¿Qué hay de malo en su c0ntr@señ@?
-
0:01 - 0:04Soy profesora de ciencias de la computación
e ingeniería aquí en Carnegie Mellon, -
0:04 - 0:08y mi investigación se centra
en la privacidad y seguridad utilizable, -
0:08 - 0:11y por ello, a mis amigos
les gusta darme ejemplos -
0:11 - 0:13de sus frustraciones
con los sistemas informáticos, -
0:13 - 0:17especialmente de frustraciones
relacionados con -
0:17 - 0:21la privacidad y la seguridad inutilizable.
-
0:21 - 0:23Así que he oído mucho
sobre contraseñas. -
0:23 - 0:26Muchas personas se sienten
frustradas con las contraseñas, -
0:26 - 0:28y es bastante lamentable
-
0:28 - 0:31cuando uno debe tener
una contraseña muy buena -
0:31 - 0:32que pueda recordar
-
0:32 - 0:35pero que nadie pueda adivinar.
-
0:35 - 0:37Pero ¿qué hacer
cuando se tienen cuentas -
0:37 - 0:39en un centenar de diferentes sistemas
-
0:39 - 0:41y que a su vez se supone que
deben ser contraseñas únicas -
0:41 - 0:44para cada uno de estos sistemas?
-
0:44 - 0:46Es complejo.
-
0:46 - 0:48En Carnegie Mellon solían hacerlo
-
0:48 - 0:49bastante fácil
-
0:49 - 0:51para que recordáramos
nuestras contraseñas. -
0:51 - 0:53El requisito hasta el 2009 para
las contraseñas era -
0:53 - 0:56que estas tuvieran
-
0:56 - 0:58al menos un carácter.
-
0:58 - 1:01Bastante fácil.
Pero luego cambiaron las cosas, -
1:01 - 1:04y al final del 2009 se anunció
-
1:04 - 1:06que íbamos a tener una nueva política,
-
1:06 - 1:08y esta nueva política precisaba
-
1:08 - 1:11contraseñas que tuvieran
al menos 8 caracteres, -
1:11 - 1:12con una letra mayúscula,
letra minúscula, -
1:12 - 1:14un dígito y un símbolo.
-
1:14 - 1:16No se podía utilizar
el mismo carácter más de tres veces, -
1:16 - 1:19y no podía aparecer en un diccionario.
-
1:19 - 1:21Cuando implementaron
esta nueva política, -
1:21 - 1:23muchos de mis colegas y amigos,
-
1:23 - 1:25me vinieron para decirme:
-
1:25 - 1:27"Ahora sí que es
realmente inservible. -
1:27 - 1:28¿Por qué nos hacen esto
-
1:28 - 1:29y por qué no los detuviste?"
-
1:29 - 1:31Y yo dije: "¿Saben qué?
-
1:31 - 1:32Nadie me preguntó".
-
1:32 - 1:36Pero me picó la curiosidad
y decidí ir a hablar -
1:36 - 1:38con las personas a cargo de
nuestros sistemas informáticos -
1:38 - 1:41y averiguar qué les llevó a introducir
-
1:41 - 1:42esta nueva política.
-
1:42 - 1:44Y dijeron que la universidad
-
1:44 - 1:46se había unido a un
consorcio de universidades, -
1:46 - 1:49y uno de los requisitos de membresía
-
1:49 - 1:51era que debíamos tener
contraseñas más seguras -
1:51 - 1:53que cumpliesen algunos
nuevos requisitos, -
1:53 - 1:56y estos requisitos eran
que nuestras contraseñas -
1:56 - 1:57tenía que tener una
gran cantidad de entropía. -
1:57 - 1:59La entropía es un término complicado,
-
1:59 - 2:02pero básicamente mide
la fuerza de las contraseñas. -
2:02 - 2:04Pero el tema es que eso no es en realidad
-
2:04 - 2:06una medida estándar de entropía.
-
2:06 - 2:09El Instituto Nacional
de Estándares y Tecnología -
2:09 - 2:10tiene un conjunto de directrices
-
2:10 - 2:13con algunas reglas básicas
-
2:13 - 2:14para medir la entropía,
-
2:14 - 2:17pero no tienen nada muy específico,
-
2:17 - 2:19y la razón por la que solo
tiene reglas básicas -
2:19 - 2:23es porque en realidad
no tienen buena información -
2:23 - 2:24sobre contraseñas.
