Was stimmt nicht mit Ihrem Pa$$w0rt?

0:00 - 0:03

Ich bin Professorin
für Technische Informatik
0:03 - 0:04

hier an der Carnegie Mellon,
0:04 - 0:08

und meine Forschung konzentriert sich
auf nützlichen Datenschutz.
0:08 - 0:11

Daher geben meine Freunde
mir gerne Beispiele
0:11 - 0:13

für ihren Frust mit Rechnersystemen,
0:13 - 0:18

vor allem in Bezug auf
unbrauchbaren Datenschutz.
0:21 - 0:23

Ich höre viel über Passwörter.
0:23 - 0:26

Viele Menschen sind
von Passwörtern genervt,
0:26 - 0:28

und das ist schlimm genug,
0:28 - 0:31

wenn man ein wirklich
gutes Passwort braucht,
0:31 - 0:32

das man sich merken kann,
0:32 - 0:35

aber das niemand anders erraten soll.
0:35 - 0:39

Was macht man, wenn man Konten
auf hundert verschiedenen Systemen hat
0:39 - 0:43

und ein individuelles Passwort
für jedes dieser Systeme haben sollte?
0:44 - 0:46

Das ist schwer.
0:46 - 0:49

An der Carnegie Mellon machten sie
es uns ziemlich einfach,
0:49 - 0:51

uns unsere Passwörter zu merken.
0:51 - 0:53

Bis 2009 war die Anforderung
an ein Passwort nur,
0:53 - 0:56

dass man ein Passwort brauchte
0:56 - 0:58

mit mindestens einem Zeichen.
0:58 - 0:59

Ziemlich einfach.
0:59 - 1:04

Aber dann änderten sie es,
und Ende 2009 gaben sie bekannt,
1:04 - 1:06

dass sie eine neue Richtlinie bekämen,
1:06 - 1:08

und die neue Richtlinie verlangte,
1:08 - 1:10

dass Passwörter mindestens
8 Zeichen lang sein mussten.
1:11 - 1:14

mit einem Groß-, einem Kleinbuchstaben,
einer Zahl und einem Symbol.
1:14 - 1:17

Man durfte dieselben Zeichen
nicht mehr als 3-mal nutzen,
1:17 - 1:19

und es durfte kein Wort
aus dem Wörterbuch sein.
1:19 - 1:21

Als sie die Richtlinie umsetzten,
1:21 - 1:23

kamen viele Leute,
meine Kollegen und Freunde,
1:23 - 1:25

auf mich zu und sagten:
1:25 - 1:26

"Wow, das ist wirklich unnütz.
1:26 - 1:29

Warum machen sie das mit uns?
Warum hast du sie nicht gestoppt?"
1:29 - 1:32

Und ich sagte: "Weißt du was?
Sie haben mich nicht gefragt."
1:32 - 1:35

Aber ich wurde neugierig und entschied,
1:35 - 1:38

mit den Verantwortlichen
für unsere Computersysteme zu reden
1:38 - 1:40

und herauszufinden,
was sie veranlasst hatte,
1:41 - 1:42

die neue Richtlinie einzuführen.
1:42 - 1:44

Sie meinten, die Universität
1:44 - 1:46

wäre einem Universitäts--
Verbund beigetreten,
1:46 - 1:49

und eine der Anforderungen
an die Mitgliedschaft war,
1:49 - 1:51

dass wir sichere Passwörter brauchten,
1:51 - 1:53

die den neuen Anforderungen entsprachen.
1:53 - 1:55

Die neuen Vorgaben besagten,
1:55 - 1:57

unsere Passwörter müssten
mehr Entropie haben.
1:57 - 1:59

Entropie ist ein komplizierter Begriff,
1:59 - 2:02

aber im Wesentlichen misst er
die Stärke von Passwörtern.
2:02 - 2:06

Es ist nur so, dass es tatsächlich
kein Richtmaß für Entropie gibt.
2:06 - 2:09

Das Nationale Institut für
Standards und Technologie
2:09 - 2:13

hat eine Reihe von Richtlinien
mit einigen Faustregeln,
2:13 - 2:14

um Entropie zu messen.
2:14 - 2:17

Aber es gibt nichts wirklich Konkretes.
2:17 - 2:20

Der Grund, warum sie
nur Faustregeln haben,
2:20 - 2:24

liegt an der fehlenden guten
Datenlage über Passwörter.
2:24 - 2:26

In ihrem Bericht heißt es sogar:
2:26 - 2:28

"Leider haben wir kaum Daten
2:28 - 2:32

zu den von Nutzern unter bestimmten
Bedingungen gewählten Passwörtern.
2:32 - 2:34

