מה לא בסדר עם ה0י0מ# שלך?

0:01 - 0:04

אני פרופסור להנדסת מחשבים
ומדעי המחשב כאן בקרנגי מלון
0:04 - 0:08

והמחקר שלי מתמקד בפרטיות
ואבטחת מידע שמישים.
0:08 - 0:11

אז חברים שלי אוהבים לתת לי דוגמאות
0:11 - 0:13

של התסכול שלהם ממערכות ממוחשבות
0:13 - 0:17

במיוחד כשזה מתקשר
0:17 - 0:21

לפרטיות ואבטחה לא-שמישיים.
0:21 - 0:23

אז סיסמאות זה משהו שאני שומעת עליו הרבה.
0:23 - 0:26

הרבה אנשים מתוסכלים מסיסמאות,
0:26 - 0:28

וזה מספיק גרוע
0:28 - 0:31

כשאתם צריכים למצוא סיסמה אחת ממש טובה
0:31 - 0:32

שאתם יכולים לזכור
0:32 - 0:35

אבל אף אחד אחר לא יוכל לנחש.
0:35 - 0:37

אבל מה אתם עושים כשיש לכם חשבונות משתמשים
0:37 - 0:39

במאות מערכות שונות
0:39 - 0:41

ואמורה להיות לכם סיסמה ייחודית
0:41 - 0:44

לכל אחת מהן?
0:44 - 0:46

זה כבר מסובך.
0:46 - 0:48

בקרנגי מלון, זה היה
0:48 - 0:49

די פשוט עבורנו
0:49 - 0:51

לזכור סיסמאות.
0:51 - 0:53

עד לשנת 2009 הדרישה לסיסמה
0:53 - 0:56

הייתה רק שתהיה לך סיסמה
0:56 - 0:58

עם תו אחד לפחות.
0:58 - 1:01

די פשוט. אבל אז הדברים השתנו,
1:01 - 1:04

ובסוף שנת 2009, הודיעו
1:04 - 1:06

שבקרוב תהיה מדיניות חדשה,
1:06 - 1:08

והמדיניות החדשה דרשה
1:08 - 1:11

סיסמה שאורכה לפחות 8 תווים
1:11 - 1:12

שכוללת אותיות גדולות, אותיות קטנות,
1:12 - 1:14

ספרה, סימן,
1:14 - 1:16

אסור להשתמש באותו תו יותר משלוש פעמים
1:16 - 1:19

ואסור היה שזה יופיע במילון.
1:19 - 1:21

עכשיו, כשהמדיניות החדשה נכנסה לתוקף,
1:21 - 1:23

הרבה אנשים, הקולגות שלי וחבריי,
1:23 - 1:25

פנו אליי ואמרו: "וואו,
1:25 - 1:27

עכשיו זה ממש לא שימושי.
1:27 - 1:28

למה הם עושים לנו את זה,
1:28 - 1:29

ולמה לא עצרת בעדם?"
1:29 - 1:31

ואני אומרת: "אתם יודעים מה?
1:31 - 1:32

אף אחד לא שאל אותי."
1:32 - 1:36

אבל זה סקרן אותי, והחלטתי לדבר
1:36 - 1:38

עם האנשים שאחראים
על המערכות הממוחשבות שלנו
1:38 - 1:41

ולברר מה הוביל אותם להנהיג
1:41 - 1:42

את המדיניות החדשה הזו,
1:42 - 1:44

והם אמרו שהאוניברסיטה
1:44 - 1:46

הצטרפה להתאגדות של אוניברסיטאות
1:46 - 1:49

ואחד התנאים להצטרפות היה
1:49 - 1:51

שיהיו לנו סיסמאות יותר חזקות
1:51 - 1:53

שיענו על כמה דרישות חדשות,
1:53 - 1:56

והדרישות הללו היו שבסיסמאות שלנו
1:56 - 1:57

תהיה חייבת להיות הרבה אנתרופיה.
1:57 - 1:59

עכשיו, אנתרופיה זה מושג מסובך,
1:59 - 2:03

אבל בגדול, זה מדד לחוזק של סיסמה.
2:03 - 2:05

העניין הוא שאין בעצם
2:05 - 2:07

יחידת מידה מקובלת לאנתרופיה.
2:07 - 2:09

למכון הלאומי לסטנדרטים וטכנולוגיה
2:09 - 2:10

יש סדרה של קווים מנחים
2:10 - 2:13

שמורכבים מכללי אצבע
2:13 - 2:14

עבור מדידת אנתרופיה,
2:14 - 2:17

אבל אין להם משהו מוגדר מדי.
2:17 - 2:19

ומסתבר שהסיבה שיש להם רק כללי אצבע,
2:19 - 2:23

היא שאין להם נתונים איכותיים
2:23 - 2:24

בנוגע לסיסמאות.
2:24 - 2:26

