¿Qué hay de malo en su c0ntr@señ@?

0:01 - 0:04

Soy profesora de ciencias de la computación
e ingeniería aquí en Carnegie Mellon,
0:04 - 0:08

y mi investigación se centra
en la privacidad y seguridad utilizable,
0:08 - 0:11

y por ello, a mis amigos
les gusta darme ejemplos
0:11 - 0:13

de sus frustraciones
con los sistemas informáticos,
0:13 - 0:17

especialmente de frustraciones
relacionados con
0:17 - 0:21

la privacidad y la seguridad inutilizable.
0:21 - 0:23

Así que he oído mucho
sobre contraseñas.
0:23 - 0:26

Muchas personas se sienten
frustradas con las contraseñas,
0:26 - 0:28

y es bastante lamentable
0:28 - 0:31

cuando uno debe tener
una contraseña muy buena
0:31 - 0:32

que pueda recordar
0:32 - 0:35

pero que nadie pueda adivinar.
0:35 - 0:37

Pero ¿qué hacer
cuando se tienen cuentas
0:37 - 0:39

en un centenar de diferentes sistemas
0:39 - 0:41

y que a su vez se supone que
deben ser contraseñas únicas
0:41 - 0:44

para cada uno de estos sistemas?
0:44 - 0:46

Es complejo.
0:46 - 0:48

En Carnegie Mellon solían hacerlo
0:48 - 0:49

bastante fácil
0:49 - 0:51

para que recordáramos
nuestras contraseñas.
0:51 - 0:53

El requisito hasta el 2009 para
las contraseñas era
0:53 - 0:56

que estas tuvieran
0:56 - 0:58

al menos un carácter.
0:58 - 1:01

Bastante fácil.
Pero luego cambiaron las cosas,
1:01 - 1:04

y al final del 2009 se anunció
1:04 - 1:06

que íbamos a tener una nueva política,
1:06 - 1:08

y esta nueva política precisaba
1:08 - 1:11

contraseñas que tuvieran
al menos 8 caracteres,
1:11 - 1:12

con una letra mayúscula,
letra minúscula,
1:12 - 1:14

un dígito y un símbolo.
1:14 - 1:16

No se podía utilizar
el mismo carácter más de tres veces,
1:16 - 1:19

y no podía aparecer en un diccionario.
1:19 - 1:21

Cuando implementaron
esta nueva política,
1:21 - 1:23

muchos de mis colegas y amigos,
1:23 - 1:25

me vinieron para decirme:
1:25 - 1:27

"Ahora sí que es
realmente inservible.
1:27 - 1:28

¿Por qué nos hacen esto
1:28 - 1:29

y por qué no los detuviste?"
1:29 - 1:31

Y yo dije: "¿Saben qué?
1:31 - 1:32

Nadie me preguntó".
1:32 - 1:36

Pero me picó la curiosidad
y decidí ir a hablar
1:36 - 1:38

con las personas a cargo de
nuestros sistemas informáticos
1:38 - 1:41

y averiguar qué les llevó a introducir
1:41 - 1:42

esta nueva política.
1:42 - 1:44

Y dijeron que la universidad
1:44 - 1:46

se había unido a un
consorcio de universidades,
1:46 - 1:49

y uno de los requisitos de membresía
1:49 - 1:51

era que debíamos tener
contraseñas más seguras
1:51 - 1:53

que cumpliesen algunos
nuevos requisitos,
1:53 - 1:56

y estos requisitos eran
que nuestras contraseñas
1:56 - 1:57

tenía que tener una
gran cantidad de entropía.
1:57 - 1:59

La entropía es un término complicado,
1:59 - 2:02

pero básicamente mide
la fuerza de las contraseñas.
2:02 - 2:04

Pero el tema es que eso no es en realidad
2:04 - 2:06

una medida estándar de entropía.
2:06 - 2:09

El Instituto Nacional
de Estándares y Tecnología
2:09 - 2:10

tiene un conjunto de directrices
2:10 - 2:13

con algunas reglas básicas
2:13 - 2:14

para medir la entropía,
2:14 - 2:17

pero no tienen nada muy específico,
2:17 - 2:19

y la razón por la que solo
tiene reglas básicas
2:19 - 2:23

es porque en realidad
no tienen buena información
2:23 - 2:24

sobre contraseñas.
2:24 - 2:26

De hecho, su informe señala,
2:26 - 2:29

"Desafortunadamente,
no tenemos mucha información
2:29 - 2:32

sobre las contraseñas que los usuarios
eligen bajo reglas particulares.
2:32 - 2:34

