WEBVTT 00:00:00.535 --> 00:00:03.980 Я профессор информатики и инженерии здесь, в Университете Карнеги-Меллон. 00:00:03.980 --> 00:00:08.228 Я занимаюсь исследованием полезной конфиденциальности и безопасности, 00:00:08.228 --> 00:00:10.996 поэтому друзья любят делиться со мной 00:00:10.996 --> 00:00:13.198 своими огорчениями, связанными с компьютерами, 00:00:13.198 --> 00:00:16.552 особенно теми, которые касаются 00:00:16.552 --> 00:00:20.664 бесполезной конфиденциальности и безопасности. NOTE Paragraph 00:00:20.664 --> 00:00:23.375 Мне часто приходится слышать о паролях. 00:00:23.375 --> 00:00:26.255 Многих людей пароли расстраивают 00:00:26.255 --> 00:00:27.949 уже одним тем, что приходится 00:00:27.949 --> 00:00:30.593 придумывать действительно хороший пароль, 00:00:30.593 --> 00:00:32.415 который легко запомнить 00:00:32.415 --> 00:00:35.309 и который никому не взломать. 00:00:35.309 --> 00:00:36.946 Но что, если у вас сотни учётных записей 00:00:36.946 --> 00:00:38.754 в различных системах, 00:00:38.754 --> 00:00:41.030 и нужно иметь уникальный пароль 00:00:41.030 --> 00:00:44.067 для каждой из них? 00:00:44.067 --> 00:00:46.251 Это нелёгкая задача. NOTE Paragraph 00:00:46.251 --> 00:00:48.010 Раньше в Карнеги-Меллон 00:00:48.010 --> 00:00:49.309 нам было довольно легко 00:00:49.309 --> 00:00:51.046 запоминать наши пароли. 00:00:51.046 --> 00:00:53.449 До 2009 года требовалось, 00:00:53.449 --> 00:00:55.828 чтобы пароль 00:00:55.828 --> 00:00:58.039 содержал хотя бы один знак. 00:00:58.039 --> 00:01:00.927 Легко. Но затем требования изменились, 00:01:00.927 --> 00:01:03.597 и с конца 2009 года 00:01:03.597 --> 00:01:05.973 были введены новые правила, 00:01:05.973 --> 00:01:07.836 согласно которым 00:01:07.836 --> 00:01:10.517 пароли должны состоять хотя бы из 8 знаков, 00:01:10.517 --> 00:01:12.292 с одной заглавной, одной строчной буквой, 00:01:12.292 --> 00:01:13.580 цифрой, специальным символом, 00:01:13.580 --> 00:01:16.218 нельзя использовать один и тот же знак более трёх раз, 00:01:16.218 --> 00:01:18.652 и пароля не должно быть в словаре. NOTE Paragraph 00:01:18.652 --> 00:01:20.834 Когда новые правила были введены, 00:01:20.834 --> 00:01:23.144 многие мои коллеги и друзья 00:01:23.144 --> 00:01:24.998 пришли ко мне и сказали: 00:01:24.998 --> 00:01:26.510 «Ну и ну! Этим невозможно пользоваться! 00:01:26.510 --> 00:01:27.703 За что они с нами так поступают? 00:01:27.703 --> 00:01:29.414 Почему ты их не остановила?» NOTE Paragraph 00:01:29.414 --> 00:01:30.770 Я ответила: «Знаете что? 00:01:30.770 --> 00:01:32.278 Меня никто и не спрашивал». NOTE Paragraph 00:01:32.278 --> 00:01:35.743 Но мне стало любопытно, и я решила поговорить 00:01:35.743 --> 00:01:37.680 с людьми, отвечающими за наши компьютеры, 00:01:37.680 --> 00:01:40.511 и выяснить, что же заставило их 00:01:40.511 --> 00:01:42.359 ввести новые правила. 00:01:42.359 --> 00:01:43.943 Мне ответили, что университет 00:01:43.943 --> 00:01:46.309 вступил в Ассоциацию университетов, 00:01:46.309 --> 00:01:48.943 и одним из требований для её членов 00:01:48.943 --> 00:01:51.191 является наличие более надёжных паролей, 00:01:51.191 --> 00:01:53.463 отвечающих новым условиям. 00:01:53.463 --> 00:01:55.567 Этим условием было наличие в паролях 00:01:55.567 --> 00:01:57.171 информационной энтропии. 00:01:57.171 --> 00:01:59.449 Информационная энтропия — сложный термин. 00:01:59.449 --> 00:02:02.247 Говоря проще, он показывает, насколько надёжен пароль. 00:02:02.247 --> 00:02:04.226 Проблема в том, что не существует 00:02:04.226 --> 00:02:06.175 стандартной меры энтропии. 