מה לא בסדר עם ה0י0מ# שלך?
-
0:01 - 0:04אני פרופסור להנדסת מחשבים
ומדעי המחשב כאן בקרנגי מלון -
0:04 - 0:08והמחקר שלי מתמקד בפרטיות
ואבטחת מידע שמישים. -
0:08 - 0:11אז חברים שלי אוהבים לתת לי דוגמאות
-
0:11 - 0:13של התסכול שלהם ממערכות ממוחשבות
-
0:13 - 0:17במיוחד כשזה מתקשר
-
0:17 - 0:21לפרטיות ואבטחה לא-שמישיים.
-
0:21 - 0:23אז סיסמאות זה משהו שאני שומעת עליו הרבה.
-
0:23 - 0:26הרבה אנשים מתוסכלים מסיסמאות,
-
0:26 - 0:28וזה מספיק גרוע
-
0:28 - 0:31כשאתם צריכים למצוא סיסמה אחת ממש טובה
-
0:31 - 0:32שאתם יכולים לזכור
-
0:32 - 0:35אבל אף אחד אחר לא יוכל לנחש.
-
0:35 - 0:37אבל מה אתם עושים כשיש לכם חשבונות משתמשים
-
0:37 - 0:39במאות מערכות שונות
-
0:39 - 0:41ואמורה להיות לכם סיסמה ייחודית
-
0:41 - 0:44לכל אחת מהן?
-
0:44 - 0:46זה כבר מסובך.
-
0:46 - 0:48בקרנגי מלון, זה היה
-
0:48 - 0:49די פשוט עבורנו
-
0:49 - 0:51לזכור סיסמאות.
-
0:51 - 0:53עד לשנת 2009 הדרישה לסיסמה
-
0:53 - 0:56הייתה רק שתהיה לך סיסמה
-
0:56 - 0:58עם תו אחד לפחות.
-
0:58 - 1:01די פשוט. אבל אז הדברים השתנו,
-
1:01 - 1:04ובסוף שנת 2009, הודיעו
-
1:04 - 1:06שבקרוב תהיה מדיניות חדשה,
-
1:06 - 1:08והמדיניות החדשה דרשה
-
1:08 - 1:11סיסמה שאורכה לפחות 8 תווים
-
1:11 - 1:12שכוללת אותיות גדולות, אותיות קטנות,
-
1:12 - 1:14ספרה, סימן,
-
1:14 - 1:16אסור להשתמש באותו תו יותר משלוש פעמים
-
1:16 - 1:19ואסור היה שזה יופיע במילון.
-
1:19 - 1:21עכשיו, כשהמדיניות החדשה נכנסה לתוקף,
-
1:21 - 1:23הרבה אנשים, הקולגות שלי וחבריי,
-
1:23 - 1:25פנו אליי ואמרו: "וואו,
-
1:25 - 1:27עכשיו זה ממש לא שימושי.
-
1:27 - 1:28למה הם עושים לנו את זה,
-
1:28 - 1:29ולמה לא עצרת בעדם?"
-
1:29 - 1:31ואני אומרת: "אתם יודעים מה?
-
1:31 - 1:32אף אחד לא שאל אותי."
-
1:32 - 1:36אבל זה סקרן אותי, והחלטתי לדבר
-
1:36 - 1:38עם האנשים שאחראים
על המערכות הממוחשבות שלנו -
1:38 - 1:41ולברר מה הוביל אותם להנהיג
-
1:41 - 1:42את המדיניות החדשה הזו,
-
1:42 - 1:44והם אמרו שהאוניברסיטה
-
1:44 - 1:46הצטרפה להתאגדות של אוניברסיטאות
-
1:46 - 1:49ואחד התנאים להצטרפות היה
-
1:49 - 1:51שיהיו לנו סיסמאות יותר חזקות
-
1:51 - 1:53שיענו על כמה דרישות חדשות,
-
1:53 - 1:56והדרישות הללו היו שבסיסמאות שלנו
-
1:56 - 1:57תהיה חייבת להיות הרבה אנתרופיה.
-
1:57 - 1:59עכשיו, אנתרופיה זה מושג מסובך,
-
1:59 - 2:03אבל בגדול, זה מדד לחוזק של סיסמה.
-
2:03 - 2:05העניין הוא שאין בעצם
-
2:05 - 2:07יחידת מידה מקובלת לאנתרופיה.
-
2:07 - 2:09למכון הלאומי לסטנדרטים וטכנולוגיה
-
2:09 - 2:10יש סדרה של קווים מנחים
-
2:10 - 2:13שמורכבים מכללי אצבע
-
2:13 - 2:14עבור מדידת אנתרופיה,
-
2:14 - 2:17אבל אין להם משהו מוגדר מדי.