Al Instituto de estándares y tecnología (NIST)
le gustaría obtener más datos
2:34 - 2:36

sobre las contraseñas
escogidas por los usuarios,
2:36 - 2:39

pero los administradores de sistemas
son comprensiblemente reacios
2:39 - 2:42

a revelar datos de las
contraseñas a externos".
2:42 - 2:45

Esto es un problema,
pero nuestro grupo de investigación
2:45 - 2:47

lo vio como una oportunidad.
2:47 - 2:50

Dijimos: "Hay una necesidad de
tener buenos datos sobre contraseñas.
2:50 - 2:52

Tal vez podamos recoger
algunos buenos datos sobre contraseñas
2:52 - 2:55

y de hecho avanzar
el estado actual aquí".
2:55 - 2:57

Así que lo primero que hicimos fue
2:57 - 2:58

ir con una bolsa de caramelos
2:58 - 2:59

a dar una vuelta por el campus
2:59 - 3:02

para hablar con los estudiantes,
profesores y personal,
3:02 - 3:04

y pedirles información
3:04 - 3:05

sobre sus contraseñas.
3:05 - 3:08

No les decíamos:
"Danos tu contraseña".
3:08 - 3:11

Solo les preguntamos
acerca de su contraseña.
3:11 - 3:12

¿Cuánto tiempo hace que la tienes?
¿Tiene algún dígito?
3:12 - 3:13

¿Tiene un símbolo?
3:13 - 3:15

Y ¿te molestó tener que crear
3:15 - 3:18

una nueva la semana pasada?
3:18 - 3:21

Así que obtuvimos
resultados de 470 estudiantes,
3:21 - 3:22

personal docente y administrativo,
3:22 - 3:25

y de hecho se confirmó
que la nueva política
3:25 - 3:26

era muy molesta.
3:26 - 3:28

No obstante, también averiguamos que
3:28 - 3:31

se sentían más seguros
con estas nuevas contraseñas.
3:31 - 3:33

Averiguamos que
la mayoría de la gente sabía
3:33 - 3:36

que se suponía que no
debía anotar su contraseña,
3:36 - 3:38

y solo el 13 % lo hizo,
3:38 - 3:40

pero desconcertantemente, el 80 %
3:40 - 3:43

dijo que reutilizaban su contraseña.
3:43 - 3:44

Ahora, esto es en realidad más peligroso
3:44 - 3:46

que anotar la contraseña,
3:46 - 3:50

porque nos hace mucho
más vulnerables a los atacantes.
3:50 - 3:53

Así que si tienen que hacerlo,
anoten sus contraseñas,
3:53 - 3:55

pero no la reutilicen.
3:55 - 3:57

También averiguamos
algunas cosas interesantes
3:57 - 4:00

acerca de los símbolos que
las personas utilizan en las contraseñas.
4:00 - 4:02

Así CMU permite 32 posibles símbolos,
4:02 - 4:05

pero como pueden ver,
solo hay un pequeño número
4:05 - 4:07

que la mayoría de la gente utiliza,
4:07 - 4:10

así que no estamos consiguiendo
realmente mucha seguridad
4:10 - 4:12

con los símbolos
en nuestras contraseñas.
4:12 - 4:15

Así que fue un estudio muy interesante,
4:15 - 4:17

y ahora teníamos
los datos de 470 personas,
4:17 - 4:18

pero en la situación actual
4:18 - 4:21

esos no son realmente
muchos datos de contraseñas,
4:21 - 4:22

y así miramos a nuestro alrededor
para ver
4:22 - 4:25

dónde podríamos encontrar
datos adicionales de contraseñas.
4:25 - 4:27

Resulta que hay mucha gente
4:27 - 4:29

por ahí robando contraseñas
4:29 - 4:32

y a menudo las publican
4:32 - 4:33

en Internet.
4:33 - 4:35

Así que pudimos obtener acceso
4:35 - 4:39

a algunos de estos conjuntos
de contraseñas robadas.
4:39 - 4:41

Sin embargo, esto todavía no es
realmente ideal para una investigación,
4:41 - 4:43