למען האמת, בדו"ח שלהם הם מצהירים:
2:26 - 2:29

"למרבה הצער, אין לי די נתונים
2:29 - 2:32

על הסיסמאות שמשתמשים
בוחרים על פי כללים ספציפיים...
2:32 - 2:34

מלס"ט שואף להשיג נתונים נוספים
2:34 - 2:36

בנוגע לסיסמאות שמשתמשים אכן בוחרים,
2:36 - 2:39

אך מנהלי מערכות מסתייגים, כמובן,
2:39 - 2:42

מחשיפת נתוני סיסמאות לאחרים."
2:42 - 2:45

אז יש לנו כאן בעיה, אבל קבוצת המחקר שלנו
2:45 - 2:47

הסתכלה על זה כהזדמנות.
2:47 - 2:50

אמרנו "טוב, יש כאן איזה
צורך לנתונים איכותיים על סיסמאות,
2:50 - 2:53

אולי נוכל לאסוף נתונים שכאלה
2:53 - 2:55

ובכך לקדם את עדכניות הנתונים הקיימים."
2:55 - 2:57

אז הדבר הראשון שעשינו,
2:57 - 2:58

לקחנו שק של ממתקים,
2:58 - 2:59

הסתובבנו בקמפוס
2:59 - 3:02

ודיברנו עם סטודנטים, סגל ההוראה והצוות,
3:02 - 3:04

וביקשנו מהם מידע
3:04 - 3:05

בנוגע לסיסמאות שלהם.
3:05 - 3:08

עכשיו, לא ניגשנו אליהם
ושאלנו "מה הסיסמה שלך?"
3:08 - 3:11

לא ולא, רק שאלנו אותם שאלות
בנוגע לסיסמאות שלהם.
3:11 - 3:12

מה אורך הסיסמה? האם יש בה ספרה?
3:12 - 3:13

האם יש בה סימן?
3:13 - 3:15

והאם הרגיז אתכם הצורך ליצור
3:15 - 3:18

סיסמה חדשה שבוע שעבר?
3:18 - 3:21

קיבלנו תוצאות מ-470 סטודנטים,
3:21 - 3:22

סגל הוראה וצוות,
3:22 - 3:25

ואכן מצאנו שהמדיניות החדשה
3:25 - 3:26

הייתה מאוד מרגיזה.
3:26 - 3:28

אבל מצאנו גם כן, שאנשים אמרו
3:28 - 3:31

שהם מרגישים בטוחים יותר עם הסיסמאות הללו.
3:31 - 3:33

מצאנו שרוב האנשים ידעו
3:33 - 3:36

שהם לא אמורים לרשום
את הסיסמה שלהם בשום מקום
3:36 - 3:38

ורק 13 אחוזים מהם עשו זאת,
3:38 - 3:40

אך, באופן מטריד, 80 אחוזים מהם
3:40 - 3:43

אמרו כי הם "ממחזרים" את הסיסמה שלהם.
3:43 - 3:44

האמת היא שזה יותר מסוכן
3:44 - 3:46

מאשר לרשום את הסיסמה איפשהו,
3:46 - 3:50

כיוון שזה הופך אתכם להרבה יותר פגיעים.
3:50 - 3:53

אז אם אתם מוכרחים,
רשמו לכם את הסיסמה שלכם,
3:53 - 3:55

אך אל תמחזרו אותה.
3:55 - 3:57

מצאנו גם נתונים מעניינים
3:57 - 4:00

על סימנים שאנשים עושים בהם שימוש בסיסמאות.
4:00 - 4:02

האוניברסיטה מאפשרת להכניס 32 תווים סימנים
4:02 - 4:05

אך כמו שניתן לראות, אנשים משתמשים
4:05 - 4:07

רק במספר קטן של תווים,
4:07 - 4:10

כך שלמעשה איננו מקבלים סיסמאות חזקות יותר
4:10 - 4:12

משימוש בסימנים בסיסמאות שלנו.
4:12 - 4:15

זה היה מחקר מעניין,
4:15 - 4:17

ועכשיו היו לנו נתונים מ-470 אנשים,
4:17 - 4:18

אבל במכלול של הדברים,
4:18 - 4:21

אין כאן הרבה נתוני סיסמאות.
4:21 - 4:22

אז אנחנו מסתכלים סביב ומחפשים
4:22 - 4:25

איפה נוכל למצוא נתוני סיסמאות נוספים?
4:25 - 4:27

מתברר שיש הרבה אנשים
4:27 - 4:29

שגונבים סיסמאות.
4:29 - 4:32

ולעיתים תכופות הם יפרסמו את
4:32 - 4:33

הסיסמאות הללו באינטרנט.
4:33 - 4:35

אז הצלחנו לקבל גישה
4:35 - 4:39

לכמה מן הסיסמאות הגנובות הללו.
4:39 - 4:41

זה עדיין לא אידיאלי עבור מחקר
