Cos'è che non va con la vostra pa$$w0rd?
-
0:01 - 0:03Sono una professoressa di scienza
e ingegneria informatica -
0:03 - 0:04qui al Carnegie Mellon
-
0:04 - 0:08e la mia ricerca si concentra
sull'accessibilità di privacy e sicurezza. -
0:08 - 0:11Così ai miei amici piace
farmi degli esempi -
0:11 - 0:13delle loro frustrazioni
con i sistemi informatici, -
0:13 - 0:17in particolare di quelle frustrazioni
che hanno a che fare -
0:17 - 0:21con l'inaccessibilità
di privacy e sicurezza. -
0:21 - 0:24Quindi le password sono qualcosa
di cui sento molto parlare. -
0:24 - 0:26Molte persone sono frustrate
dalle password, -
0:26 - 0:28ed è già abbastanza difficile
-
0:28 - 0:31quando devi avere una password
davvero buona -
0:31 - 0:33che puoi ricordare
-
0:33 - 0:35ma che nessun altro sarà
in grado di indovinare. -
0:35 - 0:37Ma che cosa fare
quando si hanno account -
0:37 - 0:39su centinaia di sistemi diversi
-
0:39 - 0:41e si dovrebbe avere una password diversa
-
0:41 - 0:44per ognuno di questi sistemi?
-
0:44 - 0:46È dura.
-
0:46 - 0:50Al Carnegie Mellon,
era molto facile per noi -
0:50 - 0:52ricordare le nostre password.
-
0:52 - 0:54Il requisito per le password
fino al 2009 -
0:54 - 0:56era che dovevi avere una password
-
0:56 - 0:58con almeno un carattere.
-
0:58 - 1:01Piuttosto semplice.
Ma poi le cose sono cambiate, -
1:01 - 1:04e alla fine del 2009
hanno annunciato -
1:04 - 1:06che avremmo avuto una nuova politica,
-
1:06 - 1:08e questa nuova politica richiedeva
-
1:08 - 1:11che le password avessero
almeno otto caratteri, -
1:11 - 1:12con una lettera maiuscola,
una minuscola, -
1:12 - 1:14una cifra, un simbolo,
-
1:14 - 1:16non si poteva usare lo stesso carattere
più di tre volte, -
1:16 - 1:19e la parola non poteva trovarsi
in un dizionario. -
1:19 - 1:21Quando introdussero
questa nuova politica, -
1:21 - 1:23molte persone, colleghi e amici,
-
1:23 - 1:25vennero da me e mi dissero:
"Wow, -
1:25 - 1:27adesso sì che è inutilizzabile!
-
1:27 - 1:28Perché ci fanno questo,
-
1:28 - 1:29e perché non glielo hai impedito?"
-
1:29 - 1:31E io risposi: "Be', sapete una cosa?
-
1:31 - 1:32Io non sono stata interpellata."
-
1:32 - 1:36Ma mi incuriosii, e decisi
di andare a parlare -
1:36 - 1:38con i responsabili dei sistemi informatici
-
1:38 - 1:41per scoprire che cosa li avesse spinti
a introdurre -
1:41 - 1:42questa nuova politica.
-
1:42 - 1:44Dissero che l'università
-
1:44 - 1:46aveva aderito a un consorzio
di università, -
1:46 - 1:49e uno dei requisiti per farne parte
-
1:49 - 1:51era che dovevamo avere password
più efficaci -
1:51 - 1:53che rispondessero a dei nuovi requisiti,
-
1:53 - 1:56e questi requisiti prevedevano
che le nostre password -
1:56 - 1:57dovessero avere molta entropia.
-
1:57 - 1:59Ora, "entropia" è un termine complicato,
-
1:59 - 2:02ma in pratica misura la forza
delle password. -
2:02 - 2:04Il fatto è che in realtà non c'è
-
2:04 - 2:06una misura standard dell'entropia.
-
2:06 - 2:09Il National Institute
of Standards and Technology -
2:09 - 2:10ha stabilito una serie di linee guida
-
2:10 - 2:13che danno indicazioni generali
-
2:13 - 2:14per misurare l'entropia,
-
2:14 - 2:17ma non contengono niente
di troppo specifico, -
2:17 - 2:20e il motivo per cui hanno solo
indicazioni generiche -
2:20 - 2:23è che a quanto pare
non dispongono di dati attendibili -
2:23 - 2:24sulle password.