00:02:06.175 --> 00:02:08.574 Национальный институт стандартов и технологий 00:02:08.574 --> 00:02:10.127 имеет ряд инструкций, 00:02:10.127 --> 00:02:12.695 содержащих общие правила 00:02:12.695 --> 00:02:14.135 измерения информационной энтропии, 00:02:14.135 --> 00:02:17.030 однако они не носят конкретного характера, 00:02:17.030 --> 00:02:19.367 и причина этого в том, 00:02:19.367 --> 00:02:22.503 что у Института недостаточно данных 00:02:22.503 --> 00:02:24.023 о паролях. 00:02:24.023 --> 00:02:26.335 Фактически, в их отчёте говорится: 00:02:26.335 --> 00:02:28.663 «К сожалению, мы не располагаем данными 00:02:28.663 --> 00:02:31.505 о паролях, выбираемых пользователями согласно правилам. 00:02:31.505 --> 00:02:33.838 Институту хотелось бы получить больше данных 00:02:33.838 --> 00:02:36.300 о паролях, которые выбираются на самом деле, 00:02:36.300 --> 00:02:38.763 но, по понятным причинам, системные администраторы 00:02:38.763 --> 00:02:41.703 делятся ими неохотно». NOTE Paragraph 00:02:41.703 --> 00:02:44.800 Задача трудная, но наша исследовательская группа 00:02:44.800 --> 00:02:46.940 увидела в ней хорошую возможность. 00:02:46.940 --> 00:02:50.040 Мы сказали: «Существует нехватка данных о паролях. 00:02:50.040 --> 00:02:52.188 Мы могли бы собрать такие данные 00:02:52.188 --> 00:02:54.892 и изменить положение дел». NOTE Paragraph 00:02:54.892 --> 00:02:56.564 Первое, что мы сделали, — 00:02:56.564 --> 00:02:58.120 мы взяли мешок с шоколадками 00:02:58.120 --> 00:02:59.206 и прошлись по территории университета, 00:02:59.206 --> 00:03:02.004 разговаривая со студентами и преподавателями. 00:03:02.004 --> 00:03:03.534 Мы задавали им вопросы 00:03:03.534 --> 00:03:05.086 об их паролях. 00:03:05.086 --> 00:03:08.090 Мы не просили их раскрывать пароли. 00:03:08.090 --> 00:03:10.751 Мы просто спрашивали про них. 00:03:10.751 --> 00:03:12.229 Какой они длины? Есть ли в них цифры? 00:03:12.229 --> 00:03:13.297 Содержат ли они специальные символы? 00:03:13.297 --> 00:03:15.342 Были ли вы раздражены, когда вам пришлось 00:03:15.342 --> 00:03:18.086 создать новый пароль на прошлой неделе? 00:03:18.086 --> 00:03:21.292 Мы собрали результаты опроса 470 студентов, 00:03:21.292 --> 00:03:22.263 преподавателей и сотрудников, 00:03:22.263 --> 00:03:24.777 и подтвердился тот факт, что новые правила 00:03:24.777 --> 00:03:26.230 всех очень раздражали. 00:03:26.230 --> 00:03:28.022 Но люди также говорили, 00:03:28.022 --> 00:03:31.152 что с новыми паролями они чувствовали себя более защищёнными. 00:03:31.152 --> 00:03:33.458 Мы узнали, что большинство людей знает, 00:03:33.458 --> 00:03:35.610 что нельзя записывать свой пароль на бумажку, — 00:03:35.610 --> 00:03:38.001 так поступают только 13% опрошенных — 00:03:38.001 --> 00:03:40.417 но, что настораживает, 80% людей признались 00:03:40.417 --> 00:03:42.541 в использовании одного пароля по несколько раз. 00:03:42.541 --> 00:03:44.337 На самом деле, это ещё опаснее, 00:03:44.337 --> 00:03:46.359 чем записывать пароль на бумажку, 00:03:46.359 --> 00:03:49.920 потому что это делает вас гораздо более уязвимыми перед хакерами. 00:03:49.920 --> 00:03:53.038 Лучше уж записать пароль, 00:03:53.038 --> 00:03:54.837 но не использовать его повторно. 00:03:54.837 --> 00:03:56.588 Мы также узнали интересные факты о том, 00:03:56.588 --> 00:03:59.549 как люди используют в паролях специальные символы. 00:03:59.549 --> 00:04:02.348 В Карнеги-Меллон можно использовать 32 специальных символа, 00:04:02.348 --> 00:04:04.781 но, как видите, только небольшое их число 00:04:04.781 --> 00:04:06.583 на самом деле используется, 00:04:06.583 --> 00:04:09.524 поэтому символы не делают наши пароли 00:04:09.524 --> 00:04:11.990 намного надёжнее. NOTE Paragraph 00:04:11.990 --> 00:04:14.701 Это было интересное исследование: 00:04:14.701 --> 00:04:17.165 мы получили данные от 470 человек, 00:04:17.165 --> 00:04:18.470 но, по большому счёту, 00:04:18.470 --> 00:04:21.050 это не так много, 00:04:21.050 --> 00:04:22.495 поэтому мы стали искать, где ещё 00:04:22.495 --> 00:04:25.055 можно достать данные о паролях. 