-
2:24 - 2:26De hecho, su informe señala,
-
2:26 - 2:29"Desafortunadamente,
no tenemos mucha información -
2:29 - 2:32sobre las contraseñas que los usuarios
eligen bajo reglas particulares. -
2:32 - 2:34Al Instituto de estándares y tecnología (NIST)
le gustaría obtener más datos -
2:34 - 2:36sobre las contraseñas
escogidas por los usuarios, -
2:36 - 2:39pero los administradores de sistemas
son comprensiblemente reacios -
2:39 - 2:42a revelar datos de las
contraseñas a externos". -
2:42 - 2:45Esto es un problema,
pero nuestro grupo de investigación -
2:45 - 2:47lo vio como una oportunidad.
-
2:47 - 2:50Dijimos: "Hay una necesidad de
tener buenos datos sobre contraseñas. -
2:50 - 2:52Tal vez podamos recoger
algunos buenos datos sobre contraseñas -
2:52 - 2:55y de hecho avanzar
el estado actual aquí". -
2:55 - 2:57Así que lo primero que hicimos fue
-
2:57 - 2:58ir con una bolsa de caramelos
-
2:58 - 2:59a dar una vuelta por el campus
-
2:59 - 3:02para hablar con los estudiantes,
profesores y personal, -
3:02 - 3:04y pedirles información
-
3:04 - 3:05sobre sus contraseñas.
-
3:05 - 3:08No les decíamos:
"Danos tu contraseña". -
3:08 - 3:11Solo les preguntamos
acerca de su contraseña. -
3:11 - 3:12¿Cuánto tiempo hace que la tienes?
¿Tiene algún dígito? -
3:12 - 3:13¿Tiene un símbolo?
-
3:13 - 3:15Y ¿te molestó tener que crear
-
3:15 - 3:18una nueva la semana pasada?
-
3:18 - 3:21Así que obtuvimos
resultados de 470 estudiantes, -
3:21 - 3:22personal docente y administrativo,
-
3:22 - 3:25y de hecho se confirmó
que la nueva política -
3:25 - 3:26era muy molesta.
-
3:26 - 3:28No obstante, también averiguamos que
-
3:28 - 3:31se sentían más seguros
con estas nuevas contraseñas. -
3:31 - 3:33Averiguamos que
la mayoría de la gente sabía -
3:33 - 3:36que se suponía que no
debía anotar su contraseña, -
3:36 - 3:38y solo el 13 % lo hizo,
-
3:38 - 3:40pero desconcertantemente, el 80 %
-
3:40 - 3:43dijo que reutilizaban su contraseña.
-
3:43 - 3:44Ahora, esto es en realidad más peligroso
-
3:44 - 3:46que anotar la contraseña,
-
3:46 - 3:50porque nos hace mucho
más vulnerables a los atacantes. -
3:50 - 3:53Así que si tienen que hacerlo,
anoten sus contraseñas, -
3:53 - 3:55pero no la reutilicen.
-
3:55 - 3:57También averiguamos
algunas cosas interesantes -
3:57 - 4:00acerca de los símbolos que
las personas utilizan en las contraseñas. -
4:00 - 4:02Así CMU permite 32 posibles símbolos,
-
4:02 - 4:05pero como pueden ver,
solo hay un pequeño número -
4:05 - 4:07que la mayoría de la gente utiliza,
-
4:07 - 4:10así que no estamos consiguiendo
realmente mucha seguridad -
4:10 - 4:12con los símbolos
en nuestras contraseñas. -
4:12 - 4:15Así que fue un estudio muy interesante,
-
4:15 - 4:17y ahora teníamos
los datos de 470 personas, -
4:17 - 4:18pero en la situación actual
-
4:18 - 4:21esos no son realmente
muchos datos de contraseñas, -
4:21 - 4:22y así miramos a nuestro alrededor
para ver -
4:22 - 4:25dónde podríamos encontrar
datos adicionales de contraseñas. -
4:25 - 4:27Resulta que hay mucha gente
-
4:27 - 4:29por ahí robando contraseñas
-
4:29 - 4:32y a menudo las publican
-
4:32 - 4:33en Internet.
