Return to Video

Какво не е на ред с pa$$w0rd-а ви?

  • 0:01 - 0:04
    Аз съм преподавател по компютърна наука
    и инженерство тук в Карнеги Мелън
  • 0:04 - 0:08
    и моето изследване е фокусирано върху
    прилаганите мерки за неприкосновеност и сигурност.
  • 0:08 - 0:11
    Мои приятели обичат да ми дават примери
  • 0:11 - 0:13
    с обезсърчението си от компютърните системи
  • 0:13 - 0:17
    и по-специално обезсърчението от
  • 0:17 - 0:21
    мерките за неприкосновеност
    и сигурност.
  • 0:21 - 0:23
    Паролите са нещо, за което аз чувам много.
  • 0:23 - 0:26
    Много хора имат проблеми с тях
  • 0:26 - 0:28
    и не е много приятна ситуацията,
  • 0:28 - 0:31
    когато се налага да имат
    наистина добра парола,
  • 0:31 - 0:32
    която да запомнят,
  • 0:32 - 0:35
    но никой да не може да я отгатне.
  • 0:35 - 0:37
    Но какво правите, когато имате акаунти
  • 0:37 - 0:39
    на сто различни системи
  • 0:39 - 0:41
    и се очаква да имате уникална парола
  • 0:41 - 0:44
    за всяка от тези системи?
  • 0:44 - 0:46
    Трудно е.
  • 0:46 - 0:48
    В Карнеги Мелън се опитаха да направят
  • 0:48 - 0:49
    много лесно
  • 0:49 - 0:51
    запомнянето на паролите.
  • 0:51 - 0:53
    Изискването за парола до 2009
  • 0:53 - 0:56
    беше просто да имате такава
  • 0:56 - 0:58
    от поне един знак.
  • 0:58 - 1:01
    Много лесно. Но го промениха.
  • 1:01 - 1:04
    В края на 2009 обявиха
  • 1:04 - 1:06
    че ще има нова политика,
  • 1:06 - 1:08
    която налага
  • 1:08 - 1:11
    паролите да са от поне 8 знака,
  • 1:11 - 1:12
    включващи главни и малки букви,
  • 1:12 - 1:14
    цифри и символи,
  • 1:14 - 1:16
    а един знак да не може да се
    ползва повече от три пъти
  • 1:16 - 1:19
    и да не е дума от речника.
  • 1:19 - 1:21
    Когато започна прилагането
    на новата политика,
  • 1:21 - 1:23
    много хора, колеги и приятели
  • 1:23 - 1:25
    дойдоха при мен с думите:
  • 1:25 - 1:27
    "Това наистина е неприложимо.
  • 1:27 - 1:28
    Защо ни го причиняват,
  • 1:28 - 1:29
    защо не ги спря?"
  • 1:29 - 1:31
    Отговярях им: "Знаете ли,
  • 1:31 - 1:32
    никой не ме попита."
  • 1:32 - 1:36
    Но проявих любопитство и отидох да поговоря
  • 1:36 - 1:38
    с отговарящите за компютърните системи,
  • 1:38 - 1:41
    където открих кое ги бе накарало да въведат
  • 1:41 - 1:42
    тази нова политика.
  • 1:42 - 1:44
    Казаха ми че университетът
  • 1:44 - 1:46
    се е присъединил към университетски консорциум
  • 1:46 - 1:49
    в който едно от изискванията за членство
  • 1:49 - 1:51
    било да имаме по-силни пароли,
  • 1:51 - 1:53
    което съответствало на някои нови изисквания,
  • 1:53 - 1:56
    а те били паролите
  • 1:56 - 1:57
    да са с голяма ентропия.
  • 1:57 - 1:59
    Ентропията е сложен термин,
  • 1:59 - 2:02
    но най-общо измерва силата на паролите.
  • 2:02 - 2:04
    Но истината е, че всъщност няма
  • 2:04 - 2:06
    стандартна мярка за ентропия.
