Return to Video

O que está errado com sua $enh@?

  • 0:00 - 0:04
    Eu sou professora de ciência da computação
    e engenharia aqui na Carnegie Mellon,
  • 0:04 - 0:08
    e minha pesquisa tem foco
    em privacidade utilizável e segurança,
  • 0:08 - 0:11
    e meus amigos gostam de me dar exemplos
  • 0:11 - 0:14
    de suas frustrações
    com sistemas de computadores,
  • 0:14 - 0:17
    especialmente frustrações relacionadas
  • 0:17 - 0:21
    a privacidade não utilizável e segurança.
  • 0:21 - 0:23
    E senhas são algo
    de que escuto falar bastante.
  • 0:23 - 0:26
    Muitas pessoas
    ficam frustradas com senhas,
  • 0:26 - 0:28
    e já é ruim o suficiente
  • 0:28 - 0:31
    quando temos que ter uma senha muito boa
  • 0:31 - 0:32
    que consigamos lembrar
  • 0:32 - 0:35
    mas ninguém mais consiga adivinhar.
  • 0:35 - 0:37
    Mas o que fazer quando se têm contas
  • 0:37 - 0:39
    em centenas de sistemas diferentes
  • 0:39 - 0:41
    e cada um desses sistemas
  • 0:41 - 0:43
    deve ter uma senha única?
  • 0:44 - 0:46
    É difícil.
  • 0:46 - 0:48
    Na Carnegie Mellon, eles costumavam
  • 0:48 - 0:50
    deixar muito fácil para que nós
  • 0:50 - 0:51
    lembrássemos nossas senhas.
  • 0:51 - 0:53
    A exigência para a senha até 2009
  • 0:53 - 0:56
    era somente que a senha
  • 0:56 - 0:58
    tinha que ter pelo menos um caractere.
  • 0:58 - 1:01
    Bem fácil. Mas então
    eles mudaram as coisas,
  • 1:01 - 1:04
    E no final de 2009, foi anunciado
  • 1:04 - 1:06
    que teríamos uma nova política,
  • 1:06 - 1:08
    e essa nova política exigia
  • 1:08 - 1:10
    senhas que tivessem
    pelo menos oito caracteres,
  • 1:10 - 1:12
    com uma letra maiúscula, letra minúscula,
  • 1:12 - 1:14
    um dígito, um símbolo,
  • 1:14 - 1:16
    não podia usar o mesmo caractere
    mais de três vezes,
  • 1:16 - 1:19
    e não poderia estar num dicionário.
  • 1:19 - 1:21
    E quando essa nova política
    foi implementada,
  • 1:21 - 1:23
    muitas pessoas, meus amigos e colegas,
  • 1:23 - 1:25
    chegaram até mim e disseram:
  • 1:25 - 1:27
    "Uau, agora é realmente não utilizável.
  • 1:27 - 1:28
    Por que estão fazendo isso conosco,
  • 1:28 - 1:30
    e por que você não os deteve?"
  • 1:30 - 1:31
    Eu disse: "Bem, quer saber?
  • 1:31 - 1:32
    Não me perguntaram."
  • 1:32 - 1:35
    Mas fiquei curiosa e decidi ir falar
  • 1:35 - 1:38
    com as pessoas responsáveis por nossos
    sistemas de computadores
  • 1:38 - 1:41
    e descobrir o que os levou a introduzir
  • 1:41 - 1:42
    essa nova política,
  • 1:42 - 1:44
    e disseram que a universidade
  • 1:44 - 1:46
    tinha entrado em um consórcio
    de universidades,
  • 1:46 - 1:49
    e uma das exigências para se tornar membro
  • 1:49 - 1:51
    era que tínhamos
    que ter senhas mais seguras
  • 1:51 - 1:53
    que cumprissem algumas novas condições,
  • 1:53 - 1:56
    e essas condições eram que nossas senhas
  • 1:56 - 1:57
    tinham que ter muita entropia.
  • 1:57 - 1:59
    Entropia é um termo complicado,
  • 1:59 - 2:02
    mas basicamente ela mede
    a força de senhas.
  • 2:02 - 2:04
    Acontece que não há exatamente
  • 2:04 - 2:06
    uma medida padrão de entropia.
