Return to Video

Что не так с вашим паролем?

  • 0:01 - 0:04
    Я профессор информатики и инженерии здесь,
    в Университете Карнеги-Меллон.
  • 0:04 - 0:08
    Я занимаюсь исследованием
    полезной конфиденциальности и безопасности,
  • 0:08 - 0:11
    поэтому друзья любят делиться со мной
  • 0:11 - 0:13
    своими огорчениями,
    связанными с компьютерами,
  • 0:13 - 0:17
    особенно теми, которые касаются
  • 0:17 - 0:21
    бесполезной конфиденциальности
    и безопасности.
  • 0:21 - 0:23
    Мне часто приходится
    слышать о паролях.
  • 0:23 - 0:26
    Многих людей пароли расстраивают
  • 0:26 - 0:28
    уже одним тем, что приходится
  • 0:28 - 0:31
    придумывать действительно
    хороший пароль,
  • 0:31 - 0:32
    который легко запомнить
  • 0:32 - 0:35
    и который никому не взломать.
  • 0:35 - 0:37
    Но что, если у вас сотни учётных записей
  • 0:37 - 0:39
    в различных системах,
  • 0:39 - 0:41
    и нужно иметь уникальный пароль
  • 0:41 - 0:44
    для каждой из них?
  • 0:44 - 0:46
    Это нелёгкая задача.
  • 0:46 - 0:48
    Раньше в Карнеги-Меллон
  • 0:48 - 0:49
    нам было довольно легко
  • 0:49 - 0:51
    запоминать наши пароли.
  • 0:51 - 0:53
    До 2009 года требовалось,
  • 0:53 - 0:56
    чтобы пароль
  • 0:56 - 0:58
    содержал хотя бы один знак.
  • 0:58 - 1:01
    Легко.
    Но затем требования изменились,
  • 1:01 - 1:04
    и с конца 2009 года
  • 1:04 - 1:06
    были введены новые правила,
  • 1:06 - 1:08
    согласно которым
  • 1:08 - 1:11
    пароли должны состоять
    хотя бы из 8 знаков,
  • 1:11 - 1:12
    с одной заглавной,
    одной строчной буквой,
  • 1:12 - 1:14
    цифрой, специальным символом,
  • 1:14 - 1:16
    нельзя использовать
    один и тот же знак более трёх раз,
  • 1:16 - 1:19
    и пароля не должно быть в словаре.
  • 1:19 - 1:21
    Когда новые правила были введены,
  • 1:21 - 1:23
    многие мои коллеги и друзья
  • 1:23 - 1:25
    пришли ко мне и сказали:
  • 1:25 - 1:27
    «Ну и ну! Этим невозможно пользоваться!
  • 1:27 - 1:28
    За что они с нами так поступают?
  • 1:28 - 1:29
    Почему ты их не остановила?»
  • 1:29 - 1:31
    Я ответила: «Знаете что?
  • 1:31 - 1:32
    Меня никто и не спрашивал».
  • 1:32 - 1:36
    Но мне стало любопытно,
    и я решила поговорить
  • 1:36 - 1:38
    с людьми,
    отвечающими за наши компьютеры,
  • 1:38 - 1:41
    и выяснить, что же заставило их
  • 1:41 - 1:42
    ввести новые правила.
  • 1:42 - 1:44
    Мне ответили, что университет
  • 1:44 - 1:46
    вступил в Ассоциацию университетов,
  • 1:46 - 1:49
    и одним из требований для её членов
  • 1:49 - 1:51
    является наличие
    более надёжных паролей,
  • 1:51 - 1:53
    отвечающих новым условиям.
  • 1:53 - 1:56
    Этим условием было наличие в паролях
  • 1:56 - 1:57
    информационной энтропии.
  • 1:57 - 1:59
    Информационная энтропия —
    сложный термин.
  • 1:59 - 2:02
    Говоря проще, он показывает,
    насколько надёжен пароль.
  • 2:02 - 2:04
    Проблема в том, что не существует
  • 2:04 - 2:06
    стандартной меры энтропии.
  • 2:06 - 2:09
    Национальный институт
    стандартов и технологий
  • 2:09 - 2:10
    имеет ряд инструкций,
  • 2:10 - 2:13
    содержащих общие правила
  • 2:13 - 2:14
    измерения информационной энтропии,
  • 2:14 - 2:17
    однако они не носят
    конкретного характера,
  • 2:17 - 2:19
    и причина этого в том,
  • 2:19 - 2:23
    что у Института недостаточно данных
  • 2:23 - 2:24
    о паролях.