4:41 - 4:43

כיוון שלא לגמרי ברור
4:43 - 4:45

מאין הגיעו כל הסיסמאות הללו,
4:45 - 4:48

או מה הייתה המדיניות
4:48 - 4:50

בעת שאנשים יצרו את הסיסמאות הללו.
4:50 - 4:53

לכן רצינו למצוא מקור
טוב יותר עבור הנתונים.
4:53 - 4:55

החלטנו שיש דבר אחד שנוכל לעשות
4:55 - 4:57

וזה מחקר, בו
4:57 - 5:00

אנשים ייצרו סיסמאות עבור המחקר שלנו.
5:00 - 5:03

אז השתמשנו בשירות שנקרא
"אמאזון מכניקל טורק"
5:03 - 5:06

זהו שירות שבו ניתן לפרסם באינטרנט
5:06 - 5:08

עבודות קטנות שלוקחות דקה,
5:08 - 5:09

כמה דקות, שעה,
5:09 - 5:12

ולשלם לאנשים, פני, 10 סנט, כמה דולרים,
5:12 - 5:13

עבור העבודה שהם עושים עבורך,
5:13 - 5:15

ואז משלמים להם דרך אמאזון.קום.
5:15 - 5:18

אז שילמנו לאנשים בערך 50 סנט
5:18 - 5:20

כדי שייצרו עבורנו סיסמאות
על פי הכללים שלנו
5:20 - 5:22

ויענו על סקר.
5:22 - 5:24

ואז שילמנו להם שוב
5:24 - 5:26

כדי שיחזרו יומיים לאחר מכן ויתחברו למערכת
5:26 - 5:29

בעזרת הסיסמה שיצרו ויענו על סקר נוסף.
5:29 - 5:33

כך אספנו 5000 סיסמאות.
5:33 - 5:36

נתנו לאנשים מקבץ של מדיניויות שונות
5:36 - 5:37

על מנת שייצרו איתם סיסמאות.
5:37 - 5:39

חלק מהאנשים קיבלו מדיניות מאוד קלה ופשוטה,
5:39 - 5:41

קראנו למדיניות הזו בייסיק8,
5:41 - 5:43

ובה יש רק כלל אחד,
5:43 - 5:47

שאומר שהסיסמה חייבת להכיל לפחות 8 תווים.
5:47 - 5:49

חלק מהאנשים קיבלו מדיניות הרבה יותר קשה,
5:49 - 5:51

שהייתה מאוד דומה למדיניות
של אוניברסיטת קרנגי מלון,
5:51 - 5:53

בה הסיסמה הייתה חייבת להכיל 8 תווים,
5:53 - 5:56

המורכבים מאותיות גדולות,
אותיות קטנות, ספרה, סימן,
5:56 - 5:58

ולעבור בדיקה מילונית.
5:58 - 5:59

מדיניות נוספת שניסינו,
5:59 - 6:01

והיו הרבה יותר,
6:01 - 6:03

אבל אחת מהן נקראה בייסיק 16
6:03 - 6:05

וכאן, הדרישה היחידה הייתה
6:05 - 6:09

שהסיסמה תכלול לפחות 16 תווים.
6:09 - 6:11

טוב, אז בשלב הזה היו לנו 5000 סיסמאות,
6:11 - 6:15

כך שהיה לנו מידע הרבה יותר מפורט.
6:15 - 6:17

שוב, אנו רואים שאנשים משתמשים
6:17 - 6:19

רק בסמפר מועט של
6:19 - 6:21

סימנים בסיסמאות שלהם.
6:21 - 6:24

רצינו גם לקבל מושג בנוגע לכמה חזקות
6:24 - 6:26

היו הסיסמאות שאנשים יצרו,
6:26 - 6:29

אך, כמו שאתם זוכרים, אין אמת מידה
6:29 - 6:31

לחוזק של סיסמה.
6:31 - 6:33

אז החלטנו לבדוק
6:33 - 6:35

כמה זמן ייקח לפצח את הסיסמאות הללו,
6:35 - 6:37

בעזרת הכלים הטובים ביותר לפיצוח,
6:37 - 6:39

שהחבר'ה הרעים משתמשים בהם,
6:39 - 6:41

או כלים שנוכל למצוא מידע עליהם
6:41 - 6:42

בספרות מחקרית.
6:42 - 6:45

אז כדי לתת לכם מושג איך החבר'ה הרעים
6:45 - 6:47

מצליחים לפצח סיסמאות,
6:47 - 6:49

הם יגנבו קובץ סיסמה,
6:49 - 6:51

שמכיל את כל הסיסמאות
6:51 - 6:54

בצורה מפוזרת שכזו, שנקראת האש (גיבוב),
6:54 - 6:57

ואז ינחשו
6:57 - 6:58

מהי הסיסמה,
6:58 - 7:00

יריצו את זה בפונקציה של גיבוב,
