Qu'est-ce qui cloche avec votre m0t de pa$$e ?
-
0:01 - 0:02Je suis professeur d'informatique et
d'ingéniérie informatique -
0:02 - 0:04à Carnegie Mellon,
-
0:04 - 0:06et mes recherches se concentrent sur
l'utilisabilité de la vie privée -
0:06 - 0:09et de la sécurité,
-
0:09 - 0:11et mes amis aiment me donner des exemples
-
0:11 - 0:13de leurs frustrations liées
aux systèmes informatiques, -
0:13 - 0:17particulièrement des frustrations liées à
-
0:17 - 0:21une vie privée et une sécurité
qui ne sont pas utilisables. -
0:21 - 0:23J'entends donc beaucoup parler
des mots de passe. -
0:23 - 0:26Beaucoup de gens sont irrités
par les mots de passe, -
0:26 - 0:28c'est déjà assez compliqué
-
0:28 - 0:31d'avoir un très bon mot de passe
-
0:31 - 0:32dont vous pouvez vous souvenir
-
0:32 - 0:35mais que personne d'autre ne peut deviner.
-
0:35 - 0:37Mais que fait-on lorsqu'on a des comptes
-
0:37 - 0:39sur une centaine de systèmes différents
-
0:39 - 0:41et qu'on est sensé avoir
un mot de passe unique -
0:41 - 0:44pour chacun de ces systèmes ?
-
0:44 - 0:46C'est difficile.
-
0:46 - 0:48A Carnegie Mellon, ils rendaient
-
0:48 - 0:51la mémorisation de nos mots de passe
plutôt facile. -
0:51 - 0:53Jusqu'en 2009, l'exigence était
-
0:53 - 0:56d'avoir un mot de passe
-
0:56 - 0:58comportant au moins un caractère.
-
0:58 - 1:01Plutôt facile.
Et puis les choses ont changé, -
1:01 - 1:04et fin 2009, ils ont annoncé
-
1:04 - 1:06que nous allions avoir
une nouvelle politique, -
1:06 - 1:08et cette nouvelle politique exigeait
-
1:08 - 1:11des mots de passe
d'au moins huit caractères, -
1:11 - 1:12avec une majuscule, une minuscule,
-
1:12 - 1:14un chiffre, un symbole,
-
1:14 - 1:16vous ne pouviez pas utiliser
le même caractère plus de trois fois, -
1:16 - 1:19et ce ne pouvait pas être
un mot du dictionnaire. -
1:19 - 1:21Quand ils ont mis en place
cette nouvelle politique, -
1:21 - 1:23beaucoup de gens,
mes collègues et amis, -
1:23 - 1:25sont venus me voir et ont dit :
-
1:25 - 1:27« C'est vraiment inutilisable.
-
1:27 - 1:28Pourquoi nous font-ils ça,
-
1:28 - 1:29et pourquoi
ne les en as-tu pas empêchés ? » -
1:29 - 1:31Et j'ai dit :
« Vous savez quoi ? -
1:31 - 1:32On ne m'a rien demandé. »
-
1:32 - 1:36Mais ça a éveillé ma curiosité,
et j'ai décidé d'aller parler -
1:36 - 1:38aux personnes en charge
des systèmes informatiques -
1:38 - 1:41et de découvrir ce qui
les a amenés à introduire -
1:41 - 1:42cette nouvelle politique,
-
1:42 - 1:44et ils ont dit que l'université
-
1:44 - 1:46avait rejoint un consortium d'universités,
-
1:46 - 1:49et que l'une des exigences
pour devenir membre -
1:49 - 1:51était que nous devions avoir
des mots de passe plus compliqués -
1:51 - 1:53qui respectaient de nouvelles exigences,
-
1:53 - 1:56et ces exigences étaient que
nos mots de passe -
1:56 - 1:57devaient avoir beaucoup d'entropie.
-
1:57 - 1:59L'entropie est un terme compliqué,
-
1:59 - 2:02mais en fait ça mesure
la sécurité des mots de passe. -
2:02 - 2:04Mais le fait est qu'en réalité,
il n'y a pas -
2:04 - 2:06de mesure standard de l'entropie.
