O que há de errado com a sua palavra-pa$$e?

0:00 - 0:04

Sou uma Professora de Engenharia e
Ciência Informática aqui na Carnegie Mellon,
0:04 - 0:08

e a minha investigação centra-se na
privacidade e segurança utilizáveis,
0:08 - 0:11

e, por isso, os meus amigos
gostam de me dar exemplos
0:11 - 0:13

das suas frustrações com
os sistemas informáticos,
0:13 - 0:17

especialmente as suas
frustrações relacionadas com
0:17 - 0:21

privacidade e segurança inutilizáveis.
0:21 - 0:23

Por isso, as palavras-passe são
algo de que eu oiço muito falar.
0:23 - 0:26

Muitas pessoas estão frustradas
com as palavras-passe,
0:26 - 0:28

e é suficientemente mau
0:28 - 0:31

quando temos que ter uma
palavra-passe realmente boa
0:31 - 0:32

que possamos memorizar
0:32 - 0:35

mas que mais ninguém
seja capaz de adivinhar.
0:35 - 0:37

Mas o que devemos fazer
quando temos contas
0:37 - 0:39

numa centena de sistemas diferentes
0:39 - 0:41

e é suposto termos uma palavra-passe única
0:41 - 0:44

para cada um desses sistemas?
0:44 - 0:46

É complicado.
0:46 - 0:48

Na Universidade de Carnegie Mellon,
costumavam fazer com que fosse
0:48 - 0:49

realmente fácil para nós
0:49 - 0:51

memorizarmos
as nossas palavras-passe.
0:51 - 0:53

O requisito para as
palavras-passe até 2009
0:53 - 0:56

era apenas que teríamos
que ter uma palavra-passe
0:56 - 0:58

com pelo menos um carácter.
0:58 - 0:59

Bastante simples.
0:59 - 1:04

Mas depois as coisas mudaram,
e no final de 2009, anunciaram
1:04 - 1:06

que iriam ter uma nova política
1:06 - 1:08

e essa política exigia
1:08 - 1:11

palavras-passe que tivessem
pelo menos oito caracteres,
1:11 - 1:12

com uma letra maiúscula,
uma letra minúscula,
1:12 - 1:14

um número, um símbolo,
1:14 - 1:16

não podíamos utilizar o mesmo
carácter mais do que três vezes,
1:16 - 1:19

e não poderia constar de um dicionário.
1:19 - 1:21

Quando eles implementaram
esta nova política,
1:21 - 1:23

muitas pessoas, os meus colegas e amigos,
1:23 - 1:25

vieram ter comigo e disseram:
1:25 - 1:27

"Uau, agora é que é realmente
inutilizável.
1:27 - 1:28

"Porque é que eles nos estão a fazer isto,
1:28 - 1:29

"e porque é que tu não os impedes?"
1:29 - 1:31

E eu disse: "Bem, sabem que mais?
1:31 - 1:32

"Eles não me perguntaram."
1:32 - 1:36

Mas fiquei curiosa e decidi ir falar
1:36 - 1:38

com as pessoas responsáveis pelos
nossos sistemas informáticos
1:38 - 1:41

e descobrir o que os levou a introduzir
1:41 - 1:42

esta nova política,
1:42 - 1:44

e eles disseram que a universidade
1:44 - 1:46

se tinha juntado a um
consórcio de universidades,
1:46 - 1:49

e que um dos requisitos da adesão
1:49 - 1:51

era que tínhamos que usar
palavras-passe mais fortes
1:51 - 1:53

que estivessem de acordo
com alguns novos requisitos,
1:53 - 1:56

e estes requisitos eram
de que nossas palavras-passe
1:56 - 1:57

teriam que ter muita entropia.
1:57 - 1:59

Entropia é um termo complicado,
1:59 - 2:02

mas basicamente mede
a força das palavras-passe.
2:02 - 2:04

Mas o que acontece é
que não há, na verdade,
2:04 - 2:06

uma medida padrão de entropia.
2:06 - 2:09

O Instituto Nacional de
Padrões e Tecnologia
2:09 - 2:10

tem um conjunto de diretrizes
2:10 - 2:13

que têm algumas regras gerais
2:13 - 2:14

para medir entropia,
2:14 - 2:17

mas não têm nada muito específico,
2:17 - 2:19

e a razão de terem apenas regras gerais,
2:19 - 2:23

é por não terem, na verdade,
quaisquer dados válidos
2:23 - 2:24

sobre palavras-passe.
2:24 - 2:26

Na verdade, o seu relatório afirma:
2:26 - 2:29

"Infelizmente, não temos muitos dados
2:29 - 2:30

"sobre as palavras-passe que
os utilizadores escolhem
2:30 - 2:32

"de acordo com regras específicas.
2:32 - 2:34

"O INPT gostaria de obter mais dados
2:34 - 2:36

"sobre as palavras-passe que os
utilizadores realmente escolhem,
2:36 - 2:39

"mas os administradores de sistema
estão compreensivelmente relutantes
2:39 - 2:42

"em revelar dados de palavras-passe
a outras pessoas. "
2:42 - 2:45

Portanto, isto é um problema,
mas o nosso grupo de investigação
2:45 - 2:47

entendeu-o como uma oportunidade.
2:47 - 2:50

Dissemos: "Bem, há uma necessidade
de bons dados sobre palavras-passe.
2:50 - 2:52

