0:00:00.535,0:00:02.462 Je suis professeur d'informatique et[br]d'ingéniérie informatique 0:00:02.462,0:00:04.389 à Carnegie Mellon, 0:00:04.389,0:00:06.318 et mes recherches se concentrent sur[br]l'utilisabilité de la vie privée 0:00:06.318,0:00:08.656 et de la sécurité, 0:00:08.656,0:00:10.996 et mes amis aiment me donner des exemples 0:00:10.996,0:00:13.198 de leurs frustrations liées[br]aux systèmes informatiques, 0:00:13.198,0:00:16.552 particulièrement des frustrations liées à 0:00:16.552,0:00:20.664 une vie privée et une sécurité[br]qui ne sont pas utilisables. 0:00:20.664,0:00:23.375 J'entends donc beaucoup parler[br]des mots de passe. 0:00:23.375,0:00:26.255 Beaucoup de gens sont irrités[br]par les mots de passe, 0:00:26.255,0:00:27.949 c'est déjà assez compliqué 0:00:27.949,0:00:30.593 d'avoir un très bon mot de passe 0:00:30.593,0:00:32.415 dont vous pouvez vous souvenir 0:00:32.415,0:00:35.309 mais que personne d'autre ne peut deviner. 0:00:35.309,0:00:36.946 Mais que fait-on lorsqu'on a des comptes 0:00:36.946,0:00:38.754 sur une centaine de systèmes différents 0:00:38.754,0:00:41.030 et qu'on est sensé avoir [br]un mot de passe unique 0:00:41.030,0:00:44.067 pour chacun de ces systèmes ? 0:00:44.067,0:00:46.251 C'est difficile. 0:00:46.251,0:00:48.010 A Carnegie Mellon, ils rendaient 0:00:48.010,0:00:51.049 la mémorisation de nos mots de passe[br]plutôt facile. 0:00:51.049,0:00:53.449 Jusqu'en 2009, l'exigence était 0:00:53.449,0:00:55.828 d'avoir un mot de passe 0:00:55.828,0:00:58.039 comportant au moins un caractère. 0:00:58.039,0:01:00.927 Plutôt facile.[br]Et puis les choses ont changé, 0:01:00.927,0:01:03.597 et fin 2009, ils ont annoncé 0:01:03.597,0:01:05.973 que nous allions avoir[br]une nouvelle politique, 0:01:05.973,0:01:07.836 et cette nouvelle politique exigeait 0:01:07.836,0:01:10.517 des mots de passe[br]d'au moins huit caractères, 0:01:10.517,0:01:12.292 avec une majuscule, une minuscule, 0:01:12.292,0:01:13.580 un chiffre, un symbole, 0:01:13.580,0:01:16.218 vous ne pouviez pas utiliser[br]le même caractère plus de trois fois, 0:01:16.218,0:01:18.652 et ce ne pouvait pas être [br]un mot du dictionnaire. 0:01:18.652,0:01:20.834 Quand ils ont mis en place[br]cette nouvelle politique, 0:01:20.834,0:01:23.144 beaucoup de gens,[br]mes collègues et amis, 0:01:23.144,0:01:24.998 sont venus me voir et ont dit : 0:01:24.998,0:01:26.510 « C'est vraiment inutilisable. 0:01:26.510,0:01:27.703 Pourquoi nous font-ils ça, 0:01:27.703,0:01:29.414 et pourquoi [br]ne les en as-tu pas empêchés ? » 0:01:29.414,0:01:30.770 Et j'ai dit :[br]« Vous savez quoi ? 0:01:30.770,0:01:32.278 On ne m'a rien demandé. » 0:01:32.278,0:01:35.743 Mais ça a éveillé ma curiosité,[br]et j'ai décidé d'aller parler 0:01:35.743,0:01:37.680 aux personnes en charge[br]des systèmes informatiques 0:01:37.680,0:01:40.511 et de découvrir ce qui[br]les a amenés à introduire 0:01:40.511,0:01:42.359 cette nouvelle politique, 0:01:42.359,0:01:43.943 et ils ont dit que l'université 0:01:43.943,0:01:46.309 avait rejoint un consortium d'universités, 0:01:46.309,0:01:48.943 et que l'une des exigences[br]pour devenir membre 0:01:48.943,0:01:51.191 était que nous devions avoir[br]des mots de passe plus compliqués 0:01:51.191,0:01:53.463 qui respectaient de nouvelles exigences, 0:01:53.463,0:01:55.567 et ces exigences étaient que[br]nos mots de passe 0:01:55.567,0:01:57.171 devaient avoir beaucoup d'entropie. 0:01:57.171,0:01:59.449 L'entropie est un terme compliqué, 0:01:59.449,0:02:02.247 mais en fait ça mesure[br]la sécurité des mots de passe. 0:02:02.247,0:02:04.226 Mais le fait est qu'en réalité,[br]il n'y a pas 0:02:04.226,0:02:06.175 de mesure standard de l'entropie. 