-
2:06 - 2:09L'Institut National des Standards
et de la Technologie (INST) -
2:09 - 2:10a fixé des règles,
-
2:10 - 2:13qui sont basées sur le bon sens,
-
2:13 - 2:14pour mesurer l'entropie,
-
2:14 - 2:17mais elles n'ont rien de spécifique,
-
2:17 - 2:19et la raison pour laquelle
il n'y a que des règles de bon sens -
2:19 - 2:23est qu'il n'y a pas vraiment
de bonne base de données -
2:23 - 2:24sur les mots de passe.
-
2:24 - 2:26En fait, dans leur rapport, ils déclarent :
-
2:26 - 2:29« Malheureusement, nous n'avons pas
beaucoup de données -
2:29 - 2:32sur les mots de passe que les utilisateurs
choisissent selon les règles spécifiques. -
2:32 - 2:34L'INST aimerait obtenir plus de données
-
2:34 - 2:36sur les mots de passe
que les utilisateurs choisissent, -
2:36 - 2:39mais les administrateurs systèmes sont,
on le comprend, réticents -
2:39 - 2:42à révéler les mots de passe
à d'autres personnes. » -
2:42 - 2:45C'est donc un problème,
mais notre groupe de recherche -
2:45 - 2:47l'a envisagé comme une opportunité.
-
2:47 - 2:50Nous avons dit : « Il y a besoin de bonnes
données sur les mots de passe. -
2:50 - 2:52Peut-être que nous pouvons collecter
de bonnes données sur les mots de passe -
2:52 - 2:55et faire avancer l'état de l'art. »
-
2:55 - 2:57La première chose
que nous avons faite est -
2:57 - 2:58que nous avons pris un sac
plein de sucreries -
2:58 - 2:59et nous nous sommes promenés
dans le campus, -
2:59 - 3:02nous avons parlé à des étudiants,
des professeurs et au personnel, -
3:02 - 3:04et leur avons demandé des informations
-
3:04 - 3:05sur leurs mots de passe.
-
3:05 - 3:08Nous ne leur avons pas dit :
« Donnez-nous votre mot de passe. » -
3:08 - 3:11Non, nous leur avons simplement
posé des questions sur leur mot de passe. -
3:11 - 3:12Est-il long ? Contient-il un chiffre ?
-
3:12 - 3:13Contient-il un symbole ?
-
3:13 - 3:15Avez-vous trouvé gênant de devoir en créer
-
3:15 - 3:18un nouveau la semaine dernière ?
-
3:18 - 3:21Nous avons eu les résultats
concernant 470 étudiants, -
3:21 - 3:22professeurs et membres du personnel,
-
3:22 - 3:25et avons confirmé que la nouvelle politque
-
3:25 - 3:26était très embêtante,
-
3:26 - 3:28mais nous avons aussi remarqué
que les gens disaient -
3:28 - 3:31qu'ils se sentaient plus en sécurité
avec ces nouveaux mots de passe. -
3:31 - 3:33Nous avons constaté
que la plupart des gens savait -
3:33 - 3:36qu'ils n'étaient pas sensés
écrire leur mot de passe sur un papier, -
3:36 - 3:38et que seulement 13%
d'entre eux le faisaient, -
3:38 - 3:40mais, de façon dérangeante,
80% des gens -
3:40 - 3:43disaient qu'ils réutilisaient
leur mot de passe. -
3:43 - 3:44C'est en fait plus dangereux
-
3:44 - 3:46que d'écrire votre mot de passe
sur un papier, -
3:46 - 3:50parce que ça vous rend
plus exposés aux attaques. -
3:50 - 3:53Donc, si vous en avez besoin,
écrivez vos mots de passe sur un papier, -
3:53 - 3:55mais ne les réutilisez pas.
-
3:55 - 3:57Nous avons également constaté
des choses intéressantes -
3:57 - 4:00concernant les symboles utilisés
dans les mots de passe. -
4:00 - 4:02La CMU autorise 32 symboles possibles,
-
4:02 - 4:05mais comme vous pouvez le voir,
seul un petit nombre -
4:05 - 4:07est utilisé par la majorité des gens,
-
4:07 - 4:10donc nos mots de passe ne sont pas
vraiment beaucoup plus sûrs -
4:10 - 4:12si on y met des symboles.
-
4:12 - 4:15C'était une étude très intéressante,
-
4:15 - 4:17et nous avons maintenant les données
de 470 personnes, -
4:17 - 4:18mais dans la situation actuelle,
-
4:18 - 4:21ça ne représente pas beaucoup
de données sur les mots de passe, -
4:21 - 4:22nous avons donc regardé autour de nous :
-
4:22 - 4:25où pouvions-nous trouver des données
additionnelles sur les mots de passe ? -
4:25 - 4:27Il s'avère que beaucoup de personnes
-
4:27 - 4:29volent des mots de passe,
-
4:29 - 4:32et souvent postent ces mots de passe
-
4:32 - 4:33sur internet.