00:04:25.055 --> 00:04:27.231 Оказывается, полно людей, 00:04:27.231 --> 00:04:29.433 занимающихся воровством паролей, 00:04:29.433 --> 00:04:31.910 и они часто публикуют их 00:04:31.910 --> 00:04:33.247 в Интернете. 00:04:33.247 --> 00:04:34.920 Нам удалось заполучить 00:04:34.920 --> 00:04:38.890 несколько таких подборок украденных паролей. 00:04:38.890 --> 00:04:41.218 Конечно, для исследования это не идеальный вариант, 00:04:41.218 --> 00:04:43.255 так как непонятно, 00:04:43.255 --> 00:04:45.439 откуда все эти пароли взялись 00:04:45.439 --> 00:04:47.681 и какие правила действовали, 00:04:47.681 --> 00:04:49.789 когда люди их создавали. 00:04:49.789 --> 00:04:53.341 Нам хотелось найти источник данных получше. 00:04:53.341 --> 00:04:54.975 Поэтому мы решили 00:04:54.975 --> 00:04:57.104 провести исследование и попросить людей 00:04:57.104 --> 00:05:00.344 по-настоящему создать для него пароли. 00:05:00.344 --> 00:05:03.165 Мы использовали сервис под названием Amazon Mechanical Turk. 00:05:03.165 --> 00:05:05.499 Он позволяет размещать 00:05:05.499 --> 00:05:07.803 небольшие задания в интернете, 00:05:07.803 --> 00:05:09.303 занимающие минуту, пару минут или час, 00:05:09.303 --> 00:05:11.887 и платить один, десять центов или несколько долларов 00:05:11.887 --> 00:05:13.233 за их выполнение 00:05:13.233 --> 00:05:15.355 через сайт amazon.com. 00:05:15.355 --> 00:05:17.649 Мы платили людям около 50 центов 00:05:17.649 --> 00:05:20.245 за то, чтобы они создали пароль, следуя нашим правилам, 00:05:20.245 --> 00:05:21.655 и ответили на наши вопросы. 00:05:21.655 --> 00:05:24.180 Затем мы снова платили им за то, чтобы они вернулись 00:05:24.180 --> 00:05:26.251 через два дня, вошли на сайт, 00:05:26.251 --> 00:05:28.825 используя свой пароль, и ответили на другие вопросы. 00:05:28.825 --> 00:05:33.289 Мы собрали 5 000 паролей. 00:05:33.289 --> 00:05:35.984 Мы задавали участникам множество разных правил 00:05:35.984 --> 00:05:37.492 создания паролей. 00:05:37.492 --> 00:05:39.402 Некоторым попадалось простое правило, 00:05:39.402 --> 00:05:40.941 мы называем его «Базовая восьмёрка», 00:05:40.941 --> 00:05:43.087 единственное условие которого — пароль должен содержать 00:05:43.087 --> 00:05:46.503 хотя бы 8 знаков. 00:05:46.503 --> 00:05:48.754 Некоторым попадались правила посложнее, 00:05:48.754 --> 00:05:51.291 похожие на правила Карнеги-Меллон: 00:05:51.291 --> 00:05:53.225 пароль должен содержать 8 знаков, 00:05:53.225 --> 00:05:55.601 включая заглавную и строчную буквы, цифру, специальный символ, 00:05:55.601 --> 00:05:57.990 и пройти проверку словарём. 00:05:57.990 --> 00:05:59.325 Другой набор правил — 00:05:59.325 --> 00:06:00.595 а их было много — 00:06:00.595 --> 00:06:02.835 названный нами «Базовые шестнадцать», 00:06:02.835 --> 00:06:05.467 требовал только одно: 00:06:05.467 --> 00:06:08.620 пароль должен был содержать хотя бы 16 знаков. NOTE Paragraph 00:06:08.620 --> 00:06:11.078 Итак, у нас было 5 000 паролей, 00:06:11.078 --> 00:06:14.641 более детальная информация. 00:06:14.641 --> 00:06:17.200 И снова мы видим, что существует лишь небольшое число 00:06:17.200 --> 00:06:19.115 специальных символов, используемых людьми 00:06:19.115 --> 00:06:21.001 в паролях. 00:06:21.001 --> 00:06:23.600 Мы также хотели понять, насколько надёжны 00:06:23.600 --> 00:06:26.371 были пароли, созданные нашими участниками. 