porque no es del todo claro
4:43 - 4:45

de dónde proceden
todas estas contraseñas,
4:45 - 4:48

o qué políticas concretas
estaban en efecto
4:48 - 4:50

cuando las personas
crearon esas contraseñas.
4:50 - 4:53

Así es que queríamos encontrar
una mejor fuente de datos.
4:53 - 4:55

Decidimos qué una cosa
que podríamos hacer
4:55 - 4:57

era hacer un estudio
y que la gente
4:57 - 5:00

realmente creara contraseñas
para nuestro estudio.
5:00 - 5:03

Así que usamos un servicio llamado
Amazon Mechanical Turk,
5:03 - 5:05

que es un servicio para enviar
5:05 - 5:08

un pequeña tarea
que lleva un minuto,
5:08 - 5:09

unos minutos, una hora,
5:09 - 5:12

y paga a la gente un centavo,
diez centavos, unos dólares
5:12 - 5:13

por hacer la tarea por Ud.,
5:13 - 5:15

y después se les paga a
través de Amazon.com.
5:15 - 5:18

Así que pagamos a la
gente unos 50 centavos
5:18 - 5:20

por crear una contraseña
siguiendo nuestras reglas
5:20 - 5:22

y por responder una encuesta,
5:22 - 5:24

y luego les pagamos de nuevo
para volver
5:24 - 5:26

dos días más tarde
y abrir una sesión
5:26 - 5:29

usando su contraseña
y contestar otra encuesta.
5:29 - 5:33

Haciendo esto,
hemos recogido 5000 contraseñas,
5:33 - 5:36

y dimos a la gente una serie
de diferentes políticas
5:36 - 5:37

para crear contraseñas.
5:37 - 5:39

Algunas personas debían aplicar
una política bastante fácil,
5:39 - 5:41

la llamamos Basic8,
5:41 - 5:43

y ahí la única regla es que la contraseña
5:43 - 5:47

debía tener al menos ocho caracteres.
5:47 - 5:49

Otras personas tenían que aplicar
una política mucho más dura,
5:49 - 5:51

y esto era muy similar
a la política de CMU,
5:51 - 5:53

es decir, ocho caracteres
5:53 - 5:56

incluyendo mayúsculas,
minúsculas, dígitos, símbolo,
5:56 - 5:58

y pasar una verificación de diccionario.
5:58 - 5:59

Y una de las otras políticas que probamos,
5:59 - 6:01

y había un montón más,
6:01 - 6:03

pero una de las que probamos
fue la llamada Basic16,
6:03 - 6:05

y el único requisito aquí
6:05 - 6:09

era que la contraseña
debía tener al menos 16 caracteres.
6:09 - 6:11

Muy bien, así que ahora
teníamos 5000 contraseñas,
6:11 - 6:15

e información mucho más detallada.
6:15 - 6:17

Una vez más constatamos
que la gente realmente solo usa
6:17 - 6:19

un pequeño número de símbolos
6:19 - 6:21

en sus contraseñas.
6:21 - 6:24

También queríamos tener una idea de
cuánta seguridad
6:24 - 6:26

ofrecían las contraseñas que
las personas creaban,
6:26 - 6:29

pero, como recordarán,
no es una buena medida
6:29 - 6:31

de seguridad de la contraseña.
6:31 - 6:33

Así que decidimos ver
6:33 - 6:35

el tiempo que se tardaría
en descifrar estas contraseñas
6:35 - 6:37

utilizando las mejores
herramientas de descifrado
6:37 - 6:39

que usan los malos,
6:39 - 6:41

o averiguando información al respecto
6:41 - 6:42

