1 00:00:00,535 --> 00:00:03,980 Soy profesora de ciencias de la computación e ingeniería aquí en Carnegie Mellon, 2 00:00:03,980 --> 00:00:08,228 y mi investigación se centra en la privacidad y seguridad utilizable, 3 00:00:08,228 --> 00:00:10,996 y por ello, a mis amigos les gusta darme ejemplos 4 00:00:10,996 --> 00:00:13,198 de sus frustraciones con los sistemas informáticos, 5 00:00:13,198 --> 00:00:16,552 especialmente de frustraciones relacionados con 6 00:00:16,552 --> 00:00:20,664 la privacidad y la seguridad inutilizable. 7 00:00:20,664 --> 00:00:23,375 Así que he oído mucho sobre contraseñas. 8 00:00:23,375 --> 00:00:26,255 Muchas personas se sienten frustradas con las contraseñas, 9 00:00:26,255 --> 00:00:27,949 y es bastante lamentable 10 00:00:27,949 --> 00:00:30,593 cuando uno debe tener una contraseña muy buena 11 00:00:30,593 --> 00:00:32,415 que pueda recordar 12 00:00:32,415 --> 00:00:35,309 pero que nadie pueda adivinar. 13 00:00:35,309 --> 00:00:36,946 Pero ¿qué hacer cuando se tienen cuentas 14 00:00:36,946 --> 00:00:38,754 en un centenar de diferentes sistemas 15 00:00:38,754 --> 00:00:41,030 y que a su vez se supone que deben ser contraseñas únicas 16 00:00:41,030 --> 00:00:44,067 para cada uno de estos sistemas? 17 00:00:44,067 --> 00:00:46,251 Es complejo. 18 00:00:46,251 --> 00:00:48,010 En Carnegie Mellon solían hacerlo 19 00:00:48,010 --> 00:00:49,309 bastante fácil 20 00:00:49,309 --> 00:00:51,046 para que recordáramos nuestras contraseñas. 21 00:00:51,046 --> 00:00:53,449 El requisito hasta el 2009 para las contraseñas era 22 00:00:53,449 --> 00:00:55,828 que estas tuvieran 23 00:00:55,828 --> 00:00:58,039 al menos un carácter. 24 00:00:58,039 --> 00:01:00,927 Bastante fácil. Pero luego cambiaron las cosas, 25 00:01:00,927 --> 00:01:03,597 y al final del 2009 se anunció 26 00:01:03,597 --> 00:01:05,973 que íbamos a tener una nueva política, 27 00:01:05,973 --> 00:01:07,836 y esta nueva política precisaba 28 00:01:07,836 --> 00:01:10,517 contraseñas que tuvieran al menos 8 caracteres, 29 00:01:10,517 --> 00:01:12,292 con una letra mayúscula, letra minúscula, 30 00:01:12,292 --> 00:01:13,580 un dígito y un símbolo. 31 00:01:13,580 --> 00:01:16,218 No se podía utilizar el mismo carácter más de tres veces, 32 00:01:16,218 --> 00:01:18,652 y no podía aparecer en un diccionario. 33 00:01:18,652 --> 00:01:20,834 Cuando implementaron esta nueva política, 34 00:01:20,834 --> 00:01:23,144 muchos de mis colegas y amigos, 35 00:01:23,144 --> 00:01:24,998 me vinieron para decirme: 36 00:01:24,998 --> 00:01:26,510 "Ahora sí que es realmente inservible. 37 00:01:26,510 --> 00:01:27,703 ¿Por qué nos hacen esto 38 00:01:27,703 --> 00:01:29,414 y por qué no los detuviste?" 39 00:01:29,414 --> 00:01:30,770 Y yo dije: "¿Saben qué? 40 00:01:30,770 --> 00:01:32,278 Nadie me preguntó". 41 00:01:32,278 --> 00:01:35,743 Pero me picó la curiosidad y decidí ir a hablar 42 00:01:35,743 --> 00:01:37,680 con las personas a cargo de nuestros sistemas informáticos 43 00:01:37,680 --> 00:01:40,511 y averiguar qué les llevó a introducir 44 00:01:40,511 --> 00:01:42,359 esta nueva política. 45 00:01:42,359 --> 00:01:43,943 Y dijeron que la universidad 46 00:01:43,943 --> 00:01:46,309 se había unido a un consorcio de universidades, 47 00:01:46,309 --> 00:01:48,943 y uno de los requisitos de membresía 48 00:01:48,943 --> 00:01:51,191 era que debíamos tener contraseñas más seguras 49 00:01:51,191 --> 00:01:53,463 que cumpliesen algunos nuevos requisitos, 50 00:01:53,463 --> 00:01:55,567 y estos requisitos eran que nuestras contraseñas 51 00:01:55,567 --> 00:01:57,171 tenía que tener una gran cantidad de entropía. 52 00:01:57,171 --> 00:01:59,449 La entropía es un término complicado, 53 00:01:59,449 --> 00:02:02,247 pero básicamente mide la fuerza de las contraseñas. 54 00:02:02,247 --> 00:02:04,226 Pero el tema es que eso no es en realidad 55 00:02:04,226 --> 00:02:06,175 una medida estándar de entropía. 