  • 2:24 - 2:26
    Фактически, в их отчёте говорится:
  • 2:26 - 2:29
    «К сожалению, мы не располагаем данными
  • 2:29 - 2:32
    о паролях, выбираемых пользователями
    согласно правилам.
  • 2:32 - 2:34
    Институту хотелось бы получить
    больше данных
  • 2:34 - 2:36
    о паролях,
    которые выбираются на самом деле,
  • 2:36 - 2:39
    но, по понятным причинам,
    системные администраторы
  • 2:39 - 2:42
    делятся ими неохотно».
  • 2:42 - 2:45
    Задача трудная,
    но наша исследовательская группа
  • 2:45 - 2:47
    увидела в ней хорошую возможность.
  • 2:47 - 2:50
    Мы сказали:
    «Существует нехватка данных о паролях.
  • 2:50 - 2:52
    Мы могли бы собрать такие данные
  • 2:52 - 2:55
    и изменить положение дел».
  • 2:55 - 2:57
    Первое, что мы сделали, —
  • 2:57 - 2:58
    мы взяли мешок с шоколадками
  • 2:58 - 2:59
    и прошлись по территории университета,
  • 2:59 - 3:02
    разговаривая со студентами
    и преподавателями.
  • 3:02 - 3:04
    Мы задавали им вопросы
  • 3:04 - 3:05
    об их паролях.
  • 3:05 - 3:08
    Мы не просили их раскрывать пароли.
  • 3:08 - 3:11
    Мы просто спрашивали про них.
  • 3:11 - 3:12
    Какой они длины? Есть ли в них цифры?
  • 3:12 - 3:13
    Содержат ли они специальные символы?
  • 3:13 - 3:15
    Были ли вы раздражены,
    когда вам пришлось
  • 3:15 - 3:18
    создать новый пароль
    на прошлой неделе?
  • 3:18 - 3:21
    Мы собрали результаты опроса
    470 студентов,
  • 3:21 - 3:22
    преподавателей и сотрудников,
  • 3:22 - 3:25
    и подтвердился тот факт,
    что новые правила
  • 3:25 - 3:26
    всех очень раздражали.
  • 3:26 - 3:28
    Но люди также говорили,
  • 3:28 - 3:31
    что с новыми паролями они чувствовали себя
    более защищёнными.
  • 3:31 - 3:33
    Мы узнали,
    что большинство людей знает,
  • 3:33 - 3:36
    что нельзя записывать свой пароль
    на бумажку, —
  • 3:36 - 3:38
    так поступают только
    13% опрошенных —
  • 3:38 - 3:40
    но, что настораживает,
    80% людей признались
  • 3:40 - 3:43
    в использовании одного пароля
    по несколько раз.
  • 3:43 - 3:44
    На самом деле, это ещё опаснее,
  • 3:44 - 3:46
    чем записывать пароль на бумажку,
  • 3:46 - 3:50
    потому что это делает вас
    гораздо более уязвимыми перед хакерами.
  • 3:50 - 3:53
    Лучше уж записать пароль,
  • 3:53 - 3:55
    но не использовать его повторно.
  • 3:55 - 3:57
    Мы также узнали интересные факты о том,
  • 3:57 - 4:00
    как люди используют в паролях
    специальные символы.
  • 4:00 - 4:02
    В Карнеги-Меллон можно использовать
    32 специальных символа,
  • 4:02 - 4:05
    но, как видите,
    только небольшое их число
  • 4:05 - 4:07
    на самом деле используется,
  • 4:07 - 4:10
    поэтому символы
    не делают наши пароли
  • 4:10 - 4:12
    намного надёжнее.
  • 4:12 - 4:15
    Это было интересное исследование:
  • 4:15 - 4:17
    мы получили данные от 470 человек,
  • 4:17 - 4:18
    но, по большому счёту,
  • 4:18 - 4:21
    это не так много,
  • 4:21 - 4:22
    поэтому мы стали искать, где ещё
  • 4:22 - 4:25
    можно достать данные о паролях.
  • 4:25 - 4:27
    Оказывается, полно людей,
  • 4:27 - 4:29
    занимающихся воровством паролей,
  • 4:29 - 4:32
    и они часто публикуют их
  • 4:32 - 4:33
    в Интернете.