0:02:06.175,0:02:08.574 L'Institut National des Standards [br]et de la Technologie (INST) 0:02:08.574,0:02:10.127 a fixé des règles, 0:02:10.127,0:02:12.695 qui sont basées sur le bon sens, 0:02:12.695,0:02:14.135 pour mesurer l'entropie, 0:02:14.135,0:02:17.030 mais elles n'ont rien de spécifique, 0:02:17.030,0:02:19.367 et la raison pour laquelle[br]il n'y a que des règles de bon sens 0:02:19.367,0:02:22.503 est qu'il n'y a pas vraiment[br]de bonne base de données 0:02:22.503,0:02:24.023 sur les mots de passe. 0:02:24.023,0:02:26.335 En fait, dans leur rapport, ils déclarent : 0:02:26.335,0:02:28.663 « Malheureusement, nous n'avons pas[br]beaucoup de données 0:02:28.663,0:02:31.505 sur les mots de passe que les utilisateurs[br]choisissent selon les règles spécifiques. 0:02:31.505,0:02:33.838 L'INST aimerait obtenir plus de données 0:02:33.838,0:02:36.300 sur les mots de passe [br]que les utilisateurs choisissent, 0:02:36.300,0:02:38.763 mais les administrateurs systèmes sont,[br]on le comprend, réticents 0:02:38.763,0:02:41.703 à révéler les mots de passe[br]à d'autres personnes. » 0:02:41.703,0:02:44.800 C'est donc un problème,[br]mais notre groupe de recherche 0:02:44.800,0:02:46.940 l'a envisagé comme une opportunité. 0:02:46.940,0:02:50.040 Nous avons dit : « Il y a besoin de bonnes[br]données sur les mots de passe. 0:02:50.040,0:02:52.188 Peut-être que nous pouvons collecter[br]de bonnes données sur les mots de passe 0:02:52.188,0:02:54.892 et faire avancer l'état de l'art. » 0:02:54.892,0:02:56.564 La première chose[br]que nous avons faite est 0:02:56.564,0:02:58.120 que nous avons pris un sac[br]plein de sucreries 0:02:58.120,0:02:59.206 et nous nous sommes promenés[br]dans le campus, 0:02:59.206,0:03:02.004 nous avons parlé à des étudiants,[br]des professeurs et au personnel, 0:03:02.004,0:03:03.534 et leur avons demandé des informations 0:03:03.534,0:03:05.086 sur leurs mots de passe. 0:03:05.086,0:03:08.090 Nous ne leur avons pas dit :[br]« Donnez-nous votre mot de passe. » 0:03:08.090,0:03:10.751 Non, nous leur avons simplement [br]posé des questions sur leur mot de passe. 0:03:10.751,0:03:12.229 Est-il long ? Contient-il un chiffre ? 0:03:12.229,0:03:13.297 Contient-il un symbole ? 0:03:13.297,0:03:15.342 Avez-vous trouvé gênant de devoir en créer 0:03:15.342,0:03:18.086 un nouveau la semaine dernière ? 0:03:18.086,0:03:21.292 Nous avons eu les résultats [br]concernant 470 étudiants, 0:03:21.292,0:03:22.263 professeurs et membres du personnel, 0:03:22.263,0:03:24.777 et avons confirmé que la nouvelle politque 0:03:24.777,0:03:26.230 était très embêtante, 0:03:26.230,0:03:28.022 mais nous avons aussi remarqué[br]que les gens disaient 0:03:28.022,0:03:31.152 qu'ils se sentaient plus en sécurité[br]avec ces nouveaux mots de passe. 0:03:31.152,0:03:33.458 Nous avons constaté[br]que la plupart des gens savait 0:03:33.458,0:03:35.610 qu'ils n'étaient pas sensés[br]écrire leur mot de passe sur un papier, 0:03:35.610,0:03:38.001 et que seulement 13% [br]d'entre eux le faisaient, 0:03:38.001,0:03:40.417 mais, de façon dérangeante,[br]80% des gens 0:03:40.417,0:03:42.541 disaient qu'ils réutilisaient[br]leur mot de passe. 0:03:42.541,0:03:44.337 C'est en fait plus dangereux 0:03:44.337,0:03:46.359 que d'écrire votre mot de passe [br]sur un papier, 0:03:46.359,0:03:49.920 parce que ça vous rend [br]plus exposés aux attaques. 0:03:49.920,0:03:53.038 Donc, si vous en avez besoin,[br]écrivez vos mots de passe sur un papier, 0:03:53.038,0:03:54.837 mais ne les réutilisez pas. 0:03:54.837,0:03:56.588 Nous avons également constaté[br]des choses intéressantes 0:03:56.588,0:03:59.549 concernant les symboles utilisés[br]dans les mots de passe. 0:03:59.549,0:04:02.348 La CMU autorise 32 symboles possibles, 0:04:02.348,0:04:04.781 mais comme vous pouvez le voir,[br]seul un petit nombre 0:04:04.781,0:04:06.583 est utilisé par la majorité des gens, 0:04:06.583,0:04:09.524 donc nos mots de passe ne sont pas[br]vraiment beaucoup plus sûrs 0:04:09.524,0:04:11.990 si on y met des symboles. 