รหัสผ่านของคุณไม่ดีตรงไหน
-
0:00 - 0:03ฉันเป็นนักวิทยาการคอมพิวเตอร์ และศ.ด้านวิศวะ
-
0:03 - 0:04ที่ ม.คาร์เนกีเมลลอน
-
0:04 - 0:08งานวิจัยของฉันเน้นเรื่อง ระบบความเป็นส่วนตัวและ ความปลอดภัย
-
0:08 - 0:11เพื่อนๆจึงชอบบอกฉัน
-
0:11 - 0:13ถึงความขัดข้องใจของเขา กับระบบคอมพิวเตอร์
-
0:13 - 0:17โดยเฉพาะความขัดข้องใจที่เกี่ยวกับ
-
0:17 - 0:21ระบบความเป็นส่วนตัวและความปลอดภัย ที่ใช้ไม่ได้ผล
-
0:21 - 0:23รหัสผ่าน จึงเป็นสิ่งที่ดิฉันได้รับฟังมามาก
-
0:23 - 0:26คนจำนวนมากขัดข้องใจกับรหัสผ่าน
-
0:26 - 0:28และมันก็แย่พออยู่แล้ว
-
0:28 - 0:31เมื่อคุณต้องมีรหัสผ่านที่ดีจริงๆ
-
0:31 - 0:32ที่คุณจำมันได้
-
0:32 - 0:35แต่คนอื่นๆไม่สามารถเดาได้
-
0:35 - 0:37แต่คุณจะทำอย่างไร เมื่อมีชื่อบัญชี
-
0:37 - 0:39กับระบบต่างๆเป็นร้อย
-
0:39 - 0:41และคุณก็ควรจะต้องมีรหัสผ่านที่ไม่เหมือนใคร
-
0:41 - 0:44สำหรับระบบแต่ละระบบเหล่านั้น
-
0:44 - 0:46มันเป็นเรื่องยาก
-
0:46 - 0:48ที่คาร์เนกีฯ (CMU) เขาเคยทำเรืองนี้
-
0:48 - 0:49ให้มันง่ายมาก สำหรับพวกเรา
-
0:49 - 0:51ที่จะจำรหัสผ่าน
-
0:51 - 0:53ตลอดมาจนถึงปี 2009 สิ่งที่ต้องมีในรหัสผ่าน
-
0:53 - 0:56ก็แค่ คุณต้องใส่รหัสผ่าน
-
0:56 - 0:58พร้อมตัวอักษรอย่างน้อยหนึ่งตัว
-
0:58 - 1:01ดูง่ายมาก แต่แล้วพวกเขาก็เปลี่ยนสิ่งต่างๆ
-
1:01 - 1:04และในปลายปี 2009 ก็ประกาศว่า
-
1:04 - 1:06เรากำลังจะมีแผนการใหม่
-
1:06 - 1:08และแผนการใหม่นี้จำเป็นต้อง
-
1:08 - 1:11ใช้รหัสผ่าน ที่มีตัวอักษรอย่างน้อย แปดตัว
-
1:11 - 1:12พร้อมด้วยตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก
-
1:12 - 1:14ตัวเลขโดด สัญลักษณ์
-
1:14 - 1:16คุณไม่สามารถใช้ตัวอักษรซ้ำกันเกินสามครั้ง
-
1:16 - 1:19และไม่อนุญาตให้เป็นคำในพจนานุกรม
-
1:19 - 1:21ค่ะ เมื่อพวกเขานำหลักการใหม่นี้ ไปใช้จริง
-
1:21 - 1:23คนจำนวนมาก เพื่อนร่วมงานและเพื่อนๆ
-
1:23 - 1:25ก็มาหาดิฉัน และบอกว่า "โอ้โห
-
1:25 - 1:27ตอนนี้ มันใช้ไม่ได้ผลนะ
-
1:27 - 1:28ทำไมเค้าถึงสร้างกฏให้เราแบบนี้?"
-
1:28 - 1:29และทำไมคุณถึงไม่ห้ามเขาละ?"
