O que está errado com sua $enh@?
-
0:00 - 0:04Eu sou professora de ciência da computação
e engenharia aqui na Carnegie Mellon, -
0:04 - 0:08e minha pesquisa tem foco
em privacidade utilizável e segurança, -
0:08 - 0:11e meus amigos gostam de me dar exemplos
-
0:11 - 0:14de suas frustrações
com sistemas de computadores, -
0:14 - 0:17especialmente frustrações relacionadas
-
0:17 - 0:21a privacidade não utilizável e segurança.
-
0:21 - 0:23E senhas são algo
de que escuto falar bastante. -
0:23 - 0:26Muitas pessoas
ficam frustradas com senhas, -
0:26 - 0:28e já é ruim o suficiente
-
0:28 - 0:31quando temos que ter uma senha muito boa
-
0:31 - 0:32que consigamos lembrar
-
0:32 - 0:35mas ninguém mais consiga adivinhar.
-
0:35 - 0:37Mas o que fazer quando se têm contas
-
0:37 - 0:39em centenas de sistemas diferentes
-
0:39 - 0:41e cada um desses sistemas
-
0:41 - 0:43deve ter uma senha única?
-
0:44 - 0:46É difícil.
-
0:46 - 0:48Na Carnegie Mellon, eles costumavam
-
0:48 - 0:50deixar muito fácil para que nós
-
0:50 - 0:51lembrássemos nossas senhas.
-
0:51 - 0:53A exigência para a senha até 2009
-
0:53 - 0:56era somente que a senha
-
0:56 - 0:58tinha que ter pelo menos um caractere.
-
0:58 - 1:01Bem fácil. Mas então
eles mudaram as coisas, -
1:01 - 1:04E no final de 2009, foi anunciado
-
1:04 - 1:06que teríamos uma nova política,
-
1:06 - 1:08e essa nova política exigia
-
1:08 - 1:10senhas que tivessem
pelo menos oito caracteres, -
1:10 - 1:12com uma letra maiúscula, letra minúscula,
-
1:12 - 1:14um dígito, um símbolo,
-
1:14 - 1:16não podia usar o mesmo caractere
mais de três vezes, -
1:16 - 1:19e não poderia estar num dicionário.
-
1:19 - 1:21E quando essa nova política
foi implementada, -
1:21 - 1:23muitas pessoas, meus amigos e colegas,
-
1:23 - 1:25chegaram até mim e disseram:
-
1:25 - 1:27"Uau, agora é realmente não utilizável.
-
1:27 - 1:28Por que estão fazendo isso conosco,
-
1:28 - 1:30e por que você não os deteve?"
-
1:30 - 1:31Eu disse: "Bem, quer saber?
-
1:31 - 1:32Não me perguntaram."
-
1:32 - 1:35Mas fiquei curiosa e decidi ir falar
-
1:35 - 1:38com as pessoas responsáveis por nossos
sistemas de computadores -
1:38 - 1:41e descobrir o que os levou a introduzir
-
1:41 - 1:42essa nova política,
-
1:42 - 1:44e disseram que a universidade
-
1:44 - 1:46tinha entrado em um consórcio
de universidades, -
1:46 - 1:49e uma das exigências para se tornar membro
-
1:49 - 1:51era que tínhamos
que ter senhas mais seguras -
1:51 - 1:53que cumprissem algumas novas condições,
-
1:53 - 1:56e essas condições eram que nossas senhas
-
1:56 - 1:57tinham que ter muita entropia.
-
1:57 - 1:59Entropia é um termo complicado,
-
1:59 - 2:02mas basicamente ela mede
a força de senhas. -
2:02 - 2:04Acontece que não há exatamente
-
2:04 - 2:06uma medida padrão de entropia.
-
2:06 - 2:09O Instituto Nacional
de Padrões e Tecnologia -
2:09 - 2:10tem um conjunto de diretrizes
-
2:10 - 2:13que têm umas regras práticas
-
2:13 - 2:14para medir entropia,
-
2:14 - 2:17mas não têm nada muito específico,
-
2:17 - 2:19e a razão pela qual só têm regras práticas
-
2:19 - 2:23é que, pelo jeito, eles não têm bons dados
-
2:23 - 2:24sobre senhas.
