Cos'è che non va con la vostra pa$$w0rd?

0:01 - 0:03

Sono una professoressa di scienza
e ingegneria informatica
0:03 - 0:04

qui al Carnegie Mellon
0:04 - 0:08

e la mia ricerca si concentra
sull'accessibilità di privacy e sicurezza.
0:08 - 0:11

Così ai miei amici piace
farmi degli esempi
0:11 - 0:13

delle loro frustrazioni
con i sistemi informatici,
0:13 - 0:17

in particolare di quelle frustrazioni
che hanno a che fare
0:17 - 0:21

con l'inaccessibilità
di privacy e sicurezza.
0:21 - 0:24

Quindi le password sono qualcosa
di cui sento molto parlare.
0:24 - 0:26

Molte persone sono frustrate
dalle password,
0:26 - 0:28

ed è già abbastanza difficile
0:28 - 0:31

quando devi avere una password
davvero buona
0:31 - 0:33

che puoi ricordare
0:33 - 0:35

ma che nessun altro sarà
in grado di indovinare.
0:35 - 0:37

Ma che cosa fare
quando si hanno account
0:37 - 0:39

su centinaia di sistemi diversi
0:39 - 0:41

e si dovrebbe avere una password diversa
0:41 - 0:44

per ognuno di questi sistemi?
0:44 - 0:46

È dura.
0:46 - 0:50

Al Carnegie Mellon,
era molto facile per noi
0:50 - 0:52

ricordare le nostre password.
0:52 - 0:54

Il requisito per le password
fino al 2009
0:54 - 0:56

era che dovevi avere una password
0:56 - 0:58

con almeno un carattere.
0:58 - 1:01

Piuttosto semplice.
Ma poi le cose sono cambiate,
1:01 - 1:04

e alla fine del 2009
hanno annunciato
1:04 - 1:06

che avremmo avuto una nuova politica,
1:06 - 1:08

e questa nuova politica richiedeva
1:08 - 1:11

che le password avessero
almeno otto caratteri,
1:11 - 1:12

con una lettera maiuscola,
una minuscola,
1:12 - 1:14

una cifra, un simbolo,
1:14 - 1:16

non si poteva usare lo stesso carattere
più di tre volte,
1:16 - 1:19

e la parola non poteva trovarsi
in un dizionario.
1:19 - 1:21

Quando introdussero
questa nuova politica,
1:21 - 1:23

molte persone, colleghi e amici,
1:23 - 1:25

vennero da me e mi dissero:
"Wow,
1:25 - 1:27

adesso sì che è inutilizzabile!
1:27 - 1:28

Perché ci fanno questo,
1:28 - 1:29

e perché non glielo hai impedito?"
1:29 - 1:31

E io risposi: "Be', sapete una cosa?
1:31 - 1:32

Io non sono stata interpellata."
1:32 - 1:36

Ma mi incuriosii, e decisi
di andare a parlare
1:36 - 1:38

con i responsabili dei sistemi informatici
1:38 - 1:41

per scoprire che cosa li avesse spinti
a introdurre
1:41 - 1:42

questa nuova politica.
1:42 - 1:44

Dissero che l'università
1:44 - 1:46

aveva aderito a un consorzio
di università,
1:46 - 1:49

e uno dei requisiti per farne parte
1:49 - 1:51

era che dovevamo avere password
più efficaci
1:51 - 1:53

che rispondessero a dei nuovi requisiti,
1:53 - 1:56

e questi requisiti prevedevano