-
2:24 - 2:27In effetti, il loro resoconto recita:
-
2:27 - 2:29"Purtroppo, non abbiamo
a disposizione molti dati -
2:29 - 2:32sulle password scelte dagli utenti
secondo regole particolari. -
2:32 - 2:34Il NIST vorrebbe ottenere più dati
-
2:34 - 2:36sulle password effettivamente scelte
dagli utenti, -
2:36 - 2:39ma gli amministratori dei sistemi
sono comprensibilmente restii -
2:39 - 2:42a rivelare le password a terzi."
-
2:42 - 2:45Questo è un problema,
ma il nostro gruppo di ricerca -
2:45 - 2:47lo ha considerato come un'opportunità.
-
2:47 - 2:50Ci siamo detti: "Beh, c'è bisogno
di dati validi per le password. -
2:50 - 2:52Forse possiamo raccogliere
dei dati attendibili -
2:52 - 2:55e fare davvero dei progressi".
-
2:55 - 2:57La prima cosa che abbiamo fatto è stata
-
2:57 - 2:58prendere una borsa piena
di barrette di cioccolata, -
2:58 - 3:00passeggiare per il campus
-
3:00 - 3:02e parlare con gli studenti,
il corpo docenti e lo staff, -
3:02 - 3:04e chiedere loro informazioni
-
3:04 - 3:06sulle loro password.
-
3:06 - 3:08Non abbiamo detto loro:
"Dateci le vostre password". -
3:08 - 3:11No, gli facevamo solamente
delle domande sulle loro password. -
3:11 - 3:13Quanto è lunga? Contiene una cifra?
-
3:13 - 3:14Contiene un simbolo?
-
3:14 - 3:15E ti ha dato fastidio doverne creare
-
3:15 - 3:18una nuova la settimana scorsa?
-
3:18 - 3:21Abbiamo raccolto risultati
da 470 studenti, -
3:21 - 3:22insegnanti e staff,
-
3:22 - 3:25e ci è stato confermato
che la nuova politica -
3:25 - 3:26era davvero molto fastidiosa,
-
3:26 - 3:28ma abbiamo anche scoperto
che le persone dicevano -
3:28 - 3:31di sentirsi più sicure
con queste nuove password. -
3:31 - 3:33Abbiamo scoperto
che la maggioranza sapeva -
3:33 - 3:36che le password
non si dovrebbero annotare, -
3:36 - 3:38e solo il 13 per cento lo aveva fatto,
-
3:38 - 3:40ma, preoccupantemente,
l'80 per cento delle persone -
3:40 - 3:43ha dichiarato che stava riutilizzando
la propria password precedente. -
3:43 - 3:45Questo è di fatto molto più pericoloso
-
3:45 - 3:46che annotare la propria password,
-
3:46 - 3:50perché vi rende molto più
soggetti agli attacchi. -
3:50 - 3:53Perciò, se proprio dovete,
annotatevi la password, -
3:53 - 3:55ma non riutilizzatela.
-
3:55 - 3:57Abbiamo anche scoperto
cose interessanti -
3:57 - 4:00sui simboli usati
dalle persone nelle password. -
4:00 - 4:02La CMU consente 32 simboli possibili,
-
4:02 - 4:05ma come potete vedere,
c'è solo un piccolo numero -
4:05 - 4:07che viene usato dalla maggioranza
delle persone, -
4:07 - 4:10perciò non stiamo ottenendo
molta forza -
4:10 - 4:12dai simboli nelle nostre password.
-
4:12 - 4:15È stato uno studio davvero interessante,
-
4:15 - 4:17e ora abbiamo dati da 470 persone
-
4:17 - 4:19ma, data la situazione,
-
4:19 - 4:21non sono poi così tante le informazioni
raccolte sulle password -
4:21 - 4:22e quindi ci siamo guardati intorno
-
4:22 - 4:25per vedere dove si potessero trovare
altri dati sulle password. -
4:25 - 4:27Succede che ci sono un sacco di persone
-
4:27 - 4:29che se ne vanno in giro
a rubare le password -
4:29 - 4:32e spesso pubblicano queste password
-
4:32 - 4:33su Internet.