-
1:29 - 1:31ดิฉันบอกว่า "คุณรู้มั้ยละ
-
1:31 - 1:32พวกเขาไม่ได้ถามฉันเลย"
-
1:32 - 1:36แต่ดิฉันก็อยากรู้ จึงตัดสินใจไปพูด
-
1:36 - 1:38กับคนที่รับผิดชอบระบบคอมพิวเตอร์ของเรา
-
1:38 - 1:41และก็พบว่า อะไรที่ทำให้พวกเขาเริ่มนำ
-
1:41 - 1:42หลักการใหม่นี้เข้ามาใช้
-
1:42 - 1:44พวกเขาก็บอกว่า มหาวิทยาลัยนั้น
-
1:44 - 1:46ได้เข้าไปเป็นสมาชิกของกลุ่มมหาวิทยาลัย
-
1:46 - 1:49และข้อบังคับอย่างหนึ่งของการเป็นสมาชิก
-
1:49 - 1:51ก็คือ เราต้องมีรหัสผ่านที่แข็งแรง
-
1:51 - 1:53โดยมีข้อบังคับการตั้งรหัสผ่าน
-
1:53 - 1:56และข้อบังคับเหล่านี้ ก็คือ รหัสผ่านของเรา
-
1:56 - 1:57ต้องมีระดับเอนโทรปี (entropy) มากๆ
-
1:57 - 1:59ค่ะ เอนโทรปี ค่อนข้างมีความซับซ้อน
-
1:59 - 2:02โดยพื้นฐาน มันจะวัดความยากของรหัสผ่าน
-
2:02 - 2:04แต่ข้อสำคัญก็คือ จริงๆแล้ว มันไม่มี
-
2:04 - 2:06การวัดอย่างเป็นมาตรฐานของเอนโทรปี
-
2:06 - 2:09สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)
-
2:09 - 2:10มีคู่มืออยู่ชุดหนึ่ง
-
2:10 - 2:13ที่เป็นข้อแนะนำทั่วๆไป
-
2:13 - 2:14สำหรับการตั้งรหัสผ่าน
-
2:14 - 2:17แต่พวกเขาไม่ได้เจาะจงอะไรมาก
-
2:17 - 2:19และเหตุที่พวกเขาต้องมีข้อแนะนำ
-
2:19 - 2:23กลายเป็นว่า ที่จริงเขาไม่มีข้อมูลเลย
-
2:23 - 2:24เกี่ยวกับรหัสผ่านที่ดี
-
2:24 - 2:26แท้จริงแล้ว รายงานของพวกเขาบอกว่า
-
2:26 - 2:29"โชคร้าย ที่เราไม่มีข้อมูลมากนัก
-
2:29 - 2:32บนรหัสผ่านของผู้ใช้ ที่ทำตามคำแนะนำ
-
2:32 - 2:34NIST อยากจะได้ข้อมูลให้มากกว่านี้
-
2:34 - 2:36ในเรื่องของรหัสผ่าน ที่ผู้ใช้มักจะเลือก
-
2:36 - 2:39แต่ก็พอจะเข้าใจได้ว่าผู้บริหารระบบ ลังเล
-
2:39 - 2:42ที่จะเปิดเผยข้อมูลรหัสผ่านกับผู้อื่น"
-
2:42 - 2:45นี่จึงเป็นปัญหา แต่กลุ่มวิจัยของเรา
-
2:45 - 2:47เห็นมัน เหมือนเป็นโอกาสอย่างหนึ่ง
-
2:47 - 2:50เราพูดว่า "จำเป็นต้องมีข้อมูลรหัสผ่านที่ดี
-
2:50 - 2:52บางที เราอาจจะรวบรวมรหัสผ่านที่ดีได้บ้าง
-
2:52 - 2:55และเร่งพัฒนาให้ลํ้ายุคตรงนี้ได้จริง
-
2:55 - 2:57ดังนั้นสิ่งแรกที่เราทำก็คือ
-
2:57 - 2:58เราเอาทอฟฟี่มาหนึ่งถุง
-
2:58 - 2:59และเดินไปรอบมหาลัย
-
2:59 - 3:02พูดคุยกับนักศึกษา อาจารย์ และเจ้าหน้าที่
-
3:02 - 3:04สอบถามพวกเขาให้ได้ข้อมูล
-
3:04 - 3:05เกี่ยวกับรหัสผ่าน
-
3:05 - 3:08ค่ะ เราไม่ได้พูดว่า "เอารหัสผ่านของคุณมา"
-
3:08 - 3:11ไม่ค่ะ เราเพียงถามเรื่องรหัสผ่านของพวกเขา
-
3:11 - 3:12ยาวขนาดไหนคะ มีตัวอักษรไหม?
