WEBVTT

00:00:00.535 --> 00:00:03.980
Tôi là một giáo sư kỹ thuật
và khoa học máy tính tại Carnegie Mello,

00:00:03.980 --> 00:00:08.228
và nghiên cứu của tôi tập trung vào 
bảo mật và quyền riêng tư hữu dụng,

00:00:08.228 --> 00:00:10.996
do đó các bạn của tôi thích đưa tôi các ví dụ

00:00:10.996 --> 00:00:13.198
về sự bức bối với hệ thống máy tính,

00:00:13.198 --> 00:00:16.552
đặc biệt là các mối ái ngại liên quan đến

00:00:16.552 --> 00:00:20.664
quyền riêng tư và bảo mật không hữu dụng.

NOTE Paragraph

00:00:20.664 --> 00:00:23.375
Do đó mật khẩu là thứ mà tôi 
nghe nhiều nhất.

00:00:23.375 --> 00:00:26.255
Rất nhiều người đau đầu với các mật khẩu,

00:00:26.255 --> 00:00:27.949
và nó tệ đến mức

00:00:27.949 --> 00:00:30.593
khi bạn có một mật khẩu thật sự tốt

00:00:30.593 --> 00:00:32.415
mà bạn có thể nhớ

00:00:32.415 --> 00:00:35.309
nhưng không ai có thể đoán được.

00:00:35.309 --> 00:00:36.946
Nhưng bạn sẽ làm gì khi bạn có nhiều tài khoản

00:00:36.946 --> 00:00:38.754
trên hàng trăm các hệ thống khác nhau

00:00:38.754 --> 00:00:41.030
và bạn phải có một mật khẩu riêng

00:00:41.030 --> 00:00:44.067
cho mỗi hệ thống?

00:00:44.067 --> 00:00:46.251
Chuyện đó chẳng dễ dàng gì.

NOTE Paragraph

00:00:46.251 --> 00:00:48.010
Tại Carnegie Mellon, họ đã làm việc đó,

00:00:48.010 --> 00:00:49.309
thực ra nó khá dễ

00:00:49.309 --> 00:00:51.046
để ta nhớ được các mật khẩu ấy.

00:00:51.046 --> 00:00:53.449
Yêu cầu của mật khẩu cho đến năm 2009

00:00:53.449 --> 00:00:55.828
chỉ là bạn cần phải có 1 mật khẩu

00:00:55.828 --> 00:00:58.039
với ít nhất một ký tự.

00:00:58.039 --> 00:01:00.927
Khá dễ dàng ha. 
Nhưng sau đó họ thay đổi mọi thứ,

00:01:00.927 --> 00:01:03.597
Và đến cuối năm 2009, họ thông báo

00:01:03.597 --> 00:01:05.973
rằng chúng ta sẽ có một chính sách mới,

00:01:05.973 --> 00:01:07.836
và chính sách mới này

00:01:07.836 --> 00:01:10.517
yêu cầu mật khẩu phải có 
độ dài ít nhất 8 ký tự ,

00:01:10.517 --> 00:01:12.292
với một ký tự hoa, một ký tự thường,

00:01:12.292 --> 00:01:13.580
một con số, một biểu tượng,

00:01:13.580 --> 00:01:16.218
bạn không thể sử dụng 
một ký tự quá 3 lần,

00:01:16.218 --> 00:01:18.652
và nó không được có mặt trong từ điển.

NOTE Paragraph

00:01:18.652 --> 00:01:20.834
Khi họ thực thi chính sách mới này,

00:01:20.834 --> 00:01:23.144
rất nhiều người, đồng nghiệp và bạn bè tôi,

00:01:23.144 --> 00:01:24.998
đến với tôi và nói:

00:01:24.998 --> 00:01:26.510
"Chà, giờ thì đúng thật là bất tiện.

00:01:26.510 --> 00:01:27.703
Mắc gì họ lại làm vậy với chúng ta,

00:01:27.703 --> 00:01:29.414
và sao bạn không ngăn họ lại?"

NOTE Paragraph

00:01:29.414 --> 00:01:30.770
Và tôi đáp, "Ờ thì, các bạn biết gì không?

00:01:30.770 --> 00:01:32.278
Họ đã không hỏi tôi."

NOTE Paragraph

00:01:32.278 --> 00:01:35.363
Nhưng tôi đã tò mò, 
và quyết định đến hỏi

00:01:35.363 --> 00:01:37.680
người phụ trách hệ thống máy tính 
của chúng tôi

00:01:37.680 --> 00:01:40.511
và tìm xem điều gì dẫn đến việc giới thiệu

00:01:40.511 --> 00:01:42.359
chính sách mới này,

00:01:42.359 --> 00:01:43.943
và họ nói rằng trường tôi

00:01:43.943 --> 00:01:46.309
đã tham gia vào một liên minh các trường đại học,

00:01:46.309 --> 00:01:48.943
và một điều cần thiết đối với thành viên

00:01:48.943 --> 00:01:51.191
là chúng tôi phải có những mật khẩu mạnh hơn

00:01:51.191 --> 00:01:53.463
để thỏa mãn với một vài ràng buộc mới,

00:01:53.463 --> 00:01:55.567
đó là các mật khẩu của chúng tôi

00:01:55.567 --> 00:01:57.171
phải có nhiều biến ngẫu nhiên - entropy.

00:01:57.171 --> 00:01:59.449
Entropy là một khái niệm phức tạp,

00:01:59.449 --> 00:02:02.247
nhưng về cơ bản, nó đo độ mạnh mật khẩu.

00:02:02.247 --> 00:02:04.256
Nhưng vấn đề là, thực sự không có

00:02:04.256 --> 00:02:06.195
một thước đo entropy chuẩn nào cả.