7:00 - 7:02

ויראו אם זה מתאים
7:02 - 7:06

לסיסמאות שיש להם ברשימה הגנובה.
7:06 - 7:09

אז תוקף טיפש ינסה כל סיסמה לפי הסדר.
7:09 - 7:13

הם יתחילו עם AAAAA, ימשיכו ל AAAAB
7:13 - 7:15

וזה ייקח המון זמן
7:15 - 7:17

עד שיצליחו למצוא סיסמה כלשהי
7:17 - 7:19

שסביר שאנשים ישתמשו בה.
7:19 - 7:22

מצד שני, תוקף חכם
7:22 - 7:23

יעשה דבר הרבה יותר מתוחכם.
7:23 - 7:25

הם יסתכלו על הסיסמאות,
7:25 - 7:27

שידועות כפופולריות
7:27 - 7:28

מהסדרות של הגנובות הללו של הסיסמאות,
7:28 - 7:29

והם ינחשו את הסיסמאות האלה קודם כל.
7:29 - 7:32

כך שהם יתחילו בניחוש "סיסמה"
7:32 - 7:34

והם ינחשו "אני אוהב אותך" ו"קוף",
7:34 - 7:37

וגם "12345678"
7:37 - 7:38

כיוון שאלה סיסמאות
7:38 - 7:40

שהסבירות שאנשים משתמשים בהן היא גבוהה.
7:40 - 7:43

למען האמת, ייתכן כי חלק מכם
משתמשים בסיסמאות הללו.
7:45 - 7:46

אז מה שמצאנו
7:46 - 7:50

על ידי הרצה, של כל 5000 הסיסמאות שאספנו,
7:50 - 7:54

במערכת הזו, על מנת לבדוק
כמה חזקות הסיסמאות האלה,
7:54 - 7:57

מצאנו שסיסמאות ארוכות
7:57 - 7:58

היו דווקא חזקות יחסית,
7:58 - 8:01

והסיסמאות המורכבות היו גם חזקות יחסית.
8:01 - 8:04

מצד שני, כשהסתכלנו בנתוני הסקר,
8:04 - 8:07

ראינו שאנשים היו מאוד מתוסכלים
8:07 - 8:09

מהסיסמאות המורכבות,
8:09 - 8:12

והסיסמאות הארוכות היו הרבה יותר שמישות,
8:12 - 8:13

ובמקרים מסוימים, הן אפילו
8:13 - 8:16

היו יותר חזקות מסיסמאות מורכבות.
8:16 - 8:17

זה מצביע על כך
8:17 - 8:19

שבמקום לומר לאנשים שהם צריכים
8:19 - 8:20

להכליל סימנים ומספרים
8:20 - 8:23

ודברים משוגעים בסיסמאות שלהם,
8:23 - 8:25

אולי עדיף שפשוט נאמר להם
8:25 - 8:28

שייצרו סיסמאות ארוכות.
8:28 - 8:30

עכשיו אנו ניצבים בפני בעיה:
8:30 - 8:32

יש אנשים שהיו להם סיסמאות ארוכות
8:32 - 8:33

שבעצם לא היו ממש חזקות.
8:33 - 8:35

ניתן ליצור סיסמאות ארוכות
8:35 - 8:37

שעדיין יהיו משהו
8:37 - 8:39

שהתוקף יצליח לנחש בקלות.
8:39 - 8:42

לפיכך אנחנו צריכים לדרוש
יותר מרק סיסמה ארוכה.
8:42 - 8:44

צריכות להיות דרישות נוספות.
8:44 - 8:47

וחלק מהמחקר המתמשך שלנו מנסה לבחון
8:47 - 8:49

אילו דרישות עלינו להוסיף
8:49 - 8:52

על מנת ליצור סיסמאות חזקות יותר
8:52 - 8:54

שגם יהיו קלות דיים על מנת
8:54 - 8:57

שאנשים יוכלו לזכור ולהקליד אותן.
8:57 - 8:59

גישה נוספת כדי להוביל אנשים
8:59 - 9:01

ליצירת סיסמאות חזקות היא מד סיסמה.
9:01 - 9:02

הנה כמה דוגמאות:
9:02 - 9:04

ייתכן שראיתם את זה באינטרנט
9:04 - 9:07

כשיצרתם סיסמאות חדשות.
9:07 - 9:09

החלטנו לעשות מחקר על מנת לגלות
9:09 - 9:12

האם מדי הסיסמאות הללו אכן עובדים.
9:12 - 9:13

האם הם באמת עוזרים לאנשים
9:13 - 9:15

ליצור סיסמאות חזקות יותר,
9:15 - 9:17

ואם כן, אילו טובים יותר?
9:17 - 9:19

אז ניסינו מדי סיסמאות
9:19 - 9:22

מגדלים, צורות וצבעים שונים,
9:22 - 9:23