-
3:12 - 3:13มีสัญญลักษณ์รึเปล่า?
-
3:13 - 3:15และคุณรำคาญใจไหม ที่ต้องสร้าง
-
3:15 - 3:18รหัสผ่านใหม่ อาทิตย์ที่แล้วน่ะ?
-
3:18 - 3:21เราจึงได้คำตอบจาก 470 คน ที่เป็นนักศึกษา
-
3:21 - 3:22อาจารย์ และ เจ้าหน้าที่
-
3:22 - 3:25ที่จริง เรายืนยันได้ว่าหลักการใหม่นั้น
-
3:25 - 3:26เป็นที่น่ารำคาญมากๆ
-
3:26 - 3:28และเรายังพบอีกว่า คนทั้งหลายพูดว่า
-
3:28 - 3:31พวกเขารู้สึกปลอดภัยกว่า ในรหัสผ่านใหม่นี้
-
3:31 - 3:33เราพบว่าคนส่วนใหญ่ทราบว่า
-
3:33 - 3:36พวกเขาไม่ควรจะจดรหัสผ่านของเขาไว้
-
3:36 - 3:38และก็มีเพียง 13 เปอร์เซ็นเท่านั้นที่ทำ
-
3:38 - 3:40แต่ก็ไม่น่าพอใจที่ คน 80 เปอร์เซ็นต์
-
3:40 - 3:43บอกว่า พวกเขาเอารหัสผ่านเก่า กลับมาใช้อีก
-
3:43 - 3:44ค่ะ เรื่องนี้จริงๆ อันตรายยิ่งกว่า
-
3:44 - 3:46การจดรหัสผ่านใว้เสียอีก
-
3:46 - 3:50เพราะ มันทำให้โจรสามารถเจาะเข้าข้อมูลได้ง่าย
-
3:50 - 3:53ดังนั้นถ้าคุณจะต้องทำ ก็ขอให้จดรหัสผ่านไว้
-
3:53 - 3:55แต่อย่านำมันกลับมาใช้อีก
-
3:55 - 3:57เรายังพบสิ่งที่น่าสนใจบางอย่างอีกด้วย
-
3:57 - 4:00เกี่ยวกับสัญญลักษณ์ ที่ผู้คนใช้ในรหัสผ่าน
-
4:00 - 4:02CMU จึงอนุญาตให้ใช้ สัญญลักษณ์ได้ 32 ตัว
-
4:02 - 4:05แต่อย่างที่เห็น มีตัวเลขไม่กี่ตัวเท่านั้น
-
4:05 - 4:07ที่คนส่วนใหญ่ใช้กันอยู่
-
4:07 - 4:10จริงๆ เราจึงไม่ได้มีระดับความยากมากเท่าไหร่
-
4:10 - 4:12จากสัญญลักษณ์ในรหัสผ่านของเรา
-
4:12 - 4:15นี่จึงเป็นการวิจัยที่น่าสนใจอย่างมาก
-
4:15 - 4:17ขณะนี้ เรามีข้อมูลจากคน 470 คน
-
4:17 - 4:18แต่ในแบบแผนของสิ่งที่
-
4:18 - 4:21จริงๆแล้ว ไม่ได้เป็นข้อมูลรหัสผ่านมากนัก
-
4:21 - 4:22เราจึงมองไปรอบๆ
-
4:22 - 4:25ที่เราจะหาข้อมูลรหัสผ่านเพิ่มขึ้นอีก
-
4:25 - 4:27จึงกลายกลายเป็นว่า มีคนจำนวนมาก
-
4:27 - 4:29เที่ยวไปขโมยรหัสผ่านเขาไปทั่ว
-
4:29 - 4:32และบ่อยๆ ที่พวกเขานำรหัสผ่านเหล่านี้
-
4:32 - 4:33ไปโพสต์ลงในอินเตอร์เน็ต
-
4:33 - 4:35เราจึงสามารถเข้าไปถึง
-
4:35 - 4:39กลุ่มรหัสผ่านที่ถูกขโมยมาเหล่านี้ได้บ้าง
-
4:39 - 4:41แม้ว่า สิ่งนี้จริงๆแล้ว ยังไม่ดีที่สุด
-