00:02:06.344 --> 00:02:08.574
Viện Công Nghệ và Tiêu Chuẩn Quốc Gia
(NIST)

00:02:08.574 --> 00:02:10.127
có một bộ đường lối chỉ đạo

00:02:10.127 --> 00:02:12.695
gồm một số qui luật chung

00:02:12.695 --> 00:02:14.135
để đo độ entropy,

00:02:14.135 --> 00:02:17.030
nhưng họ lại không có gì cặn kẽ hơn,

00:02:17.030 --> 00:02:19.367
và nguyên nhân họ chỉ có qui tắc chung

00:02:19.367 --> 00:02:22.503
hóa ra là họ chẳng có bất cứ dữ liệu tốt nào

00:02:22.503 --> 00:02:24.023
về mật khẩu cả.

00:02:24.023 --> 00:02:26.335
Thật ra, báo cáo của họ viết rằng,

00:02:26.335 --> 00:02:28.663
"Thật không may, chúng tôi không có nhiều dữ liệu

00:02:28.663 --> 00:02:31.505
về mật khẩu mà người dùng chọn
theo những luật lệ nhất định.

00:02:31.505 --> 00:02:33.838
NIST mong nhận được thêm nhiều dữ liệu

00:02:33.838 --> 00:02:36.300
về sự lựa đó hơn trong thực tế,

00:02:36.300 --> 00:02:38.763
nhưng điều dễ hiểu là các nhà 
quản trị hệ thống lại miễn cưỡng

00:02:38.763 --> 00:02:41.703
tiết lộ dữ liệu mật khẩu cho người khác."

NOTE Paragraph

00:02:41.703 --> 00:02:44.800
Đây là một bài toán, 
nhưng nhóm nghiên cứu của tôi

00:02:44.800 --> 00:02:46.940
đã xem nó như một cơ hội.

00:02:46.940 --> 00:02:50.040
Chúng tôi nhủ, "Được thôi, dữ liệu mật khẩu 
an toàn đúng là cần thiết đấy."

00:02:50.040 --> 00:02:52.188
Có thể chúng tôi thu thập
một vài bộ dữ liệu mật khẩu tốt

00:02:52.188 --> 00:02:54.892
và thậm chí tối tân hóa cái tiên tiến nữa.

NOTE Paragraph

00:02:54.892 --> 00:02:56.564
Nên điều đầu tiên chúng tôi làm,

00:02:56.564 --> 00:02:58.020
là lấy một túi kẹo cây

00:02:58.020 --> 00:02:59.206
rồi đi vòng quanh trường

00:02:59.206 --> 00:03:02.004
để nói chuyện với sinh viên, 
cán bộ giảng dạy và nhân viên,

00:03:02.004 --> 00:03:03.534
hỏi họ thông tin

00:03:03.534 --> 00:03:05.086
về mật khẩu của họ.

00:03:05.086 --> 00:03:08.090
Chúng tôi đã không yêu cầu, 
"Đưa mật khẩu của anh/chị đây."

00:03:08.090 --> 00:03:10.491
Không, chúng tôi chỉ dò về mật khẩu.

00:03:10.491 --> 00:03:12.229
Nó dài bao nhiêu? Có chữ số không?

00:03:12.229 --> 00:03:13.517
Có ký tự đặc biệt không?

00:03:13.517 --> 00:03:15.642
Và bạn có thấy phiền khi tạo mới

00:03:15.642 --> 00:03:18.086
mật khẩu tuần trước không?

00:03:18.086 --> 00:03:21.292
Chúng tôi đã thu thập kết quả từ 470
sinh viên,

00:03:21.292 --> 00:03:22.263
cán bộ khoa và nhân viên,

00:03:22.263 --> 00:03:24.777
và y như rằng, chúng tôi thấy 
chính sách mới

00:03:24.777 --> 00:03:26.230
đúng là rất lằng nhằng.

00:03:26.230 --> 00:03:28.022
Nhưng chúng tôi cũng để ý rằng 
mọi người nói

00:03:28.022 --> 00:03:31.152
họ cảm thấy an toàn hơn với 
loại mật khẩu mới này.

00:03:31.152 --> 00:03:33.458
Chúng tôi phát hiện đa số biết

00:03:33.458 --> 00:03:35.610
họ không nên 
viết ra mật khẩu của họ,

00:03:35.610 --> 00:03:38.001
và chỉ 13% trong số đó làm như vậy,

00:03:38.001 --> 00:03:40.417
nhưng tiếc thay, 80% tổng cộng

00:03:40.417 --> 00:03:42.541
thừa nhận đã đang sử dụng lại mật khẩu.

00:03:42.541 --> 00:03:44.337
Điều này thật sự còn nguy hiểm hơn

00:03:44.337 --> 00:03:46.359
việc viết ra mật khẩu của mình,

00:03:46.359 --> 00:03:49.920
bởi vì nó làm bạn dễ bị tấn công hơn.

00:03:49.920 --> 00:03:53.038
Vì thế nếu bạn bị bắt buộc, 
hãy viết mật khẩu của bạn ra,

00:03:53.038 --> 00:03:54.837
nhưng đừng tái sử dụng chúng.

00:03:54.837 --> 00:03:56.588
Chúng tôi cũng khám phá vài điều thú vị

00:03:56.588 --> 00:03:59.549
về kí tự đặc biệt mọi người
sử dụng trong mật khẩu.

00:03:59.549 --> 00:04:02.348
Do CMU cho phép cả thảy 32 kí tự,

00:04:02.348 --> 00:04:04.781
nhưng như bạn thấy đó, chỉ có số lượng nhỏ

00:04:04.781 --> 00:04:06.583
là mọi người đang sử dụng,

00:04:06.583 --> 00:04:09.524
vì thế chúng ta thực sự không tận dụng
được độ mạnh

00:04:09.524 --> 00:04:11.990
từ kí tự đặc biệt trong mật khẩu 
của chúng ta.

