Was stimmt nicht mit Ihrem Pa$$w0rt?
-
0:00 - 0:03Ich bin Professorin
für Technische Informatik -
0:03 - 0:04hier an der Carnegie Mellon,
-
0:04 - 0:08und meine Forschung konzentriert sich
auf nützlichen Datenschutz. -
0:08 - 0:11Daher geben meine Freunde
mir gerne Beispiele -
0:11 - 0:13für ihren Frust mit Rechnersystemen,
-
0:13 - 0:18vor allem in Bezug auf
unbrauchbaren Datenschutz. -
0:21 - 0:23Ich höre viel über Passwörter.
-
0:23 - 0:26Viele Menschen sind
von Passwörtern genervt, -
0:26 - 0:28und das ist schlimm genug,
-
0:28 - 0:31wenn man ein wirklich
gutes Passwort braucht, -
0:31 - 0:32das man sich merken kann,
-
0:32 - 0:35aber das niemand anders erraten soll.
-
0:35 - 0:39Was macht man, wenn man Konten
auf hundert verschiedenen Systemen hat -
0:39 - 0:43und ein individuelles Passwort
für jedes dieser Systeme haben sollte? -
0:44 - 0:46Das ist schwer.
-
0:46 - 0:49An der Carnegie Mellon machten sie
es uns ziemlich einfach, -
0:49 - 0:51uns unsere Passwörter zu merken.
-
0:51 - 0:53Bis 2009 war die Anforderung
an ein Passwort nur, -
0:53 - 0:56dass man ein Passwort brauchte
-
0:56 - 0:58mit mindestens einem Zeichen.
-
0:58 - 0:59Ziemlich einfach.
-
0:59 - 1:04Aber dann änderten sie es,
und Ende 2009 gaben sie bekannt, -
1:04 - 1:06dass sie eine neue Richtlinie bekämen,
-
1:06 - 1:08und die neue Richtlinie verlangte,
-
1:08 - 1:10dass Passwörter mindestens
8 Zeichen lang sein mussten. -
1:11 - 1:14mit einem Groß-, einem Kleinbuchstaben,
einer Zahl und einem Symbol. -
1:14 - 1:17Man durfte dieselben Zeichen
nicht mehr als 3-mal nutzen, -
1:17 - 1:19und es durfte kein Wort
aus dem Wörterbuch sein. -
1:19 - 1:21Als sie die Richtlinie umsetzten,
-
1:21 - 1:23kamen viele Leute,
meine Kollegen und Freunde, -
1:23 - 1:25auf mich zu und sagten:
-
1:25 - 1:26"Wow, das ist wirklich unnütz.
-
1:26 - 1:29Warum machen sie das mit uns?
Warum hast du sie nicht gestoppt?" -
1:29 - 1:32Und ich sagte: "Weißt du was?
Sie haben mich nicht gefragt." -
1:32 - 1:35Aber ich wurde neugierig und entschied,
-
1:35 - 1:38mit den Verantwortlichen
für unsere Computersysteme zu reden -
1:38 - 1:40und herauszufinden,
was sie veranlasst hatte, -
1:41 - 1:42die neue Richtlinie einzuführen.
-
1:42 - 1:44Sie meinten, die Universität
-
1:44 - 1:46wäre einem Universitäts--
Verbund beigetreten, -
1:46 - 1:49und eine der Anforderungen
an die Mitgliedschaft war, -
1:49 - 1:51dass wir sichere Passwörter brauchten,
-
1:51 - 1:53die den neuen Anforderungen entsprachen.
-
1:53 - 1:55Die neuen Vorgaben besagten,
-
1:55 - 1:57unsere Passwörter müssten
mehr Entropie haben. -
1:57 - 1:59Entropie ist ein komplizierter Begriff,
-
1:59 - 2:02aber im Wesentlichen misst er
die Stärke von Passwörtern. -
2:02 - 2:06Es ist nur so, dass es tatsächlich
kein Richtmaß für Entropie gibt. -
2:06 - 2:09Das Nationale Institut für
Standards und Technologie -
2:09 - 2:13hat eine Reihe von Richtlinien
mit einigen Faustregeln, -
2:13 - 2:14um Entropie zu messen.