56 00:02:06,175 --> 00:02:08,574 El Instituto Nacional de Estándares y Tecnología 57 00:02:08,574 --> 00:02:10,127 tiene un conjunto de directrices 58 00:02:10,127 --> 00:02:12,695 con algunas reglas básicas 59 00:02:12,695 --> 00:02:14,135 para medir la entropía, 60 00:02:14,135 --> 00:02:17,030 pero no tienen nada muy específico, 61 00:02:17,030 --> 00:02:19,367 y la razón por la que solo tiene reglas básicas 62 00:02:19,367 --> 00:02:22,503 es porque en realidad no tienen buena información 63 00:02:22,503 --> 00:02:24,023 sobre contraseñas. 64 00:02:24,023 --> 00:02:26,335 De hecho, su informe señala, 65 00:02:26,335 --> 00:02:28,663 "Desafortunadamente, no tenemos mucha información 66 00:02:28,663 --> 00:02:31,505 sobre las contraseñas que los usuarios eligen bajo reglas particulares. 67 00:02:31,505 --> 00:02:33,838 Al Instituto de estándares y tecnología (NIST) le gustaría obtener más datos 68 00:02:33,838 --> 00:02:36,300 sobre las contraseñas escogidas por los usuarios, 69 00:02:36,300 --> 00:02:38,763 pero los administradores de sistemas son comprensiblemente reacios 70 00:02:38,763 --> 00:02:41,703 a revelar datos de las contraseñas a externos". 71 00:02:41,703 --> 00:02:44,800 Esto es un problema, pero nuestro grupo de investigación 72 00:02:44,800 --> 00:02:46,940 lo vio como una oportunidad. 73 00:02:46,940 --> 00:02:50,040 Dijimos: "Hay una necesidad de tener buenos datos sobre contraseñas. 74 00:02:50,040 --> 00:02:52,188 Tal vez podamos recoger algunos buenos datos sobre contraseñas 75 00:02:52,188 --> 00:02:54,892 y de hecho avanzar el estado actual aquí". 76 00:02:54,892 --> 00:02:56,564 Así que lo primero que hicimos fue 77 00:02:56,564 --> 00:02:58,120 ir con una bolsa de caramelos 78 00:02:58,120 --> 00:02:59,206 a dar una vuelta por el campus 79 00:02:59,206 --> 00:03:02,004 para hablar con los estudiantes, profesores y personal, 80 00:03:02,004 --> 00:03:03,534 y pedirles información 81 00:03:03,534 --> 00:03:05,086 sobre sus contraseñas. 82 00:03:05,086 --> 00:03:08,090 No les decíamos: "Danos tu contraseña". 83 00:03:08,090 --> 00:03:10,751 Solo les preguntamos acerca de su contraseña. 84 00:03:10,751 --> 00:03:12,229 ¿Cuánto tiempo hace que la tienes? ¿Tiene algún dígito? 85 00:03:12,229 --> 00:03:13,297 ¿Tiene un símbolo? 86 00:03:13,297 --> 00:03:15,342 Y ¿te molestó tener que crear 87 00:03:15,342 --> 00:03:18,086 una nueva la semana pasada? 88 00:03:18,086 --> 00:03:21,292 Así que obtuvimos resultados de 470 estudiantes, 89 00:03:21,292 --> 00:03:22,263 personal docente y administrativo, 90 00:03:22,263 --> 00:03:24,777 y de hecho se confirmó que la nueva política 91 00:03:24,777 --> 00:03:26,230 era muy molesta. 92 00:03:26,230 --> 00:03:28,022 No obstante, también averiguamos que 93 00:03:28,022 --> 00:03:31,152 se sentían más seguros con estas nuevas contraseñas. 94 00:03:31,152 --> 00:03:33,458 Averiguamos que la mayoría de la gente sabía 95 00:03:33,458 --> 00:03:35,610 que se suponía que no debía anotar su contraseña, 96 00:03:35,610 --> 00:03:38,001 y solo el 13 % lo hizo, 97 00:03:38,001 --> 00:03:40,417 pero desconcertantemente, el 80 % 98 00:03:40,417 --> 00:03:42,541 dijo que reutilizaban su contraseña. 99 00:03:42,541 --> 00:03:44,337 Ahora, esto es en realidad más peligroso 100 00:03:44,337 --> 00:03:46,359 que anotar la contraseña, 101 00:03:46,359 --> 00:03:49,920 porque nos hace mucho más vulnerables a los atacantes. 102 00:03:49,920 --> 00:03:53,038 Así que si tienen que hacerlo, anoten sus contraseñas, 103 00:03:53,038 --> 00:03:54,837 pero no la reutilicen. 104 00:03:54,837 --> 00:03:56,588 También averiguamos algunas cosas interesantes 105 00:03:56,588 --> 00:03:59,549 acerca de los símbolos que las personas utilizan en las contraseñas. 106 00:03:59,549 --> 00:04:02,348 Así CMU permite 32 posibles símbolos, 107 00:04:02,348 --> 00:04:04,781 pero como pueden ver, solo hay un pequeño número 108 00:04:04,781 --> 00:04:06,583 que la mayoría de la gente utiliza, 109 00:04:06,583 --> 00:04:09,524 así que no estamos consiguiendo realmente mucha seguridad 110 00:04:09,524 --> 00:04:11,990 con los símbolos en nuestras contraseñas. 111 00:04:11,990 --> 00:04:14,701 Así que fue un estudio muy interesante, 112 00:04:14,701 --> 00:04:17,165 y ahora teníamos los datos de 470 personas, 113 00:04:17,165 --> 00:04:18,470 pero en la situación actual 114 00:04:18,470 --> 00:04:21,050 esos no son realmente muchos datos de contraseñas, 115 00:04:21,050 --> 00:04:22,495 y así miramos a nuestro alrededor para ver 116 00:04:22,495 --> 00:04:25,055 dónde podríamos encontrar datos adicionales de contraseñas. 