O que há de errado com a sua palavra-pa$$e?
-
0:00 - 0:04Sou uma Professora de Engenharia e
Ciência Informática aqui na Carnegie Mellon, -
0:04 - 0:08e a minha investigação centra-se na
privacidade e segurança utilizáveis, -
0:08 - 0:11e, por isso, os meus amigos
gostam de me dar exemplos -
0:11 - 0:13das suas frustrações com
os sistemas informáticos, -
0:13 - 0:17especialmente as suas
frustrações relacionadas com -
0:17 - 0:21privacidade e segurança inutilizáveis.
-
0:21 - 0:23Por isso, as palavras-passe são
algo de que eu oiço muito falar. -
0:23 - 0:26Muitas pessoas estão frustradas
com as palavras-passe, -
0:26 - 0:28e é suficientemente mau
-
0:28 - 0:31quando temos que ter uma
palavra-passe realmente boa -
0:31 - 0:32que possamos memorizar
-
0:32 - 0:35mas que mais ninguém
seja capaz de adivinhar. -
0:35 - 0:37Mas o que devemos fazer
quando temos contas -
0:37 - 0:39numa centena de sistemas diferentes
-
0:39 - 0:41e é suposto termos uma palavra-passe única
-
0:41 - 0:44para cada um desses sistemas?
-
0:44 - 0:46É complicado.
-
0:46 - 0:48Na Universidade de Carnegie Mellon,
costumavam fazer com que fosse -
0:48 - 0:49realmente fácil para nós
-
0:49 - 0:51memorizarmos
as nossas palavras-passe. -
0:51 - 0:53O requisito para as
palavras-passe até 2009 -
0:53 - 0:56era apenas que teríamos
que ter uma palavra-passe -
0:56 - 0:58com pelo menos um carácter.
-
0:58 - 0:59Bastante simples.
-
0:59 - 1:04Mas depois as coisas mudaram,
e no final de 2009, anunciaram -
1:04 - 1:06que iriam ter uma nova política
-
1:06 - 1:08e essa política exigia
-
1:08 - 1:11palavras-passe que tivessem
pelo menos oito caracteres, -
1:11 - 1:12com uma letra maiúscula,
uma letra minúscula, -
1:12 - 1:14um número, um símbolo,
-
1:14 - 1:16não podíamos utilizar o mesmo
carácter mais do que três vezes, -
1:16 - 1:19e não poderia constar de um dicionário.
-
1:19 - 1:21Quando eles implementaram
esta nova política, -
1:21 - 1:23muitas pessoas, os meus colegas e amigos,
-
1:23 - 1:25vieram ter comigo e disseram:
-
1:25 - 1:27"Uau, agora é que é realmente
inutilizável. -
1:27 - 1:28"Porque é que eles nos estão a fazer isto,
-
1:28 - 1:29"e porque é que tu não os impedes?"
-
1:29 - 1:31E eu disse: "Bem, sabem que mais?
-
1:31 - 1:32"Eles não me perguntaram."
-
1:32 - 1:36Mas fiquei curiosa e decidi ir falar
-
1:36 - 1:38com as pessoas responsáveis pelos
nossos sistemas informáticos -
1:38 - 1:41e descobrir o que os levou a introduzir
-
1:41 - 1:42esta nova política,
-
1:42 - 1:44e eles disseram que a universidade
-
1:44 - 1:46se tinha juntado a um
consórcio de universidades, -
1:46 - 1:49e que um dos requisitos da adesão
-
1:49 - 1:51era que tínhamos que usar
palavras-passe mais fortes -
1:51 - 1:53que estivessem de acordo
com alguns novos requisitos, -
1:53 - 1:56e estes requisitos eram
de que nossas palavras-passe -
1:56 - 1:57teriam que ter muita entropia.
-
1:57 - 1:59Entropia é um termo complicado,
-
1:59 - 2:02mas basicamente mede
a força das palavras-passe. -
2:02 - 2:04Mas o que acontece é
que não há, na verdade, -
2:04 - 2:06uma medida padrão de entropia.
-
2:06 - 2:09O Instituto Nacional de
Padrões e Tecnologia -
2:09 - 2:10tem um conjunto de diretrizes
-
2:10 - 2:13que têm algumas regras gerais
-
2:13 - 2:14para medir entropia,
-
2:14 - 2:17mas não têm nada muito específico,
-
2:17 - 2:19e a razão de terem apenas regras gerais,
-
2:19 - 2:23é por não terem, na verdade,
quaisquer dados válidos -
2:23 - 2:24sobre palavras-passe.