00:06:26.371 --> 00:06:28.991 Но, как вы помните, хорошего стандарта измерения 00:06:28.991 --> 00:06:30.745 надёжности паролей не существует. 00:06:30.745 --> 00:06:33.057 Мы решили посмотреть, 00:06:33.057 --> 00:06:35.427 сколько времени займёт их расшифровка 00:06:35.427 --> 00:06:36.841 с помощью лучших приёмов 00:06:36.841 --> 00:06:38.649 из арсенала злоумышленников 00:06:38.649 --> 00:06:40.665 или тех способов, о которых мы нашли информацию 00:06:40.665 --> 00:06:42.202 в научной литературе. NOTE Paragraph 00:06:42.202 --> 00:06:44.960 Как злоумышленники 00:06:44.960 --> 00:06:47.130 взламывают пароли? 00:06:47.130 --> 00:06:49.081 Они крадут файл, в котором содержатся 00:06:49.081 --> 00:06:51.234 хеш-значения паролей, другими словами — 00:06:51.234 --> 00:06:54.123 пароли в зашифрованном виде. 00:06:54.123 --> 00:06:56.685 Затем они пытаются 00:06:56.685 --> 00:06:58.397 угадать пароль 00:06:58.397 --> 00:07:00.294 с помощью хеш-функции 00:07:00.294 --> 00:07:02.059 и смотрят, совпадает ли он 00:07:02.059 --> 00:07:06.009 с паролями из украденного списка. 00:07:06.009 --> 00:07:09.114 Не слишком умные хакеры проверяют все пароли по порядку. 00:07:09.114 --> 00:07:12.682 Начиная с ААААА, затем ААААВ — 00:07:12.682 --> 00:07:15.100 пройдёт очень много времени 00:07:15.100 --> 00:07:16.626 прежде чем они получат пароли, 00:07:16.626 --> 00:07:19.323 которые реально создаются пользователями. 00:07:19.323 --> 00:07:21.506 Толковые хакеры 00:07:21.506 --> 00:07:22.892 действуют гораздо умнее. 00:07:22.892 --> 00:07:24.718 Они берут пароли, 00:07:24.718 --> 00:07:26.518 чаще всего встречающиеся 00:07:26.518 --> 00:07:28.245 в украденных наборах хеш-значений паролей, 00:07:28.245 --> 00:07:29.434 и начинают попытки взлома с них. 00:07:29.434 --> 00:07:31.568 Они начнут со слова «пароль», 00:07:31.568 --> 00:07:34.319 затем возьмут «я тебя люблю» и «обезьянка», 00:07:34.319 --> 00:07:36.902 а затем «12345678». 00:07:36.902 --> 00:07:38.214 Именно эти пароли 00:07:38.214 --> 00:07:40.119 люди выбирают чаще всего. 00:07:40.119 --> 00:07:43.380 Наверняка у кого-то из вас пароли именно такие. 00:07:45.191 --> 00:07:46.489 В своём исследовании, 00:07:46.489 --> 00:07:49.895 проверив все 5 000 собранных паролей 00:07:49.895 --> 00:07:54.001 с помощью тестов на надёжность, 00:07:54.001 --> 00:07:56.753 мы обнаружили, что длинные пароли 00:07:56.753 --> 00:07:58.033 довольно надёжны. 00:07:58.033 --> 00:08:01.295 Сложные пароли тоже. 00:08:01.295 --> 00:08:03.737 Однако результат опросов показал, 00:08:03.737 --> 00:08:06.761 что сложные пароли 00:08:06.761 --> 00:08:09.100 очень раздражают людей, 00:08:09.100 --> 00:08:11.730 а длинные пароли гораздо удобнее. 00:08:11.730 --> 00:08:13.055 В некоторых случаях длинные пароли 00:08:13.055 --> 00:08:15.963 оказывались даже надёжнее сложных. 00:08:15.963 --> 00:08:17.132 Можно заключить, 00:08:17.132 --> 00:08:18.835 что вместо того, чтобы 00:08:18.835 --> 00:08:20.357 использовать специальные символы, цифры 00:08:20.357 --> 00:08:23.199 и другие безумные штуки в паролях, 00:08:23.199 --> 00:08:25.221 гораздо эффективнее 00:08:25.221 --> 00:08:27.873 просто иметь длинные пароли. 00:08:27.873 --> 00:08:29.665 Однако здесь кроется проблема: 00:08:29.665 --> 00:08:31.920 некоторые длинные пароли 00:08:31.920 --> 00:08:33.475 были не так уж и надёжны. 00:08:33.475 --> 00:08:35.472 Можно придумать длинный пароль, 00:08:35.472 --> 00:08:37.028 который всё равно 00:08:37.028 --> 00:08:38.770 будет с лёгкостью угадан взломщиком. 00:08:38.770 --> 00:08:42.135 Получается, нужно что-то большее, чем просто длинные пароли. 00:08:42.135 --> 00:08:44.071 Нужны дополнительные условия. 