-
4:33 - 4:35Perciò siamo stati in grado
di accedere -
4:35 - 4:39ad alcuni set di password rubate.
-
4:39 - 4:42Tuttavia non è ancora la cosa ideale
per una ricerca, -
4:42 - 4:44perché non è del tutto chiaro
-
4:44 - 4:45da dove provengano
tutte queste password, -
4:45 - 4:48o quali politiche fossero
effettivamente in vigore -
4:48 - 4:50quando le persone avevano creato
quelle password. -
4:50 - 4:53Quindi volevamo trovare fonti
di informazioni migliori. -
4:53 - 4:55Così abbiamo deciso
che una possibilità -
4:55 - 4:57era fare uno studio e far sì
che alcune persone -
4:57 - 5:00creassero delle password
appositamente per il nostro studio. -
5:00 - 5:03Abbiamo usato un servizio chiamato
Amazon Mechanical Turk, -
5:03 - 5:05un servizio dove si può pubblicare
-
5:05 - 5:08un lavoretto online che impiega un minuto,
-
5:08 - 5:09qualche minuto, un'ora,
-
5:09 - 5:12e pagare le persone un penny,
dieci centesimi, qualche dollaro -
5:12 - 5:13affinché svolgano un lavoro per voi,
-
5:13 - 5:16e poi pagate il servizio
con Amazon.com. -
5:16 - 5:18Abbiamo pagato 50 centesimi a persona
-
5:18 - 5:20perché creassero password
seguendo le nostre regole -
5:20 - 5:22e rispondendo a un sondaggio,
-
5:22 - 5:24e poi li abbiamo pagati ancora
perché ritornassero -
5:24 - 5:26due giorni dopo ed effettuassero il login,
-
5:26 - 5:29utilizzando le proprie password,
e rispondessero a un altro sondaggio. -
5:29 - 5:33L'abbiamo fatto, e abbiamo raccolto
5000 password. -
5:33 - 5:36Abbiamo dato ai partecipanti
diverse direttive -
5:36 - 5:37con cui creare le password.
-
5:37 - 5:39Alcune persone avevano regole
molto semplici, -
5:39 - 5:41che noi chiamiamo Basic8,
-
5:41 - 5:43e qui l'unica regola
era che la password -
5:43 - 5:47avesse almeno otto caratteri.
-
5:47 - 5:49Poi altre persone avevano
una politica più difficile, -
5:49 - 5:51piuttosto simile a quella della CMU,
-
5:51 - 5:53cioè una password
con otto caratteri -
5:53 - 5:56comprese una lettera maiuscola,
una minuscola, una cifra, un simbolo, -
5:56 - 5:58e controllo sul dizionario.
-
5:58 - 5:59E una delle altre politiche
che abbiamo provato, -
5:59 - 6:01e ce ne sono state molte,
-
6:01 - 6:03una di quelle che abbiamo testato
si chiamava Basic16, -
6:03 - 6:05e l'unico requisito
-
6:05 - 6:09era che la password dovesse avere
come minimo 16 caratteri. -
6:09 - 6:11Ok, avevamo 5000 password,
-
6:11 - 6:15e avevamo informazioni
molto più dettagliate. -
6:15 - 6:17Ancora, vediamo che c'è solo
un numero ridotto -
6:17 - 6:19di simboli che vengono davvero
usati dalle persone -
6:19 - 6:21nelle loro password.
-
6:21 - 6:24Volevamo anche farci un'idea
di quanto forti -
6:24 - 6:27fossero le password
che creava la gente -
6:27 - 6:29ma, come forse ricorderete, non esiste
un buon parametro -
6:29 - 6:31per misurare la forza di una password.
-
6:31 - 6:33Perciò abbiamo deciso di vedere
-
6:33 - 6:35quanto ci voleva per scoprire
queste password -
6:35 - 6:37usando i migliori
strumenti di violazione -
6:37 - 6:39che usano i cattivi
nel mondo informatico, -
6:39 - 6:41o di cui potevamo trovare informazioni
-
6:41 - 6:43nei libri di ricerca.
