Qu'est-ce qui cloche avec votre m0t de pa$$e ?

0:01 - 0:02

Je suis professeur d'informatique et
d'ingéniérie informatique
0:02 - 0:04

à Carnegie Mellon,
0:04 - 0:06

et mes recherches se concentrent sur
l'utilisabilité de la vie privée
0:06 - 0:09

et de la sécurité,
0:09 - 0:11

et mes amis aiment me donner des exemples
0:11 - 0:13

de leurs frustrations liées
aux systèmes informatiques,
0:13 - 0:17

particulièrement des frustrations liées à
0:17 - 0:21

une vie privée et une sécurité
qui ne sont pas utilisables.
0:21 - 0:23

J'entends donc beaucoup parler
des mots de passe.
0:23 - 0:26

Beaucoup de gens sont irrités
par les mots de passe,
0:26 - 0:28

c'est déjà assez compliqué
0:28 - 0:31

d'avoir un très bon mot de passe
0:31 - 0:32

dont vous pouvez vous souvenir
0:32 - 0:35

mais que personne d'autre ne peut deviner.
0:35 - 0:37

Mais que fait-on lorsqu'on a des comptes
0:37 - 0:39

sur une centaine de systèmes différents
0:39 - 0:41

et qu'on est sensé avoir
un mot de passe unique
0:41 - 0:44

pour chacun de ces systèmes ?
0:44 - 0:46

C'est difficile.
0:46 - 0:48

A Carnegie Mellon, ils rendaient
0:48 - 0:51

la mémorisation de nos mots de passe
plutôt facile.
0:51 - 0:53

Jusqu'en 2009, l'exigence était
0:53 - 0:56

d'avoir un mot de passe
0:56 - 0:58

comportant au moins un caractère.
0:58 - 1:01

Plutôt facile.
Et puis les choses ont changé,
1:01 - 1:04

et fin 2009, ils ont annoncé
1:04 - 1:06

que nous allions avoir
une nouvelle politique,
1:06 - 1:08

et cette nouvelle politique exigeait
1:08 - 1:11

des mots de passe
d'au moins huit caractères,
1:11 - 1:12

avec une majuscule, une minuscule,
1:12 - 1:14

un chiffre, un symbole,
1:14 - 1:16

vous ne pouviez pas utiliser
le même caractère plus de trois fois,
1:16 - 1:19

et ce ne pouvait pas être
un mot du dictionnaire.
1:19 - 1:21

Quand ils ont mis en place
cette nouvelle politique,
1:21 - 1:23

beaucoup de gens,
mes collègues et amis,
1:23 - 1:25

sont venus me voir et ont dit :
1:25 - 1:27

« C'est vraiment inutilisable.
1:27 - 1:28

Pourquoi nous font-ils ça,
1:28 - 1:29

et pourquoi
ne les en as-tu pas empêchés ? »
1:29 - 1:31

Et j'ai dit :
« Vous savez quoi ?
1:31 - 1:32

On ne m'a rien demandé. »
1:32 - 1:36

Mais ça a éveillé ma curiosité,
et j'ai décidé d'aller parler
1:36 - 1:38

aux personnes en charge
des systèmes informatiques
1:38 - 1:41

et de découvrir ce qui
les a amenés à introduire
1:41 - 1:42

cette nouvelle politique,
1:42 - 1:44

et ils ont dit que l'université
1:44 - 1:46

avait rejoint un consortium d'universités,
1:46 - 1:49

et que l'une des exigences
pour devenir membre
1:49 - 1:51

était que nous devions avoir
des mots de passe plus compliqués
1:51 - 1:53

qui respectaient de nouvelles exigences,
1:53 - 1:56

et ces exigences étaient que
nos mots de passe
1:56 - 1:57

devaient avoir beaucoup d'entropie.
1:57 - 1:59

L'entropie est un terme compliqué,
1:59 - 2:02

mais en fait ça mesure
la sécurité des mots de passe.
2:02 - 2:04

Mais le fait est qu'en réalité,
il n'y a pas
2:04 - 2:06

de mesure standard de l'entropie.
2:06 - 2:09

L'Institut National des Standards
et de la Technologie (INST)
2:09 - 2:10

a fixé des règles,
2:10 - 2:13

qui sont basées sur le bon sens,
2:13 - 2:14

pour mesurer l'entropie,
2:14 - 2:17

mais elles n'ont rien de spécifique,
2:17 - 2:19

et la raison pour laquelle
il n'y a que des règles de bon sens
2:19 - 2:23

est qu'il n'y a pas vraiment
de bonne base de données
2:23 - 2:24

sur les mots de passe.
2:24 - 2:26

En fait, dans leur rapport, ils déclarent :
2:26 - 2:29

« Malheureusement, nous n'avons pas
beaucoup de données
2:29 - 2:32

sur les mots de passe que les utilisateurs
choisissent selon les règles spécifiques.
2:32 - 2:34