עם מילים שונות מוצמדות אליהם,
9:23 - 9:26

ואפילו בדקנו אחד עם ארנבון שרוקד.
9:26 - 9:28

כשאתם מקלידים סיסמה טובה יותר,
9:28 - 9:30

הארנבון רוקד מהר יותר ויותר.
9:30 - 9:33

אז זה היה די כיף.
9:33 - 9:34

מה שמצאנו
9:34 - 9:38

זה שמדי סיסמאות אכן עובדים.
9:40 - 9:43

רוב מדי הסיסמאות אכן היו אפקטיביים,
9:43 - 9:46

והארנבון הרוקד היה אפקטיבי גם הוא,
9:46 - 9:49

אך מדי הסיסמאות האפקטיביים ביותר
9:49 - 9:51

היו אלה שגרמו לך לעבוד קשה יותר
9:51 - 9:53

לפני שנתנו לך אור ירוק והודיעו לך
9:53 - 9:54

שאת/ה עושה עבודה טובה,
9:54 - 9:56

ולמעשה אנחנו מצאנו שרוב
9:56 - 9:58

מדי הסיסמאות שנמצאים באינטרנט היום
9:58 - 9:59

הם עדינים מדי.
9:59 - 10:01

הם אומרים לנו שאנו עושים
עבודה טובה מוקדם מדי,
10:01 - 10:03

ואם הם רק יחכו עוד קצת
10:03 - 10:05

לפני שהם נותנים לכם משוב חיובי
10:05 - 10:08

כנראה שהיו לנו סיסמאות יותר טובות.
10:08 - 10:12

גישה אפשרית נוספת לסיסמאות טובות יותר
10:12 - 10:15

היא להשתמש במשפט-סיסמה במקום במילה.
10:15 - 10:18

זהו קומיקס של XKCD מלפני כשנתיים
10:18 - 10:20

וצייר הקומיקס מציע
10:20 - 10:22

שכולנו נשתמש במשפטי-סיסמאות,
10:22 - 10:26

ואם תסתכלו בשורה השנייה של הקומיקס
10:26 - 10:27

תוכלו לראות שהצייר מצביע על כך
10:27 - 10:31

שמשפט-הסיסמה: "נכון סוס סוללה סיכה"
10:31 - 10:33

יהווה סיסמה מאוד חזקה
10:33 - 10:35

וגם קלה לזכירה.
10:35 - 10:38

למעשה, הוא אומר, אתם כבר זוכרים אותו.
10:38 - 10:40

ולכן החלטנו לעשות מחקר
10:40 - 10:43

על מנת לגלות אם זה אכן נכון.
10:43 - 10:45

למען האמת, כל מי שדיברתי איתם,
10:45 - 10:47

והסברתי להם שאני עושה מחקר בנושא סיסמאות,
10:47 - 10:48

הזכירו את הקומיקס הזה.
10:48 - 10:50

"אה, ראית את זה? XKCD האלה.
10:50 - 10:51

נכון סוס סוללה סיכה"
10:51 - 10:53

אז המשכנו לחקור כדי לפענח
10:53 - 10:55

לאן זה יוביל.
10:55 - 10:58

אז במחקר הזה שלנו,
השתמשנו שוב ב"אמאזון מכניקל טורק"
10:58 - 11:03

והמחשב בחר עבורנו מילים אקראיות
11:03 - 11:04

במשפט-סיסמה.
11:04 - 11:05

הסיבה שעשינו זאת היא
11:05 - 11:06

מכיוון שבני אנוש לא מוצלחים כל כך
11:06 - 11:08

בבחירת מילים אקראיות.
11:08 - 11:09

אם בן אנוש היה עושה זאת
11:09 - 11:12

הוא היה בוחר מילים שאינן אקראיות כל כך.
11:12 - 11:14

אז ניסינו מספר תנאים שונים.
11:14 - 11:16

על פי תנאי אחד, המחשב בחר
11:16 - 11:18

מתוך מילון של מילים מאוד נפוצות
11:18 - 11:20

בשפה האנגלית.
11:20 - 11:21

וכך התקבלו משפטי-סיסמה כמו
11:21 - 11:23

"נסה שם שלוש בוא".
11:23 - 11:25

הסתכלנו על זה ואמרנו,
11:25 - 11:28

"טוב, זה לא ממש נראה
כמו משהו שניתן לזכור בקלות"
11:28 - 11:30

אז ניסינו לבחור מילים
11:30 - 11:33

שמשמשות כחלקים שונים בהבעה,
11:33 - 11:35

למשל שם עצם-שם תואר-פועל-שם עצם.
11:35 - 11:38

שיופיעו כסוג של משהו שמדמה משפט.
11:38 - 11:40