  • 4:33 - 4:35
    Нам удалось заполучить
  • 4:35 - 4:39
    несколько таких подборок
    украденных паролей.
  • 4:39 - 4:41
    Конечно, для исследования
    это не идеальный вариант,
  • 4:41 - 4:43
    так как непонятно,
  • 4:43 - 4:45
    откуда все эти пароли взялись
  • 4:45 - 4:48
    и какие правила действовали,
  • 4:48 - 4:50
    когда люди их создавали.
  • 4:50 - 4:53
    Нам хотелось найти
    источник данных получше.
  • 4:53 - 4:55
    Поэтому мы решили
  • 4:55 - 4:57
    провести исследование
    и попросить людей
  • 4:57 - 5:00
    по-настоящему создать для него пароли.
  • 5:00 - 5:03
    Мы использовали сервис под названием
    Amazon Mechanical Turk.
  • 5:03 - 5:05
    Он позволяет размещать
  • 5:05 - 5:08
    небольшие задания в интернете,
  • 5:08 - 5:09
    занимающие минуту, пару минут
    или час,
  • 5:09 - 5:12
    и платить один, десять центов
    или несколько долларов
  • 5:12 - 5:13
    за их выполнение
  • 5:13 - 5:15
    через сайт amazon.com.
  • 5:15 - 5:18
    Мы платили людям около 50 центов
  • 5:18 - 5:20
    за то, чтобы они создали пароль,
    следуя нашим правилам,
  • 5:20 - 5:22
    и ответили на наши вопросы.
  • 5:22 - 5:24
    Затем мы снова платили им за то,
    чтобы они вернулись
  • 5:24 - 5:26
    через два дня, вошли на сайт,
  • 5:26 - 5:29
    используя свой пароль,
    и ответили на другие вопросы.
  • 5:29 - 5:33
    Мы собрали 5 000 паролей.
  • 5:33 - 5:36
    Мы задавали участникам
    множество разных правил
  • 5:36 - 5:37
    создания паролей.
  • 5:37 - 5:39
    Некоторым попадалось
    простое правило,
  • 5:39 - 5:41
    мы называем его «Базовая восьмёрка»,
  • 5:41 - 5:43
    единственное условие которого —
    пароль должен содержать
  • 5:43 - 5:47
    хотя бы 8 знаков.
  • 5:47 - 5:49
    Некоторым попадались
    правила посложнее,
  • 5:49 - 5:51
    похожие на правила Карнеги-Меллон:
  • 5:51 - 5:53
    пароль должен содержать 8 знаков,
  • 5:53 - 5:56
    включая заглавную и строчную буквы,
    цифру, специальный символ,
  • 5:56 - 5:58
    и пройти проверку словарём.
  • 5:58 - 5:59
    Другой набор правил —
  • 5:59 - 6:01
    а их было много —
  • 6:01 - 6:03
    названный нами «Базовые шестнадцать»,
  • 6:03 - 6:05
    требовал только одно:
  • 6:05 - 6:09
    пароль должен был содержать
    хотя бы 16 знаков.
  • 6:09 - 6:11
    Итак, у нас было 5 000 паролей,
  • 6:11 - 6:15
    более детальная информация.
  • 6:15 - 6:17
    И снова мы видим,
    что существует лишь небольшое число
  • 6:17 - 6:19
    специальных символов, используемых людьми
  • 6:19 - 6:21
    в паролях.
  • 6:21 - 6:24
    Мы также хотели понять,
    насколько надёжны
  • 6:24 - 6:26
    были пароли,
    созданные нашими участниками.
  • 6:26 - 6:29
    Но, как вы помните,
    хорошего стандарта измерения
  • 6:29 - 6:31
    надёжности паролей не существует.
  • 6:31 - 6:33
    Мы решили посмотреть,
  • 6:33 - 6:35
    сколько времени займёт их расшифровка
  • 6:35 - 6:37
    с помощью лучших приёмов
  • 6:37 - 6:39
    из арсенала злоумышленников
  • 6:39 - 6:41
    или тех способов,
    о которых мы нашли информацию
  • 6:41 - 6:42
    в научной литературе.
  • 6:42 - 6:45
    Как злоумышленники
  • 6:45 - 6:47
    взламывают пароли?