L'INST aimerait obtenir plus de données
2:34 - 2:36

sur les mots de passe
que les utilisateurs choisissent,
2:36 - 2:39

mais les administrateurs systèmes sont,
on le comprend, réticents
2:39 - 2:42

à révéler les mots de passe
à d'autres personnes. »
2:42 - 2:45

C'est donc un problème,
mais notre groupe de recherche
2:45 - 2:47

l'a envisagé comme une opportunité.
2:47 - 2:50

Nous avons dit : « Il y a besoin de bonnes
données sur les mots de passe.
2:50 - 2:52

Peut-être que nous pouvons collecter
de bonnes données sur les mots de passe
2:52 - 2:55

et faire avancer l'état de l'art. »
2:55 - 2:57

La première chose
que nous avons faite est
2:57 - 2:58

que nous avons pris un sac
plein de sucreries
2:58 - 2:59

et nous nous sommes promenés
dans le campus,
2:59 - 3:02

nous avons parlé à des étudiants,
des professeurs et au personnel,
3:02 - 3:04

et leur avons demandé des informations
3:04 - 3:05

sur leurs mots de passe.
3:05 - 3:08

Nous ne leur avons pas dit :
« Donnez-nous votre mot de passe. »
3:08 - 3:11

Non, nous leur avons simplement
posé des questions sur leur mot de passe.
3:11 - 3:12

Est-il long ? Contient-il un chiffre ?
3:12 - 3:13

Contient-il un symbole ?
3:13 - 3:15

Avez-vous trouvé gênant de devoir en créer
3:15 - 3:18

un nouveau la semaine dernière ?
3:18 - 3:21

Nous avons eu les résultats
concernant 470 étudiants,
3:21 - 3:22

professeurs et membres du personnel,
3:22 - 3:25

et avons confirmé que la nouvelle politque
3:25 - 3:26

était très embêtante,
3:26 - 3:28

mais nous avons aussi remarqué
que les gens disaient
3:28 - 3:31

qu'ils se sentaient plus en sécurité
avec ces nouveaux mots de passe.
3:31 - 3:33

Nous avons constaté
que la plupart des gens savait
3:33 - 3:36

qu'ils n'étaient pas sensés
écrire leur mot de passe sur un papier,
3:36 - 3:38

et que seulement 13%
d'entre eux le faisaient,
3:38 - 3:40

mais, de façon dérangeante,
80% des gens
3:40 - 3:43

disaient qu'ils réutilisaient
leur mot de passe.
3:43 - 3:44

C'est en fait plus dangereux
3:44 - 3:46

que d'écrire votre mot de passe
sur un papier,
3:46 - 3:50

parce que ça vous rend
plus exposés aux attaques.
3:50 - 3:53

Donc, si vous en avez besoin,
écrivez vos mots de passe sur un papier,
3:53 - 3:55

mais ne les réutilisez pas.
3:55 - 3:57

Nous avons également constaté
des choses intéressantes
3:57 - 4:00

concernant les symboles utilisés
dans les mots de passe.
4:00 - 4:02

La CMU autorise 32 symboles possibles,
4:02 - 4:05

mais comme vous pouvez le voir,
seul un petit nombre
4:05 - 4:07

est utilisé par la majorité des gens,
4:07 - 4:10

donc nos mots de passe ne sont pas
vraiment beaucoup plus sûrs
4:10 - 4:12

si on y met des symboles.
4:12 - 4:15

C'était une étude très intéressante,
4:15 - 4:17

et nous avons maintenant les données
de 470 personnes,
4:17 - 4:18

mais dans la situation actuelle,
4:18 - 4:21

ça ne représente pas beaucoup
de données sur les mots de passe,
4:21 - 4:22

nous avons donc regardé autour de nous :
4:22 - 4:25

où pouvions-nous trouver des données
additionnelles sur les mots de passe ?
4:25 - 4:27