en la literatura especializada.
6:42 - 6:45

Para que se hagan
una idea de cómo los chicos malos
6:45 - 6:47

descifran contraseñas,
6:47 - 6:49

ellos roban un archivo de contraseñas
6:49 - 6:51

donde están todas las contraseñas
6:51 - 6:54

en una especie de formulario
codificado llamado hash,
6:54 - 6:57

y así lo que harán es una conjetura
6:57 - 6:58

acerca de lo que es una contraseña,
6:58 - 7:00

que se comparará con una función hash,
7:00 - 7:02

para ver si coincide con
7:02 - 7:06

las contraseñas de su lista
de contraseñas robadas.
7:06 - 7:09

Así que un atacante tonto
tratará todas las contraseñas en orden.
7:09 - 7:13

Empezarán con AAAAA
y pasarán a AAAAB,
7:13 - 7:15

y esto tomará mucho tiempo
7:15 - 7:17

antes de encontrar las contraseñas
7:17 - 7:19

que las personas son propensas a tener.
7:19 - 7:22

Por otra parte, un atacante astuto,
7:22 - 7:23

hace algo mucho más inteligente.
7:23 - 7:25

Miran las contraseñas
7:25 - 7:27

que se saben que son populares
7:27 - 7:28

a partir de estos conjuntos
de contraseñas robadas,
7:28 - 7:29

y las adivinan en primer lugar.
7:29 - 7:32

Así que empezaremos
adivinando "contraseña"
7:32 - 7:34

y luego "Te amo" y "mono"
7:34 - 7:37

y "12345678",
7:37 - 7:38

porque estas son las contraseñas
7:38 - 7:40

que con mayor probabilidad
tiene la gente.
7:40 - 7:43

De hecho, algunos de Uds. probablemente
tienen estas contraseñas.
7:45 - 7:46

Así que lo que encontramos
7:46 - 7:50

mediante la ejecución de todas
estas 5000 contraseñas recogidas
7:50 - 7:54

a través de estas pruebas
para ver lo seguras que eran,
7:54 - 7:57

encontramos que las contraseñas largas
7:57 - 7:58

eran en realidad bastante seguras,
7:58 - 8:01

y las contraseñas complejas
eran bastante seguras también.
8:01 - 8:04

Sin embargo, cuando nos fijamos
en los datos del estudio,
8:04 - 8:07

vimos que la gente
estaba realmente frustrada
8:07 - 8:09

por las contraseñas muy complejas,
8:09 - 8:12

y que las contraseñas largas
eran mucho más usables,
8:12 - 8:13

y, en algunos casos,
eran en realidad
8:13 - 8:16

incluso más seguras
que las contraseñas complejas.
8:16 - 8:17

Así que esto sugiere que,
8:17 - 8:19

en lugar de decirle
a la gente que necesitan
8:19 - 8:20

poner todos estos símbolos y números
8:20 - 8:23

y cosas locas en sus contraseñas,
8:23 - 8:25

podríamos mejorar
simplemente diciendo a la gente
8:25 - 8:28

que tengan contraseñas largas.
8:28 - 8:30

Sin embargo, aquí hay el problema,
8:30 - 8:32

Algunas personas
tenían contraseñas largas
8:32 - 8:33

que en realidad no eran muy seguras.
8:33 - 8:35

Pueden crear contraseñas largas
8:35 - 8:37

del tipo
8:37 - 8:39

que un atacante
podría adivinar fácilmente.
8:39 - 8:42

Así que debemos añadir algo más
a las contraseñas largas.
8:42 - 8:44

Deben existir requisitos adicionales,
8:44 - 8:47