che le nostre password
1:56 - 1:57

dovessero avere molta entropia.
1:57 - 1:59

Ora, "entropia" è un termine complicato,
1:59 - 2:02

ma in pratica misura la forza
delle password.
2:02 - 2:04

Il fatto è che in realtà non c'è
2:04 - 2:06

una misura standard dell'entropia.
2:06 - 2:09

Il National Institute
of Standards and Technology
2:09 - 2:10

ha stabilito una serie di linee guida
2:10 - 2:13

che danno indicazioni generali
2:13 - 2:14

per misurare l'entropia,
2:14 - 2:17

ma non contengono niente
di troppo specifico,
2:17 - 2:20

e il motivo per cui hanno solo
indicazioni generiche
2:20 - 2:23

è che a quanto pare
non dispongono di dati attendibili
2:23 - 2:24

sulle password.
2:24 - 2:27

In effetti, il loro resoconto recita:
2:27 - 2:29

"Purtroppo, non abbiamo
a disposizione molti dati
2:29 - 2:32

sulle password scelte dagli utenti
secondo regole particolari.
2:32 - 2:34

Il NIST vorrebbe ottenere più dati
2:34 - 2:36

sulle password effettivamente scelte
dagli utenti,
2:36 - 2:39

ma gli amministratori dei sistemi
sono comprensibilmente restii
2:39 - 2:42

a rivelare le password a terzi."
2:42 - 2:45

Questo è un problema,
ma il nostro gruppo di ricerca
2:45 - 2:47

lo ha considerato come un'opportunità.
2:47 - 2:50

Ci siamo detti: "Beh, c'è bisogno
di dati validi per le password.
2:50 - 2:52

Forse possiamo raccogliere
dei dati attendibili
2:52 - 2:55

e fare davvero dei progressi".
2:55 - 2:57

La prima cosa che abbiamo fatto è stata
2:57 - 2:58

prendere una borsa piena
di barrette di cioccolata,
2:58 - 3:00

passeggiare per il campus
3:00 - 3:02

e parlare con gli studenti,
il corpo docenti e lo staff,
3:02 - 3:04

e chiedere loro informazioni
3:04 - 3:06

sulle loro password.
3:06 - 3:08

Non abbiamo detto loro:
"Dateci le vostre password".
3:08 - 3:11

No, gli facevamo solamente
delle domande sulle loro password.
3:11 - 3:13

Quanto è lunga? Contiene una cifra?
3:13 - 3:14

Contiene un simbolo?
3:14 - 3:15

E ti ha dato fastidio doverne creare
3:15 - 3:18

una nuova la settimana scorsa?
3:18 - 3:21

Abbiamo raccolto risultati
da 470 studenti,
3:21 - 3:22

insegnanti e staff,
3:22 - 3:25

e ci è stato confermato
che la nuova politica
3:25 - 3:26

era davvero molto fastidiosa,
3:26 - 3:28

ma abbiamo anche scoperto
che le persone dicevano
3:28 - 3:31

di sentirsi più sicure
con queste nuove password.
3:31 - 3:33

Abbiamo scoperto
che la maggioranza sapeva
3:33 - 3:36

che le password
non si dovrebbero annotare,
3:36 - 3:38

e solo il 13 per cento lo aveva fatto,
3:38 - 3:40

ma, preoccupantemente,
l'80 per cento delle persone
3:40 - 3:43

ha dichiarato che stava riutilizzando
la propria password precedente.
3:43 - 3:45