-
4:33 - 4:35Así que pudimos obtener acceso
-
4:35 - 4:39a algunos de estos conjuntos
de contraseñas robadas. -
4:39 - 4:41Sin embargo, esto todavía no es
realmente ideal para una investigación, -
4:41 - 4:43porque no es del todo claro
-
4:43 - 4:45de dónde proceden
todas estas contraseñas, -
4:45 - 4:48o qué políticas concretas
estaban en efecto -
4:48 - 4:50cuando las personas
crearon esas contraseñas. -
4:50 - 4:53Así es que queríamos encontrar
una mejor fuente de datos. -
4:53 - 4:55Decidimos qué una cosa
que podríamos hacer -
4:55 - 4:57era hacer un estudio
y que la gente -
4:57 - 5:00realmente creara contraseñas
para nuestro estudio. -
5:00 - 5:03Así que usamos un servicio llamado
Amazon Mechanical Turk, -
5:03 - 5:05que es un servicio para enviar
-
5:05 - 5:08un pequeña tarea
que lleva un minuto, -
5:08 - 5:09unos minutos, una hora,
-
5:09 - 5:12y paga a la gente un centavo,
diez centavos, unos dólares -
5:12 - 5:13por hacer la tarea por Ud.,
-
5:13 - 5:15y después se les paga a
través de Amazon.com. -
5:15 - 5:18Así que pagamos a la
gente unos 50 centavos -
5:18 - 5:20por crear una contraseña
siguiendo nuestras reglas -
5:20 - 5:22y por responder una encuesta,
-
5:22 - 5:24y luego les pagamos de nuevo
para volver -
5:24 - 5:26dos días más tarde
y abrir una sesión -
5:26 - 5:29usando su contraseña
y contestar otra encuesta. -
5:29 - 5:33Haciendo esto,
hemos recogido 5000 contraseñas, -
5:33 - 5:36y dimos a la gente una serie
de diferentes políticas -
5:36 - 5:37para crear contraseñas.
-
5:37 - 5:39Algunas personas debían aplicar
una política bastante fácil, -
5:39 - 5:41la llamamos Basic8,
-
5:41 - 5:43y ahí la única regla es que la contraseña
-
5:43 - 5:47debía tener al menos ocho caracteres.
-
5:47 - 5:49Otras personas tenían que aplicar
una política mucho más dura, -
5:49 - 5:51y esto era muy similar
a la política de CMU, -
5:51 - 5:53es decir, ocho caracteres
-
5:53 - 5:56incluyendo mayúsculas,
minúsculas, dígitos, símbolo, -
5:56 - 5:58y pasar una verificación de diccionario.
-
5:58 - 5:59Y una de las otras políticas que probamos,
-
5:59 - 6:01y había un montón más,
-
6:01 - 6:03pero una de las que probamos
fue la llamada Basic16, -
6:03 - 6:05y el único requisito aquí
-
6:05 - 6:09era que la contraseña
debía tener al menos 16 caracteres. -
6:09 - 6:11Muy bien, así que ahora
teníamos 5000 contraseñas, -
6:11 - 6:15e información mucho más detallada.
-
6:15 - 6:17Una vez más constatamos
que la gente realmente solo usa -
6:17 - 6:19un pequeño número de símbolos
-
6:19 - 6:21en sus contraseñas.
-
6:21 - 6:24También queríamos tener una idea de
cuánta seguridad -
6:24 - 6:26ofrecían las contraseñas que
las personas creaban, -
6:26 - 6:29pero, como recordarán,
no es una buena medida -
6:29 - 6:31de seguridad de la contraseña.
-
6:31 - 6:33Así que decidimos ver
-
6:33 - 6:35el tiempo que se tardaría
en descifrar estas contraseñas -
6:35 - 6:37utilizando las mejores
herramientas de descifrado -
6:37 - 6:39que usan los malos,
-
6:39 - 6:41o averiguando información al respecto
-
6:41 - 6:42en la literatura especializada.