y nuestra investigación en curso
está mirando
8:47 - 8:49

qué requisitos adicionales hay que añadir
8:49 - 8:52

para crear contraseñas más seguras
8:52 - 8:54

que también sean fáciles para la gente
8:54 - 8:57

recordar y escribir.
8:57 - 8:59

Otra forma para lograr
que las personas tengan
8:59 - 9:01

contraseñas más seguras
es usar un medidor de contraseña.
9:01 - 9:02

Estos son algunos ejemplos:
9:02 - 9:04

Puede que los hayan visto en Internet
9:04 - 9:07

al crear sus contraseñas.
9:07 - 9:09

Decidimos hacer un estudio
para averiguar
9:09 - 9:12

si estos medidores de contraseñas
realmente funcionan.
9:12 - 9:13

¿Esto realmente ayuda
a las personas
9:13 - 9:15

a tener contraseñas seguras?
9:15 - 9:17

Y si es así, ¿cuáles son mejores?
9:17 - 9:19

Así que probamos
medidores de contraseñas
9:19 - 9:22

de diferentes tamaños,
formas, colores,
9:22 - 9:23

diferentes palabras al lado,
9:23 - 9:26

y hasta probamos uno
con era un conejito bailarín.
9:26 - 9:28

Al escribir una mejor contraseña,
9:28 - 9:30

el conejo baila cada vez más rápido.
9:30 - 9:33

Así que fue bastante divertido.
9:33 - 9:34

Lo que encontramos
9:34 - 9:38

fue que los medidores
de contraseñas funcionan.
9:38 - 9:40

(Risas)
9:40 - 9:43

La mayoría de los medidores de contraseñas
eran realmente eficaces,
9:43 - 9:46

y el conejo bailarín
era muy eficaz también,
9:46 - 9:49

pero los medidores de
contraseña más eficaces
9:49 - 9:51

fueron los que les hicieron trabajar más
9:51 - 9:53

antes de mostrar el pulgar alzado y decir
9:53 - 9:54

que estábamos haciendo
un buen trabajo,
9:54 - 9:56

y de hecho encontramos que la mayoría
9:56 - 9:58

de los medidores de contraseña
en Internet hoy
9:58 - 9:59

son demasiado permisivos.
9:59 - 10:01

Dicen que lo hacemos bien antes de tiempo,
10:01 - 10:03

y si solo esperaran un poco
10:03 - 10:05

antes de dar esa respuesta positiva,
10:05 - 10:08

Uds. probablemente tendrían
mejores contraseñas.
10:08 - 10:12

Ahora, otro enfoque
para mejorar las contraseñas, tal vez,
10:12 - 10:15

es usar frases de paso
en lugar de contraseñas.
10:15 - 10:18

Este fue un dibujo animado xkcd
de hace unos años,
10:18 - 10:20

y el dibujante sugiere
10:20 - 10:22

que todos debemos
utilizar frases de paso,
10:22 - 10:26

y si nos fijamos en
la segunda fila de esta caricatura,
10:26 - 10:27

se puede ver que el dibujante sugiere
10:27 - 10:31

que la frase
"batería básica del caballo correcto"
10:31 - 10:33

sería una frase muy segura
10:33 - 10:35

y algo muy fácil de recordar.
10:35 - 10:38

Él dice que, de hecho,
uno ya la recuerda.
10:38 - 10:40

Así que decidimos hacer un estudio
10:40 - 10:43

para averiguar si esto era cierto o no.
10:43 - 10:45

De hecho, a todos con los que hablo que
10:45 - 10:47

les menciono que estoy haciendo
una investigación sobre contraseñas,
10:47 - 10:48