-
2:17 - 2:19ומסתבר שהסיבה שיש להם רק כללי אצבע,
-
2:19 - 2:23היא שאין להם נתונים איכותיים
-
2:23 - 2:24בנוגע לסיסמאות.
-
2:24 - 2:26למען האמת, בדו"ח שלהם הם מצהירים:
-
2:26 - 2:29"למרבה הצער, אין לי די נתונים
-
2:29 - 2:32על הסיסמאות שמשתמשים
בוחרים על פי כללים ספציפיים... -
2:32 - 2:34מלס"ט שואף להשיג נתונים נוספים
-
2:34 - 2:36בנוגע לסיסמאות שמשתמשים אכן בוחרים,
-
2:36 - 2:39אך מנהלי מערכות מסתייגים, כמובן,
-
2:39 - 2:42מחשיפת נתוני סיסמאות לאחרים."
-
2:42 - 2:45אז יש לנו כאן בעיה, אבל קבוצת המחקר שלנו
-
2:45 - 2:47הסתכלה על זה כהזדמנות.
-
2:47 - 2:50אמרנו "טוב, יש כאן איזה
צורך לנתונים איכותיים על סיסמאות, -
2:50 - 2:53אולי נוכל לאסוף נתונים שכאלה
-
2:53 - 2:55ובכך לקדם את עדכניות הנתונים הקיימים."
-
2:55 - 2:57אז הדבר הראשון שעשינו,
-
2:57 - 2:58לקחנו שק של ממתקים,
-
2:58 - 2:59הסתובבנו בקמפוס
-
2:59 - 3:02ודיברנו עם סטודנטים, סגל ההוראה והצוות,
-
3:02 - 3:04וביקשנו מהם מידע
-
3:04 - 3:05בנוגע לסיסמאות שלהם.
-
3:05 - 3:08עכשיו, לא ניגשנו אליהם
ושאלנו "מה הסיסמה שלך?" -
3:08 - 3:11לא ולא, רק שאלנו אותם שאלות
בנוגע לסיסמאות שלהם. -
3:11 - 3:12מה אורך הסיסמה? האם יש בה ספרה?
-
3:12 - 3:13האם יש בה סימן?
-
3:13 - 3:15והאם הרגיז אתכם הצורך ליצור
-
3:15 - 3:18סיסמה חדשה שבוע שעבר?
-
3:18 - 3:21קיבלנו תוצאות מ-470 סטודנטים,
-
3:21 - 3:22סגל הוראה וצוות,
-
3:22 - 3:25ואכן מצאנו שהמדיניות החדשה
-
3:25 - 3:26הייתה מאוד מרגיזה.
-
3:26 - 3:28אבל מצאנו גם כן, שאנשים אמרו
-
3:28 - 3:31שהם מרגישים בטוחים יותר עם הסיסמאות הללו.
-
3:31 - 3:33מצאנו שרוב האנשים ידעו
-
3:33 - 3:36שהם לא אמורים לרשום
את הסיסמה שלהם בשום מקום -
3:36 - 3:38ורק 13 אחוזים מהם עשו זאת,
-
3:38 - 3:40אך, באופן מטריד, 80 אחוזים מהם
-
3:40 - 3:43אמרו כי הם "ממחזרים" את הסיסמה שלהם.
-
3:43 - 3:44האמת היא שזה יותר מסוכן
-
3:44 - 3:46מאשר לרשום את הסיסמה איפשהו,
-
3:46 - 3:50כיוון שזה הופך אתכם להרבה יותר פגיעים.
-
3:50 - 3:53אז אם אתם מוכרחים,
רשמו לכם את הסיסמה שלכם, -
3:53 - 3:55אך אל תמחזרו אותה.
-
3:55 - 3:57מצאנו גם נתונים מעניינים
-
3:57 - 4:00על סימנים שאנשים עושים בהם שימוש בסיסמאות.
-
4:00 - 4:02האוניברסיטה מאפשרת להכניס 32 תווים סימנים
-
4:02 - 4:05אך כמו שניתן לראות, אנשים משתמשים
-
4:05 - 4:07רק במספר קטן של תווים,
-
4:07 - 4:10כך שלמעשה איננו מקבלים סיסמאות חזקות יותר
-
4:10 - 4:12משימוש בסימנים בסיסמאות שלנו.
-
4:12 - 4:15זה היה מחקר מעניין,
-
4:15 - 4:17ועכשיו היו לנו נתונים מ-470 אנשים,
-
4:17 - 4:18אבל במכלול של הדברים,
-
4:18 - 4:21אין כאן הרבה נתוני סיסמאות.
-
4:21 - 4:22אז אנחנו מסתכלים סביב ומחפשים
-
4:22 - 4:25איפה נוכל למצוא נתוני סיסמאות נוספים?
-
4:25 - 4:27מתברר שיש הרבה אנשים
-
4:27 - 4:29שגונבים סיסמאות.