  • 2:06 - 2:09
    O Instituto Nacional
    de Padrões e Tecnologia
  • 2:09 - 2:10
    tem um conjunto de diretrizes
  • 2:10 - 2:13
    que têm umas regras práticas
  • 2:13 - 2:14
    para medir entropia,
  • 2:14 - 2:17
    mas não têm nada muito específico,
  • 2:17 - 2:19
    e a razão pela qual só têm regras práticas
  • 2:19 - 2:23
    é que, pelo jeito, eles não têm bons dados
  • 2:23 - 2:24
    sobre senhas.
  • 2:24 - 2:26
    De fato, seus relatórios dizem:
  • 2:26 - 2:29
    "Infelizmente, não temos muitos dados
  • 2:29 - 2:32
    sobre as senhas que os usuários usam
    sob regras específicas.
  • 2:32 - 2:34
    O NIST gostaria de obter mais dados
  • 2:34 - 2:36
    sobre as senhas
    que os usuários de fato usam,
  • 2:36 - 2:39
    mas os administradores de sistema
    se recusam, compreensivamente,
  • 2:39 - 2:42
    a revelar dados
    sobre as senhas para outros."
  • 2:42 - 2:45
    Esse é um problema,
    mas nosso grupo de pesquisa
  • 2:45 - 2:47
    tomou isso como uma oportunidade.
  • 2:47 - 2:50
    Nós dissemos: "Bem, há necessidade
    de bons dados sobre senhas.
  • 2:50 - 2:52
    Talvez possamos coletar
    bons dados sobre senhas
  • 2:52 - 2:55
    e de fato fazer algum progresso
    no estado da arte.
  • 2:55 - 2:57
    A primeira coisa que fizemos foi,
  • 2:57 - 2:58
    Pegamos uma sacola de doces,
  • 2:58 - 2:59
    caminhamos pelo campus,
  • 2:59 - 3:02
    conversamos com alunos,
    professores e funcionários
  • 3:02 - 3:04
    e pedimos informações
  • 3:04 - 3:05
    sobre suas senhas.
  • 3:05 - 3:08
    Nós não dissemos: "Diga-nos sua senha."
  • 3:08 - 3:10
    Não, só fizemos perguntas
    sobre suas senhas.
  • 3:10 - 3:12
    Quantos caracteres? Contém algum dígito?
  • 3:12 - 3:13
    Contém um símbolo?
  • 3:13 - 3:16
    E você ficou incomodado
    por ter tido que criar
  • 3:16 - 3:18
    uma nova senha semana passada?
  • 3:18 - 3:21
    E reunimos respostas de 470 alunos,
  • 3:21 - 3:23
    professores e funcionários,
  • 3:23 - 3:25
    e, de fato, confirmamos
    que a nova política
  • 3:25 - 3:26
    foi muito incômoda,
  • 3:26 - 3:28
    mas também descobrimos
    que as pessoas disseram
  • 3:28 - 3:31
    que se sentem mais seguras
    com essas senhas novas.
  • 3:31 - 3:33
    Descobrimos que muitas pessoas sabiam
  • 3:33 - 3:36
    que não deveriam anotar
    suas senhas num papel
  • 3:36 - 3:38
    e somente 13% anotavam,
  • 3:38 - 3:40
    mas preocupantemente, 80% das pessoas
  • 3:40 - 3:43
    disseram que reutilizavam suas senhas.
  • 3:43 - 3:44
    E isso é, na verdade, mais perigoso
  • 3:44 - 3:46
    do que anotar sua senha num papel,
  • 3:46 - 3:50
    porque deixa você muito mais
    suscetível a ataques.
  • 3:50 - 3:53
    Então se precisar,
    anote suas senhas num papel,
  • 3:53 - 3:55
    mas não reutilize-as.
  • 3:55 - 3:57
    Também descobrimos coisas interessantes
  • 3:57 - 4:00
    sobre os símbolos
    que as pessoas usam nas senhas.
  • 4:00 - 4:02
    A CMU permite 32 símbolos possíveis,
  • 4:02 - 4:05
    mas como podem ver,
    só há uma pequena quantidade
  • 4:05 - 4:07
    que a maioria das pessoas usam,
  • 4:07 - 4:10
    então não temos muita força, na verdade,
  • 4:10 - 4:12
    dos símbolos em nossas senhas.
  • 4:12 - 4:15
    Esse estudo foi muito interessante,
  • 4:15 - 4:17
    e agora tínhamos dados de 470 pessoas,
  • 4:17 - 4:18
    mas no esquema das coisas,
  • 4:18 - 4:21
    isso não é quase nada
    de dados sobre senhas,
  • 4:21 - 4:23
    e nós olhamos em volta para ver
  • 4:23 - 4:25
    onde poderíamos encontrar
    mais dados sobre senhas?