-
2:14 - 2:17Aber es gibt nichts wirklich Konkretes.
-
2:17 - 2:20Der Grund, warum sie
nur Faustregeln haben, -
2:20 - 2:24liegt an der fehlenden guten
Datenlage über Passwörter. -
2:24 - 2:26In ihrem Bericht heißt es sogar:
-
2:26 - 2:28"Leider haben wir kaum Daten
-
2:28 - 2:32zu den von Nutzern unter bestimmten
Bedingungen gewählten Passwörtern. -
2:32 - 2:34Das NIST würde gerne mehr Daten gewinnen,
-
2:34 - 2:36über die von Nutzern gewählten Passwörter,
-
2:36 - 2:39aber Systemadministratoren
zögern verständlicherweise, -
2:39 - 2:42anderen die Passwörter offenzulegen."
-
2:42 - 2:44Das ist also ein Problem,
-
2:44 - 2:47aber unsere Forschungsgruppe
sah es als Chance. -
2:47 - 2:50Wir sagten: "Es gibt einen Bedarf
für gute Passwort-Daten. -
2:50 - 2:53Vielleicht können wir
gute Passwort-Daten sammeln -
2:53 - 2:55und den Stand den Technik verbessern."
-
2:55 - 2:58Als Erstes besorgten wir uns
eine Tüte Schokoriegel, -
2:58 - 3:00liefen über den Campus,
-
3:00 - 3:03sprachen mit Studenten,
Dozenten und Mitarbeitern, -
3:03 - 3:06und fragten sie nach Informationen
zu ihren Passwörtern. -
3:06 - 3:08Wir sagten aber nicht:
"Geben Sie uns Ihr Passwort." -
3:08 - 3:11Nein, wir fragten sie etwas
über ihr Passwort. -
3:11 - 3:12Wie lang ist es?
-
3:12 - 3:14Hat es eine Zahl, ein Symbol?
-
3:14 - 3:18Waren sie verärgert als sie letzte Woche
ein neues erstellen mussten? -
3:18 - 3:20Wir erhielten Ergebnisse
-
3:20 - 3:22von 470 Studenten,
Dozenten und Mitarbeiter, -
3:22 - 3:25und wir konnten bestätigen,
dass die neue Richtlinie -
3:25 - 3:26wirklich nervig war,
-
3:26 - 3:28aber wir stellten auch fest,
-
3:28 - 3:31dass Leute sich mit den neuen
Passwörtern sicherer fühlten. -
3:31 - 3:33Wir erfuhren, dass die
meisten Leute wissen, -
3:33 - 3:36dass sie ihr Passwort
nicht aufschreiben sollten, -
3:36 - 3:38nur 13 % davon machten das,
-
3:38 - 3:40aber verstörende 80 % der Menschen sagten,
-
3:40 - 3:43dass sie ihr Passwort wieder verwendeten.
-
3:43 - 3:47Das ist aber sogar viel gefährlicher
als sein Passwort aufzuschreiben, -
3:47 - 3:50denn es macht es
für Angreifer viel anfälliger. -
3:50 - 3:52Wenn Sie müssen,
-
3:52 - 3:55schreiben Sie Ihr Passwort auf,
aber benutzen Sie es nicht wieder. -
3:55 - 3:57Wir fanden auch interessante Dinge
-
3:57 - 4:00über die in Passwörtern
verwendeten Symbole heraus. -
4:00 - 4:02Die CMU erlaubt 32 mögliche Symbole,
-
4:02 - 4:05aber wie man sieht,
wird nur ein kleiner Anteil -
4:05 - 4:07von den Menschen genutzt.
-
4:07 - 4:10Daher tragen die Symbole
in unseren Passwörtern -
4:10 - 4:12nicht viel zur Stärke bei.