Das NIST würde gerne mehr Daten gewinnen,
2:34 - 2:36

über die von Nutzern gewählten Passwörter,
2:36 - 2:39

aber Systemadministratoren
zögern verständlicherweise,
2:39 - 2:42

anderen die Passwörter offenzulegen."
2:42 - 2:44

Das ist also ein Problem,
2:44 - 2:47

aber unsere Forschungsgruppe
sah es als Chance.
2:47 - 2:50

Wir sagten: "Es gibt einen Bedarf
für gute Passwort-Daten.
2:50 - 2:53

Vielleicht können wir
gute Passwort-Daten sammeln
2:53 - 2:55

und den Stand den Technik verbessern."
2:55 - 2:58

Als Erstes besorgten wir uns
eine Tüte Schokoriegel,
2:58 - 3:00

liefen über den Campus,
3:00 - 3:03

sprachen mit Studenten,
Dozenten und Mitarbeitern,
3:03 - 3:06

und fragten sie nach Informationen
zu ihren Passwörtern.
3:06 - 3:08

Wir sagten aber nicht:
"Geben Sie uns Ihr Passwort."
3:08 - 3:11

Nein, wir fragten sie etwas
über ihr Passwort.
3:11 - 3:12

Wie lang ist es?
3:12 - 3:14

Hat es eine Zahl, ein Symbol?
3:14 - 3:18

Waren sie verärgert als sie letzte Woche
ein neues erstellen mussten?
3:18 - 3:20

Wir erhielten Ergebnisse
3:20 - 3:22

von 470 Studenten,
Dozenten und Mitarbeiter,
3:22 - 3:25

und wir konnten bestätigen,
dass die neue Richtlinie
3:25 - 3:26

wirklich nervig war,
3:26 - 3:28

aber wir stellten auch fest,
3:28 - 3:31

dass Leute sich mit den neuen
Passwörtern sicherer fühlten.
3:31 - 3:33

Wir erfuhren, dass die
meisten Leute wissen,
3:33 - 3:36

dass sie ihr Passwort
nicht aufschreiben sollten,
3:36 - 3:38

nur 13 % davon machten das,
3:38 - 3:40

aber verstörende 80 % der Menschen sagten,
3:40 - 3:43

dass sie ihr Passwort wieder verwendeten.
3:43 - 3:47

Das ist aber sogar viel gefährlicher
als sein Passwort aufzuschreiben,
3:47 - 3:50