-
4:33 - 4:35Nous avons donc eu accès
-
4:35 - 4:39à certains de ces ensembles
de mots de passe volés. -
4:39 - 4:41Cependant, ce n'est pas idéal
pour la recherche -
4:41 - 4:43parce que la provenance
de ces mots de passe -
4:43 - 4:45n'est pas totalement claire,
-
4:45 - 4:48ni quelles politiques étaient en place
-
4:48 - 4:50quand les gens ont créé ces mots de passe.
-
4:50 - 4:53Nous voulions trouver
une meilleure source de données. -
4:53 - 4:55Nous avons décidé qu'une chose
que nous pouvions faire -
4:55 - 4:57était de faire une étude
et de demander aux gens -
4:57 - 5:00de créer des mots de passe
pour notre étude. -
5:00 - 5:03Nous avons utilisé un service du nom de
Amazon Mechanical Turk, -
5:03 - 5:05c'est un service où vous pouvez poster
-
5:05 - 5:08un petit job en ligne
qui prend une minute, -
5:08 - 5:09quelques minutes, une heure,
-
5:09 - 5:12et payer les gens, un penny,
dix centimes, quelques dollars, -
5:12 - 5:13pour accomplir une tache pour vous
-
5:13 - 5:15et ensuite vous les payez via Amazon.com.
-
5:15 - 5:18Nous avons payé les gens
environ 50 centimes -
5:18 - 5:20pour créer un mot de passe
suivant nos règles -
5:20 - 5:22et répondre à un sondage,
-
5:22 - 5:24et ensuite nous les payions pour revenir
-
5:24 - 5:26deux jours plus tard se connecter
-
5:26 - 5:29en utilisant leur mot de passe
pour répondre à un autre sondage. -
5:29 - 5:33Nous avons fait ça et nous avons
collecté 5000 mots de passe, -
5:33 - 5:36et nous avons soumis les gens
à différentes réglementations -
5:36 - 5:37pour créer ces mots de passe.
-
5:37 - 5:39Certaines personnes avaient
une réglementation plutôt simple, -
5:39 - 5:41nous appelons ça Basic8,
-
5:41 - 5:43et la seule règle était
que votre mot de passe -
5:43 - 5:47devait faire au moins
8 caractères de long. -
5:47 - 5:49Et puis d'autres personnes avaient
une réglementation bien plus difficile, -
5:49 - 5:51et qui était très similaire
à la politique du CMU, -
5:51 - 5:53ils devaient avoir 8 caractères
-
5:53 - 5:56dont une majuscule, une minuscule,
un chiffre, un symbole, -
5:56 - 5:58et ne pas être dans le dictionnaire.
-
5:58 - 5:59Et l'une des autres réglementations
que nous avons essayées, -
5:59 - 6:01et il y en avait plein d'autres,
-
6:01 - 6:03mais l'une que nous avons essayée
s'appelait Basic16, -
6:03 - 6:05et la seule exigence était
-
6:05 - 6:09d'avoir un mot de passe
d'au moins 16 caractères. -
6:09 - 6:11Nous avions donc 5000 mots de passe,
-
6:11 - 6:15et donc nous avions des informations
beaucoup plus détaillées. -
6:15 - 6:17Encore une fois, nous voyons
que seul un petit nombre -
6:17 - 6:19de symboles est utilisé
-
6:19 - 6:21dans les mots de passe.
-
6:21 - 6:24Nous voulions aussi avoir une idée
de la difficulté -
6:24 - 6:26des mots de passe
que les gens créaient, -
6:26 - 6:29mais comme vous vous souvenez peut-être,
il n'y a pas de bonne mesure -
6:29 - 6:31de la difficulté d'un mot de passe.
-
6:31 - 6:33Nous avons donc décidé de regarder
-
6:33 - 6:35le temps qu'il faudrait pour craquer
ces mots de passe -
6:35 - 6:37en utilisant les meilleurs outils
-
6:37 - 6:39que les voyous utilisent,
-
6:39 - 6:41ou sur lesquels nous pouvions
trouver des informations -
6:41 - 6:42dans la littérature de recherche.