-
6:43 - 6:45Per darvi un'idea di come
facciano i cattivi -
6:45 - 6:47a violare le password:
-
6:47 - 6:49rubano un file
-
6:49 - 6:51che contiene tutte le password
-
6:51 - 6:54in una forma confusa,
chiamata "hash", -
6:54 - 6:57e quello che fanno è indovinare
-
6:57 - 6:58quale sia la password,
-
6:58 - 7:00fare girare una funzione di hashing,
-
7:00 - 7:02e verificare se corrisponde o meno
-
7:02 - 7:06alle password elencate
nella loro lista di password rubate. -
7:06 - 7:09Un hacker stupido proverà
tutte le password in ordine. -
7:09 - 7:13Inizierà con AAAA
e proseguirà con AAAAB, -
7:13 - 7:15e questo richiede molto tempo
-
7:15 - 7:17prima di trovare qualche password
-
7:17 - 7:20che è probabile venga
realmente usata dagli utenti. -
7:20 - 7:22Gli hacker intelligenti, invece,
-
7:22 - 7:23agiscono in modo molto più intelligente.
-
7:23 - 7:25Guardano le password
-
7:25 - 7:27che sono popolari
-
7:27 - 7:28tra i set di password rubate,
-
7:28 - 7:29e provano quelle per prime.
-
7:29 - 7:32Inizieranno tirando a indovinare:
"password", -
7:32 - 7:34e poi "ti amo",
e "scimmia" -
7:34 - 7:37e "12345678",
-
7:37 - 7:38perché sono queste le password
-
7:38 - 7:40più ricorrenti.
-
7:40 - 7:43In effetti, è probabile
che alcuni di voi le usi. -
7:45 - 7:47Quello che abbiamo scoperto
-
7:47 - 7:50testando tutte le 5000 password
da noi raccolte -
7:50 - 7:54attraverso questi test
per vedere quanto fossero forti -
7:54 - 7:57è stato che le password più lunghe
-
7:57 - 7:58erano piuttosto forti in realtà,
-
7:58 - 8:01così come le password complesse.
-
8:01 - 8:04Tuttavia, quando abbiamo analizzato
i dati dei sondaggi, -
8:04 - 8:07abbiamo visto che le persone
erano davvero frustrate -
8:07 - 8:09dalle password molto complesse,
-
8:09 - 8:12e le password lunghe
erano molto più utilizzabili, -
8:12 - 8:13e in alcuni casi, erano
-
8:13 - 8:16persino più forti
delle password complesse. -
8:16 - 8:17Questo perciò suggerisce che,
-
8:17 - 8:19invece di dire alle persone
che devono -
8:19 - 8:21mettere tutti questi simboli e numeri
-
8:21 - 8:23e altre cose da matti nelle loro passwrod,
-
8:23 - 8:25sarebbe meglio dire loro
-
8:25 - 8:28di creare password lunghe.
-
8:28 - 8:30Ora, però ecco il problema:
-
8:30 - 8:32alcune persone avevano password lunghe
-
8:32 - 8:34che in realtà non erano molto forti.
-
8:34 - 8:35Potete creare password lunghe
-
8:35 - 8:37che però potrebbero comunque
essere scoperte -
8:37 - 8:39facilmente da un hacker.
-
8:39 - 8:42Quindi non abbiamo solo bisogno
di password più lunghe. -
8:42 - 8:44Ci devono essere dei requisiti
in più, -
8:44 - 8:47e parte della nostra ricerca attuale
sta considerando -
8:47 - 8:50quali requisiti
dovremmo aggiungere -
8:50 - 8:52per creare password più forti
-
8:52 - 8:54che siano anche facili
-
8:54 - 8:57da ricordare e da digitare.
-
8:57 - 8:59Un altro approccio per far sì
che le persone abbiano -
8:59 - 9:01password più forti è usare un misuratore
di robustezza della password. -
9:01 - 9:02Ecco alcuni esempi.
-
9:02 - 9:04Forse li avete visti online
-
9:04 - 9:07creando delle password.