denn es macht es
für Angreifer viel anfälliger.
3:50 - 3:52

Wenn Sie müssen,
3:52 - 3:55

schreiben Sie Ihr Passwort auf,
aber benutzen Sie es nicht wieder.
3:55 - 3:57

Wir fanden auch interessante Dinge
3:57 - 4:00

über die in Passwörtern
verwendeten Symbole heraus.
4:00 - 4:02

Die CMU erlaubt 32 mögliche Symbole,
4:02 - 4:05

aber wie man sieht,
wird nur ein kleiner Anteil
4:05 - 4:07

von den Menschen genutzt.
4:07 - 4:10

Daher tragen die Symbole
in unseren Passwörtern
4:10 - 4:12

nicht viel zur Stärke bei.
4:12 - 4:15

Das war also eine wirklich
interessante Studie,
4:15 - 4:17

und jetzt hatten wir
Daten von 470 Personen,
4:17 - 4:21

aber im Großen und Ganzen,
sind das nicht viele Passwort-Daten.
4:21 - 4:23

Daher sahen wir uns danach um,
4:23 - 4:25

wo wir weitere Passwort-
Daten finden konnten.
4:25 - 4:29

Es zeigt sich, dass viele Leute
Passwörter stehlen,
4:29 - 4:33

und sie stellen diese Passwörter
dann oft ins Internet.
4:33 - 4:35

Wir erlangten Zugang
4:35 - 4:38

zu einigen der gestohlenen
Passworteinstellungen.
4:39 - 4:42

Das ist immer noch nicht
ideal für die Erforschung,
4:42 - 4:45

denn es ist nicht völlig klar,
woher all die Passwörter kamen
4:45 - 4:50

oder welche Richtlinien galten,
als die Leute diese Passwörter erstellten.
4:50 - 4:53

Wir wollten daher eine
bessere Datenquelle finden.
4:53 - 4:56

Wir entschieden eine Studie zu machen
4:56 - 5:00

und Menschen für unsere Studie
Passwörter erstellen zu lassen.
5:00 - 5:03

Wir nutzten einen Service namens
"Amazon Mechanical Turk".
5:03 - 5:07

Bei diesem Service kann man
eine kleine Aufgabe online einstellen,
5:07 - 5:10

für die man ca. 1 Minute,
einige Minuten, eine Stunde braucht,
5:10 - 5:12

und Leuten Cents oder
ein paar Dollar zahlt,
5:12 - 5:14

damit sie eine Aufgabe
für einen zu erledigen.
5:14 - 5:16

Man bezahlt über Amazon.com.
5:16 - 5:18

Wir zahlten Leuten etwa 50 Cents,
5:18 - 5:20

um ein Passwort nach
unseren Regeln zu erstellen
5:20 - 5:22

und eine Umfrage zu beantworten.
5:22 - 5:26

Dann bezahlten wir sie erneut,
um sich 2 Tage später wieder einzuloggen,
5:26 - 5:29