Il s'avère que beaucoup de personnes
4:27 - 4:29

volent des mots de passe,
4:29 - 4:32

et souvent postent ces mots de passe
4:32 - 4:33

sur internet.
4:33 - 4:35

Nous avons donc eu accès
4:35 - 4:39

à certains de ces ensembles
de mots de passe volés.
4:39 - 4:41

Cependant, ce n'est pas idéal
pour la recherche
4:41 - 4:43

parce que la provenance
de ces mots de passe
4:43 - 4:45

n'est pas totalement claire,
4:45 - 4:48

ni quelles politiques étaient en place
4:48 - 4:50

quand les gens ont créé ces mots de passe.
4:50 - 4:53

Nous voulions trouver
une meilleure source de données.
4:53 - 4:55

Nous avons décidé qu'une chose
que nous pouvions faire
4:55 - 4:57

était de faire une étude
et de demander aux gens
4:57 - 5:00

de créer des mots de passe
pour notre étude.
5:00 - 5:03

Nous avons utilisé un service du nom de
Amazon Mechanical Turk,
5:03 - 5:05

c'est un service où vous pouvez poster
5:05 - 5:08

un petit job en ligne
qui prend une minute,
5:08 - 5:09

quelques minutes, une heure,
5:09 - 5:12

et payer les gens, un penny,
dix centimes, quelques dollars,
5:12 - 5:13

pour accomplir une tache pour vous
5:13 - 5:15

et ensuite vous les payez via Amazon.com.
5:15 - 5:18

Nous avons payé les gens
environ 50 centimes
5:18 - 5:20

pour créer un mot de passe
suivant nos règles
5:20 - 5:22

et répondre à un sondage,
5:22 - 5:24

et ensuite nous les payions pour revenir
5:24 - 5:26

deux jours plus tard se connecter
5:26 - 5:29

en utilisant leur mot de passe
pour répondre à un autre sondage.
5:29 - 5:33

Nous avons fait ça et nous avons
collecté 5000 mots de passe,
5:33 - 5:36

et nous avons soumis les gens
à différentes réglementations
5:36 - 5:37

pour créer ces mots de passe.
5:37 - 5:39

Certaines personnes avaient
une réglementation plutôt simple,
5:39 - 5:41

nous appelons ça Basic8,
5:41 - 5:43

et la seule règle était
que votre mot de passe
5:43 - 5:47

devait faire au moins
8 caractères de long.
5:47 - 5:49

Et puis d'autres personnes avaient
une réglementation bien plus difficile,
5:49 - 5:51

et qui était très similaire
à la politique du CMU,
5:51 - 5:53

ils devaient avoir 8 caractères
5:53 - 5:56

dont une majuscule, une minuscule,
un chiffre, un symbole,
5:56 - 5:58

et ne pas être dans le dictionnaire.
5:58 - 5:59

Et l'une des autres réglementations
que nous avons essayées,
5:59 - 6:01

et il y en avait plein d'autres,
6:01 - 6:03

mais l'une que nous avons essayée
s'appelait Basic16,
6:03 - 6:05

et la seule exigence était
6:05 - 6:09

d'avoir un mot de passe
d'au moins 16 caractères.
6:09 - 6:11

Nous avions donc 5000 mots de passe,
6:11 - 6:15

et donc nous avions des informations
beaucoup plus détaillées.
6:15 - 6:17

Encore une fois, nous voyons
que seul un petit nombre
6:17 - 6:19

de symboles est utilisé
6:19 - 6:21

dans les mots de passe.
6:21 - 6:24

Nous voulions aussi avoir une idée
de la difficulté
6:24 - 6:26

des mots de passe
que les gens créaient,
6:26 - 6:29

mais comme vous vous souvenez peut-être,
il n'y a pas de bonne mesure
6:29 - 6:31