כך שנוכל לקבל משפט-סיסמה כמו
11:40 - 11:41

"תכנית בונה כוח מהימן"
11:41 - 11:44

או "סיום קובע סם אדום"
11:44 - 11:47

ואלה נראו כקלים יותר לזכירה.
11:47 - 11:49

ואולי אנשים יאהבו אותם קצת יותר.
11:49 - 11:52

רצינו להשוות את אלה למילות-סיסמה,
11:52 - 11:55

אז המחשב בחר עבורנו מילות-סיסמה אקראיות,
11:55 - 11:57

והן היו נחמדות וקצרות,
אך כמו שאתם יכולים לראות
11:57 - 12:00

הן לא נראות כל כך בלתי-נשכחות.
12:00 - 12:01

אז החלטנו לנסות משהו שנקרא
12:01 - 12:03

"סיסמה ניתנת לביטוי"
12:03 - 12:05

כך המחשב בוחר הברות אקראיות
12:05 - 12:06

ומחבר ביניהן
12:06 - 12:09

עך שמתקבל משהו יחסית ניתן לביטוי
12:09 - 12:11

כמו "מדשאיני" או "לביבסאבי"
12:11 - 12:14

שדי מתגלגל לך על הלשון.
12:14 - 12:16

אז אלה היו מילות-סיסמה אקראיות
12:16 - 12:19

שנוצרו על ידי המחשב שלנו.
12:19 - 12:22

כך שמה שמצאנו במחקר הזה, באופן מפתיע,
12:22 - 12:25

משפטי-סיסמה לא היו
כאלה מצוינים בסופו של דבר.
12:25 - 12:28

אנשים לא זכרו אותם טוב יותר
12:28 - 12:31

מאשר את מילות הסיסמה.
12:31 - 12:34

וגם כיוון שמשפטי-סיסמה ארוכים יותר,
12:34 - 12:35

ולקח יותר זמן להקליד אותם
12:35 - 12:38

אנשים טעו יותר בזמן הקלדתם.
12:38 - 12:41

לכן אין כאן הכרעה ברורה
בנושא משפטי-הסיסמה.
12:41 - 12:45

מצטערת, חובבי XKCD.
12:45 - 12:46

מאידך, מצאנו
12:46 - 12:48

שמילות סיסמה שניתנות לביטוי
12:48 - 12:50

עבדו מעולה, באופן מפתיע.
12:50 - 12:52

אז אנחנו כרגע חוקרים לעומק
12:52 - 12:55

על מנת לראות אם נוכל לפתח את הגישה הזו.
12:55 - 12:57

אחת הבעיות
12:57 - 12:59

עם חלק מהמחקרים שביצענו
12:59 - 13:01

זה בגלל שכולם נעשו
13:01 - 13:02

בעזרת "מכניקל טורק"
13:02 - 13:04

אלה לא סיסמאות אמיתיות של מישהו.
13:04 - 13:06

אלה הן סיסמאות שהם יצרו
13:06 - 13:09

או שמחשב יצר אותם עבור המחקר שלנו.
13:09 - 13:10

ורצינו לדעת האם אנשים
13:10 - 13:12

יתנהגו באותו אופן
13:12 - 13:15

עם הסיסמאות האמיתיות שמשמשות אותם.
13:15 - 13:18

אז דיברנו עם אחראי אבטחת המידע
באוניברסיטת קרנגי מלון
13:18 - 13:22

וביקשנו אם נוכל לקבל
את כל הסיסמאות האמיתיות במערכת.
13:22 - 13:24

כמובן, הם היו די מסויגים
13:24 - 13:25

לשתף אותנו בפרטים הללו,
13:25 - 13:27

אבל הצלחנו למצוא,
13:27 - 13:28

יחד איתם, שיטה
13:28 - 13:30

לפיה הם ישימו את כל הסיסמאות
13:30 - 13:33

של 25000 סטודנטים, סגל וצוות האוניברסיטה
13:33 - 13:36

במחשב נעול, בחדר נעול,
13:36 - 13:37

שאינו מחובר לאינטרנט,
13:37 - 13:39

והם הריצו עליו צופן שאנחנו רשמנו
13:39 - 13:41

כדי לנתח את הסיסמאות הללו.
13:41 - 13:43

הם ביקרו את הצופן שלנו.
13:43 - 13:44

הם הריצו את הקוד.
13:44 - 13:46

כך שבעצם לא ראינו כלל
13:46 - 13:48

אף אחת מהסיסמאות.
13:48 - 13:50

קיבלנו תוצאות מעניינות.
13:50 - 13:52

ואתם שם מאחור,
הסטודנטים בטפר (בי"ס לעסקים),