mit ihrem Passwort, und eine
andere Umfrage zu beantworten.
5:29 - 5:32

Wir machten das und
sammelten 5000 Passwörter.
5:33 - 5:36

Wir gaben den Leuten eine Menge
verschiedener Richtlinien,
5:36 - 5:37

um Passwörter zu erstellen.
5:37 - 5:40

Manche hatten eine
recht leichte Richtlinie,
5:40 - 5:41

wir nennen sie "Basic8".
5:41 - 5:43

Die einzige Regel war hier,
5:43 - 5:46

dass das Passwort mindestens
8 Zeichen haben muss.
5:46 - 5:49

Einige bekamen
eine viel strengere Richtlinie,
5:49 - 5:51

ganz ähnlich wie die CMU-Richtlinie,
5:51 - 5:53

bei der man 8 Zeichen brauchte,
5:53 - 5:56

die Groß-, Kleinbuchstabe,
Zahl, Symbol beinhalten,
5:56 - 5:58

und einen Wörterbuch-Test
bestehen mussten.
5:58 - 5:59

Eine andere getestete Richtlinie,
5:59 - 6:03

und es gab noch jede Menge,
war eine namens "Basic16".
6:03 - 6:05

Die einzige Anforderung hier war,
6:05 - 6:09

dass das Passwort mindestens
16 Zeichen haben musste.
6:09 - 6:11

Gut, wir hatten jetzt 5000 Passwörter
6:11 - 6:15

und damit hatten wir
viel genauere Informationen.
6:15 - 6:18

Wieder sahen wir, dass nur
eine kleine Anzahl von Symbolen
6:18 - 6:21

für die Passwörter genutzt wurde.
6:21 - 6:25

Wir wollten eine Vorstellung
von der Stärke der Passwörter bekommen,
6:25 - 6:27

die die Leuten erstellten.
6:27 - 6:28

Aber wie Sie vielleicht erinnern,
6:28 - 6:31

gibt es keine gute Maßeinheit
für Passwort-Stärke.
6:31 - 6:33

Wir beschlossen zu schauen,
wie lange es dauert,
6:33 - 6:35

bis wir die Passwörter knacken würden,
6:35 - 6:39

unter Verwendung der besten Knack-Tools,
die die bösen Jungs nutzen,
6:39 - 6:43

oder über die wir Informationen
in der Forschungsliteratur fanden.
6:43 - 6:47

Hier zeige ich Ihnen, wie böse Jungs
Passwörter knacken.
6:47 - 6:49

Sie klauen eine Passwort-Datei,
6:49 - 6:53

mit allen Passwörter
in verschlüsselter Form,
6:53 - 6:54

"Hash" genannt.
6:54 - 6:58

Sie raten dann,
was ein Passwort sein könnte,
6:58 - 7:00

lassen es durch eine Hash-Funktion laufen
7:00 - 7:02

und schauen, ob es zu den Passwörtern
7:02 - 7:05

auf der Liste gestohlener
Passwörter passt.
7:06 - 7:09

Ein dummer Angreifer wird jedes
Passwort nacheinander versuchen.
7:09 - 7:13

Sie fangen mit "AAAAA" an
und machen mit "AAAAB" weiter,
7:13 - 7:17

und es dauert ziemlich lange,
bis sie irgendein Passwort finden,
7:17 - 7:19

dass Leute wirklich benutzen.
7:19 - 7:23

Ein schlauer Angreifer andererseits
macht etwas viel Klügeres.
7:23 - 7:26

Sie schauen sich die Passwörter an,
die bekanntermaßen beliebt sind,
7:27 - 7:28

aus den gestohlenen Passwörtern,
7:28 - 7:30

und erraten diese zuerst.
7:30 - 7:32

Sie tippen also erst auf "Passwort",
7:32 - 7:34

dann tippen sie auf
"Ich liebe dich" und "Affe"
7:34 - 7:37

und "12345678",
7:37 - 7:40

denn diese Passwörter
nutzen die meisten Leute.
7:40 - 7:43

Wahrscheinlich haben einige
von Ihnen diese Passwörter.
7:45 - 7:46

Wir fanden also heraus,
7:46 - 7:50

indem wir all diese 5000
Passwörter sammelten
7:50 - 7:54

und testeten, wie stark sie waren,
7:54 - 7:58

erkannten wir, dass lange Passwörter
ziemlich stark waren.
7:58 - 8:01

Komplexe Passwörter
waren auch ziemlich stark.
8:01 - 8:04

Aber wenn wir uns
die Umfrage-Daten ansahen,
8:04 - 8:07

sahen wir, dass viele
wirklich frustriert waren
8:07 - 8:09

von den sehr komplexen Passwörtern.
8:09 - 8:12

Lange Passwörter waren viel brauchbarer
8:12 - 8:16

und manchmal waren sie sogar
stärker als komplexe Passwörter.
8:16 - 8:17

Das legt also nahe,
8:17 - 8:20

dass es statt den Leuten zu sagen,
sie sollten Symbole, Zahlen
8:20 - 8:23

und anderes Zeug in ihren
Passwörtern verwenden,
8:23 - 8:25

wohlmöglich besser wäre zu sagen,
8:25 - 8:28

man sollte lange Passwörter haben.
8:28 - 8:30

Es gibt aber ein Problem:
8:30 - 8:33

Einige Leute hatten lange Passwörter,
die nicht wirklich stark waren.
8:33 - 8:37