NOTE Paragraph

00:04:11.990 --> 00:04:14.701
Vì vậy đây quả là một nghiên cứu thú vị,

00:04:14.701 --> 00:04:17.165
và chúng tôi có dữ liệu 
từ 470 người,

00:04:17.165 --> 00:04:18.470
nhưng theo kiểu này,

00:04:18.470 --> 00:04:21.050
là không có nhiều dữ liệu password.

00:04:21.050 --> 00:04:22.495
Thế nên chúng tôi đã tìm quanh

00:04:22.495 --> 00:04:25.055
ở đâu có thể tìm thêm dữ liệu mật khẩu?

00:04:25.055 --> 00:04:27.231
Và hóa ra là có rất nhiều người

00:04:27.231 --> 00:04:29.433
suốt ngày tranh thủ trộm mật khẩu,

00:04:29.433 --> 00:04:31.910
rồi họ thường đăng những mật khẩu này

00:04:31.910 --> 00:04:33.247
lên mạng.

00:04:33.247 --> 00:04:35.499
Vì thế chúng tôi đã có thể truy cập được

00:04:35.499 --> 00:04:38.890
đến vài bộ mật khẩu bị đánh cắp nói trên.

00:04:38.890 --> 00:04:41.218
Đây vẫn chưa là mô hình
lý tưởng cho nghiên cứu,

00:04:41.218 --> 00:04:43.255
bởi nó không hoàn toàn rõ ràng

00:04:43.255 --> 00:04:45.439
về nguồn của tất cả mật khẩu này,

00:04:45.439 --> 00:04:47.681
hoặc là chính sách gì được áp dụng lên nó

00:04:47.681 --> 00:04:49.789
khi người ta tạo ra chúng.

00:04:49.789 --> 00:04:53.341
Nên chúng tôi muốn tìm thêm 
một vài nguồn trữ tốt hơn.

00:04:53.341 --> 00:04:54.975
Và chúng tôi quyết định 
một điều có thể làm được

00:04:54.975 --> 00:04:57.104
là làm một nghiên cứu và nhờ mọi người

00:04:57.104 --> 00:05:00.344
tạo mật khẩu dành riêng cho mục đích này.

00:05:00.344 --> 00:05:03.165
Chúng tôi sử dụng 1 dịch vụ có tên
Amazon Mechanical Turk,

00:05:03.165 --> 00:05:05.499
và đây là một dịch vụ
mà bạn có thể đăng tải

00:05:05.499 --> 00:05:07.803
một công tác nhỏ mất ít thời gian,

00:05:07.803 --> 00:05:09.303
vài phút, một tiếng,

00:05:09.303 --> 00:05:11.887
và trả tiền cho mọi người,
1 xu, 10 đồng (cent), vài đô la,

00:05:11.887 --> 00:05:13.233
để làm việc cho bạn,

00:05:13.233 --> 00:05:15.355
sau đó bạn trả họ thông qua Amazon.com.

00:05:15.355 --> 00:05:17.649
Chúng tôi trả cho mọi người 
tầm 50 đồng (cent)

00:05:17.649 --> 00:05:20.245
để tạo một mật khẩu theo đúng qui định

00:05:20.245 --> 00:05:21.655
kèm theo việc trả lời bản khảo sát,

00:05:21.655 --> 00:05:24.180
rồi lại trả họ thêm lần nữa để quay lại

00:05:24.180 --> 00:05:26.251
2 ngày sau và đăng nhập

00:05:26.251 --> 00:05:28.825
sử dụng chính mật khẩu đó 
và trả lời bản khảo sát khác.

00:05:28.825 --> 00:05:33.289
Chúng tôi đã triển khai hình thức này, 
và thu thập được 5.000 mật khẩu,

00:05:33.289 --> 00:05:35.984
và chúng tôi đã đưa họ
1 đống yêu cầu khác nhau

00:05:35.984 --> 00:05:37.492
để áp dụng tạo mật khẩu.

00:05:37.492 --> 00:05:39.402
Một số có chính sách khá dễ chơi,

00:05:39.402 --> 00:05:40.941
mà tụi tôi gọi là Basic8,

00:05:40.941 --> 00:05:43.087
qui ước duy nhất là mật khẩu của bạn

00:05:43.087 --> 00:05:46.503
phải có ít nhất 8 kí tự.

00:05:46.503 --> 00:05:48.754
Đến số khác có yêu cầu khó hơn,

00:05:48.754 --> 00:05:51.291
giống với yêu cầu của bên CMU,

00:05:51.291 --> 00:05:53.225
là nó phải có 8 kí tự

00:05:53.225 --> 00:05:55.601
bao gồm kí tự hoa, kí tự thường, 
số, biểu tượng,

00:05:55.601 --> 00:05:57.990
và phải vượt qua khâu kiểm tra từ điển.

00:05:57.990 --> 00:05:59.325
Rồi một loại chính sách khác chúng tôi thử,

00:05:59.325 --> 00:06:00.595
và thêm hàng tá nữa,

00:06:00.595 --> 00:06:02.835
nhưng có một loại chúng tôi gọi Basic16,

00:06:02.835 --> 00:06:05.467
và điều kiện duy nhất ở đây

00:06:05.467 --> 00:06:08.620
là mật khẩu phải ít nhất 16 kí tự.

NOTE Paragraph

00:06:08.620 --> 00:06:11.078
Được rồi, lúc đó chúng tôi có
5.000 password,

00:06:11.078 --> 00:06:14.641
nên chúng tôi đã khá khẩm hơn nhiều 
thông tin chi tiết.

00:06:14.641 --> 00:06:17.200
Một lần nữa, chúng tôi thấy rằng 
chỉ có một số nhỏ

00:06:17.200 --> 00:06:19.115
kí tự đặc biệt là mọi người thật sự dùng

00:06:19.115 --> 00:06:21.001
trong mật khẩu mà thôi.

00:06:21.001 --> 00:06:23.600
Chúng tôi cũng muốn một ý tưởng

00:06:23.600 --> 00:06:26.371
về độ mạnh mật khẩu 
mà mọi người tạo ra.