-
9:07 - 9:10Abbiamo deciso di condurre
uno studio per scoprire -
9:10 - 9:12se i misuratori di password funzionano
davvero oppure no. -
9:12 - 9:14Aiutano davvero le persone
-
9:14 - 9:15ad avere password più forti,
-
9:15 - 9:17e se sì, quali sono i migliori?
-
9:17 - 9:19Perciò abbiamo testato
dei misuratori di password -
9:19 - 9:22diversi per dimensioni, forma, colore,
-
9:22 - 9:23diversi per le parole vicine a loro,
-
9:23 - 9:26e ne abbiamo anche testato uno
che era un coniglietto ballerino. -
9:26 - 9:28Quando si scrive una password buona,
-
9:28 - 9:30il coniglietto balla
sempre più velocemente. -
9:30 - 9:33È piuttosto divertente.
-
9:33 - 9:35Abbiamo scoperto che
-
9:35 - 9:38i misuratori di password
funzionano davvero. -
9:38 - 9:40(Risate)
-
9:40 - 9:43Gran parte dei misuratori di password
era davvero efficace, -
9:43 - 9:46così come il coniglietto di prima,
-
9:46 - 9:49ma i misuratori di password
più efficaci in assoluto -
9:49 - 9:51erano quelli che ci facevano faticare
-
9:51 - 9:53prima di darci l'ok e dirci
-
9:53 - 9:55che stavamo facendo un buon lavoro,
-
9:55 - 9:56e in effetti abbiamo scoperto
che la maggior parte -
9:56 - 9:58dei password meter online oggi
-
9:58 - 9:59è troppo indulgente.
-
9:59 - 10:02Vi dicono che state andando bene
troppo presto, -
10:02 - 10:03e se aspettassero solo un po' di più
-
10:03 - 10:05prima di darvi un riscontro positivo,
-
10:05 - 10:09probabilmente voi avreste
password migliori. -
10:09 - 10:12Un altro approccio per migliorare
le password, forse, -
10:12 - 10:15è usare le passphrase
al posto delle password. -
10:15 - 10:19Questo è una vignetta xkcd
di un paio di anni fa, -
10:19 - 10:21e il disegnatore consiglia a tutti
-
10:21 - 10:23di usare le passphrase,
-
10:23 - 10:26e se guardate nella seconda fila
di questa vignetta, -
10:26 - 10:28vedrete che il disegnatore consiglia
-
10:28 - 10:31la pass phrase:
"correct horse battery staple", -
10:31 - 10:33che sarebbe una chiave di accesso
molto forte -
10:33 - 10:35e molto facile da ricordare.
-
10:35 - 10:38Dice, in effetti, che
ce la ricordiamo già. -
10:38 - 10:40E così abbiamo deciso di fare uno studio
-
10:40 - 10:43per scoprire se era vero o no.
-
10:43 - 10:45In realtà, tutte le persone con cui parlo
-
10:45 - 10:47e a cui menziono la mia ricerca
sulle password, -
10:47 - 10:48mi parlano di questa vignetta.
-
10:48 - 10:50"Oh, l'hai vista? L'xkcd.
-
10:50 - 10:51'correct horse battery staple'".
-
10:51 - 10:53Abbiamo fatto questa ricerca per vedere
-
10:53 - 10:55che cosa sarebbe successo nella realtà.
-
10:55 - 10:58Nel nostro studio abbiamo usato
ancora Mechanical Turk, -
10:58 - 11:03e abbiamo fatto scegliere
al computer le parole a caso -
11:03 - 11:04nella chiave di accesso.
-
11:04 - 11:05Il motivo per cui l'abbiamo fatto
-
11:05 - 11:06è che gli esseri umani
non sono molto bravi -
11:06 - 11:08a scegliere le parole a caso.
-
11:08 - 11:09Se avessimo chiesto alle persone di farlo,
-
11:09 - 11:12non avrebbero scelto casualmente.
-
11:12 - 11:14Perciò abbiamo provato
diverse condizioni. -
11:14 - 11:16In una condizione, il computer sceglieva
-
11:16 - 11:19da un dizionario delle parole più comuni
-
11:19 - 11:20della lingua inglese,
-
11:20 - 11:21così si ottenevano chiavi come:
-
11:21 - 11:24"prova là albero venire".