-
6:42 - 6:45Pour vous donner une idée
de comment les voyous -
6:45 - 6:47craquent les mots de passe,
-
6:47 - 6:49ils volent un fichier de mots de passe
-
6:49 - 6:51qui contiendra tous les mots de passe
-
6:51 - 6:54sous une forme brouillée,
appelée hachage, -
6:54 - 6:57et ce qu'ils vont faire
c'est faire une supposition -
6:57 - 6:58sur ce qu'un mot de passe peut être,
-
6:58 - 7:00le passer dans une fonction de hachage,
-
7:00 - 7:02et regarder si ça correspond
-
7:02 - 7:06aux mots de passe qu'ils ont
sur la liste volée. -
7:06 - 7:09Un attaquant idiot prendra
tous les mots de passe dans l'ordre. -
7:09 - 7:13Il commencera par AAAAA et ensuite AAAAB,
-
7:13 - 7:15et ça va prendre beaucoup de temps
-
7:15 - 7:17avant qu'il n'obtienne un mot de passe
-
7:17 - 7:19que les gens pourraient avoir.
-
7:19 - 7:22Un attaquant intelligent, d'un autre côté,
-
7:22 - 7:23fait quelque chose de beaucoup plus malin.
-
7:23 - 7:25Il regarde les mots de passe
-
7:25 - 7:27qui sont réputés populaires
-
7:27 - 7:28dans ces listes de mots de passe volés,
-
7:28 - 7:29et il suppose quels sont les premiers.
-
7:29 - 7:32Il va donc commencer par penser
à « mot de passe », -
7:32 - 7:34puis à « je t'aime » et « singe »,
-
7:34 - 7:37et « 12345678 »
-
7:37 - 7:38parce que ce sont les mots de passe
-
7:38 - 7:40que les gens ont
le plus de chance d'avoir. -
7:40 - 7:43En fait, certains d'entre vous
ont probablement ces mots de passe. -
7:45 - 7:46Ce que nous avons constaté
-
7:46 - 7:50en testant ces 5000
mots de passe collectés -
7:50 - 7:54pour connaître leur difficulté,
-
7:54 - 7:57nous avons constaté que
les longs mots de passe -
7:57 - 7:58étaient en fait plutôt difficiles,
-
7:58 - 8:01et que les mots de passe compliqués
résistaient aussi plutôt bien. -
8:01 - 8:04Cependant, quand on regarde les sondages,
-
8:04 - 8:07on remarque que les gens
étaient vraiment frustrés -
8:07 - 8:09par les mots de passe compliqués,
-
8:09 - 8:12et les mots de passe longs
étaient beaucoup plus utilisables, -
8:12 - 8:13et dans certains cas,
ils étaient en fait -
8:13 - 8:16plus difficiles que
les mots de passe complexes. -
8:16 - 8:17Cela suggère que
-
8:17 - 8:19au lieu de dire aux gens qu'ils ont besoin
-
8:19 - 8:20de mettre tous ces symboles et nombres
-
8:20 - 8:23et ces choses un peu folles
dans leurs mots de passe, -
8:23 - 8:25nous ferions mieux de dire aux gens
-
8:25 - 8:28d'avoir des mots de passe longs.
-
8:28 - 8:30Cependant, il reste un problème :
-
8:30 - 8:32certaines personnes ont
de longs mots de passe -
8:32 - 8:33qui ne sont pas très difficiles.
-
8:33 - 8:35On peut faire de longs mots de passe
-
8:35 - 8:37qui sont quand même
-
8:37 - 8:39facilement devinables par un attaquant.
-
8:39 - 8:42Nous devons faire plus que
demander des mots de passe longs. -
8:42 - 8:44Il doit y avoir d'autres exigences,
-
8:44 - 8:47et parmi nos recherches en cours,
nous recherchons -
8:47 - 8:49quelles exigences supplémentaires
nous devrions avoir -
8:49 - 8:52pour faire des mots de passe
plus difficiles -
8:52 - 8:54qui seront également faciles
-
8:54 - 8:57à retenir et à taper.
-
8:57 - 8:59Une autre approche pour
pousser les gens à avoir -
8:59 - 9:01des mots de passe plus difficiles est
d'utiliser une mesure de mots de passe. -
9:01 - 9:02Voici quelques exemples.