-
2:24 - 2:26De fato, seus relatórios dizem:
-
2:26 - 2:29"Infelizmente, não temos muitos dados
-
2:29 - 2:32sobre as senhas que os usuários usam
sob regras específicas. -
2:32 - 2:34O NIST gostaria de obter mais dados
-
2:34 - 2:36sobre as senhas
que os usuários de fato usam, -
2:36 - 2:39mas os administradores de sistema
se recusam, compreensivamente, -
2:39 - 2:42a revelar dados
sobre as senhas para outros." -
2:42 - 2:45Esse é um problema,
mas nosso grupo de pesquisa -
2:45 - 2:47tomou isso como uma oportunidade.
-
2:47 - 2:50Nós dissemos: "Bem, há necessidade
de bons dados sobre senhas. -
2:50 - 2:52Talvez possamos coletar
bons dados sobre senhas -
2:52 - 2:55e de fato fazer algum progresso
no estado da arte. -
2:55 - 2:57A primeira coisa que fizemos foi,
-
2:57 - 2:58Pegamos uma sacola de doces,
-
2:58 - 2:59caminhamos pelo campus,
-
2:59 - 3:02conversamos com alunos,
professores e funcionários -
3:02 - 3:04e pedimos informações
-
3:04 - 3:05sobre suas senhas.
-
3:05 - 3:08Nós não dissemos: "Diga-nos sua senha."
-
3:08 - 3:10Não, só fizemos perguntas
sobre suas senhas. -
3:10 - 3:12Quantos caracteres? Contém algum dígito?
-
3:12 - 3:13Contém um símbolo?
-
3:13 - 3:16E você ficou incomodado
por ter tido que criar -
3:16 - 3:18uma nova senha semana passada?
-
3:18 - 3:21E reunimos respostas de 470 alunos,
-
3:21 - 3:23professores e funcionários,
-
3:23 - 3:25e, de fato, confirmamos
que a nova política -
3:25 - 3:26foi muito incômoda,
-
3:26 - 3:28mas também descobrimos
que as pessoas disseram -
3:28 - 3:31que se sentem mais seguras
com essas senhas novas. -
3:31 - 3:33Descobrimos que muitas pessoas sabiam
-
3:33 - 3:36que não deveriam anotar
suas senhas num papel -
3:36 - 3:38e somente 13% anotavam,
-
3:38 - 3:40mas preocupantemente, 80% das pessoas
-
3:40 - 3:43disseram que reutilizavam suas senhas.
-
3:43 - 3:44E isso é, na verdade, mais perigoso
-
3:44 - 3:46do que anotar sua senha num papel,
-
3:46 - 3:50porque deixa você muito mais
suscetível a ataques. -
3:50 - 3:53Então se precisar,
anote suas senhas num papel, -
3:53 - 3:55mas não reutilize-as.
-
3:55 - 3:57Também descobrimos coisas interessantes
-
3:57 - 4:00sobre os símbolos
que as pessoas usam nas senhas. -
4:00 - 4:02A CMU permite 32 símbolos possíveis,
-
4:02 - 4:05mas como podem ver,
só há uma pequena quantidade -
4:05 - 4:07que a maioria das pessoas usam,
-
4:07 - 4:10então não temos muita força, na verdade,
-
4:10 - 4:12dos símbolos em nossas senhas.
-
4:12 - 4:15Esse estudo foi muito interessante,
-
4:15 - 4:17e agora tínhamos dados de 470 pessoas,
-
4:17 - 4:18mas no esquema das coisas,
-
4:18 - 4:21isso não é quase nada
de dados sobre senhas, -
4:21 - 4:23e nós olhamos em volta para ver
-
4:23 - 4:25onde poderíamos encontrar
mais dados sobre senhas? -
4:25 - 4:27E aparentemente, há muita gente
-
4:27 - 4:29por aí roubando senhas,
-
4:29 - 4:32e normalmente elas vão
e publicam essas senhas -
4:32 - 4:33na Internet.