-
6:42 - 6:45Para que se hagan
una idea de cómo los chicos malos -
6:45 - 6:47descifran contraseñas,
-
6:47 - 6:49ellos roban un archivo de contraseñas
-
6:49 - 6:51donde están todas las contraseñas
-
6:51 - 6:54en una especie de formulario
codificado llamado hash, -
6:54 - 6:57y así lo que harán es una conjetura
-
6:57 - 6:58acerca de lo que es una contraseña,
-
6:58 - 7:00que se comparará con una función hash,
-
7:00 - 7:02para ver si coincide con
-
7:02 - 7:06las contraseñas de su lista
de contraseñas robadas. -
7:06 - 7:09Así que un atacante tonto
tratará todas las contraseñas en orden. -
7:09 - 7:13Empezarán con AAAAA
y pasarán a AAAAB, -
7:13 - 7:15y esto tomará mucho tiempo
-
7:15 - 7:17antes de encontrar las contraseñas
-
7:17 - 7:19que las personas son propensas a tener.
-
7:19 - 7:22Por otra parte, un atacante astuto,
-
7:22 - 7:23hace algo mucho más inteligente.
-
7:23 - 7:25Miran las contraseñas
-
7:25 - 7:27que se saben que son populares
-
7:27 - 7:28a partir de estos conjuntos
de contraseñas robadas, -
7:28 - 7:29y las adivinan en primer lugar.
-
7:29 - 7:32Así que empezaremos
adivinando "contraseña" -
7:32 - 7:34y luego "Te amo" y "mono"
-
7:34 - 7:37y "12345678",
-
7:37 - 7:38porque estas son las contraseñas
-
7:38 - 7:40que con mayor probabilidad
tiene la gente. -
7:40 - 7:43De hecho, algunos de Uds. probablemente
tienen estas contraseñas. -
7:45 - 7:46Así que lo que encontramos
-
7:46 - 7:50mediante la ejecución de todas
estas 5000 contraseñas recogidas -
7:50 - 7:54a través de estas pruebas
para ver lo seguras que eran, -
7:54 - 7:57encontramos que las contraseñas largas
-
7:57 - 7:58eran en realidad bastante seguras,
-
7:58 - 8:01y las contraseñas complejas
eran bastante seguras también. -
8:01 - 8:04Sin embargo, cuando nos fijamos
en los datos del estudio, -
8:04 - 8:07vimos que la gente
estaba realmente frustrada -
8:07 - 8:09por las contraseñas muy complejas,
-
8:09 - 8:12y que las contraseñas largas
eran mucho más usables, -
8:12 - 8:13y, en algunos casos,
eran en realidad -
8:13 - 8:16incluso más seguras
que las contraseñas complejas. -
8:16 - 8:17Así que esto sugiere que,
-
8:17 - 8:19en lugar de decirle
a la gente que necesitan -
8:19 - 8:20poner todos estos símbolos y números
-
8:20 - 8:23y cosas locas en sus contraseñas,
-
8:23 - 8:25podríamos mejorar
simplemente diciendo a la gente -
8:25 - 8:28que tengan contraseñas largas.
-
8:28 - 8:30Sin embargo, aquí hay el problema,
-
8:30 - 8:32Algunas personas
tenían contraseñas largas -
8:32 - 8:33que en realidad no eran muy seguras.
-
8:33 - 8:35Pueden crear contraseñas largas
-
8:35 - 8:37del tipo
-
8:37 - 8:39que un atacante
podría adivinar fácilmente. -
8:39 - 8:42Así que debemos añadir algo más
a las contraseñas largas. -
8:42 - 8:44Deben existir requisitos adicionales,
-
8:44 - 8:47y nuestra investigación en curso
está mirando -
8:47 - 8:49qué requisitos adicionales hay que añadir
-
8:49 - 8:52para crear contraseñas más seguras
-
8:52 - 8:54que también sean fáciles para la gente
-
8:54 - 8:57recordar y escribir.
-
8:57 - 8:59Otra forma para lograr
que las personas tengan -
8:59 - 9:01contraseñas más seguras
es usar un medidor de contraseña. -
9:01 - 9:02Estos son algunos ejemplos:
-
9:02 - 9:04Puede que los hayan visto en Internet
-
9:04 - 9:07al crear sus contraseñas.