-
2:24 - 2:26Na verdade, o seu relatório afirma:
-
2:26 - 2:29"Infelizmente, não temos muitos dados
-
2:29 - 2:30"sobre as palavras-passe que
os utilizadores escolhem -
2:30 - 2:32"de acordo com regras específicas.
-
2:32 - 2:34"O INPT gostaria de obter mais dados
-
2:34 - 2:36"sobre as palavras-passe que os
utilizadores realmente escolhem, -
2:36 - 2:39"mas os administradores de sistema
estão compreensivelmente relutantes -
2:39 - 2:42"em revelar dados de palavras-passe
a outras pessoas. " -
2:42 - 2:45Portanto, isto é um problema,
mas o nosso grupo de investigação -
2:45 - 2:47entendeu-o como uma oportunidade.
-
2:47 - 2:50Dissemos: "Bem, há uma necessidade
de bons dados sobre palavras-passe. -
2:50 - 2:52"Talvez possamos recolher alguns
bons dados sobre palavras-passe -
2:52 - 2:55"e, fazer avançar, de facto,
o conhecimento nesta área". -
2:55 - 2:57Então a primeira coisa que fizemos foi,
-
2:57 - 2:58comprámos um saco de guloseimas
-
2:58 - 2:59e andámos pelo "campus"
-
2:59 - 3:02e falámos com estudantes,
professores e funcionários, -
3:02 - 3:04e pedimos-lhes informações
-
3:04 - 3:05sobre as suas palavras-passe.
-
3:05 - 3:08Não lhes dissemos:
"Dê-me a sua palavra-passe." -
3:08 - 3:11Não, apenas lhes perguntámos
sobre as suas palavras-passe. -
3:11 - 3:12"É longa?"
"Tem algum número?" -
3:12 - 3:13"Tem algum símbolo?"
-
3:13 - 3:15E: "Foi-lhe aborrecido ter que criar
-
3:15 - 3:18"uma nova na semana passada?"
-
3:18 - 3:21Assim conseguimos resultados
de 470 estudantes, -
3:21 - 3:22professores e funcionários,
-
3:22 - 3:25e, de facto, confirmámos
que a nova política -
3:25 - 3:26era muito irritante,
-
3:26 - 3:28mas também descobrimos
que as pessoas diziam -
3:28 - 3:31sentir-se mais seguras com
estas novas palavras-passe. -
3:31 - 3:33Descobrimos que a maior
parte das pessoas sabia -
3:33 - 3:36que não deveria anotar
as suas palavras-passe, -
3:36 - 3:38e apenas 13 por cento o fizeram,
-
3:38 - 3:40mas estranhamente,
80 por cento das pessoas -
3:40 - 3:43afirmaram estar a reutilizar
as suas palavras-passe. -
3:43 - 3:44Na verdade, isto é mais perigoso
-
3:44 - 3:46do que anotarmos a nossa palavra-passe,
-
3:46 - 3:50porque isto nos torna muito
mais suscetíveis a ataques. -
3:50 - 3:53Então, se tiver que ser, anotem
as vossas palavras-passe, -
3:53 - 3:55mas não as reutilizem.
-
3:55 - 3:57Também descobrimos algumas
coisas interessantes -
3:57 - 4:00sobre os símbolos que as pessoas
utilizam nas suas palavras-passe. -
4:00 - 4:02A CMU permite 32 símbolos possíveis,
-
4:02 - 4:05mas como podem ver,
há apenas um número reduzido -
4:05 - 4:07que a maior parte das
pessoas está a utilizar, -
4:07 - 4:10por isso, não estamos a retirar
muita força -
4:10 - 4:12dos símbolos nas nossas palavras-passe.
-
4:12 - 4:15Portanto, este foi um
estudo muito interessante, -
4:15 - 4:17e agora tínhamos dados de 470 pessoas,
-
4:17 - 4:18mas em termos gerais,
-
4:18 - 4:21não são muitos dados sobre palavras-passe,
-
4:21 - 4:22e então olhámos à volta para ver
-
4:22 - 4:25onde poderíamos encontrar
mais dados sobre palavras-passe? -
4:25 - 4:27Acontece que há muitas pessoas
-
4:27 - 4:29por aí a roubar palavras-passe,
-
4:29 - 4:32e muitas vezes publicam
essas palavras-passe -
4:32 - 4:33na Internet.