señalan esta caricatura.
10:48 - 10:50

"¿Has visto esto? Ese xkcd.
10:50 - 10:51

Batería básica del caballo correcto".
10:51 - 10:53

Así que hicimos el estudio para ver
10:53 - 10:55

lo que realmente pasaría.
10:55 - 10:58

En nuestro estudio,
hemos utilizado Mechanical Turk de nuevo,
10:58 - 11:03

e hicimos que la computadora
recogiera palabras al azar
11:03 - 11:04

en la frase de paso.
11:04 - 11:05

Ahora, la razón para hacerlo
11:05 - 11:06

es que los humanos
no son muy buenos
11:06 - 11:08

escogiendo palabras al azar.
11:08 - 11:09

Si pidiéramos a un humano hacerlo,
11:09 - 11:12

elegirían las cosas que
no son muy arbitrarias.
11:12 - 11:14

Así que probamos
algunas premisas diferentes.
11:14 - 11:16

Bajo una de las premisas
la computadora escogió
11:16 - 11:18

de un diccionario de
palabras muy comunes
11:18 - 11:20

del idioma inglés,
11:20 - 11:21

y así se obtendría frases de paso como
11:21 - 11:23

"Intentemos hay tres vienen".
11:23 - 11:25

Y nos fijamos en eso,
y dijimos,
11:25 - 11:28

"Bueno, no parece realmente
muy memorizable".
11:28 - 11:30

Así que intentamos
recoger las palabras
11:30 - 11:33

que vinieron de partes
específicas de la conversación
11:33 - 11:35

como por ejemplo
nombre-verbo-sustantivo-adjetivo.
11:35 - 11:38

Eso está relacionado con algo que es
una especie de oración.
11:38 - 11:40

Así que Uds. pueden
obtener una frase como
11:40 - 11:41

"plan construye poder seguro".
11:41 - 11:44

o "final determina drogas rojas".
11:44 - 11:47

Y estas parecían
un poco más memorizables,
11:47 - 11:49

y tal vez a la gente le gustarían más.
11:49 - 11:52

Queríamos compararlas
con las contraseñas,
11:52 - 11:55

y teníamos la computadora
para escoger contraseñas aleatorias,
11:55 - 11:57

y estas eran agradables y cortas,
pero como pueden ver,
11:57 - 12:00

en realidad,
no parecen muy memorizables.
12:00 - 12:01

Y entonces decidimos
probar algo llamado
12:01 - 12:03

contraseña pronunciable.
12:03 - 12:05

Así que aquí la computadora
recoge sílabas al azar
12:05 - 12:06

y las pone une
12:06 - 12:09

para obtener algo pronunciable,
12:09 - 12:11

como "tufritvi" y "vadasabi".
12:11 - 12:14

Eso fluye en la lengua.
12:14 - 12:16

Así que eran contraseñas
aleatorias
12:16 - 12:19

generadas por nuestra computadora
12:19 - 12:22

Lo que encontramos en este estudio
fue que, sorprendentemente,
12:22 - 12:25

utilizar frases no era,
en realidad, tan bueno.
12:25 - 12:28

La gente no recordaba mejor
12:28 - 12:31

las frases de paso
que estas contraseñas aleatorias,
12:31 - 12:34

y como las frases de paso
son más largas,
12:34 - 12:35

se precisa más tiempo
para escribirlas
12:35 - 12:38

y la gente cometía más errores
al escribirlas.
12:38 - 12:41

Así que no es realmente una victoria clara
para las frases de paso.
12:41 - 12:45

Perdón por todos
los fans de xkcd.
12:45 - 12:46

Por otro lado, averiguamos
12:46 - 12:48

que las contraseñas pronunciables
12:48 - 12:50

funcionaron sorprendentemente bien,
12:50 - 12:52

por eso estamos profundizando más
12:52 - 12:55

para ver si podemos hacer
que este enfoque sea aún mejor.
12:55 - 12:57

Uno de los problemas
12:57 - 12:59

con algunos de los estudios realizados
12:59 - 13:01

es que, debido a que está todo hecho,
13:01 - 13:02

usando Mechanical Turk,
13:02 - 13:04

no se trata de contraseñas
reales de la gente.
13:04 - 13:06

Son las claves que
13:06 - 13:09

la computadora ha creado para ellos
para nuestro estudio.
13:09 - 13:10

Y lo que queríamos
saber es si la gente
13:10 - 13:12

en realidad se comportaría
de la misma forma
13:12 - 13:15

con sus contraseñas reales.
13:15 - 13:18

Así que hablamos con la oficina de
seguridad informática en Carnegie Mellon
13:18 - 13:22

y preguntamos si podíamos obtener
contraseñas reales de todo el mundo.
13:22 - 13:24