-
4:33 - 4:35E nós pudemos ter acesso
-
4:35 - 4:38a alguns desses conjuntos
de senhas roubadas. -
4:39 - 4:41Ainda não é o ideal para a pesquisa,
-
4:41 - 4:43porque não fica inteiramente claro
-
4:43 - 4:45de onde todas essas senhas vieram,
-
4:45 - 4:48ou que políticas exatamente
estavam em vigor -
4:48 - 4:50quando as pessoas criaram essas senhas.
-
4:50 - 4:53E nós queríamos achar
uma fonte de dados melhor. -
4:53 - 4:55E decidimos que uma coisa
que podíamos fazer -
4:55 - 4:58é que podíamos fazer um estudo e
fazer as pessoas -
4:58 - 5:00criarem senhas para o nosso estudo.
-
5:00 - 5:03E nós usamos um serviço chamado
Amazon Mechanical Turk, -
5:03 - 5:05E esse é um serviço onde você pode postar
-
5:05 - 5:08uma pequena tarefa online
que demora um minuto, -
5:08 - 5:09alguns minutos, uma hora,
-
5:09 - 5:12e pagar às pessoas cinco,
dez centavos, alguns dólares, -
5:12 - 5:14para realizar a tarefa para você,
-
5:14 - 5:16e então você as paga
através da Amazon.com. -
5:16 - 5:18Nós pagamos às pessoas
cerca de 50 centavos -
5:18 - 5:20para criar uma senha
seguindo nossas regras -
5:20 - 5:22e responder uma pesquisa,
-
5:22 - 5:24e então pagamos novamente
para que voltassem -
5:24 - 5:26dois dias depois e se logassem
-
5:26 - 5:29usando sua senha
e respondessem outra pesquisa. -
5:29 - 5:33Nós fizemos isso e coletamos 5 mil senhas,
-
5:33 - 5:36e demos às pessoas diferentes políticas
-
5:36 - 5:37para criar senhas.
-
5:37 - 5:39Alguns tinham uma política bem simples,
-
5:39 - 5:41que chamamos de Basic8,
-
5:41 - 5:43E nessa, a única regra era que a senha
-
5:43 - 5:46tinha que ter pelo menos oito caracteres.
-
5:46 - 5:49e algumas pessoas tiveram
uma política bem mais complexa, -
5:49 - 5:51que era muito similar à política da CMU.
-
5:51 - 5:53que tinha que ter oito caracteres
-
5:53 - 5:56incluindo maiúscula,
minúscula, dígito, símbolo, -
5:56 - 5:58e passar um teste de dicionário.
-
5:58 - 5:59E uma outra política que tentamos,
-
5:59 - 6:01e havia muitas outras,
-
6:01 - 6:03mas uma das que tentamos
era chamada Basic16, -
6:03 - 6:05e a única exigência aqui
-
6:05 - 6:09era que sua senha tinha que ter
pelo menos 16 caracteres. -
6:09 - 6:11Certo, e agora nós tínhamos 5 mil senhas,
-
6:11 - 6:15e assim nós tínhamos informações
muito mais detalhadas. -
6:15 - 6:17Novamente, vemos que somente
um pequeno número -
6:17 - 6:19de símbolos estão sendo usados
-
6:19 - 6:21nas senhas.
-
6:21 - 6:24Também queríamos ter uma noção da força
-
6:24 - 6:26das senhas que as pessoas estavam criando,
-
6:26 - 6:29mas como vocês se lembram,
não há uma boa medida -
6:29 - 6:31da força de uma senha.
-
6:31 - 6:33e o que decidimos fazer foi observar
-
6:33 - 6:35quanto tempo demoraria
para quebrar uma senha -
6:35 - 6:37usando as melhores ferramentas de quebra
-
6:37 - 6:39que os vilões estão usando,
-
6:39 - 6:41ou sobre as quais conseguíamos
encontrar informações -
6:41 - 6:42na literatura de pesquisa.