13:52 - 13:55

זה יעניין אתכם מאוד.
13:55 - 13:58

מצאנו שהסיסמאות שנוצרו
13:58 - 14:00

על ידי אנשים שמשויכים לביה"ס למדעי המחשב
14:00 - 14:03

היו פי 1.8 חזקות יותר
14:03 - 14:07

מהסיסמאות של המשויכים לביה"ס לעסקים.
14:07 - 14:09

יש לנו עוד הרבה
14:09 - 14:11

מידע דמוגרפי מעניין גם כן.
14:11 - 14:13

דבר מעניין נוסף שמצאנו
14:13 - 14:15

זה שבהשוואה בין הסיסמאות מהאוניברסיטה
14:15 - 14:17

לסיסמאות שנוצרו דרך "מכניקל טורק"
14:17 - 14:20

מצאנו שיש הרבה דמיון ביניהן,
14:20 - 14:22

כך שזה נתן תוקף לשיטת המחקר שלנו
14:22 - 14:24

והוכיח שבעצם, איסוף סיסמאות
14:24 - 14:26

על ידי שימוש בסקרים ב"מכניקל טורק"
14:26 - 14:29

זו אכן שיטה תקפה ללמידה של סיסמאות.
14:29 - 14:31

אז אלה היו חדשות טובות.
14:31 - 14:34

רציתי לסיים בלדבר על
14:34 - 14:36

כמה תובנות שצברתי במהלך שנת שבתון
14:36 - 14:39

שלקחתי בשנה שעברה
בביה"ס לאומנות של קרנגי מלון.
14:39 - 14:40

אחד הדברים שעשיתי
14:40 - 14:42

זה הכנתי מספר שמיכות טלאים
14:42 - 14:43

והכנתי את שמיכת הטלאים הזו כאן.
14:43 - 14:45

זה נקרא "שמיכת אבטחה"
14:48 - 14:51

ובשמיכה הזאת יש אלף
14:51 - 14:53

סיסמאות שהן הנגנבות ביותר
14:53 - 14:56

מאתר RockYou
14:56 - 14:58

והאורך של הסיסמאות הוא פרופורציונלי
14:58 - 15:00

לתכיפות בה הסיסמה מופיעה
15:00 - 15:02

בנתונים של סיסמאות גנובות.
15:02 - 15:05

ומה שעשיתי זה יצרתי את ענן-המילים הזה,
15:05 - 15:07

עברתי על כל אלף המילים,
15:07 - 15:08

וקיטלגתי אותם
15:08 - 15:11

למערכת נושאית כללית.
15:11 - 15:13

ובחלק מהמקרים, זה היה
15:13 - 15:15

די קשה להחליט
15:15 - 15:17

באיזו קטגוריה לקטלג אותן,
15:17 - 15:18

ואז סידרתי אותם על פי צבעים.
15:18 - 15:21

אז הנה כמה דוגמאות של הקושי בפיענוח.
15:21 - 15:22

אז לדוגמה "ג'סטין"
15:22 - 15:24

האם זה שם המשתמש,
15:24 - 15:25

שם החבר או הבן?
15:25 - 15:28

אולי הם בכלל מעריצים של ג'סטין ביבר.
15:28 - 15:30

או "נסיכה"
15:30 - 15:32

האם זה שם חיבה?
15:32 - 15:34

האם אלה הם מעריצים של נסיכת דיסני?
15:34 - 15:37

או אולי זהו שם החתולה שלהם.
15:37 - 15:39

"אניאוהבאותך" מופיע הרבה פעמים
15:39 - 15:41

בהרבה שפות שונות.
15:41 - 15:44

יש הרבה "אהבה" בסיסמאות הללו.
15:44 - 15:46

אם תביטו היטב תוכלו לראות
15:46 - 15:48

שיש שם גם תועבה,
15:48 - 15:50

אבל זה היה מאוד מעניין עבורי
15:50 - 15:53

לראות שיש הרבה יותר אהבה משנאה
15:53 - 15:55

בסיסמאות הללו.
15:55 - 15:56

ויש בעלי חיים,
15:56 - 15:58

הרבה בעלי חיים,
15:58 - 16:00

ו"קוף" זה הנפוץ ביותר מביניהם
16:00 - 16:04

והסיסמה ה-14 הנפוצה ביותר ברשימה.
16:04 - 16:06

וזה מאוד סיקרן אותי
16:06 - 16:08

וחשבתי לעצמי
"למה קופים הם כל כך פופולריים?"
16:08 - 16:12

וכך, במחקר הסיסמאות האחרון שלנו
16:12 - 16:13

כל פעם שזיהינו מישהו
16:13 - 16:16