"Talvez possamos recolher alguns
bons dados sobre palavras-passe
2:52 - 2:55

"e, fazer avançar, de facto,
o conhecimento nesta área".
2:55 - 2:57

Então a primeira coisa que fizemos foi,
2:57 - 2:58

comprámos um saco de guloseimas
2:58 - 2:59

e andámos pelo "campus"
2:59 - 3:02

e falámos com estudantes,
professores e funcionários,
3:02 - 3:04

e pedimos-lhes informações
3:04 - 3:05

sobre as suas palavras-passe.
3:05 - 3:08

Não lhes dissemos:
"Dê-me a sua palavra-passe."
3:08 - 3:11

Não, apenas lhes perguntámos
sobre as suas palavras-passe.
3:11 - 3:12

"É longa?"
"Tem algum número?"
3:12 - 3:13

"Tem algum símbolo?"
3:13 - 3:15

E: "Foi-lhe aborrecido ter que criar
3:15 - 3:18

"uma nova na semana passada?"
3:18 - 3:21

Assim conseguimos resultados
de 470 estudantes,
3:21 - 3:22

professores e funcionários,
3:22 - 3:25

e, de facto, confirmámos
que a nova política
3:25 - 3:26

era muito irritante,
3:26 - 3:28

mas também descobrimos
que as pessoas diziam
3:28 - 3:31

sentir-se mais seguras com
estas novas palavras-passe.
3:31 - 3:33

Descobrimos que a maior
parte das pessoas sabia
3:33 - 3:36

que não deveria anotar
as suas palavras-passe,
3:36 - 3:38

e apenas 13 por cento o fizeram,
3:38 - 3:40

mas estranhamente,
80 por cento das pessoas
3:40 - 3:43

afirmaram estar a reutilizar
as suas palavras-passe.
3:43 - 3:44

Na verdade, isto é mais perigoso
3:44 - 3:46

do que anotarmos a nossa palavra-passe,
3:46 - 3:50

porque isto nos torna muito
mais suscetíveis a ataques.
3:50 - 3:53

Então, se tiver que ser, anotem
as vossas palavras-passe,
3:53 - 3:55

mas não as reutilizem.
3:55 - 3:57

Também descobrimos algumas
coisas interessantes
3:57 - 4:00

sobre os símbolos que as pessoas
utilizam nas suas palavras-passe.
4:00 - 4:02

A CMU permite 32 símbolos possíveis,
4:02 - 4:05

mas como podem ver,
há apenas um número reduzido
4:05 - 4:07

que a maior parte das
pessoas está a utilizar,
4:07 - 4:10

por isso, não estamos a retirar
muita força
4:10 - 4:12

dos símbolos nas nossas palavras-passe.
4:12 - 4:15

Portanto, este foi um
estudo muito interessante,
4:15 - 4:17

e agora tínhamos dados de 470 pessoas,
4:17 - 4:18

mas em termos gerais,
4:18 - 4:21

não são muitos dados sobre palavras-passe,
4:21 - 4:22

e então olhámos à volta para ver
4:22 - 4:25

onde poderíamos encontrar
mais dados sobre palavras-passe?
4:25 - 4:27

Acontece que há muitas pessoas
4:27 - 4:29

por aí a roubar palavras-passe,
4:29 - 4:32

e muitas vezes publicam
essas palavras-passe
4:32 - 4:33

na Internet.
4:33 - 4:35

Assim nós conseguimos ter acesso
4:35 - 4:39

a alguns desses conjuntos
de palavras-passe roubadas.
4:39 - 4:41

No entanto, isto ainda não é
realmente ideal para a investigação,
4:41 - 4:43

porque não é inteiramente claro
4:43 - 4:45

de onde vieram todas estas palavras-passe,
4:45 - 4:48

ou exatamente quais eram
as políticas que estavam em vigor
4:48 - 4:50

quando as pessoas criaram
estas palavras-passe.
4:50 - 4:53

Então quisemos encontrar uma
melhor fonte de dados.
4:53 - 4:55

Decidimos então que uma
coisa que podíamos fazer
4:55 - 4:57

era fazer um estudo e ter pessoas
4:57 - 5:00

a criarem, de facto, palavras-passe
para o nosso estudo.
5:00 - 5:03

Assim utilizámos um serviço
chamado Amazon Mechanical Turk,
5:03 - 5:06

e este é um serviço onde podemos
publicar "on-line"
5:06 - 5:08

um pequeno trabalho
que demore um minuto,
5:08 - 5:09

alguns minutos, uma hora,
5:09 - 5:12

e pague às pessoas, uma moeda de
um centavo, dez centavos, alguns dólares,
5:12 - 5:13

para fazerem uma tarefa por nós,
5:13 - 5:15

e depois pagamos-lhes
através da Amazon.com
5:15 - 5:18

Então pagámos às pessoas 50 centavos
5:18 - 5:20

para criarem uma palavra-passe
seguindo as nossas regras
5:20 - 5:22

e respondendo a um questionário,
5:22 - 5:24

e depois pagámos-lhes
outra vez para voltarem
5:24 - 5:26

dois dias depois e fazerem o "login"
5:26 - 5:29

utilizando as suas palavras-passe
e respondendo a outro questionário.
5:29 - 5:33