-
9:02 - 9:04Vous avez les peut-être
vu sur internet -
9:04 - 9:07quand vous créiez des mots de passe.
-
9:07 - 9:09Nous avons décidé de lancer
une étude pour voir si -
9:09 - 9:12ces mesures de mots de passe
fonctionnaient ou non. -
9:12 - 9:13Aident-elles les gens
-
9:13 - 9:15à avoir des mots de passe
plus difficiles ? -
9:15 - 9:17Et si oui,
lesquelles sont les meilleures ? -
9:17 - 9:19Nous avons testé des mesures
de mots de passe qui étaient -
9:19 - 9:22de différentes tailles,
formes et couleurs, -
9:22 - 9:23ayant des mots différents associés,
-
9:23 - 9:26et nous avons même testé un lapin dansant.
-
9:26 - 9:28Quand vous tapez
un meilleur mot de passe, -
9:28 - 9:30le lapin dance plus vite.
-
9:30 - 9:33C'était plutôt amusant.
-
9:33 - 9:34Ce que nous avons remarqué
-
9:34 - 9:38était que les mesures de
mots de passe fonctionnent. -
9:38 - 9:40(Rires)
-
9:40 - 9:43La plupart de ces mesures de
mots de passe étaient efficaces, -
9:43 - 9:46et le lapin dansant était également
très efficace, -
9:46 - 9:49mais les mesures de mots de passe
qui étaient les plus efficaces -
9:49 - 9:51étaient celles qui vous faisaient
travailler plus dur -
9:51 - 9:53avant de vous donner le feu vert
et de dire que -
9:53 - 9:54vous faissiez un bon travail,
-
9:54 - 9:56et en fait nous avons remarqué
que la plupart -
9:56 - 9:58des mesures de mots de passe
actuellement sur internet -
9:58 - 9:59étaient trop indulgentes.
-
9:59 - 10:01Elles vous disent trop tôt
que vous faites du bon travail, -
10:01 - 10:03et si elles attendaient juste un petit peu
-
10:03 - 10:05avant de vous donner un retour positif,
-
10:05 - 10:08vous auriez probablement
de meilleurs mots de passe. -
10:08 - 10:12Maintenant, une autre approche pour,
peut-être, de meilleurs mots de passe, -
10:12 - 10:15est d'utiliser des phrases de passe
à la place des mots de passe. -
10:15 - 10:18C'était un dessin animé de la xfcd
d'il y a quelques années, -
10:18 - 10:20et le dessinateur suggère
-
10:20 - 10:22que nous devrions tous nous servir
d'expressions de passe, -
10:22 - 10:26et si vous regardez à l'arrière plan
de ce dessin animé, -
10:26 - 10:27vous pouvez voir que
le dessinateur suggère -
10:27 - 10:31que l'expression de passe
« correct cheval batterie agrafe » -
10:31 - 10:33serait une phrase de passe
très difficile -
10:33 - 10:35et très facile à retenir.
-
10:35 - 10:38Il dit, en fait, que vous devriez
dejà l'avoir retenue. -
10:38 - 10:40Nous avons donc décidé de lancer une étude
-
10:40 - 10:43pour découvrir si c'était vrai ou pas.
-
10:43 - 10:45Toutes les personnes
auxquelles j'ai parlé, -
10:45 - 10:47auxquelles j'ai mentionné que je faisais
de la recherche sur les mots de passe, -
10:47 - 10:48toutes m'ont parlé de ce dessin animé.
-
10:48 - 10:50« L'avez-vous vu ? Ce xkcd.
-
10:50 - 10:51Correct cheval batterie agrafe. »
-
10:51 - 10:53Nous avons donc fait l'étude pour voir
-
10:53 - 10:55ce qu'il se passerait.
-
10:55 - 10:58Dans cette étude, nous avons à nouveau
utilisé Mechanical Turk, -
10:58 - 11:03l'ordinateur prenait des mots au hasard
-
11:03 - 11:04pour former la phrase de passe.
-
11:04 - 11:05La raison pour laquelle
nous avons fait ça -
11:05 - 11:06est que les humains ne sont pas très bons
-
11:06 - 11:08quand il s'agit de choisir
des mots au hasard. -
11:08 - 11:09Si nous demandions
à des humains de le faire, -
11:09 - 11:12ils choisiraient des choses
pas vraiment au hasard. -
11:12 - 11:14Nous avons essayé plusieurs conditions.