0:04:11.990,0:04:14.701 C'était une étude très intéressante, 0:04:14.701,0:04:17.165 et nous avons maintenant les données[br]de 470 personnes, 0:04:17.165,0:04:18.470 mais dans la situation actuelle, 0:04:18.470,0:04:21.050 ça ne représente pas beaucoup[br]de données sur les mots de passe, 0:04:21.050,0:04:22.495 nous avons donc regardé autour de nous : 0:04:22.495,0:04:25.055 où pouvions-nous trouver des données[br]additionnelles sur les mots de passe ? 0:04:25.055,0:04:27.231 Il s'avère que beaucoup de personnes 0:04:27.231,0:04:29.433 volent des mots de passe, 0:04:29.433,0:04:31.910 et souvent postent ces mots de passe 0:04:31.910,0:04:33.247 sur internet. 0:04:33.247,0:04:34.920 Nous avons donc eu accès 0:04:34.920,0:04:38.890 à certains de ces ensembles[br]de mots de passe volés. 0:04:38.890,0:04:41.218 Cependant, ce n'est pas idéal[br]pour la recherche 0:04:41.218,0:04:43.255 parce que la provenance [br]de ces mots de passe 0:04:43.255,0:04:45.439 n'est pas totalement claire, 0:04:45.439,0:04:47.681 ni quelles politiques étaient en place 0:04:47.681,0:04:49.789 quand les gens ont créé ces mots de passe. 0:04:49.789,0:04:53.341 Nous voulions trouver [br]une meilleure source de données. 0:04:53.341,0:04:54.975 Nous avons décidé qu'une chose[br]que nous pouvions faire 0:04:54.975,0:04:57.104 était de faire une étude[br]et de demander aux gens 0:04:57.104,0:05:00.344 de créer des mots de passe[br]pour notre étude. 0:05:00.344,0:05:03.165 Nous avons utilisé un service du nom de[br]Amazon Mechanical Turk, 0:05:03.165,0:05:05.499 c'est un service où vous pouvez poster 0:05:05.499,0:05:07.803 un petit job en ligne [br]qui prend une minute, 0:05:07.803,0:05:09.303 quelques minutes, une heure, 0:05:09.303,0:05:11.887 et payer les gens, un penny, [br]dix centimes, quelques dollars, 0:05:11.887,0:05:13.233 pour accomplir une tache pour vous 0:05:13.233,0:05:15.355 et ensuite vous les payez via Amazon.com. 0:05:15.355,0:05:17.649 Nous avons payé les gens [br]environ 50 centimes 0:05:17.649,0:05:20.245 pour créer un mot de passe[br]suivant nos règles 0:05:20.245,0:05:21.655 et répondre à un sondage, 0:05:21.655,0:05:24.180 et ensuite nous les payions pour revenir 0:05:24.180,0:05:26.251 deux jours plus tard se connecter 0:05:26.251,0:05:28.825 en utilisant leur mot de passe[br]pour répondre à un autre sondage. 0:05:28.825,0:05:33.289 Nous avons fait ça et nous avons[br]collecté 5000 mots de passe, 0:05:33.289,0:05:35.984 et nous avons soumis les gens[br]à différentes réglementations 0:05:35.984,0:05:37.492 pour créer ces mots de passe. 0:05:37.492,0:05:39.402 Certaines personnes avaient [br]une réglementation plutôt simple, 0:05:39.402,0:05:40.941 nous appelons ça Basic8, 0:05:40.941,0:05:43.087 et la seule règle était[br]que votre mot de passe 0:05:43.087,0:05:46.503 devait faire au moins [br]8 caractères de long. 0:05:46.503,0:05:48.754 Et puis d'autres personnes avaient [br]une réglementation bien plus difficile, 0:05:48.754,0:05:51.291 et qui était très similaire[br]à la politique du CMU, 0:05:51.291,0:05:53.225 ils devaient avoir 8 caractères 0:05:53.225,0:05:55.601 dont une majuscule, une minuscule,[br]un chiffre, un symbole, 0:05:55.601,0:05:57.990 et ne pas être dans le dictionnaire. 0:05:57.990,0:05:59.325 Et l'une des autres réglementations[br]que nous avons essayées, 0:05:59.325,0:06:00.595 et il y en avait plein d'autres, 0:06:00.595,0:06:02.835 mais l'une que nous avons essayée[br]s'appelait Basic16, 0:06:02.835,0:06:05.467 et la seule exigence était 0:06:05.467,0:06:08.620 d'avoir un mot de passe[br]d'au moins 16 caractères. 0:06:08.620,0:06:11.078 Nous avions donc 5000 mots de passe, 0:06:11.078,0:06:14.641 et donc nous avions des informations[br]beaucoup plus détaillées. 0:06:14.641,0:06:17.200 Encore une fois, nous voyons[br]que seul un petit nombre 0:06:17.200,0:06:19.115 de symboles est utilisé 0:06:19.115,0:06:21.001 dans les mots de passe. 0:06:21.001,0:06:23.600 Nous voulions aussi avoir une idée[br]de la difficulté 0:06:23.600,0:06:26.371 des mots de passe[br]que les gens créaient, 0:06:26.371,0:06:28.991 mais comme vous vous souvenez peut-être,[br]il n'y a pas de bonne mesure 0:06:28.991,0:06:30.745 de la difficulté d'un mot de passe. 