Fizemos então isto e recolhemos
5000 palavras-passe,
5:33 - 5:36

e demos às pessoas
várias regras diferentes
5:36 - 5:37

para criarem as suas palavras-passe.
5:37 - 5:39

Então algumas pessoas
tinham uma política muito simples,
5:39 - 5:41

a que chamámos Basic8,
5:41 - 5:43

e aqui a única regra
era que a palavra-passe
5:43 - 5:47

tinha que ter pelo menos oito caracteres.
5:47 - 5:49

Depois algumas pessoas tinham
uma política muito mais rígida,
5:49 - 5:51

e esta era muito semelhante
à política da CMU,
5:51 - 5:53

que tinha quer ter oito caracteres
5:53 - 5:56

incluindo maiúsculas, minúsculas,
números, símbolos,
5:56 - 5:58

e passar por uma
verificação de dicionário.
5:58 - 5:59

E uma de outras políticas que tentámos,
5:59 - 6:01

e havia várias outras,
6:01 - 6:03

mas uma das que tentámos
era chamada Basic16.
6:03 - 6:05

e a única exigência aqui
6:05 - 6:09

era que a palavra-passe tinha
que ter pelos menos 16 caracteres.
6:09 - 6:11

Muito bem, então tínhamos
5000 palavras-passe,
6:11 - 6:15

e então tínhamos informação
muito mais detalhada.
6:15 - 6:17

Mais uma vez, vemos que há
apenas um pequeno número
6:17 - 6:19

de símbolos que as
pessoas estão a utilizar
6:19 - 6:21

nas suas palavras-passe.
6:21 - 6:24

Também queríamos ter
uma ideia do quão forte
6:24 - 6:26

eram as palavras-passe que
as pessoas estavam a criar,
6:26 - 6:29

mas como se devem lembrar,
não há uma boa medida
6:29 - 6:31

de força da palavra-passe.
6:31 - 6:33

Então o que decidimos foi ver
6:33 - 6:35

quanto tempo levaria a
descobrir essas palavras-passe
6:35 - 6:37

utilizando as melhores
ferramentas para o efeito
6:37 - 6:39

que os "maus da fita" utilizam,
6:39 - 6:41

ou sobre as quais conseguimos
encontrar informação
6:41 - 6:42

na literatura da investigação.
6:42 - 6:45

Então, para vos dar uma ideia
da forma como os "maus da fita"
6:45 - 6:47

andam por aí a descodificar
palavras-passe,
6:47 - 6:49

eles roubam um ficheiro de palavras-passe
6:49 - 6:51

que contém todas as palavras-passe
6:51 - 6:54

numa espécie de forma baralhada,
chamada uma "hash",
6:54 - 6:56

e, por isso, o que eles fazem é:
6:56 - 6:58

dão um palpite sobre
qual é uma palavra-passe,
6:58 - 7:00

testam-na através de uma função "hash",
7:00 - 7:02

e vêem se corresponde
7:02 - 7:06

às palavras-passe que têm na sua
lista de palavras-passe roubadas.