-
11:14 - 11:16Dans une des conditions,
l'ordinateur choisissait -
11:16 - 11:18dans un dictionnaire de mots
très communs -
11:18 - 11:20de la langue anglaise,
-
11:20 - 11:21et donc vous obteniez
des expressions de passe comme : -
11:21 - 11:23« essayer là trois venir ».
-
11:23 - 11:25Nous avons regardé ça
et nous avons dit : -
11:25 - 11:28« Ça ne semble pas très mémorisable. »
-
11:28 - 11:30Alors ensuite nous avons essayé
de choisir les mots -
11:30 - 11:33issus de parties spécifiques du langage,
-
11:33 - 11:35qu'en est-il de nom-verbe-nom-adjectif.
-
11:35 - 11:38Il en ressort quelque chose
qui ressemble à une phrase. -
11:38 - 11:40Vous pouvez obtenir
une expression de passe comme : -
11:40 - 11:41« Projet construit pouvoir sûr »
-
11:41 - 11:44ou « Fin détermine drogue rouge ».
-
11:44 - 11:47Celles-ci semblaient
un peu plus mémorisables, -
11:47 - 11:49et peut-être que
les gens les préfèreraient. -
11:49 - 11:52Nous voulions les comparer
avec les mots de passe, -
11:52 - 11:55l'ordinateur choisissait donc
des mots de passe au hasard, -
11:55 - 11:57qui étaient sympas et courts,
mais comme vous pouvez le voir, -
11:57 - 12:00ils n'ont pas l'air très mémorisables.
-
12:00 - 12:01Nous avons ensuite décidé d'essayer
quelque chose qui s'appelle -
12:01 - 12:03un mot de passe prononçable.
-
12:03 - 12:05L'ordinateur choisit
des syllables au hasard -
12:05 - 12:06et les réunit
-
12:06 - 12:09pour avoir quelque chose
de prononçable -
12:09 - 12:11comme « tufritvi » et « vadasabi ».
-
12:11 - 12:14Ce genre de choses
qui se prononcent plutôt bien. -
12:14 - 12:16C'étaient des mots de passe qui étaient
-
12:16 - 12:19générés au hasard par notre ordinateur.
-
12:19 - 12:22Ce que nous avons remarqué
dans cette étude est que, étonamment, -
12:22 - 12:25les expressions de passe n'étaient en fait
pas si bonnes que ça. -
12:25 - 12:28Les gens ne retenaient pas mieux
-
12:28 - 12:31les phrases de passe que
ces mots de passe aléatoires, -
12:31 - 12:34et parce que les phrases de passe
sont plus longues, -
12:34 - 12:35il fallait plus de temps pour les taper
-
12:35 - 12:38et les gens faisaient plus d'erreurs
en les tapant. -
12:38 - 12:41Ce n'est donc pas une victoire nette
pour les phrases de passe. -
12:41 - 12:45Désolée pour tous les fans de xkcd.
-
12:45 - 12:46D'un autre côté, nous avons remarqué
-
12:46 - 12:48que les mots de passe prononçables
-
12:48 - 12:50fonctionnaient étonnamment bien,
-
12:50 - 12:52et nous faisons donc
de la recherche additionnelle -
12:52 - 12:55pour voir si nous pouvons faire
fonctionner cette approche encore mieux. -
12:55 - 12:57Un des problèmes
-
12:57 - 12:59avec certaines des études
que nous avons faites -
12:59 - 13:01est que parce qu'elles sont toutes faites
-
13:01 - 13:02via Mechanical Turk,
-
13:02 - 13:04ce ne sont pas de vrais
mots de passe. -
13:04 - 13:06Ce sont des mots de passe
qu'ils ont créés -
13:06 - 13:09ou que l'ordinateur a créés
pour notre étude. -
13:09 - 13:10Et nous voulions savoir
est-ce que les gens -
13:10 - 13:12se comporteraient de la même façon
-
13:12 - 13:15avec leurs vrais mots de passe.
-
13:15 - 13:18Nous nous sommes donc adressés au bureau
de la sécurité des informations de la CMU -
13:18 - 13:21et leur avons demandé si nous pouvions
avoir les vrais mots de passe -
13:21 - 13:22de tout le monde.