-
4:12 - 4:15Das war also eine wirklich
interessante Studie, -
4:15 - 4:17und jetzt hatten wir
Daten von 470 Personen, -
4:17 - 4:21aber im Großen und Ganzen,
sind das nicht viele Passwort-Daten. -
4:21 - 4:23Daher sahen wir uns danach um,
-
4:23 - 4:25wo wir weitere Passwort-
Daten finden konnten. -
4:25 - 4:29Es zeigt sich, dass viele Leute
Passwörter stehlen, -
4:29 - 4:33und sie stellen diese Passwörter
dann oft ins Internet. -
4:33 - 4:35Wir erlangten Zugang
-
4:35 - 4:38zu einigen der gestohlenen
Passworteinstellungen. -
4:39 - 4:42Das ist immer noch nicht
ideal für die Erforschung, -
4:42 - 4:45denn es ist nicht völlig klar,
woher all die Passwörter kamen -
4:45 - 4:50oder welche Richtlinien galten,
als die Leute diese Passwörter erstellten. -
4:50 - 4:53Wir wollten daher eine
bessere Datenquelle finden. -
4:53 - 4:56Wir entschieden eine Studie zu machen
-
4:56 - 5:00und Menschen für unsere Studie
Passwörter erstellen zu lassen. -
5:00 - 5:03Wir nutzten einen Service namens
"Amazon Mechanical Turk". -
5:03 - 5:07Bei diesem Service kann man
eine kleine Aufgabe online einstellen, -
5:07 - 5:10für die man ca. 1 Minute,
einige Minuten, eine Stunde braucht, -
5:10 - 5:12und Leuten Cents oder
ein paar Dollar zahlt, -
5:12 - 5:14damit sie eine Aufgabe
für einen zu erledigen. -
5:14 - 5:16Man bezahlt über Amazon.com.
-
5:16 - 5:18Wir zahlten Leuten etwa 50 Cents,
-
5:18 - 5:20um ein Passwort nach
unseren Regeln zu erstellen -
5:20 - 5:22und eine Umfrage zu beantworten.
-
5:22 - 5:26Dann bezahlten wir sie erneut,
um sich 2 Tage später wieder einzuloggen, -
5:26 - 5:29mit ihrem Passwort, und eine
andere Umfrage zu beantworten. -
5:29 - 5:32Wir machten das und
sammelten 5000 Passwörter. -
5:33 - 5:36Wir gaben den Leuten eine Menge
verschiedener Richtlinien, -
5:36 - 5:37um Passwörter zu erstellen.
-
5:37 - 5:40Manche hatten eine
recht leichte Richtlinie, -
5:40 - 5:41wir nennen sie "Basic8".
-
5:41 - 5:43Die einzige Regel war hier,
-
5:43 - 5:46dass das Passwort mindestens
8 Zeichen haben muss. -
5:46 - 5:49Einige bekamen
eine viel strengere Richtlinie, -
5:49 - 5:51ganz ähnlich wie die CMU-Richtlinie,
-
5:51 - 5:53bei der man 8 Zeichen brauchte,
-
5:53 - 5:56die Groß-, Kleinbuchstabe,
Zahl, Symbol beinhalten, -
5:56 - 5:58und einen Wörterbuch-Test
bestehen mussten. -
5:58 - 5:59Eine andere getestete Richtlinie,
-
5:59 - 6:03und es gab noch jede Menge,
war eine namens "Basic16". -
6:03 - 6:05Die einzige Anforderung hier war,
-
6:05 - 6:09dass das Passwort mindestens
16 Zeichen haben musste. -
6:09 - 6:11Gut, wir hatten jetzt 5000 Passwörter
-
6:11 - 6:15und damit hatten wir
viel genauere Informationen. -
6:15 - 6:18Wieder sahen wir, dass nur
eine kleine Anzahl von Symbolen -
6:18 - 6:21für die Passwörter genutzt wurde.
-
6:21 - 6:25Wir wollten eine Vorstellung
von der Stärke der Passwörter bekommen, -
6:25 - 6:27die die Leuten erstellten.