-
4:29 - 4:32ולעיתים תכופות הם יפרסמו את
-
4:32 - 4:33הסיסמאות הללו באינטרנט.
-
4:33 - 4:35אז הצלחנו לקבל גישה
-
4:35 - 4:39לכמה מן הסיסמאות הגנובות הללו.
-
4:39 - 4:41זה עדיין לא אידיאלי עבור מחקר
-
4:41 - 4:43כיוון שלא לגמרי ברור
-
4:43 - 4:45מאין הגיעו כל הסיסמאות הללו,
-
4:45 - 4:48או מה הייתה המדיניות
-
4:48 - 4:50בעת שאנשים יצרו את הסיסמאות הללו.
-
4:50 - 4:53לכן רצינו למצוא מקור
טוב יותר עבור הנתונים. -
4:53 - 4:55החלטנו שיש דבר אחד שנוכל לעשות
-
4:55 - 4:57וזה מחקר, בו
-
4:57 - 5:00אנשים ייצרו סיסמאות עבור המחקר שלנו.
-
5:00 - 5:03אז השתמשנו בשירות שנקרא
"אמאזון מכניקל טורק" -
5:03 - 5:06זהו שירות שבו ניתן לפרסם באינטרנט
-
5:06 - 5:08עבודות קטנות שלוקחות דקה,
-
5:08 - 5:09כמה דקות, שעה,
-
5:09 - 5:12ולשלם לאנשים, פני, 10 סנט, כמה דולרים,
-
5:12 - 5:13עבור העבודה שהם עושים עבורך,
-
5:13 - 5:15ואז משלמים להם דרך אמאזון.קום.
-
5:15 - 5:18אז שילמנו לאנשים בערך 50 סנט
-
5:18 - 5:20כדי שייצרו עבורנו סיסמאות
על פי הכללים שלנו -
5:20 - 5:22ויענו על סקר.
-
5:22 - 5:24ואז שילמנו להם שוב
-
5:24 - 5:26כדי שיחזרו יומיים לאחר מכן ויתחברו למערכת
-
5:26 - 5:29בעזרת הסיסמה שיצרו ויענו על סקר נוסף.
-
5:29 - 5:33כך אספנו 5000 סיסמאות.
-
5:33 - 5:36נתנו לאנשים מקבץ של מדיניויות שונות
-
5:36 - 5:37על מנת שייצרו איתם סיסמאות.
-
5:37 - 5:39חלק מהאנשים קיבלו מדיניות מאוד קלה ופשוטה,
-
5:39 - 5:41קראנו למדיניות הזו בייסיק8,
-
5:41 - 5:43ובה יש רק כלל אחד,
-
5:43 - 5:47שאומר שהסיסמה חייבת להכיל לפחות 8 תווים.
-
5:47 - 5:49חלק מהאנשים קיבלו מדיניות הרבה יותר קשה,
-
5:49 - 5:51שהייתה מאוד דומה למדיניות
של אוניברסיטת קרנגי מלון, -
5:51 - 5:53בה הסיסמה הייתה חייבת להכיל 8 תווים,
-
5:53 - 5:56המורכבים מאותיות גדולות,
אותיות קטנות, ספרה, סימן, -
5:56 - 5:58ולעבור בדיקה מילונית.
-
5:58 - 5:59מדיניות נוספת שניסינו,
-
5:59 - 6:01והיו הרבה יותר,
-
6:01 - 6:03אבל אחת מהן נקראה בייסיק 16
-
6:03 - 6:05וכאן, הדרישה היחידה הייתה
-
6:05 - 6:09שהסיסמה תכלול לפחות 16 תווים.
-
6:09 - 6:11טוב, אז בשלב הזה היו לנו 5000 סיסמאות,
-
6:11 - 6:15כך שהיה לנו מידע הרבה יותר מפורט.
-
6:15 - 6:17שוב, אנו רואים שאנשים משתמשים
-
6:17 - 6:19רק בסמפר מועט של
-
6:19 - 6:21סימנים בסיסמאות שלהם.
-
6:21 - 6:24רצינו גם לקבל מושג בנוגע לכמה חזקות
-
6:24 - 6:26היו הסיסמאות שאנשים יצרו,
-
6:26 - 6:29אך, כמו שאתם זוכרים, אין אמת מידה
-
6:29 - 6:31לחוזק של סיסמה.
-
6:31 - 6:33אז החלטנו לבדוק
-
6:33 - 6:35כמה זמן ייקח לפצח את הסיסמאות הללו,
-
6:35 - 6:37בעזרת הכלים הטובים ביותר לפיצוח,
-
6:37 - 6:39שהחבר'ה הרעים משתמשים בהם,
-
6:39 - 6:41או כלים שנוכל למצוא מידע עליהם
-
6:41 - 6:42בספרות מחקרית.