0:06:30.745,0:06:33.057 Nous avons donc décidé de regarder 0:06:33.057,0:06:35.427 le temps qu'il faudrait pour craquer[br]ces mots de passe 0:06:35.427,0:06:36.841 en utilisant les meilleurs outils 0:06:36.841,0:06:38.649 que les voyous utilisent, 0:06:38.649,0:06:40.665 ou sur lesquels nous pouvions[br]trouver des informations 0:06:40.665,0:06:42.202 dans la littérature de recherche. 0:06:42.202,0:06:44.960 Pour vous donner une idée[br]de comment les voyous 0:06:44.960,0:06:47.130 craquent les mots de passe, 0:06:47.130,0:06:49.081 ils volent un fichier de mots de passe 0:06:49.081,0:06:51.234 qui contiendra tous les mots de passe 0:06:51.234,0:06:54.123 sous une forme brouillée,[br]appelée hachage, 0:06:54.123,0:06:56.685 et ce qu'ils vont faire[br]c'est faire une supposition 0:06:56.685,0:06:58.397 sur ce qu'un mot de passe peut être, 0:06:58.397,0:07:00.294 le passer dans une fonction de hachage, 0:07:00.294,0:07:02.059 et regarder si ça correspond 0:07:02.059,0:07:06.009 aux mots de passe qu'ils ont[br]sur la liste volée. 0:07:06.009,0:07:09.114 Un attaquant idiot prendra[br]tous les mots de passe dans l'ordre. 0:07:09.114,0:07:12.682 Il commencera par AAAAA et ensuite AAAAB, 0:07:12.682,0:07:15.100 et ça va prendre beaucoup de temps 0:07:15.100,0:07:16.626 avant qu'il n'obtienne un mot de passe 0:07:16.626,0:07:19.323 que les gens pourraient avoir. 0:07:19.323,0:07:21.506 Un attaquant intelligent, d'un autre côté, 0:07:21.506,0:07:22.892 fait quelque chose de beaucoup plus malin. 0:07:22.892,0:07:24.718 Il regarde les mots de passe 0:07:24.718,0:07:26.518 qui sont réputés populaires 0:07:26.518,0:07:28.245 dans ces listes de mots de passe volés, 0:07:28.245,0:07:29.434 et il suppose quels sont les premiers. 0:07:29.434,0:07:31.568 Il va donc commencer par penser[br]à « mot de passe », 0:07:31.568,0:07:34.319 puis à « je t'aime » et « singe », 0:07:34.319,0:07:36.902 et « 12345678 » 0:07:36.902,0:07:38.214 parce que ce sont les mots de passe 0:07:38.214,0:07:40.119 que les gens ont [br]le plus de chance d'avoir. 0:07:40.119,0:07:43.380 En fait, certains d'entre vous [br]ont probablement ces mots de passe. 0:07:45.191,0:07:46.489 Ce que nous avons constaté 0:07:46.489,0:07:49.895 en testant ces 5000 [br]mots de passe collectés 0:07:49.895,0:07:54.001 pour connaître leur difficulté,[br] 0:07:54.001,0:07:56.753 nous avons constaté que[br]les longs mots de passe 0:07:56.753,0:07:58.033 étaient en fait plutôt difficiles, 0:07:58.033,0:08:01.295 et que les mots de passe compliqués[br]résistaient aussi plutôt bien. 0:08:01.295,0:08:03.737 Cependant, quand on regarde les sondages, 0:08:03.737,0:08:06.761 on remarque que les gens [br]étaient vraiment frustrés 0:08:06.761,0:08:09.100 par les mots de passe compliqués, 0:08:09.100,0:08:11.730 et les mots de passe longs[br]étaient beaucoup plus utilisables, 0:08:11.730,0:08:13.055 et dans certains cas,[br]ils étaient en fait 0:08:13.055,0:08:15.963 plus difficiles que[br]les mots de passe complexes. 0:08:15.963,0:08:17.132 Cela suggère que 0:08:17.132,0:08:18.835 au lieu de dire aux gens qu'ils ont besoin 0:08:18.835,0:08:20.357 de mettre tous ces symboles et nombres 0:08:20.357,0:08:23.199 et ces choses un peu folles[br]dans leurs mots de passe, 0:08:23.199,0:08:25.221 nous ferions mieux de dire aux gens 0:08:25.221,0:08:27.873 d'avoir des mots de passe longs. 0:08:27.873,0:08:29.665 Cependant, il reste un problème : 0:08:29.665,0:08:31.920 certaines personnes ont[br]de longs mots de passe 0:08:31.920,0:08:33.475 qui ne sont pas très difficiles. 0:08:33.475,0:08:35.472 On peut faire de longs mots de passe 0:08:35.472,0:08:37.028 qui sont quand même 0:08:37.028,0:08:38.770 facilement devinables par un attaquant. 0:08:38.770,0:08:42.135 Nous devons faire plus que[br]demander des mots de passe longs. 