  • 4:25 - 4:27
    E aparentemente, há muita gente
  • 4:27 - 4:29
    por aí roubando senhas,
  • 4:29 - 4:32
    e normalmente elas vão
    e publicam essas senhas
  • 4:32 - 4:33
    na Internet.
  • 4:33 - 4:35
    E nós pudemos ter acesso
  • 4:35 - 4:38
    a alguns desses conjuntos
    de senhas roubadas.
  • 4:39 - 4:41
    Ainda não é o ideal para a pesquisa,
  • 4:41 - 4:43
    porque não fica inteiramente claro
  • 4:43 - 4:45
    de onde todas essas senhas vieram,
  • 4:45 - 4:48
    ou que políticas exatamente
    estavam em vigor
  • 4:48 - 4:50
    quando as pessoas criaram essas senhas.
  • 4:50 - 4:53
    E nós queríamos achar
    uma fonte de dados melhor.
  • 4:53 - 4:55
    E decidimos que uma coisa
    que podíamos fazer
  • 4:55 - 4:58
    é que podíamos fazer um estudo e
    fazer as pessoas
  • 4:58 - 5:00
    criarem senhas para o nosso estudo.
  • 5:00 - 5:03
    E nós usamos um serviço chamado
    Amazon Mechanical Turk,
  • 5:03 - 5:05
    E esse é um serviço onde você pode postar
  • 5:05 - 5:08
    uma pequena tarefa online
    que demora um minuto,
  • 5:08 - 5:09
    alguns minutos, uma hora,
  • 5:09 - 5:12
    e pagar às pessoas cinco,
    dez centavos, alguns dólares,
  • 5:12 - 5:14
    para realizar a tarefa para você,
  • 5:14 - 5:16
    e então você as paga
    através da Amazon.com.
  • 5:16 - 5:18
    Nós pagamos às pessoas
    cerca de 50 centavos
  • 5:18 - 5:20
    para criar uma senha
    seguindo nossas regras
  • 5:20 - 5:22
    e responder uma pesquisa,
  • 5:22 - 5:24
    e então pagamos novamente
    para que voltassem
  • 5:24 - 5:26
    dois dias depois e se logassem
  • 5:26 - 5:29
    usando sua senha
    e respondessem outra pesquisa.
  • 5:29 - 5:33
    Nós fizemos isso e coletamos 5 mil senhas,
  • 5:33 - 5:36
    e demos às pessoas diferentes políticas
  • 5:36 - 5:37
    para criar senhas.
  • 5:37 - 5:39
    Alguns tinham uma política bem simples,
  • 5:39 - 5:41
    que chamamos de Basic8,
  • 5:41 - 5:43
    E nessa, a única regra era que a senha
  • 5:43 - 5:46
    tinha que ter pelo menos oito caracteres.
  • 5:46 - 5:49
    e algumas pessoas tiveram
    uma política bem mais complexa,
  • 5:49 - 5:51
    que era muito similar à política da CMU.
  • 5:51 - 5:53
    que tinha que ter oito caracteres
  • 5:53 - 5:56
    incluindo maiúscula,
    minúscula, dígito, símbolo,
  • 5:56 - 5:58
    e passar um teste de dicionário.
  • 5:58 - 5:59
    E uma outra política que tentamos,
  • 5:59 - 6:01
    e havia muitas outras,
  • 6:01 - 6:03
    mas uma das que tentamos
    era chamada Basic16,
  • 6:03 - 6:05
    e a única exigência aqui
  • 6:05 - 6:09
    era que sua senha tinha que ter
    pelo menos 16 caracteres.
  • 6:09 - 6:11
    Certo, e agora nós tínhamos 5 mil senhas,
  • 6:11 - 6:15
    e assim nós tínhamos informações
    muito mais detalhadas.
  • 6:15 - 6:17
    Novamente, vemos que somente
    um pequeno número
  • 6:17 - 6:19
    de símbolos estão sendo usados
  • 6:19 - 6:21
    nas senhas.
  • 6:21 - 6:24
    Também queríamos ter uma noção da força
  • 6:24 - 6:26
    das senhas que as pessoas estavam criando,
  • 6:26 - 6:29
    mas como vocês se lembram,
    não há uma boa medida
  • 6:29 - 6:31
    da força de uma senha.
