Sou uma Professora de Engenharia e Ciência Informática aqui na Carnegie Mellon, e a minha investigação centra-se na privacidade e segurança utilizáveis, e, por isso, os meus amigos gostam de me dar exemplos das suas frustrações com os sistemas informáticos, especialmente as suas frustrações relacionadas com privacidade e segurança inutilizáveis. Por isso, as palavras-passe são algo de que eu oiço muito falar. Muitas pessoas estão frustradas com as palavras-passe, e é suficientemente mau quando temos que ter uma palavra-passe realmente boa que possamos memorizar mas que mais ninguém seja capaz de adivinhar. Mas o que devemos fazer quando temos contas numa centena de sistemas diferentes e é suposto termos uma palavra-passe única para cada um desses sistemas? É complicado. Na Universidade de Carnegie Mellon, costumavam fazer com que fosse realmente fácil para nós memorizarmos as nossas palavras-passe. O requisito para as palavras-passe até 2009 era apenas que teríamos que ter uma palavra-passe com pelo menos um carácter. Bastante simples. Mas depois as coisas mudaram, e no final de 2009, anunciaram que iriam ter uma nova política e essa política exigia palavras-passe que tivessem pelo menos oito caracteres, com uma letra maiúscula, uma letra minúscula, um número, um símbolo, não podíamos utilizar o mesmo carácter mais do que três vezes, e não poderia constar de um dicionário. Quando eles implementaram esta nova política, muitas pessoas, os meus colegas e amigos, vieram ter comigo e disseram: "Uau, agora é que é realmente inutilizável. "Porque é que eles nos estão a fazer isto, "e porque é que tu não os impedes?" E eu disse: "Bem, sabem que mais? "Eles não me perguntaram." Mas fiquei curiosa e decidi ir falar com as pessoas responsáveis pelos nossos sistemas informáticos e descobrir o que os levou a introduzir esta nova política, e eles disseram que a universidade se tinha juntado a um consórcio de universidades, e que um dos requisitos da adesão era que tínhamos que usar palavras-passe mais fortes que estivessem de acordo com alguns novos requisitos, e estes requisitos eram de que nossas palavras-passe teriam que ter muita entropia. Entropia é um termo complicado, mas basicamente mede a força das palavras-passe. Mas o que acontece é que não há, na verdade, uma medida padrão de entropia. O Instituto Nacional de Padrões e Tecnologia tem um conjunto de diretrizes que têm algumas regras gerais para medir entropia, mas não têm nada muito específico, e a razão de terem apenas regras gerais, é por não terem, na verdade, quaisquer dados válidos sobre palavras-passe. Na verdade, o seu relatório afirma: "Infelizmente, não temos muitos dados "sobre as palavras-passe que os utilizadores escolhem "de acordo com regras específicas. "O INPT gostaria de obter mais dados "sobre as palavras-passe que os utilizadores realmente escolhem, "mas os administradores de sistema estão compreensivelmente relutantes "em revelar dados de palavras-passe a outras pessoas. " Portanto, isto é um problema, mas o nosso grupo de investigação entendeu-o como uma oportunidade. Dissemos: "Bem, há uma necessidade de bons dados sobre palavras-passe. "Talvez possamos recolher alguns bons dados sobre palavras-passe "e, fazer avançar, de facto, o conhecimento nesta área". Então a primeira coisa que fizemos foi, comprámos um saco de guloseimas e andámos pelo "campus" e falámos com estudantes, professores e funcionários, e pedimos-lhes informações sobre as suas palavras-passe. Não lhes dissemos: "Dê-me a sua palavra-passe." Não, apenas lhes perguntámos sobre as suas palavras-passe. "É longa?" "Tem algum número?" "Tem algum símbolo?" E: "Foi-lhe aborrecido ter que criar "uma nova na semana passada?" Assim conseguimos resultados de 470 estudantes, professores e funcionários, e, de facto, confirmámos que