  • 2:06 - 2:09
    Националният институт по стандарти и технологии
  • 2:09 - 2:10
    има комплект насоки,
  • 2:10 - 2:13
    даващи практически указания
  • 2:13 - 2:14
    за измерване на ентропията,
  • 2:14 - 2:17
    но в тях няма нищо специфично,
  • 2:17 - 2:19
    а причината да имат само
    практически указания
  • 2:19 - 2:23
    е, че всъщност, оказва се,
    нямат никаква информация
  • 2:23 - 2:24
    за паролите.
  • 2:24 - 2:26
    Докладите им казват:
  • 2:26 - 2:29
    "За съжаление нямаме много данни
  • 2:29 - 2:32
    за използваните от потребителите
    пароли при определени правила.
  • 2:32 - 2:34
    Бихме искали да научим повече
  • 2:34 - 2:36
    за паролите, които потребителите избират,
  • 2:36 - 2:39
    но системните администратори,
    разбираемо, не са склонни,
  • 2:39 - 2:42
    да разкриват данни за пароли."
  • 2:42 - 2:45
    Това е проблем, но
    изследователската ни група
  • 2:45 - 2:47
    погледна на него, като на възможност.
  • 2:47 - 2:50
    Казахме си: "Има нужда от
    добри данни за пароли.
  • 2:50 - 2:52
    Може би можем да съберем такива
  • 2:52 - 2:55
    и постигнем напредък по въпроса."
  • 2:55 - 2:57
    И така, първото нещо,
    което направихме, бе
  • 2:57 - 2:58
    да вземем торба с бонбони,
  • 2:58 - 2:59
    да се разходим из кампуса,
  • 2:59 - 3:02
    и съберем от студенти,
    преподаватели и персонал
  • 3:02 - 3:04
    информация
  • 3:04 - 3:05
    за паролите им.
  • 3:05 - 3:08
    Разбира се не казвахме
    "Дайте ни паролата си."
  • 3:08 - 3:11
    Не, просто ги питахме за паролите им.
  • 3:11 - 3:12
    Колко дълга е? Има ли цифра?
  • 3:12 - 3:13
    Има ли символ?
  • 3:13 - 3:15
    Бяхте ли притеснен,
    че трябва да измислите
  • 3:15 - 3:18
    нова миналата седмица?
  • 3:18 - 3:21
    Получихме резултати от 470 студенти,
  • 3:21 - 3:22
    преподаватели и персонал
  • 3:22 - 3:25
    и наистина потвърдихме,
    че новата политика
  • 3:25 - 3:26
    е много досадна,
  • 3:26 - 3:28
    но от думите на хората
    установихме също, че
  • 3:28 - 3:31
    те се чувстват по сигурни
    с новите пароли.
  • 3:31 - 3:33
    Повечето хора знаеха,
  • 3:33 - 3:36
    че не бива да си записват паролите
  • 3:36 - 3:38
    и само 13% от тях не го спазват,
  • 3:38 - 3:40
    но, смущаващо, 80% от хората
  • 3:40 - 3:43
    казваха, че ги използват повторно.
  • 3:43 - 3:44
    Това всъщност е по-опасно,
  • 3:44 - 3:46
    отколкото записването,
  • 3:46 - 3:50
    защото те прави много
    по-податлив на хакерите.
  • 3:50 - 3:53
    Така, че ако трябва,
    запишете си паролата,
  • 3:53 - 3:55
    но не я използвайте повторно.
  • 3:55 - 3:57
    Открихме и някои интересни неща
  • 3:57 - 4:00
    за символите,
    които хората ползват в пароли.
  • 4:00 - 4:02
    Университетът позолява
    32 възможни символа,
  • 4:02 - 4:05
    но както виждате, повечето хора
  • 4:05 - 4:07
    използват малък брой от тях,
  • 4:07 - 4:10
    т. е. не получаваме много голяма сила
  • 4:10 - 4:12
    от символите в паролите ни.
  • 4:12 - 4:15
    Беше наистина интересно проучване,
  • 4:15 - 4:17
    имахме данни от 470 човека,
  • 4:17 - 4:18
    но в схемата на нещата
  • 4:18 - 4:21
    това не беше достатъчно
  • 4:21 - 4:22
    и трябваше да се огледаме, да видим
  • 4:22 - 4:25
    къде можем да намерим
    още данни за паролите.