00:08:44.071 --> 00:08:47.040 Некоторые наши текущие исследования 00:08:47.040 --> 00:08:49.479 изучают необходимые дополнительные условия того, 00:08:49.479 --> 00:08:51.583 как сделать пароли более надёжными 00:08:51.583 --> 00:08:53.895 и в тоже время лёгкими 00:08:53.895 --> 00:08:56.593 для запоминания и набора на клавиатуре. NOTE Paragraph 00:08:56.593 --> 00:08:58.719 Ещё один способ заставить людей создавать 00:08:58.719 --> 00:09:00.976 надёжные пароли — использовать индикатор надёжности. 00:09:00.976 --> 00:09:02.361 Вот несколько примеров. 00:09:02.361 --> 00:09:03.762 Возможно, вы видели их в Интернете, 00:09:03.762 --> 00:09:06.819 когда создавали пароли. 00:09:06.819 --> 00:09:09.067 Мы решили исследовать, 00:09:09.067 --> 00:09:11.954 действительно ли индикаторы надёжности работают. 00:09:11.954 --> 00:09:13.375 Действительно ли они помогают 00:09:13.375 --> 00:09:14.828 создавать более надёжные пароли, 00:09:14.828 --> 00:09:16.914 и, если да, то какие индикаторы лучше? 00:09:16.914 --> 00:09:19.421 Мы протестировали индикаторы надёжности паролей 00:09:19.421 --> 00:09:21.519 различных размеров, форм и цветов, 00:09:21.519 --> 00:09:22.935 с разными инструкциями 00:09:22.935 --> 00:09:26.210 и даже с танцующим кроликом. 00:09:26.210 --> 00:09:27.792 Когда вы вводите более надёжный пароль, 00:09:27.792 --> 00:09:30.331 кролик начинает танцевать быстрее. 00:09:30.331 --> 00:09:32.860 Довольно весело. NOTE Paragraph 00:09:32.860 --> 00:09:34.427 Мы обнаружили, 00:09:34.427 --> 00:09:37.999 что индикаторы действительно работают. 00:09:37.999 --> 00:09:39.800 (Смех) 00:09:39.800 --> 00:09:43.133 Большинство из них довольно эффективны, 00:09:43.133 --> 00:09:45.654 танцующий кролик тоже, 00:09:45.654 --> 00:09:48.535 но самые эффективные индикаторы надёжности — 00:09:48.535 --> 00:09:50.890 те, которые заставляют вас попотеть, 00:09:50.890 --> 00:09:52.870 прежде чем дают добро 00:09:52.870 --> 00:09:54.247 вашему паролю. 00:09:54.247 --> 00:09:55.759 Как оказалось, большинство 00:09:55.759 --> 00:09:58.040 индикаторов надёжности в сегодняшнем Интернете 00:09:58.040 --> 00:09:58.992 не слишком строги. 00:09:58.992 --> 00:10:01.195 Они слишком рано сообщают о том, что вы на правильном пути. 00:10:01.195 --> 00:10:03.124 Если бы они подождали совсем чуть-чуть, 00:10:03.124 --> 00:10:05.173 прежде чем выразить вам одобрение, 00:10:05.173 --> 00:10:08.333 ваш пароль, скорее всего, был бы лучше. NOTE Paragraph 00:10:08.333 --> 00:10:12.180 Ещё один вероятный путь к надёжным паролям — 00:10:12.180 --> 00:10:15.070 использование фраз вместо слов. 00:10:15.070 --> 00:10:18.488 Это комикс «xkcd» примерно двухлетней давности. 00:10:18.488 --> 00:10:20.162 Его автор советует 00:10:20.162 --> 00:10:22.358 использовать в паролях фразы. 00:10:22.358 --> 00:10:25.528 Если вы посмотрите на второй ряд комикса, 00:10:25.528 --> 00:10:27.385 то увидите, что автор предлагает 00:10:27.385 --> 00:10:30.826 фразу «верно лошадь батарея скрепка» 00:10:30.826 --> 00:10:33.307 в качестве надёжного пароля, 00:10:33.307 --> 00:10:35.223 который очень легко запомнить. 00:10:35.223 --> 00:10:38.020 Он говорит: «Да вы это уже запомнили». 00:10:38.020 --> 00:10:40.170 Мы решили выяснить, 00:10:40.170 --> 00:10:42.762 так ли это на самом деле. 00:10:42.762 --> 00:10:44.537 Кстати, все, с кем я разговариваю 00:10:44.537 --> 00:10:46.579 и упоминаю свою работу с паролями, 00:10:46.579 --> 00:10:47.979 вспоминают этот комикс. 00:10:47.979 --> 00:10:49.553 «Ты видела «xkcd»? 00:10:49.553 --> 00:10:51.155 Верно лошадь батарея скрепка». 