-
6:42 - 6:45אז כדי לתת לכם מושג איך החבר'ה הרעים
-
6:45 - 6:47מצליחים לפצח סיסמאות,
-
6:47 - 6:49הם יגנבו קובץ סיסמה,
-
6:49 - 6:51שמכיל את כל הסיסמאות
-
6:51 - 6:54בצורה מפוזרת שכזו, שנקראת האש (גיבוב),
-
6:54 - 6:57ואז ינחשו
-
6:57 - 6:58מהי הסיסמה,
-
6:58 - 7:00יריצו את זה בפונקציה של גיבוב,
-
7:00 - 7:02ויראו אם זה מתאים
-
7:02 - 7:06לסיסמאות שיש להם ברשימה הגנובה.
-
7:06 - 7:09אז תוקף טיפש ינסה כל סיסמה לפי הסדר.
-
7:09 - 7:13הם יתחילו עם AAAAA, ימשיכו ל AAAAB
-
7:13 - 7:15וזה ייקח המון זמן
-
7:15 - 7:17עד שיצליחו למצוא סיסמה כלשהי
-
7:17 - 7:19שסביר שאנשים ישתמשו בה.
-
7:19 - 7:22מצד שני, תוקף חכם
-
7:22 - 7:23יעשה דבר הרבה יותר מתוחכם.
-
7:23 - 7:25הם יסתכלו על הסיסמאות,
-
7:25 - 7:27שידועות כפופולריות
-
7:27 - 7:28מהסדרות של הגנובות הללו של הסיסמאות,
-
7:28 - 7:29והם ינחשו את הסיסמאות האלה קודם כל.
-
7:29 - 7:32כך שהם יתחילו בניחוש "סיסמה"
-
7:32 - 7:34והם ינחשו "אני אוהב אותך" ו"קוף",
-
7:34 - 7:37וגם "12345678"
-
7:37 - 7:38כיוון שאלה סיסמאות
-
7:38 - 7:40שהסבירות שאנשים משתמשים בהן היא גבוהה.
-
7:40 - 7:43למען האמת, ייתכן כי חלק מכם
משתמשים בסיסמאות הללו. -
7:45 - 7:46אז מה שמצאנו
-
7:46 - 7:50על ידי הרצה, של כל 5000 הסיסמאות שאספנו,
-
7:50 - 7:54במערכת הזו, על מנת לבדוק
כמה חזקות הסיסמאות האלה, -
7:54 - 7:57מצאנו שסיסמאות ארוכות
-
7:57 - 7:58היו דווקא חזקות יחסית,
-
7:58 - 8:01והסיסמאות המורכבות היו גם חזקות יחסית.
-
8:01 - 8:04מצד שני, כשהסתכלנו בנתוני הסקר,
-
8:04 - 8:07ראינו שאנשים היו מאוד מתוסכלים
-
8:07 - 8:09מהסיסמאות המורכבות,
-
8:09 - 8:12והסיסמאות הארוכות היו הרבה יותר שמישות,
-
8:12 - 8:13ובמקרים מסוימים, הן אפילו
-
8:13 - 8:16היו יותר חזקות מסיסמאות מורכבות.
-
8:16 - 8:17זה מצביע על כך
-
8:17 - 8:19שבמקום לומר לאנשים שהם צריכים
-
8:19 - 8:20להכליל סימנים ומספרים
-
8:20 - 8:23ודברים משוגעים בסיסמאות שלהם,
-
8:23 - 8:25אולי עדיף שפשוט נאמר להם
-
8:25 - 8:28שייצרו סיסמאות ארוכות.
-
8:28 - 8:30עכשיו אנו ניצבים בפני בעיה:
-
8:30 - 8:32יש אנשים שהיו להם סיסמאות ארוכות
-
8:32 - 8:33שבעצם לא היו ממש חזקות.
-
8:33 - 8:35ניתן ליצור סיסמאות ארוכות
-
8:35 - 8:37שעדיין יהיו משהו
-
8:37 - 8:39שהתוקף יצליח לנחש בקלות.
-
8:39 - 8:42לפיכך אנחנו צריכים לדרוש
יותר מרק סיסמה ארוכה. -
8:42 - 8:44צריכות להיות דרישות נוספות.
-
8:44 - 8:47וחלק מהמחקר המתמשך שלנו מנסה לבחון
-
8:47 - 8:49אילו דרישות עלינו להוסיף
-
8:49 - 8:52על מנת ליצור סיסמאות חזקות יותר
-
8:52 - 8:54שגם יהיו קלות דיים על מנת
-
8:54 - 8:57שאנשים יוכלו לזכור ולהקליד אותן.
-
8:57 - 8:59גישה נוספת כדי להוביל אנשים
-
8:59 - 9:01ליצירת סיסמאות חזקות היא מד סיסמה.