0:08:42.135,0:08:44.071 Il doit y avoir d'autres exigences, 0:08:44.071,0:08:47.040 et parmi nos recherches en cours,[br]nous recherchons 0:08:47.040,0:08:49.479 quelles exigences supplémentaires[br]nous devrions avoir 0:08:49.479,0:08:51.583 pour faire des mots de passe[br]plus difficiles 0:08:51.583,0:08:53.895 qui seront également faciles 0:08:53.895,0:08:56.593 à retenir et à taper. 0:08:56.593,0:08:58.719 Une autre approche pour [br]pousser les gens à avoir 0:08:58.719,0:09:00.976 des mots de passe plus difficiles est [br]d'utiliser une mesure de mots de passe. 0:09:00.976,0:09:02.361 Voici quelques exemples. 0:09:02.361,0:09:03.762 Vous avez les peut-être [br]vu sur internet 0:09:03.762,0:09:06.819 quand vous créiez des mots de passe. 0:09:06.819,0:09:09.067 Nous avons décidé de lancer [br]une étude pour voir si 0:09:09.067,0:09:11.954 ces mesures de mots de passe [br]fonctionnaient ou non. 0:09:11.954,0:09:13.375 Aident-elles les gens 0:09:13.375,0:09:14.828 à avoir des mots de passe [br]plus difficiles ? 0:09:14.828,0:09:16.914 Et si oui, [br]lesquelles sont les meilleures ? 0:09:16.914,0:09:19.421 Nous avons testé des mesures[br]de mots de passe qui étaient 0:09:19.421,0:09:21.519 de différentes tailles, [br]formes et couleurs, 0:09:21.519,0:09:22.935 ayant des mots différents associés, 0:09:22.935,0:09:26.210 et nous avons même testé un lapin dansant. 0:09:26.210,0:09:27.792 Quand vous tapez [br]un meilleur mot de passe, 0:09:27.792,0:09:30.331 le lapin dance plus vite. 0:09:30.331,0:09:32.860 C'était plutôt amusant. 0:09:32.860,0:09:34.427 Ce que nous avons remarqué 0:09:34.427,0:09:37.999 était que les mesures de[br]mots de passe fonctionnent. 0:09:37.999,0:09:39.800 (Rires) 0:09:39.800,0:09:43.133 La plupart de ces mesures de[br]mots de passe étaient efficaces, 0:09:43.133,0:09:45.654 et le lapin dansant était également[br]très efficace, 0:09:45.654,0:09:48.535 mais les mesures de mots de passe[br]qui étaient les plus efficaces 0:09:48.535,0:09:50.890 étaient celles qui vous faisaient[br]travailler plus dur 0:09:50.890,0:09:52.870 avant de vous donner le feu vert [br]et de dire que 0:09:52.870,0:09:54.247 vous faissiez un bon travail, 0:09:54.247,0:09:55.759 et en fait nous avons remarqué[br]que la plupart 0:09:55.759,0:09:58.040 des mesures de mots de passe[br]actuellement sur internet 0:09:58.040,0:09:58.992 étaient trop indulgentes. 0:09:58.992,0:10:01.195 Elles vous disent trop tôt[br]que vous faites du bon travail, 0:10:01.195,0:10:03.124 et si elles attendaient juste un petit peu 0:10:03.124,0:10:05.173 avant de vous donner un retour positif, 0:10:05.173,0:10:08.333 vous auriez probablement[br]de meilleurs mots de passe. 0:10:08.333,0:10:12.180 Maintenant, une autre approche pour,[br]peut-être, de meilleurs mots de passe, 0:10:12.180,0:10:15.070 est d'utiliser des phrases de passe[br]à la place des mots de passe. 0:10:15.070,0:10:18.488 C'était un dessin animé de la xfcd[br]d'il y a quelques années, 0:10:18.488,0:10:20.162 et le dessinateur suggère 0:10:20.162,0:10:22.358 que nous devrions tous nous servir[br]d'expressions de passe, 0:10:22.358,0:10:25.528 et si vous regardez à l'arrière plan[br]de ce dessin animé, 0:10:25.528,0:10:27.385 vous pouvez voir que[br]le dessinateur suggère 0:10:27.385,0:10:30.826 que l'expression de passe[br]« correct cheval batterie agrafe » 0:10:30.826,0:10:33.307 serait une phrase de passe[br]très difficile 0:10:33.307,0:10:35.223 et très facile à retenir. 0:10:35.223,0:10:38.020 Il dit, en fait, que vous devriez[br]dejà l'avoir retenue. 0:10:38.020,0:10:40.170 Nous avons donc décidé de lancer une étude 0:10:40.170,0:10:42.762 pour découvrir si c'était vrai ou pas. 0:10:42.762,0:10:44.537 Toutes les personnes [br]auxquelles j'ai parlé, 0:10:44.537,0:10:46.579 auxquelles j'ai mentionné que je faisais[br]de la recherche sur les mots de passe, 0:10:46.579,0:10:47.979 toutes m'ont parlé de ce dessin animé. 0:10:47.979,0:10:49.553 « L'avez-vous vu ? Ce xkcd. 0:10:49.553,0:10:51.155 Correct cheval batterie agrafe. » 0:10:51.155,0:10:52.961 Nous avons donc fait l'étude pour voir 0:10:52.961,0:10:55.320 ce qu'il se passerait. 