-
11:24 - 11:26L'abbiamo guardata,
e ci siamo detti: -
11:26 - 11:28"Beh, non sembra poi così tanto
facile da tenere a mente". -
11:28 - 11:30Poi abbiamo provato a scegliere
-
11:30 - 11:33parti del discorso specifiche
-
11:33 - 11:35come ad esempio
sostantivo-verbo-aggettivo-sostantivo. -
11:35 - 11:38Questa combinazione può anche
risultare in una specie di frase. -
11:38 - 11:40Quindi si possono ottenere chiavi
di accesso come -
11:40 - 11:41"piano costruisce sicuro potere"
-
11:41 - 11:44o "fine determina farmaco rosso".
-
11:44 - 11:47E queste ci sembravano
un po' più facili da ricordare, -
11:47 - 11:49e forse alla gente piacerebbero
anche di più. -
11:49 - 11:52Volevamo confrontarle
con le password, -
11:52 - 11:55e così abbiamo fatto scegliere
password a caso ai computer, -
11:55 - 11:57e queste erano belle e corte
ma, come potete vedere, -
11:57 - 12:00non sono molto facili da ricordare.
-
12:00 - 12:01E poi abbiamo deciso di provare
le cosidette -
12:01 - 12:03password pronunciabili.
-
12:03 - 12:05Il computer in questo caso
sceglie sillabe a caso -
12:05 - 12:06e le assembla
-
12:06 - 12:09in modo da ottenere frasi
più o meno pronunciabili, -
12:09 - 12:11come "tufritvi" e "vadasabi".
-
12:11 - 12:14Quest'ultima è una specie
di scioglilingua. -
12:14 - 12:16Queste sono alcune password casuali
-
12:16 - 12:19generate dal nostro computer.
-
12:19 - 12:22Ciò che abbiamo scoperto in questo studio
è che, sorprendentemente, -
12:22 - 12:25le passphrase non erano poi così valide.
-
12:25 - 12:28Le persone non se le ricordavano meglio
-
12:28 - 12:31in confronto a queste password
create a caso, -
12:31 - 12:34e dato che le passphrase sono più lunghe,
-
12:34 - 12:35ci voleva più tempo per scriverle
-
12:35 - 12:38e le persone facevano
più errori scrivendole. -
12:38 - 12:41Quindi le passphrase
non hanno proprio la meglio. -
12:41 - 12:45Ci dispiace, fan dell'xkcd.
-
12:45 - 12:46D'altro canto, abbiamo scoperto
-
12:46 - 12:48che le password pronunciabili
-
12:48 - 12:50funzionavano sorprendentemente bene,
-
12:50 - 12:52e così stiamo facendo ancora
qualche ricerca -
12:52 - 12:56per vedere se possiamo far funzionare
ancora meglio questo tipo di approccio. -
12:56 - 12:57Uno dei problemi
-
12:57 - 12:59con alcuni degli studi
che abbiamo condotto -
12:59 - 13:01è che, siccome sono state fatte tutte
-
13:01 - 13:02usando Mechanical Turk,
-
13:02 - 13:04queste password non sono
quelle usate realmente dagli utenti. -
13:04 - 13:06Sono le password che hanno creato
-
13:06 - 13:09o che il computer ha creato per loro
per il nostro studio. -
13:09 - 13:10E volevamo sapere se le persone
-
13:10 - 13:12si sarebbero davvero comportate così
-
13:12 - 13:15con le loro password reali.
-
13:15 - 13:18Abbiamo parlato con l'ufficio per la
sicurezza delle informazioni -
13:18 - 13:19alla Carnegie Mellon
-
13:19 - 13:22e abbiamo chiesto se potevamo avere
le password di tutti. -
13:22 - 13:24Ovviamente, erano un po' restii
-
13:24 - 13:25a condividerle con noi,
-
13:25 - 13:27ma noi siamo stati capaci di ideare
-
13:27 - 13:28un sistema con loro
-
13:28 - 13:30dove si mettono tutte le password vere
-
13:30 - 13:33per 25 mila studenti,
corpo docenti e staff, -
13:33 - 13:36in un computer bloccato
in una stanza chiusa a chiave, -
13:36 - 13:37non connessa a internet,
-
13:37 - 13:39e loro facevano passare il codice
-
13:39 - 13:42sulle password che analizzavamo.