-
9:07 - 9:09Decidimos hacer un estudio
para averiguar -
9:09 - 9:12si estos medidores de contraseñas
realmente funcionan. -
9:12 - 9:13¿Esto realmente ayuda
a las personas -
9:13 - 9:15a tener contraseñas seguras?
-
9:15 - 9:17Y si es así, ¿cuáles son mejores?
-
9:17 - 9:19Así que probamos
medidores de contraseñas -
9:19 - 9:22de diferentes tamaños,
formas, colores, -
9:22 - 9:23diferentes palabras al lado,
-
9:23 - 9:26y hasta probamos uno
con era un conejito bailarín. -
9:26 - 9:28Al escribir una mejor contraseña,
-
9:28 - 9:30el conejo baila cada vez más rápido.
-
9:30 - 9:33Así que fue bastante divertido.
-
9:33 - 9:34Lo que encontramos
-
9:34 - 9:38fue que los medidores
de contraseñas funcionan. -
9:38 - 9:40(Risas)
-
9:40 - 9:43La mayoría de los medidores de contraseñas
eran realmente eficaces, -
9:43 - 9:46y el conejo bailarín
era muy eficaz también, -
9:46 - 9:49pero los medidores de
contraseña más eficaces -
9:49 - 9:51fueron los que les hicieron trabajar más
-
9:51 - 9:53antes de mostrar el pulgar alzado y decir
-
9:53 - 9:54que estábamos haciendo
un buen trabajo, -
9:54 - 9:56y de hecho encontramos que la mayoría
-
9:56 - 9:58de los medidores de contraseña
en Internet hoy -
9:58 - 9:59son demasiado permisivos.
-
9:59 - 10:01Dicen que lo hacemos bien antes de tiempo,
-
10:01 - 10:03y si solo esperaran un poco
-
10:03 - 10:05antes de dar esa respuesta positiva,
-
10:05 - 10:08Uds. probablemente tendrían
mejores contraseñas. -
10:08 - 10:12Ahora, otro enfoque
para mejorar las contraseñas, tal vez, -
10:12 - 10:15es usar frases de paso
en lugar de contraseñas. -
10:15 - 10:18Este fue un dibujo animado xkcd
de hace unos años, -
10:18 - 10:20y el dibujante sugiere
-
10:20 - 10:22que todos debemos
utilizar frases de paso, -
10:22 - 10:26y si nos fijamos en
la segunda fila de esta caricatura, -
10:26 - 10:27se puede ver que el dibujante sugiere
-
10:27 - 10:31que la frase
"batería básica del caballo correcto" -
10:31 - 10:33sería una frase muy segura
-
10:33 - 10:35y algo muy fácil de recordar.
-
10:35 - 10:38Él dice que, de hecho,
uno ya la recuerda. -
10:38 - 10:40Así que decidimos hacer un estudio
-
10:40 - 10:43para averiguar si esto era cierto o no.
-
10:43 - 10:45De hecho, a todos con los que hablo que
-
10:45 - 10:47les menciono que estoy haciendo
una investigación sobre contraseñas, -
10:47 - 10:48señalan esta caricatura.
-
10:48 - 10:50"¿Has visto esto? Ese xkcd.
-
10:50 - 10:51Batería básica del caballo correcto".
-
10:51 - 10:53Así que hicimos el estudio para ver
-
10:53 - 10:55lo que realmente pasaría.
-
10:55 - 10:58En nuestro estudio,
hemos utilizado Mechanical Turk de nuevo, -
10:58 - 11:03e hicimos que la computadora
recogiera palabras al azar -
11:03 - 11:04en la frase de paso.
-
11:04 - 11:05Ahora, la razón para hacerlo
-
11:05 - 11:06es que los humanos
no son muy buenos -
11:06 - 11:08escogiendo palabras al azar.
-
11:08 - 11:09Si pidiéramos a un humano hacerlo,
-
11:09 - 11:12elegirían las cosas que
no son muy arbitrarias. -
11:12 - 11:14Así que probamos
algunas premisas diferentes. -
11:14 - 11:16Bajo una de las premisas
la computadora escogió -
11:16 - 11:18de un diccionario de
palabras muy comunes -
11:18 - 11:20del idioma inglés,
-
11:20 - 11:21y así se obtendría frases de paso como
-
11:21 - 11:23"Intentemos hay tres vienen".