  • 6:47 - 6:49
    Они крадут файл, в котором содержатся
  • 6:49 - 6:51
    хеш-значения паролей, другими словами —
  • 6:51 - 6:54
    пароли в зашифрованном виде.
  • 6:54 - 6:57
    Затем они пытаются
  • 6:57 - 6:58
    угадать пароль
  • 6:58 - 7:00
    с помощью хеш-функции
  • 7:00 - 7:02
    и смотрят, совпадает ли он
  • 7:02 - 7:06
    с паролями из украденного списка.
  • 7:06 - 7:09
    Не слишком умные хакеры
    проверяют все пароли по порядку.
  • 7:09 - 7:13
    Начиная с ААААА, затем ААААВ —
  • 7:13 - 7:15
    пройдёт очень много времени
  • 7:15 - 7:17
    прежде чем они получат пароли,
  • 7:17 - 7:19
    которые реально создаются пользователями.
  • 7:19 - 7:22
    Толковые хакеры
  • 7:22 - 7:23
    действуют гораздо умнее.
  • 7:23 - 7:25
    Они берут пароли,
  • 7:25 - 7:27
    чаще всего встречающиеся
  • 7:27 - 7:28
    в украденных наборах хеш-значений паролей,
  • 7:28 - 7:29
    и начинают попытки взлома с них.
  • 7:29 - 7:32
    Они начнут со слова «пароль»,
  • 7:32 - 7:34
    затем возьмут «я тебя люблю»
    и «обезьянка»,
  • 7:34 - 7:37
    а затем «12345678».
  • 7:37 - 7:38
    Именно эти пароли
  • 7:38 - 7:40
    люди выбирают чаще всего.
  • 7:40 - 7:43
    Наверняка у кого-то из вас
    пароли именно такие.
  • 7:45 - 7:46
    В своём исследовании,
  • 7:46 - 7:50
    проверив все 5 000 собранных паролей
  • 7:50 - 7:54
    с помощью тестов на надёжность,
  • 7:54 - 7:57
    мы обнаружили, что длинные пароли
  • 7:57 - 7:58
    довольно надёжны.
  • 7:58 - 8:01
    Сложные пароли тоже.
  • 8:01 - 8:04
    Однако результат опросов показал,
  • 8:04 - 8:07
    что сложные пароли
  • 8:07 - 8:09
    очень раздражают людей,
  • 8:09 - 8:12
    а длинные пароли гораздо удобнее.
  • 8:12 - 8:13
    В некоторых случаях длинные пароли
  • 8:13 - 8:16
    оказывались даже надёжнее сложных.
  • 8:16 - 8:17
    Можно заключить,
  • 8:17 - 8:19
    что вместо того, чтобы
  • 8:19 - 8:20
    использовать специальные символы, цифры
  • 8:20 - 8:23
    и другие безумные штуки в паролях,
  • 8:23 - 8:25
    гораздо эффективнее
  • 8:25 - 8:28
    просто иметь длинные пароли.
  • 8:28 - 8:30
    Однако здесь кроется проблема:
  • 8:30 - 8:32
    некоторые длинные пароли
  • 8:32 - 8:33
    были не так уж и надёжны.
  • 8:33 - 8:35
    Можно придумать длинный пароль,
  • 8:35 - 8:37
    который всё равно
  • 8:37 - 8:39
    будет с лёгкостью угадан взломщиком.
  • 8:39 - 8:42
    Получается, нужно что-то большее,
    чем просто длинные пароли.
  • 8:42 - 8:44
    Нужны дополнительные условия.
  • 8:44 - 8:47
    Некоторые наши текущие исследования
  • 8:47 - 8:49
    изучают необходимые
    дополнительные условия того,
  • 8:49 - 8:52
    как сделать пароли более надёжными
  • 8:52 - 8:54
    и в тоже время лёгкими
  • 8:54 - 8:57
    для запоминания
    и набора на клавиатуре.
  • 8:57 - 8:59
    Ещё один способ
    заставить людей создавать
  • 8:59 - 9:01
    надёжные пароли —
    использовать индикатор надёжности.
  • 9:01 - 9:02
    Вот несколько примеров.
  • 9:02 - 9:04
    Возможно, вы видели их в Интернете,
  • 9:04 - 9:07
    когда создавали пароли.
  • 9:07 - 9:09
    Мы решили исследовать,
  • 9:09 - 9:12
    действительно ли
    индикаторы надёжности работают.