4:41 - 4:43สำหรับงานวิจัย เพราะมันไม่ชัดเจนทั้งหมดว่า
-
4:43 - 4:45รหัสผ่านทั้งหมดนี้ มาจากที่ใด
-
4:45 - 4:48หรือให้แน่ๆคือ เกณฑ์อะไรที่ถูกนำมาใช้
-
4:48 - 4:50เมื่อผู้คนสร้างรหัสผ่านเหล่านี้ขึ้นมา
-
4:50 - 4:53เราจึงต้องการจะหาแหล่งข้อมูลที่ดีกว่านี้
-
4:53 - 4:55จึงตกลงใจว่า สิ่งหนึ่งที่เราทำได้
-
4:55 - 4:57ก็คือ เราจะทำวิจัย โดยให้คน
-
4:57 - 5:00สร้างรหัสผ่านจริงๆ เพื่อการวิจัยของเรา
-
5:00 - 5:03เราจึงใช้โปรแกรม Amezon Mechanical Turk
-
5:03 - 5:05เป็นโปรแกรมที่คุณสามารถโพสต์
-
5:05 - 5:08งานอินเตอร์เน็ตเล็กๆ ที่ใช้เวลาสักนาที
-
5:08 - 5:09หรือ2-3นาที หรือหนึ่งชั่วโมง
-
5:09 - 5:12แล้วจ่าย 1,10 เซ็นต์ หรือ 2-3 ดอลล่าร์
-
5:12 - 5:13เพื่อให้เขาทำงานชิ้นหนึ่งให้กับคุณ
-
5:13 - 5:15แล้วจ่ายเงินโดยผ่านทาง Amazon.com
-
5:15 - 5:18เราจึงจ่ายเงินให้คนไป ประมาณ 50 เซ็นต์
-
5:18 - 5:20เพื่อให้สร้างรหัสผ่าน ตามกฎเกณฑ์ของเรา
-
5:20 - 5:22และให้ตอบแบบสำรวจ
-
5:22 - 5:24แล้วเราก็จ่ายให้พวกเขาอีก เพื่อให้กลับมา
-
5:24 - 5:26สองวันหลังจากนั้น ให้เข้าสู่ระบบ (log in)
-
5:26 - 5:29ใช้รหัสผ่านของเขา และตอบแบบสำรวจอีก 1ชุด
-
5:29 - 5:33เราทำแบบนี้ และรวบรวมได้ 5,000 รหัสผ่าน
-
5:33 - 5:36และเราให้หลักการต่างๆอีกมากมาย แก่ผู้คน
-
5:36 - 5:37เพื่อใช้สร้างรหัสผ่าน
-
5:37 - 5:39คนบางคนจึงมีหลักการที่ง่ายมากๆ
-
5:39 - 5:41เราเรียกมันว่า Basic 8
-
5:41 - 5:43มันมีกฏข้อเดียวที่ให้ใช้สร้างรหัส
-
5:43 - 5:47คือต้องมีอักษรแปดตัวเป็นอย่างน้อย
-
5:47 - 5:49แล้วก็ คนบางคนมีหลักการที่ยากกว่ามาก
-
5:49 - 5:51และนี่เป็นหลักการที่เหมือนกันมากกับของ CMU
-
5:51 - 5:53ซึ่งมันต้องมีแปดอักขระ
-
5:53 - 5:56ทั้งอักษรตัวใหญ่ ตัวเล็ก ตัวเลข สัญญลักษณ์
-
5:56 - 5:58และไม่มีในพจนานุกรม
-
5:58 - 5:59หนึ่งในหลักอื่น ที่เราลองใช้
-
5:59 - 6:01แล้วยังมีอื่นๆอีกเป็นพวง
-
6:01 - 6:03แต่กฏหนึ่ง ที่เราลองใช้ ชื่อ Basic16
-
6:03 - 6:05และข้อบังคับเพียงข้อเดียวนั้น
-
6:05 - 6:09คือ รหัสต้องมีอย่างน้อยที่สุด 16 ตัวอักษร
-