-
4:33 - 4:35Assim nós conseguimos ter acesso
-
4:35 - 4:39a alguns desses conjuntos
de palavras-passe roubadas. -
4:39 - 4:41No entanto, isto ainda não é
realmente ideal para a investigação, -
4:41 - 4:43porque não é inteiramente claro
-
4:43 - 4:45de onde vieram todas estas palavras-passe,
-
4:45 - 4:48ou exatamente quais eram
as políticas que estavam em vigor -
4:48 - 4:50quando as pessoas criaram
estas palavras-passe. -
4:50 - 4:53Então quisemos encontrar uma
melhor fonte de dados. -
4:53 - 4:55Decidimos então que uma
coisa que podíamos fazer -
4:55 - 4:57era fazer um estudo e ter pessoas
-
4:57 - 5:00a criarem, de facto, palavras-passe
para o nosso estudo. -
5:00 - 5:03Assim utilizámos um serviço
chamado Amazon Mechanical Turk, -
5:03 - 5:06e este é um serviço onde podemos
publicar "on-line" -
5:06 - 5:08um pequeno trabalho
que demore um minuto, -
5:08 - 5:09alguns minutos, uma hora,
-
5:09 - 5:12e pague às pessoas, uma moeda de
um centavo, dez centavos, alguns dólares, -
5:12 - 5:13para fazerem uma tarefa por nós,
-
5:13 - 5:15e depois pagamos-lhes
através da Amazon.com -
5:15 - 5:18Então pagámos às pessoas 50 centavos
-
5:18 - 5:20para criarem uma palavra-passe
seguindo as nossas regras -
5:20 - 5:22e respondendo a um questionário,
-
5:22 - 5:24e depois pagámos-lhes
outra vez para voltarem -
5:24 - 5:26dois dias depois e fazerem o "login"
-
5:26 - 5:29utilizando as suas palavras-passe
e respondendo a outro questionário. -
5:29 - 5:33Fizemos então isto e recolhemos
5000 palavras-passe, -
5:33 - 5:36e demos às pessoas
várias regras diferentes -
5:36 - 5:37para criarem as suas palavras-passe.
-
5:37 - 5:39Então algumas pessoas
tinham uma política muito simples, -
5:39 - 5:41a que chamámos Basic8,
-
5:41 - 5:43e aqui a única regra
era que a palavra-passe -
5:43 - 5:47tinha que ter pelo menos oito caracteres.
-
5:47 - 5:49Depois algumas pessoas tinham
uma política muito mais rígida, -
5:49 - 5:51e esta era muito semelhante
à política da CMU, -
5:51 - 5:53que tinha quer ter oito caracteres
-
5:53 - 5:56incluindo maiúsculas, minúsculas,
números, símbolos, -
5:56 - 5:58e passar por uma
verificação de dicionário. -
5:58 - 5:59E uma de outras políticas que tentámos,
-
5:59 - 6:01e havia várias outras,
-
6:01 - 6:03mas uma das que tentámos
era chamada Basic16. -
6:03 - 6:05e a única exigência aqui
-
6:05 - 6:09era que a palavra-passe tinha
que ter pelos menos 16 caracteres. -
6:09 - 6:11Muito bem, então tínhamos
5000 palavras-passe, -
6:11 - 6:15e então tínhamos informação
muito mais detalhada. -
6:15 - 6:17Mais uma vez, vemos que há
apenas um pequeno número -
6:17 - 6:19de símbolos que as
pessoas estão a utilizar -
6:19 - 6:21nas suas palavras-passe.
-
6:21 - 6:24Também queríamos ter
uma ideia do quão forte -
6:24 - 6:26eram as palavras-passe que
as pessoas estavam a criar, -
6:26 - 6:29mas como se devem lembrar,
não há uma boa medida -
6:29 - 6:31de força da palavra-passe.