117 00:04:25,055 --> 00:04:27,231 Resulta que hay mucha gente 118 00:04:27,231 --> 00:04:29,433 por ahí robando contraseñas 119 00:04:29,433 --> 00:04:31,910 y a menudo las publican 120 00:04:31,910 --> 00:04:33,247 en Internet. 121 00:04:33,247 --> 00:04:34,920 Así que pudimos obtener acceso 122 00:04:34,920 --> 00:04:38,890 a algunos de estos conjuntos de contraseñas robadas. 123 00:04:38,890 --> 00:04:41,218 Sin embargo, esto todavía no es realmente ideal para una investigación, 124 00:04:41,218 --> 00:04:43,255 porque no es del todo claro 125 00:04:43,255 --> 00:04:45,439 de dónde proceden todas estas contraseñas, 126 00:04:45,439 --> 00:04:47,681 o qué políticas concretas estaban en efecto 127 00:04:47,681 --> 00:04:49,789 cuando las personas crearon esas contraseñas. 128 00:04:49,789 --> 00:04:53,341 Así es que queríamos encontrar una mejor fuente de datos. 129 00:04:53,341 --> 00:04:54,975 Decidimos qué una cosa que podríamos hacer 130 00:04:54,975 --> 00:04:57,104 era hacer un estudio y que la gente 131 00:04:57,104 --> 00:05:00,344 realmente creara contraseñas para nuestro estudio. 132 00:05:00,344 --> 00:05:03,165 Así que usamos un servicio llamado Amazon Mechanical Turk, 133 00:05:03,165 --> 00:05:05,499 que es un servicio para enviar 134 00:05:05,499 --> 00:05:07,803 un pequeña tarea que lleva un minuto, 135 00:05:07,803 --> 00:05:09,303 unos minutos, una hora, 136 00:05:09,303 --> 00:05:11,887 y paga a la gente un centavo, diez centavos, unos dólares 137 00:05:11,887 --> 00:05:13,233 por hacer la tarea por Ud., 138 00:05:13,233 --> 00:05:15,355 y después se les paga a través de Amazon.com. 139 00:05:15,355 --> 00:05:17,649 Así que pagamos a la gente unos 50 centavos 140 00:05:17,649 --> 00:05:20,245 por crear una contraseña siguiendo nuestras reglas 141 00:05:20,245 --> 00:05:21,655 y por responder una encuesta, 142 00:05:21,655 --> 00:05:24,180 y luego les pagamos de nuevo para volver 143 00:05:24,180 --> 00:05:26,251 dos días más tarde y abrir una sesión 144 00:05:26,251 --> 00:05:28,825 usando su contraseña y contestar otra encuesta. 145 00:05:28,825 --> 00:05:33,289 Haciendo esto, hemos recogido 5000 contraseñas, 146 00:05:33,289 --> 00:05:35,984 y dimos a la gente una serie de diferentes políticas 147 00:05:35,984 --> 00:05:37,492 para crear contraseñas. 148 00:05:37,492 --> 00:05:39,402 Algunas personas debían aplicar una política bastante fácil, 149 00:05:39,402 --> 00:05:40,941 la llamamos Basic8, 150 00:05:40,941 --> 00:05:43,087 y ahí la única regla es que la contraseña 151 00:05:43,087 --> 00:05:46,503 debía tener al menos ocho caracteres. 152 00:05:46,503 --> 00:05:48,754 Otras personas tenían que aplicar una política mucho más dura, 153 00:05:48,754 --> 00:05:51,291 y esto era muy similar a la política de CMU, 154 00:05:51,291 --> 00:05:53,225 es decir, ocho caracteres 155 00:05:53,225 --> 00:05:55,601 incluyendo mayúsculas, minúsculas, dígitos, símbolo, 156 00:05:55,601 --> 00:05:57,990 y pasar una verificación de diccionario. 157 00:05:57,990 --> 00:05:59,325 Y una de las otras políticas que probamos, 158 00:05:59,325 --> 00:06:00,595 y había un montón más, 159 00:06:00,595 --> 00:06:02,835 pero una de las que probamos fue la llamada Basic16, 160 00:06:02,835 --> 00:06:05,467 y el único requisito aquí 161 00:06:05,467 --> 00:06:08,620 era que la contraseña debía tener al menos 16 caracteres. 162 00:06:08,620 --> 00:06:11,078 Muy bien, así que ahora teníamos 5000 contraseñas, 163 00:06:11,078 --> 00:06:14,641 e información mucho más detallada. 164 00:06:14,641 --> 00:06:17,200 Una vez más constatamos que la gente realmente solo usa 165 00:06:17,200 --> 00:06:19,115 un pequeño número de símbolos 166 00:06:19,115 --> 00:06:21,001 en sus contraseñas. 167 00:06:21,001 --> 00:06:23,600 También queríamos tener una idea de cuánta seguridad 168 00:06:23,600 --> 00:06:26,371 ofrecían las contraseñas que las personas creaban, 169 00:06:26,371 --> 00:06:28,991 pero, como recordarán, no es una buena medida 170 00:06:28,991 --> 00:06:30,745 de seguridad de la contraseña. 