-
9:01 - 9:02הנה כמה דוגמאות:
-
9:02 - 9:04ייתכן שראיתם את זה באינטרנט
-
9:04 - 9:07כשיצרתם סיסמאות חדשות.
-
9:07 - 9:09החלטנו לעשות מחקר על מנת לגלות
-
9:09 - 9:12האם מדי הסיסמאות הללו אכן עובדים.
-
9:12 - 9:13האם הם באמת עוזרים לאנשים
-
9:13 - 9:15ליצור סיסמאות חזקות יותר,
-
9:15 - 9:17ואם כן, אילו טובים יותר?
-
9:17 - 9:19אז ניסינו מדי סיסמאות
-
9:19 - 9:22מגדלים, צורות וצבעים שונים,
-
9:22 - 9:23עם מילים שונות מוצמדות אליהם,
-
9:23 - 9:26ואפילו בדקנו אחד עם ארנבון שרוקד.
-
9:26 - 9:28כשאתם מקלידים סיסמה טובה יותר,
-
9:28 - 9:30הארנבון רוקד מהר יותר ויותר.
-
9:30 - 9:33אז זה היה די כיף.
-
9:33 - 9:34מה שמצאנו
-
9:34 - 9:38זה שמדי סיסמאות אכן עובדים.
-
9:40 - 9:43רוב מדי הסיסמאות אכן היו אפקטיביים,
-
9:43 - 9:46והארנבון הרוקד היה אפקטיבי גם הוא,
-
9:46 - 9:49אך מדי הסיסמאות האפקטיביים ביותר
-
9:49 - 9:51היו אלה שגרמו לך לעבוד קשה יותר
-
9:51 - 9:53לפני שנתנו לך אור ירוק והודיעו לך
-
9:53 - 9:54שאת/ה עושה עבודה טובה,
-
9:54 - 9:56ולמעשה אנחנו מצאנו שרוב
-
9:56 - 9:58מדי הסיסמאות שנמצאים באינטרנט היום
-
9:58 - 9:59הם עדינים מדי.
-
9:59 - 10:01הם אומרים לנו שאנו עושים
עבודה טובה מוקדם מדי, -
10:01 - 10:03ואם הם רק יחכו עוד קצת
-
10:03 - 10:05לפני שהם נותנים לכם משוב חיובי
-
10:05 - 10:08כנראה שהיו לנו סיסמאות יותר טובות.
-
10:08 - 10:12גישה אפשרית נוספת לסיסמאות טובות יותר
-
10:12 - 10:15היא להשתמש במשפט-סיסמה במקום במילה.
-
10:15 - 10:18זהו קומיקס של XKCD מלפני כשנתיים
-
10:18 - 10:20וצייר הקומיקס מציע
-
10:20 - 10:22שכולנו נשתמש במשפטי-סיסמאות,
-
10:22 - 10:26ואם תסתכלו בשורה השנייה של הקומיקס
-
10:26 - 10:27תוכלו לראות שהצייר מצביע על כך
-
10:27 - 10:31שמשפט-הסיסמה: "נכון סוס סוללה סיכה"
-
10:31 - 10:33יהווה סיסמה מאוד חזקה
-
10:33 - 10:35וגם קלה לזכירה.
-
10:35 - 10:38למעשה, הוא אומר, אתם כבר זוכרים אותו.
-
10:38 - 10:40ולכן החלטנו לעשות מחקר
-
10:40 - 10:43על מנת לגלות אם זה אכן נכון.
-
10:43 - 10:45למען האמת, כל מי שדיברתי איתם,
-
10:45 - 10:47והסברתי להם שאני עושה מחקר בנושא סיסמאות,
-
10:47 - 10:48הזכירו את הקומיקס הזה.
-
10:48 - 10:50"אה, ראית את זה? XKCD האלה.
-
10:50 - 10:51נכון סוס סוללה סיכה"
-
10:51 - 10:53אז המשכנו לחקור כדי לפענח
-
10:53 - 10:55לאן זה יוביל.
-
10:55 - 10:58אז במחקר הזה שלנו,
השתמשנו שוב ב"אמאזון מכניקל טורק" -
10:58 - 11:03והמחשב בחר עבורנו מילים אקראיות
-
11:03 - 11:04במשפט-סיסמה.
-
11:04 - 11:05הסיבה שעשינו זאת היא
-
11:05 - 11:06מכיוון שבני אנוש לא מוצלחים כל כך
-
11:06 - 11:08בבחירת מילים אקראיות.
-
11:08 - 11:09אם בן אנוש היה עושה זאת
-
11:09 - 11:12הוא היה בוחר מילים שאינן אקראיות כל כך.
-
11:12 - 11:14אז ניסינו מספר תנאים שונים.