-
6:31 - 6:33Então o que decidimos foi ver
-
6:33 - 6:35quanto tempo levaria a
descobrir essas palavras-passe -
6:35 - 6:37utilizando as melhores
ferramentas para o efeito -
6:37 - 6:39que os "maus da fita" utilizam,
-
6:39 - 6:41ou sobre as quais conseguimos
encontrar informação -
6:41 - 6:42na literatura da investigação.
-
6:42 - 6:45Então, para vos dar uma ideia
da forma como os "maus da fita" -
6:45 - 6:47andam por aí a descodificar
palavras-passe, -
6:47 - 6:49eles roubam um ficheiro de palavras-passe
-
6:49 - 6:51que contém todas as palavras-passe
-
6:51 - 6:54numa espécie de forma baralhada,
chamada uma "hash", -
6:54 - 6:56e, por isso, o que eles fazem é:
-
6:56 - 6:58dão um palpite sobre
qual é uma palavra-passe, -
6:58 - 7:00testam-na através de uma função "hash",
-
7:00 - 7:02e vêem se corresponde
-
7:02 - 7:06às palavras-passe que têm na sua
lista de palavras-passe roubadas. -
7:06 - 7:09Assim, um malfeitor idiota vai tentar
todas as palavras-passe por ordem. -
7:09 - 7:13Vai começar com AAAAA e passar para AAAAB,
-
7:13 - 7:15e isto vai demorar imenso tempo
-
7:15 - 7:17até que consiga alguma palavra-passe
-
7:17 - 7:19que, de facto, seja provável
as pessoas terem. -
7:19 - 7:22Um malfeitor esperto, por outro lado,
-
7:22 - 7:23faz algo muito mais inteligente.
-
7:23 - 7:25Olha para as palavras-passe
-
7:25 - 7:27que sejam entendidas como mais populares
-
7:27 - 7:28nesses conjuntos de
palavras-passe roubadas, -
7:28 - 7:29e testa essas primeiro.
-
7:29 - 7:32Então vai começar por
testar "palavra-passe," -
7:32 - 7:34e depois vai testar
"I love you" e "macaco" -
7:34 - 7:37e "12345678",
-
7:37 - 7:38porque essas são as palavra-passe
-
7:38 - 7:40que é mais provável as pessoas terem.
-
7:40 - 7:43De facto, alguns de vocês provavelmente
têm estas palavras-passe. -
7:45 - 7:46Então o que descobrimos
-
7:46 - 7:50ao testar todas estas 5000
palavras-passe que recolhemos -
7:50 - 7:54através destes testes para
vermos o quão fortes elas eram, -
7:54 - 7:57descobrimos que as palavras-passe longas
-
7:57 - 7:58eram de facto bastante fortes,
-
7:58 - 8:01e as palavras-passe complexas
eram também bastante fortes. -
8:01 - 8:04No entanto, quando olhámos
para os dados do questionário, -
8:04 - 8:07vimos que as pessoas
estavam bastante frustadas -
8:07 - 8:09com as palavras-passe muito complexas,
-
8:09 - 8:12e as palavras-passe longas
eram bastante mais utilizáveis, -
8:12 - 8:13e em alguns casos, elas eram
-
8:13 - 8:16até mais fortes do que
palavras-passe complexas. -
8:16 - 8:17Então isto sugere que,
-
8:17 - 8:19em vez de dizer às
pessoas que elas precisam -
8:19 - 8:20de colocar todos esses símbolos e números
-
8:20 - 8:23e coisas loucas nas suas palavras-passe,
-
8:23 - 8:25pode ser melhor apenas dizer às pessoas
-
8:25 - 8:28para terem palavras-passe longas.
-
8:28 - 8:30Ora aqui está o problema, ainda assim:
-
8:30 - 8:32Algumas pessoas tinham
palavras-passe longas -
8:32 - 8:33que, na verdade, não eram muito fortes.
-
8:33 - 8:35Podemos criar palavras-passe longas
-
8:35 - 8:37que ainda são o tipo de coisa
-
8:37 - 8:39que um malfeitor pode
facilmente adivinhar. -
8:39 - 8:42Então, temos que fazer mais do que
apenas considerar palavras-passe longas. -
8:42 - 8:44Têm que haver alguns
requisitos adicionais, -
8:44 - 8:47e uma parte da nossa investigação
em curso está a tentar perceber -
8:47 - 8:49que requisitos adicionais
devemos adicionar -
8:49 - 8:52para criar palavras-passe mais fortes
-
8:52 - 8:54que sejam também fáceis para as pessoas
-
8:54 - 8:57memorizarem e digitarem.