-
11:23 - 11:25Y nos fijamos en eso,
y dijimos, -
11:25 - 11:28"Bueno, no parece realmente
muy memorizable". -
11:28 - 11:30Así que intentamos
recoger las palabras -
11:30 - 11:33que vinieron de partes
específicas de la conversación -
11:33 - 11:35como por ejemplo
nombre-verbo-sustantivo-adjetivo. -
11:35 - 11:38Eso está relacionado con algo que es
una especie de oración. -
11:38 - 11:40Así que Uds. pueden
obtener una frase como -
11:40 - 11:41"plan construye poder seguro".
-
11:41 - 11:44o "final determina drogas rojas".
-
11:44 - 11:47Y estas parecían
un poco más memorizables, -
11:47 - 11:49y tal vez a la gente le gustarían más.
-
11:49 - 11:52Queríamos compararlas
con las contraseñas, -
11:52 - 11:55y teníamos la computadora
para escoger contraseñas aleatorias, -
11:55 - 11:57y estas eran agradables y cortas,
pero como pueden ver, -
11:57 - 12:00en realidad,
no parecen muy memorizables. -
12:00 - 12:01Y entonces decidimos
probar algo llamado -
12:01 - 12:03contraseña pronunciable.
-
12:03 - 12:05Así que aquí la computadora
recoge sílabas al azar -
12:05 - 12:06y las pone une
-
12:06 - 12:09para obtener algo pronunciable,
-
12:09 - 12:11como "tufritvi" y "vadasabi".
-
12:11 - 12:14Eso fluye en la lengua.
-
12:14 - 12:16Así que eran contraseñas
aleatorias -
12:16 - 12:19generadas por nuestra computadora
-
12:19 - 12:22Lo que encontramos en este estudio
fue que, sorprendentemente, -
12:22 - 12:25utilizar frases no era,
en realidad, tan bueno. -
12:25 - 12:28La gente no recordaba mejor
-
12:28 - 12:31las frases de paso
que estas contraseñas aleatorias, -
12:31 - 12:34y como las frases de paso
son más largas, -
12:34 - 12:35se precisa más tiempo
para escribirlas -
12:35 - 12:38y la gente cometía más errores
al escribirlas. -
12:38 - 12:41Así que no es realmente una victoria clara
para las frases de paso. -
12:41 - 12:45Perdón por todos
los fans de xkcd. -
12:45 - 12:46Por otro lado, averiguamos
-
12:46 - 12:48que las contraseñas pronunciables
-
12:48 - 12:50funcionaron sorprendentemente bien,
-
12:50 - 12:52por eso estamos profundizando más
-
12:52 - 12:55para ver si podemos hacer
que este enfoque sea aún mejor. -
12:55 - 12:57Uno de los problemas
-
12:57 - 12:59con algunos de los estudios realizados
-
12:59 - 13:01es que, debido a que está todo hecho,
-
13:01 - 13:02usando Mechanical Turk,
-
13:02 - 13:04no se trata de contraseñas
reales de la gente. -
13:04 - 13:06Son las claves que
-
13:06 - 13:09la computadora ha creado para ellos
para nuestro estudio. -
13:09 - 13:10Y lo que queríamos
saber es si la gente -
13:10 - 13:12en realidad se comportaría
de la misma forma -
13:12 - 13:15con sus contraseñas reales.
-
13:15 - 13:18Así que hablamos con la oficina de
seguridad informática en Carnegie Mellon -
13:18 - 13:22y preguntamos si podíamos obtener
contraseñas reales de todo el mundo. -
13:22 - 13:24No es de extrañar,
que fueran un poco reticentes -
13:24 - 13:25de dárnoslas,
-
13:25 - 13:27pero estábamos realmente
dispuestos a elaborar -
13:27 - 13:28un sistema con ellos
-
13:28 - 13:30donde poner todas
las contraseñas reales -
13:30 - 13:33de 25 000 estudiantes de CMU,
profesores y personal, -
13:33 - 13:36en una computadora bloqueada
en una habitación cerrada, -
13:36 - 13:37sin conexión a Internet,
-
13:37 - 13:39para ejecutar el código
que escribimos -
13:39 - 13:41para analizar estas contraseñas.