-
11:14 - 11:16על פי תנאי אחד, המחשב בחר
-
11:16 - 11:18מתוך מילון של מילים מאוד נפוצות
-
11:18 - 11:20בשפה האנגלית.
-
11:20 - 11:21וכך התקבלו משפטי-סיסמה כמו
-
11:21 - 11:23"נסה שם שלוש בוא".
-
11:23 - 11:25הסתכלנו על זה ואמרנו,
-
11:25 - 11:28"טוב, זה לא ממש נראה
כמו משהו שניתן לזכור בקלות" -
11:28 - 11:30אז ניסינו לבחור מילים
-
11:30 - 11:33שמשמשות כחלקים שונים בהבעה,
-
11:33 - 11:35למשל שם עצם-שם תואר-פועל-שם עצם.
-
11:35 - 11:38שיופיעו כסוג של משהו שמדמה משפט.
-
11:38 - 11:40כך שנוכל לקבל משפט-סיסמה כמו
-
11:40 - 11:41"תכנית בונה כוח מהימן"
-
11:41 - 11:44או "סיום קובע סם אדום"
-
11:44 - 11:47ואלה נראו כקלים יותר לזכירה.
-
11:47 - 11:49ואולי אנשים יאהבו אותם קצת יותר.
-
11:49 - 11:52רצינו להשוות את אלה למילות-סיסמה,
-
11:52 - 11:55אז המחשב בחר עבורנו מילות-סיסמה אקראיות,
-
11:55 - 11:57והן היו נחמדות וקצרות,
אך כמו שאתם יכולים לראות -
11:57 - 12:00הן לא נראות כל כך בלתי-נשכחות.
-
12:00 - 12:01אז החלטנו לנסות משהו שנקרא
-
12:01 - 12:03"סיסמה ניתנת לביטוי"
-
12:03 - 12:05כך המחשב בוחר הברות אקראיות
-
12:05 - 12:06ומחבר ביניהן
-
12:06 - 12:09עך שמתקבל משהו יחסית ניתן לביטוי
-
12:09 - 12:11כמו "מדשאיני" או "לביבסאבי"
-
12:11 - 12:14שדי מתגלגל לך על הלשון.
-
12:14 - 12:16אז אלה היו מילות-סיסמה אקראיות
-
12:16 - 12:19שנוצרו על ידי המחשב שלנו.
-
12:19 - 12:22כך שמה שמצאנו במחקר הזה, באופן מפתיע,
-
12:22 - 12:25משפטי-סיסמה לא היו
כאלה מצוינים בסופו של דבר. -
12:25 - 12:28אנשים לא זכרו אותם טוב יותר
-
12:28 - 12:31מאשר את מילות הסיסמה.
-
12:31 - 12:34וגם כיוון שמשפטי-סיסמה ארוכים יותר,
-
12:34 - 12:35ולקח יותר זמן להקליד אותם
-
12:35 - 12:38אנשים טעו יותר בזמן הקלדתם.
-
12:38 - 12:41לכן אין כאן הכרעה ברורה
בנושא משפטי-הסיסמה. -
12:41 - 12:45מצטערת, חובבי XKCD.
-
12:45 - 12:46מאידך, מצאנו
-
12:46 - 12:48שמילות סיסמה שניתנות לביטוי
-
12:48 - 12:50עבדו מעולה, באופן מפתיע.
-
12:50 - 12:52אז אנחנו כרגע חוקרים לעומק
-
12:52 - 12:55על מנת לראות אם נוכל לפתח את הגישה הזו.
-
12:55 - 12:57אחת הבעיות
-
12:57 - 12:59עם חלק מהמחקרים שביצענו
-
12:59 - 13:01זה בגלל שכולם נעשו
-
13:01 - 13:02בעזרת "מכניקל טורק"
-
13:02 - 13:04אלה לא סיסמאות אמיתיות של מישהו.
-
13:04 - 13:06אלה הן סיסמאות שהם יצרו
-
13:06 - 13:09או שמחשב יצר אותם עבור המחקר שלנו.
-
13:09 - 13:10ורצינו לדעת האם אנשים
-
13:10 - 13:12יתנהגו באותו אופן
-
13:12 - 13:15עם הסיסמאות האמיתיות שמשמשות אותם.
-
13:15 - 13:18אז דיברנו עם אחראי אבטחת המידע
באוניברסיטת קרנגי מלון -
13:18 - 13:22וביקשנו אם נוכל לקבל
את כל הסיסמאות האמיתיות במערכת. -
13:22 - 13:24כמובן, הם היו די מסויגים
-
13:24 - 13:25לשתף אותנו בפרטים הללו,
-
13:25 - 13:27אבל הצלחנו למצוא,
-
13:27 - 13:28יחד איתם, שיטה
-
13:28 - 13:30לפיה הם ישימו את כל הסיסמאות
-
13:30 - 13:33של 25000 סטודנטים, סגל וצוות האוניברסיטה
-
13:33 - 13:36במחשב נעול, בחדר נעול,
-
13:36 - 13:37שאינו מחובר לאינטרנט,
-
13:37 - 13:39והם הריצו עליו צופן שאנחנו רשמנו
-
13:39 - 13:41כדי לנתח את הסיסמאות הללו.