-
6:42 - 6:45Então para dar uma ideia de como os vilões
-
6:45 - 6:47fazem para quebrar senhas,
-
6:47 - 6:49eles roubariam um arquivo de senhas
-
6:49 - 6:51que teria todas as senhas
-
6:51 - 6:54numa forma embaralhada chamada de hash
-
6:54 - 6:57e o que fariam é, eles chutariam
-
6:57 - 6:58o que uma senha seria,
-
6:58 - 7:00passariam-na por uma função hash
-
7:00 - 7:02e verificariam se bate
-
7:02 - 7:06com as senhas que eles têm
em sua lista roubada. -
7:06 - 7:09Um atacante burro tentaria
todas as senhas na ordem. -
7:09 - 7:13Começariam com AAAAA e depois AAAAB,
-
7:13 - 7:15e isso demoraria muito
-
7:15 - 7:17antes de conseguirem qualquer senha
-
7:17 - 7:19que seja realmente provável
de ser usada por alguém -
7:19 - 7:22Um atacante esperto, por outro lado,
-
7:22 - 7:23faz algo muito mais inteligente.
-
7:23 - 7:25Eles olham para as senhas
-
7:25 - 7:27que são conhecidamente populares
-
7:27 - 7:28daqueles conjuntos de senhas roubadas,
-
7:28 - 7:30e chutam aquelas primeiro.
-
7:30 - 7:32Eles vão começar chutando "password",
-
7:32 - 7:34e então vão chutar
"eu te amo" e "macaco", -
7:34 - 7:37e "12345678",
-
7:37 - 7:38porque essas são as senhas
-
7:38 - 7:41que são mais prováveis
de serem usadas por alguém. -
7:41 - 7:44De fato, alguns de vocês
até têm essas senhas. -
7:45 - 7:46E o que descobrimos
-
7:46 - 7:50ao rodar essas 5 mil senhas coletadas
-
7:50 - 7:54através desses testes para ver sua força,
-
7:54 - 7:57descobrimos que as senhas longas
-
7:57 - 7:58eram realmente bem fortes,
-
7:58 - 8:01e as senhas complexas
eram bem fortes também. -
8:01 - 8:04Entretanto, quando olhamos
os dados da pesquisa, -
8:04 - 8:07vimos que as pessoas
ficavam muito frustradas -
8:07 - 8:09com as senhas muito complexas,
-
8:09 - 8:12e as senhas longas
eram muito mais utilizáveis, -
8:12 - 8:13e em alguns casos, elas eram mesmo
-
8:13 - 8:16até mais fortes do que
as senhas complexas. -
8:16 - 8:17E isso sugere que,
-
8:17 - 8:19em vez de dizer às pessoas que precisam
-
8:19 - 8:21pôr todos esses símbolos e números
-
8:21 - 8:23e coisas loucas em suas senhas,
-
8:23 - 8:25talvez seja muito melhor só dizer
-
8:25 - 8:28para terem senhas longas.
-
8:28 - 8:30Mas aqui há um problema:
-
8:30 - 8:32Algumas pessoas tinham senhas longas
-
8:32 - 8:34que não eram muito fortes, na verdade.
-
8:34 - 8:35Você pode criar senhas longas
-
8:35 - 8:37que ainda são o tipo de coisa
-
8:37 - 8:39que um atacante adivinharia facilmente.
-
8:39 - 8:42Então precisamos fazer mais
do que só pedir senhas longas. -
8:42 - 8:44Tem que haver algumas
exigências adicionais, -
8:44 - 8:47e algumas de nossas pesquisas atuais
estão observando -
8:47 - 8:49que exigências adicionais deveríamos impor
-
8:49 - 8:52para gerar senhas mais fortes
-
8:52 - 8:54que também serão fáceis para as pessoas
-
8:54 - 8:56lembrarem e digitarem.
-
8:57 - 8:59Outra abordagem
para fazer as pessoas terem -
8:59 - 9:01senhas mais fortes
é ter um medidor de senha. -
9:01 - 9:02Eis alguns exemplos.
-
9:02 - 9:05Talvez vocês já
os tenham visto na Internet -
9:05 - 9:06enquanto criavam senhas.