  • 4:25 - 4:27
    Оказа се, че много хора
  • 4:27 - 4:29
    се навъртат наоколо да крадат пароли
  • 4:29 - 4:32
    и често ги публикуват
  • 4:32 - 4:33
    в интернет.
  • 4:33 - 4:35
    Ние можахме да получим достъп
  • 4:35 - 4:39
    до някои от тези откраднати
    комплекти пароли.
  • 4:39 - 4:41
    Те обаче, не ни вършеха
    работа за изследването,
  • 4:41 - 4:43
    защото не беше напълно ясно
  • 4:43 - 4:45
    откъде идват паролите
  • 4:45 - 4:48
    или какви точно правила
    са били в сила за тях
  • 4:48 - 4:50
    когато хората са ги създавали.
  • 4:50 - 4:53
    Искахме да намерим
    по-добър източник на данни.
  • 4:53 - 4:55
    Решихме, че това,
    което можем да направим
  • 4:55 - 4:57
    е да направим проучване,
    карайки хората
  • 4:57 - 5:00
    да създават пароли за него.
  • 5:00 - 5:03
    И така използвахме услугата
    Amazon Mechanical Turk.
  • 5:03 - 5:05
    Услуга, при която публикувате
  • 5:05 - 5:08
    някаква малка задача онлайн, отнемаща минута,
  • 5:08 - 5:09
    няколко минути, час,
  • 5:09 - 5:12
    срещу пени, 10 цента, няколко долара. Хората
  • 5:12 - 5:13
    свършват тази работа за вас
  • 5:13 - 5:15
    и вие им плащате през Amazon.com.
  • 5:15 - 5:18
    Плащахме по 50 цента на човек,
  • 5:18 - 5:20
    да създаде парола,
    следвайки правилата ни
  • 5:20 - 5:22
    и да отговори на проучване,
  • 5:22 - 5:24
    след което им плащахме да се върнат
  • 5:24 - 5:26
    след два дни, да влязат
  • 5:26 - 5:29
    с паролата си и да отговорят
    на друго проучване.
  • 5:29 - 5:33
    Направихме го, събрахме 5 000 пароли,
  • 5:33 - 5:36
    давайки на хората куп различни правила
  • 5:36 - 5:37
    по които да създават пароли.
  • 5:37 - 5:39
    Някои получиха много лесно правило,
  • 5:39 - 5:41
    което нарекохме Основни8
  • 5:41 - 5:43
    с единственото изискване паролата ви
  • 5:43 - 5:47
    да има поне осем знака.
  • 5:47 - 5:49
    Други хора получиха доста по-трудни правила,
  • 5:49 - 5:51
    подобни на университетските:
  • 5:51 - 5:53
    да са с осем знака,
  • 5:53 - 5:56
    включващи главна, малка, цифра и символ,
  • 5:56 - 5:58
    както и да минава проверката в речника.
  • 5:58 - 5:59
    Един друг вариант, който опитахме,
  • 5:59 - 6:01
    а ние имахме много,
  • 6:01 - 6:03
    но един, който опитахме,
    наречен Основни16
  • 6:03 - 6:05
    беше с единственото изискване
  • 6:05 - 6:09
    паролата да има поне 16 знака.
  • 6:09 - 6:11
    И така, имахме 5000 пароли
  • 6:11 - 6:15
    и много по-подробна информация.
  • 6:15 - 6:17
    Отново виждаме, че броят на символите
  • 6:17 - 6:19
    които хората използват в паролите си
  • 6:19 - 6:21
    е малък.
  • 6:21 - 6:24
    Искахме също да разберем колко силни
  • 6:24 - 6:26
    са паролите, създавани от хората,
  • 6:26 - 6:29
    но вероятно помните,
    че няма добър измерител
  • 6:29 - 6:31
    за това.
  • 6:31 - 6:33
    Това, което решихме да направим,
    бе да видим
  • 6:33 - 6:35
    колко време ще отнеме разбиването им
  • 6:35 - 6:37
    с най-добрите за целта инструменти,
  • 6:37 - 6:39
    които лошите момчета ползват
  • 6:39 - 6:41
    или за които можехме да
    намерим информация
  • 6:41 - 6:42
    в изследователската литература.