Questo è di fatto molto più pericoloso
3:45 - 3:46

che annotare la propria password,
3:46 - 3:50

perché vi rende molto più
soggetti agli attacchi.
3:50 - 3:53

Perciò, se proprio dovete,
annotatevi la password,
3:53 - 3:55

ma non riutilizzatela.
3:55 - 3:57

Abbiamo anche scoperto
cose interessanti
3:57 - 4:00

sui simboli usati
dalle persone nelle password.
4:00 - 4:02

La CMU consente 32 simboli possibili,
4:02 - 4:05

ma come potete vedere,
c'è solo un piccolo numero
4:05 - 4:07

che viene usato dalla maggioranza
delle persone,
4:07 - 4:10

perciò non stiamo ottenendo
molta forza
4:10 - 4:12

dai simboli nelle nostre password.
4:12 - 4:15

È stato uno studio davvero interessante,
4:15 - 4:17

e ora abbiamo dati da 470 persone
4:17 - 4:19

ma, data la situazione,
4:19 - 4:21

non sono poi così tante le informazioni
raccolte sulle password
4:21 - 4:22

e quindi ci siamo guardati intorno
4:22 - 4:25

per vedere dove si potessero trovare
altri dati sulle password.
4:25 - 4:27

Succede che ci sono un sacco di persone
4:27 - 4:29

che se ne vanno in giro
a rubare le password
4:29 - 4:32

e spesso pubblicano queste password
4:32 - 4:33

su Internet.
4:33 - 4:35

Perciò siamo stati in grado
di accedere
4:35 - 4:39

ad alcuni set di password rubate.
4:39 - 4:42

Tuttavia non è ancora la cosa ideale
per una ricerca,
4:42 - 4:44

perché non è del tutto chiaro
4:44 - 4:45

da dove provengano
tutte queste password,
4:45 - 4:48

o quali politiche fossero
effettivamente in vigore
4:48 - 4:50

quando le persone avevano creato
quelle password.
4:50 - 4:53

Quindi volevamo trovare fonti
di informazioni migliori.
4:53 - 4:55

Così abbiamo deciso
che una possibilità
4:55 - 4:57

era fare uno studio e far sì
che alcune persone
4:57 - 5:00

creassero delle password
appositamente per il nostro studio.
5:00 - 5:03

Abbiamo usato un servizio chiamato
Amazon Mechanical Turk,
5:03 - 5:05

un servizio dove si può pubblicare
5:05 - 5:08

un lavoretto online che impiega un minuto,
5:08 - 5:09

qualche minuto, un'ora,
5:09 - 5:12

e pagare le persone un penny,
dieci centesimi, qualche dollaro
5:12 - 5:13

affinché svolgano un lavoro per voi,
5:13 - 5:16

e poi pagate il servizio
con Amazon.com.
5:16 - 5:18

Abbiamo pagato 50 centesimi a persona
5:18 - 5:20

perché creassero password
seguendo le nostre regole
5:20 - 5:22

e rispondendo a un sondaggio,
5:22 - 5:24

e poi li abbiamo pagati ancora
perché ritornassero
5:24 - 5:26

due giorni dopo ed effettuassero il login,
5:26 - 5:29

utilizzando le proprie password,
e rispondessero a un altro sondaggio.
5:29 - 5:33

L'abbiamo fatto, e abbiamo raccolto
5000 password.
5:33 - 5:36

Abbiamo dato ai partecipanti
diverse direttive
5:36 - 5:37

con cui creare le password.
5:37 - 5:39

Alcune persone avevano regole
molto semplici,
5:39 - 5:41

che noi chiamiamo Basic8,
5:41 - 5:43

e qui l'unica regola
era che la password
5:43 - 5:47

avesse almeno otto caratteri.
5:47 - 5:49

Poi altre persone avevano
una politica più difficile,
5:49 - 5:51

piuttosto simile a quella della CMU,
5:51 - 5:53

cioè una password
con otto caratteri
5:53 - 5:56

comprese una lettera maiuscola,
una minuscola, una cifra, un simbolo,
5:56 - 5:58