0:10:55.320,0:10:58.380 Dans cette étude, nous avons à nouveau[br]utilisé Mechanical Turk, 0:10:58.380,0:11:02.547 l'ordinateur prenait des mots au hasard 0:11:02.547,0:11:03.647 pour former la phrase de passe. 0:11:03.647,0:11:04.800 La raison pour laquelle [br]nous avons fait ça 0:11:04.800,0:11:06.386 est que les humains ne sont pas très bons 0:11:06.386,0:11:07.770 quand il s'agit de choisir [br]des mots au hasard. 0:11:07.770,0:11:09.032 Si nous demandions [br]à des humains de le faire, 0:11:09.032,0:11:12.030 ils choisiraient des choses[br]pas vraiment au hasard. 0:11:12.030,0:11:14.062 Nous avons essayé plusieurs conditions. 0:11:14.062,0:11:16.152 Dans une des conditions,[br]l'ordinateur choisissait 0:11:16.152,0:11:18.368 dans un dictionnaire de mots[br]très communs 0:11:18.368,0:11:19.730 de la langue anglaise, 0:11:19.730,0:11:21.494 et donc vous obteniez[br]des expressions de passe comme : 0:11:21.494,0:11:23.418 « essayer là trois venir ». 0:11:23.418,0:11:25.150 Nous avons regardé ça[br]et nous avons dit : 0:11:25.150,0:11:28.200 « Ça ne semble pas très mémorisable. » 0:11:28.200,0:11:30.440 Alors ensuite nous avons essayé[br]de choisir les mots 0:11:30.440,0:11:32.961 issus de parties spécifiques du langage, 0:11:32.961,0:11:35.143 qu'en est-il de nom-verbe-nom-adjectif. 0:11:35.143,0:11:37.720 Il en ressort quelque chose[br]qui ressemble à une phrase. 0:11:37.720,0:11:39.790 Vous pouvez obtenir [br]une expression de passe comme : 0:11:39.790,0:11:41.098 « Projet construit pouvoir sûr » 0:11:41.098,0:11:43.884 ou « Fin détermine drogue rouge ». 0:11:43.884,0:11:46.560 Celles-ci semblaient [br]un peu plus mémorisables, 0:11:46.560,0:11:49.382 et peut-être que [br]les gens les préfèreraient. 0:11:49.382,0:11:51.954 Nous voulions les comparer[br]avec les mots de passe, 0:11:51.954,0:11:55.150 l'ordinateur choisissait donc[br]des mots de passe au hasard, 0:11:55.150,0:11:57.140 qui étaient sympas et courts,[br]mais comme vous pouvez le voir, 0:11:57.140,0:11:59.946 ils n'ont pas l'air très mémorisables. 0:11:59.946,0:12:01.342 Nous avons ensuite décidé d'essayer[br]quelque chose qui s'appelle 0:12:01.342,0:12:02.988 un mot de passe prononçable. 0:12:02.988,0:12:05.233 L'ordinateur choisit [br]des syllables au hasard 0:12:05.233,0:12:06.367 et les réunit 0:12:06.367,0:12:08.842 pour avoir quelque chose[br]de prononçable 0:12:08.842,0:12:11.444 comme « tufritvi » et « vadasabi ». 0:12:11.444,0:12:13.591 Ce genre de choses [br]qui se prononcent plutôt bien. 0:12:13.591,0:12:15.807 C'étaient des mots de passe qui étaient 0:12:15.807,0:12:18.551 générés au hasard par notre ordinateur. 0:12:18.551,0:12:21.529 Ce que nous avons remarqué [br]dans cette étude est que, étonamment, 0:12:21.529,0:12:25.297 les expressions de passe n'étaient en fait[br]pas si bonnes que ça. 0:12:25.297,0:12:28.090 Les gens ne retenaient pas mieux 0:12:28.090,0:12:31.043 les phrases de passe que[br]ces mots de passe aléatoires, 0:12:31.043,0:12:33.797 et parce que les phrases de passe[br]sont plus longues, 0:12:33.797,0:12:35.023 il fallait plus de temps pour les taper 0:12:35.023,0:12:38.033 et les gens faisaient plus d'erreurs[br]en les tapant. 0:12:38.033,0:12:41.260 Ce n'est donc pas une victoire nette[br]pour les phrases de passe. 0:12:41.260,0:12:44.605 Désolée pour tous les fans de xkcd. 0:12:44.605,0:12:46.497 D'un autre côté, nous avons remarqué 0:12:46.497,0:12:48.301 que les mots de passe prononçables 0:12:48.301,0:12:49.772 fonctionnaient étonnamment bien, 0:12:49.772,0:12:52.190 et nous faisons donc [br]de la recherche additionnelle 0:12:52.190,0:12:55.385 pour voir si nous pouvons faire [br]fonctionner cette approche encore mieux. 0:12:55.385,0:12:57.197 Un des problèmes 0:12:57.197,0:12:58.820 avec certaines des études[br]que nous avons faites 0:12:58.820,0:13:00.503 est que parce qu'elles sont toutes faites 0:13:00.503,0:13:02.093 via Mechanical Turk, 0:13:02.093,0:13:03.905 ce ne sont pas de vrais[br]mots de passe. 