de la difficulté d'un mot de passe.
6:31 - 6:33

Nous avons donc décidé de regarder
6:33 - 6:35

le temps qu'il faudrait pour craquer
ces mots de passe
6:35 - 6:37

en utilisant les meilleurs outils
6:37 - 6:39

que les voyous utilisent,
6:39 - 6:41

ou sur lesquels nous pouvions
trouver des informations
6:41 - 6:42

dans la littérature de recherche.
6:42 - 6:45

Pour vous donner une idée
de comment les voyous
6:45 - 6:47

craquent les mots de passe,
6:47 - 6:49

ils volent un fichier de mots de passe
6:49 - 6:51

qui contiendra tous les mots de passe
6:51 - 6:54

sous une forme brouillée,
appelée hachage,
6:54 - 6:57

et ce qu'ils vont faire
c'est faire une supposition
6:57 - 6:58

sur ce qu'un mot de passe peut être,
6:58 - 7:00

le passer dans une fonction de hachage,
7:00 - 7:02

et regarder si ça correspond
7:02 - 7:06

aux mots de passe qu'ils ont
sur la liste volée.
7:06 - 7:09

Un attaquant idiot prendra
tous les mots de passe dans l'ordre.
7:09 - 7:13

Il commencera par AAAAA et ensuite AAAAB,
7:13 - 7:15

et ça va prendre beaucoup de temps
7:15 - 7:17

avant qu'il n'obtienne un mot de passe
7:17 - 7:19

que les gens pourraient avoir.
7:19 - 7:22

Un attaquant intelligent, d'un autre côté,
7:22 - 7:23

fait quelque chose de beaucoup plus malin.
7:23 - 7:25

Il regarde les mots de passe
7:25 - 7:27

qui sont réputés populaires
7:27 - 7:28

dans ces listes de mots de passe volés,
7:28 - 7:29

et il suppose quels sont les premiers.
7:29 - 7:32

Il va donc commencer par penser
à « mot de passe »,
7:32 - 7:34

puis à « je t'aime » et « singe »,
7:34 - 7:37

et « 12345678 »
7:37 - 7:38

parce que ce sont les mots de passe
7:38 - 7:40

que les gens ont
le plus de chance d'avoir.
7:40 - 7:43

En fait, certains d'entre vous
ont probablement ces mots de passe.
7:45 - 7:46

Ce que nous avons constaté
7:46 - 7:50

en testant ces 5000
mots de passe collectés
7:50 - 7:54

pour connaître leur difficulté,
7:54 - 7:57

nous avons constaté que
les longs mots de passe
7:57 - 7:58

étaient en fait plutôt difficiles,
7:58 - 8:01

et que les mots de passe compliqués
résistaient aussi plutôt bien.
8:01 - 8:04

Cependant, quand on regarde les sondages,
8:04 - 8:07

on remarque que les gens
étaient vraiment frustrés
8:07 - 8:09

par les mots de passe compliqués,
8:09 - 8:12

et les mots de passe longs
étaient beaucoup plus utilisables,
8:12 - 8:13

et dans certains cas,
ils étaient en fait
8:13 - 8:16

plus difficiles que
les mots de passe complexes.
8:16 - 8:17

Cela suggère que
8:17 - 8:19

au lieu de dire aux gens qu'ils ont besoin
8:19 - 8:20

de mettre tous ces symboles et nombres
8:20 - 8:23

et ces choses un peu folles
dans leurs mots de passe,
8:23 - 8:25

nous ferions mieux de dire aux gens
8:25 - 8:28

d'avoir des mots de passe longs.
8:28 - 8:30

Cependant, il reste un problème :
8:30 - 8:32

certaines personnes ont
de longs mots de passe
8:32 - 8:33

qui ne sont pas très difficiles.
8:33 - 8:35

On peut faire de longs mots de passe
8:35 - 8:37

qui sont quand même
8:37 - 8:39

facilement devinables par un attaquant.
8:39 - 8:42

Nous devons faire plus que
demander des mots de passe longs.
8:42 - 8:44

Il doit y avoir d'autres exigences,
8:44 - 8:47

et parmi nos recherches en cours,
nous recherchons
8:47 - 8:49

quelles exigences supplémentaires
nous devrions avoir
8:49 - 8:52

pour faire des mots de passe
plus difficiles
8:52 - 8:54

qui seront également faciles
8:54 - 8:57

à retenir et à taper.
8:57 - 8:59

Une autre approche pour
pousser les gens à avoir
8:59 - 9:01

des mots de passe plus difficiles est
d'utiliser une mesure de mots de passe.
9:01 - 9:02