  • 9:12 - 9:13
    Действительно ли они помогают
  • 9:13 - 9:15
    создавать более надёжные пароли,
  • 9:15 - 9:17
    и, если да, то какие индикаторы лучше?
  • 9:17 - 9:19
    Мы протестировали
    индикаторы надёжности паролей
  • 9:19 - 9:22
    различных размеров, форм и цветов,
  • 9:22 - 9:23
    с разными инструкциями
  • 9:23 - 9:26
    и даже с танцующим кроликом.
  • 9:26 - 9:28
    Когда вы вводите
    более надёжный пароль,
  • 9:28 - 9:30
    кролик начинает танцевать быстрее.
  • 9:30 - 9:33
    Довольно весело.
  • 9:33 - 9:34
    Мы обнаружили,
  • 9:34 - 9:38
    что индикаторы
    действительно работают.
  • 9:38 - 9:40
    (Смех)
  • 9:40 - 9:43
    Большинство из них
    довольно эффективны,
  • 9:43 - 9:46
    танцующий кролик тоже,
  • 9:46 - 9:49
    но самые эффективные
    индикаторы надёжности —
  • 9:49 - 9:51
    те, которые заставляют вас попотеть,
  • 9:51 - 9:53
    прежде чем дают добро
  • 9:53 - 9:54
    вашему паролю.
  • 9:54 - 9:56
    Как оказалось, большинство
  • 9:56 - 9:58
    индикаторов надёжности
    в сегодняшнем Интернете
  • 9:58 - 9:59
    не слишком строги.
  • 9:59 - 10:01
    Они слишком рано сообщают о том,
    что вы на правильном пути.
  • 10:01 - 10:03
    Если бы они подождали
    совсем чуть-чуть,
  • 10:03 - 10:05
    прежде чем выразить вам одобрение,
  • 10:05 - 10:08
    ваш пароль, скорее всего,
    был бы лучше.
  • 10:08 - 10:12
    Ещё один вероятный путь
    к надёжным паролям —
  • 10:12 - 10:15
    использование фраз вместо слов.
  • 10:15 - 10:18
    Это комикс «xkcd»
    примерно двухлетней давности.
  • 10:18 - 10:20
    Его автор советует
  • 10:20 - 10:22
    использовать в паролях фразы.
  • 10:22 - 10:26
    Если вы посмотрите
    на второй ряд комикса,
  • 10:26 - 10:27
    то увидите, что автор предлагает
  • 10:27 - 10:31
    фразу «верно лошадь батарея скрепка»
  • 10:31 - 10:33
    в качестве надёжного пароля,
  • 10:33 - 10:35
    который очень легко запомнить.
  • 10:35 - 10:38
    Он говорит:
    «Да вы это уже запомнили».
  • 10:38 - 10:40
    Мы решили выяснить,
  • 10:40 - 10:43
    так ли это на самом деле.
  • 10:43 - 10:45
    Кстати, все,
    с кем я разговариваю
  • 10:45 - 10:47
    и упоминаю свою работу с паролями,
  • 10:47 - 10:48
    вспоминают этот комикс.
  • 10:48 - 10:50
    «Ты видела «xkcd»?
  • 10:50 - 10:51
    Верно лошадь батарея скрепка».
  • 10:51 - 10:53
    Мы провели исследование,
  • 10:53 - 10:55
    чтобы узнать,
    как всё обстоит на самом деле.
  • 10:55 - 10:58
    Мы снова использовали сервис
    Mechanical Turk
  • 10:58 - 11:03
    и заставили компьютер выдать
    случайные слова
  • 11:03 - 11:04
    для фразы-пароля.
  • 11:04 - 11:05
    Мы сделали это потому,
  • 11:05 - 11:06
    что люди не очень хорошо умеют
  • 11:06 - 11:08
    подбирать слова случайно.
  • 11:08 - 11:09
    Если бы мы попросили людей,
  • 11:09 - 11:12
    они бы подобрали слова,
    не являющиеся случайными.
  • 11:12 - 11:14
    Мы протестировали
    несколько разных условий.
  • 11:14 - 11:16
    В одном случае
    компьютер выбирал слова
  • 11:16 - 11:18
    из обычного словаря
  • 11:18 - 11:20
    английского языка.
  • 11:20 - 11:21
    Получались фразы вроде
  • 11:21 - 11:23
    «попытка там три приходить».