שיצר סיסמה עם המילה "קוף"
16:16 - 16:19

שאלנו אותם למה הם החליטו
לכלול קוף בסיסמה שלהם
16:19 - 16:21

ומה שגילינו...
16:21 - 16:23

גילינו ש-17 אנשים, עד כה, אני חושבת
16:23 - 16:24

שכללו את המילה "קוף"...
16:24 - 16:26

מצאנו שכשליש מהם אמרו
16:26 - 16:28

שיש להם חיית מחמד שקוראים לה "קוף"
16:28 - 16:30

או חבר שהכינוי שלו זה "קוף"
16:30 - 16:32

ושליש מהם אמרו
16:32 - 16:33

שהם פשוט אוהבים קופים
16:33 - 16:35

ושקופים ממש חמודים.
16:35 - 16:39

והבחור הזה ממש חמוד.
16:39 - 16:42

כך שנראה, בסופו של יום,
16:42 - 16:44

כשאנחנו יוצרים סיסמאות
16:44 - 16:46

אנחנו יוצרים משהו שהוא ממש קל להקליד
16:46 - 16:49

כמו תבנית נפוצה,
16:49 - 16:51

או דברים שמזכירים לנו את מילת הסיסמה
16:51 - 16:55

או את החשבון שעבורו יצרנו את הסיסמה,
16:55 - 16:57

או כל דבר.
16:57 - 17:00

או שאנחנו חושבים על דברים
שגורמים לנו לשמוח.
17:00 - 17:01

ואנחנו יוצרים את הסיסמאות שלנו
17:01 - 17:04

בהתבסס על דברים שגורמים לנו לשמוח.
17:04 - 17:06

ואמנם זה גורם להקלדה
17:06 - 17:09

ולזכירה של הסיסמה שלנו להיות מהנים יותר,
17:09 - 17:11

אבל זה גם הופך את הסיסמה שלנו
17:11 - 17:13

להרבה יותר קלה לניחוש.
17:13 - 17:14

אז אני יודעת שהרבה מהסרטונים הללו ב TED
17:14 - 17:16

הם מעוררי השראה
17:16 - 17:18

והם גורמים לכם לחשוב
על דברים נחמדים ומשמחים,
17:18 - 17:20

אבל כשאתם יוצרים לעצמכם סיסמה,
17:20 - 17:22

נסו לחשוב על משהו אחר.
17:22 - 17:23

תודה.

Title:: מה לא בסדר עם ה0י0מ# שלך?
Speaker:: לורי פיית' קראנור
Description:: לורי פיית' קראנור למדה אלפים של סיסמאות אמיתיות על מנת לגלות את הטעויות המפתיעות והנפוצות שמשתמשים, ואתרים מאובטחים, עושים ובכך מסכנים את אבטחתם. איך, תשאלו, היא למדה אלפי סיסמאות אמיתיות בלי לסכן את אבטחת המשתמשים הללו? זהו סיפור בפני עצמו. זהו נתון סודי שכדאי לדעת, במיוחד אם הסיסמה שלך היא 123456...

more » « less
Video Language:: English
Team:: closed TED
Project:: TEDTalks
Duration:: 17:41

	Ido Dekkers approved Hebrew subtitles for What’s wrong with your pa$$w0rd?
	Ido Dekkers edited Hebrew subtitles for What’s wrong with your pa$$w0rd?
	Ido Dekkers edited Hebrew subtitles for What’s wrong with your pa$$w0rd?
	Ido Dekkers edited Hebrew subtitles for What’s wrong with your pa$$w0rd?
	Oren Szekatch accepted Hebrew subtitles for What’s wrong with your pa$$w0rd?
	Oren Szekatch edited Hebrew subtitles for What’s wrong with your pa$$w0rd?
	Oren Szekatch edited Hebrew subtitles for What’s wrong with your pa$$w0rd?
	Shira Salingré edited Hebrew subtitles for What’s wrong with your pa$$w0rd?

Show all

Hebrew subtitles

Revisions

Revision 4 Edited

Ido Dekkers

מה לא בסדר עם ה0י0מ# שלך?

Revisions

Our website uses cookies

Operating cookies (Required)