00:10:51.155 --> 00:10:52.961 Мы провели исследование, 00:10:52.961 --> 00:10:55.320 чтобы узнать, как всё обстоит на самом деле. NOTE Paragraph 00:10:55.320 --> 00:10:58.380 Мы снова использовали сервис Mechanical Turk 00:10:58.380 --> 00:11:02.547 и заставили компьютер выдать случайные слова 00:11:02.547 --> 00:11:03.647 для фразы-пароля. 00:11:03.647 --> 00:11:04.800 Мы сделали это потому, 00:11:04.800 --> 00:11:06.386 что люди не очень хорошо умеют 00:11:06.386 --> 00:11:07.770 подбирать слова случайно. 00:11:07.770 --> 00:11:09.032 Если бы мы попросили людей, 00:11:09.032 --> 00:11:12.030 они бы подобрали слова, не являющиеся случайными. 00:11:12.030 --> 00:11:14.062 Мы протестировали несколько разных условий. 00:11:14.062 --> 00:11:16.152 В одном случае компьютер выбирал слова 00:11:16.152 --> 00:11:18.368 из обычного словаря 00:11:18.368 --> 00:11:19.730 английского языка. 00:11:19.730 --> 00:11:21.494 Получались фразы вроде 00:11:21.494 --> 00:11:23.418 «попытка там три приходить». 00:11:23.418 --> 00:11:25.150 Мы подумали и сказали: 00:11:25.150 --> 00:11:28.200 «Нет, это трудно запомнить». 00:11:28.200 --> 00:11:30.440 Тогда мы попытались подбирать слова, 00:11:30.440 --> 00:11:32.961 являющиеся определёнными частями речи, — 00:11:32.961 --> 00:11:35.143 существительное — глагол — прилагательное — существительное. 00:11:35.143 --> 00:11:37.720 Это уже даёт нам что-то похожее на предложение. 00:11:37.720 --> 00:11:39.790 Можно получить фразу 00:11:39.790 --> 00:11:41.098 «план строить твёрдую власть» 00:11:41.098 --> 00:11:43.884 или «конец определяет красное лекарство». 00:11:43.884 --> 00:11:46.560 Это оказалось легче запомнить, 00:11:46.560 --> 00:11:49.382 и, возможно, людям бы это понравилось больше. 00:11:49.382 --> 00:11:51.954 Мы хотели сравнить фразы-пароли со словами 00:11:51.954 --> 00:11:55.150 и заставили компьютер сгенерировать случайные слова, 00:11:55.150 --> 00:11:57.140 которые были короткими, но, как видите, 00:11:57.140 --> 00:11:59.946 не очень запоминающимися. 00:11:59.946 --> 00:12:01.342 Тогда мы решили испытать то, 00:12:01.342 --> 00:12:02.988 что называется «произносимый пароль». 00:12:02.988 --> 00:12:05.233 Компьютер подбирает случайные слоги, 00:12:05.233 --> 00:12:06.367 складывает их вместе, 00:12:06.367 --> 00:12:08.842 и вы получаете нечто произносимое, 00:12:08.842 --> 00:12:11.444 например, «туфритви» или «вадасаби». 00:12:11.444 --> 00:12:13.591 Этот вообще приятно произносить. 00:12:13.591 --> 00:12:15.807 Это случайные пароли, 00:12:15.807 --> 00:12:18.551 сгенерированные нашим компьютером. NOTE Paragraph 00:12:18.551 --> 00:12:21.529 Исследование показало, как ни удивительно, 00:12:21.529 --> 00:12:25.297 что пароли-фразы не так уж и хороши. 00:12:25.297 --> 00:12:28.090 Люди на самом деле не запоминали их лучше, 00:12:28.090 --> 00:12:31.043 чем случайные пароли, 00:12:31.043 --> 00:12:33.797 а из-за того, что они длиннее, 00:12:33.797 --> 00:12:35.023 их приходилось дольше вводить, 00:12:35.023 --> 00:12:38.033 и люди при этом совершали больше ошибок. 00:12:38.033 --> 00:12:41.260 То есть пароли-фразы не смогли одержать явную победу. 00:12:41.260 --> 00:12:44.605 Простите меня, фанаты «xkcd». 00:12:44.605 --> 00:12:46.497 С другой стороны, мы убедились, 00:12:46.497 --> 00:12:48.301 что произносимые пароли 00:12:48.301 --> 00:12:49.772 работают на удивление хорошо, 00:12:49.772 --> 00:12:52.190 и теперь мы проводим больше исследований, 00:12:52.190 --> 00:12:55.385 чтобы узнать, можно ли этот подход сделать ещё эффективнее. 00:12:55.385 --> 00:12:57.197 Одна из трудностей, 00:12:57.197 --> 00:12:58.820 возникших в этих исследованиях, — 00:12:58.820 --> 00:13:00.503 то, что они все проводились 00:13:00.503 --> 00:13:02.093 с использованием сервиса Mechanical Turk, 00:13:02.093 --> 00:13:03.905 это не были настоящие пароли. 