-
8:57 - 8:59Outra abordagem para
levar as pessoas a ter -
8:59 - 9:01palavras-passe mais fortes é
utilizar um medidor de palavra-passe. -
9:01 - 9:02Aqui estão alguns exemplos.
-
9:02 - 9:04Podem ter visto isto na Internet
-
9:04 - 9:07quando estavam a criar palavras-passe.
-
9:07 - 9:09Decidimos fazer um estudo para descobrir
-
9:09 - 9:12se estes medidores de palavras-passe
de facto funcionavam. -
9:12 - 9:13Será que ajudam realmente as pessoas
-
9:13 - 9:15a terem palavras-passe mais fortes,
-
9:15 - 9:17e se sim, quais são os melhores?
-
9:17 - 9:19Então testámos medidores
de palavras-passe que eram -
9:19 - 9:22diferentes tamanhos, formas, cores,
-
9:22 - 9:23diferentes palavras junto deles,
-
9:23 - 9:26e até testámos um que
era um coelho a dançar. -
9:26 - 9:28À medida que digitamos uma
palavra-passe melhor, -
9:28 - 9:30o coelho dança cada vez mais rápido.
-
9:30 - 9:33Então, isto era muito divertido.
-
9:33 - 9:34O que descobrimos
-
9:34 - 9:38foi que os medidores de
palavras-passe funcionam mesmo. -
9:38 - 9:40(Risos)
-
9:40 - 9:43A maioria dos medidores de
palavras-passe eram realmente eficazes, -
9:43 - 9:46e o coelho dançarino
também era muito eficaz, -
9:46 - 9:49mas os medidores de
palavras-passe mais eficazes -
9:49 - 9:51foram os que nos deram mais trabalho
-
9:51 - 9:53até nos darem a sua aprovação e dizerem
-
9:53 - 9:54que estávamos a fazer um bom trabalho.
-
9:54 - 9:56e, de facto, descobrimos que a maioria
-
9:56 - 9:58dos medidores de palavras-passe
que existem na Internet hoje em dia -
9:58 - 9:59são demasiado brandos.
-
9:59 - 10:01Eles dizem-nos que estamos a fazer
um bom trabalho demasiado cedo, -
10:01 - 10:03e se simplesmente esperassem um pouco mais
-
10:03 - 10:05antes de nos darem o
seu "feedback" positivo, -
10:05 - 10:08provavelmente teríamos
melhores palavras-passe. -
10:08 - 10:12Agora, uma outra abordagem para
melhores palavras-passe talvez -
10:12 - 10:15seja utilizar frases em vez de palavras.
-
10:15 - 10:18Este foi um "cartoon" da
xkcd há alguns anos atrás. -
10:18 - 10:20e o cartunista sugere
-
10:20 - 10:22que todos nós deveríamos
utilizar frases-passe, -
10:22 - 10:26e se olharem para a
segunda linha deste "cartoon", -
10:26 - 10:27podem ver que o cartunista está a sugerir
-
10:27 - 10:31que a frase "correto
cavalo bateria agrafo" -
10:31 - 10:33seria uma palavra-passe muito forte
-
10:33 - 10:35e algo muito fácil de memorizar.
-
10:35 - 10:38Ele diz mesmo que, de facto,
nós já a memorizámos. -
10:38 - 10:40E então nós decidimos fazer um estudo
-
10:40 - 10:43para descobrir se isto era ou não verdade.
-
10:43 - 10:45Na verdade, todas as
pessoas com quem falámos, -
10:45 - 10:47a quem eu disse que estava a fazer
uma investigação sobre palavras-passe, -
10:47 - 10:48mencionaram este "cartoon".
-
10:48 - 10:50"Oh, tu viste? Aquele xkcd.
-
10:50 - 10:51"Correto cavalo bateria agrafo."
-
10:51 - 10:53Então nós fizemos uma
investigação para ver -
10:53 - 10:55o que iria realmente acontecer.
-
10:55 - 10:58Então no nosso estudo, utilizámos
a Mechanical Turk outra vez, -
10:58 - 11:03e tínhamos o computador a
escolher as palavras aleatórias -
11:03 - 11:04na frase-passe.