  • 6:31 - 6:33
    e o que decidimos fazer foi observar
  • 6:33 - 6:35
    quanto tempo demoraria
    para quebrar uma senha
  • 6:35 - 6:37
    usando as melhores ferramentas de quebra
  • 6:37 - 6:39
    que os vilões estão usando,
  • 6:39 - 6:41
    ou sobre as quais conseguíamos
    encontrar informações
  • 6:41 - 6:42
    na literatura de pesquisa.
  • 6:42 - 6:45
    Então para dar uma ideia de como os vilões
  • 6:45 - 6:47
    fazem para quebrar senhas,
  • 6:47 - 6:49
    eles roubariam um arquivo de senhas
  • 6:49 - 6:51
    que teria todas as senhas
  • 6:51 - 6:54
    numa forma embaralhada chamada de hash
  • 6:54 - 6:57
    e o que fariam é, eles chutariam
  • 6:57 - 6:58
    o que uma senha seria,
  • 6:58 - 7:00
    passariam-na por uma função hash
  • 7:00 - 7:02
    e verificariam se bate
  • 7:02 - 7:06
    com as senhas que eles têm
    em sua lista roubada.
  • 7:06 - 7:09
    Um atacante burro tentaria
    todas as senhas na ordem.
  • 7:09 - 7:13
    Começariam com AAAAA e depois AAAAB,
  • 7:13 - 7:15
    e isso demoraria muito
  • 7:15 - 7:17
    antes de conseguirem qualquer senha
  • 7:17 - 7:19
    que seja realmente provável
    de ser usada por alguém
  • 7:19 - 7:22
    Um atacante esperto, por outro lado,
  • 7:22 - 7:23
    faz algo muito mais inteligente.
  • 7:23 - 7:25
    Eles olham para as senhas
  • 7:25 - 7:27
    que são conhecidamente populares
  • 7:27 - 7:28
    daqueles conjuntos de senhas roubadas,
  • 7:28 - 7:30
    e chutam aquelas primeiro.
  • 7:30 - 7:32
    Eles vão começar chutando "password",
  • 7:32 - 7:34
    e então vão chutar
    "eu te amo" e "macaco",
  • 7:34 - 7:37
    e "12345678",
  • 7:37 - 7:38
    porque essas são as senhas
  • 7:38 - 7:41
    que são mais prováveis
    de serem usadas por alguém.
  • 7:41 - 7:44
    De fato, alguns de vocês
    até têm essas senhas.
  • 7:45 - 7:46
    E o que descobrimos
  • 7:46 - 7:50
    ao rodar essas 5 mil senhas coletadas
  • 7:50 - 7:54
    através desses testes para ver sua força,
  • 7:54 - 7:57
    descobrimos que as senhas longas
  • 7:57 - 7:58
    eram realmente bem fortes,
  • 7:58 - 8:01
    e as senhas complexas
    eram bem fortes também.
  • 8:01 - 8:04
    Entretanto, quando olhamos
    os dados da pesquisa,
  • 8:04 - 8:07
    vimos que as pessoas
    ficavam muito frustradas
  • 8:07 - 8:09
    com as senhas muito complexas,
  • 8:09 - 8:12
    e as senhas longas
    eram muito mais utilizáveis,
  • 8:12 - 8:13
    e em alguns casos, elas eram mesmo
  • 8:13 - 8:16
    até mais fortes do que
    as senhas complexas.
  • 8:16 - 8:17
    E isso sugere que,
  • 8:17 - 8:19
    em vez de dizer às pessoas que precisam
  • 8:19 - 8:21
    pôr todos esses símbolos e números
  • 8:21 - 8:23
    e coisas loucas em suas senhas,
  • 8:23 - 8:25
    talvez seja muito melhor só dizer
  • 8:25 - 8:28
    para terem senhas longas.
  • 8:28 - 8:30
    Mas aqui há um problema:
  • 8:30 - 8:32
    Algumas pessoas tinham senhas longas
  • 8:32 - 8:34
    que não eram muito fortes, na verdade.
  • 8:34 - 8:35
    Você pode criar senhas longas
  • 8:35 - 8:37
    que ainda são o tipo de coisa
  • 8:37 - 8:39
    que um atacante adivinharia facilmente.
  • 8:39 - 8:42
    Então precisamos fazer mais
    do que só pedir senhas longas.
  • 8:42 - 8:44
    Tem que haver algumas
    exigências adicionais,
  • 8:44 - 8:47
    e algumas de nossas pesquisas atuais
    estão observando
  • 8:47 - 8:49
    que exigências adicionais deveríamos impor
  • 8:49 - 8:52
    para gerar senhas mais fortes
  • 8:52 - 8:54
    que também serão fáceis para as pessoas
  • 8:54 - 8:56
    lembrarem e digitarem.