00:13:03.905 --> 00:13:06.010 Эти пароли создавались людьми 00:13:06.010 --> 00:13:08.505 или компьютером в исследовательских целях. 00:13:08.505 --> 00:13:10.073 Мы же хотели узнать, будут ли люди 00:13:10.073 --> 00:13:12.385 вести себя таким же образом, 00:13:12.385 --> 00:13:14.612 придумывая настоящие пароли. NOTE Paragraph 00:13:14.612 --> 00:13:18.293 Мы поговорили с отделом информационной безопасности Карнеги-Меллон 00:13:18.293 --> 00:13:22.096 и спросили, можем ли мы получить настоящие пароли пользователей. 00:13:22.096 --> 00:13:23.850 Как и следовало ожидать, им не хотелось 00:13:23.850 --> 00:13:25.400 ничего нам раскрывать, 00:13:25.400 --> 00:13:27.210 однако мы вместе смогли 00:13:27.210 --> 00:13:28.250 придумать выход: 00:13:28.250 --> 00:13:30.359 они собрали все настоящие пароли 00:13:30.359 --> 00:13:33.450 25 000 студентов, преподавателей и персонала 00:13:33.450 --> 00:13:35.898 на защищённом компьютере в запертой комнате 00:13:35.898 --> 00:13:37.292 без подключения к Интернету. 00:13:37.292 --> 00:13:39.140 Была запущена написанная нами программа 00:13:39.140 --> 00:13:41.292 анализа паролей. 00:13:41.292 --> 00:13:42.618 Они сами проверили 00:13:42.618 --> 00:13:43.930 и запустили нашу программу. 00:13:43.930 --> 00:13:45.668 Так что мы даже не видели 00:13:45.668 --> 00:13:48.485 ни одного пароля своими глазами. NOTE Paragraph 00:13:48.485 --> 00:13:50.000 Мы получили интересные результаты. 00:13:50.000 --> 00:13:51.696 Студентам Бизнес-школы Теппера на заднем ряду 00:13:51.696 --> 00:13:54.571 будет очень интересно. 00:13:54.571 --> 00:13:58.302 Обнаружилось, что пароли, созданные 00:13:58.302 --> 00:14:00.460 людьми из Школы информатики, 00:14:00.460 --> 00:14:02.784 были в 1,8 раза надёжнее, 00:14:02.784 --> 00:14:06.522 чем пароли тех, кто связан с Бизнес-школой. 00:14:06.522 --> 00:14:08.562 Мы получили и много другой 00:14:08.562 --> 00:14:10.800 демографической информации. 00:14:10.800 --> 00:14:12.646 Интересно также, 00:14:12.646 --> 00:14:15.086 что, сравнив пароли Карнеги-Меллон 00:14:15.086 --> 00:14:17.369 с паролями, сгенерированными Mechanical Turk, 00:14:17.369 --> 00:14:19.988 мы нашли много похожего, 00:14:19.988 --> 00:14:21.936 убедились в правильности нашего метода 00:14:21.936 --> 00:14:24.446 и показали, что сбор паролей 00:14:24.446 --> 00:14:26.254 с помощью Mechanical Turk — 00:14:26.254 --> 00:14:29.042 вполне достоверный способ их изучать. 00:14:29.042 --> 00:14:31.327 Это хорошие новости. NOTE Paragraph 00:14:31.327 --> 00:14:33.741 Я хочу завершить рассказом 00:14:33.741 --> 00:14:35.809 о своих наблюдениях во время творческого отпуска 00:14:35.809 --> 00:14:39.010 в Школе искусств Карнеги-Меллон в прошлом году. 00:14:39.010 --> 00:14:40.291 Помимо всего прочего, 00:14:40.291 --> 00:14:41.815 я сшила несколько лоскутных одеял, 00:14:41.815 --> 00:14:43.363 таких как вот этот. 00:14:43.363 --> 00:14:45.262 Он называется «Одеяло безопасности». 00:14:45.262 --> 00:14:47.693 (Смех) 00:14:47.693 --> 00:14:50.788 На этом одеяле 00:14:50.788 --> 00:14:53.116 1 000 самых распространённых паролей, украденных 00:14:53.116 --> 00:14:55.687 с сайта RockYou. 00:14:55.687 --> 00:14:57.748 Размер паролей прямо пропорционален тому, 00:14:57.748 --> 00:14:59.649 насколько часто они появляются 00:14:59.649 --> 00:15:01.897 в украденных базах данных. 00:15:01.897 --> 00:15:04.529 Я создала словарное облако, 00:15:04.529 --> 00:15:06.661 разобрала все 1 000 слов 00:15:06.661 --> 00:15:08.456 и распределила их 00:15:08.456 --> 00:15:10.836 по достаточно свободным категориям. 00:15:10.836 --> 00:15:12.739 В некоторых случаях 00:15:12.739 --> 00:15:14.777 было сложно определить, 00:15:14.777 --> 00:15:16.532 к какой категории принадлежит то или иное слово. 