7:06 - 7:09

Assim, um malfeitor idiota vai tentar
todas as palavras-passe por ordem.
7:09 - 7:13

Vai começar com AAAAA e passar para AAAAB,
7:13 - 7:15

e isto vai demorar imenso tempo
7:15 - 7:17

até que consiga alguma palavra-passe
7:17 - 7:19

que, de facto, seja provável
as pessoas terem.
7:19 - 7:22

Um malfeitor esperto, por outro lado,
7:22 - 7:23

faz algo muito mais inteligente.
7:23 - 7:25

Olha para as palavras-passe
7:25 - 7:27

que sejam entendidas como mais populares
7:27 - 7:28

nesses conjuntos de
palavras-passe roubadas,
7:28 - 7:29

e testa essas primeiro.
7:29 - 7:32

Então vai começar por
testar "palavra-passe,"
7:32 - 7:34

e depois vai testar
"I love you" e "macaco"
7:34 - 7:37

e "12345678",
7:37 - 7:38

porque essas são as palavra-passe
7:38 - 7:40

que é mais provável as pessoas terem.
7:40 - 7:43

De facto, alguns de vocês provavelmente
têm estas palavras-passe.
7:45 - 7:46

Então o que descobrimos
7:46 - 7:50

ao testar todas estas 5000
palavras-passe que recolhemos
7:50 - 7:54

através destes testes para
vermos o quão fortes elas eram,
7:54 - 7:57

descobrimos que as palavras-passe longas
7:57 - 7:58

eram de facto bastante fortes,
7:58 - 8:01

e as palavras-passe complexas
eram também bastante fortes.
8:01 - 8:04

No entanto, quando olhámos
para os dados do questionário,
8:04 - 8:07

vimos que as pessoas
estavam bastante frustadas
8:07 - 8:09

com as palavras-passe muito complexas,
8:09 - 8:12

e as palavras-passe longas
eram bastante mais utilizáveis,
8:12 - 8:13

e em alguns casos, elas eram
8:13 - 8:16

até mais fortes do que
palavras-passe complexas.
8:16 - 8:17

Então isto sugere que,
8:17 - 8:19

em vez de dizer às
pessoas que elas precisam
8:19 - 8:20

de colocar todos esses símbolos e números
8:20 - 8:23

e coisas loucas nas suas palavras-passe,
8:23 - 8:25

pode ser melhor apenas dizer às pessoas
8:25 - 8:28

para terem palavras-passe longas.
8:28 - 8:30

Ora aqui está o problema, ainda assim:
8:30 - 8:32

Algumas pessoas tinham
palavras-passe longas
8:32 - 8:33

que, na verdade, não eram muito fortes.
8:33 - 8:35

Podemos criar palavras-passe longas
8:35 - 8:37

que ainda são o tipo de coisa
8:37 - 8:39

que um malfeitor pode
facilmente adivinhar.
8:39 - 8:42

Então, temos que fazer mais do que
apenas considerar palavras-passe longas.
8:42 - 8:44