  • 8:57 - 8:59
    Outra abordagem
    para fazer as pessoas terem
  • 8:59 - 9:01
    senhas mais fortes
    é ter um medidor de senha.
  • 9:01 - 9:02
    Eis alguns exemplos.
  • 9:02 - 9:05
    Talvez vocês já
    os tenham visto na Internet
  • 9:05 - 9:06
    enquanto criavam senhas.
  • 9:07 - 9:09
    Nós decidimos fazer
    um estudo para descobrir
  • 9:09 - 9:12
    se esses medidores de senha
    realmente funcionam.
  • 9:12 - 9:13
    Será que ajudam mesmo as pessoas
  • 9:13 - 9:15
    a terem senhas mais fortes,
  • 9:15 - 9:17
    e se sim, quais funcionam melhor?
  • 9:17 - 9:19
    Nós testamos medidores de senha
  • 9:19 - 9:22
    de diferentes tamanhos, formatos e cores,
  • 9:22 - 9:23
    diferentes palavras ao lado,
  • 9:23 - 9:26
    e até testamos um que era
    um coelho dançando.
  • 9:26 - 9:28
    À medida que você digita
    uma senha mais forte,
  • 9:28 - 9:30
    o coelho dança cada vez mais rápido.
  • 9:30 - 9:33
    Esse foi bem divertido.
  • 9:33 - 9:34
    O que descobrimos
  • 9:34 - 9:38
    foi que medidores de senha
    realmente funcionam.
  • 9:38 - 9:40
    (Risos)
  • 9:40 - 9:43
    A maioria dos medidores
    de senha foram eficientes,
  • 9:43 - 9:46
    e o coelho dançante
    foi bem eficiente também,
  • 9:46 - 9:49
    mas os medidores de senha
    que foram mais eficientes
  • 9:49 - 9:51
    foram os que exigiam mais trabalho
  • 9:51 - 9:53
    antes de dar um joinha e dizer
  • 9:53 - 9:54
    que estava fazendo um bom trabalho,
  • 9:54 - 9:56
    e descobrimos que a maioria
  • 9:56 - 9:58
    dos medidores de senha
    na Internet hoje em dia
  • 9:58 - 9:59
    são suaves demais.
  • 9:59 - 10:02
    Eles dizem que está fazendo
    um bom trabalho cedo demais,
  • 10:02 - 10:04
    e se esperassem só um pouquinho mais
  • 10:04 - 10:05
    antes de dar aquele feedback positivo,
  • 10:05 - 10:08
    vocês provavelmente
    teriam senhas melhores.
  • 10:08 - 10:12
    E uma outra abordagem
    para senhas melhores, talvez,
  • 10:12 - 10:15
    é usar frases em vez de palavras.
  • 10:15 - 10:18
    Esta é uma tirinha do xkcd
    de alguns anos atrás,
  • 10:18 - 10:20
    e o cartunista sugere
  • 10:20 - 10:22
    que todos deveríamos usar
    frases como senhas,
  • 10:22 - 10:26
    e se olharmos
    para a segunda linha da tirinha,
  • 10:26 - 10:27
    vemos que o cartunista sugere
  • 10:27 - 10:31
    que a frase
    "cavalo correto bateria grampo"
  • 10:31 - 10:33
    seria uma senha muito forte
  • 10:33 - 10:35
    e algo muito fácil de lembrar.
  • 10:35 - 10:38
    Ele diz, inclusive, que você já memorizou.
  • 10:38 - 10:40
    E assim decidimos fazer um estudo
  • 10:40 - 10:43
    para descobrir se isso é verdade ou não.
  • 10:43 - 10:45
    De fato, todos com que eu falo,
  • 10:45 - 10:47
    quando menciono que pesquiso senhas,
  • 10:47 - 10:48
    eles me indicam essa tirinha.
  • 10:48 - 10:50
    "Oh, você já viu? Aquele xkcd.
  • 10:50 - 10:51
    Cavalo correto bateria grampo."
  • 10:51 - 10:53
    Então nós fizemos o estudo para ver
  • 10:53 - 10:55
    o que de fato aconteceria.
  • 10:55 - 10:58
    Em nosso estudo, usamos
    o Mechanical Turk de novo,
  • 10:58 - 11:02
    e fizemos o computador escolher
    as palavras aleatórias
  • 11:02 - 11:03
    para a senha.