-
13:22 - 13:25Ce n'est pas étonnant qu'ils aient été
un peu réticents à les partager avec nous, -
13:25 - 13:27mais nous avons été capables
de mettre au point -
13:27 - 13:28un système avec eux
-
13:28 - 13:30où ils ont mis tous les vrais
mots de passe -
13:30 - 13:33pour 25 000 étudiants, professeurs
et membres du personnel de la CMU, -
13:33 - 13:36sur un ordinateur verrouillé
dans une pièce verrouillée, -
13:36 - 13:37pas connecté à internet,
-
13:37 - 13:39et ils ont lancé un programme
que nous avions codé -
13:39 - 13:41pour analyser ces mots de passe.
-
13:41 - 13:43Ils ont vérifié le programme.
-
13:43 - 13:44Ils ont lancé le programme.
-
13:44 - 13:46Nous n'avons jamais vraiment vu
-
13:46 - 13:48aucun mot de passe.
-
13:48 - 13:50Nous avons obtenu
des résultats intéressants, -
13:50 - 13:52et les étudiants de Tepper dans le fond,
-
13:52 - 13:55ceci va vous intéresser.
-
13:55 - 13:58Nous avons constaté que
les mots de passe créés -
13:58 - 14:00par des personnes affiliées
à l'école d'informatique -
14:00 - 14:03étaient en fait 1,8 fois plus difficiles
-
14:03 - 14:07que ceux des personnes affiliées
à l'école de commerce. -
14:07 - 14:09Nous avons également beaucoup d'autres
-
14:09 - 14:11informations démographiques
très intéressantes. -
14:11 - 14:13L'autre chose très intéressante
que nous avons constatée -
14:13 - 14:15est que lorsque nous avons comparé
les mots de passe de Carnegie Mellon -
14:15 - 14:17avec ceux générés par Mechanical Turk,
-
14:17 - 14:20il y avait beaucoup de similitudes,
-
14:20 - 14:22et ça a contribué à valider
notre méthode de recherche -
14:22 - 14:24et montre qu'en fait,
collecter des mots de passe -
14:24 - 14:26en utilisant les études
de Mechanical Turk -
14:26 - 14:29est une façon valide d'étudier
les mots de passe. -
14:29 - 14:31C'étaient donc de bonnes nouvelles.
-
14:31 - 14:34OK, pour finir je voudrais parler de
-
14:34 - 14:36d'aperçus que j'ai eu
alors que j'étais en année sabbatique -
14:36 - 14:39l'année dernière à l'école d'art
de Carnegie Mellon. -
14:39 - 14:40Une des choses que j'ai faites
-
14:40 - 14:42est que j'ai fait nombre de couettes,
-
14:42 - 14:43et j'ai fait cette couette-ci.
-
14:43 - 14:45Elle s'appelle la
« couverture de sécurité ». -
14:45 - 14:48(Rires)
-
14:48 - 14:51Et sur cette couette il y a les 1 000
-
14:51 - 14:53mots de passe les plus fréquemment volés
-
14:53 - 14:56du site RockYou.
-
14:56 - 14:58Et la taille des mots de passe
est proportionnelle -
14:58 - 15:00à leur fréquence d'apparition
-
15:00 - 15:02dans la base de données des vols.
-
15:02 - 15:05Ce que j'ai fait c'est que
j'ai créé ce nuage de mots -
15:05 - 15:07et j'ai parcouru ces 1 000 mots
-
15:07 - 15:08et je les ai classés
-
15:08 - 15:11en catégories thématiques.
-
15:11 - 15:13Et, dans certains cas,
-
15:13 - 15:15il a été assez difficile de déterminer
-
15:15 - 15:17dans quelle catégorie ils devraient être,
-
15:17 - 15:18et ensuite j'ai créé un code couleur.
-
15:18 - 15:21Voici des exemples de la difficulté.
-
15:21 - 15:22« Justin ».
-
15:22 - 15:24Est-ce le nom de l'utilisateur,
-
15:24 - 15:25de son copain, de son fils ?
-
15:25 - 15:28Peut-être que c'est juste
un fan de Justin Bieber. -
15:28 - 15:30Ou « princesse ».
-
15:30 - 15:32Est-ce un surnom ?
-
15:32 - 15:34Est-ce un fan des princesses de Disney ?
-
15:34 - 15:37Ou peut-être que
c'est le nom de leur chat. -
15:37 - 15:39« Jetaime » apparaît de nombreuses fois
-
15:39 - 15:41dans de nombreuses langues.