  • 6:42 - 6:45
    За да имате представа,
    ето как лошите момчета
  • 6:45 - 6:47
    подхождат при разбиването на пароли:
  • 6:47 - 6:49
    Ще откраднат файл с пароли,
  • 6:49 - 6:51
    който ги съдържа
  • 6:51 - 6:54
    в кодирана форма,
    наречена хаш [бъркотия].
  • 6:54 - 6:57
    След това ще направят предположение
  • 6:57 - 6:58
    каква е паролата,
  • 6:58 - 7:00
    ще го пуснат през хешираща функция
  • 7:00 - 7:02
    и ще видят дали съвпада
  • 7:02 - 7:06
    с паролите в откраднатия файл.
  • 7:06 - 7:09
    Тъп хакер би изпробвал всяка парола.
  • 7:09 - 7:13
    Ще започне с ААААА, ще премине на ААААB
  • 7:13 - 7:15
    и така това ще отнеме
    наистина много време
  • 7:15 - 7:17
    преди да се получи някоя парола,
  • 7:17 - 7:19
    която хората е наистина
    възможно да имат.
  • 7:19 - 7:22
    Хитрият хакер, от друга страна,
  • 7:22 - 7:23
    прави нещо много по-умно.
  • 7:23 - 7:25
    Подбира паролите
  • 7:25 - 7:27
    от откраднатия комплект,
  • 7:27 - 7:28
    които се знае, че са популярни
  • 7:28 - 7:29
    и започва да изпробва първо тях.
  • 7:29 - 7:32
    Ще се започне с
    предположението "парола"
  • 7:32 - 7:34
    след това с "обичам те", "маймуна"
  • 7:34 - 7:37
    и "12345678",
  • 7:37 - 7:38
    защото това са паролите
  • 7:38 - 7:40
    които най-вероятно хората имат.
  • 7:40 - 7:43
    Някои от вас вероятно имат тези пароли.
  • 7:45 - 7:46
    Това, което открихме
  • 7:46 - 7:50
    когато пуснахме всичките
    5 000 събрани пароли
  • 7:50 - 7:54
    през тестове,
    за да видим колко са силни,
  • 7:54 - 7:57
    беше, че дългите пароли
  • 7:57 - 7:58
    са доста силни.
  • 7:58 - 8:01
    Сложните пароли - също.
  • 8:01 - 8:04
    Обаче, преглеждайки
    данните от проучването
  • 8:04 - 8:07
    видяхме, че хората са
    наистина обезсърчени
  • 8:07 - 8:09
    от твърде сложните пароли,
  • 8:09 - 8:12
    и използваха много повече
    дълги пароли,
  • 8:12 - 8:13
    а в някои случаи те бяха
  • 8:13 - 8:16
    дори по-силни от сложните.
  • 8:16 - 8:17
    Това подсказва, че
  • 8:17 - 8:19
    вместо да се казва на хората, че трябва
  • 8:19 - 8:20
    да слагат всички тези символи, цифри
  • 8:20 - 8:23
    и дивотии в паролите си,
  • 8:23 - 8:25
    може би е по-добре да казваме на хората
  • 8:25 - 8:28
    да имат дълги пароли.
  • 8:28 - 8:30
    Ето го проблемът, обаче:
  • 8:30 - 8:32
    Някои хора имаха дълги пароли,
  • 8:32 - 8:33
    които не бяха много силни.
  • 8:33 - 8:35
    Може да правите дълги пароли,
  • 8:35 - 8:37
    които все още са от типа,
  • 8:37 - 8:39
    който един хакер лесно би познал.
  • 8:39 - 8:42
    Трябва ни нещо повече
    от просто дълги пароли.
  • 8:42 - 8:44
    Трябва да има някакви
    допълнителни изисквания.
  • 8:44 - 8:47
    Някои от продължаващите ни
    изследвания търсят
  • 8:47 - 8:49
    какви още изисквания да добавим
  • 8:49 - 8:52
    за да направим така, че силните пароли,
  • 8:52 - 8:54
    да бъдат лесни
  • 8:54 - 8:57
    за запомняне и въвеждане.
  • 8:57 - 8:59
    Друг подход, да се накарат
    хората да имат
  • 8:59 - 9:01
    по-силни пароли, е използването
    на паролометър.