  • 11:03 - 11:04
    E nós fizemos assim
  • 11:04 - 11:06
    porque seres humanos não são muito bons
  • 11:06 - 11:08
    em escolher palavras aleatórias.
  • 11:08 - 11:09
    Se pedíssemos que um ser humano fizesse,
  • 11:09 - 11:12
    ele escolheria coisas
    que não seriam muito aleatórias.
  • 11:12 - 11:14
    E nós tentamos algumas
    condições diferentes.
  • 11:14 - 11:16
    Em uma condição, o computador escolheu
  • 11:16 - 11:18
    do dicionário de palavras muito comuns
  • 11:18 - 11:20
    no idioma inglês,
  • 11:20 - 11:21
    e obtivemos frases como
  • 11:21 - 11:23
    "tentar lá três vêm".
  • 11:23 - 11:25
    E nós observamos aquilo e dissemos:
  • 11:25 - 11:28
    "Bem, não parece muito memorável."
  • 11:28 - 11:30
    Então tentamos escolher as palavras
  • 11:30 - 11:33
    que seriam de classes
    gramaticais específicas,
  • 11:33 - 11:35
    e que tal pronome-verbo-pronome-adjetivo.
  • 11:35 - 11:38
    Isso gera algo que seria
    mais ou menos como uma sentença.
  • 11:38 - 11:40
    E podemos obter uma frase como
  • 11:40 - 11:41
    "plano constrói poder certo"
  • 11:41 - 11:44
    ou "fim determina droga vermelha".
  • 11:44 - 11:47
    E parecia um pouco mais memorável,
  • 11:47 - 11:49
    e talvez as pessoas gostariam mais destas.
  • 11:49 - 11:52
    Queríamos compará-las
    com senhas de uma palavra,
  • 11:52 - 11:55
    e fizemos o computador
    escolher palavras aleatórias,
  • 11:55 - 11:57
    e eram boas e curtas, mas como podem ver,
  • 11:57 - 12:00
    não parecem muito memoráveis.
  • 12:00 - 12:01
    e tentamos testar algo chamado
  • 12:01 - 12:03
    uma senha pronunciável.
  • 12:03 - 12:05
    Aqui o computador
    escolhe sílabas aleatórias
  • 12:05 - 12:06
    e junta-as
  • 12:06 - 12:09
    para que tenhamos algo pronunciável,
  • 12:09 - 12:11
    como "tufritvi" e "vadasabi".
  • 12:11 - 12:14
    Essa enrola a língua um pouco.
  • 12:14 - 12:16
    Essas foram senhas de uma palavra
  • 12:16 - 12:19
    que foram geradas pelo computador.
  • 12:19 - 12:22
    O que descobrimos nesse estudo foi que,
    surpreendentemente,
  • 12:22 - 12:25
    senhas de frases não eram
    de fato tão boas.
  • 12:25 - 12:28
    As pessoas não lembram mais facilmente
  • 12:28 - 12:31
    as frases do que
    essas palavras aleatórias,
  • 12:31 - 12:34
    e porque as frases são mais longas,
  • 12:34 - 12:35
    elas demoram mais para digitar
  • 12:35 - 12:38
    e as pessoas cometiam
    mais erros ao digitá-las.
  • 12:38 - 12:41
    Então não é uma vitória clara
    para as senhas de frases.
  • 12:41 - 12:45
    Desculpem-me os fãs de xkcd.
  • 12:45 - 12:46
    Por outro lado, nós descobrimos
  • 12:46 - 12:48
    que senhas pronunciáveis
  • 12:48 - 12:50
    funcionavam muito bem,
  • 12:50 - 12:52
    e estamos pesquisando mais a fundo
  • 12:52 - 12:55
    para ver se conseguimos tornar
    essa abordagem ainda melhor
  • 12:55 - 12:57
    Um dos problemas
  • 12:57 - 12:59
    com alguns desses estudos que fizemos
  • 12:59 - 13:01
    é que por serem todos feitos
  • 13:01 - 13:02
    usando o Mechanical Turk,
  • 13:02 - 13:04
    essas não são senhas reais.
  • 13:04 - 13:06
    São a senha que eles criaram
  • 13:06 - 13:09
    ou o computador criou para elas
    para o nosso estudo.
  • 13:09 - 13:10
    E queríamos saber se as pessoas
  • 13:10 - 13:12
    se comportariam mesmo assim
  • 13:12 - 13:15
    com suas senhas reais.