-
11:04 - 11:05A razão por que fizemos isto
-
11:05 - 11:06é que os humanos não são muito bons
-
11:06 - 11:08a escolher palavras aleatórias.
-
11:08 - 11:09Se pedíssemos a um humano para o fazer,
-
11:09 - 11:12ele escolheria coisas que
não são muito aleatórias. -
11:12 - 11:14Por isso tentámos algumas
diferentes condições. -
11:14 - 11:16Numa das condições,
o computadores escolheu -
11:16 - 11:18de um dicionário de palavras muito comuns
-
11:18 - 11:20da língua inglesa,
-
11:20 - 11:21e então teríamos frases como
-
11:21 - 11:23"tentar lá três vem."
-
11:23 - 11:25E olhámos para isto e dissemos,
-
11:25 - 11:28"Bem, isto realmente não parece
muito fácil de memorizar." -
11:28 - 11:30Então tentámos escolher palavras
-
11:30 - 11:33que viessem de partes
específicas do discurso, -
11:33 - 11:35então que tal
substantivo-verbo-adjetivo-substantivo. -
11:35 - 11:38Isto resulta numa espécie de frase.
-
11:38 - 11:40Então podemos ter uma frase-passe como
-
11:40 - 11:41"plano constrói seguro poder"
-
11:41 - 11:44ou "final determina vermelha droga."
-
11:44 - 11:47E estas pareciam um
pouco mais memorizáveis, -
11:47 - 11:49e talvez as pessoas gostassem
um pouco mais destas. -
11:49 - 11:52Queríamos compará-las com palavras-passe,
-
11:52 - 11:55e por isso tínhamos o computador
e escolher palavras-passe aleatórias, -
11:55 - 11:57que eram boas e curtas,
mas como podem ver, -
11:57 - 12:00não pareciam muito memorizáveis.
-
12:00 - 12:01E depois decidimos tentar algo chamado
-
12:01 - 12:03palavra-passe pronunciável.
-
12:03 - 12:05Então, aqui o computador
escolhe sílabas aleatórias -
12:05 - 12:06e junta-as
-
12:06 - 12:09então temos algo mais
ou menos pronunciável, -
12:09 - 12:11como "tufritvi" e "vadasabi."
-
12:11 - 12:14Esta último enrola um pouco a língua.
-
12:14 - 12:16Então estas eram palavras-passe aleatórias
-
12:16 - 12:19geradas pelo nosso computador.
-
12:19 - 12:22Então o que descobrimos neste
estudo foi que, surpreendentemente, -
12:22 - 12:25frases-passe não eram na
verdade assim tão boas. -
12:25 - 12:28As pessoas não tiveram muito
mais facilidade em memorizar -
12:28 - 12:31as frases-passe do que estas
palavras-passe aleatórias, -
12:31 - 12:34e porque as frases-passe eram mais longas,
-
12:34 - 12:35demoravam mais tempo a digitar
-
12:35 - 12:38e as pessoas cometiam
mais erros ao digitá-las. -
12:38 - 12:41Portanto, não temos realmente
uma vitória clara para frases-passe. -
12:41 - 12:45Desculpem, todos os fãs da xkcd.
-
12:45 - 12:46Por outro lado, descobrimos
-
12:46 - 12:48que as palavras-passe pronunciáveis
-
12:48 - 12:50funcionavam surpreendentemente bem,
-
12:50 - 12:52e, por isso, estamos mesmo
a fazer mais alguns estudos -
12:52 - 12:55para ver se podemos fazer com que esta
abordagem funcione ainda melhor. -
12:55 - 12:57Um dos problemas
-
12:57 - 12:59com alguns dos estudos que fizemos
-
12:59 - 13:01é que, por todos eles terem sido feitos
-
13:01 - 13:02utilizando a Mechanical Turk,
-
13:02 - 13:04estas não são as verdadeiras
palavras-passe das pessoas. -
13:04 - 13:06São as palavras-passe que elas criaram
-
13:06 - 13:09ou que o computador criou
por elas para o nosso estudo. -
13:09 - 13:10E nós queríamos saber se as pessoas
-
13:10 - 13:12realmente se comportariam da mesma forma
-
13:12 - 13:15com as suas palavras-passe reais.