-
15:41 - 15:44Il y a beaucoup d'amour
dans ces mots de passe. -
15:44 - 15:46Si vous regardez attentivement,
vous verrez également -
15:46 - 15:48quelques obscénités,
-
15:48 - 15:50mais pour moi il était
très intéressant de voir -
15:50 - 15:53qu'il y a beaucoup plus
d'amour que de haine -
15:53 - 15:55dans ces mots de passe.
-
15:55 - 15:56Il y a des animaux,
-
15:56 - 15:58beaucoup d'animaux,
-
15:58 - 16:00et « singe » est l'animal le plus commun
-
16:00 - 16:04et le 14ème mot de passe
le plus populaire de tous. -
16:04 - 16:06Et cela m'a paru curieux,
-
16:06 - 16:08et je me suis demandé : « Pourquoi
les singes sont-il si populaires ? » -
16:08 - 16:12Donc dans notre dernière étude
sur les mots de passe, -
16:12 - 16:13à chaque fois que
nous détections quelqu'un -
16:13 - 16:16qui créait un mot de passe
contenant le mot « singe », -
16:16 - 16:19nous leur demandions pourquoi ils avaient
« singe » dans leur mot de passe. -
16:19 - 16:21Et nous avons constaté --
-
16:21 - 16:23jusqu'ici nous avons trouvé
17 personnes, je crois, -
16:23 - 16:24qui ont le mot « singe » --
-
16:24 - 16:26Nous avons remarqué qu'environ
un tiers d'entre eux disait -
16:26 - 16:28qu'ils avaient un animal de compagnie
qui s'appelait « singe » -
16:28 - 16:30ou un ami surnommé « singe »,
-
16:30 - 16:32et environ un tiers d'entre eux disait
-
16:32 - 16:33que c'était juste
qu'ils aimaient les singes -
16:33 - 16:35et que les singes sont très mignons.
-
16:35 - 16:39Et celui-ci est vraiment mignon.
-
16:39 - 16:42Il semble qu'en fin de compte,
-
16:42 - 16:44quand nous créons nos mots de passe,
-
16:44 - 16:46nous faisons soit
quelque chose de très simple -
16:46 - 16:49à taper, un schéma familier,
-
16:49 - 16:51ou quelque chose qui nous rappelle
l'expression « mot de passe » -
16:51 - 16:55ou le compte pour lequel nous avons
créé le mot de passe, -
16:55 - 16:57ou quoi que ce soit.
-
16:57 - 17:00Ou nous pensons à des choses
qui nous rendent heureux, -
17:00 - 17:01et nous créons notre mot de passe
-
17:01 - 17:04à partir de choses
qui nous rendent heureux. -
17:04 - 17:06Et, alors que ça rend
plus amusant le fait de taper -
17:06 - 17:09et de se souvenir de notre mot de passe,
-
17:09 - 17:11ça rend aussi nos mots de passe
-
17:11 - 17:13plus facilement devinables.
-
17:13 - 17:14Je sais que beaucoup
de ces exposés de TED -
17:14 - 17:16sont source d'inspiration
-
17:16 - 17:18et qu'ils vont font penser à
des choses sympas et heureuses, -
17:18 - 17:20mais quand vous créez votre mot de passe,
-
17:20 - 17:22essayez de penser à quelque chose d'autre.
-
17:22 - 17:23Merci.
-
17:23 - 17:24(Applaudissements)
- Title:
- Qu'est-ce qui cloche avec votre m0t de pa$$e ?
- Speaker:
- Lorrie Faith Cranor
- Description:
-
Lorrie Faith Cranor a étudié des milliers de vrais mots de passe pour comprendre les erreurs étonnantes et très courantes que les utilisateurs - et les sites sécurisés - commettent et qui compromettent la sécurité. Et vous vous demandez peut-être : comment a-t-elle étudié des milliers de vrais mots de passe sans compromettre la sécurité d'aucun utilisateur ? C'est une histoire en soi. C'est une base de données secrète qui mérite d'être connue, particulièrement si votre mot de passe est 123456...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Elisabeth Buffard approved French subtitles for What’s wrong with your pa$$w0rd? | ||
Elisabeth Buffard accepted French subtitles for What’s wrong with your pa$$w0rd? | ||
Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd? | ||
Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd? | ||
Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd? | ||
Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd? | ||
Elisabeth Buffard edited French subtitles for What’s wrong with your pa$$w0rd? | ||
Morgane Quilfen edited French subtitles for What’s wrong with your pa$$w0rd? |