-
6:27 - 6:28Aber wie Sie vielleicht erinnern,
-
6:28 - 6:31gibt es keine gute Maßeinheit
für Passwort-Stärke. -
6:31 - 6:33Wir beschlossen zu schauen,
wie lange es dauert, -
6:33 - 6:35bis wir die Passwörter knacken würden,
-
6:35 - 6:39unter Verwendung der besten Knack-Tools,
die die bösen Jungs nutzen, -
6:39 - 6:43oder über die wir Informationen
in der Forschungsliteratur fanden. -
6:43 - 6:47Hier zeige ich Ihnen, wie böse Jungs
Passwörter knacken. -
6:47 - 6:49Sie klauen eine Passwort-Datei,
-
6:49 - 6:53mit allen Passwörter
in verschlüsselter Form, -
6:53 - 6:54"Hash" genannt.
-
6:54 - 6:58Sie raten dann,
was ein Passwort sein könnte, -
6:58 - 7:00lassen es durch eine Hash-Funktion laufen
-
7:00 - 7:02und schauen, ob es zu den Passwörtern
-
7:02 - 7:05auf der Liste gestohlener
Passwörter passt. -
7:06 - 7:09Ein dummer Angreifer wird jedes
Passwort nacheinander versuchen. -
7:09 - 7:13Sie fangen mit "AAAAA" an
und machen mit "AAAAB" weiter, -
7:13 - 7:17und es dauert ziemlich lange,
bis sie irgendein Passwort finden, -
7:17 - 7:19dass Leute wirklich benutzen.
-
7:19 - 7:23Ein schlauer Angreifer andererseits
macht etwas viel Klügeres. -
7:23 - 7:26Sie schauen sich die Passwörter an,
die bekanntermaßen beliebt sind, -
7:27 - 7:28aus den gestohlenen Passwörtern,
-
7:28 - 7:30und erraten diese zuerst.
-
7:30 - 7:32Sie tippen also erst auf "Passwort",
-
7:32 - 7:34dann tippen sie auf
"Ich liebe dich" und "Affe" -
7:34 - 7:37und "12345678",
-
7:37 - 7:40denn diese Passwörter
nutzen die meisten Leute. -
7:40 - 7:43Wahrscheinlich haben einige
von Ihnen diese Passwörter. -
7:45 - 7:46Wir fanden also heraus,
-
7:46 - 7:50indem wir all diese 5000
Passwörter sammelten -
7:50 - 7:54und testeten, wie stark sie waren,
-
7:54 - 7:58erkannten wir, dass lange Passwörter
ziemlich stark waren. -
7:58 - 8:01Komplexe Passwörter
waren auch ziemlich stark. -
8:01 - 8:04Aber wenn wir uns
die Umfrage-Daten ansahen, -
8:04 - 8:07sahen wir, dass viele
wirklich frustriert waren -
8:07 - 8:09von den sehr komplexen Passwörtern.
-
8:09 - 8:12Lange Passwörter waren viel brauchbarer
-
8:12 - 8:16und manchmal waren sie sogar
stärker als komplexe Passwörter. -
8:16 - 8:17Das legt also nahe,
-
8:17 - 8:20dass es statt den Leuten zu sagen,
sie sollten Symbole, Zahlen -
8:20 - 8:23und anderes Zeug in ihren
Passwörtern verwenden, -
8:23 - 8:25wohlmöglich besser wäre zu sagen,
-
8:25 - 8:28man sollte lange Passwörter haben.
-
8:28 - 8:30Es gibt aber ein Problem:
-
8:30 - 8:33Einige Leute hatten lange Passwörter,
die nicht wirklich stark waren. -
8:33 - 8:37Man kann lange Passwörter erstellen,
die trotzdem von der Art sind, -
8:37 - 8:39die ein Angreifer leicht erraten kann.
-
8:39 - 8:42Wir müssen also mehr tun als
nur "lange Passwörter" zu sagen. -
8:42 - 8:44Es gibt weitere Anforderungen,
-
8:44 - 8:47und ein Teil unserer laufenden
Forschung untersucht, -
8:47 - 8:50welche weiteren Anforderungen
wir hinzufügen sollten, -
8:50 - 8:52um für sichere Passwörter zu sorgen,
-
8:52 - 8:56die für die Menschen auch einfach
zu merken und zu tippen sind. -
8:56 - 8:58Um Leute zu stärkeren Passwörtern
zu bewegen, -
8:58 - 9:01könnte man als weiteren Ansatz
ein Passwort-Messgerät nutzen. -
9:01 - 9:02Hier ein paar Beispiele.