00:15:16.532 --> 00:15:18.431 Каждой категории я задала свой цвет. NOTE Paragraph 00:15:18.431 --> 00:15:21.050 Вот пара примеров сложностей. 00:15:21.050 --> 00:15:22.231 Слово «джастин». 00:15:22.231 --> 00:15:24.060 Что это? Имя пользователя, 00:15:24.060 --> 00:15:25.382 или любимого человека, или сына? 00:15:25.382 --> 00:15:28.270 Может, это поклонник Джастина Бибера? 00:15:28.270 --> 00:15:30.495 Или «принцесса». 00:15:30.495 --> 00:15:32.130 Это прозвище? 00:15:32.130 --> 00:15:33.725 Придумано фанатом диснеевских принцесс? 00:15:33.725 --> 00:15:37.419 Или это кошачье имя? 00:15:37.419 --> 00:15:39.074 «Ятебялюблю» неоднократно появляется 00:15:39.074 --> 00:15:40.619 на многих языках. 00:15:40.619 --> 00:15:44.354 Эти пароли дышат любовью. 00:15:44.354 --> 00:15:46.034 Если присмотреться, можно найти 00:15:46.034 --> 00:15:48.301 и сквернословия. 00:15:48.301 --> 00:15:50.251 Но интересно было то, что я увидела 00:15:50.251 --> 00:15:52.558 гораздо больше любви, чем ненависти 00:15:52.558 --> 00:15:54.850 в этих паролях. 00:15:54.850 --> 00:15:56.340 Здесь есть и животные — 00:15:56.340 --> 00:15:57.700 много животных — 00:15:57.700 --> 00:16:00.004 и «обезьянка» — самое распространённое из них 00:16:00.004 --> 00:16:03.679 и 14-е в списке самых популярных паролей. 00:16:03.679 --> 00:16:05.910 Мне стало очень любопытно, 00:16:05.910 --> 00:16:08.433 я подумала: «Почему обезьянки так популярны?» 00:16:08.433 --> 00:16:11.785 В нашем последнем исследовании 00:16:11.785 --> 00:16:13.230 каждый раз, когда мы видели, 00:16:14.675 --> 00:16:16.120 что кто-то создавал пароль со словом «обезьянка», 00:16:16.120 --> 00:16:19.150 мы спрашивали, почему. 00:16:19.150 --> 00:16:21.060 Мы обнаружили — 00:16:21.060 --> 00:16:23.163 а всего мы нашли 17 человек, 00:16:23.163 --> 00:16:24.446 использовавших это слово, — 00:16:24.446 --> 00:16:26.258 около трети опрошенных сказали, 00:16:26.258 --> 00:16:27.998 что их домашнего любимца зовут Обезьянка 00:16:27.998 --> 00:16:30.289 или у них есть друг с таким прозвищем. 00:16:30.289 --> 00:16:31.949 Ещё треть людей сказали, 00:16:31.949 --> 00:16:33.482 что им просто нравятся обезьянки, 00:16:33.482 --> 00:16:35.120 они ведь действительно милые. 00:16:35.120 --> 00:16:38.759 Посмотрите, какой он хорошенький. NOTE Paragraph 00:16:38.759 --> 00:16:42.167 Кажется, в конечном итоге, 00:16:42.167 --> 00:16:43.950 когда мы придумываем пароль, 00:16:43.950 --> 00:16:45.924 мы либо создаём что-то очень простое 00:16:45.924 --> 00:16:48.933 для введения, какую-то общую закономерность, 00:16:48.933 --> 00:16:51.419 или что-то, что напоминает нам само слово «пароль», 00:16:51.419 --> 00:16:54.731 или саму учётную запись, для которой мы его создаём, 00:16:54.731 --> 00:16:57.348 или «всёравно». 00:16:57.348 --> 00:16:59.990 Либо же мы думаем о том, что приносит нам счастье. 00:16:59.990 --> 00:17:01.294 Мы создаём пароль, 00:17:01.294 --> 00:17:03.532 исходя из того, что делает нас счастливыми. 00:17:03.532 --> 00:17:06.395 И хотя это делает введение 00:17:06.395 --> 00:17:09.265 и запоминание пароля более занимательным, 00:17:09.265 --> 00:17:11.072 это также делает его 00:17:11.072 --> 00:17:12.578 более уязвимым. 00:17:12.578 --> 00:17:14.326 Многие выступления на TED 00:17:14.326 --> 00:17:15.960 вдохновляют 00:17:15.960 --> 00:17:18.421 и навевают мысли о прекрасных, замечательных вещах. 00:17:18.421 --> 00:17:20.318 Но когда вы придумываете пароль, 00:17:20.318 --> 00:17:22.309 лучше подумайте о чём-нибудь другом. NOTE Paragraph 00:17:22.309 --> 00:17:23.416 Спасибо. NOTE Paragraph 00:17:23.416 --> 00:17:23.969 (Аплодисменты)