-
13:15 - 13:18Então, falámos com o gabinete de
segurança informática da Carnegie Mellon -
13:18 - 13:22e pedimos-lhes se podíamos ter acesso
às palavras-passe reais de toda a gente. -
13:22 - 13:24Como seria de esperar, eles
estavam um pouco relutantes -
13:24 - 13:25em partilhá-las connosco,
-
13:25 - 13:27mas conseguimos de facto criar
-
13:27 - 13:28um sistema com eles
-
13:28 - 13:30em que eles puseram
todas as palavras-passe reais -
13:30 - 13:33dos 25 000 estudantes, professores
e funcionários da CMU -
13:33 - 13:36num computador bloqueado,
numa sala trancada, -
13:36 - 13:37sem ligação à Internet,
-
13:37 - 13:39e eles executaram o código que escrevemos
-
13:39 - 13:41para analisar estas palavras-passe.
-
13:41 - 13:43Eles examinaram o nosso código.
-
13:43 - 13:44Eles executaram o código.
-
13:44 - 13:46E, por isso, nós realmente
nunca tivemos acesso -
13:46 - 13:48a palavras-passe de ninguém.
-
13:48 - 13:50Conseguimos alguns
resultados interessantes, -
13:50 - 13:52e alguns de vós, estudantes
da Tepper, aí ao fundo, -
13:52 - 13:55vão ter muito interesse nisto.
-
13:55 - 13:58Descobrimos que as palavras-passe criadas
-
13:58 - 14:00por pessoas ligadas à
escola de ciências informáticas -
14:00 - 14:03eram na verdade 1,8 vezes mais fortes
-
14:03 - 14:07do que as das pessoas
ligadas à Escola de Gestão. -
14:07 - 14:09Temos muitos outros interessantes
-
14:09 - 14:11dados demográficos também.
-
14:11 - 14:13Outra coisa interessante que descobrimos
-
14:13 - 14:15é que quando comparámos as
palavras-passe da Carnegie Mellon -
14:15 - 14:17com as palavras-passe
geradas pela Mechanical Turk, -
14:17 - 14:20havia, na verdade, várias semelhanças,
-
14:20 - 14:22e isto ajudou a validar o
nosso método de investigação -
14:22 - 14:24e a provar que recolher palavras-passe
-
14:24 - 14:26utilizando os estudos da Mechanical Turk
-
14:26 - 14:29é, de facto, uma forma válida
de estudar palavras-passe. -
14:29 - 14:31Isto foram boas notícias.
-
14:31 - 14:34Ok, eu quero encerrar falando sobre
-
14:34 - 14:36algumas ideias que adquiri
durante o meu período sabático -
14:36 - 14:39no ano passado, na Escola de Arte
da Carnegie Mellon. -
14:39 - 14:40Umas das coisas que fiz
-
14:40 - 14:42foi uma série de colchas,
-
14:42 - 14:43e eu fiz esta colcha aqui.
-
14:43 - 14:45Chama-se "Manta de Segurança."
-
14:45 - 14:48(Risos)
-
14:48 - 14:51E esta colcha tem as 1000
-
14:51 - 14:53palavras-passe mais
frequentemente roubadas -
14:53 - 14:56do "website" RockYou.
-
14:56 - 14:58E o tamanho da palavra-passe
é proporcional -
14:58 - 15:00à frequência com que aparecem
-
15:00 - 15:02no conjunto de dados roubados.
-
15:02 - 15:05E o que eu fiz foi criar
esta "nuvem" de palavras, -
15:05 - 15:07e analisar por todas as 1000 palavras,
-
15:07 - 15:08e categorizá-las em
-
15:08 - 15:11categorias temáticas soltas.
-
15:11 - 15:13E foi, em alguns casos,
-
15:13 - 15:15foi relativamente difícil perceber
-
15:15 - 15:17em que categoria elas se deviam inserir,
-
15:17 - 15:18e depois codifiquei-as por cores.
-
15:18 - 15:21Então, aqui estão alguns
exemplos da dificuldade. -
15:21 - 15:22Por exemplo, "justin."
-
15:22 - 15:24Será o nome do utilizador,
-
15:24 - 15:25do seu namorado, do seu filho?
-
15:25 - 15:28Talvez seja um fã do Justin Bieber.
-
15:28 - 15:30Ou "princesa."
-
15:30 - 15:32Será uma alcunha?