00:06:26.371 --> 00:06:28.991
Nhưng như các bạn nhớ đó, 
không có thước đo chuẩn nào

00:06:28.991 --> 00:06:30.745
cho độ mạnh của password.

00:06:30.745 --> 00:06:33.395
Điều mà chúng tôi quyết định làm là xem

00:06:33.395 --> 00:06:35.427
mất bao lâu để bẻ khóa các mật khẩu này

00:06:35.427 --> 00:06:36.841
sử dụng các công cụ bẻ khóa hiện đại

00:06:36.841 --> 00:06:38.649
mà những kẻ xấu đang sử dụng,

00:06:38.649 --> 00:06:40.665
hoặc là chúng tôi có thể tìm thấy 
thông tin về nó

00:06:40.665 --> 00:06:42.202
trong các tài liệu nghiên cứu.

NOTE Paragraph

00:06:42.202 --> 00:06:44.960
Để các bạn hình dung được cách

00:06:44.960 --> 00:06:47.130
kẻ xấu bẻ khóa ra sao,

00:06:47.130 --> 00:06:49.081
họ sẽ đánh cắp một tập tin mật khẩu,

00:06:49.081 --> 00:06:51.234
mà chứa tất cả dữ liệu

00:06:51.234 --> 00:06:54.123
dưới một dạng xáo trộn, được gọi là hash,

00:06:54.123 --> 00:06:56.685
và điều họ sẽ làm là đoán

00:06:56.685 --> 00:06:58.397
xem mật khẩu là gì,

00:06:58.397 --> 00:07:00.294
rồi cho chạy với một chương trình hashing,

00:07:00.294 --> 00:07:02.059
và chờ liệu có khớp

00:07:02.059 --> 00:07:06.009
với các mật khẩu họ đã chuẩn bị sẵn 
trên danh sách trộm được.

00:07:06.009 --> 00:07:09.114
Một kẻ gà mờ thì sẽ cố thử mọi mật khẩu
theo trình tự,

00:07:09.114 --> 00:07:12.682
Họ sẽ bắt đầu với AAAAA và rồi AAAAB,

00:07:12.682 --> 00:07:15.100
và điều này thật sự cần lượng lớn thời gian

00:07:15.100 --> 00:07:16.626
trước khi họ lấy được bất cứ mật khẩu nào

00:07:16.626 --> 00:07:19.323
mà ai ai cũng có thể làm được.

00:07:19.323 --> 00:07:21.506
Một kẻ thông minh, mặt khác,

00:07:21.506 --> 00:07:22.892
lại khéo léo hơn nhiều.

00:07:22.892 --> 00:07:24.718
Họ nhìn vào các mật khẩu

00:07:24.718 --> 00:07:26.518
mà được xem là phổ biến

00:07:26.518 --> 00:07:28.245
từ những bộ bị đánh cắp này,

00:07:28.245 --> 00:07:29.434
và họ đoán chúng trước.

00:07:29.434 --> 00:07:31.568
Họ sẽ bắt đầu đoán là "password,"

00:07:31.568 --> 00:07:34.319
và tiếp theo là "I love you," và "monkey,"

00:07:34.319 --> 00:07:36.902
và "12345678,"

00:07:36.902 --> 00:07:38.214
bởi vì đây là các mật khẩu

00:07:38.214 --> 00:07:40.119
mà dường như mọi người hay có.

00:07:40.119 --> 00:07:43.380
Thật ra, vài người ở đây có lẽ 
có những loại này đó.

00:07:45.191 --> 00:07:46.489
Điều chúng tôi tìm thấy

00:07:46.489 --> 00:07:49.895
khi chạy 5.000 mật khẩu mà đã
tổng hợp được này

00:07:49.895 --> 00:07:54.001
qua các đợt kiểm tra để xem 
chúng mạnh như thế nào,

00:07:54.001 --> 00:07:56.753
chúng tôi thấy rằng khi mật khẩu dài

00:07:56.753 --> 00:07:58.033
thì thật sự khá mạnh,

00:07:58.033 --> 00:08:01.295
và các loại phức tạp cũng vậy.

00:08:01.295 --> 00:08:03.737
Tuy nhiên, khi chúng tôi xem qua 
dữ liệu khảo sát,

00:08:03.737 --> 00:08:06.761
chúng tôi thấy rằng mọi người
thật sự khó chịu

00:08:06.761 --> 00:08:09.100
bởi sự phức tạp ấy,

00:08:09.100 --> 00:08:11.730
và mật khẩu dài thì lại hữu dụng 
hơn hẳn,

00:08:11.730 --> 00:08:13.055
và trong vài trường hợp, chúng còn

00:08:13.055 --> 00:08:15.963
thậm chí mạnh hơn cả loại phức tạp.

00:08:15.963 --> 00:08:17.132
Điều này gợi ra rằng,

00:08:17.132 --> 00:08:18.835
thay vì khuyên mọi người

00:08:18.835 --> 00:08:20.357
hãy đặt kí tự đặc biệt và số

00:08:20.357 --> 00:08:23.199
và những thứ điên rồ vào mật khẩu,

00:08:23.199 --> 00:08:25.221
chúng ta tốt hơn chỉ khuyên họ là

00:08:25.221 --> 00:08:27.873
nên có mật khẩu dài.

00:08:27.873 --> 00:08:29.665
Dù gì thì, đây mới là vấn đề:

00:08:29.665 --> 00:08:31.920
Một số người có mật khẩu dài

00:08:31.920 --> 00:08:33.475
mà lại không thật sự mạnh.

00:08:33.475 --> 00:08:35.472
Bạn có thể tạo độ dài

00:08:35.472 --> 00:08:37.028
mà vẫn bao hàm những điều

00:08:37.028 --> 00:08:38.770
một kẻ tấn công có thể dễ dàng đoán được.