-
13:41 - 13:43הם ביקרו את הצופן שלנו.
-
13:43 - 13:44הם הריצו את הקוד.
-
13:44 - 13:46כך שבעצם לא ראינו כלל
-
13:46 - 13:48אף אחת מהסיסמאות.
-
13:48 - 13:50קיבלנו תוצאות מעניינות.
-
13:50 - 13:52ואתם שם מאחור,
הסטודנטים בטפר (בי"ס לעסקים), -
13:52 - 13:55זה יעניין אתכם מאוד.
-
13:55 - 13:58מצאנו שהסיסמאות שנוצרו
-
13:58 - 14:00על ידי אנשים שמשויכים לביה"ס למדעי המחשב
-
14:00 - 14:03היו פי 1.8 חזקות יותר
-
14:03 - 14:07מהסיסמאות של המשויכים לביה"ס לעסקים.
-
14:07 - 14:09יש לנו עוד הרבה
-
14:09 - 14:11מידע דמוגרפי מעניין גם כן.
-
14:11 - 14:13דבר מעניין נוסף שמצאנו
-
14:13 - 14:15זה שבהשוואה בין הסיסמאות מהאוניברסיטה
-
14:15 - 14:17לסיסמאות שנוצרו דרך "מכניקל טורק"
-
14:17 - 14:20מצאנו שיש הרבה דמיון ביניהן,
-
14:20 - 14:22כך שזה נתן תוקף לשיטת המחקר שלנו
-
14:22 - 14:24והוכיח שבעצם, איסוף סיסמאות
-
14:24 - 14:26על ידי שימוש בסקרים ב"מכניקל טורק"
-
14:26 - 14:29זו אכן שיטה תקפה ללמידה של סיסמאות.
-
14:29 - 14:31אז אלה היו חדשות טובות.
-
14:31 - 14:34רציתי לסיים בלדבר על
-
14:34 - 14:36כמה תובנות שצברתי במהלך שנת שבתון
-
14:36 - 14:39שלקחתי בשנה שעברה
בביה"ס לאומנות של קרנגי מלון. -
14:39 - 14:40אחד הדברים שעשיתי
-
14:40 - 14:42זה הכנתי מספר שמיכות טלאים
-
14:42 - 14:43והכנתי את שמיכת הטלאים הזו כאן.
-
14:43 - 14:45זה נקרא "שמיכת אבטחה"
-
14:48 - 14:51ובשמיכה הזאת יש אלף
-
14:51 - 14:53סיסמאות שהן הנגנבות ביותר
-
14:53 - 14:56מאתר RockYou
-
14:56 - 14:58והאורך של הסיסמאות הוא פרופורציונלי
-
14:58 - 15:00לתכיפות בה הסיסמה מופיעה
-
15:00 - 15:02בנתונים של סיסמאות גנובות.
-
15:02 - 15:05ומה שעשיתי זה יצרתי את ענן-המילים הזה,
-
15:05 - 15:07עברתי על כל אלף המילים,
-
15:07 - 15:08וקיטלגתי אותם
-
15:08 - 15:11למערכת נושאית כללית.
-
15:11 - 15:13ובחלק מהמקרים, זה היה
-
15:13 - 15:15די קשה להחליט
-
15:15 - 15:17באיזו קטגוריה לקטלג אותן,
-
15:17 - 15:18ואז סידרתי אותם על פי צבעים.
-
15:18 - 15:21אז הנה כמה דוגמאות של הקושי בפיענוח.
-
15:21 - 15:22אז לדוגמה "ג'סטין"
-
15:22 - 15:24האם זה שם המשתמש,
-
15:24 - 15:25שם החבר או הבן?
-
15:25 - 15:28אולי הם בכלל מעריצים של ג'סטין ביבר.
-
15:28 - 15:30או "נסיכה"
-
15:30 - 15:32האם זה שם חיבה?
-
15:32 - 15:34האם אלה הם מעריצים של נסיכת דיסני?
-
15:34 - 15:37או אולי זהו שם החתולה שלהם.
-
15:37 - 15:39"אניאוהבאותך" מופיע הרבה פעמים
-
15:39 - 15:41בהרבה שפות שונות.
-
15:41 - 15:44יש הרבה "אהבה" בסיסמאות הללו.