a nova política era muito irritante, mas também descobrimos que as pessoas diziam sentir-se mais seguras com estas novas palavras-passe. Descobrimos que a maior parte das pessoas sabia que não deveria anotar as suas palavras-passe, e apenas 13 por cento o fizeram, mas estranhamente, 80 por cento das pessoas afirmaram estar a reutilizar as suas palavras-passe. Na verdade, isto é mais perigoso do que anotarmos a nossa palavra-passe, porque isto nos torna muito mais suscetíveis a ataques. Então, se tiver que ser, anotem as vossas palavras-passe, mas não as reutilizem. Também descobrimos algumas coisas interessantes sobre os símbolos que as pessoas utilizam nas suas palavras-passe. A CMU permite 32 símbolos possíveis, mas como podem ver, há apenas um número reduzido que a maior parte das pessoas está a utilizar, por isso, não estamos a retirar muita força dos símbolos nas nossas palavras-passe. Portanto, este foi um estudo muito interessante, e agora tínhamos dados de 470 pessoas, mas em termos gerais, não são muitos dados sobre palavras-passe, e então olhámos à volta para ver onde poderíamos encontrar mais dados sobre palavras-passe? Acontece que há muitas pessoas por aí a roubar palavras-passe, e muitas vezes publicam essas palavras-passe na Internet. Assim nós conseguimos ter acesso a alguns desses conjuntos de palavras-passe roubadas. No entanto, isto ainda não é realmente ideal para a investigação, porque não é inteiramente claro de onde vieram todas estas palavras-passe, ou exatamente quais eram as políticas que estavam em vigor quando as pessoas criaram estas palavras-passe. Então quisemos encontrar uma melhor fonte de dados. Decidimos então que uma coisa que podíamos fazer era fazer um estudo e ter pessoas a criarem, de facto, palavras-passe para o nosso estudo. Assim utilizámos um serviço chamado Amazon Mechanical Turk, e este é um serviço onde podemos publicar "on-line" um pequeno trabalho que demore um minuto, alguns minutos, uma hora, e pague às pessoas, uma moeda de um centavo, dez centavos, alguns dólares, para fazerem uma tarefa por nós, e depois pagamos-lhes através da Amazon.com Então pagámos às pessoas 50 centavos para criarem uma palavra-passe seguindo as nossas regras e respondendo a um questionário, e depois pagámos-lhes outra vez para voltarem dois dias depois e fazerem o "login" utilizando as suas palavras-passe e respondendo a outro questionário. Fizemos então isto e recolhemos 5000 palavras-passe, e demos às pessoas várias regras diferentes para criarem as suas palavras-passe. Então algumas pessoas tinham uma política muito simples, a que chamámos Basic8, e aqui a única regra era que a palavra-passe tinha que ter pelo menos oito caracteres. Depois algumas pessoas tinham uma política muito mais rígida, e esta era muito semelhante à política da CMU, que tinha quer ter oito caracteres incluindo maiúsculas, minúsculas, números, símbolos, e passar por uma verificação de dicionário. E uma de outras políticas que tentámos, e havia várias outras, mas uma das que tentámos era chamada Basic16. e a única exigência aqui era que a palavra-passe tinha que ter pelos menos 16 caracteres. Muito bem, então tínhamos 5000 palavras-passe, e então tínhamos informação muito mais detalhada. Mais uma vez, vemos que há apenas um pequeno número de símbolos que as pessoas estão a utilizar nas suas palavras-passe. Também queríamos ter uma ideia do quão forte eram as palavras-passe que as pessoas estavam a criar, mas como se devem lembrar, não há uma boa medida de força da palavra-passe. Então o que decidimos foi ver quanto tempo levaria a descobrir essas palavras-passe utilizando as melhores ferramentas para o efeito que os "maus da fita" utilizam, ou sobre as quais conseguimos encontrar informação na literatura da investigação. Então, para vos dar uma ideia da