-
9:02 - 9:05Vielleicht kennen Sie sie
aus dem Internet, -
9:05 - 9:07wenn Sie Passwörter erstellt haben.
-
9:07 - 9:09Wir entschieden mit
einer Studie herauszufinden, -
9:09 - 9:12ob diese Passwort-Messgeräte
wirklich funktionieren. -
9:12 - 9:15Helfen Sie Menschen wirklich,
stärkere Passwörter zu finden, -
9:15 - 9:17und wenn ja, welche sind besser?
-
9:17 - 9:19Also testeten wir Passwort-Checker,
-
9:19 - 9:22die verschiedene Größen,
Formen, Farben hatten, -
9:22 - 9:23mit verschiedenen Worten daneben.
-
9:23 - 9:26Wir testeten sogar einen,
der ein tanzender Hase war. -
9:26 - 9:28Wenn man ein besseres Passwort eintippt,
-
9:28 - 9:30tanzt der Hase immer schneller.
-
9:31 - 9:33Das war sehr lustig.
-
9:33 - 9:34Wir fanden heraus,
-
9:34 - 9:38dass Passwortstärke-
Anzeiger funktionieren. -
9:38 - 9:40(Gelächter)
-
9:40 - 9:43Die meisten Passwort-Messer
waren tatsächlich effektiv. -
9:43 - 9:46Auch der tanzende Hase war sehr effektiv.
-
9:46 - 9:49Aber die effektivsten
Passwort-Messer waren die, -
9:49 - 9:51die einen härter arbeiten ließen,
-
9:51 - 9:54bis sie zustimmten und sagten,
dass man es gut gemacht hatte. -
9:54 - 9:56Wir stellten aber fest,
-
9:56 - 9:59die meisten heute im Internet verfügbaren
Passwort-Messer sind zu leicht. -
9:59 - 10:01Sie sagen einem zu früh,
dass man es gut macht. -
10:01 - 10:06Würden sie nur ein bisschen mehr warten,
bevor sie eine positive Rückmeldung geben, -
10:06 - 10:08hätte man vermutlich bessere Passwörter.
-
10:09 - 10:13Eine andere Methode für
bessere Passwörter ist vielleicht, -
10:13 - 10:15Merksätze statt Passwörter zu nutzen.
-
10:15 - 10:18Das war ein xkcd-Comic
von vor einigen Jahren, -
10:18 - 10:22und der Zeichner schlägt vor,
dass wir alle Merksätze nutzen sollten. -
10:22 - 10:26Wenn man sich die zweite
Reihe des Comics ansieht, -
10:26 - 10:28sieht man wie der Zeichner vorschlägt,
-
10:28 - 10:31dass der Merksatz
"Correct horse battery staple" -
10:31 - 10:35ein sehr starker Merksatz wäre
und sehr einfach zu merken ist. -
10:35 - 10:38Er sagt, dass Sie ihn sich
gerade schon gemerkt haben. -
10:38 - 10:40Wir beschlossen eine
Forschungsstudie zu machen, -
10:40 - 10:43um herauszufinden, ob es stimmte.
-
10:43 - 10:47Jeder, dem ich erzählte,
dass ich eine Passwort-Studie machte, -
10:47 - 10:48verwies auf diesen Comic.
-
10:48 - 10:50"Hast du das gesehen? Von xkcd.
-
10:50 - 10:51Correct horse battery staple."
-
10:51 - 10:54In einer Forschungsstudie
wollten wir sehen, -
10:54 - 10:55was wirklich passieren würde.
-
10:55 - 10:59In unsere Studie nutzten
wir wieder Mechanical Turk, -
10:59 - 11:04und ließen den Computer
zufällige Wörter im Merksatz auswählen. -
11:04 - 11:06Wir machten das daher,
weil Menschen nicht gut darin sind, -
11:06 - 11:08zufällige Wörter auszuwählen.