e controllo sul dizionario.
5:58 - 5:59

E una delle altre politiche
che abbiamo provato,
5:59 - 6:01

e ce ne sono state molte,
6:01 - 6:03

una di quelle che abbiamo testato
si chiamava Basic16,
6:03 - 6:05

e l'unico requisito
6:05 - 6:09

era che la password dovesse avere
come minimo 16 caratteri.
6:09 - 6:11

Ok, avevamo 5000 password,
6:11 - 6:15

e avevamo informazioni
molto più dettagliate.
6:15 - 6:17

Ancora, vediamo che c'è solo
un numero ridotto
6:17 - 6:19

di simboli che vengono davvero
usati dalle persone
6:19 - 6:21

nelle loro password.
6:21 - 6:24

Volevamo anche farci un'idea
di quanto forti
6:24 - 6:27

fossero le password
che creava la gente
6:27 - 6:29

ma, come forse ricorderete, non esiste
un buon parametro
6:29 - 6:31

per misurare la forza di una password.
6:31 - 6:33

Perciò abbiamo deciso di vedere
6:33 - 6:35

quanto ci voleva per scoprire
queste password
6:35 - 6:37

usando i migliori
strumenti di violazione
6:37 - 6:39

che usano i cattivi
nel mondo informatico,
6:39 - 6:41

o di cui potevamo trovare informazioni
6:41 - 6:43

nei libri di ricerca.
6:43 - 6:45

Per darvi un'idea di come
facciano i cattivi
6:45 - 6:47

a violare le password:
6:47 - 6:49

rubano un file
6:49 - 6:51

che contiene tutte le password
6:51 - 6:54

in una forma confusa,
chiamata "hash",
6:54 - 6:57

e quello che fanno è indovinare
6:57 - 6:58

quale sia la password,
6:58 - 7:00

fare girare una funzione di hashing,
7:00 - 7:02

e verificare se corrisponde o meno
7:02 - 7:06

alle password elencate
nella loro lista di password rubate.
7:06 - 7:09

Un hacker stupido proverà
tutte le password in ordine.
7:09 - 7:13

Inizierà con AAAA
e proseguirà con AAAAB,
7:13 - 7:15

e questo richiede molto tempo
7:15 - 7:17

prima di trovare qualche password
7:17 - 7:20

che è probabile venga
realmente usata dagli utenti.
7:20 - 7:22

Gli hacker intelligenti, invece,
7:22 - 7:23

agiscono in modo molto più intelligente.
7:23 - 7:25

Guardano le password
7:25 - 7:27

che sono popolari
7:27 - 7:28

tra i set di password rubate,
7:28 - 7:29

e provano quelle per prime.
7:29 - 7:32

Inizieranno tirando a indovinare:
"password",
7:32 - 7:34

e poi "ti amo",
e "scimmia"
7:34 - 7:37

e "12345678",
7:37 - 7:38

perché sono queste le password
7:38 - 7:40

più ricorrenti.
7:40 - 7:43

In effetti, è probabile
che alcuni di voi le usi.
7:45 - 7:47

Quello che abbiamo scoperto
7:47 - 7:50

testando tutte le 5000 password
da noi raccolte
7:50 - 7:54

attraverso questi test
per vedere quanto fossero forti
7:54 - 7:57

è stato che le password più lunghe
7:57 - 7:58

erano piuttosto forti in realtà,
7:58 - 8:01

così come le password complesse.
8:01 - 8:04

Tuttavia, quando abbiamo analizzato
i dati dei sondaggi,
8:04 - 8:07

abbiamo visto che le persone
erano davvero frustrate
8:07 - 8:09

dalle password molto complesse,
8:09 - 8:12

e le password lunghe
erano molto più utilizzabili,
8:12 - 8:13

e in alcuni casi, erano
8:13 - 8:16

persino più forti
delle password complesse.
8:16 - 8:17

Questo perciò suggerisce che,
8:17 - 8:19

invece di dire alle persone
che devono
8:19 - 8:21

mettere tutti questi simboli e numeri
8:21 - 8:23

e altre cose da matti nelle loro passwrod,
8:23 - 8:25

sarebbe meglio dire loro
8:25 - 8:28

di creare password lunghe.
8:28 - 8:30

Ora, però ecco il problema:
8:30 - 8:32

alcune persone avevano password lunghe
8:32 - 8:34

che in realtà non erano molto forti.
8:34 - 8:35

Potete creare password lunghe
8:35 - 8:37

che però potrebbero comunque
essere scoperte
8:37 - 8:39

facilmente da un hacker.
8:39 - 8:42

Quindi non abbiamo solo bisogno
di password più lunghe.
8:42 - 8:44

Ci devono essere dei requisiti
in più,
8:44 - 8:47

e parte della nostra ricerca attuale
sta considerando
8:47 - 8:50

quali requisiti
dovremmo aggiungere
8:50 - 8:52

per creare password più forti
8:52 - 8:54

che siano anche facili
8:54 - 8:57

da ricordare e da digitare.
8:57 - 8:59

Un altro approccio per far sì
che le persone abbiano
8:59 - 9:01

password più forti è usare un misuratore
di robustezza della password.
9:01 - 9:02