-
13:42 - 13:43Verificavano il nostro codice.
-
13:43 - 13:44Facevano passare il codice.
-
13:44 - 13:46E perciò non abbiamo mai visto
-
13:46 - 13:48la password di nessuno.
-
13:48 - 13:50Abbiamo ottenuto risultati interessanti,
-
13:50 - 13:52e per voi studenti
del corso Tepper lì in fondo -
13:52 - 13:55saranno molto interessanti.
-
13:55 - 13:59Così abbiamo scoperto
che le password create -
13:59 - 14:01dalle persone che frequentano
la facoltà di informatica -
14:01 - 14:03sono 1,8 volte più forti
-
14:03 - 14:07rispetto a quelle
degli studenti di economia. -
14:07 - 14:09Abbiamo anche molte altre informazioni
-
14:09 - 14:11demografiche interessanti.
-
14:11 - 14:13L'altra cosa interessante
che abbiamo scoperto -
14:13 - 14:15è che quando abbiamo paragonato
le password della Carnegie Mellon -
14:15 - 14:18a quelle generate dal Mechanical Turk,
-
14:18 - 14:20in realtà c'erano molte somiglianze,
-
14:20 - 14:22e questo ci ha aiutato a convalidare
il nostro metodo di ricerca -
14:22 - 14:25e mostrare che, in realtà,
raccogliere le password -
14:25 - 14:27usando questi studi di Mechanical Turk
-
14:27 - 14:29è davvero un modo valido
per studiare le password. -
14:29 - 14:31È una buona notizia.
-
14:31 - 14:34Ok, vorrei concludere parlando
-
14:34 - 14:36di alcune cose che ho scoperto durante
-
14:36 - 14:39lo scorso anno sabbatico alla facoltà
di arte alla Carnegie Mellon. -
14:39 - 14:40Una delle cose che ho fatto
-
14:40 - 14:42è stata cucire parecchie trapunte,
-
14:42 - 14:44e questa l'ho fatta io.
-
14:44 - 14:46Si chiama "Coperta di Sicurezza".
-
14:46 - 14:48(Risate)
-
14:48 - 14:51Questa trapunta ha le mille password
-
14:51 - 14:53più frequenti rubate
-
14:53 - 14:56dal sito web RockYou.
-
14:56 - 14:58E le dimensioni delle password
sono proporzionali -
14:58 - 15:00alla frequenza con cui appaiono
-
15:00 - 15:02tra i dati rubati.
-
15:02 - 15:05Quello che ho fatto è stato
creare questa nuvola di parole, -
15:05 - 15:07analizzare tutte le mille parole,
-
15:07 - 15:08e classificarle
-
15:08 - 15:11in categorie tematiche ampie.
-
15:11 - 15:13E, in alcuni casi,
-
15:13 - 15:15è stato difficile capire
-
15:15 - 15:17in quale categoria rientrassero,
-
15:17 - 15:18e poi le ho codificate tramite dei colori.
-
15:18 - 15:21Ecco alcuni esempi delle difficoltà
che ho riscontrato. -
15:21 - 15:22"justin".
-
15:22 - 15:24È il nome dell'utente,
-
15:24 - 15:25del suo ragazzo, di suo figlio?
-
15:25 - 15:28Forse si tratta
di un fan di Justin Bieber. -
15:28 - 15:30O "principesssa".
-
15:30 - 15:32È un soprannome?
-
15:32 - 15:34L'utente è un fan
delle principesse Disney? -
15:34 - 15:37Oppure è il nome del suo gatto.
-
15:37 - 15:39"Iloveyou" compare molte volte
-
15:39 - 15:41in tante lingue diverse.
-
15:41 - 15:44C'è molto amore in queste password.
-
15:44 - 15:46Se guardate attentamente,
vedrete che c'è anche -
15:46 - 15:48del profano,
-
15:48 - 15:50ma per me è stato davvero interessante
-
15:50 - 15:53vedere che c'è molto più amore che odio
-
15:53 - 15:55in queste password.