  • 9:01 - 9:02
    Ето няколко примера.
  • 9:02 - 9:04
    Сигурно сте ги виждали в интернет
  • 9:04 - 9:07
    когато сте създавали пароли.
  • 9:07 - 9:09
    Решихме чрез проучване, да установим
  • 9:09 - 9:12
    дали тези паролометри вършат работа.
  • 9:12 - 9:13
    Помагат ли наистина на хората
  • 9:13 - 9:15
    да имат по-силни пароли
  • 9:15 - 9:17
    и ако да, кои са по-добри?
  • 9:17 - 9:19
    Тествахме паролометри,
  • 9:19 - 9:22
    с различен размер, форма, цветове,
  • 9:22 - 9:23
    различни описания,
  • 9:23 - 9:26
    дори един,
    представляващ танцуващо зайче.
  • 9:26 - 9:28
    Колкото по-добра е паролата
  • 9:28 - 9:30
    толкова по-бързо танцува зайчето.
  • 9:30 - 9:33
    Беше забавно.
  • 9:33 - 9:34
    Това, което установихме,
  • 9:34 - 9:38
    е ,че те наистина работят.
  • 9:38 - 9:40
    (Смях)
  • 9:40 - 9:43
    Повечето паролометри бяха ефективни,
  • 9:43 - 9:46
    танцуващото зайче - също,
  • 9:46 - 9:49
    но най-ефективните
  • 9:49 - 9:51
    бяха тези, каращи ви да се потрудите здраво
  • 9:51 - 9:53
    преди да ви покажат вдигнат палец
  • 9:53 - 9:54
    за това, че сте свършили добра работа.
  • 9:54 - 9:56
    Фактически, установихме, че повечето
  • 9:56 - 9:58
    от паролометрите в интернет днес
  • 9:58 - 9:59
    са твърде лековерни.
  • 9:59 - 10:01
    Казват ви, че се справяте
    добре твърде рано,
  • 10:01 - 10:03
    и ако изчакат мъничко,
  • 10:03 - 10:05
    преди да ви дадат положителна
    обратна връзка,
  • 10:05 - 10:08
    вероятно ще имате по-добри пароли.
  • 10:08 - 10:12
    Един друг подход за по-добри пароли,
    може би,
  • 10:12 - 10:15
    е използването на фрази, вместо пароли.
  • 10:15 - 10:18
    Един комикс от xkcd.com
    от преди няколко години
  • 10:18 - 10:20
    в който авторът му подсказва,
  • 10:20 - 10:22
    че всички трябва да използваме фрази
  • 10:22 - 10:26
    и ако погледнете втория ред на комикса,
  • 10:26 - 10:27
    може да видите че авторът предполага,
  • 10:27 - 10:31
    че фразата "правилно кон батерия скоба"
  • 10:31 - 10:33
    би била много силна парола
  • 10:33 - 10:35
    и нещо много лесно за запомняне.
  • 10:35 - 10:38
    Той казва, въщност,
    че вие вече сте я запомнили.
  • 10:38 - 10:40
    Решихме да направим изследване
  • 10:40 - 10:43
    дали това е вярно или не.
  • 10:43 - 10:45
    На практика всеки с когото говорих,
  • 10:45 - 10:47
    казвайки, че правя изследване
    върху паролите,
  • 10:47 - 10:48
    се сещаше за този комикс.
  • 10:48 - 10:50
    "О, виждали ли сте този XKCD:
  • 10:50 - 10:51
    "правилно кон батерия скоба"?
  • 10:51 - 10:53
    И така, направихме това изследване,
    за да видим
  • 10:53 - 10:55
    какво би се случило.
  • 10:55 - 10:58
    За него отново използвахме
    Mechanical Turk,
  • 10:58 - 11:03
    като накарахме компютъра
    да подбере случайни думи
  • 11:03 - 11:04
    за паролата-фраза.
  • 11:04 - 11:05
    Причината да направим това
  • 11:05 - 11:06
    е, че хората не са много добри
  • 11:06 - 11:08
    в избора на случайни думи.
  • 11:08 - 11:09
    Карала съм хора да го правят.