-
9:07 - 9:09Nós decidimos fazer
um estudo para descobrir -
9:09 - 9:12se esses medidores de senha
realmente funcionam. -
9:12 - 9:13Será que ajudam mesmo as pessoas
-
9:13 - 9:15a terem senhas mais fortes,
-
9:15 - 9:17e se sim, quais funcionam melhor?
-
9:17 - 9:19Nós testamos medidores de senha
-
9:19 - 9:22de diferentes tamanhos, formatos e cores,
-
9:22 - 9:23diferentes palavras ao lado,
-
9:23 - 9:26e até testamos um que era
um coelho dançando. -
9:26 - 9:28À medida que você digita
uma senha mais forte, -
9:28 - 9:30o coelho dança cada vez mais rápido.
-
9:30 - 9:33Esse foi bem divertido.
-
9:33 - 9:34O que descobrimos
-
9:34 - 9:38foi que medidores de senha
realmente funcionam. -
9:38 - 9:40(Risos)
-
9:40 - 9:43A maioria dos medidores
de senha foram eficientes, -
9:43 - 9:46e o coelho dançante
foi bem eficiente também, -
9:46 - 9:49mas os medidores de senha
que foram mais eficientes -
9:49 - 9:51foram os que exigiam mais trabalho
-
9:51 - 9:53antes de dar um joinha e dizer
-
9:53 - 9:54que estava fazendo um bom trabalho,
-
9:54 - 9:56e descobrimos que a maioria
-
9:56 - 9:58dos medidores de senha
na Internet hoje em dia -
9:58 - 9:59são suaves demais.
-
9:59 - 10:02Eles dizem que está fazendo
um bom trabalho cedo demais, -
10:02 - 10:04e se esperassem só um pouquinho mais
-
10:04 - 10:05antes de dar aquele feedback positivo,
-
10:05 - 10:08vocês provavelmente
teriam senhas melhores. -
10:08 - 10:12E uma outra abordagem
para senhas melhores, talvez, -
10:12 - 10:15é usar frases em vez de palavras.
-
10:15 - 10:18Esta é uma tirinha do xkcd
de alguns anos atrás, -
10:18 - 10:20e o cartunista sugere
-
10:20 - 10:22que todos deveríamos usar
frases como senhas, -
10:22 - 10:26e se olharmos
para a segunda linha da tirinha, -
10:26 - 10:27vemos que o cartunista sugere
-
10:27 - 10:31que a frase
"cavalo correto bateria grampo" -
10:31 - 10:33seria uma senha muito forte
-
10:33 - 10:35e algo muito fácil de lembrar.
-
10:35 - 10:38Ele diz, inclusive, que você já memorizou.
-
10:38 - 10:40E assim decidimos fazer um estudo
-
10:40 - 10:43para descobrir se isso é verdade ou não.
-
10:43 - 10:45De fato, todos com que eu falo,
-
10:45 - 10:47quando menciono que pesquiso senhas,
-
10:47 - 10:48eles me indicam essa tirinha.
-
10:48 - 10:50"Oh, você já viu? Aquele xkcd.
-
10:50 - 10:51Cavalo correto bateria grampo."
-
10:51 - 10:53Então nós fizemos o estudo para ver
-
10:53 - 10:55o que de fato aconteceria.
-
10:55 - 10:58Em nosso estudo, usamos
o Mechanical Turk de novo, -
10:58 - 11:02e fizemos o computador escolher
as palavras aleatórias -
11:02 - 11:03para a senha.
-
11:03 - 11:04E nós fizemos assim
-
11:04 - 11:06porque seres humanos não são muito bons
-
11:06 - 11:08em escolher palavras aleatórias.
-
11:08 - 11:09Se pedíssemos que um ser humano fizesse,
-
11:09 - 11:12ele escolheria coisas
que não seriam muito aleatórias. -
11:12 - 11:14E nós tentamos algumas
condições diferentes. -
11:14 - 11:16Em uma condição, o computador escolheu
-
11:16 - 11:18do dicionário de palavras muito comuns
-
11:18 - 11:20no idioma inglês,
-
11:20 - 11:21e obtivemos frases como
-
11:21 - 11:23"tentar lá três vêm".