  • 11:23 - 11:25
    Мы подумали и сказали:
  • 11:25 - 11:28
    «Нет, это трудно запомнить».
  • 11:28 - 11:30
    Тогда мы попытались подбирать слова,
  • 11:30 - 11:33
    являющиеся
    определёнными частями речи, —
  • 11:33 - 11:35
    существительное — глагол —
    прилагательное — существительное.
  • 11:35 - 11:38
    Это уже даёт нам что-то похожее
    на предложение.
  • 11:38 - 11:40
    Можно получить фразу
  • 11:40 - 11:41
    «план строить твёрдую власть»
  • 11:41 - 11:44
    или «конец определяет
    красное лекарство».
  • 11:44 - 11:47
    Это оказалось легче запомнить,
  • 11:47 - 11:49
    и, возможно, людям бы это
    понравилось больше.
  • 11:49 - 11:52
    Мы хотели сравнить фразы-пароли
    со словами
  • 11:52 - 11:55
    и заставили компьютер
    сгенерировать случайные слова,
  • 11:55 - 11:57
    которые были короткими,
    но, как видите,
  • 11:57 - 12:00
    не очень запоминающимися.
  • 12:00 - 12:01
    Тогда мы решили испытать то,
  • 12:01 - 12:03
    что называется
    «произносимый пароль».
  • 12:03 - 12:05
    Компьютер подбирает случайные слоги,
  • 12:05 - 12:06
    складывает их вместе,
  • 12:06 - 12:09
    и вы получаете нечто произносимое,
  • 12:09 - 12:11
    например, «туфритви» или «вадасаби».
  • 12:11 - 12:14
    Этот вообще приятно произносить.
  • 12:14 - 12:16
    Это случайные пароли,
  • 12:16 - 12:19
    сгенерированные нашим компьютером.
  • 12:19 - 12:22
    Исследование показало,
    как ни удивительно,
  • 12:22 - 12:25
    что пароли-фразы не так уж и хороши.
  • 12:25 - 12:28
    Люди на самом деле
    не запоминали их лучше,
  • 12:28 - 12:31
    чем случайные пароли,
  • 12:31 - 12:34
    а из-за того, что они длиннее,
  • 12:34 - 12:35
    их приходилось дольше вводить,
  • 12:35 - 12:38
    и люди при этом
    совершали больше ошибок.
  • 12:38 - 12:41
    То есть пароли-фразы не смогли одержать
    явную победу.
  • 12:41 - 12:45
    Простите меня, фанаты «xkcd».
  • 12:45 - 12:46
    С другой стороны, мы убедились,
  • 12:46 - 12:48
    что произносимые пароли
  • 12:48 - 12:50
    работают на удивление хорошо,
  • 12:50 - 12:52
    и теперь мы проводим
    больше исследований,
  • 12:52 - 12:55
    чтобы узнать, можно ли этот подход
    сделать ещё эффективнее.
  • 12:55 - 12:57
    Одна из трудностей,
  • 12:57 - 12:59
    возникших в этих исследованиях, —
  • 12:59 - 13:01
    то, что они все проводились
  • 13:01 - 13:02
    с использованием сервиса
    Mechanical Turk,
  • 13:02 - 13:04
    это не были настоящие пароли.
  • 13:04 - 13:06
    Эти пароли создавались людьми
  • 13:06 - 13:09
    или компьютером
    в исследовательских целях.
  • 13:09 - 13:10
    Мы же хотели узнать, будут ли люди
  • 13:10 - 13:12
    вести себя таким же образом,
  • 13:12 - 13:15
    придумывая настоящие пароли.
  • 13:15 - 13:18
    Мы поговорили с отделом информационной
    безопасности Карнеги-Меллон
  • 13:18 - 13:22
    и спросили, можем ли мы получить
    настоящие пароли пользователей.
  • 13:22 - 13:24
    Как и следовало ожидать,
    им не хотелось
  • 13:24 - 13:25
    ничего нам раскрывать,
  • 13:25 - 13:27
    однако мы вместе смогли
  • 13:27 - 13:28
    придумать выход:
  • 13:28 - 13:30
    они собрали все настоящие пароли
  • 13:30 - 13:33
    25 000 студентов,
    преподавателей и персонала
  • 13:33 - 13:36
    на защищённом компьютере
    в запертой комнате
  • 13:36 - 13:37
    без подключения к Интернету.