Ecco alcuni esempi.
9:02 - 9:04

Forse li avete visti online
9:04 - 9:07

creando delle password.
9:07 - 9:10

Abbiamo deciso di condurre
uno studio per scoprire
9:10 - 9:12

se i misuratori di password funzionano
davvero oppure no.
9:12 - 9:14

Aiutano davvero le persone
9:14 - 9:15

ad avere password più forti,
9:15 - 9:17

e se sì, quali sono i migliori?
9:17 - 9:19

Perciò abbiamo testato
dei misuratori di password
9:19 - 9:22

diversi per dimensioni, forma, colore,
9:22 - 9:23

diversi per le parole vicine a loro,
9:23 - 9:26

e ne abbiamo anche testato uno
che era un coniglietto ballerino.
9:26 - 9:28

Quando si scrive una password buona,
9:28 - 9:30

il coniglietto balla
sempre più velocemente.
9:30 - 9:33

È piuttosto divertente.
9:33 - 9:35

Abbiamo scoperto che
9:35 - 9:38

i misuratori di password
funzionano davvero.
9:38 - 9:40

(Risate)
9:40 - 9:43

Gran parte dei misuratori di password
era davvero efficace,
9:43 - 9:46

così come il coniglietto di prima,
9:46 - 9:49

ma i misuratori di password
più efficaci in assoluto
9:49 - 9:51

erano quelli che ci facevano faticare
9:51 - 9:53

prima di darci l'ok e dirci
9:53 - 9:55

che stavamo facendo un buon lavoro,
9:55 - 9:56

e in effetti abbiamo scoperto
che la maggior parte
9:56 - 9:58

dei password meter online oggi
9:58 - 9:59

è troppo indulgente.
9:59 - 10:02

Vi dicono che state andando bene
troppo presto,
10:02 - 10:03

e se aspettassero solo un po' di più
10:03 - 10:05

prima di darvi un riscontro positivo,
10:05 - 10:09

probabilmente voi avreste
password migliori.
10:09 - 10:12

Un altro approccio per migliorare
le password, forse,
10:12 - 10:15

è usare le passphrase
al posto delle password.
10:15 - 10:19

Questo è una vignetta xkcd
di un paio di anni fa,
10:19 - 10:21

e il disegnatore consiglia a tutti
10:21 - 10:23

di usare le passphrase,
10:23 - 10:26

e se guardate nella seconda fila
di questa vignetta,
10:26 - 10:28

vedrete che il disegnatore consiglia
10:28 - 10:31

la pass phrase:
"correct horse battery staple",
10:31 - 10:33

che sarebbe una chiave di accesso
molto forte
10:33 - 10:35

e molto facile da ricordare.
10:35 - 10:38

Dice, in effetti, che
ce la ricordiamo già.
10:38 - 10:40

E così abbiamo deciso di fare uno studio
10:40 - 10:43

per scoprire se era vero o no.
10:43 - 10:45

In realtà, tutte le persone con cui parlo
10:45 - 10:47

e a cui menziono la mia ricerca
sulle password,
10:47 - 10:48

mi parlano di questa vignetta.
10:48 - 10:50

"Oh, l'hai vista? L'xkcd.
10:50 - 10:51

'correct horse battery staple'".
10:51 - 10:53

Abbiamo fatto questa ricerca per vedere
10:53 - 10:55

che cosa sarebbe successo nella realtà.
10:55 - 10:58

Nel nostro studio abbiamo usato
ancora Mechanical Turk,
10:58 - 11:03

e abbiamo fatto scegliere
al computer le parole a caso