Man kann lange Passwörter erstellen,
die trotzdem von der Art sind,
8:37 - 8:39

die ein Angreifer leicht erraten kann.
8:39 - 8:42

Wir müssen also mehr tun als
nur "lange Passwörter" zu sagen.
8:42 - 8:44

Es gibt weitere Anforderungen,
8:44 - 8:47

und ein Teil unserer laufenden
Forschung untersucht,
8:47 - 8:50

welche weiteren Anforderungen
wir hinzufügen sollten,
8:50 - 8:52

um für sichere Passwörter zu sorgen,
8:52 - 8:56

die für die Menschen auch einfach
zu merken und zu tippen sind.
8:56 - 8:58

Um Leute zu stärkeren Passwörtern
zu bewegen,
8:58 - 9:01

könnte man als weiteren Ansatz
ein Passwort-Messgerät nutzen.
9:01 - 9:02

Hier ein paar Beispiele.
9:02 - 9:05

Vielleicht kennen Sie sie
aus dem Internet,
9:05 - 9:07

wenn Sie Passwörter erstellt haben.
9:07 - 9:09

Wir entschieden mit
einer Studie herauszufinden,
9:09 - 9:12

ob diese Passwort-Messgeräte
wirklich funktionieren.
9:12 - 9:15

Helfen Sie Menschen wirklich,
stärkere Passwörter zu finden,
9:15 - 9:17

und wenn ja, welche sind besser?
9:17 - 9:19

Also testeten wir Passwort-Checker,
9:19 - 9:22

die verschiedene Größen,
Formen, Farben hatten,
9:22 - 9:23

mit verschiedenen Worten daneben.
9:23 - 9:26

Wir testeten sogar einen,
der ein tanzender Hase war.
9:26 - 9:28

Wenn man ein besseres Passwort eintippt,
9:28 - 9:30

tanzt der Hase immer schneller.
9:31 - 9:33

Das war sehr lustig.
9:33 - 9:34

Wir fanden heraus,
9:34 - 9:38

dass Passwortstärke-
Anzeiger funktionieren.
9:38 - 9:40

(Gelächter)
9:40 - 9:43

Die meisten Passwort-Messer
waren tatsächlich effektiv.
9:43 - 9:46

Auch der tanzende Hase war sehr effektiv.
9:46 - 9:49

Aber die effektivsten
Passwort-Messer waren die,
9:49 - 9:51

die einen härter arbeiten ließen,
9:51 - 9:54

bis sie zustimmten und sagten,
dass man es gut gemacht hatte.
9:54 - 9:56

Wir stellten aber fest,
9:56 - 9:59

die meisten heute im Internet verfügbaren
Passwort-Messer sind zu leicht.
9:59 - 10:01

Sie sagen einem zu früh,
dass man es gut macht.
10:01 - 10:06

Würden sie nur ein bisschen mehr warten,
bevor sie eine positive Rückmeldung geben,
10:06 - 10:08

hätte man vermutlich bessere Passwörter.
10:09 - 10:13

Eine andere Methode für
bessere Passwörter ist vielleicht,
10:13 - 10:15

Merksätze statt Passwörter zu nutzen.
10:15 - 10:18

Das war ein xkcd-Comic
von vor einigen Jahren,
10:18 - 10:22

und der Zeichner schlägt vor,
dass wir alle Merksätze nutzen sollten.
10:22 - 10:26