-
15:55 - 15:56E c'erano anche gli animali,
-
15:56 - 15:58molti animali,
-
15:58 - 16:00e "scimmia" è l'animale più comune,
-
16:00 - 16:04in generale la 14esima password
più comune. -
16:04 - 16:06Questo mi ha incuriosita,
-
16:06 - 16:09e mi sono chiesta: "Perché le scimmie
sono così popolari?" -
16:09 - 16:12E così è nato il nostro ultimo studio
sulle password: -
16:12 - 16:13ogni volta che notavamo qualcuno
-
16:13 - 16:16che creava una password contenente
la parola "scimmia", -
16:16 - 16:19gli abbiamo chiesto perché
l'avesse scelta. -
16:19 - 16:21E abbiamo scoperto che --
-
16:21 - 16:23finora abbiamo trovato 17 persone
-
16:23 - 16:24che hanno "scimmia"
nelle proprie password ‒- -
16:24 - 16:26abbiamo scoperto
che circa un terzo di loro -
16:26 - 16:28ha un animale domestico
che si chiama "scimmmia" -
16:28 - 16:30o hanno un amico il cui soprannome
è "scimmia", -
16:30 - 16:32e circa un terzo ha detto
-
16:32 - 16:33che gli piacciono le scimmie
-
16:33 - 16:35e che sono molto carine.
-
16:35 - 16:39E quella è molto carina.
-
16:39 - 16:42Perciò, alla fine dei conti, sembra che
-
16:42 - 16:44quando creiamo delle password,
-
16:44 - 16:46creiamo qualcosa di molto facile
-
16:46 - 16:49da scrivere, un modello comune,
-
16:49 - 16:51oppure pensiamo a cose
che ci ricordino la parola password, -
16:51 - 16:55l'account per cui
abbiamo creato la password, -
16:55 - 16:57o roba del genere.
-
16:57 - 17:00Oppure ancora pensiamo
a cose che ci rendono felici, -
17:00 - 17:01e creiamo la nostra password
-
17:01 - 17:04in base alle cose che ci rendono felici.
-
17:04 - 17:06E mentre questo fa sì
che sia più divertente -
17:06 - 17:09scrivere e ricordarsi la propria password,
-
17:09 - 17:13la rende anche più facile da indovinare.
-
17:13 - 17:15So che molti discorsi TED
-
17:15 - 17:16sono d'ispirazione
-
17:16 - 17:18e che vi fanno pensare
a cose belle e felici, -
17:18 - 17:21ma quando create la vostra password
-
17:21 - 17:22cercate di pensare a qualcos'altro.
-
17:22 - 17:23Grazie.
-
17:23 - 17:24(Applausi)
- Title:
- Cos'è che non va con la vostra pa$$w0rd?
- Speaker:
- Lorrie Faith Cranor
- Description:
-
Lorrie Faith Cranor ha studiato migliaia di password reali per comprendere gli errori sorprendenti e molto comuni che gli utenti, e i siti protetti, commettono, compromettendo la sicurezza. Potreste chiedervi come abbia fatto a studiare migliaia di password reali senza compromettere la sicurezza degli utenti. Questa è già una storia di per sé. Sono dati segreti che vale la pena di conoscere, soprattutto se la vostra password è 123456...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Anna Cristiana Minoli approved Italian subtitles for What’s wrong with your pa$$w0rd? | ||
Anna Cristiana Minoli edited Italian subtitles for What’s wrong with your pa$$w0rd? | ||
Anna Cristiana Minoli edited Italian subtitles for What’s wrong with your pa$$w0rd? | ||
Anna Cristiana Minoli edited Italian subtitles for What’s wrong with your pa$$w0rd? | ||
Valentina Buda accepted Italian subtitles for What’s wrong with your pa$$w0rd? | ||
Valentina Buda edited Italian subtitles for What’s wrong with your pa$$w0rd? | ||
Valentina Buda edited Italian subtitles for What’s wrong with your pa$$w0rd? | ||
Valentina Buda edited Italian subtitles for What’s wrong with your pa$$w0rd? |