  • 11:09 - 11:12
    Те избират думи,
    които не са много случайни.
  • 11:12 - 11:14
    Опитахме няколко различни условия.
  • 11:14 - 11:16
    В единия случай компютърът избра
  • 11:16 - 11:18
    от речник с често срещани думи
  • 11:18 - 11:20
    в английския език,
  • 11:20 - 11:21
    Така бихте получили фрази като
  • 11:21 - 11:23
    "опитай там три ела".
  • 11:23 - 11:25
    Погледнахме и си казахме:
  • 11:25 - 11:28
    "Това не изглежда много запомнящо се."
  • 11:28 - 11:30
    След това опитахме да вземем думи,
  • 11:30 - 11:33
    идващи от специфични части на речта,
    например
  • 11:33 - 11:35
    съществително-глагол-прилагателно-
    съществително.
  • 11:35 - 11:38
    Това дава нещо, приличащо на изречение.
  • 11:38 - 11:40
    Така може да се получат фрази като
  • 11:40 - 11:41
    "план строи сигурна мощност"
  • 11:41 - 11:44
    или "край определя червено лекарство".
  • 11:44 - 11:47
    Това изглеждаше малко по запомнящо се
  • 11:47 - 11:49
    и може би хората
    биха го харесали повече.
  • 11:49 - 11:52
    Искахме да ги сравним с паролите
  • 11:52 - 11:55
    и накарахме компютъра
    да избере случайни пароли.
  • 11:55 - 11:57
    Те бяха хубави и кратки,
    но както виждате,
  • 11:57 - 12:00
    не изглеждат много запомнящи се.
  • 12:00 - 12:01
    И тогава решихме да опитаме
    нещо, наречено
  • 12:01 - 12:03
    произносима парола.
  • 12:03 - 12:05
    Тук компютърът подбира случайни срички
  • 12:05 - 12:06
    и ги събира
  • 12:06 - 12:09
    така че имате нещо произносимо
  • 12:09 - 12:11
    като "туфритви" и "вадасаби".
  • 12:11 - 12:14
    Този тип бърборене.
  • 12:14 - 12:16
    Това бяха случайни пароли,
  • 12:16 - 12:19
    генерирани от компютъра ни.
  • 12:19 - 12:22
    Това, което установихме с изненада беше,
  • 12:22 - 12:25
    че паролите фрази не са толкова добри.
  • 12:25 - 12:28
    Хората не ги запомняха по-лесно,
  • 12:28 - 12:31
    отколкото тези случайни пароли.
  • 12:31 - 12:34
    И тъй като фразите бяха по-дълги,
  • 12:34 - 12:35
    отнемаха повече време за изписване
  • 12:35 - 12:38
    и хората правеха повече грешки
    при писането им.
  • 12:38 - 12:41
    Т.е. паролите-фрази не са
    чисти победители.
  • 12:41 - 12:45
    Съжалявам, фенове на XKCD.
  • 12:45 - 12:46
    От друга страна установихме,
  • 12:46 - 12:48
    че произносимите пароли
  • 12:48 - 12:50
    работят изненадващо добре
  • 12:50 - 12:52
    и затова правим
    допълнително изследване,
  • 12:52 - 12:55
    за да видим дали можем
    да подобрим този подход.
  • 12:55 - 12:57
    Един от проблемите
  • 12:57 - 12:59
    при някои от проучванията ни
  • 12:59 - 13:01
    е, че поради използването
  • 13:01 - 13:02
    на Mechanical Turk,
  • 13:02 - 13:04
    това не бяха истинските
    пароли на хората.
  • 13:04 - 13:06
    Това бяха пароли създадени от тях
  • 13:06 - 13:09
    или от компютъра за изследването ни.
  • 13:09 - 13:10
    Искахме да знаем дали хората
  • 13:10 - 13:12
    биха постъпили по същия начин
  • 13:12 - 13:15
    с истинските им пароли.
  • 13:15 - 13:18
    Обърнахме се към бюрото по сигурност
    на информацията в Карнеги Мелън
  • 13:18 - 13:22
    с въпрос дали бихме могли да имаме
    истинските пароли на всички.