Voici quelques exemples.
9:02 - 9:04

Vous avez les peut-être
vu sur internet
9:04 - 9:07

quand vous créiez des mots de passe.
9:07 - 9:09

Nous avons décidé de lancer
une étude pour voir si
9:09 - 9:12

ces mesures de mots de passe
fonctionnaient ou non.
9:12 - 9:13

Aident-elles les gens
9:13 - 9:15

à avoir des mots de passe
plus difficiles ?
9:15 - 9:17

Et si oui,
lesquelles sont les meilleures ?
9:17 - 9:19

Nous avons testé des mesures
de mots de passe qui étaient
9:19 - 9:22

de différentes tailles,
formes et couleurs,
9:22 - 9:23

ayant des mots différents associés,
9:23 - 9:26

et nous avons même testé un lapin dansant.
9:26 - 9:28

Quand vous tapez
un meilleur mot de passe,
9:28 - 9:30

le lapin dance plus vite.
9:30 - 9:33

C'était plutôt amusant.
9:33 - 9:34

Ce que nous avons remarqué
9:34 - 9:38

était que les mesures de
mots de passe fonctionnent.
9:38 - 9:40

(Rires)
9:40 - 9:43

La plupart de ces mesures de
mots de passe étaient efficaces,
9:43 - 9:46

et le lapin dansant était également
très efficace,
9:46 - 9:49

mais les mesures de mots de passe
qui étaient les plus efficaces
9:49 - 9:51

étaient celles qui vous faisaient
travailler plus dur
9:51 - 9:53

avant de vous donner le feu vert
et de dire que
9:53 - 9:54

vous faissiez un bon travail,
9:54 - 9:56

et en fait nous avons remarqué
que la plupart
9:56 - 9:58

des mesures de mots de passe
actuellement sur internet
9:58 - 9:59

étaient trop indulgentes.
9:59 - 10:01

Elles vous disent trop tôt
que vous faites du bon travail,
10:01 - 10:03

et si elles attendaient juste un petit peu
10:03 - 10:05

avant de vous donner un retour positif,
10:05 - 10:08

vous auriez probablement
de meilleurs mots de passe.
10:08 - 10:12

Maintenant, une autre approche pour,
peut-être, de meilleurs mots de passe,
10:12 - 10:15

est d'utiliser des phrases de passe
à la place des mots de passe.
10:15 - 10:18

C'était un dessin animé de la xfcd
d'il y a quelques années,
10:18 - 10:20

et le dessinateur suggère
10:20 - 10:22

que nous devrions tous nous servir
d'expressions de passe,
10:22 - 10:26

et si vous regardez à l'arrière plan
de ce dessin animé,
10:26 - 10:27

vous pouvez voir que
le dessinateur suggère
10:27 - 10:31

que l'expression de passe
« correct cheval batterie agrafe »
10:31 - 10:33

serait une phrase de passe
très difficile
10:33 - 10:35

et très facile à retenir.
10:35 - 10:38

Il dit, en fait, que vous devriez
dejà l'avoir retenue.
10:38 - 10:40

Nous avons donc décidé de lancer une étude
10:40 - 10:43

pour découvrir si c'était vrai ou pas.
10:43 - 10:45

Toutes les personnes
auxquelles j'ai parlé,
10:45 - 10:47

auxquelles j'ai mentionné que je faisais
de la recherche sur les mots de passe,
10:47 - 10:48