forma como os "maus da fita" andam por aí a descodificar palavras-passe, eles roubam um ficheiro de palavras-passe que contém todas as palavras-passe numa espécie de forma baralhada, chamada uma "hash", e, por isso, o que eles fazem é: dão um palpite sobre qual é uma palavra-passe, testam-na através de uma função "hash", e vêem se corresponde às palavras-passe que têm na sua lista de palavras-passe roubadas. Assim, um malfeitor idiota vai tentar todas as palavras-passe por ordem. Vai começar com AAAAA e passar para AAAAB, e isto vai demorar imenso tempo até que consiga alguma palavra-passe que, de facto, seja provável as pessoas terem. Um malfeitor esperto, por outro lado, faz algo muito mais inteligente. Olha para as palavras-passe que sejam entendidas como mais populares nesses conjuntos de palavras-passe roubadas, e testa essas primeiro. Então vai começar por testar "palavra-passe," e depois vai testar "I love you" e "macaco" e "12345678", porque essas são as palavra-passe que é mais provável as pessoas terem. De facto, alguns de vocês provavelmente têm estas palavras-passe. Então o que descobrimos ao testar todas estas 5000 palavras-passe que recolhemos através destes testes para vermos o quão fortes elas eram, descobrimos que as palavras-passe longas eram de facto bastante fortes, e as palavras-passe complexas eram também bastante fortes. No entanto, quando olhámos para os dados do questionário, vimos que as pessoas estavam bastante frustadas com as palavras-passe muito complexas, e as palavras-passe longas eram bastante mais utilizáveis, e em alguns casos, elas eram até mais fortes do que palavras-passe complexas. Então isto sugere que, em vez de dizer às pessoas que elas precisam de colocar todos esses símbolos e números e coisas loucas nas suas palavras-passe, pode ser melhor apenas dizer às pessoas para terem palavras-passe longas. Ora aqui está o problema, ainda assim: Algumas pessoas tinham palavras-passe longas que, na verdade, não eram muito fortes. Podemos criar palavras-passe longas que ainda são o tipo de coisa que um malfeitor pode facilmente adivinhar. Então, temos que fazer mais do que apenas considerar palavras-passe longas. Têm que haver alguns requisitos adicionais, e uma parte da nossa investigação em curso está a tentar perceber que requisitos adicionais devemos adicionar para criar palavras-passe mais fortes que sejam também fáceis para as pessoas memorizarem e digitarem. Outra abordagem para levar as pessoas a ter palavras-passe mais fortes é utilizar um medidor de palavra-passe. Aqui estão alguns exemplos. Podem ter visto isto na Internet quando estavam a criar palavras-passe. Decidimos fazer um estudo para descobrir se estes medidores de palavras-passe de facto funcionavam. Será que ajudam realmente as pessoas a terem palavras-passe mais fortes, e se sim, quais são os melhores? Então testámos medidores de palavras-passe que eram diferentes tamanhos, formas, cores, diferentes palavras junto deles, e até testámos um que era um coelho a dançar. À medida que digitamos uma palavra-passe melhor, o coelho dança cada vez mais rápido. Então, isto era muito divertido. O que descobrimos foi que os medidores de palavras-passe funcionam mesmo. (Risos) A maioria dos medidores de palavras-passe eram realmente eficazes, e o coelho dançarino também era muito eficaz, mas os medidores de palavras-passe mais eficazes foram os que nos deram mais trabalho até nos darem a sua aprovação e dizerem que estávamos a fazer um bom trabalho. e, de facto, descobrimos que a maioria dos medidores de palavras-passe que existem na Internet hoje em dia são demasiado brandos. Eles dizem-nos que estamos a fazer um bom trabalho demasiado cedo, e se simplesmente esperassem um pouco mais antes de nos darem o seu "feedback" positivo, provavelmente teríamos melhores