  • 13:37 - 13:39
    Была запущена
    написанная нами программа
  • 13:39 - 13:41
    анализа паролей.
  • 13:41 - 13:43
    Они сами проверили
  • 13:43 - 13:44
    и запустили нашу программу.
  • 13:44 - 13:46
    Так что мы даже не видели
  • 13:46 - 13:48
    ни одного пароля своими глазами.
  • 13:48 - 13:50
    Мы получили интересные результаты.
  • 13:50 - 13:52
    Студентам Бизнес-школы Теппера
    на заднем ряду
  • 13:52 - 13:55
    будет очень интересно.
  • 13:55 - 13:58
    Обнаружилось, что пароли, созданные
  • 13:58 - 14:00
    людьми из Школы информатики,
  • 14:00 - 14:03
    были в 1,8 раза надёжнее,
  • 14:03 - 14:07
    чем пароли тех,
    кто связан с Бизнес-школой.
  • 14:07 - 14:09
    Мы получили и много другой
  • 14:09 - 14:11
    демографической информации.
  • 14:11 - 14:13
    Интересно также,
  • 14:13 - 14:15
    что, сравнив пароли Карнеги-Меллон
  • 14:15 - 14:17
    с паролями,
    сгенерированными Mechanical Turk,
  • 14:17 - 14:20
    мы нашли много похожего,
  • 14:20 - 14:22
    убедились в правильности нашего метода
  • 14:22 - 14:24
    и показали, что сбор паролей
  • 14:24 - 14:26
    с помощью Mechanical Turk —
  • 14:26 - 14:29
    вполне достоверный способ
    их изучать.
  • 14:29 - 14:31
    Это хорошие новости.
  • 14:31 - 14:34
    Я хочу завершить рассказом
  • 14:34 - 14:36
    о своих наблюдениях
    во время творческого отпуска
  • 14:36 - 14:39
    в Школе искусств Карнеги-Меллон
    в прошлом году.
  • 14:39 - 14:40
    Помимо всего прочего,
  • 14:40 - 14:42
    я сшила несколько лоскутных одеял,
  • 14:42 - 14:43
    таких как вот этот.
  • 14:43 - 14:45
    Он называется «Одеяло безопасности».
  • 14:45 - 14:48
    (Смех)
  • 14:48 - 14:51
    На этом одеяле
  • 14:51 - 14:53
    1 000 самых распространённых паролей,
    украденных
  • 14:53 - 14:56
    с сайта RockYou.
  • 14:56 - 14:58
    Размер паролей
    прямо пропорционален тому,
  • 14:58 - 15:00
    насколько часто они появляются
  • 15:00 - 15:02
    в украденных базах данных.
  • 15:02 - 15:05
    Я создала словарное облако,
  • 15:05 - 15:07
    разобрала все 1 000 слов
  • 15:07 - 15:08
    и распределила их
  • 15:08 - 15:11
    по достаточно свободным категориям.
  • 15:11 - 15:13
    В некоторых случаях
  • 15:13 - 15:15
    было сложно определить,
  • 15:15 - 15:17
    к какой категории
    принадлежит то или иное слово.
  • 15:17 - 15:18
    Каждой категории я задала свой цвет.
  • 15:18 - 15:21
    Вот пара примеров сложностей.
  • 15:21 - 15:22
    Слово «джастин».
  • 15:22 - 15:24
    Что это? Имя пользователя,
  • 15:24 - 15:25
    или любимого человека, или сына?
  • 15:25 - 15:28
    Может, это поклонник Джастина Бибера?
  • 15:28 - 15:30
    Или «принцесса».
  • 15:30 - 15:32
    Это прозвище?
  • 15:32 - 15:34
    Придумано фанатом
    диснеевских принцесс?
  • 15:34 - 15:37
    Или это кошачье имя?
  • 15:37 - 15:39
    «Ятебялюблю»
    неоднократно появляется
  • 15:39 - 15:41
    на многих языках.
  • 15:41 - 15:44
    Эти пароли дышат любовью.
  • 15:44 - 15:46
    Если присмотреться, можно найти
  • 15:46 - 15:48
    и сквернословия.
  • 15:48 - 15:50
    Но интересно было то, что я увидела
  • 15:50 - 15:53
    гораздо больше любви, чем ненависти
  • 15:53 - 15:55
    в этих паролях.