11:03 - 11:04

nella chiave di accesso.
11:04 - 11:05

Il motivo per cui l'abbiamo fatto
11:05 - 11:06

è che gli esseri umani
non sono molto bravi
11:06 - 11:08

a scegliere le parole a caso.
11:08 - 11:09

Se avessimo chiesto alle persone di farlo,
11:09 - 11:12

non avrebbero scelto casualmente.
11:12 - 11:14

Perciò abbiamo provato
diverse condizioni.
11:14 - 11:16

In una condizione, il computer sceglieva
11:16 - 11:19

da un dizionario delle parole più comuni
11:19 - 11:20

della lingua inglese,
11:20 - 11:21

così si ottenevano chiavi come:
11:21 - 11:24

"prova là albero venire".
11:24 - 11:26

L'abbiamo guardata,
e ci siamo detti:
11:26 - 11:28

"Beh, non sembra poi così tanto
facile da tenere a mente".
11:28 - 11:30

Poi abbiamo provato a scegliere
11:30 - 11:33

parti del discorso specifiche
11:33 - 11:35

come ad esempio
sostantivo-verbo-aggettivo-sostantivo.
11:35 - 11:38

Questa combinazione può anche
risultare in una specie di frase.
11:38 - 11:40

Quindi si possono ottenere chiavi
di accesso come
11:40 - 11:41

"piano costruisce sicuro potere"
11:41 - 11:44

o "fine determina farmaco rosso".
11:44 - 11:47

E queste ci sembravano
un po' più facili da ricordare,
11:47 - 11:49

e forse alla gente piacerebbero
anche di più.
11:49 - 11:52

Volevamo confrontarle
con le password,
11:52 - 11:55

e così abbiamo fatto scegliere
password a caso ai computer,
11:55 - 11:57

e queste erano belle e corte
ma, come potete vedere,
11:57 - 12:00

non sono molto facili da ricordare.
12:00 - 12:01

E poi abbiamo deciso di provare
le cosidette
12:01 - 12:03

password pronunciabili.
12:03 - 12:05

Il computer in questo caso
sceglie sillabe a caso
12:05 - 12:06

e le assembla
12:06 - 12:09

in modo da ottenere frasi
più o meno pronunciabili,
12:09 - 12:11

come "tufritvi" e "vadasabi".
12:11 - 12:14

Quest'ultima è una specie
di scioglilingua.
12:14 - 12:16

Queste sono alcune password casuali
12:16 - 12:19

generate dal nostro computer.
12:19 - 12:22

Ciò che abbiamo scoperto in questo studio
è che, sorprendentemente,
12:22 - 12:25

le passphrase non erano poi così valide.
12:25 - 12:28

Le persone non se le ricordavano meglio
12:28 - 12:31

in confronto a queste password
create a caso,
12:31 - 12:34

e dato che le passphrase sono più lunghe,
12:34 - 12:35

ci voleva più tempo per scriverle
12:35 - 12:38

e le persone facevano
più errori scrivendole.
12:38 - 12:41

Quindi le passphrase
non hanno proprio la meglio.
12:41 - 12:45

Ci dispiace, fan dell'xkcd.
12:45 - 12:46

D'altro canto, abbiamo scoperto
12:46 - 12:48

che le password pronunciabili
12:48 - 12:50

funzionavano sorprendentemente bene,
12:50 - 12:52

e così stiamo facendo ancora
qualche ricerca
12:52 - 12:56

per vedere se possiamo far funzionare
ancora meglio questo tipo di approccio.
12:56 - 12:57