171 00:06:30,745 --> 00:06:33,057 Así que decidimos ver 172 00:06:33,057 --> 00:06:35,427 el tiempo que se tardaría en descifrar estas contraseñas 173 00:06:35,427 --> 00:06:36,841 utilizando las mejores herramientas de descifrado 174 00:06:36,841 --> 00:06:38,649 que usan los malos, 175 00:06:38,649 --> 00:06:40,665 o averiguando información al respecto 176 00:06:40,665 --> 00:06:42,202 en la literatura especializada. 177 00:06:42,202 --> 00:06:44,960 Para que se hagan una idea de cómo los chicos malos 178 00:06:44,960 --> 00:06:47,130 descifran contraseñas, 179 00:06:47,130 --> 00:06:49,081 ellos roban un archivo de contraseñas 180 00:06:49,081 --> 00:06:51,234 donde están todas las contraseñas 181 00:06:51,234 --> 00:06:54,123 en una especie de formulario codificado llamado hash, 182 00:06:54,123 --> 00:06:56,685 y así lo que harán es una conjetura 183 00:06:56,685 --> 00:06:58,397 acerca de lo que es una contraseña, 184 00:06:58,397 --> 00:07:00,294 que se comparará con una función hash, 185 00:07:00,294 --> 00:07:02,059 para ver si coincide con 186 00:07:02,059 --> 00:07:06,009 las contraseñas de su lista de contraseñas robadas. 187 00:07:06,009 --> 00:07:09,114 Así que un atacante tonto tratará todas las contraseñas en orden. 188 00:07:09,114 --> 00:07:12,682 Empezarán con AAAAA y pasarán a AAAAB, 189 00:07:12,682 --> 00:07:15,100 y esto tomará mucho tiempo 190 00:07:15,100 --> 00:07:16,626 antes de encontrar las contraseñas 191 00:07:16,626 --> 00:07:19,323 que las personas son propensas a tener. 192 00:07:19,323 --> 00:07:21,506 Por otra parte, un atacante astuto, 193 00:07:21,506 --> 00:07:22,892 hace algo mucho más inteligente. 194 00:07:22,892 --> 00:07:24,718 Miran las contraseñas 195 00:07:24,718 --> 00:07:26,518 que se saben que son populares 196 00:07:26,518 --> 00:07:28,245 a partir de estos conjuntos de contraseñas robadas, 197 00:07:28,245 --> 00:07:29,434 y las adivinan en primer lugar. 198 00:07:29,434 --> 00:07:31,568 Así que empezaremos adivinando "contraseña" 199 00:07:31,568 --> 00:07:34,319 y luego "Te amo" y "mono" 200 00:07:34,319 --> 00:07:36,902 y "12345678", 201 00:07:36,902 --> 00:07:38,214 porque estas son las contraseñas 202 00:07:38,214 --> 00:07:40,119 que con mayor probabilidad tiene la gente. 203 00:07:40,119 --> 00:07:43,380 De hecho, algunos de Uds. probablemente tienen estas contraseñas. 204 00:07:45,191 --> 00:07:46,489 Así que lo que encontramos 205 00:07:46,489 --> 00:07:49,895 mediante la ejecución de todas estas 5000 contraseñas recogidas 206 00:07:49,895 --> 00:07:54,001 a través de estas pruebas para ver lo seguras que eran, 207 00:07:54,001 --> 00:07:56,753 encontramos que las contraseñas largas 208 00:07:56,753 --> 00:07:58,033 eran en realidad bastante seguras, 209 00:07:58,033 --> 00:08:01,295 y las contraseñas complejas eran bastante seguras también. 210 00:08:01,295 --> 00:08:03,737 Sin embargo, cuando nos fijamos en los datos del estudio, 211 00:08:03,737 --> 00:08:06,761 vimos que la gente estaba realmente frustrada 212 00:08:06,761 --> 00:08:09,100 por las contraseñas muy complejas, 213 00:08:09,100 --> 00:08:11,730 y que las contraseñas largas eran mucho más usables, 214 00:08:11,730 --> 00:08:13,055 y, en algunos casos, eran en realidad 215 00:08:13,055 --> 00:08:15,963 incluso más seguras que las contraseñas complejas. 216 00:08:15,963 --> 00:08:17,132 Así que esto sugiere que, 217 00:08:17,132 --> 00:08:18,835 en lugar de decirle a la gente que necesitan 218 00:08:18,835 --> 00:08:20,357 poner todos estos símbolos y números 219 00:08:20,357 --> 00:08:23,199 y cosas locas en sus contraseñas, 220 00:08:23,199 --> 00:08:25,221 podríamos mejorar simplemente diciendo a la gente 221 00:08:25,221 --> 00:08:27,873 que tengan contraseñas largas. 222 00:08:27,873 --> 00:08:29,665 Sin embargo, aquí hay el problema, 223 00:08:29,665 --> 00:08:31,920 Algunas personas tenían contraseñas largas 224 00:08:31,920 --> 00:08:33,475 que en realidad no eran muy seguras. 225 00:08:33,475 --> 00:08:35,472 Pueden crear contraseñas largas 226 00:08:35,472 --> 00:08:37,028 del tipo 227 00:08:37,028 --> 00:08:38,770 que un atacante podría adivinar fácilmente. 228 00:08:38,770 --> 00:08:42,135 Así que debemos añadir algo más a las contraseñas largas. 