-
11:08 - 11:10Würden wir Menschen darum bitten,
-
11:10 - 11:12würden sie nicht sehr
zufällige Dinge auswählen. -
11:12 - 11:14Wir testeten daher
verschiedene Bedingungen, -
11:14 - 11:17unter einer Bedingung wählte
der Rechner aus einem Wörterbuch -
11:17 - 11:20sehr gängige Wörter
aus dem Englischen aus. -
11:20 - 11:22So erhielt man Merksätze wie
-
11:22 - 11:24"[Versuch dort drei kommen]."
-
11:24 - 11:25Wir schauten das an und sagten:
-
11:25 - 11:28"Das scheint nicht sehr einprägsam."
-
11:28 - 11:30Dann versuchten wir Worte auszuwählen,
-
11:30 - 11:33die aus bestimmten Teilen
der Sprache stammen, -
11:33 - 11:35z. B. Nomen-Verb-Adjektiv-Nomen.
-
11:35 - 11:38Dann kommt man zu einer Art Satz.
-
11:38 - 11:40Man erhält dann einen Merksatz wie:
-
11:40 - 11:41"[Plan baut sicher Kraft]"
-
11:41 - 11:44oder "[Ende bestimmt rote Droge]".
-
11:44 - 11:47Diese erschienen etwas einprägsamer,
-
11:47 - 11:49und vielleicht hätten Menschen
sie ein bisschen lieber. -
11:49 - 11:52Wir wollten sie mit
Passwörtern vergleichen, -
11:52 - 11:55daher ließen wir den Rechner
zufällige Wörter auswählen, -
11:55 - 11:57diese waren nett und kurz,
aber wie man sieht, -
11:57 - 12:00sehen sie nicht sehr einprägsam aus.
-
12:00 - 12:01Dann probierten wir etwas aus,
-
12:01 - 12:03"aussprechbares Passwort" genannt.
-
12:03 - 12:07Hier wählt der Rechner zufällig Silben aus
und fügt sie zusammen, -
12:07 - 12:09dadurch erhält man etwas Aussprechbares
-
12:09 - 12:12wie "tufritvi" und "vadasabi".
-
12:12 - 12:14Das geht leicht von den Lippen.
-
12:14 - 12:16Das sind zufällige Passwörter,
-
12:16 - 12:19die vom Computer erzeugt wurden.
-
12:19 - 12:22Wir fanden in der Studie
etwas Überraschendes heraus: -
12:22 - 12:25Merksätze waren gar nicht so gut.
-
12:25 - 12:28Die Leute konnte sich die Merksätze
-
12:28 - 12:32kaum besser merken
als zufällige Passwörter. -
12:32 - 12:35Da Merksätze länger sind,
tippten sie länger, -
12:35 - 12:38und beim Eintippen entstanden mehr Fehler.
-
12:38 - 12:41Es gibt also keinen klaren
Sieg für Merksätze. -
12:41 - 12:44Tut mir leid, ihr xkcd-Fans.
-
12:45 - 12:46Andererseits fanden wir heraus,
-
12:46 - 12:50dass aussprechbare Passwörter
sehr gut funktionierten. -
12:50 - 12:52Daher erforschen wir gerade,
-
12:52 - 12:55ob wir diesen Ansatz
noch verbessern können. -
12:56 - 12:59Eins der Probleme mit den
von uns durchgeführten Studien war, -
12:59 - 13:02dass sie alle mit
Mechanical Turk gemacht wurden. -
13:02 - 13:04Das sind keine echten Passwörter.
-
13:04 - 13:06Das sind Passwörter,
die sie erstellt haben -
13:06 - 13:09oder die der Rechner für sie
für die Studie erzeugt hat. -
13:09 - 13:12Wir wollten wissen, ob Menschen
sich bei ihren echten Passwörtern -
13:12 - 13:14wirklich genauso verhalten würden.