-
15:32 - 15:34Serão fãs das princesas da Disney?
-
15:34 - 15:37Ou talvez seja o nome da sua gata.
-
15:37 - 15:39"Iloveyou" aparece muitas vezes,
-
15:39 - 15:41em várias línguas diferentes.
-
15:41 - 15:44Há muito amor nestas palavras-passe.
-
15:44 - 15:48Se olharem com atenção,
verão que também há alguns palavrões, -
15:48 - 15:50mas foi realmente interessante
para mim constatar -
15:50 - 15:53que há muito mais amor do que ódio
-
15:53 - 15:55nestas palavras-passe.
-
15:55 - 15:56E há animais,
-
15:56 - 15:58muitos animais,
-
15:58 - 16:00e "macaco" é o animal mais comum
-
16:00 - 16:04e a 14.ª palavra-passe mais comum
em geral. -
16:04 - 16:06E achei isto realmente curioso,
-
16:06 - 16:08e perguntei-me: "Porque é que
os macacos são tão populares?" -
16:08 - 16:12E então, no nosso último
estudo às palavras-passe, -
16:12 - 16:13cada vez que detetávamos alguém
-
16:13 - 16:16a criar uma palavra-passe
com a palavra "macaco", -
16:16 - 16:19perguntámos-lhes porque tinham
macaco na sua palavra-chave. -
16:19 - 16:21E o que descobrimos
-
16:21 - 16:23— descobrimos 17 pessoas
até agora, eu acho, -
16:23 - 16:24que têm a palavra "macaco" —
-
16:24 - 16:26descobrimos que cerca de um
terço destas pessoas disse -
16:26 - 16:28ter um animal de estimação
chamado "macaco" -
16:28 - 16:30ou um amigo cuja alcunha é "macaco,"
-
16:30 - 16:32e cerca de um terço destas pessoas disse
-
16:32 - 16:33apenas gostar de macacos
-
16:33 - 16:35e os macacos são realmente fofinhos.
-
16:35 - 16:39Aquele amigo é mesmo fofinho.
-
16:39 - 16:42Então, parece que, no final de contas,
-
16:42 - 16:44quando criamos palavras-passe,
-
16:44 - 16:46ou criamos algo que seja realmente fácil
-
16:46 - 16:49de digitar, um padrão comum,
-
16:49 - 16:51ou coisas que nos lembrem
da palavra palavra-passe -
16:51 - 16:55ou a conta para a qual
criámos a palavra-passe, -
16:55 - 16:57ou o que quer que seja.
-
16:57 - 17:00Ou pensamos em coisas
que nos fazem felizes, -
17:00 - 17:01e criamos a nossa palavra-passe
-
17:01 - 17:04baseada em coisas que nos fazem felizes.
-
17:04 - 17:06E se isto torna o digitar
-
17:06 - 17:09e o memorizar a nossa
palavra-passe mais divertido, -
17:09 - 17:11também torna muito fácil
-
17:11 - 17:13adivinhar a nossa palavra-passe.
-
17:13 - 17:14Eu sei que muitas destas palestras TED
-
17:14 - 17:16são inspiradoras
-
17:16 - 17:18e que nos fazem pensar em
coisas boas, coisas felizes, -
17:18 - 17:20mas quando estiverem a criar
a vossa palavra-passe, -
17:20 - 17:22tentem pensar em outra coisa.
-
17:22 - 17:23Obrigada.
-
17:23 - 17:24(Aplausos)
- Title:
- O que há de errado com a sua palavra-pa$$e?
- Speaker:
- Lorrie Faith Cranor
- Description:
-
Lorrie Faith Cranor estudou milhares de palavras-passe reais para descobrir os erros mais surpreendentes e mais comuns que os utilizadores — e "sites" seguros — fazem, comprometendo a sua segurança. E como é que ela estudou milhares de palavras-passe reais sem comprometer a segurança de nenhum utilizador? Essa é uma história em si. É informação secreta que vale a pena conhecer, especialmente se a sua palavra-passe é 123456...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd? | ||
Isabel Vaz Belchior approved Portuguese subtitles for What’s wrong with your pa$$w0rd? | ||
Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd? | ||
Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd? | ||
Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd? | ||
Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd? | ||
Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd? | ||
Filipa Bela accepted Portuguese subtitles for What’s wrong with your pa$$w0rd? |