33.741
Dobře, chtěla bych na závěr říct něco

0:14:33.741,0:14:35.809
o zkušenosti, kterou jsem získala loni

0:14:35.809,0:14:39.010
na roční vědecké dovolené [br]ve škole umění Carnegie Mellon.

0:14:39.010,0:14:40.291
Jedna z věcí, kterou jsem vytvořila,

0:14:40.291,0:14:41.815
bylo několik přikrývek,

0:14:41.815,0:14:43.363
a tohle je jedna z nich.

0:14:43.363,0:14:45.262
Jmenuje se "Bezpečnostní deka".

0:14:45.262,0:14:47.693
(Smích)

0:14:47.693,0:14:50.788
A tato deka obsahuje 1000

0:14:50.788,0:14:53.116
nejčastějších hesel ukradených

0:14:53.116,0:14:55.687
ze stránky RockYou.

0:14:55.687,0:14:57.748
A velikost hesel odpovídá tomu,

0:14:57.748,0:14:59.649
jak často se objevovala

0:14:59.649,0:15:01.897
v ukradené databázi.

0:15:01.897,0:15:04.529
A tak jsem vytvořila tento mrak slov

0:15:04.529,0:15:06.661
a prošla všech 1000 slov

0:15:06.661,0:15:08.456
a rozřadila je do

0:15:08.456,0:15:10.836
volných tematických kategorií.

0:15:10.836,0:15:12.739
A to bylo, v některých případech,

0:15:12.739,0:15:14.777
docela složité zjistit,

0:15:14.777,0:15:16.532
do jaké kategorie by měly patřit

0:15:16.532,0:15:18.431
a pak jsem je barevně označila.

0:15:18.431,0:15:21.050
Tady jsou některé obtížné příklady.

0:15:21.050,0:15:22.231
Třeba "justin".

0:15:22.231,0:15:24.060
Je to jméno uživatele,

0:15:24.060,0:15:25.382
jejich přítel, jejich syn?

0:15:25.382,0:15:28.270
Možná jsou jen fanouškem Justina Biebera.

0:15:28.270,0:15:30.495
Nebo "princezna".

0:15:30.495,0:15:32.130
Je to přezdívka?

0:15:32.130,0:15:33.725
Jsou fanoušci Disney princezen?

0:15:33.725,0:15:37.419
Nebo možná je to jméno jejich kočky.

0:15:37.419,0:15:39.074
"Miluji tě" se objevilo mnohokrát

0:15:39.074,0:15:40.619
v nespočtu různých jazycích.

0:15:40.619,0:15:44.354
V těchto heslech je hodně lásky.

0:15:44.354,0:15:46.034
Když se podíváte pozorněji, uvidíte, že jsou tam taky

0:15:46.034,0:15:48.301
určité vulgarismy,

0:15:48.301,0:15:50.251
ale bylo pro mě opravdu zajímavé vidět,

0:15:50.251,0:15:52.558
že je v těchto heslech

0:15:52.558,0:15:54.850
mnohem více lásky než nenávisti.

0:15:54.850,0:15:56.340
A jsou tam zvířata,

0:15:56.340,0:15:57.700
hodně zvířat,

0:15:57.700,0:16:00.004
a "opice" je nejčastější zvíře

0:16:00.004,0:16:03.679
a 14. nejpopulárnější heslo celkově.

0:16:03.679,0:16:05.910
A to mě opravdu zajímalo,

0:16:05.910,0:16:08.433
a říkala jsem si: "Proč jsou opice tak populární?"

0:16:08.433,0:16:11.785
A v naší poslední studii o heslech,

0:16:11.785,0:16:13.471
pokaždé, když jsme objevili někoho

0:16:13.471,0:16:16.120
používat heslo se slovem "opice",

0:16:16.120,0:16:19.150
zeptali jsme se jich, [br]proč měli opici ve svém hesle.

0:16:19.150,0:16:21.060
A co jsme zjistili -

0:16:21.060,0:16:23.163
našli jsme zatím 17 lidí, myslím,

0:16:23.163,0:16:24.446
co měli slovo "opice" -

0:16:24.446,0:16:26.258
zjistili jsme, že asi třetina z nich řekla,

0:16:26.258,0:16:27.998
že mají domácí zvíře jménem "opice"

0:16:27.998,0:16:30.289
nebo kamaráda, jehož přezdívka je "opice",

0:16:30.289,0:16:31.949
a asi třetina z nich řekla,

0:16:31.949,0:16:33.482
že prostě mají rádi opice

0:16:33.482,0:16:35.120
a že opice jsou roztomilé.

0:16:35.120,0:16:38.759
A ten malý je opravdu roztomilý.

0:16:38.759,0:16:42.167
Tak se zdá, že nakonec

0:16:42.167,0:16:43.950
když tvoříme hesla,

0:16:43.950,0:16:45.924
buď vytvoříme něco, [br]co je opravdu jednoduché

0:16:45.924,0:16:48.933
napsat, běžný vzorec,

0:16:48.933,0:16:51.419
nebo věci, co nám připomínají slovo heslo

0:16:51.419,0:16:54.731
nebo účet, pro který jsme heslo vytvořili,

0:16:54.731,0:16:57.348
nebo cokoliv.

0:16:57.348,0:16:59.990
Nebo myslíme na věci, [br]které nás dělají šťastnými,

0:16:59.990,0:17:01.294
a tvoříme hesla

0:17:01.294,0:17:03.532
založená na věcech, [br]co nás dělají šťastnými.

0:17:03.532,0:17:06.395
A zatímco to dělá psaní

0:17:06.395,0:17:09.265
a zapamatování vašeho hesla více zábavné,

0:17:09.265,0:17:11.072
taky je mnohem lehčí

0:17:11.072,0:17:12.578
vaše heslo uhodnout.

0:17:12.578,0:17:14.326
Vím, že hodně z těchto TED přednášek

0:17:14.326,0:17:15.960
je inspirativních

0:17:15.960,0:17:18.421
a že vás přimějí myslet na hezké, veselé věci,

0:17:18.421,0:17:20.318
ale když si tvoříte heslo,

0:17:20.318,0:17:22.309
snažte se myslet na něco jiného.

0:17:22.309,0:17:22.862
Děkuji.

0:17:23.295,0:17:23.968
(Potlesk)