-
13:14 - 13:16Wir sprachen daher mit
-
13:16 - 13:19den Informationssicherheitsbeauftragten
an der Carnegie Mellon -
13:19 - 13:22und baten sie, die echten Passwörter
von allen zu bekommen. -
13:22 - 13:25Kein Wunder, dass sie etwas zögerten,
sie mit uns zu teilen, -
13:25 - 13:28aber wir erarbeiteten
mit ihnen ein System, -
13:28 - 13:30wo sie alle echten Passwörter
-
13:30 - 13:33für 25 000 CMU-Studenten,
-Dozenten und -Mitarbeiter -
13:33 - 13:36in einen gesicherten Rechner
in einem gesicherten Raum eingaben, -
13:36 - 13:37ohne Verbindung zum Internet,
-
13:37 - 13:40und sie führten eine Code aus,
den wir schrieben, -
13:40 - 13:41um diese Passwörter zu analysieren.
-
13:41 - 13:43Sie prüften unseren Code.
-
13:43 - 13:44Sie führten den Code aus.
-
13:44 - 13:48Wir sahen also tatsächlich
von niemandem das Passwort. -
13:48 - 13:50Wir erhielten interessante Ergebnisse,
-
13:50 - 13:52und alle Tepper-Studenten
in den hinteren Reihen -
13:52 - 13:55wird das sehr interessieren.
-
13:55 - 14:00Wir stellten fest, dass die von
Angestellten der Informatik-Fakultät -
14:00 - 14:03erstellten Passwörter
1,8-mal stärker waren, -
14:03 - 14:06als die der Angestellten
der Fakultät für Wirtschaft. -
14:07 - 14:11Wir haben auch noch einige andere
interessante demografische Informationen. -
14:11 - 14:13Es war interessant zu sehen,
-
14:13 - 14:15dass, als wir die
Carnegie-Mellon-Passwörter -
14:15 - 14:18mit denen von Mechanical Turk
generierten Passwörtern verglichen, -
14:18 - 14:20es viele Parallelen gab.
-
14:20 - 14:22Dies half dabei, unsere
Forschungsmethode zu bestätigen -
14:23 - 14:25und zu zeigen, dass
Sammeln von Passwörtern -
14:25 - 14:26mit den Mechanical-Turk-Studien
-
14:26 - 14:29eine gültige Weise war,
Passwörter zu untersuchen. -
14:29 - 14:31Das sind also gute Neuigkeiten.
-
14:31 - 14:35Zum Schluss möchte ich noch
über ein paar Erkenntnisse sprechen, -
14:35 - 14:37die ich während
des Sabbatical letztes Jahr -
14:37 - 14:40an der Carnegie Mellon-
Kunsthochschule gewann. -
14:40 - 14:42Ich machte unter anderem
eine Anzahl von Quilts, -
14:42 - 14:43und ich machte diesen Quilt hier.
-
14:43 - 14:45Er nennt sich "Sicherheitspolster".
-
14:45 - 14:48(Gelächter)
-
14:48 - 14:53Dieser Quilt zeigt die 1000
gängigsten gestohlenen Passwörter -
14:53 - 14:56von der RockYou-Website.
-
14:56 - 15:00Die Größe eines Passworts ist proportional
zur Häufigkeit seines Auftretens -
15:00 - 15:02im gestohlenen Datensatz.
-
15:02 - 15:05Ich schuf diese Wortwolke,
-
15:05 - 15:07ich ging alle 1000 Wörter durch
-
15:07 - 15:11und teilte sie in lose
thematische Kategorien ein. -
15:11 - 15:15Und manchmal war es
ziemlich schwierig herauszufinden, -
15:15 - 15:18in welcher Kategorie sie sein sollten,
und kodierte sie nach Farbe. -
15:18 - 15:21Hier sind ein paar Beispiele
für die Schwierigkeit. -
15:21 - 15:22Etwa "Justin".
-
15:22 - 15:25Ist das der Name des Nutzers,
des Freundes, des Sohns? -
15:25 - 15:28Vielleicht sind sie nur eine Bieber-Fan.
-
15:29 - 15:30Oder "Prinzessin".
-
15:30 - 15:32Ist das eine Spitzname?
-
15:32 - 15:34Oder sind sie Disney-Prinzessinnen-Fans?