229 00:08:42,135 --> 00:08:44,071 Deben existir requisitos adicionales, 230 00:08:44,071 --> 00:08:47,040 y nuestra investigación en curso está mirando 231 00:08:47,040 --> 00:08:49,479 qué requisitos adicionales hay que añadir 232 00:08:49,479 --> 00:08:51,583 para crear contraseñas más seguras 233 00:08:51,583 --> 00:08:53,895 que también sean fáciles para la gente 234 00:08:53,895 --> 00:08:56,593 recordar y escribir. 235 00:08:56,593 --> 00:08:58,719 Otra forma para lograr que las personas tengan 236 00:08:58,719 --> 00:09:00,976 contraseñas más seguras es usar un medidor de contraseña. 237 00:09:00,976 --> 00:09:02,361 Estos son algunos ejemplos: 238 00:09:02,361 --> 00:09:03,762 Puede que los hayan visto en Internet 239 00:09:03,762 --> 00:09:06,819 al crear sus contraseñas. 240 00:09:06,819 --> 00:09:09,067 Decidimos hacer un estudio para averiguar 241 00:09:09,067 --> 00:09:11,954 si estos medidores de contraseñas realmente funcionan. 242 00:09:11,954 --> 00:09:13,375 ¿Esto realmente ayuda a las personas 243 00:09:13,375 --> 00:09:14,828 a tener contraseñas seguras? 244 00:09:14,828 --> 00:09:16,914 Y si es así, ¿cuáles son mejores? 245 00:09:16,914 --> 00:09:19,421 Así que probamos medidores de contraseñas 246 00:09:19,421 --> 00:09:21,519 de diferentes tamaños, formas, colores, 247 00:09:21,519 --> 00:09:22,935 diferentes palabras al lado, 248 00:09:22,935 --> 00:09:26,210 y hasta probamos uno con era un conejito bailarín. 249 00:09:26,210 --> 00:09:27,792 Al escribir una mejor contraseña, 250 00:09:27,792 --> 00:09:30,331 el conejo baila cada vez más rápido. 251 00:09:30,331 --> 00:09:32,860 Así que fue bastante divertido. 252 00:09:32,860 --> 00:09:34,427 Lo que encontramos 253 00:09:34,427 --> 00:09:37,999 fue que los medidores de contraseñas funcionan. 254 00:09:37,999 --> 00:09:39,800 (Risas) 255 00:09:39,800 --> 00:09:43,133 La mayoría de los medidores de contraseñas eran realmente eficaces, 256 00:09:43,133 --> 00:09:45,654 y el conejo bailarín era muy eficaz también, 257 00:09:45,654 --> 00:09:48,535 pero los medidores de contraseña más eficaces 258 00:09:48,535 --> 00:09:50,890 fueron los que les hicieron trabajar más 259 00:09:50,890 --> 00:09:52,870 antes de mostrar el pulgar alzado y decir 260 00:09:52,870 --> 00:09:54,247 que estábamos haciendo un buen trabajo, 261 00:09:54,247 --> 00:09:55,759 y de hecho encontramos que la mayoría 262 00:09:55,759 --> 00:09:58,040 de los medidores de contraseña en Internet hoy 263 00:09:58,040 --> 00:09:58,992 son demasiado permisivos. 264 00:09:58,992 --> 00:10:01,195 Dicen que lo hacemos bien antes de tiempo, 265 00:10:01,195 --> 00:10:03,124 y si solo esperaran un poco 266 00:10:03,124 --> 00:10:05,173 antes de dar esa respuesta positiva, 267 00:10:05,173 --> 00:10:08,333 Uds. probablemente tendrían mejores contraseñas. 268 00:10:08,333 --> 00:10:12,180 Ahora, otro enfoque para mejorar las contraseñas, tal vez, 269 00:10:12,180 --> 00:10:15,070 es usar frases de paso en lugar de contraseñas. 270 00:10:15,070 --> 00:10:18,488 Este fue un dibujo animado xkcd de hace unos años, 271 00:10:18,488 --> 00:10:20,162 y el dibujante sugiere 272 00:10:20,162 --> 00:10:22,358 que todos debemos utilizar frases de paso, 273 00:10:22,358 --> 00:10:25,528 y si nos fijamos en la segunda fila de esta caricatura, 274 00:10:25,528 --> 00:10:27,385 se puede ver que el dibujante sugiere 275 00:10:27,385 --> 00:10:30,826 que la frase "batería básica del caballo correcto" 276 00:10:30,826 --> 00:10:33,307 sería una frase muy segura 277 00:10:33,307 --> 00:10:35,223 y algo muy fácil de recordar. 278 00:10:35,223 --> 00:10:38,020 Él dice que, de hecho, uno ya la recuerda. 279 00:10:38,020 --> 00:10:40,170 Así que decidimos hacer un estudio 280 00:10:40,170 --> 00:10:42,762 para averiguar si esto era cierto o no. 281 00:10:42,762 --> 00:10:44,537 De hecho, a todos con los que hablo que 282 00:10:44,537 --> 00:10:46,579 les menciono que estoy haciendo una investigación sobre contraseñas, 283 00:10:46,579 --> 00:10:47,979 señalan esta caricatura. 284 00:10:47,979 --> 00:10:49,553 "¿Has visto esto? Ese xkcd. 285 00:10:49,553 --> 00:10:51,155 Batería básica del caballo correcto". 