Uno dei problemi
12:57 - 12:59

con alcuni degli studi
che abbiamo condotto
12:59 - 13:01

è che, siccome sono state fatte tutte
13:01 - 13:02

usando Mechanical Turk,
13:02 - 13:04

queste password non sono
quelle usate realmente dagli utenti.
13:04 - 13:06

Sono le password che hanno creato
13:06 - 13:09

o che il computer ha creato per loro
per il nostro studio.
13:09 - 13:10

E volevamo sapere se le persone
13:10 - 13:12

si sarebbero davvero comportate così
13:12 - 13:15

con le loro password reali.
13:15 - 13:18

Abbiamo parlato con l'ufficio per la
sicurezza delle informazioni
13:18 - 13:19

alla Carnegie Mellon
13:19 - 13:22

e abbiamo chiesto se potevamo avere
le password di tutti.
13:22 - 13:24

Ovviamente, erano un po' restii
13:24 - 13:25

a condividerle con noi,
13:25 - 13:27

ma noi siamo stati capaci di ideare
13:27 - 13:28

un sistema con loro
13:28 - 13:30

dove si mettono tutte le password vere
13:30 - 13:33

per 25 mila studenti,
corpo docenti e staff,
13:33 - 13:36

in un computer bloccato
in una stanza chiusa a chiave,
13:36 - 13:37

non connessa a internet,
13:37 - 13:39

e loro facevano passare il codice
13:39 - 13:42

sulle password che analizzavamo.
13:42 - 13:43

Verificavano il nostro codice.
13:43 - 13:44

Facevano passare il codice.
13:44 - 13:46

E perciò non abbiamo mai visto
13:46 - 13:48

la password di nessuno.
13:48 - 13:50

Abbiamo ottenuto risultati interessanti,
13:50 - 13:52

e per voi studenti
del corso Tepper lì in fondo
13:52 - 13:55

saranno molto interessanti.
13:55 - 13:59

Così abbiamo scoperto
che le password create
13:59 - 14:01

dalle persone che frequentano
la facoltà di informatica
14:01 - 14:03

sono 1,8 volte più forti
14:03 - 14:07

rispetto a quelle
degli studenti di economia.
14:07 - 14:09

Abbiamo anche molte altre informazioni
14:09 - 14:11

demografiche interessanti.
14:11 - 14:13

L'altra cosa interessante
che abbiamo scoperto
14:13 - 14:15

è che quando abbiamo paragonato
le password della Carnegie Mellon
14:15 - 14:18

a quelle generate dal Mechanical Turk,
14:18 - 14:20

in realtà c'erano molte somiglianze,
14:20 - 14:22

e questo ci ha aiutato a convalidare
il nostro metodo di ricerca
14:22 - 14:25

e mostrare che, in realtà,
raccogliere le password
14:25 - 14:27

usando questi studi di Mechanical Turk
14:27 - 14:29

è davvero un modo valido
per studiare le password.
14:29 - 14:31

È una buona notizia.
14:31 - 14:34

Ok, vorrei concludere parlando
14:34 - 14:36

di alcune cose che ho scoperto durante
14:36 - 14:39

lo scorso anno sabbatico alla facoltà
di arte alla Carnegie Mellon.
14:39 - 14:40