-
13:41 - 13:43Auditaron nuestro código.
-
13:43 - 13:44Ejecutaron el código.
-
13:44 - 13:46Y así nunca, en realidad, vimos
-
13:46 - 13:48las contraseñas de nadie.
-
13:48 - 13:50Obtuvimos algunos
resultados interesantes, -
13:50 - 13:52y aquellos de Uds. estudiantes
de Tepper de atrás -
13:52 - 13:55estarán muy interesados en esto.
-
13:55 - 13:58Así nos encontramos con que
las contraseñas creadas -
13:58 - 14:00por las personas afiliadas
a la escuela de ciencias de la computación -
14:00 - 14:03en realidad eran 1,8 veces más seguras
-
14:03 - 14:07que las de los afiliados a
la escuela de negocios. -
14:07 - 14:09Tenemos también información
-
14:09 - 14:11demográfica muy interesante.
-
14:11 - 14:13Otra cosa interesante
que encontramos -
14:13 - 14:15es que al comparar
las contraseñas de Carnegie Mellon -
14:15 - 14:17con las contraseñas
generadas por Mechanical Turk, -
14:17 - 14:20había una gran cantidad de similitudes,
-
14:20 - 14:22y así que esto ayudó a validar
nuestro método de investigación -
14:22 - 14:24y mostrar que en realidad,
la recogida de contraseñas -
14:24 - 14:26utilizando estos estudios
de Mechanical Turk -
14:26 - 14:29es en realidad una forma válida
para estudiar las contraseñas. -
14:29 - 14:31Así que fue una buena noticia.
-
14:31 - 14:34Bien, quiero cerrar hablando de
-
14:34 - 14:36algunas ideas que tuve
durante mi año sabático -
14:36 - 14:39el año pasado en la escuela de arte
de Carnegie Mellon. -
14:39 - 14:40Una de las cosas que hice
-
14:40 - 14:42es una serie de edredones,
-
14:42 - 14:43y he hecho este edredón de aquí.
-
14:43 - 14:45Se llama "Manta de Seguridad".
-
14:45 - 14:48(Risas)
-
14:48 - 14:51Este edredón tiene las 1000
-
14:51 - 14:53contraseñas robadas con más frecuencia
-
14:53 - 14:56del sitio web RockYou.
-
14:56 - 14:58El tamaño de las
contraseñas es proporcional -
14:58 - 15:00a la frecuencia con que aparecían
-
15:00 - 15:02en el conjunto de datos robados.
-
15:02 - 15:05Lo que hice es crear
esta nube de palabras, -
15:05 - 15:07y examiné todas las 1000 palabras,
-
15:07 - 15:08y las categoricé en
-
15:08 - 15:11categorías temáticas sueltas.
-
15:11 - 15:13Y, en algunos casos,
-
15:13 - 15:15era un poco difícil de entender
-
15:15 - 15:17en qué categoría debían estar
-
15:17 - 15:18y entonces las identifiqué por colores.
-
15:18 - 15:21Así que estos son algunos ejemplos
de la dificultad. -
15:21 - 15:22Digamos "justin".
-
15:22 - 15:24¿Es ese el nombre del usuario,
-
15:24 - 15:25su novio, su hijo?
-
15:25 - 15:28Tal vez son un fan de Justin Bieber.
-
15:28 - 15:30O "princesa".
-
15:30 - 15:32¿Es un apodo?
-
15:32 - 15:34¿Son fans de las princesas de Disney?
-
15:34 - 15:37O tal vez ese es el nombre de su gato.
-
15:37 - 15:39"Iloveyou" aparece muchas veces
-
15:39 - 15:41en muchos idiomas diferentes.
-
15:41 - 15:44Hay mucho amor
en estas contraseñas. -
15:44 - 15:46Si miran atentamente,
verán que hay también -
15:46 - 15:48algunas palabras soeces,
-
15:48 - 15:50pero lo que fue realmente
interesante ver para mí -
15:50 - 15:53es que hay mucho
más amor que odio -
15:53 - 15:55en estas contraseñas.