  • 13:15 - 13:18
    Nós conversamos com o pessoal de segurança
    da informação na Carnegie Mellon
  • 13:18 - 13:22
    e perguntamos se poderiam nos dar
    todas as senhas reais das pessoas.
  • 13:22 - 13:24
    Não surpreendentemente,
    eles foram um pouco relutantes
  • 13:24 - 13:26
    em compartilhá-las conosco,
  • 13:26 - 13:27
    mas conseguimos criar
  • 13:27 - 13:28
    um sistema com eles
  • 13:28 - 13:30
    onde eles colocavam todas as senhas reais
  • 13:30 - 13:33
    dos 25 mil alunos, professores
    e funcionários da CMU,
  • 13:33 - 13:36
    em um computador bloqueado
    numa sala trancada,
  • 13:36 - 13:37
    não conectado à Internet,
  • 13:37 - 13:40
    e eles executavam código
    que nós tínhamos escrito
  • 13:40 - 13:41
    para analisar as senhas.
  • 13:41 - 13:43
    eles auditaram nosso código.
  • 13:43 - 13:44
    eles executaram o código.
  • 13:44 - 13:46
    E assim nós nunca vimos
  • 13:46 - 13:48
    a senha de ninguém.
  • 13:48 - 13:50
    Tivemos resultados interessantes,
  • 13:50 - 13:52
    e os alunos de administração aí no fundo
  • 13:52 - 13:55
    ficariam muito interessados nisso.
  • 13:55 - 13:58
    Nós descobrimos que as senhas criadas
  • 13:58 - 14:01
    pelas pessoas afiliadas à escola
    de ciência da computação
  • 14:01 - 14:03
    eram 1,8 vezes mais fortes
  • 14:03 - 14:07
    do que os afiliados
    à escola de administração.
  • 14:07 - 14:09
    Temos muitas outras informações
  • 14:09 - 14:11
    demográficas interessantes também.
  • 14:11 - 14:13
    Outra coisa interessante que descobrimos
  • 14:13 - 14:15
    foi que quando comparamos
    as senhas de Carnegie Mellon
  • 14:15 - 14:17
    com as senhas geradas
    pelo Mechanical Turk,
  • 14:17 - 14:20
    havia, na verdade, muitas similaridades,
  • 14:20 - 14:22
    e isso ajudou a validar
    nosso método de pesquisa
  • 14:22 - 14:24
    e mostrar que coletar senhas
  • 14:24 - 14:27
    usando esses estudos com o Mechanical Turk
  • 14:27 - 14:29
    é mesmo um método válido
    de estudar senhas.
  • 14:29 - 14:31
    Essas eram notícias boas.
  • 14:31 - 14:34
    Certo, gostaria de concluir falando
  • 14:34 - 14:36
    de algumas ideias que tive
    no meu período sabático
  • 14:36 - 14:39
    ano passado na escola de arte
    de Carnegie Mellon.
  • 14:39 - 14:40
    Uma das coisas que eu fiz,
  • 14:40 - 14:42
    eu fiz uma série de colchas,
  • 14:42 - 14:43
    e eu fiz esta colcha aqui.
  • 14:43 - 14:45
    Chama-se "Cobertor da Segurança".
  • 14:45 - 14:47
    (Risos)
  • 14:48 - 14:50
    E essa colcha contém
  • 14:50 - 14:53
    as 1.000 senhas mais frequentes roubadas
  • 14:53 - 14:55
    do site RockYou.
  • 14:56 - 14:58
    E o tamanho da senha é proporcional
  • 14:58 - 15:00
    à frequência com que apareceram
  • 15:00 - 15:02
    no conjunto de dados roubado.
  • 15:02 - 15:05
    E o que eu fiz foi criar
    essa nuvem de palavras,
  • 15:05 - 15:07
    e eu passei por todas as 1.000 palavras,
  • 15:07 - 15:08
    e classifiquei-as
  • 15:08 - 15:11
    em categorias temáticas vagas.
  • 15:11 - 15:13
    E foi, em alguns casos,
  • 15:13 - 15:15
    foi um pouco difícil definir
  • 15:15 - 15:17
    em que categoria elas estariam,
  • 15:17 - 15:18
    e então eu as colori.
  • 15:18 - 15:21
    Aqui vão alguns exemplos da dificuldade.
  • 15:21 - 15:22
    Então "justin".
  • 15:22 - 15:24
    Será que é o nome do usuário,
  • 15:24 - 15:25
    seu namorado, seu filho?