Wenn man sich die zweite
Reihe des Comics ansieht,
10:26 - 10:28

sieht man wie der Zeichner vorschlägt,
10:28 - 10:31

dass der Merksatz
"Correct horse battery staple"
10:31 - 10:35

ein sehr starker Merksatz wäre
und sehr einfach zu merken ist.
10:35 - 10:38

Er sagt, dass Sie ihn sich
gerade schon gemerkt haben.
10:38 - 10:40

Wir beschlossen eine
Forschungsstudie zu machen,
10:40 - 10:43

um herauszufinden, ob es stimmte.
10:43 - 10:47

Jeder, dem ich erzählte,
dass ich eine Passwort-Studie machte,
10:47 - 10:48

verwies auf diesen Comic.
10:48 - 10:50

"Hast du das gesehen? Von xkcd.
10:50 - 10:51

Correct horse battery staple."
10:51 - 10:54

In einer Forschungsstudie
wollten wir sehen,
10:54 - 10:55

was wirklich passieren würde.
10:55 - 10:59

In unsere Studie nutzten
wir wieder Mechanical Turk,
10:59 - 11:04

und ließen den Computer
zufällige Wörter im Merksatz auswählen.
11:04 - 11:06

Wir machten das daher,
weil Menschen nicht gut darin sind,
11:06 - 11:08

zufällige Wörter auszuwählen.
11:08 - 11:10

Würden wir Menschen darum bitten,
11:10 - 11:12

würden sie nicht sehr
zufällige Dinge auswählen.
11:12 - 11:14

Wir testeten daher
verschiedene Bedingungen,
11:14 - 11:17

unter einer Bedingung wählte
der Rechner aus einem Wörterbuch
11:17 - 11:20

sehr gängige Wörter
aus dem Englischen aus.
11:20 - 11:22

So erhielt man Merksätze wie
11:22 - 11:24

"[Versuch dort drei kommen]."
11:24 - 11:25

Wir schauten das an und sagten:
11:25 - 11:28

"Das scheint nicht sehr einprägsam."
11:28 - 11:30

Dann versuchten wir Worte auszuwählen,
11:30 - 11:33

die aus bestimmten Teilen
der Sprache stammen,
11:33 - 11:35

z. B. Nomen-Verb-Adjektiv-Nomen.
11:35 - 11:38

Dann kommt man zu einer Art Satz.
11:38 - 11:40

Man erhält dann einen Merksatz wie:
11:40 - 11:41

"[Plan baut sicher Kraft]"
11:41 - 11:44

oder "[Ende bestimmt rote Droge]".
11:44 - 11:47

Diese erschienen etwas einprägsamer,
11:47 - 11:49

und vielleicht hätten Menschen
sie ein bisschen lieber.
11:49 - 11:52

Wir wollten sie mit
Passwörtern vergleichen,
11:52 - 11:55

daher ließen wir den Rechner
zufällige Wörter auswählen,
11:55 - 11:57

diese waren nett und kurz,
aber wie man sieht,
11:57 - 12:00

sehen sie nicht sehr einprägsam aus.
12:00 - 12:01

Dann probierten wir etwas aus,
12:01 - 12:03

"aussprechbares Passwort" genannt.
12:03 - 12:07

Hier wählt der Rechner zufällig Silben aus
und fügt sie zusammen,
12:07 - 12:09

dadurch erhält man etwas Aussprechbares
12:09 - 12:12

wie "tufritvi" und "vadasabi".
12:12 - 12:14

Das geht leicht von den Lippen.
12:14 - 12:16

Das sind zufällige Passwörter,
12:16 - 12:19

die vom Computer erzeugt wurden.
12:19 - 12:22

Wir fanden in der Studie
etwas Überraschendes heraus:
12:22 - 12:25

Merksätze waren gar nicht so gut.
12:25 - 12:28

Die Leute konnte sich die Merksätze
12:28 - 12:32

kaum besser merken
als zufällige Passwörter.
12:32 - 12:35

Da Merksätze länger sind,
tippten sie länger,
12:35 - 12:38

und beim Eintippen entstanden mehr Fehler.
12:38 - 12:41

Es gibt also keinen klaren
Sieg für Merksätze.
12:41 - 12:44

Tut mir leid, ihr xkcd-Fans.
12:45 - 12:46

Andererseits fanden wir heraus,
12:46 - 12:50

dass aussprechbare Passwörter
sehr gut funktionierten.
12:50 - 12:52

Daher erforschen wir gerade,
12:52 - 12:55