00:08:38.770 --> 00:08:42.135
Vì thế chúng ta cần làm nhiều hơn 
thay vì chỉ tuyên bố khơi khơi như vậy.

00:08:42.135 --> 00:08:44.071
Phải có vài điều kiện thêm vào,

00:08:44.071 --> 00:08:47.040
và vài nghiên cứu dang dở
của chúng tôi đang xem xét

00:08:47.040 --> 00:08:49.479
các điều kiện cần

00:08:49.479 --> 00:08:51.583
để làm cho mật khẩu mạnh hơn

00:08:51.583 --> 00:08:53.895
mà cũng chẳng phiền toái gì

00:08:53.895 --> 00:08:56.593
để được ghi nhớ và gõ ra.

NOTE Paragraph

00:08:56.593 --> 00:08:58.309
Một cách khác để 
khuyến khích mọi người

00:08:58.309 --> 00:09:00.976
tạo mật khẩu mạnh hơn là 
sử dụng một thước đo mật khẩu..

00:09:00.976 --> 00:09:02.361
Sau đây là một vài ví dụ.

00:09:02.361 --> 00:09:03.762
Các bạn có thể đã thấy 
những thứ này trên internet

00:09:03.762 --> 00:09:06.819
trong khi các bạn tạo mật khẩu.

00:09:06.819 --> 00:09:09.067
Chúng tôi đã quyết định làm 
một nghiên cứu để tìm ra

00:09:09.067 --> 00:09:11.954
cách hoạt động của các thước đo này.

00:09:11.954 --> 00:09:13.375
Liệu chúng có thật sự giúp mọi người

00:09:13.375 --> 00:09:14.828
cài mật khẩu mạnh hơn,

00:09:14.828 --> 00:09:16.914
và nếu vậy, cái nào thì tốt hơn?

00:09:16.914 --> 00:09:19.421
Vì thế chúng tôi đã thử nghiệm đủ loại

00:09:19.421 --> 00:09:21.519
có kích thước, hình dáng, 
màu sắc khác nhau,

00:09:21.519 --> 00:09:22.935
tùm lum chữ xoay quanh,

00:09:22.935 --> 00:09:26.210
và chúng tôi thậm chí đã thử một loại là
một chú thỏ nhảy nhót.

00:09:26.210 --> 00:09:27.792
Khi bạn đánh một mật khẩu tốt hơn,

00:09:27.792 --> 00:09:30.331
chú thỏ sẽ nhảy càng nhanh hơn.

00:09:30.331 --> 00:09:32.860
Nhìn nó khá thú vị ấy chứ.

NOTE Paragraph

00:09:32.860 --> 00:09:34.427
Rồi kết quả cuối cùng

00:09:34.427 --> 00:09:37.999
là các thước đo này đúng có hiệu quả.

00:09:37.999 --> 00:09:39.800
(Cười)

00:09:39.800 --> 00:09:43.133
Đa số thực tế là như vậy,

00:09:43.133 --> 00:09:45.654
kể cả con thỏ nhảy nhót nữa,

00:09:45.654 --> 00:09:48.535
nhưng thước đo hay nhất

00:09:48.535 --> 00:09:50.890
là cái khiến bạn làm việc nhiều hơn

00:09:50.890 --> 00:09:52.870
trước khi nó đưa ra sự tán thành 
và nói rằng

00:09:52.870 --> 00:09:54.247
bạn đã đang làm rất tốt,

00:09:54.247 --> 00:09:55.759
và hiện thực, chúng tôi thấy rằng phần lớn

00:09:55.759 --> 00:09:58.040
thước đo mật khẩu trên Internet ngày nay

00:09:58.040 --> 00:09:58.992
quá yếu.

00:09:58.992 --> 00:10:01.195
Chúng khen bạn quá sớm,

00:10:01.195 --> 00:10:03.124
và nếu chúng chỉ cần đợi thêm một tí

00:10:03.124 --> 00:10:05.173
trước khi đưa bạn phản hồi tích cực đó,

00:10:05.173 --> 00:10:08.333
thì bạn đã có thể có mật khẩu tốt hơn.

NOTE Paragraph

00:10:08.333 --> 00:10:12.180
Một phương thức khác nữa, có lẽ thế,

00:10:12.180 --> 00:10:15.070
là dùng cụm từ mật khẩu thay vì 
từng từ mật khẩu.

00:10:15.070 --> 00:10:18.488
Đây là bộ phim hoạt hình xkcd 
cách đây vài năm,

00:10:18.488 --> 00:10:20.162
và nhà họa sĩ phía sau đề nghị

00:10:20.162 --> 00:10:22.358
tất cả chúng ta nên sử dụng
cụm mật khẩu

00:10:22.358 --> 00:10:25.528
và nếu bạn nhìn vào hàng thứ 2 
của phim hoạt hình này,

00:10:25.528 --> 00:10:27.385
bạn có thể thấy nó đang gợi ý

00:10:27.385 --> 00:10:30.826
rằng cụm từ mật khẩu 
"correct horse battery staple"

00:10:30.826 --> 00:10:33.307
sẽ rất mạnh

00:10:33.307 --> 00:10:35.223
và cũng rất dễ nhớ.

00:10:35.223 --> 00:10:38.020
Thật ra, anh ta nói không chừng
bạn đã nhớ nó rồi.

00:10:38.020 --> 00:10:40.170
Do đó chúng tôi đã quyết định 
làm một nghiên cứu

00:10:40.170 --> 00:10:42.762
để phân xem điều đó đúng hay sai.

00:10:42.762 --> 00:10:44.307
Những người tôi từng tiếp xúc,

00:10:44.307 --> 00:10:46.579
người mà tôi nói rằng 
tôi đang làm nghiên cứu,

00:10:46.579 --> 00:10:47.979
họ đều chỉ đến bộ phim này.

00:10:47.979 --> 00:10:49.553
"Ếy, bà đã xem nó chưa? Phim xkcd đó.