0:13:03.905,0:13:06.010 Ce sont des mots de passe[br]qu'ils ont créés 0:13:06.010,0:13:08.505 ou que l'ordinateur a créés[br]pour notre étude. 0:13:08.505,0:13:10.073 Et nous voulions savoir[br]est-ce que les gens 0:13:10.073,0:13:12.385 se comporteraient de la même façon 0:13:12.385,0:13:14.612 avec leurs vrais mots de passe. 0:13:14.612,0:13:18.293 Nous nous sommes donc adressés au bureau[br]de la sécurité des informations de la CMU 0:13:18.293,0:13:21.146 et leur avons demandé si nous pouvions[br]avoir les vrais mots de passe 0:13:21.146,0:13:22.330 de tout le monde. 0:13:22.330,0:13:25.400 Ce n'est pas étonnant qu'ils aient été[br]un peu réticents à les partager avec nous, 0:13:25.400,0:13:27.210 mais nous avons été capables[br]de mettre au point 0:13:27.210,0:13:28.250 un système avec eux 0:13:28.250,0:13:30.359 où ils ont mis tous les vrais[br]mots de passe 0:13:30.359,0:13:33.450 pour 25 000 étudiants, professeurs[br]et membres du personnel de la CMU, 0:13:33.450,0:13:35.898 sur un ordinateur verrouillé[br]dans une pièce verrouillée, 0:13:35.898,0:13:37.292 pas connecté à internet, 0:13:37.292,0:13:39.140 et ils ont lancé un programme[br]que nous avions codé 0:13:39.140,0:13:41.292 pour analyser ces mots de passe. 0:13:41.292,0:13:42.618 Ils ont vérifié le programme. 0:13:42.618,0:13:43.930 Ils ont lancé le programme. 0:13:43.930,0:13:45.668 Nous n'avons jamais vraiment vu 0:13:45.668,0:13:48.485 aucun mot de passe. 0:13:48.485,0:13:50.000 Nous avons obtenu [br]des résultats intéressants, 0:13:50.000,0:13:51.696 et les étudiants de Tepper dans le fond, 0:13:51.696,0:13:54.571 ceci va vous intéresser. 0:13:54.571,0:13:58.302 Nous avons constaté que[br]les mots de passe créés 0:13:58.302,0:14:00.460 par des personnes affiliées[br]à l'école d'informatique 0:14:00.460,0:14:02.784 étaient en fait 1,8 fois plus difficiles 0:14:02.784,0:14:06.522 que ceux des personnes affiliées[br]à l'école de commerce. 0:14:06.522,0:14:08.562 Nous avons également beaucoup d'autres 0:14:08.562,0:14:10.800 informations démographiques [br]très intéressantes. 0:14:10.800,0:14:12.646 L'autre chose très intéressante [br]que nous avons constatée 0:14:12.646,0:14:15.086 est que lorsque nous avons comparé[br]les mots de passe de Carnegie Mellon 0:14:15.086,0:14:17.369 avec ceux générés par Mechanical Turk, 0:14:17.369,0:14:19.988 il y avait beaucoup de similitudes, 0:14:19.988,0:14:21.936 et ça a contribué à valider[br]notre méthode de recherche 0:14:21.936,0:14:24.446 et montre qu'en fait,[br]collecter des mots de passe 0:14:24.446,0:14:26.254 en utilisant les études[br]de Mechanical Turk 0:14:26.254,0:14:29.042 est une façon valide d'étudier[br]les mots de passe. 0:14:29.042,0:14:31.327 C'étaient donc de bonnes nouvelles. 0:14:31.327,0:14:33.741 OK, pour finir je voudrais parler de 0:14:33.741,0:14:35.809 d'aperçus que j'ai eu[br]alors que j'étais en année sabbatique 0:14:35.809,0:14:39.010 l'année dernière à l'école d'art[br]de Carnegie Mellon. 0:14:39.010,0:14:40.291 Une des choses que j'ai faites 0:14:40.291,0:14:41.815 est que j'ai fait nombre de couettes, 0:14:41.815,0:14:43.363 et j'ai fait cette couette-ci. 0:14:43.363,0:14:45.262 Elle s'appelle la [br]« couverture de sécurité ». 0:14:45.262,0:14:47.693 (Rires) 0:14:47.693,0:14:50.788 Et sur cette couette il y a les 1 000 0:14:50.788,0:14:53.116 mots de passe les plus fréquemment volés 0:14:53.116,0:14:55.687 du site RockYou. 0:14:55.687,0:14:57.748 Et la taille des mots de passe[br]est proportionnelle 0:14:57.748,0:14:59.649 à leur fréquence d'apparition 0:14:59.649,0:15:01.897 dans la base de données des vols. 0:15:01.897,0:15:04.529 Ce que j'ai fait c'est que[br]j'ai créé ce nuage de mots 0:15:04.529,0:15:06.661 et j'ai parcouru ces 1 000 mots 0:15:06.661,0:15:08.456 et je les ai classés 0:15:08.456,0:15:10.836 en catégories thématiques. 