-
15:55 - 15:56Y hay animales,
-
15:56 - 15:58una gran cantidad de animales,
-
15:58 - 16:00y "mono" es el animal más común
-
16:00 - 16:04y la 14 contraseña más popular.
-
16:04 - 16:06Y esto fue realmente curioso para mí,
-
16:06 - 16:08y me pregunté:
"¿Por qué son tan populares los monos?" -
16:08 - 16:12Y así, en nuestro último
estudio sobre contraseñas, -
16:12 - 16:13cuando detectamos que alguien
-
16:13 - 16:16crea una contraseña
usando "mono", -
16:16 - 16:19les preguntamos por qué tenían
un mono en su contraseña. -
16:19 - 16:21Y lo que averiguamos...
-
16:21 - 16:23encontramos 17 personas
hasta el momento -
16:23 - 16:24que tienen la palabra "mono"...
-
16:24 - 16:26Encontramos que un tercio de ellos dijo
-
16:26 - 16:28que tienen una mascota llamada "mono"
-
16:28 - 16:30o un amigo cuyo apodo es "mono"
-
16:30 - 16:32y alrededor de un tercio de ellos dijo
-
16:32 - 16:33simplemente que le gustan los monos
-
16:33 - 16:35y que los monos son muy lindos.
-
16:35 - 16:39Y ese joven es muy lindo.
-
16:39 - 16:42Así, parece que al final,
-
16:42 - 16:44cuando hacemos las contraseñas,
-
16:44 - 16:46hacemos algo que o es muy fácil
-
16:46 - 16:49de escribir, un patrón común,
-
16:49 - 16:51o cosas que nos recuerdan
a la palabra contraseña -
16:51 - 16:55o a la cuenta para la que hemos
creado la contraseña, -
16:55 - 16:57o lo que sea.
-
16:57 - 17:00O pensamos acerca de las
cosas que nos hacen felices, -
17:00 - 17:01y creamos nuestra contraseña
-
17:01 - 17:04basados en las cosas
que nos hacen felices. -
17:04 - 17:06Y si bien esto facilita la escritura
-
17:06 - 17:09y recordarla es más divertido,
-
17:09 - 17:11también hace que sea mucho más fácil
-
17:11 - 17:13descifrar la contraseña.
-
17:13 - 17:14Así que sé que un montón
de estas charlas TED -
17:14 - 17:16son fuente de inspiración
-
17:16 - 17:18y hacen pensar sobre
cosas agradables y felices, -
17:18 - 17:20pero cuando estén
creando su contraseña, -
17:20 - 17:22traten de pensar en otra cosa.
-
17:22 - 17:23Gracias.
-
17:23 - 17:24(Aplausos)
- Title:
- ¿Qué hay de malo en su c0ntr@señ@?
- Speaker:
- Lorrie Faith Cranor
- Description:
-
Lorrie Faith Cranor estudió miles de contraseñas reales para averiguar los errores más sorprendentes y más comunes que los usuarios, y los sitios seguros, cometen comprometiendo su seguridad. ¿Y cómo se pueden investigar miles de contraseñas reales sin comprometer la seguridad de ningún usuario?, se podrán preguntar... Esa es una historia en sí misma. Se trata de información secreta que vale la pena conocer, sobre todo si su contraseña es 123456...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Lidia Cámara de la Fuente approved Spanish subtitles for What’s wrong with your pa$$w0rd? | ||
Lidia Cámara de la Fuente edited Spanish subtitles for What’s wrong with your pa$$w0rd? | ||
Lidia Cámara de la Fuente edited Spanish subtitles for What’s wrong with your pa$$w0rd? | ||
Lidia Cámara de la Fuente edited Spanish subtitles for What’s wrong with your pa$$w0rd? | ||
Ciro Gomez edited Spanish subtitles for What’s wrong with your pa$$w0rd? | ||
Ciro Gomez edited Spanish subtitles for What’s wrong with your pa$$w0rd? | ||
Ciro Gomez accepted Spanish subtitles for What’s wrong with your pa$$w0rd? | ||
Ciro Gomez edited Spanish subtitles for What’s wrong with your pa$$w0rd? |