-
11:23 - 11:25E nós observamos aquilo e dissemos:
-
11:25 - 11:28"Bem, não parece muito memorável."
-
11:28 - 11:30Então tentamos escolher as palavras
-
11:30 - 11:33que seriam de classes
gramaticais específicas, -
11:33 - 11:35e que tal pronome-verbo-pronome-adjetivo.
-
11:35 - 11:38Isso gera algo que seria
mais ou menos como uma sentença. -
11:38 - 11:40E podemos obter uma frase como
-
11:40 - 11:41"plano constrói poder certo"
-
11:41 - 11:44ou "fim determina droga vermelha".
-
11:44 - 11:47E parecia um pouco mais memorável,
-
11:47 - 11:49e talvez as pessoas gostariam mais destas.
-
11:49 - 11:52Queríamos compará-las
com senhas de uma palavra, -
11:52 - 11:55e fizemos o computador
escolher palavras aleatórias, -
11:55 - 11:57e eram boas e curtas, mas como podem ver,
-
11:57 - 12:00não parecem muito memoráveis.
-
12:00 - 12:01e tentamos testar algo chamado
-
12:01 - 12:03uma senha pronunciável.
-
12:03 - 12:05Aqui o computador
escolhe sílabas aleatórias -
12:05 - 12:06e junta-as
-
12:06 - 12:09para que tenhamos algo pronunciável,
-
12:09 - 12:11como "tufritvi" e "vadasabi".
-
12:11 - 12:14Essa enrola a língua um pouco.
-
12:14 - 12:16Essas foram senhas de uma palavra
-
12:16 - 12:19que foram geradas pelo computador.
-
12:19 - 12:22O que descobrimos nesse estudo foi que,
surpreendentemente, -
12:22 - 12:25senhas de frases não eram
de fato tão boas. -
12:25 - 12:28As pessoas não lembram mais facilmente
-
12:28 - 12:31as frases do que
essas palavras aleatórias, -
12:31 - 12:34e porque as frases são mais longas,
-
12:34 - 12:35elas demoram mais para digitar
-
12:35 - 12:38e as pessoas cometiam
mais erros ao digitá-las. -
12:38 - 12:41Então não é uma vitória clara
para as senhas de frases. -
12:41 - 12:45Desculpem-me os fãs de xkcd.
-
12:45 - 12:46Por outro lado, nós descobrimos
-
12:46 - 12:48que senhas pronunciáveis
-
12:48 - 12:50funcionavam muito bem,
-
12:50 - 12:52e estamos pesquisando mais a fundo
-
12:52 - 12:55para ver se conseguimos tornar
essa abordagem ainda melhor -
12:55 - 12:57Um dos problemas
-
12:57 - 12:59com alguns desses estudos que fizemos
-
12:59 - 13:01é que por serem todos feitos
-
13:01 - 13:02usando o Mechanical Turk,
-
13:02 - 13:04essas não são senhas reais.
-
13:04 - 13:06São a senha que eles criaram
-
13:06 - 13:09ou o computador criou para elas
para o nosso estudo. -
13:09 - 13:10E queríamos saber se as pessoas
-
13:10 - 13:12se comportariam mesmo assim
-
13:12 - 13:15com suas senhas reais.
-
13:15 - 13:18Nós conversamos com o pessoal de segurança
da informação na Carnegie Mellon -
13:18 - 13:22e perguntamos se poderiam nos dar
todas as senhas reais das pessoas. -
13:22 - 13:24Não surpreendentemente,
eles foram um pouco relutantes -
13:24 - 13:26em compartilhá-las conosco,
-
13:26 - 13:27mas conseguimos criar
-
13:27 - 13:28um sistema com eles
-
13:28 - 13:30onde eles colocavam todas as senhas reais
-
13:30 - 13:33dos 25 mil alunos, professores
e funcionários da CMU, -
13:33 - 13:36em um computador bloqueado
numa sala trancada, -
13:36 - 13:37não conectado à Internet,
-
13:37 - 13:40e eles executavam código
que nós tínhamos escrito -
13:40 - 13:41para analisar as senhas.