Una delle cose che ho fatto
14:40 - 14:42

è stata cucire parecchie trapunte,
14:42 - 14:44

e questa l'ho fatta io.
14:44 - 14:46

Si chiama "Coperta di Sicurezza".
14:46 - 14:48

(Risate)
14:48 - 14:51

Questa trapunta ha le mille password
14:51 - 14:53

più frequenti rubate
14:53 - 14:56

dal sito web RockYou.
14:56 - 14:58

E le dimensioni delle password
sono proporzionali
14:58 - 15:00

alla frequenza con cui appaiono
15:00 - 15:02

tra i dati rubati.
15:02 - 15:05

Quello che ho fatto è stato
creare questa nuvola di parole,
15:05 - 15:07

analizzare tutte le mille parole,
15:07 - 15:08

e classificarle
15:08 - 15:11

in categorie tematiche ampie.
15:11 - 15:13

E, in alcuni casi,
15:13 - 15:15

è stato difficile capire
15:15 - 15:17

in quale categoria rientrassero,
15:17 - 15:18

e poi le ho codificate tramite dei colori.
15:18 - 15:21

Ecco alcuni esempi delle difficoltà
che ho riscontrato.
15:21 - 15:22

"justin".
15:22 - 15:24

È il nome dell'utente,
15:24 - 15:25

del suo ragazzo, di suo figlio?
15:25 - 15:28

Forse si tratta
di un fan di Justin Bieber.
15:28 - 15:30

O "principesssa".
15:30 - 15:32

È un soprannome?
15:32 - 15:34

L'utente è un fan
delle principesse Disney?
15:34 - 15:37

Oppure è il nome del suo gatto.
15:37 - 15:39

"Iloveyou" compare molte volte
15:39 - 15:41

in tante lingue diverse.
15:41 - 15:44

C'è molto amore in queste password.
15:44 - 15:46

Se guardate attentamente,
vedrete che c'è anche
15:46 - 15:48

del profano,
15:48 - 15:50

ma per me è stato davvero interessante
15:50 - 15:53

vedere che c'è molto più amore che odio
15:53 - 15:55

in queste password.
15:55 - 15:56

E c'erano anche gli animali,
15:56 - 15:58

molti animali,
15:58 - 16:00

e "scimmia" è l'animale più comune,
16:00 - 16:04

in generale la 14esima password
più comune.
16:04 - 16:06

Questo mi ha incuriosita,
16:06 - 16:09

e mi sono chiesta: "Perché le scimmie
sono così popolari?"
16:09 - 16:12

E così è nato il nostro ultimo studio
sulle password:
16:12 - 16:13

ogni volta che notavamo qualcuno
16:13 - 16:16

che creava una password contenente
la parola "scimmia",
16:16 - 16:19

gli abbiamo chiesto perché
l'avesse scelta.
16:19 - 16:21

E abbiamo scoperto che --
16:21 - 16:23

finora abbiamo trovato 17 persone
16:23 - 16:24

che hanno "scimmia"
nelle proprie password ‒-
16:24 - 16:26

abbiamo scoperto
che circa un terzo di loro
16:26 - 16:28

ha un animale domestico
che si chiama "scimmmia"
16:28 - 16:30

o hanno un amico il cui soprannome
è "scimmia",
16:30 - 16:32

e circa un terzo ha detto
16:32 - 16:33

che gli piacciono le scimmie
16:33 - 16:35

e che sono molto carine.
16:35 - 16:39

E quella è molto carina.
16:39 - 16:42

Perciò, alla fine dei conti, sembra che
16:42 - 16:44

quando creiamo delle password,
16:44 - 16:46

creiamo qualcosa di molto facile
16:46 - 16:49

da scrivere, un modello comune,
16:49 - 16:51

oppure pensiamo a cose
che ci ricordino la parola password,
16:51 - 16:55

l'account per cui
abbiamo creato la password,
16:55 - 16:57

o roba del genere.
16:57 - 17:00

Oppure ancora pensiamo
a cose che ci rendono felici,
17:00 - 17:01

e creiamo la nostra password
17:01 - 17:04

in base alle cose che ci rendono felici.
17:04 - 17:06

E mentre questo fa sì
che sia più divertente
17:06 - 17:09

scrivere e ricordarsi la propria password,
17:09 - 17:13

la rende anche più facile da indovinare.
17:13 - 17:15

So che molti discorsi TED
17:15 - 17:16

sono d'ispirazione
17:16 - 17:18

e che vi fanno pensare
a cose belle e felici,
17:18 - 17:21

ma quando create la vostra password
17:21 - 17:22

cercate di pensare a qualcos'altro.
17:22 - 17:23

Grazie.
17:23 - 17:24

(Applausi)

Title:: Cos'è che non va con la vostra pa$$w0rd?
Speaker:: Lorrie Faith Cranor
Description:: Lorrie Faith Cranor ha studiato migliaia di password reali per comprendere gli errori sorprendenti e molto comuni che gli utenti, e i siti protetti, commettono, compromettendo la sicurezza. Potreste chiedervi come abbia fatto a studiare migliaia di password reali senza compromettere la sicurezza degli utenti. Questa è già una storia di per sé. Sono dati segreti che vale la pena di conoscere, soprattutto se la vostra password è 123456...

more » « less
Video Language:: English
Team:: closed TED
Project:: TEDTalks
Duration:: 17:41

	Anna Cristiana Minoli approved Italian subtitles for What’s wrong with your pa$$w0rd?
	Anna Cristiana Minoli edited Italian subtitles for What’s wrong with your pa$$w0rd?
	Anna Cristiana Minoli edited Italian subtitles for What’s wrong with your pa$$w0rd?
	Anna Cristiana Minoli edited Italian subtitles for What’s wrong with your pa$$w0rd?
	Valentina Buda accepted Italian subtitles for What’s wrong with your pa$$w0rd?
	Valentina Buda edited Italian subtitles for What’s wrong with your pa$$w0rd?
	Valentina Buda edited Italian subtitles for What’s wrong with your pa$$w0rd?
	Valentina Buda edited Italian subtitles for What’s wrong with your pa$$w0rd?

Show all

Italian subtitles

Revisions

Revision 15 Edited

Anna Cristiana Minoli

Cos'è che non va con la vostra pa$$w0rd?

Revisions

Our website uses cookies

Operating cookies (Required)