-
15:34 - 15:37Oder vielleicht ist
das der Name ihrer Katze. -
15:37 - 15:41"iloveyou" erscheint häufig
in vielen verschiedenen Sprachen. -
15:41 - 15:44Es gibt viel Liebe in diesen Passwörtern.
-
15:44 - 15:48Wenn man genau hinsieht,
sieht man auch Alltägliches. -
15:48 - 15:51Aber für mich war es
wirklich interessant zu sehen, -
15:51 - 15:55dass in den Passwörtern
viel mehr Liebe als Hass steckt. -
15:55 - 15:57Es gibt auch viele Tiere.
-
15:58 - 16:00"Affe" ist das häufigste Tier
-
16:00 - 16:03und das am 14. beliebteste
Passwort überhaupt. -
16:03 - 16:06Das war sehr seltsam für mich,
-
16:06 - 16:09und ich fragte mich:
"Warum sind Affen so beliebt?" -
16:09 - 16:12In unserer letzten Passwort-Studie
-
16:12 - 16:14fragten wir immer,
wenn wir jemanden fanden, -
16:14 - 16:16der ein Passwort mit
dem Wort "Affe" anlegte, -
16:16 - 16:19warum sie Affe im Passwort hatten.
-
16:19 - 16:21Und wir fanden heraus --
-
16:21 - 16:24wir fanden bisher 17 Menschen,
die das Wort "Affe" nutzen -- -
16:24 - 16:28dass ein Drittel von ihnen
ein Haustier namens "Affe" hätten, -
16:28 - 16:30oder einen Freund,
dessen Spitzname "Affe" war. -
16:30 - 16:32Und ein Drittel von ihnen sagte,
-
16:32 - 16:35dass sie Affen einfach mögen
und Affen wirklich süß sind. -
16:35 - 16:38Dieser Affe ist wirklich süß.
-
16:39 - 16:42Letztendlich scheint es so,
-
16:42 - 16:44wenn wir Passwörter erstellen,
-
16:44 - 16:49nehmen wir etwas wirklich Einfaches
zum Tippen, ein gängiges Muster, -
16:49 - 16:51oder Dinge, die uns an
das Wort Passwort erinnern, -
16:51 - 16:55oder an das Konto, für das wir
das Passwort erstellt haben, -
16:55 - 16:56oder so etwas.
-
16:57 - 17:00Oder wir denken an Dinge,
die uns glücklich machen, -
17:00 - 17:01und wir nehmen ein Passwort,
-
17:01 - 17:04basierend auf Dingen,
die uns glücklich machen. -
17:04 - 17:09Obwohl dadurch das Tippen und Erinnern
Ihres Passwort mehr Spaß macht, -
17:09 - 17:13erleichtert es auch sehr,
Ihr Passwort zu erraten. -
17:13 - 17:16Ich weiß, dass viele
der TEDTalks inspirierend sind -
17:16 - 17:18und einen an nette,
fröhliche Dinge denken lassen, -
17:18 - 17:22aber wenn Sie Passwort erstellen,
versuchen Sie an etwas anderes zu denken. -
17:22 - 17:24Danke.
- Title:
- Was stimmt nicht mit Ihrem Pa$$w0rt?
- Speaker:
- Lorrie Faith Cranor
- Description:
-
Lorrie Faith Cranor untersuchte Tausende echter Passwörter, um überraschend verbreitete Fehler herauszufinden, die Nutzer – und "Secure Sites" – machen, die Sicherheit gefährden. Wie, werden Sie sich fragen, untersuchte sie Tausende von echten Passwörtern, ohne selbst die Sicherheit von Nutzern zu gefährden? Das ist eine Geschichte für sich. Das sind wissenswerte, geheime Daten, besonders wenn Ihr Passwort 123456 ist ...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Helene Batt approved German subtitles for What’s wrong with your pa$$w0rd? | ||
Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd? | ||
Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd? | ||
Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd? | ||
Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd? | ||
Helene Batt edited German subtitles for What’s wrong with your pa$$w0rd? | ||
Nadine Hennig accepted German subtitles for What’s wrong with your pa$$w0rd? | ||
Nadine Hennig edited German subtitles for What’s wrong with your pa$$w0rd? |