No es de extrañar,
que fueran un poco reticentes
13:24 - 13:25

de dárnoslas,
13:25 - 13:27

pero estábamos realmente
dispuestos a elaborar
13:27 - 13:28

un sistema con ellos
13:28 - 13:30

donde poner todas
las contraseñas reales
13:30 - 13:33

de 25 000 estudiantes de CMU,
profesores y personal,
13:33 - 13:36

en una computadora bloqueada
en una habitación cerrada,
13:36 - 13:37

sin conexión a Internet,
13:37 - 13:39

para ejecutar el código
que escribimos
13:39 - 13:41

para analizar estas contraseñas.
13:41 - 13:43

Auditaron nuestro código.
13:43 - 13:44

Ejecutaron el código.
13:44 - 13:46

Y así nunca, en realidad, vimos
13:46 - 13:48

las contraseñas de nadie.
13:48 - 13:50

Obtuvimos algunos
resultados interesantes,
13:50 - 13:52

y aquellos de Uds. estudiantes
de Tepper de atrás
13:52 - 13:55

estarán muy interesados en esto.
13:55 - 13:58

Así nos encontramos con que
las contraseñas creadas
13:58 - 14:00

por las personas afiliadas
a la escuela de ciencias de la computación
14:00 - 14:03

en realidad eran 1,8 veces más seguras
14:03 - 14:07

que las de los afiliados a
la escuela de negocios.
14:07 - 14:09

Tenemos también información
14:09 - 14:11

demográfica muy interesante.
14:11 - 14:13

Otra cosa interesante
que encontramos
14:13 - 14:15

es que al comparar
las contraseñas de Carnegie Mellon
14:15 - 14:17

con las contraseñas
generadas por Mechanical Turk,
14:17 - 14:20

había una gran cantidad de similitudes,
14:20 - 14:22

y así que esto ayudó a validar
nuestro método de investigación
14:22 - 14:24

y mostrar que en realidad,
la recogida de contraseñas
14:24 - 14:26

utilizando estos estudios
de Mechanical Turk
14:26 - 14:29

es en realidad una forma válida
para estudiar las contraseñas.
14:29 - 14:31

Así que fue una buena noticia.
14:31 - 14:34

Bien, quiero cerrar hablando de
14:34 - 14:36

algunas ideas que tuve
durante mi año sabático
14:36 - 14:39

el año pasado en la escuela de arte
de Carnegie Mellon.
14:39 - 14:40

Una de las cosas que hice
14:40 - 14:42

es una serie de edredones,
14:42 - 14:43

y he hecho este edredón de aquí.
14:43 - 14:45

Se llama "Manta de Seguridad".
14:45 - 14:48

(Risas)
14:48 - 14:51

Este edredón tiene las 1000
14:51 - 14:53

contraseñas robadas con más frecuencia
14:53 - 14:56

del sitio web RockYou.
14:56 - 14:58

El tamaño de las
contraseñas es proporcional
14:58 - 15:00

a la frecuencia con que aparecían
15:00 - 15:02

en el conjunto de datos robados.
15:02 - 15:05

Lo que hice es crear
esta nube de palabras,
15:05 - 15:07

y examiné todas las 1000 palabras,
15:07 - 15:08

y las categoricé en
15:08 - 15:11

categorías temáticas sueltas.
15:11 - 15:13

Y, en algunos casos,
15:13 - 15:15

era un poco difícil de entender
15:15 - 15:17

en qué categoría debían estar
15:17 - 15:18

y entonces las identifiqué por colores.
15:18 - 15:21

Así que estos son algunos ejemplos
de la dificultad.
15:21 - 15:22

Digamos "justin".
15:22 - 15:24

¿Es ese el nombre del usuario,
15:24 - 15:25

su novio, su hijo?
15:25 - 15:28

Tal vez son un fan de Justin Bieber.
15:28 - 15:30

O "princesa".
15:30 - 15:32

¿Es un apodo?
15:32 - 15:34

¿Son fans de las princesas de Disney?
15:34 - 15:37

O tal vez ese es el nombre de su gato.
15:37 - 15:39

"Iloveyou" aparece muchas veces
15:39 - 15:41

en muchos idiomas diferentes.
15:41 - 15:44

Hay mucho amor
en estas contraseñas.
15:44 - 15:46

Si miran atentamente,
verán que hay también
15:46 - 15:48

algunas palabras soeces,
15:48 - 15:50

pero lo que fue realmente
interesante ver para mí
15:50 - 15:53

es que hay mucho