-
13:41 - 13:43eles auditaram nosso código.
-
13:43 - 13:44eles executaram o código.
-
13:44 - 13:46E assim nós nunca vimos
-
13:46 - 13:48a senha de ninguém.
-
13:48 - 13:50Tivemos resultados interessantes,
-
13:50 - 13:52e os alunos de administração aí no fundo
-
13:52 - 13:55ficariam muito interessados nisso.
-
13:55 - 13:58Nós descobrimos que as senhas criadas
-
13:58 - 14:01pelas pessoas afiliadas à escola
de ciência da computação -
14:01 - 14:03eram 1,8 vezes mais fortes
-
14:03 - 14:07do que os afiliados
à escola de administração. -
14:07 - 14:09Temos muitas outras informações
-
14:09 - 14:11demográficas interessantes também.
-
14:11 - 14:13Outra coisa interessante que descobrimos
-
14:13 - 14:15foi que quando comparamos
as senhas de Carnegie Mellon -
14:15 - 14:17com as senhas geradas
pelo Mechanical Turk, -
14:17 - 14:20havia, na verdade, muitas similaridades,
-
14:20 - 14:22e isso ajudou a validar
nosso método de pesquisa -
14:22 - 14:24e mostrar que coletar senhas
-
14:24 - 14:27usando esses estudos com o Mechanical Turk
-
14:27 - 14:29é mesmo um método válido
de estudar senhas. -
14:29 - 14:31Essas eram notícias boas.
-
14:31 - 14:34Certo, gostaria de concluir falando
-
14:34 - 14:36de algumas ideias que tive
no meu período sabático -
14:36 - 14:39ano passado na escola de arte
de Carnegie Mellon. -
14:39 - 14:40Uma das coisas que eu fiz,
-
14:40 - 14:42eu fiz uma série de colchas,
-
14:42 - 14:43e eu fiz esta colcha aqui.
-
14:43 - 14:45Chama-se "Cobertor da Segurança".
-
14:45 - 14:47(Risos)
-
14:48 - 14:50E essa colcha contém
-
14:50 - 14:53as 1.000 senhas mais frequentes roubadas
-
14:53 - 14:55do site RockYou.
-
14:56 - 14:58E o tamanho da senha é proporcional
-
14:58 - 15:00à frequência com que apareceram
-
15:00 - 15:02no conjunto de dados roubado.
-
15:02 - 15:05E o que eu fiz foi criar
essa nuvem de palavras, -
15:05 - 15:07e eu passei por todas as 1.000 palavras,
-
15:07 - 15:08e classifiquei-as
-
15:08 - 15:11em categorias temáticas vagas.
-
15:11 - 15:13E foi, em alguns casos,
-
15:13 - 15:15foi um pouco difícil definir
-
15:15 - 15:17em que categoria elas estariam,
-
15:17 - 15:18e então eu as colori.
-
15:18 - 15:21Aqui vão alguns exemplos da dificuldade.
-
15:21 - 15:22Então "justin".
-
15:22 - 15:24Será que é o nome do usuário,
-
15:24 - 15:25seu namorado, seu filho?
-
15:25 - 15:28Talvez sejam fãs do Justin Bieber.
-
15:28 - 15:30Ou "princesa".
-
15:30 - 15:32Será que é um apelido?
-
15:32 - 15:34Será que são fãs das princesas da Disney?
-
15:34 - 15:37Ou talvez seja o nome do gato.
-
15:37 - 15:39"euteamo" aparece muitas vezes
-
15:39 - 15:41em muitas línguas diferentes.
-
15:41 - 15:44Há muito amor nessas senhas.
-
15:44 - 15:46Se olharem atentamente,
verão que também há -
15:46 - 15:48profanidades,
-
15:48 - 15:50mas achei muito interessante ver
-
15:50 - 15:53que há muito mais amor do que ódio
-
15:53 - 15:54nessas senhas.