toutes m'ont parlé de ce dessin animé.
10:48 - 10:50

« L'avez-vous vu ? Ce xkcd.
10:50 - 10:51

Correct cheval batterie agrafe. »
10:51 - 10:53

Nous avons donc fait l'étude pour voir
10:53 - 10:55

ce qu'il se passerait.
10:55 - 10:58

Dans cette étude, nous avons à nouveau
utilisé Mechanical Turk,
10:58 - 11:03

l'ordinateur prenait des mots au hasard
11:03 - 11:04

pour former la phrase de passe.
11:04 - 11:05

La raison pour laquelle
nous avons fait ça
11:05 - 11:06

est que les humains ne sont pas très bons
11:06 - 11:08

quand il s'agit de choisir
des mots au hasard.
11:08 - 11:09

Si nous demandions
à des humains de le faire,
11:09 - 11:12

ils choisiraient des choses
pas vraiment au hasard.
11:12 - 11:14

Nous avons essayé plusieurs conditions.
11:14 - 11:16

Dans une des conditions,
l'ordinateur choisissait
11:16 - 11:18

dans un dictionnaire de mots
très communs
11:18 - 11:20

de la langue anglaise,
11:20 - 11:21

et donc vous obteniez
des expressions de passe comme :
11:21 - 11:23

« essayer là trois venir ».
11:23 - 11:25

Nous avons regardé ça
et nous avons dit :
11:25 - 11:28

« Ça ne semble pas très mémorisable. »
11:28 - 11:30

Alors ensuite nous avons essayé
de choisir les mots
11:30 - 11:33

issus de parties spécifiques du langage,
11:33 - 11:35

qu'en est-il de nom-verbe-nom-adjectif.
11:35 - 11:38

Il en ressort quelque chose
qui ressemble à une phrase.
11:38 - 11:40

Vous pouvez obtenir
une expression de passe comme :
11:40 - 11:41

« Projet construit pouvoir sûr »
11:41 - 11:44

ou « Fin détermine drogue rouge ».
11:44 - 11:47

Celles-ci semblaient
un peu plus mémorisables,
11:47 - 11:49

et peut-être que
les gens les préfèreraient.
11:49 - 11:52

Nous voulions les comparer
avec les mots de passe,
11:52 - 11:55

l'ordinateur choisissait donc
des mots de passe au hasard,
11:55 - 11:57

qui étaient sympas et courts,
mais comme vous pouvez le voir,
11:57 - 12:00

ils n'ont pas l'air très mémorisables.
12:00 - 12:01

Nous avons ensuite décidé d'essayer
quelque chose qui s'appelle
12:01 - 12:03

un mot de passe prononçable.
12:03 - 12:05

L'ordinateur choisit
des syllables au hasard
12:05 - 12:06

et les réunit
12:06 - 12:09

pour avoir quelque chose
de prononçable
12:09 - 12:11

comme « tufritvi » et « vadasabi ».
12:11 - 12:14

Ce genre de choses
qui se prononcent plutôt bien.
12:14 - 12:16

C'étaient des mots de passe qui étaient
12:16 - 12:19

générés au hasard par notre ordinateur.
12:19 - 12:22

Ce que nous avons remarqué
dans cette étude est que, étonamment,
12:22 - 12:25

les expressions de passe n'étaient en fait
pas si bonnes que ça.
12:25 - 12:28

Les gens ne retenaient pas mieux
12:28 - 12:31

les phrases de passe que
ces mots de passe aléatoires,
12:31 - 12:34

et parce que les phrases de passe
sont plus longues,
12:34 - 12:35

il fallait plus de temps pour les taper
12:35 - 12:38

et les gens faisaient plus d'erreurs
en les tapant.
12:38 - 12:41

Ce n'est donc pas une victoire nette
pour les phrases de passe.
12:41 - 12:45

Désolée pour tous les fans de xkcd.
12:45 - 12:46

D'un autre côté, nous avons remarqué
12:46 - 12:48

que les mots de passe prononçables
12:48 - 12:50

fonctionnaient étonnamment bien,
12:50 - 12:52

et nous faisons donc
de la recherche additionnelle
12:52 - 12:55

pour voir si nous pouvons faire
fonctionner cette approche encore mieux.
12:55 - 12:57

Un des problèmes
12:57 - 12:59

avec certaines des études
que nous avons faites
12:59 - 13:01

est que parce qu'elles sont toutes faites
13:01 - 13:02

via Mechanical Turk,
13:02 - 13:04

ce ne sont pas de vrais
mots de passe.
13:04 - 13:06

Ce sont des mots de passe
qu'ils ont créés
13:06 - 13:09

ou que l'ordinateur a créés
pour notre étude.
13:09 - 13:10

Et nous voulions savoir
est-ce que les gens
13:10 - 13:12

se comporteraient de la même façon
13:12 - 13:15

avec leurs vrais mots de passe.
13:15 - 13:18

Nous nous sommes donc adressés au bureau
de la sécurité des informations de la CMU
13:18 - 13:21

et leur avons demandé si nous pouvions
avoir les vrais mots de passe
13:21 - 13:22

de tout le monde.
13:22 - 13:25

Ce n'est pas étonnant qu'ils aient été
un peu réticents à les partager avec nous,
13:25 - 13:27

mais nous avons été capables
de mettre au point
13:27 - 13:28

un système avec eux
13:28 - 13:30

où ils ont mis tous les vrais
mots de passe
13:30 - 13:33

pour 25 000 étudiants, professeurs
et membres du personnel de la CMU,
13:33 - 13:36