286 00:10:51,155 --> 00:10:52,961 Así que hicimos el estudio para ver 287 00:10:52,961 --> 00:10:55,320 lo que realmente pasaría. 288 00:10:55,320 --> 00:10:58,380 En nuestro estudio, hemos utilizado Mechanical Turk de nuevo, 289 00:10:58,380 --> 00:11:02,547 e hicimos que la computadora recogiera palabras al azar 290 00:11:02,547 --> 00:11:03,647 en la frase de paso. 291 00:11:03,647 --> 00:11:04,800 Ahora, la razón para hacerlo 292 00:11:04,800 --> 00:11:06,386 es que los humanos no son muy buenos 293 00:11:06,386 --> 00:11:07,770 escogiendo palabras al azar. 294 00:11:07,770 --> 00:11:09,032 Si pidiéramos a un humano hacerlo, 295 00:11:09,032 --> 00:11:12,030 elegirían las cosas que no son muy arbitrarias. 296 00:11:12,030 --> 00:11:14,062 Así que probamos algunas premisas diferentes. 297 00:11:14,062 --> 00:11:16,152 Bajo una de las premisas la computadora escogió 298 00:11:16,152 --> 00:11:18,368 de un diccionario de palabras muy comunes 299 00:11:18,368 --> 00:11:19,730 del idioma inglés, 300 00:11:19,730 --> 00:11:21,494 y así se obtendría frases de paso como 301 00:11:21,494 --> 00:11:23,418 "Intentemos hay tres vienen". 302 00:11:23,418 --> 00:11:25,150 Y nos fijamos en eso, y dijimos, 303 00:11:25,150 --> 00:11:28,200 "Bueno, no parece realmente muy memorizable". 304 00:11:28,200 --> 00:11:30,440 Así que intentamos recoger las palabras 305 00:11:30,440 --> 00:11:32,961 que vinieron de partes específicas de la conversación 306 00:11:32,961 --> 00:11:35,143 como por ejemplo nombre-verbo-sustantivo-adjetivo. 307 00:11:35,143 --> 00:11:37,720 Eso está relacionado con algo que es una especie de oración. 308 00:11:37,720 --> 00:11:39,790 Así que Uds. pueden obtener una frase como 309 00:11:39,790 --> 00:11:41,098 "plan construye poder seguro". 310 00:11:41,098 --> 00:11:43,884 o "final determina drogas rojas". 311 00:11:43,884 --> 00:11:46,560 Y estas parecían un poco más memorizables, 312 00:11:46,560 --> 00:11:49,382 y tal vez a la gente le gustarían más. 313 00:11:49,382 --> 00:11:51,954 Queríamos compararlas con las contraseñas, 314 00:11:51,954 --> 00:11:55,150 y teníamos la computadora para escoger contraseñas aleatorias, 315 00:11:55,150 --> 00:11:57,140 y estas eran agradables y cortas, pero como pueden ver, 316 00:11:57,140 --> 00:11:59,946 en realidad, no parecen muy memorizables. 317 00:11:59,946 --> 00:12:01,342 Y entonces decidimos probar algo llamado 318 00:12:01,342 --> 00:12:02,988 contraseña pronunciable. 319 00:12:02,988 --> 00:12:05,233 Así que aquí la computadora recoge sílabas al azar 320 00:12:05,233 --> 00:12:06,367 y las pone une 321 00:12:06,367 --> 00:12:08,842 para obtener algo pronunciable, 322 00:12:08,842 --> 00:12:11,444 como "tufritvi" y "vadasabi". 323 00:12:11,444 --> 00:12:13,591 Eso fluye en la lengua. 324 00:12:13,591 --> 00:12:15,807 Así que eran contraseñas aleatorias 325 00:12:15,807 --> 00:12:18,551 generadas por nuestra computadora 326 00:12:18,551 --> 00:12:21,529 Lo que encontramos en este estudio fue que, sorprendentemente, 327 00:12:21,529 --> 00:12:25,297 utilizar frases no era, en realidad, tan bueno. 328 00:12:25,297 --> 00:12:28,090 La gente no recordaba mejor 329 00:12:28,090 --> 00:12:31,043 las frases de paso que estas contraseñas aleatorias, 330 00:12:31,043 --> 00:12:33,797 y como las frases de paso son más largas, 331 00:12:33,797 --> 00:12:35,023 se precisa más tiempo para escribirlas 332 00:12:35,023 --> 00:12:38,033 y la gente cometía más errores al escribirlas. 333 00:12:38,033 --> 00:12:41,260 Así que no es realmente una victoria clara para las frases de paso. 334 00:12:41,260 --> 00:12:44,605 Perdón por todos los fans de xkcd. 335 00:12:44,605 --> 00:12:46,497 Por otro lado, averiguamos 336 00:12:46,497 --> 00:12:48,301 que las contraseñas pronunciables 337 00:12:48,301 --> 00:12:49,772 funcionaron sorprendentemente bien, 338 00:12:49,772 --> 00:12:52,190 por eso estamos profundizando más 339 00:12:52,190 --> 00:12:55,385 para ver si podemos hacer que este enfoque sea aún mejor. 340 00:12:55,385 --> 00:12:57,197 Uno de los problemas 341 00:12:57,197 --> 00:12:58,820 con algunos de los estudios realizados 342 00:12:58,820 --> 00:13:00,503 es que, debido a que está todo hecho, 343 00:13:00,503 --> 00:13:02,093 usando Mechanical Turk, 344 00:13:02,093 --> 00:13:03,905 no se trata de contraseñas reales de la gente. 