00:10:49.553 --> 00:10:51.155
Correct horse battery staple."

00:10:51.155 --> 00:10:52.961
Chúng tôi đã làm một nghiên cứu để xem

00:10:52.961 --> 00:10:55.320
điều gì thực sự sẽ xảy ra.

NOTE Paragraph

00:10:55.320 --> 00:10:58.380
Trong nghiên cứu, chúng tôi lại sử dụng 
Mechanical Turk,

00:10:58.380 --> 00:11:02.547
rồi chúng tôi để máy tính 
chọn ngẫu nhiên các từ

00:11:02.547 --> 00:11:03.647
vào trong cụm mật khẩu.

00:11:03.647 --> 00:11:04.800
Lý do cho việc đó

00:11:04.800 --> 00:11:06.386
là vì con người không giỏi

00:11:06.386 --> 00:11:07.770
việc chọn ra từ ngẫu nhiên.

00:11:07.770 --> 00:11:09.492
Nếu chúng tôi nhờ ai làm điều đó,

00:11:09.492 --> 00:11:12.030
họ sẽ chọn những từ 
không tự nhiên lắm.

00:11:12.030 --> 00:11:14.422
Vì thế chúng tôi đã thử 
trong điều kiện khác nhau.

00:11:14.422 --> 00:11:16.152
Trong một trường hợp, máy tính

00:11:16.152 --> 00:11:18.368
lọc từ một từ điển chứa nhiều


00:11:18.368 --> 00:11:19.730
từ Tiếng Anh thông dụng,

00:11:19.730 --> 00:11:21.494
và vì vậy bạn sẽ có thể nhận 
được các cụm như

00:11:21.494 --> 00:11:23.418
"try there three come."

00:11:23.418 --> 00:11:25.150
Chúng tôi nhìn vào nó, và nói,

00:11:25.150 --> 00:11:28.200
"Chậc, cũng chả dễ nhớ hơn là bao."

00:11:28.200 --> 00:11:30.440
Sau đó chúng tôi thử những từ

00:11:30.440 --> 00:11:32.961
các đoạn cụ thể trong bài văn nào đó,

00:11:32.961 --> 00:11:35.143
hợp cấu trúc 
Danh từ-động từ- tính từ-danh từ.

00:11:35.143 --> 00:11:37.720
Điều đó đúc kết ra 
những cụm giống như câu văn vậy.

00:11:37.720 --> 00:11:39.790
Nên bạn có thể nhận được cụm đại loại như

00:11:39.790 --> 00:11:41.098
"plan builds sure power"

00:11:41.098 --> 00:11:43.884
hoặc "end determines red drug."

00:11:43.884 --> 00:11:46.560
Và những cái này 
dường như khá hơn đôi chút,

00:11:46.560 --> 00:11:49.382
và có thể mọi người sẽ thích 
những từ đó hơn.

00:11:49.382 --> 00:11:51.954
Chúng tôi muốn so sánh chúng với mật khẩu,

00:11:51.954 --> 00:11:55.150
nên chúng tôi để máy tính 
chọn mật khẩu ngẫu nhiên,

00:11:55.150 --> 00:11:57.140
chúng hấp dẫn và ngắn,
nhưng như bạn thấy đó,

00:11:57.140 --> 00:11:59.946
chúng trông không dễ nhớ cho lắm.

00:11:59.946 --> 00:12:01.342
Sau đó chúng tôi thử

00:12:01.342 --> 00:12:02.988
mật khẩu phát âm được.

00:12:02.988 --> 00:12:05.233
Máy tính chọn ngẫu nhiên âm tiết

00:12:05.233 --> 00:12:06.367
rồi kết hợp chúng lại với nhau

00:12:06.367 --> 00:12:08.842
cho ra vài thứ có thể phát âm được,

00:12:08.842 --> 00:12:11.444
như "tufrivi" và "vadasabi."

00:12:11.444 --> 00:12:13.591
Chúng làm cong lưỡi của bạn.

00:12:13.591 --> 00:12:15.807
Đây là những mật khẩu ngẫu nhiên

00:12:15.807 --> 00:12:18.551
được tạo ra từ máy tính.

NOTE Paragraph

00:12:18.551 --> 00:12:21.529
Ngạc nhiên thay, cái chúng tôi tìm được
trong nghiên cứu này,

00:12:21.529 --> 00:12:25.297
là cụm từ mật khẩu thì không mạnh cỡ vậy.

00:12:25.297 --> 00:12:28.090
Mọi người thật sự không cảm thấy tốt hơn khi ghi nhớ

00:12:28.090 --> 00:12:31.043
các 'cụm mật khẩu' hơn là 
các 'từ mật khẩu' ngẫu nhiên này,

00:12:31.043 --> 00:12:33.797
và bởi vì các 'cụm mật khẩu' dài hơn,

00:12:33.797 --> 00:12:35.023
chúng làm mất thời gian lâu hơn khi gõ

00:12:35.023 --> 00:12:38.033
và mọi người mắc lỗi nhiều hơn khi gõ chúng.

00:12:38.033 --> 00:12:41.260
Vì thế nó là nhược điểm
của 'cụm mật khẩu'.

00:12:41.260 --> 00:12:44.605
Xin lỗi, các fan của xkcd.

00:12:44.605 --> 00:12:46.497
Mặt khác, chúng tôi đã tìm thấy

00:12:46.497 --> 00:12:48.301
rằng các mật khẩu phát âm được

00:12:48.301 --> 00:12:49.772
có hiệu quả đáng ngạc nhiên,

00:12:49.772 --> 00:12:52.190
và do đó chúng tôi nghiên cứu thêm

00:12:52.190 --> 00:12:55.385
cách làm tăng hiệu quả 
của phương cách này.

00:12:55.385 --> 00:12:57.197
Và một trong số các vấn đề

00:12:57.197 --> 00:12:58.820
với các nghiên cứu của chúng tôi

00:12:58.820 --> 00:13:00.503
là bởi các mật khẩu đều được tạo ra

00:13:00.503 --> 00:13:01.993
từ Mechanical Turk.