sur un ordinateur verrouillé
dans une pièce verrouillée,
13:36 - 13:37

pas connecté à internet,
13:37 - 13:39

et ils ont lancé un programme
que nous avions codé
13:39 - 13:41

pour analyser ces mots de passe.
13:41 - 13:43

Ils ont vérifié le programme.
13:43 - 13:44

Ils ont lancé le programme.
13:44 - 13:46

Nous n'avons jamais vraiment vu
13:46 - 13:48

aucun mot de passe.
13:48 - 13:50

Nous avons obtenu
des résultats intéressants,
13:50 - 13:52

et les étudiants de Tepper dans le fond,
13:52 - 13:55

ceci va vous intéresser.
13:55 - 13:58

Nous avons constaté que
les mots de passe créés
13:58 - 14:00

par des personnes affiliées
à l'école d'informatique
14:00 - 14:03

étaient en fait 1,8 fois plus difficiles
14:03 - 14:07

que ceux des personnes affiliées
à l'école de commerce.
14:07 - 14:09

Nous avons également beaucoup d'autres
14:09 - 14:11

informations démographiques
très intéressantes.
14:11 - 14:13

L'autre chose très intéressante
que nous avons constatée
14:13 - 14:15

est que lorsque nous avons comparé
les mots de passe de Carnegie Mellon
14:15 - 14:17

avec ceux générés par Mechanical Turk,
14:17 - 14:20

il y avait beaucoup de similitudes,
14:20 - 14:22

et ça a contribué à valider
notre méthode de recherche
14:22 - 14:24

et montre qu'en fait,
collecter des mots de passe
14:24 - 14:26

en utilisant les études
de Mechanical Turk
14:26 - 14:29

est une façon valide d'étudier
les mots de passe.
14:29 - 14:31

C'étaient donc de bonnes nouvelles.
14:31 - 14:34

OK, pour finir je voudrais parler de
14:34 - 14:36

d'aperçus que j'ai eu
alors que j'étais en année sabbatique
14:36 - 14:39

l'année dernière à l'école d'art
de Carnegie Mellon.
14:39 - 14:40

Une des choses que j'ai faites
14:40 - 14:42

est que j'ai fait nombre de couettes,
14:42 - 14:43

et j'ai fait cette couette-ci.
14:43 - 14:45

Elle s'appelle la
« couverture de sécurité ».
14:45 - 14:48

(Rires)
14:48 - 14:51

Et sur cette couette il y a les 1 000
14:51 - 14:53

mots de passe les plus fréquemment volés
14:53 - 14:56

du site RockYou.
14:56 - 14:58

Et la taille des mots de passe
est proportionnelle
14:58 - 15:00

à leur fréquence d'apparition
15:00 - 15:02

dans la base de données des vols.
15:02 - 15:05

Ce que j'ai fait c'est que
j'ai créé ce nuage de mots
15:05 - 15:07

et j'ai parcouru ces 1 000 mots
15:07 - 15:08

et je les ai classés
15:08 - 15:11

en catégories thématiques.
15:11 - 15:13

Et, dans certains cas,
15:13 - 15:15

il a été assez difficile de déterminer
15:15 - 15:17

dans quelle catégorie ils devraient être,
15:17 - 15:18

et ensuite j'ai créé un code couleur.
15:18 - 15:21

Voici des exemples de la difficulté.
15:21 - 15:22

« Justin ».
15:22 - 15:24

Est-ce le nom de l'utilisateur,
15:24 - 15:25

de son copain, de son fils ?
15:25 - 15:28

Peut-être que c'est juste
un fan de Justin Bieber.
15:28 - 15:30

Ou « princesse ».
15:30 - 15:32

Est-ce un surnom ?
15:32 - 15:34

Est-ce un fan des princesses de Disney ?
15:34 - 15:37

Ou peut-être que
c'est le nom de leur chat.
15:37 - 15:39

« Jetaime » apparaît de nombreuses fois
15:39 - 15:41

dans de nombreuses langues.
15:41 - 15:44

Il y a beaucoup d'amour
dans ces mots de passe.
15:44 - 15:46

Si vous regardez attentivement,
vous verrez également
15:46 - 15:48

quelques obscénités,
15:48 - 15:50

mais pour moi il était
très intéressant de voir
15:50 - 15:53

qu'il y a beaucoup plus
d'amour que de haine
15:53 - 15:55

dans ces mots de passe.
15:55 - 15:56

Il y a des animaux,
15:56 - 15:58

beaucoup d'animaux,
15:58 - 16:00

et « singe » est l'animal le plus commun
16:00 - 16:04

et le 14ème mot de passe
le plus populaire de tous.
16:04 - 16:06

Et cela m'a paru curieux,
16:06 - 16:08

et je me suis demandé : « Pourquoi
les singes sont-il si populaires ? »
16:08 - 16:12