345 00:13:03,905 --> 00:13:06,010 Son las claves que 346 00:13:06,010 --> 00:13:08,505 la computadora ha creado para ellos para nuestro estudio. 347 00:13:08,505 --> 00:13:10,073 Y lo que queríamos saber es si la gente 348 00:13:10,073 --> 00:13:12,385 en realidad se comportaría de la misma forma 349 00:13:12,385 --> 00:13:14,612 con sus contraseñas reales. 350 00:13:14,612 --> 00:13:18,293 Así que hablamos con la oficina de seguridad informática en Carnegie Mellon 351 00:13:18,293 --> 00:13:22,096 y preguntamos si podíamos obtener contraseñas reales de todo el mundo. 352 00:13:22,096 --> 00:13:23,850 No es de extrañar, que fueran un poco reticentes 353 00:13:23,850 --> 00:13:25,400 de dárnoslas, 354 00:13:25,400 --> 00:13:27,210 pero estábamos realmente dispuestos a elaborar 355 00:13:27,210 --> 00:13:28,250 un sistema con ellos 356 00:13:28,250 --> 00:13:30,359 donde poner todas las contraseñas reales 357 00:13:30,359 --> 00:13:33,450 de 25 000 estudiantes de CMU, profesores y personal, 358 00:13:33,450 --> 00:13:35,898 en una computadora bloqueada en una habitación cerrada, 359 00:13:35,898 --> 00:13:37,292 sin conexión a Internet, 360 00:13:37,292 --> 00:13:39,140 para ejecutar el código que escribimos 361 00:13:39,140 --> 00:13:41,292 para analizar estas contraseñas. 362 00:13:41,292 --> 00:13:42,618 Auditaron nuestro código. 363 00:13:42,618 --> 00:13:43,930 Ejecutaron el código. 364 00:13:43,930 --> 00:13:45,668 Y así nunca, en realidad, vimos 365 00:13:45,668 --> 00:13:48,485 las contraseñas de nadie. 366 00:13:48,485 --> 00:13:50,000 Obtuvimos algunos resultados interesantes, 367 00:13:50,000 --> 00:13:51,696 y aquellos de Uds. estudiantes de Tepper de atrás 368 00:13:51,696 --> 00:13:54,571 estarán muy interesados en esto. 369 00:13:54,571 --> 00:13:58,302 Así nos encontramos con que las contraseñas creadas 370 00:13:58,302 --> 00:14:00,460 por las personas afiliadas a la escuela de ciencias de la computación 371 00:14:00,460 --> 00:14:02,784 en realidad eran 1,8 veces más seguras 372 00:14:02,784 --> 00:14:06,522 que las de los afiliados a la escuela de negocios. 373 00:14:06,522 --> 00:14:08,562 Tenemos también información 374 00:14:08,562 --> 00:14:10,800 demográfica muy interesante. 375 00:14:10,800 --> 00:14:12,646 Otra cosa interesante que encontramos 376 00:14:12,646 --> 00:14:15,086 es que al comparar las contraseñas de Carnegie Mellon 377 00:14:15,086 --> 00:14:17,369 con las contraseñas generadas por Mechanical Turk, 378 00:14:17,369 --> 00:14:19,988 había una gran cantidad de similitudes, 379 00:14:19,988 --> 00:14:21,936 y así que esto ayudó a validar nuestro método de investigación 380 00:14:21,936 --> 00:14:24,446 y mostrar que en realidad, la recogida de contraseñas 381 00:14:24,446 --> 00:14:26,254 utilizando estos estudios de Mechanical Turk 382 00:14:26,254 --> 00:14:29,042 es en realidad una forma válida para estudiar las contraseñas. 383 00:14:29,042 --> 00:14:31,327 Así que fue una buena noticia. 384 00:14:31,327 --> 00:14:33,741 Bien, quiero cerrar hablando de 385 00:14:33,741 --> 00:14:35,809 algunas ideas que tuve durante mi año sabático 386 00:14:35,809 --> 00:14:39,010 el año pasado en la escuela de arte de Carnegie Mellon. 387 00:14:39,010 --> 00:14:40,291 Una de las cosas que hice 388 00:14:40,291 --> 00:14:41,815 es una serie de edredones, 389 00:14:41,815 --> 00:14:43,363 y he hecho este edredón de aquí. 390 00:14:43,363 --> 00:14:45,262 Se llama "Manta de Seguridad". 391 00:14:45,262 --> 00:14:47,693 (Risas) 392 00:14:47,693 --> 00:14:50,788 Este edredón tiene las 1000 393 00:14:50,788 --> 00:14:53,116 contraseñas robadas con más frecuencia 394 00:14:53,116 --> 00:14:55,687 del sitio web RockYou. 395 00:14:55,687 --> 00:14:57,748 El tamaño de las contraseñas es proporcional 396 00:14:57,748 --> 00:14:59,649 a la frecuencia con que aparecían 397 00:14:59,649 --> 00:15:01,897 en el conjunto de datos robados. 398 00:15:01,897 --> 00:15:04,529 Lo que hice es crear esta nube de palabras, 399 00:15:04,529 --> 00:15:06,661 y examiné todas las 1000 palabras, 400 00:15:06,661 --> 00:15:08,456 y las categoricé en 401 00:15:08,456 --> 00:15:10,836 categorías temáticas sueltas. 