  • 15:55 - 15:56
    Здесь есть и животные —
  • 15:56 - 15:58
    много животных —
  • 15:58 - 16:00
    и «обезьянка» —
    самое распространённое из них
  • 16:00 - 16:04
    и 14-е в списке
    самых популярных паролей.
  • 16:04 - 16:06
    Мне стало очень любопытно,
  • 16:06 - 16:08
    я подумала:
    «Почему обезьянки так популярны?»
  • 16:08 - 16:12
    В нашем последнем исследовании
  • 16:12 - 16:13
    каждый раз, когда мы видели,
  • 16:15 - 16:16
    что кто-то создавал пароль
    со словом «обезьянка»,
  • 16:16 - 16:19
    мы спрашивали, почему.
  • 16:19 - 16:21
    Мы обнаружили —
  • 16:21 - 16:23
    а всего мы нашли 17 человек,
  • 16:23 - 16:24
    использовавших это слово, —
  • 16:24 - 16:26
    около трети опрошенных сказали,
  • 16:26 - 16:28
    что их домашнего любимца
    зовут Обезьянка
  • 16:28 - 16:30
    или у них есть друг с таким прозвищем.
  • 16:30 - 16:32
    Ещё треть людей сказали,
  • 16:32 - 16:33
    что им просто нравятся обезьянки,
  • 16:33 - 16:35
    они ведь действительно милые.
  • 16:35 - 16:39
    Посмотрите, какой он хорошенький.
  • 16:39 - 16:42
    Кажется, в конечном итоге,
  • 16:42 - 16:44
    когда мы придумываем пароль,
  • 16:44 - 16:46
    мы либо создаём что-то очень простое
  • 16:46 - 16:49
    для введения,
    какую-то общую закономерность,
  • 16:49 - 16:51
    или что-то, что напоминает нам
    само слово «пароль»,
  • 16:51 - 16:55
    или саму учётную запись,
    для которой мы его создаём,
  • 16:55 - 16:57
    или «всёравно».
  • 16:57 - 17:00
    Либо же мы думаем о том,
    что приносит нам счастье.
  • 17:00 - 17:01
    Мы создаём пароль,
  • 17:01 - 17:04
    исходя из того,
    что делает нас счастливыми.
  • 17:04 - 17:06
    И хотя это делает введение
  • 17:06 - 17:09
    и запоминание пароля
    более занимательным,
  • 17:09 - 17:11
    это также делает его
  • 17:11 - 17:13
    более уязвимым.
  • 17:13 - 17:14
    Многие выступления на TED
  • 17:14 - 17:16
    вдохновляют
  • 17:16 - 17:18
    и навевают мысли о прекрасных,
    замечательных вещах.
  • 17:18 - 17:20
    Но когда вы придумываете пароль,
  • 17:20 - 17:22
    лучше подумайте о чём-нибудь другом.
  • 17:22 - 17:23
    Спасибо.
  • 17:23 - 17:24
    (Аплодисменты)
Title:
Что не так с вашим паролем?
Speaker:
Лорри Фэйт Крэнор
Description:

Лорри Фэйт Крэнор изучила тысячи паролей, чтобы выяснить, какие удивительные и очень распространённые ошибки совершаются пользователями и даже персоналом защищённых объектов. И как же, спросите вы, она изучила тысячи настоящих паролей, не ставя под угрозу безопасность пользователей? Это отдельная история. Это секретная информация, которую стоит узнать, особенно, если ваш пароль — 123456...
more » « less
Video Language:
English
Team:
closed TED
Project:
TEDTalks
Duration:
17:41
Olga Dmitrochenkova approved Russian subtitles for What’s wrong with your pa$$w0rd?
Olga Dmitrochenkova edited Russian subtitles for What’s wrong with your pa$$w0rd?
Olga Dmitrochenkova edited Russian subtitles for What’s wrong with your pa$$w0rd?
Olga Dmitrochenkova edited Russian subtitles for What’s wrong with your pa$$w0rd?
Olga Dmitrochenkova accepted Russian subtitles for What’s wrong with your pa$$w0rd?
Olga Dmitrochenkova edited Russian subtitles for What’s wrong with your pa$$w0rd?
Olga Dmitrochenkova edited Russian subtitles for What’s wrong with your pa$$w0rd?
Olga Dmitrochenkova edited Russian subtitles for What’s wrong with your pa$$w0rd?
Show all

Russian subtitles

Revisions

Our website uses cookies for analysis purposes.