00:13:01.993 --> 00:13:04.025
Đó không phải mật khẩu thực 
của con người.

00:13:04.025 --> 00:13:06.010
Đó là các mật khẩu trang web này tạo ra

00:13:06.010 --> 00:13:08.815
hoặc là do máy tính tạo ra
cho các nghiên cứu của chúng tôi.

00:13:08.815 --> 00:13:10.073
Và chúng tôi muốn biết

00:13:10.073 --> 00:13:12.385
liệu mọi người có làm như vậy

00:13:12.385 --> 00:13:14.612
với các mật khẩu thực của họ.

NOTE Paragraph

00:13:14.612 --> 00:13:18.293
Vì thế chúng tôi đã hỏi văn phòng 
bảo mật thông tin tại Carnegie Mellon

00:13:18.293 --> 00:13:22.096
liệu chúng tôi có thể có 
password thực của mọi người.

00:13:22.096 --> 00:13:23.850
Không ngạc nhiên, họ hơi miễn cưỡng

00:13:23.850 --> 00:13:25.400
để chia sẻ chúng với chúng tôi,

00:13:25.400 --> 00:13:27.210
nhưng chúng tôi đã tiếp cận được

00:13:27.210 --> 00:13:28.250
một hệ thống mật khẩu

00:13:28.250 --> 00:13:30.359
nơi mà họ chứa tất cả các password thực

00:13:30.359 --> 00:13:33.450
cho 25.000 sinh viên CMU, 
các cán bộ giảng dạy và nhân viên,

00:13:33.450 --> 00:13:35.898
vào một máy tính được khóa
trong phòng bảo mật,

00:13:35.898 --> 00:13:37.292
không kết nối internet,

00:13:37.292 --> 00:13:39.140
và họ chạy mã lệnh mà chúng tôi viết

00:13:39.140 --> 00:13:41.162
để phân tích các password này.

00:13:41.162 --> 00:13:42.728
Họ kiểm tra code của chúng tôi.

00:13:42.728 --> 00:13:43.650
Họ đã chạy code đó.

00:13:43.650 --> 00:13:45.668
Và chúng tôi thật sự không thấy được

00:13:45.668 --> 00:13:48.115
các mật khẩu của bất kỳ ai.

NOTE Paragraph

00:13:48.115 --> 00:13:50.000
Chúng tôi thu được vài kết quả thú vị,

00:13:50.000 --> 00:13:52.116
và những học sinh trường Tepper ở phía cuối

00:13:52.116 --> 00:13:54.571
sẽ rất thích thú về điều này.

00:13:54.571 --> 00:13:58.302
Chúng tôi đã tìm thấy rằng các password được tạo

00:13:58.302 --> 00:14:00.460
bởi những người trong trường tin học

00:14:00.460 --> 00:14:02.784
thì thực sự mạnh hơn gấp 1.8 lần

00:14:02.784 --> 00:14:06.522
so với những người học tại trường kinh tế.

00:14:06.522 --> 00:14:08.562
Chúng tôi cũng có nhiều

00:14:08.562 --> 00:14:10.800
thông tin nhân khẩu học thú vị khác nữa

00:14:10.800 --> 00:14:12.646
Điều thú vị khác mà chúng tôi tìm thấy

00:14:12.646 --> 00:14:15.086
là khi so sánh các mật khẩu
của Carnegie Mellon

00:14:15.086 --> 00:14:17.369
với các mật khẩu được tạo bởi Mechnical Turk,

00:14:17.369 --> 00:14:19.558
thưc sự có rất nhiều sự giống nhau,

00:14:19.558 --> 00:14:22.286
và điều này xác nhận 
phương pháp nghiên cứu của chúng tôi

00:14:22.286 --> 00:14:24.446
và cho thấy rằng, việc tổng hợp password

00:14:24.446 --> 00:14:26.254
theo kết quả của Mechanical Turk này

00:14:26.254 --> 00:14:29.042
là một cách hợp lý để nghiên cứu password.

00:14:29.042 --> 00:14:31.327
Đó là một tin tốt lành.

NOTE Paragraph

00:14:31.327 --> 00:14:33.741
Okay, tôi muốn kết thúc bằng việc nói về

00:14:33.741 --> 00:14:35.809
vài hiểu biết mà tôi đã đúc kết được khi đi

00:14:35.809 --> 00:14:39.010
nghiên cứu tại trường nghệ thuật 
Carnegie Mellon.

00:14:39.010 --> 00:14:40.291
Tôi đã làm một việc

00:14:40.291 --> 00:14:41.815
là tạo ra một số mền long,

00:14:41.815 --> 00:14:43.363
và tôi đã làm cái mền này đây.

00:14:43.363 --> 00:14:45.262
Nó được gọi là "Tấm mền Bảo Mật."

00:14:45.262 --> 00:14:47.693
(Cười)

00:14:47.693 --> 00:14:50.788
Và cái mền này có tới 1.000

00:14:50.788 --> 00:14:53.116
password bị đánh cắp nhiều nhất

00:14:53.116 --> 00:14:55.687
từ website RockYou.

00:14:55.687 --> 00:14:57.748
Và kích cỡ của password 
thì tương ứng

00:14:57.748 --> 00:14:59.649
với mức độ xuất hiện của chúng

00:14:59.649 --> 00:15:01.897
trên bộ dữ liệu đánh cắp.

00:15:01.897 --> 00:15:04.529
Và cái mà tôi làm là tạo ra đám mây từ này,

00:15:04.529 --> 00:15:06.661
và tôi duyệt qua tất cả 1.000 từ

00:15:06.661 --> 00:15:08.456
và tôi phân loại chúng vào

00:15:08.456 --> 00:15:10.836
các loại chuyên đề mơ hồ.