ob wir diesen Ansatz
noch verbessern können.
12:56 - 12:59

Eins der Probleme mit den
von uns durchgeführten Studien war,
12:59 - 13:02

dass sie alle mit
Mechanical Turk gemacht wurden.
13:02 - 13:04

Das sind keine echten Passwörter.
13:04 - 13:06

Das sind Passwörter,
die sie erstellt haben
13:06 - 13:09

oder die der Rechner für sie
für die Studie erzeugt hat.
13:09 - 13:12

Wir wollten wissen, ob Menschen
sich bei ihren echten Passwörtern
13:12 - 13:14

wirklich genauso verhalten würden.
13:14 - 13:16

Wir sprachen daher mit
13:16 - 13:19

den Informationssicherheitsbeauftragten
an der Carnegie Mellon
13:19 - 13:22

und baten sie, die echten Passwörter
von allen zu bekommen.
13:22 - 13:25

Kein Wunder, dass sie etwas zögerten,
sie mit uns zu teilen,
13:25 - 13:28

aber wir erarbeiteten
mit ihnen ein System,
13:28 - 13:30

wo sie alle echten Passwörter
13:30 - 13:33

für 25 000 CMU-Studenten,
-Dozenten und -Mitarbeiter
13:33 - 13:36

in einen gesicherten Rechner
in einem gesicherten Raum eingaben,
13:36 - 13:37

ohne Verbindung zum Internet,
13:37 - 13:40

und sie führten eine Code aus,
den wir schrieben,
13:40 - 13:41

um diese Passwörter zu analysieren.
13:41 - 13:43

Sie prüften unseren Code.
13:43 - 13:44

Sie führten den Code aus.
13:44 - 13:48

Wir sahen also tatsächlich
von niemandem das Passwort.
13:48 - 13:50

Wir erhielten interessante Ergebnisse,
13:50 - 13:52

und alle Tepper-Studenten
in den hinteren Reihen
13:52 - 13:55

wird das sehr interessieren.
13:55 - 14:00

Wir stellten fest, dass die von
Angestellten der Informatik-Fakultät
14:00 - 14:03

erstellten Passwörter
1,8-mal stärker waren,
14:03 - 14:06

als die der Angestellten
der Fakultät für Wirtschaft.
14:07 - 14:11

Wir haben auch noch einige andere
interessante demografische Informationen.
14:11 - 14:13

Es war interessant zu sehen,
14:13 - 14:15

dass, als wir die
Carnegie-Mellon-Passwörter
14:15 - 14:18

mit denen von Mechanical Turk
generierten Passwörtern verglichen,
14:18 - 14:20

es viele Parallelen gab.
14:20 - 14:22

Dies half dabei, unsere
Forschungsmethode zu bestätigen
14:23 - 14:25

und zu zeigen, dass
Sammeln von Passwörtern
14:25 - 14:26

mit den Mechanical-Turk-Studien
14:26 - 14:29

eine gültige Weise war,
Passwörter zu untersuchen.
14:29 - 14:31

Das sind also gute Neuigkeiten.
14:31 - 14:35

Zum Schluss möchte ich noch
über ein paar Erkenntnisse sprechen,
14:35 - 14:37

die ich während
des Sabbatical letztes Jahr
14:37 - 14:40

an der Carnegie Mellon-
Kunsthochschule gewann.
14:40 - 14:42

Ich machte unter anderem
eine Anzahl von Quilts,
14:42 - 14:43

und ich machte diesen Quilt hier.
14:43 - 14:45

Er nennt sich "Sicherheitspolster".
14:45 - 14:48

(Gelächter)
14:48 - 14:53

Dieser Quilt zeigt die 1000
gängigsten gestohlenen Passwörter
14:53 - 14:56

von der RockYou-Website.
14:56 - 15:00

Die Größe eines Passworts ist proportional
zur Häufigkeit seines Auftretens
15:00 - 15:02

im gestohlenen Datensatz.
15:02 - 15:05

Ich schuf diese Wortwolke,
15:05 - 15:07

ich ging alle 1000 Wörter durch
15:07 - 15:11

und teilte sie in lose
thematische Kategorien ein.
15:11 - 15:15

Und manchmal war es
ziemlich schwierig herauszufinden,
15:15 - 15:18

in welcher Kategorie sie sein sollten,
und kodierte sie nach Farbe.
15:18 - 15:21