-
15:55 - 15:56E há animais,
-
15:56 - 15:58muitos animais,
-
15:58 - 16:00e "macaco" é o animal mais comum
-
16:00 - 16:04e a 14ª senha mais comum no geral.
-
16:04 - 16:06E achei isso muito curioso,
-
16:06 - 16:09e me perguntei: "Por que será
que macacos são tão populares?" -
16:09 - 16:12Então em nosso último estudo sobre senhas,
-
16:12 - 16:13sempre que detectávamos alguém
-
16:13 - 16:16criando uma senha contendo
a palavra "macaco", -
16:16 - 16:19nós perguntamos por que
eles tinham "macaco" na senha. -
16:19 - 16:21E o que descobrimos;
-
16:21 - 16:23encontramos 17 pessoas até agora, acho,
-
16:23 - 16:24que têm a palavra "macaco";
-
16:24 - 16:27nós descobrimos
que cerca de um terço disse -
16:27 - 16:28que tem um bichinho chamado "macaco"
-
16:28 - 16:30ou um amigo cujo apelido é "macaco",
-
16:30 - 16:32e cerca de um terço disse
-
16:32 - 16:33que gostam de macacos
-
16:33 - 16:35e macacos são muito fofos.
-
16:35 - 16:38Este cara é muito fofo.
-
16:39 - 16:42Parece-me que no final das contas,
-
16:42 - 16:44quando criamos senhas,
-
16:44 - 16:46ou criamos algo que é muito fácil
-
16:46 - 16:49de digitar, um padrão comum,
-
16:49 - 16:51ou coisas que nos lembrem da palavra senha
-
16:51 - 16:55ou a conta para a qual criamos a senha,
-
16:55 - 16:57ou tanto faz.
-
16:57 - 17:00Ou pensamos em coisas
que nos fazem felizes, -
17:00 - 17:01e criamos nossas senhas
-
17:01 - 17:04baseados em coisas que nos fazem felizes.
-
17:04 - 17:06E enquanto isso faz com que digitar
-
17:06 - 17:09e lembrar da senha seja mais divertido,
-
17:09 - 17:11também faz com que seja muito mais fácil
-
17:11 - 17:13adivinhar a senha.
-
17:13 - 17:15Eu sei que muitas destas palestras TED
-
17:15 - 17:16são inspiradoras
-
17:16 - 17:18e nos fazem pensar
em coisas boas e felizes, -
17:18 - 17:20mas quando estiver criando sua senha,
-
17:20 - 17:22tente pensar em outra coisa.
-
17:22 - 17:23Obrigada.
-
17:23 - 17:24(Aplausos)
- Title:
- O que está errado com sua $enh@?
- Speaker:
- Lorrie Faith Cranor
- Description:
-
Lorrie Faith Cranor estudou milhares de senhas reais para descobrir os erros surpreendentes e muito comuns que usuários e sites seguros cometem e comprometem a segurança. E como, você pergunta, ela estudou milhares de senhas sem comprometer a segurança de qualquer usuário? Isso é uma história por si só. São dados secretos que vale a pena saber, especialmente se sua senha for 123456...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Tulio Leao approved Portuguese, Brazilian subtitles for What’s wrong with your pa$$w0rd? | ||
Tulio Leao edited Portuguese, Brazilian subtitles for What’s wrong with your pa$$w0rd? | ||
Tulio Leao edited Portuguese, Brazilian subtitles for What’s wrong with your pa$$w0rd? | ||
Tulio Leao edited Portuguese, Brazilian subtitles for What’s wrong with your pa$$w0rd? | ||
Ruy Lopes Pereira accepted Portuguese, Brazilian subtitles for What’s wrong with your pa$$w0rd? | ||
Ruy Lopes Pereira edited Portuguese, Brazilian subtitles for What’s wrong with your pa$$w0rd? | ||
Ruy Lopes Pereira edited Portuguese, Brazilian subtitles for What’s wrong with your pa$$w0rd? | ||
Ruy Lopes Pereira edited Portuguese, Brazilian subtitles for What’s wrong with your pa$$w0rd? |