0:15:10.836,0:15:12.739 Et, dans certains cas, 0:15:12.739,0:15:14.777 il a été assez difficile de déterminer 0:15:14.777,0:15:16.532 dans quelle catégorie ils devraient être, 0:15:16.532,0:15:18.431 et ensuite j'ai créé un code couleur. 0:15:18.431,0:15:21.050 Voici des exemples de la difficulté. 0:15:21.050,0:15:22.231 « Justin ». 0:15:22.231,0:15:24.060 Est-ce le nom de l'utilisateur, 0:15:24.060,0:15:25.382 de son copain, de son fils ? 0:15:25.382,0:15:28.270 Peut-être que c'est juste[br]un fan de Justin Bieber. 0:15:28.270,0:15:30.495 Ou « princesse ». 0:15:30.495,0:15:32.130 Est-ce un surnom ? 0:15:32.130,0:15:33.725 Est-ce un fan des princesses de Disney ? 0:15:33.725,0:15:37.419 Ou peut-être que [br]c'est le nom de leur chat. 0:15:37.419,0:15:39.074 « Jetaime » apparaît de nombreuses fois 0:15:39.074,0:15:40.619 dans de nombreuses langues. 0:15:40.619,0:15:44.354 Il y a beaucoup d'amour[br]dans ces mots de passe. 0:15:44.354,0:15:46.034 Si vous regardez attentivement,[br]vous verrez également 0:15:46.034,0:15:48.301 quelques obscénités, 0:15:48.301,0:15:50.251 mais pour moi il était [br]très intéressant de voir 0:15:50.251,0:15:52.558 qu'il y a beaucoup plus[br]d'amour que de haine 0:15:52.558,0:15:54.850 dans ces mots de passe. 0:15:54.850,0:15:56.340 Il y a des animaux, 0:15:56.340,0:15:57.700 beaucoup d'animaux, 0:15:57.700,0:16:00.004 et « singe » est l'animal le plus commun 0:16:00.004,0:16:03.679 et le 14ème mot de passe[br]le plus populaire de tous. 0:16:03.679,0:16:05.910 Et cela m'a paru curieux, 0:16:05.910,0:16:08.433 et je me suis demandé : « Pourquoi [br]les singes sont-il si populaires ? » 0:16:08.433,0:16:11.785 Donc dans notre dernière étude[br]sur les mots de passe, 0:16:11.785,0:16:13.471 à chaque fois que[br]nous détections quelqu'un 0:16:13.471,0:16:16.120 qui créait un mot de passe[br]contenant le mot « singe », 0:16:16.120,0:16:19.150 nous leur demandions pourquoi ils avaient[br]« singe » dans leur mot de passe. 0:16:19.150,0:16:21.060 Et nous avons constaté -- 0:16:21.060,0:16:23.163 jusqu'ici nous avons trouvé [br]17 personnes, je crois, 0:16:23.163,0:16:24.446 qui ont le mot « singe » -- 0:16:24.446,0:16:26.258 Nous avons remarqué qu'environ[br]un tiers d'entre eux disait 0:16:26.258,0:16:27.998 qu'ils avaient un animal de compagnie[br]qui s'appelait « singe » 0:16:27.998,0:16:30.289 ou un ami surnommé « singe », 0:16:30.289,0:16:31.949 et environ un tiers d'entre eux disait 0:16:31.949,0:16:33.482 que c'était juste [br]qu'ils aimaient les singes 0:16:33.482,0:16:35.120 et que les singes sont très mignons. 0:16:35.120,0:16:38.759 Et celui-ci est vraiment mignon. 0:16:38.759,0:16:42.167 Il semble qu'en fin de compte, 0:16:42.167,0:16:43.950 quand nous créons nos mots de passe, 0:16:43.950,0:16:45.924 nous faisons soit [br]quelque chose de très simple 0:16:45.924,0:16:48.933 à taper, un schéma familier, 0:16:48.933,0:16:51.419 ou quelque chose qui nous rappelle[br]l'expression « mot de passe » 0:16:51.419,0:16:54.731 ou le compte pour lequel nous avons[br]créé le mot de passe, 0:16:54.731,0:16:57.348 ou quoi que ce soit. 0:16:57.348,0:16:59.990 Ou nous pensons à des choses[br]qui nous rendent heureux, 0:16:59.990,0:17:01.294 et nous créons notre mot de passe 0:17:01.294,0:17:03.532 à partir de choses [br]qui nous rendent heureux. 0:17:03.532,0:17:06.395 Et, alors que ça rend [br]plus amusant le fait de taper 0:17:06.395,0:17:09.265 et de se souvenir de notre mot de passe, 0:17:09.265,0:17:11.072 ça rend aussi nos mots de passe 0:17:11.072,0:17:12.578 plus facilement devinables. 0:17:12.578,0:17:14.326 Je sais que beaucoup[br]de ces exposés de TED 0:17:14.326,0:17:15.960 sont source d'inspiration 0:17:15.960,0:17:18.421 et qu'ils vont font penser à[br]des choses sympas et heureuses, 0:17:18.421,0:17:20.318 mais quand vous créez votre mot de passe, 0:17:20.318,0:17:22.309 essayez de penser à quelque chose d'autre. 0:17:22.309,0:17:23.416 Merci. 0:17:23.416,0:17:23.969 (Applaudissements)