  • 13:22 - 13:24
    Не е изненада, че те
    не проявиха склонност
  • 13:24 - 13:25
    да ги споделят с нас,
  • 13:25 - 13:27
    но можахме да изработим
  • 13:27 - 13:28
    с тях система,
  • 13:28 - 13:30
    в която те сложиха
    всички истински пароли
  • 13:30 - 13:33
    на 25 000 студенти,
    преподаватели и персонал
  • 13:33 - 13:36
    в един заключен компютър,
    в заключена стая,
  • 13:36 - 13:37
    без връзка с интернет,
  • 13:37 - 13:39
    и пуснаха кода, който бяхме написали
  • 13:39 - 13:41
    за анализ на тези пароли.
  • 13:41 - 13:43
    Те провериха кода
  • 13:43 - 13:44
    и го изпълниха,
  • 13:44 - 13:46
    така че ние никога не видяхме
  • 13:46 - 13:48
    чиято и да било парола.
  • 13:48 - 13:50
    Получихме някои интересни резултати.
  • 13:50 - 13:52
    Студентите от
    [бизнес факултета] Тепер отзад
  • 13:52 - 13:55
    ще бъдат силно заинтригувани от тях.
  • 13:55 - 13:58
    Установихме, че паролите, създадени
  • 13:58 - 14:00
    от хора, числящи се към
    факултета за компютърна наука
  • 14:00 - 14:03
    са 1.8 пъти по-силни
  • 14:03 - 14:07
    от тези, числящи се
    към бизнес факултета.
  • 14:07 - 14:09
    Получихме и много друга интересна
  • 14:09 - 14:11
    демографска информация.
  • 14:11 - 14:13
    Друго интересно нещо, което установихме
  • 14:13 - 14:15
    при сравнаване паролите
    на Карнеги Мелън
  • 14:15 - 14:17
    с генерираните от Mechanical Turk,
  • 14:17 - 14:20
    е, че имаше много прилики,
  • 14:20 - 14:22
    което потвърди
    изследователския ни метод
  • 14:22 - 14:24
    и показа, че събирането на пароли
  • 14:24 - 14:26
    с Mechanical Turk
  • 14:26 - 14:29
    е валиден начин за изучаване на пароли.
  • 14:29 - 14:31
    Това беше добра новина.
  • 14:31 - 14:34
    Искам да приключа, разказвайки за
  • 14:34 - 14:36
    някои прозрения,
    осенили ме през отпуска
  • 14:36 - 14:39
    миналата година
    във факултета по изкуства.
  • 14:39 - 14:40
    Едно от нещата, които направих
  • 14:40 - 14:42
    бяха няколко покривала,
  • 14:42 - 14:43
    едно от които е това тук,
  • 14:43 - 14:45
    което нарекох "Одеяло на сигурността".
  • 14:45 - 14:48
    (Смях)
  • 14:48 - 14:51
    То има 1 000
  • 14:51 - 14:53
    най-често използвани пароли, откраднати
  • 14:53 - 14:56
    от сайта на RockYou.
  • 14:56 - 14:58
    Размерът на паролите е пропорционален
  • 14:58 - 15:00
    на честотата с която те се появяват
  • 15:00 - 15:02
    в откраднатия набор от данни.
  • 15:02 - 15:05
    Това, което направих е
    този облак от думи.
  • 15:05 - 15:07
    Минах през всичките хиляда
  • 15:07 - 15:08
    и ги категоризирах в
  • 15:08 - 15:11
    свободни тематични категории.
  • 15:11 - 15:13
    В някои случаи
  • 15:13 - 15:15
    беше доста трудно да определя
  • 15:15 - 15:17
    в коя категория трябва да са.
  • 15:17 - 15:18
    След това им дадох цветен код.
  • 15:18 - 15:21
    Ето няколко примера за трудност.
  • 15:21 - 15:22
    "Джъстин"
  • 15:22 - 15:24
    Това името на потребителя ли е,
  • 15:24 - 15:25
    на приятеля или на сина?
  • 15:25 - 15:28
    Може би са били фенове на
    Джъстин Бийбър.
  • 15:28 - 15:30
    Или "принцеса".
  • 15:30 - 15:32
    Това прозвище ли е?
  • 15:32 - 15:34
    Или са фенове на принцесата на Дисни?