402 00:15:10,836 --> 00:15:12,739 Y, en algunos casos, 403 00:15:12,739 --> 00:15:14,777 era un poco difícil de entender 404 00:15:14,777 --> 00:15:16,532 en qué categoría debían estar 405 00:15:16,532 --> 00:15:18,431 y entonces las identifiqué por colores. 406 00:15:18,431 --> 00:15:21,050 Así que estos son algunos ejemplos de la dificultad. 407 00:15:21,050 --> 00:15:22,231 Digamos "justin". 408 00:15:22,231 --> 00:15:24,060 ¿Es ese el nombre del usuario, 409 00:15:24,060 --> 00:15:25,382 su novio, su hijo? 410 00:15:25,382 --> 00:15:28,270 Tal vez son un fan de Justin Bieber. 411 00:15:28,270 --> 00:15:30,495 O "princesa". 412 00:15:30,495 --> 00:15:32,130 ¿Es un apodo? 413 00:15:32,130 --> 00:15:33,725 ¿Son fans de las princesas de Disney? 414 00:15:33,725 --> 00:15:37,419 O tal vez ese es el nombre de su gato. 415 00:15:37,419 --> 00:15:39,074 "Iloveyou" aparece muchas veces 416 00:15:39,074 --> 00:15:40,619 en muchos idiomas diferentes. 417 00:15:40,619 --> 00:15:44,354 Hay mucho amor en estas contraseñas. 418 00:15:44,354 --> 00:15:46,034 Si miran atentamente, verán que hay también 419 00:15:46,034 --> 00:15:48,301 algunas palabras soeces, 420 00:15:48,301 --> 00:15:50,251 pero lo que fue realmente interesante ver para mí 421 00:15:50,251 --> 00:15:52,558 es que hay mucho más amor que odio 422 00:15:52,558 --> 00:15:54,850 en estas contraseñas. 423 00:15:54,850 --> 00:15:56,340 Y hay animales, 424 00:15:56,340 --> 00:15:57,700 una gran cantidad de animales, 425 00:15:57,700 --> 00:16:00,004 y "mono" es el animal más común 426 00:16:00,004 --> 00:16:03,679 y la 14 contraseña más popular. 427 00:16:03,679 --> 00:16:05,910 Y esto fue realmente curioso para mí, 428 00:16:05,910 --> 00:16:08,433 y me pregunté: "¿Por qué son tan populares los monos?" 429 00:16:08,433 --> 00:16:11,785 Y así, en nuestro último estudio sobre contraseñas, 430 00:16:11,785 --> 00:16:13,471 cuando detectamos que alguien 431 00:16:13,471 --> 00:16:16,120 crea una contraseña usando "mono", 432 00:16:16,120 --> 00:16:19,150 les preguntamos por qué tenían un mono en su contraseña. 433 00:16:19,150 --> 00:16:21,060 Y lo que averiguamos... 434 00:16:21,060 --> 00:16:23,163 encontramos 17 personas hasta el momento 435 00:16:23,163 --> 00:16:24,446 que tienen la palabra "mono"... 436 00:16:24,446 --> 00:16:26,258 Encontramos que un tercio de ellos dijo 437 00:16:26,258 --> 00:16:27,998 que tienen una mascota llamada "mono" 438 00:16:27,998 --> 00:16:30,289 o un amigo cuyo apodo es "mono" 439 00:16:30,289 --> 00:16:31,949 y alrededor de un tercio de ellos dijo 440 00:16:31,949 --> 00:16:33,482 simplemente que le gustan los monos 441 00:16:33,482 --> 00:16:35,120 y que los monos son muy lindos. 442 00:16:35,120 --> 00:16:38,759 Y ese joven es muy lindo. 443 00:16:38,759 --> 00:16:42,167 Así, parece que al final, 444 00:16:42,167 --> 00:16:43,950 cuando hacemos las contraseñas, 445 00:16:43,950 --> 00:16:45,924 hacemos algo que o es muy fácil 446 00:16:45,924 --> 00:16:48,933 de escribir, un patrón común, 447 00:16:48,933 --> 00:16:51,419 o cosas que nos recuerdan a la palabra contraseña 448 00:16:51,419 --> 00:16:54,731 o a la cuenta para la que hemos creado la contraseña, 449 00:16:54,731 --> 00:16:57,348 o lo que sea. 450 00:16:57,348 --> 00:16:59,990 O pensamos acerca de las cosas que nos hacen felices, 451 00:16:59,990 --> 00:17:01,294 y creamos nuestra contraseña 452 00:17:01,294 --> 00:17:03,532 basados en las cosas que nos hacen felices. 453 00:17:03,532 --> 00:17:06,395 Y si bien esto facilita la escritura 454 00:17:06,395 --> 00:17:09,265 y recordarla es más divertido, 455 00:17:09,265 --> 00:17:11,072 también hace que sea mucho más fácil 456 00:17:11,072 --> 00:17:12,578 descifrar la contraseña. 457 00:17:12,578 --> 00:17:14,326 Así que sé que un montón de estas charlas TED 458 00:17:14,326 --> 00:17:15,960 son fuente de inspiración 459 00:17:15,960 --> 00:17:18,421 y hacen pensar sobre cosas agradables y felices, 460 00:17:18,421 --> 00:17:20,318 pero cuando estén creando su contraseña, 461 00:17:20,318 --> 00:17:22,309 traten de pensar en otra cosa. 462 00:17:22,309 --> 00:17:23,416 Gracias. 463 00:17:23,416 --> 00:17:23,969 (Aplausos)