Donc dans notre dernière étude
sur les mots de passe,
16:12 - 16:13

à chaque fois que
nous détections quelqu'un
16:13 - 16:16

qui créait un mot de passe
contenant le mot « singe »,
16:16 - 16:19

nous leur demandions pourquoi ils avaient
« singe » dans leur mot de passe.
16:19 - 16:21

Et nous avons constaté --
16:21 - 16:23

jusqu'ici nous avons trouvé
17 personnes, je crois,
16:23 - 16:24

qui ont le mot « singe » --
16:24 - 16:26

Nous avons remarqué qu'environ
un tiers d'entre eux disait
16:26 - 16:28

qu'ils avaient un animal de compagnie
qui s'appelait « singe »
16:28 - 16:30

ou un ami surnommé « singe »,
16:30 - 16:32

et environ un tiers d'entre eux disait
16:32 - 16:33

que c'était juste
qu'ils aimaient les singes
16:33 - 16:35

et que les singes sont très mignons.
16:35 - 16:39

Et celui-ci est vraiment mignon.
16:39 - 16:42

Il semble qu'en fin de compte,
16:42 - 16:44

quand nous créons nos mots de passe,
16:44 - 16:46

nous faisons soit
quelque chose de très simple
16:46 - 16:49

à taper, un schéma familier,
16:49 - 16:51

ou quelque chose qui nous rappelle
l'expression « mot de passe »
16:51 - 16:55

ou le compte pour lequel nous avons
créé le mot de passe,
16:55 - 16:57

ou quoi que ce soit.
16:57 - 17:00

Ou nous pensons à des choses
qui nous rendent heureux,
17:00 - 17:01

et nous créons notre mot de passe
17:01 - 17:04

à partir de choses
qui nous rendent heureux.
17:04 - 17:06

Et, alors que ça rend
plus amusant le fait de taper
17:06 - 17:09

et de se souvenir de notre mot de passe,
17:09 - 17:11

ça rend aussi nos mots de passe
17:11 - 17:13

plus facilement devinables.
17:13 - 17:14

Je sais que beaucoup
de ces exposés de TED
17:14 - 17:16

sont source d'inspiration
17:16 - 17:18

et qu'ils vont font penser à
des choses sympas et heureuses,
17:18 - 17:20

mais quand vous créez votre mot de passe,
17:20 - 17:22

essayez de penser à quelque chose d'autre.
17:22 - 17:23

Merci.
17:23 - 17:24

(Applaudissements)

Title:: Qu'est-ce qui cloche avec votre m0t de pa$$e ?
Speaker:: Lorrie Faith Cranor
Description:: Lorrie Faith Cranor a étudié des milliers de vrais mots de passe pour comprendre les erreurs étonnantes et très courantes que les utilisateurs - et les sites sécurisés - commettent et qui compromettent la sécurité. Et vous vous demandez peut-être : comment a-t-elle étudié des milliers de vrais mots de passe sans compromettre la sécurité d'aucun utilisateur ? C'est une histoire en soi. C'est une base de données secrète qui mérite d'être connue, particulièrement si votre mot de passe est 123456...

more » « less
Video Language:: English
Team:: closed TED
Project:: TEDTalks
Duration:: 17:41

	Elisabeth Buffard approved French subtitles for What’s wrong with your pa$$w0rd?
	Elisabeth Buffard accepted French subtitles for What’s wrong with your pa$$w0rd?
	Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd?
	Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd?
	Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd?
	Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd?
	Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd?
	Morgane Quilfen edited French subtitles for What’s wrong with your pa$$w0rd?

Show all

French subtitles

Revisions

Revision 14 Edited

Elisabeth Buffard

Qu'est-ce qui cloche avec votre m0t de pa$$e ?

Revisions

Our website uses cookies

Operating cookies (Required)