  • 15:34 - 15:37
    Или може би това е името на котката им.
  • 15:37 - 15:39
    "Обичам те"се появява много пъти
  • 15:39 - 15:41
    на много езици.
  • 15:41 - 15:44
    Има изобилие от любов в тези пароли.
  • 15:44 - 15:46
    Ако гледате внимателно, ще видите и
  • 15:46 - 15:48
    някои ругатни,
  • 15:48 - 15:50
    но за мен беше наистина
    интересно да видя,
  • 15:50 - 15:53
    че има много повече любов,
    отколкото омраза
  • 15:53 - 15:55
    в тези пароли.
  • 15:55 - 15:56
    Има и животни.
  • 15:56 - 15:58
    Много животни.
  • 15:58 - 16:00
    "Маймуна" е най-често срещаното,
  • 16:00 - 16:04
    при това е 14-та най-популярна
    парола изобщо.
  • 16:04 - 16:06
    Беше ми наистина любопитно.
  • 16:06 - 16:08
    Чудех се защо маймуните са
    толкова популярни.
  • 16:08 - 16:12
    И така в последното ни
    изследване на пароли,
  • 16:12 - 16:13
    всеки път, когато откриехме някой,
  • 16:13 - 16:16
    създаващ парола с думата
    "маймуна" в нея,
  • 16:16 - 16:19
    го питахме защо я слага.
  • 16:19 - 16:21
    Това, което установихме -
  • 16:21 - 16:23
    засега сме намерили, мисля, 17 души,
  • 16:23 - 16:24
    които използваха думата "маймуна" -
  • 16:24 - 16:26
    е, че около една трета от тях
  • 16:26 - 16:28
    имат домашен любимец, наричан така
  • 16:28 - 16:30
    или приятел с прозвището "маймуна".
  • 16:30 - 16:32
    Около една трета казаха,
  • 16:32 - 16:33
    че просто харесват маймуни
  • 16:33 - 16:35
    защото са много мили.
  • 16:35 - 16:39
    Тази тук е наистина сладка.
  • 16:39 - 16:42
    Изглежда, че в края на краищата,
  • 16:42 - 16:44
    когато измисляме пароли,
  • 16:44 - 16:46
    ние или правим нещо лесно
  • 16:46 - 16:49
    за написване, общ модел,
  • 16:49 - 16:51
    или неща, които ни напомнят
    за думата парола
  • 16:51 - 16:55
    или за акаунта, за който
    създаваме паролата
  • 16:55 - 16:57
    или нещо такова.
  • 16:57 - 17:00
    Или мислим за неща,
    които ни правят щастливи
  • 17:00 - 17:01
    и създаваме нашите пароли
  • 17:01 - 17:04
    въз основа на тях.
  • 17:04 - 17:06
    И докато това прави писането
  • 17:06 - 17:09
    и запомнянето на паролите забавно,
  • 17:09 - 17:11
    също така го прави лесно
  • 17:11 - 17:13
    за отгатване на паролата ви.
  • 17:13 - 17:14
    Аз зная, че много от тези TED беседи
  • 17:14 - 17:16
    вдъхновяват
  • 17:16 - 17:18
    и ви карат да мислите за хубави,
    радостни неща,
  • 17:18 - 17:20
    но когато създавате паролата си
  • 17:20 - 17:22
    опитайте да мислите за нещо друго.
  • 17:22 - 17:23
    Благодаря ви.
  • 17:23 - 17:24
    (Аплодисменти)
Title:
Какво не е на ред с pa$$w0rd-а ви?
Speaker:
Лори Фейт Кранор
Description:

Лори Феит Кранор изучава хиляди действащи пароли, за да установи неочакваните, често срещани грешки на потребители и защитени сайтове, излагащи на опасност сигурността. Вероятно ще попитате как така изучава хиляди действащи пароли, без да компрометира сигурността на който и да било потребител. Това само по себе си е история. Секретните данни си струват научаването, особено ако паролата ви е 123456...
more » « less
Video Language:
English
Team:
closed TED
Project:
TEDTalks
Duration:
17:41

Bulgarian subtitles

Revisions Compare revisions

Our website uses cookies for analysis purposes.