más amor que odio
15:53 - 15:55

en estas contraseñas.
15:55 - 15:56

Y hay animales,
15:56 - 15:58

una gran cantidad de animales,
15:58 - 16:00

y "mono" es el animal más común
16:00 - 16:04

y la 14 contraseña más popular.
16:04 - 16:06

Y esto fue realmente curioso para mí,
16:06 - 16:08

y me pregunté:
"¿Por qué son tan populares los monos?"
16:08 - 16:12

Y así, en nuestro último
estudio sobre contraseñas,
16:12 - 16:13

cuando detectamos que alguien
16:13 - 16:16

crea una contraseña
usando "mono",
16:16 - 16:19

les preguntamos por qué tenían
un mono en su contraseña.
16:19 - 16:21

Y lo que averiguamos...
16:21 - 16:23

encontramos 17 personas
hasta el momento
16:23 - 16:24

que tienen la palabra "mono"...
16:24 - 16:26

Encontramos que un tercio de ellos dijo
16:26 - 16:28

que tienen una mascota llamada "mono"
16:28 - 16:30

o un amigo cuyo apodo es "mono"
16:30 - 16:32

y alrededor de un tercio de ellos dijo
16:32 - 16:33

simplemente que le gustan los monos
16:33 - 16:35

y que los monos son muy lindos.
16:35 - 16:39

Y ese joven es muy lindo.
16:39 - 16:42

Así, parece que al final,
16:42 - 16:44

cuando hacemos las contraseñas,
16:44 - 16:46

hacemos algo que o es muy fácil
16:46 - 16:49

de escribir, un patrón común,
16:49 - 16:51

o cosas que nos recuerdan
a la palabra contraseña
16:51 - 16:55

o a la cuenta para la que hemos
creado la contraseña,
16:55 - 16:57

o lo que sea.
16:57 - 17:00

O pensamos acerca de las
cosas que nos hacen felices,
17:00 - 17:01

y creamos nuestra contraseña
17:01 - 17:04

basados en las cosas
que nos hacen felices.
17:04 - 17:06

Y si bien esto facilita la escritura
17:06 - 17:09

y recordarla es más divertido,
17:09 - 17:11

también hace que sea mucho más fácil
17:11 - 17:13

descifrar la contraseña.
17:13 - 17:14

Así que sé que un montón
de estas charlas TED
17:14 - 17:16

son fuente de inspiración
17:16 - 17:18

y hacen pensar sobre
cosas agradables y felices,
17:18 - 17:20

pero cuando estén
creando su contraseña,
17:20 - 17:22

traten de pensar en otra cosa.
17:22 - 17:23

Gracias.
17:23 - 17:24

(Aplausos)

Title:: ¿Qué hay de malo en su c0ntr@señ@?
Speaker:: Lorrie Faith Cranor
Description:: Lorrie Faith Cranor estudió miles de contraseñas reales para averiguar los errores más sorprendentes y más comunes que los usuarios, y los sitios seguros, cometen comprometiendo su seguridad. ¿Y cómo se pueden investigar miles de contraseñas reales sin comprometer la seguridad de ningún usuario?, se podrán preguntar... Esa es una historia en sí misma. Se trata de información secreta que vale la pena conocer, sobre todo si su contraseña es 123456...

more » « less
Video Language:: English
Team:: closed TED
Project:: TEDTalks
Duration:: 17:41

	Lidia Cámara de la Fuente approved Spanish subtitles for What’s wrong with your pa$$w0rd?
	Lidia Cámara de la Fuente edited Spanish subtitles for What’s wrong with your pa$$w0rd?
	Lidia Cámara de la Fuente edited Spanish subtitles for What’s wrong with your pa$$w0rd?
	Lidia Cámara de la Fuente edited Spanish subtitles for What’s wrong with your pa$$w0rd?
	Ciro Gomez edited Spanish subtitles for What’s wrong with your pa$$w0rd?
	Ciro Gomez edited Spanish subtitles for What’s wrong with your pa$$w0rd?
	Ciro Gomez accepted Spanish subtitles for What’s wrong with your pa$$w0rd?
	Ciro Gomez edited Spanish subtitles for What’s wrong with your pa$$w0rd?

Show all

Spanish subtitles

Revisions

Revision 11 Edited

Lidia Cámara de la Fuente

¿Qué hay de malo en su c0ntr@señ@?

Revisions

Our website uses cookies

Operating cookies (Required)