palavras-passe. Agora, uma outra abordagem para melhores palavras-passe talvez seja utilizar frases em vez de palavras. Este foi um "cartoon" da xkcd há alguns anos atrás. e o cartunista sugere que todos nós deveríamos utilizar frases-passe, e se olharem para a segunda linha deste "cartoon", podem ver que o cartunista está a sugerir que a frase "correto cavalo bateria agrafo" seria uma palavra-passe muito forte e algo muito fácil de memorizar. Ele diz mesmo que, de facto, nós já a memorizámos. E então nós decidimos fazer um estudo para descobrir se isto era ou não verdade. Na verdade, todas as pessoas com quem falámos, a quem eu disse que estava a fazer uma investigação sobre palavras-passe, mencionaram este "cartoon". "Oh, tu viste? Aquele xkcd. "Correto cavalo bateria agrafo." Então nós fizemos uma investigação para ver o que iria realmente acontecer. Então no nosso estudo, utilizámos a Mechanical Turk outra vez, e tínhamos o computador a escolher as palavras aleatórias na frase-passe. A razão por que fizemos isto é que os humanos não são muito bons a escolher palavras aleatórias. Se pedíssemos a um humano para o fazer, ele escolheria coisas que não são muito aleatórias. Por isso tentámos algumas diferentes condições. Numa das condições, o computadores escolheu de um dicionário de palavras muito comuns da língua inglesa, e então teríamos frases como "tentar lá três vem." E olhámos para isto e dissemos, "Bem, isto realmente não parece muito fácil de memorizar." Então tentámos escolher palavras que viessem de partes específicas do discurso, então que tal substantivo-verbo-adjetivo-substantivo. Isto resulta numa espécie de frase. Então podemos ter uma frase-passe como "plano constrói seguro poder" ou "final determina vermelha droga." E estas pareciam um pouco mais memorizáveis, e talvez as pessoas gostassem um pouco mais destas. Queríamos compará-las com palavras-passe, e por isso tínhamos o computador e escolher palavras-passe aleatórias, que eram boas e curtas, mas como podem ver, não pareciam muito memorizáveis. E depois decidimos tentar algo chamado palavra-passe pronunciável. Então, aqui o computador escolhe sílabas aleatórias e junta-as então temos algo mais ou menos pronunciável, como "tufritvi" e "vadasabi." Esta último enrola um pouco a língua. Então estas eram palavras-passe aleatórias geradas pelo nosso computador. Então o que descobrimos neste estudo foi que, surpreendentemente, frases-passe não eram na verdade assim tão boas. As pessoas não tiveram muito mais facilidade em memorizar as frases-passe do que estas palavras-passe aleatórias, e porque as frases-passe eram mais longas, demoravam mais tempo a digitar e as pessoas cometiam mais erros ao digitá-las. Portanto, não temos realmente uma vitória clara para frases-passe. Desculpem, todos os fãs da xkcd. Por outro lado, descobrimos que as palavras-passe pronunciáveis funcionavam surpreendentemente bem, e, por isso, estamos mesmo a fazer mais alguns estudos para ver se podemos fazer com que esta abordagem funcione ainda melhor. Um dos problemas com alguns dos estudos que fizemos é que, por todos eles terem sido feitos utilizando a Mechanical Turk, estas não são as verdadeiras palavras-passe das pessoas. São as palavras-passe que elas criaram ou que o computador criou por elas para o nosso estudo. E nós queríamos saber se as pessoas realmente se comportariam da mesma forma com as suas palavras-passe reais. Então, falámos com o gabinete de segurança informática da Carnegie Mellon e pedimos-lhes se podíamos ter acesso às palavras-passe reais de toda a gente. Como seria de esperar, eles estavam um pouco relutantes em partilhá-las connosco, mas conseguimos de facto criar um sistema com eles em que eles puseram todas as palavras-passe reais dos 25 000 estudantes, professores e funcionários da CMU num