00:15:10.836 --> 00:15:12.739
Và trong vài trường hợp,

00:15:12.739 --> 00:15:14.777
nó khó để nhận ra

00:15:14.777 --> 00:15:16.532
chúng thuộc thể loại nào,

00:15:16.532 --> 00:15:18.431
và sau đó tôi đánh màu cho chúng.

NOTE Paragraph

00:15:18.431 --> 00:15:21.050
Và đây là vài ví dụ của sự khó khăn.

00:15:21.050 --> 00:15:22.231
So "justin."

00:15:22.231 --> 00:15:24.060
đó có phải là tên của một người dùng,

00:15:24.060 --> 00:15:25.382
bạn trai của họ, con trai của họ?

00:15:25.382 --> 00:15:28.270
Có lẽ chúng là 1 fan của Justin Bieber.

00:15:28.270 --> 00:15:30.495
Hoặc "princess."

00:15:30.495 --> 00:15:32.130
Đó là môt nickname?

00:15:32.130 --> 00:15:33.725
Họ là fan của công chúa Disney?

00:15:33.725 --> 00:15:37.419
Hoặc có lẽ đó là tên của con mèo của họ.

00:15:37.419 --> 00:15:39.074
"Iloveyou" xuất hiện nhiều lần

00:15:39.074 --> 00:15:40.619
trong nhiều ngôn ngữ khác nhau.

00:15:40.619 --> 00:15:44.354
Có nhiều chữ love trong các password này

00:15:44.354 --> 00:15:46.034
Nếu bạn nhìn kĩ, bạn sẽ nhìn thấy

00:15:46.034 --> 00:15:48.301
vài lời tục tĩu,

00:15:48.301 --> 00:15:50.251
những nó cũng thú vị

00:15:50.251 --> 00:15:52.558
khi có nhiều YÊU hơn là GHÉT

00:15:52.558 --> 00:15:54.850
trong các password này.

00:15:54.850 --> 00:15:56.340
Và có những con vật,

00:15:56.340 --> 00:15:57.700
rất nhiều động vật,

00:15:57.700 --> 00:16:00.004
và "monkey" là con vật thông dụng nhất

00:16:00.004 --> 00:16:03.679
và đứng thứ 14 trong tất cả 
các password thông dụng nhất.

00:16:03.679 --> 00:16:05.910
Và điều này gây cho tôi tò mò,

00:16:05.910 --> 00:16:08.433
tôi tự hỏi, "Tại sao khỉ lại thông dụng nhất ?"

00:16:08.433 --> 00:16:11.785
Và trong nghiên cứu cuối cùng của chúng tôi,

00:16:11.785 --> 00:16:13.471
mỗi khi chúng tôi tìm thấy ai đó

00:16:13.471 --> 00:16:16.120
tạo 1 mật khẩu với từ "monkey",

00:16:16.120 --> 00:16:19.150
chúng tôi hỏi tại sao lại có 
con khỉ trong mật khẩu của họ.

00:16:19.150 --> 00:16:21.060
Và chúng tôi tìm ra --

00:16:21.060 --> 00:16:23.163
chúng tôi tìm được 17 người

00:16:23.163 --> 00:16:24.446
mà có từ "monkey" --

00:16:24.446 --> 00:16:26.258
1/3 trong số họ nói rằng

00:16:26.258 --> 00:16:27.998
họ có một thú nuôi tên là "monkey"

00:16:27.998 --> 00:16:30.289
hoặc là một người bạn của họ có nickname là "monkey",

00:16:30.289 --> 00:16:31.949
và 1/3 họ nói rằng

00:16:31.949 --> 00:16:33.482
họ thích khỉ

00:16:33.482 --> 00:16:35.120
và khỉ rất dễ thương.

00:16:35.120 --> 00:16:38.759
Và nó thật sự dễ thương.

NOTE Paragraph

00:16:38.759 --> 00:16:42.167
Và dường như cuối ngày,

00:16:42.167 --> 00:16:43.950
khi chúng tôi tạo password,

00:16:43.950 --> 00:16:45.924
chúng tôi cũng tạo ra vài thứ thật sự dễ nhớ

00:16:45.924 --> 00:16:48.933
để đánh máy, một mẫu phổ biến,

00:16:48.933 --> 00:16:51.419
hoặc những thứ gợi chúng tôi tới từ 'password'

00:16:51.419 --> 00:16:54.731
hoặc là tài khoản mà chúng tôi đã tạo mật khẩu cho,

00:16:54.731 --> 00:16:57.348
hoặc là bất cứ thứ gì.

00:16:57.348 --> 00:16:59.990
Hoặc chúng tôi nghĩ về điều 
làm chúng tôi hạnh phúc,

00:16:59.990 --> 00:17:01.294
và chúng tôi tạo mật khẩu

00:17:01.294 --> 00:17:03.532
dựa trên các điều mà làm chúng tôi hạnh phúc.

00:17:03.532 --> 00:17:06.395
Và khi điều này làm cho việc đánh máy

00:17:06.395 --> 00:17:09.265
và ghi nhớ mật khẩu thú vị hơn,

00:17:09.265 --> 00:17:11.072
nó cũng trở nên dễ dàng hơn

00:17:11.072 --> 00:17:12.578
để đoán mật khẩu của bạn.

00:17:12.578 --> 00:17:14.326
Và tôi biết rất nhiều bài TED

00:17:14.326 --> 00:17:15.960
gây cảm hứng

00:17:15.960 --> 00:17:18.421
và làm cho bạn nghĩ về 
những thứ tốt đẹp, hạnh phúc,

00:17:18.421 --> 00:17:20.318
nhưng khi bạn tạo password,

00:17:20.318 --> 00:17:22.309
hãy cố nghĩ đến những thứ khác.

NOTE Paragraph

00:17:22.309 --> 00:17:23.416
Xin cám ơn.

NOTE Paragraph

00:17:23.416 --> 00:17:23.969
(Vỗ tay)