-
15:44 - 15:46אם תביטו היטב תוכלו לראות
-
15:46 - 15:48שיש שם גם תועבה,
-
15:48 - 15:50אבל זה היה מאוד מעניין עבורי
-
15:50 - 15:53לראות שיש הרבה יותר אהבה משנאה
-
15:53 - 15:55בסיסמאות הללו.
-
15:55 - 15:56ויש בעלי חיים,
-
15:56 - 15:58הרבה בעלי חיים,
-
15:58 - 16:00ו"קוף" זה הנפוץ ביותר מביניהם
-
16:00 - 16:04והסיסמה ה-14 הנפוצה ביותר ברשימה.
-
16:04 - 16:06וזה מאוד סיקרן אותי
-
16:06 - 16:08וחשבתי לעצמי
"למה קופים הם כל כך פופולריים?" -
16:08 - 16:12וכך, במחקר הסיסמאות האחרון שלנו
-
16:12 - 16:13כל פעם שזיהינו מישהו
-
16:13 - 16:16שיצר סיסמה עם המילה "קוף"
-
16:16 - 16:19שאלנו אותם למה הם החליטו
לכלול קוף בסיסמה שלהם -
16:19 - 16:21ומה שגילינו...
-
16:21 - 16:23גילינו ש-17 אנשים, עד כה, אני חושבת
-
16:23 - 16:24שכללו את המילה "קוף"...
-
16:24 - 16:26מצאנו שכשליש מהם אמרו
-
16:26 - 16:28שיש להם חיית מחמד שקוראים לה "קוף"
-
16:28 - 16:30או חבר שהכינוי שלו זה "קוף"
-
16:30 - 16:32ושליש מהם אמרו
-
16:32 - 16:33שהם פשוט אוהבים קופים
-
16:33 - 16:35ושקופים ממש חמודים.
-
16:35 - 16:39והבחור הזה ממש חמוד.
-
16:39 - 16:42כך שנראה, בסופו של יום,
-
16:42 - 16:44כשאנחנו יוצרים סיסמאות
-
16:44 - 16:46אנחנו יוצרים משהו שהוא ממש קל להקליד
-
16:46 - 16:49כמו תבנית נפוצה,
-
16:49 - 16:51או דברים שמזכירים לנו את מילת הסיסמה
-
16:51 - 16:55או את החשבון שעבורו יצרנו את הסיסמה,
-
16:55 - 16:57או כל דבר.
-
16:57 - 17:00או שאנחנו חושבים על דברים
שגורמים לנו לשמוח. -
17:00 - 17:01ואנחנו יוצרים את הסיסמאות שלנו
-
17:01 - 17:04בהתבסס על דברים שגורמים לנו לשמוח.
-
17:04 - 17:06ואמנם זה גורם להקלדה
-
17:06 - 17:09ולזכירה של הסיסמה שלנו להיות מהנים יותר,
-
17:09 - 17:11אבל זה גם הופך את הסיסמה שלנו
-
17:11 - 17:13להרבה יותר קלה לניחוש.
-
17:13 - 17:14אז אני יודעת שהרבה מהסרטונים הללו ב TED
-
17:14 - 17:16הם מעוררי השראה
-
17:16 - 17:18והם גורמים לכם לחשוב
על דברים נחמדים ומשמחים, -
17:18 - 17:20אבל כשאתם יוצרים לעצמכם סיסמה,
-
17:20 - 17:22נסו לחשוב על משהו אחר.
-
17:22 - 17:23תודה.
- Title:
- מה לא בסדר עם ה0י0מ# שלך?
- Speaker:
- לורי פיית' קראנור
- Description:
-
לורי פיית' קראנור למדה אלפים של סיסמאות אמיתיות על מנת לגלות את הטעויות המפתיעות והנפוצות שמשתמשים, ואתרים מאובטחים, עושים ובכך מסכנים את אבטחתם. איך, תשאלו, היא למדה אלפי סיסמאות אמיתיות בלי לסכן את אבטחת המשתמשים הללו? זהו סיפור בפני עצמו. זהו נתון סודי שכדאי לדעת, במיוחד אם הסיסמה שלך היא 123456...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Ido Dekkers approved Hebrew subtitles for What’s wrong with your pa$$w0rd? | ||
Ido Dekkers edited Hebrew subtitles for What’s wrong with your pa$$w0rd? | ||
Ido Dekkers edited Hebrew subtitles for What’s wrong with your pa$$w0rd? | ||
Ido Dekkers edited Hebrew subtitles for What’s wrong with your pa$$w0rd? | ||
Oren Szekatch accepted Hebrew subtitles for What’s wrong with your pa$$w0rd? | ||
Oren Szekatch edited Hebrew subtitles for What’s wrong with your pa$$w0rd? | ||
Oren Szekatch edited Hebrew subtitles for What’s wrong with your pa$$w0rd? | ||
Shira Salingré edited Hebrew subtitles for What’s wrong with your pa$$w0rd? |