computador bloqueado, numa sala trancada, sem ligação à Internet, e eles executaram o código que escrevemos para analisar estas palavras-passe. Eles examinaram o nosso código. Eles executaram o código. E, por isso, nós realmente nunca tivemos acesso a palavras-passe de ninguém. Conseguimos alguns resultados interessantes, e alguns de vós, estudantes da Tepper, aí ao fundo, vão ter muito interesse nisto. Descobrimos que as palavras-passe criadas por pessoas ligadas à escola de ciências informáticas eram na verdade 1,8 vezes mais fortes do que as das pessoas ligadas à Escola de Gestão. Temos muitos outros interessantes dados demográficos também. Outra coisa interessante que descobrimos é que quando comparámos as palavras-passe da Carnegie Mellon com as palavras-passe geradas pela Mechanical Turk, havia, na verdade, várias semelhanças, e isto ajudou a validar o nosso método de investigação e a provar que recolher palavras-passe utilizando os estudos da Mechanical Turk é, de facto, uma forma válida de estudar palavras-passe. Isto foram boas notícias. Ok, eu quero encerrar falando sobre algumas ideias que adquiri durante o meu período sabático no ano passado, na Escola de Arte da Carnegie Mellon. Umas das coisas que fiz foi uma série de colchas, e eu fiz esta colcha aqui. Chama-se "Manta de Segurança." (Risos) E esta colcha tem as 1000 palavras-passe mais frequentemente roubadas do "website" RockYou. E o tamanho da palavra-passe é proporcional à frequência com que aparecem no conjunto de dados roubados. E o que eu fiz foi criar esta "nuvem" de palavras, e analisar por todas as 1000 palavras, e categorizá-las em categorias temáticas soltas. E foi, em alguns casos, foi relativamente difícil perceber em que categoria elas se deviam inserir, e depois codifiquei-as por cores. Então, aqui estão alguns exemplos da dificuldade. Por exemplo, "justin." Será o nome do utilizador, do seu namorado, do seu filho? Talvez seja um fã do Justin Bieber. Ou "princesa." Será uma alcunha? Serão fãs das princesas da Disney? Ou talvez seja o nome da sua gata. "Iloveyou" aparece muitas vezes, em várias línguas diferentes. Há muito amor nestas palavras-passe. Se olharem com atenção, verão que também há alguns palavrões, mas foi realmente interessante para mim constatar que há muito mais amor do que ódio nestas palavras-passe. E há animais, muitos animais, e "macaco" é o animal mais comum e a 14.ª palavra-passe mais comum em geral. E achei isto realmente curioso, e perguntei-me: "Porque é que os macacos são tão populares?" E então, no nosso último estudo às palavras-passe, cada vez que detetávamos alguém a criar uma palavra-passe com a palavra "macaco", perguntámos-lhes porque tinham macaco na sua palavra-chave. E o que descobrimos — descobrimos 17 pessoas até agora, eu acho, que têm a palavra "macaco" — descobrimos que cerca de um terço destas pessoas disse ter um animal de estimação chamado "macaco" ou um amigo cuja alcunha é "macaco," e cerca de um terço destas pessoas disse apenas gostar de macacos e os macacos são realmente fofinhos. Aquele amigo é mesmo fofinho. Então, parece que, no final de contas, quando criamos palavras-passe, ou criamos algo que seja realmente fácil de digitar, um padrão comum, ou coisas que nos lembrem da palavra palavra-passe ou a conta para a qual criámos a palavra-passe, ou o que quer que seja. Ou pensamos em coisas que nos fazem felizes, e criamos a nossa palavra-passe baseada em coisas que nos fazem felizes. E se isto torna o digitar e o memorizar a nossa palavra-passe mais divertido, também torna muito fácil adivinhar a nossa palavra-passe. Eu sei que muitas destas palestras TED são inspiradoras e que nos fazem pensar em coisas boas, coisas felizes, mas quando estiverem a criar a vossa palavra-passe, tentem pensar em outra coisa. Obrigada. (Aplausos)