  • 15:25 - 15:28
    Talvez sejam fãs do Justin Bieber.
  • 15:28 - 15:30
    Ou "princesa".
  • 15:30 - 15:32
    Será que é um apelido?
  • 15:32 - 15:34
    Será que são fãs das princesas da Disney?
  • 15:34 - 15:37
    Ou talvez seja o nome do gato.
  • 15:37 - 15:39
    "euteamo" aparece muitas vezes
  • 15:39 - 15:41
    em muitas línguas diferentes.
  • 15:41 - 15:44
    Há muito amor nessas senhas.
  • 15:44 - 15:46
    Se olharem atentamente,
    verão que também há
  • 15:46 - 15:48
    profanidades,
  • 15:48 - 15:50
    mas achei muito interessante ver
  • 15:50 - 15:53
    que há muito mais amor do que ódio
  • 15:53 - 15:54
    nessas senhas.
  • 15:55 - 15:56
    E há animais,
  • 15:56 - 15:58
    muitos animais,
  • 15:58 - 16:00
    e "macaco" é o animal mais comum
  • 16:00 - 16:04
    e a 14ª senha mais comum no geral.
  • 16:04 - 16:06
    E achei isso muito curioso,
  • 16:06 - 16:09
    e me perguntei: "Por que será
    que macacos são tão populares?"
  • 16:09 - 16:12
    Então em nosso último estudo sobre senhas,
  • 16:12 - 16:13
    sempre que detectávamos alguém
  • 16:13 - 16:16
    criando uma senha contendo
    a palavra "macaco",
  • 16:16 - 16:19
    nós perguntamos por que
    eles tinham "macaco" na senha.
  • 16:19 - 16:21
    E o que descobrimos;
  • 16:21 - 16:23
    encontramos 17 pessoas até agora, acho,
  • 16:23 - 16:24
    que têm a palavra "macaco";
  • 16:24 - 16:27
    nós descobrimos
    que cerca de um terço disse
  • 16:27 - 16:28
    que tem um bichinho chamado "macaco"
  • 16:28 - 16:30
    ou um amigo cujo apelido é "macaco",
  • 16:30 - 16:32
    e cerca de um terço disse
  • 16:32 - 16:33
    que gostam de macacos
  • 16:33 - 16:35
    e macacos são muito fofos.
  • 16:35 - 16:38
    Este cara é muito fofo.
  • 16:39 - 16:42
    Parece-me que no final das contas,
  • 16:42 - 16:44
    quando criamos senhas,
  • 16:44 - 16:46
    ou criamos algo que é muito fácil
  • 16:46 - 16:49
    de digitar, um padrão comum,
  • 16:49 - 16:51
    ou coisas que nos lembrem da palavra senha
  • 16:51 - 16:55
    ou a conta para a qual criamos a senha,
  • 16:55 - 16:57
    ou tanto faz.
  • 16:57 - 17:00
    Ou pensamos em coisas
    que nos fazem felizes,
  • 17:00 - 17:01
    e criamos nossas senhas
  • 17:01 - 17:04
    baseados em coisas que nos fazem felizes.
  • 17:04 - 17:06
    E enquanto isso faz com que digitar
  • 17:06 - 17:09
    e lembrar da senha seja mais divertido,
  • 17:09 - 17:11
    também faz com que seja muito mais fácil
  • 17:11 - 17:13
    adivinhar a senha.
  • 17:13 - 17:15
    Eu sei que muitas destas palestras TED
  • 17:15 - 17:16
    são inspiradoras
  • 17:16 - 17:18
    e nos fazem pensar
    em coisas boas e felizes,
  • 17:18 - 17:20
    mas quando estiver criando sua senha,
  • 17:20 - 17:22
    tente pensar em outra coisa.
  • 17:22 - 17:23
    Obrigada.
  • 17:23 - 17:24
    (Aplausos)
Title:
O que está errado com sua $enh@?
Speaker:
Lorrie Faith Cranor
Description:

Lorrie Faith Cranor estudou milhares de senhas reais para descobrir os erros surpreendentes e muito comuns que usuários e sites seguros cometem e comprometem a segurança. E como, você pergunta, ela estudou milhares de senhas sem comprometer a segurança de qualquer usuário? Isso é uma história por si só. São dados secretos que vale a pena saber, especialmente se sua senha for 123456...
more » « less
Video Language:
English
Team:
closed TED
Project:
TEDTalks
Duration:
17:41

Portuguese, Brazilian subtitles

Revisions

Our website uses cookies for analysis purposes.