Têm que haver alguns
requisitos adicionais,
8:44 - 8:47

e uma parte da nossa investigação
em curso está a tentar perceber
8:47 - 8:49

que requisitos adicionais
devemos adicionar
8:49 - 8:52

para criar palavras-passe mais fortes
8:52 - 8:54

que sejam também fáceis para as pessoas
8:54 - 8:57

memorizarem e digitarem.
8:57 - 8:59

Outra abordagem para
levar as pessoas a ter
8:59 - 9:01

palavras-passe mais fortes é
utilizar um medidor de palavra-passe.
9:01 - 9:02

Aqui estão alguns exemplos.
9:02 - 9:04

Podem ter visto isto na Internet
9:04 - 9:07

quando estavam a criar palavras-passe.
9:07 - 9:09

Decidimos fazer um estudo para descobrir
9:09 - 9:12

se estes medidores de palavras-passe
de facto funcionavam.
9:12 - 9:13

Será que ajudam realmente as pessoas
9:13 - 9:15

a terem palavras-passe mais fortes,
9:15 - 9:17

e se sim, quais são os melhores?
9:17 - 9:19

Então testámos medidores
de palavras-passe que eram
9:19 - 9:22

diferentes tamanhos, formas, cores,
9:22 - 9:23

diferentes palavras junto deles,
9:23 - 9:26

e até testámos um que
era um coelho a dançar.
9:26 - 9:28

À medida que digitamos uma
palavra-passe melhor,
9:28 - 9:30

o coelho dança cada vez mais rápido.
9:30 - 9:33

Então, isto era muito divertido.
9:33 - 9:34

O que descobrimos
9:34 - 9:38

foi que os medidores de
palavras-passe funcionam mesmo.
9:38 - 9:40

(Risos)
9:40 - 9:43

A maioria dos medidores de
palavras-passe eram realmente eficazes,
9:43 - 9:46

e o coelho dançarino
também era muito eficaz,
9:46 - 9:49

mas os medidores de
palavras-passe mais eficazes
9:49 - 9:51

foram os que nos deram mais trabalho
9:51 - 9:53

até nos darem a sua aprovação e dizerem
9:53 - 9:54

que estávamos a fazer um bom trabalho.
9:54 - 9:56

e, de facto, descobrimos que a maioria
9:56 - 9:58

dos medidores de palavras-passe
que existem na Internet hoje em dia
9:58 - 9:59

são demasiado brandos.
9:59 - 10:01

Eles dizem-nos que estamos a fazer
um bom trabalho demasiado cedo,
10:01 - 10:03

e se simplesmente esperassem um pouco mais
10:03 - 10:05

antes de nos darem o
seu "feedback" positivo,
10:05 - 10:08

provavelmente teríamos
melhores palavras-passe.
10:08 - 10:12

Agora, uma outra abordagem para
melhores palavras-passe talvez
10:12 - 10:15

seja utilizar frases em vez de palavras.
10:15 - 10:18

Este foi um "cartoon" da
xkcd há alguns anos atrás.
10:18 - 10:20

e o cartunista sugere
10:20 - 10:22

que todos nós deveríamos
utilizar frases-passe,
10:22 - 10:26

e se olharem para a
segunda linha deste "cartoon",
10:26 - 10:27

podem ver que o cartunista está a sugerir
10:27 - 10:31

que a frase "correto
cavalo bateria agrafo"
10:31 - 10:33

seria uma palavra-passe muito forte
10:33 - 10:35

e algo muito fácil de memorizar.
10:35 - 10:38

Ele diz mesmo que, de facto,
nós já a memorizámos.
10:38 - 10:40

E então nós decidimos fazer um estudo
10:40 - 10:43

para descobrir se isto era ou não verdade.
10:43 - 10:45

Na verdade, todas as
pessoas com quem falámos,
10:45 - 10:47

a quem eu disse que estava a fazer
uma investigação sobre palavras-passe,
10:47 - 10:48