Hier sind ein paar Beispiele
für die Schwierigkeit.
15:21 - 15:22

Etwa "Justin".
15:22 - 15:25

Ist das der Name des Nutzers,
des Freundes, des Sohns?
15:25 - 15:28

Vielleicht sind sie nur eine Bieber-Fan.
15:29 - 15:30

Oder "Prinzessin".
15:30 - 15:32

Ist das eine Spitzname?
15:32 - 15:34

Oder sind sie Disney-Prinzessinnen-Fans?
15:34 - 15:37

Oder vielleicht ist
das der Name ihrer Katze.
15:37 - 15:41

"iloveyou" erscheint häufig
in vielen verschiedenen Sprachen.
15:41 - 15:44

Es gibt viel Liebe in diesen Passwörtern.
15:44 - 15:48

Wenn man genau hinsieht,
sieht man auch Alltägliches.
15:48 - 15:51

Aber für mich war es
wirklich interessant zu sehen,
15:51 - 15:55

dass in den Passwörtern
viel mehr Liebe als Hass steckt.
15:55 - 15:57

Es gibt auch viele Tiere.
15:58 - 16:00

"Affe" ist das häufigste Tier
16:00 - 16:03

und das am 14. beliebteste
Passwort überhaupt.
16:03 - 16:06

Das war sehr seltsam für mich,
16:06 - 16:09

und ich fragte mich:
"Warum sind Affen so beliebt?"
16:09 - 16:12

In unserer letzten Passwort-Studie
16:12 - 16:14

fragten wir immer,
wenn wir jemanden fanden,
16:14 - 16:16

der ein Passwort mit
dem Wort "Affe" anlegte,
16:16 - 16:19

warum sie Affe im Passwort hatten.
16:19 - 16:21

Und wir fanden heraus --
16:21 - 16:24

wir fanden bisher 17 Menschen,
die das Wort "Affe" nutzen --
16:24 - 16:28

dass ein Drittel von ihnen
ein Haustier namens "Affe" hätten,
16:28 - 16:30

oder einen Freund,
dessen Spitzname "Affe" war.
16:30 - 16:32

Und ein Drittel von ihnen sagte,
16:32 - 16:35

dass sie Affen einfach mögen
und Affen wirklich süß sind.
16:35 - 16:38

Dieser Affe ist wirklich süß.
16:39 - 16:42

Letztendlich scheint es so,
16:42 - 16:44

wenn wir Passwörter erstellen,
16:44 - 16:49

nehmen wir etwas wirklich Einfaches
zum Tippen, ein gängiges Muster,
16:49 - 16:51

oder Dinge, die uns an
das Wort Passwort erinnern,
16:51 - 16:55

oder an das Konto, für das wir
das Passwort erstellt haben,
16:55 - 16:56

oder so etwas.
16:57 - 17:00

Oder wir denken an Dinge,
die uns glücklich machen,
17:00 - 17:01

und wir nehmen ein Passwort,
17:01 - 17:04

basierend auf Dingen,
die uns glücklich machen.
17:04 - 17:09

Obwohl dadurch das Tippen und Erinnern
Ihres Passwort mehr Spaß macht,
17:09 - 17:13

erleichtert es auch sehr,
Ihr Passwort zu erraten.
17:13 - 17:16

Ich weiß, dass viele
der TEDTalks inspirierend sind
17:16 - 17:18

und einen an nette,
fröhliche Dinge denken lassen,
17:18 - 17:22

aber wenn Sie Passwort erstellen,
versuchen Sie an etwas anderes zu denken.
17:22 - 17:24

Danke.

Title:: Was stimmt nicht mit Ihrem Pa$$w0rt?
Speaker:: Lorrie Faith Cranor
Description:: Lorrie Faith Cranor untersuchte Tausende echter Passwörter, um überraschend verbreitete Fehler herauszufinden, die Nutzer – und "Secure Sites" – machen, die Sicherheit gefährden. Wie, werden Sie sich fragen, untersuchte sie Tausende von echten Passwörtern, ohne selbst die Sicherheit von Nutzern zu gefährden? Das ist eine Geschichte für sich. Das sind wissenswerte, geheime Daten, besonders wenn Ihr Passwort 123456 ist ...

more » « less
Video Language:: English
Team:: closed TED
Project:: TEDTalks
Duration:: 17:41

	Helene Batt approved German subtitles for What’s wrong with your pa$$w0rd?
	Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd?
	Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd?
	Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd?
	Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd?
	Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd?
	Nadine Hennig accepted German subtitles for What’s wrong with your pa$$w0rd?
	Nadine Hennig edited German subtitles for What’s wrong with your pa$$w0rd?

Show all

German subtitles

Revisions

Revision 16 Edited

Helene Batt

Was stimmt nicht mit Ihrem Pa$$w0rt?

Revisions

Our website uses cookies

Operating cookies (Required)