mencionaram este "cartoon".
10:48 - 10:50

"Oh, tu viste? Aquele xkcd.
10:50 - 10:51

"Correto cavalo bateria agrafo."
10:51 - 10:53

Então nós fizemos uma
investigação para ver
10:53 - 10:55

o que iria realmente acontecer.
10:55 - 10:58

Então no nosso estudo, utilizámos
a Mechanical Turk outra vez,
10:58 - 11:03

e tínhamos o computador a
escolher as palavras aleatórias
11:03 - 11:04

na frase-passe.
11:04 - 11:05

A razão por que fizemos isto
11:05 - 11:06

é que os humanos não são muito bons
11:06 - 11:08

a escolher palavras aleatórias.
11:08 - 11:09

Se pedíssemos a um humano para o fazer,
11:09 - 11:12

ele escolheria coisas que
não são muito aleatórias.
11:12 - 11:14

Por isso tentámos algumas
diferentes condições.
11:14 - 11:16

Numa das condições,
o computadores escolheu
11:16 - 11:18

de um dicionário de palavras muito comuns
11:18 - 11:20

da língua inglesa,
11:20 - 11:21

e então teríamos frases como
11:21 - 11:23

"tentar lá três vem."
11:23 - 11:25

E olhámos para isto e dissemos,
11:25 - 11:28

"Bem, isto realmente não parece
muito fácil de memorizar."
11:28 - 11:30

Então tentámos escolher palavras
11:30 - 11:33

que viessem de partes
específicas do discurso,
11:33 - 11:35

então que tal
substantivo-verbo-adjetivo-substantivo.
11:35 - 11:38

Isto resulta numa espécie de frase.
11:38 - 11:40

Então podemos ter uma frase-passe como
11:40 - 11:41

"plano constrói seguro poder"
11:41 - 11:44

ou "final determina vermelha droga."
11:44 - 11:47

E estas pareciam um
pouco mais memorizáveis,
11:47 - 11:49

e talvez as pessoas gostassem
um pouco mais destas.
11:49 - 11:52

Queríamos compará-las com palavras-passe,
11:52 - 11:55

e por isso tínhamos o computador
e escolher palavras-passe aleatórias,
11:55 - 11:57

que eram boas e curtas,
mas como podem ver,
11:57 - 12:00

não pareciam muito memorizáveis.
12:00 - 12:01

E depois decidimos tentar algo chamado
12:01 - 12:03

palavra-passe pronunciável.
12:03 - 12:05

Então, aqui o computador
escolhe sílabas aleatórias
12:05 - 12:06

e junta-as
12:06 - 12:09

então temos algo mais
ou menos pronunciável,
12:09 - 12:11

como "tufritvi" e "vadasabi."
12:11 - 12:14

Esta último enrola um pouco a língua.
12:14 - 12:16

Então estas eram palavras-passe aleatórias
12:16 - 12:19

geradas pelo nosso computador.
12:19 - 12:22

Então o que descobrimos neste
estudo foi que, surpreendentemente,
12:22 - 12:25

frases-passe não eram na
verdade assim tão boas.
12:25 - 12:28

As pessoas não tiveram muito
mais facilidade em memorizar
12:28 - 12:31

as frases-passe do que estas
palavras-passe aleatórias,
12:31 - 12:34

e porque as frases-passe eram mais longas,
12:34 - 12:35

demoravam mais tempo a digitar
12:35 - 12:38

e as pessoas cometiam
mais erros ao digitá-las.
12:38 - 12:41

Portanto, não temos realmente
uma vitória clara para frases-passe.
12:41 - 12:45

Desculpem, todos os fãs da xkcd.
12:45 - 12:46

Por outro lado, descobrimos
12:46 - 12:48

que as palavras-passe pronunciáveis
12:48 - 12:50

funcionavam surpreendentemente bem,
12:50 - 12:52

e, por isso, estamos mesmo
a fazer mais alguns estudos
12:52 - 12:55

para ver se podemos fazer com que esta
abordagem funcione ainda melhor.
12:55 - 12:57

Um dos problemas
12:57 - 12:59

com alguns dos estudos que fizemos
12:59 - 13:01

é que, por todos eles terem sido feitos
13:01 - 13:02

utilizando a Mechanical Turk,
13:02 - 13:04

estas não são as verdadeiras
palavras-passe das pessoas.
13:04 - 13:06

São as palavras-passe que elas criaram
13:06 - 13:09

ou que o computador criou
por elas para o nosso estudo.
13:09 - 13:10

E nós queríamos saber se as pessoas
13:10 - 13:12

realmente se comportariam da mesma forma
13:12 - 13:15

com as suas palavras-passe reais.
13:15 - 13:18

Então, falámos com o gabinete de
segurança informática da Carnegie Mellon
13:18 - 13:22

e pedimos-lhes se podíamos ter acesso
às palavras-passe reais de toda a gente.
13:22 - 13:24

Como seria de esperar, eles
estavam um pouco relutantes
13:24 - 13:25

em partilhá-las connosco,
13:25 - 13:27

mas conseguimos de facto criar
13:27 - 13:28

um sistema com eles
13:28 - 13:30

em que eles puseram
todas as palavras-passe reais
13:30 - 13:33

dos 25 000 estudantes, professores
e funcionários da CMU
13:33 - 13:36

num computador bloqueado,
numa sala trancada,
13:36 - 13:37

sem ligação à Internet,
13:37 - 13:39

e eles executaram o código que escrevemos
13:39 - 13:41

para analisar estas palavras-passe.
13:41 - 13:43

Eles examinaram o nosso código.
13:43 - 13:44

Eles executaram o código.
13:44 - 13:46

E, por isso, nós realmente
nunca tivemos acesso
13:46 - 13:48

a palavras-passe de ninguém.
13:48 - 13:50

Conseguimos alguns
resultados interessantes,
13:50 - 13:52

e alguns de vós, estudantes
da Tepper, aí ao fundo,
13:52 - 13:55

vão ter muito interesse nisto.
13:55 - 13:58

Descobrimos que as palavras-passe criadas
13:58 - 14:00

por pessoas ligadas à
escola de ciências informáticas
14:00 - 14:03

eram na verdade 1,8 vezes mais fortes
14:03 - 14:07

do que as das pessoas
ligadas à Escola de Gestão.
14:07 - 14:09

Temos muitos outros interessantes
14:09 - 14:11

dados demográficos também.
14:11 - 14:13

Outra coisa interessante que descobrimos
14:13 - 14:15

é que quando comparámos as
palavras-passe da Carnegie Mellon
14:15 - 14:17

com as palavras-passe
geradas pela Mechanical Turk,
14:17 - 14:20

havia, na verdade, várias semelhanças,
14:20 - 14:22

e isto ajudou a validar o
nosso método de investigação
14:22 - 14:24

e a provar que recolher palavras-passe
14:24 - 14:26

utilizando os estudos da Mechanical Turk
14:26 - 14:29

é, de facto, uma forma válida
de estudar palavras-passe.
14:29 - 14:31

Isto foram boas notícias.
14:31 - 14:34

Ok, eu quero encerrar falando sobre
14:34 - 14:36

algumas ideias que adquiri
durante o meu período sabático
14:36 - 14:39

no ano passado, na Escola de Arte
da Carnegie Mellon.
14:39 - 14:40

Umas das coisas que fiz
14:40 - 14:42

foi uma série de colchas,
14:42 - 14:43

e eu fiz esta colcha aqui.
14:43 - 14:45

Chama-se "Manta de Segurança."
14:45 - 14:48

(Risos)
14:48 - 14:51

E esta colcha tem as 1000
14:51 - 14:53

palavras-passe mais
frequentemente roubadas
14:53 - 14:56

do "website" RockYou.
14:56 - 14:58

E o tamanho da palavra-passe
é proporcional
14:58 - 15:00

à frequência com que aparecem
15:00 - 15:02

no conjunto de dados roubados.
15:02 - 15:05

E o que eu fiz foi criar
esta "nuvem" de palavras,
15:05 - 15:07

e analisar por todas as 1000 palavras,
15:07 - 15:08

e categorizá-las em
15:08 - 15:11

categorias temáticas soltas.
15:11 - 15:13

E foi, em alguns casos,
15:13 - 15:15

foi relativamente difícil perceber
15:15 - 15:17

em que categoria elas se deviam inserir,
15:17 - 15:18

e depois codifiquei-as por cores.
15:18 - 15:21

Então, aqui estão alguns
exemplos da dificuldade.
15:21 - 15:22

Por exemplo, "justin."
15:22 - 15:24

Será o nome do utilizador,
15:24 - 15:25

do seu namorado, do seu filho?
15:25 - 15:28

Talvez seja um fã do Justin Bieber.
15:28 - 15:30

Ou "princesa."
15:30 - 15:32

Será uma alcunha?
15:32 - 15:34

Serão fãs das princesas da Disney?
15:34 - 15:37

Ou talvez seja o nome da sua gata.
15:37 - 15:39

"Iloveyou" aparece muitas vezes,
15:39 - 15:41

em várias línguas diferentes.
15:41 - 15:44

Há muito amor nestas palavras-passe.
15:44 - 15:48

Se olharem com atenção,
verão que também há alguns palavrões,
15:48 - 15:50

mas foi realmente interessante
para mim constatar
15:50 - 15:53

que há muito mais amor do que ódio
15:53 - 15:55

nestas palavras-passe.
15:55 - 15:56

E há animais,
15:56 - 15:58

muitos animais,
15:58 - 16:00

e "macaco" é o animal mais comum
16:00 - 16:04

e a 14.ª palavra-passe mais comum
em geral.
16:04 - 16:06

E achei isto realmente curioso,
16:06 - 16:08

e perguntei-me: "Porque é que
os macacos são tão populares?"
16:08 - 16:12

E então, no nosso último
estudo às palavras-passe,
16:12 - 16:13

cada vez que detetávamos alguém
16:13 - 16:16

a criar uma palavra-passe
com a palavra "macaco",
16:16 - 16:19

perguntámos-lhes porque tinham
macaco na sua palavra-chave.
16:19 - 16:21

E o que descobrimos
16:21 - 16:23

— descobrimos 17 pessoas
até agora, eu acho,
16:23 - 16:24

que têm a palavra "macaco" —
16:24 - 16:26

descobrimos que cerca de um
terço destas pessoas disse
16:26 - 16:28

ter um animal de estimação
chamado "macaco"
16:28 - 16:30

ou um amigo cuja alcunha é "macaco,"
16:30 - 16:32

e cerca de um terço destas pessoas disse
16:32 - 16:33

apenas gostar de macacos
16:33 - 16:35

e os macacos são realmente fofinhos.
16:35 - 16:39

Aquele amigo é mesmo fofinho.
16:39 - 16:42

Então, parece que, no final de contas,
16:42 - 16:44

quando criamos palavras-passe,
16:44 - 16:46

ou criamos algo que seja realmente fácil
16:46 - 16:49

de digitar, um padrão comum,
16:49 - 16:51

ou coisas que nos lembrem
da palavra palavra-passe
16:51 - 16:55

ou a conta para a qual
criámos a palavra-passe,
16:55 - 16:57

ou o que quer que seja.
16:57 - 17:00

Ou pensamos em coisas
que nos fazem felizes,
17:00 - 17:01

e criamos a nossa palavra-passe
17:01 - 17:04

baseada em coisas que nos fazem felizes.
17:04 - 17:06

E se isto torna o digitar
17:06 - 17:09

e o memorizar a nossa
palavra-passe mais divertido,
17:09 - 17:11

também torna muito fácil
17:11 - 17:13

adivinhar a nossa palavra-passe.
17:13 - 17:14

Eu sei que muitas destas palestras TED
17:14 - 17:16

são inspiradoras
17:16 - 17:18

e que nos fazem pensar em
coisas boas, coisas felizes,
17:18 - 17:20

mas quando estiverem a criar
a vossa palavra-passe,
17:20 - 17:22

tentem pensar em outra coisa.
17:22 - 17:23

Obrigada.
17:23 - 17:24

(Aplausos)

Title:: O que há de errado com a sua palavra-pa$$e?
Speaker:: Lorrie Faith Cranor
Description:: Lorrie Faith Cranor estudou milhares de palavras-passe reais para descobrir os erros mais surpreendentes e mais comuns que os utilizadores — e "sites" seguros — fazem, comprometendo a sua segurança. E como é que ela estudou milhares de palavras-passe reais sem comprometer a segurança de nenhum utilizador? Essa é uma história em si. É informação secreta que vale a pena conhecer, especialmente se a sua palavra-passe é 123456...

more » « less
Video Language:: English
Team:: closed TED
Project:: TEDTalks
Duration:: 17:41

	Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd?
	Isabel Vaz Belchior approved Portuguese subtitles for What’s wrong with your pa$$w0rd?
	Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd?
	Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd?
	Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd?
	Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd?
	Isabel Vaz Belchior edited Portuguese subtitles for What’s wrong with your pa$$w0rd?
	Filipa Bela accepted Portuguese subtitles for What’s wrong with your pa$$w0rd?

Show all

Portuguese subtitles

Revisions Compare revisions

Revision 24 Edited

Isabel Vaz Belchior
Revision 23 Edited

Isabel Vaz Belchior

	Revision Number	Author	Created
	24	Isabel Vaz Belchior
	23	Isabel Vaz Belchior

O que há de errado com a sua palavra-pa$$e?

Revisions Compare revisions

Our website uses cookies

Operating cookies (Required)