6:09 - 6:11ค่ะ ตอนนั้นเราจึงมีรหัสผ่าน 5,000 รหัส
-
6:11 - 6:15และเราก็มีข้อมูลอย่างละเอียดเพิ่มขึ้นมาก
-
6:15 - 6:17แต่ก็นั่นแหละ เราเห็นว่าเป็นเพียงจำนวนน้อย
-
6:17 - 6:19ของสัญญลักษณ์ที่ผู้คนใช้กันอยู่จริง
-
6:19 - 6:21ในรหัสผ่านของพวกเขา
-
6:21 - 6:24เรายังต้องการทราบอีกด้วยว่า รหัสผ่าน
-
6:24 - 6:26ที่ผู้คนสร้างขึ้นมานั้น แข็งแกร่งเพียงใด
-
6:26 - 6:29แต่เมื่อคิดย้อนกลับไปว่า ไม่มีมาตรการที่ดี
-
6:29 - 6:31ในเรื่องความแข็งแรงของรหัสผ่าน
-
6:31 - 6:33ดังนั้นสิ่งที่เราตัดสินใจทำ ก็คือ ดูว่า
-
6:33 - 6:35จะใช้เวลานานเท่าใด จึงจะเจาะรหัสเหล่านี้
-
6:35 - 6:37โดยใช้เครื่องมือเจาะดีที่สุด
-
6:37 - 6:39ที่หัวขโมยใช้กันอยู่
-
6:39 - 6:41หรือที่เราสามารถหามาได้
-
6:41 - 6:42จากเอกสารงานวิจัย
-
6:42 - 6:45เพื่อให้คุณทราบว่า พวกคนแย่ๆพวกนั้น
-
6:45 - 6:47ทำการเจาะรหัสผ่านได้อย่างไร
-
6:47 - 6:49พวกเขาก็จะขโมยแฟ้มรหัสผ่าน
-
6:49 - 6:51ซึ่งจะมีรหัสผ่านทั้งหมดอยู่
-
6:51 - 6:54ในแบบที่คละกันอยู่ เรียกว่า แฮช (hash)
-
6:54 - 6:57ดังนั้นสิ่งที่พวกเขาจะทำ ก็คือ จะทำการเดา
-
6:57 - 6:58ดูว่า รหัสผ่านเป็นอะไร
-
6:58 - 7:00โดยให้มันวิ่งผ่าน กระบวนการฟังก์ชั่นแฮช
-
7:00 - 7:02และดูว่า มันจับคู่กันได้หรือไม่
-
7:02 - 7:06กับรหัสผ่าน ที่เขามีอยู่ในรายการที่ขโมยมา
-
7:06 - 7:09โจรงี่เง่า ก็จะลองรหัสผ่านทุกตัวตามลำดับ
-
7:09 - 7:13จะเริ่มจาก AAAAA แล้วต่อไปที่ AAAAB
-
7:13 - 7:15ทำแบบนี้ ก็จะใช้เวลานานมากทีเดียว
-
7:15 - 7:17ก่อนจะได้รหัสผ่าน
-
7:17 - 7:19ที่ผู้คนน่าจะใช้กันอยู่จริงมาก
-
7:19 - 7:22ในทางกลับกัน โจรฉลาด
-
7:22 - 7:23จะทำบางอย่างที่ฉลาดกว่ามากๆ
-
7:23 - 7:25พวกเขาจะดูรหัสผ่าน
-
7:25 - 7:27ที่รู้กันดีว่า เป็นที่นิยม
-
7:27 - 7:28จากชุดรหัสผ่านที่โมยมาพวกนี้
-
7:28 - 7:29และเขาก็จะเดาพวกนั้นก่อน
-
7:29 - 7:32คือ พวกเขาจะเริ่ม ด้วยการเดา "รหัสผ่าน"
-
7:32 - 7:34แล้วก็เดา "I love you" และ "monkey"
-
7:34 - 7:37และ "12345678"
-
7:37 - 7:38เพราะว่าพวกนี้เป็นรหัสผ่าน
-
7:38 - 7:40ที่คนส่วนใหญ่น่าจะมี
-
7:40 - 7:43จริงๆแล้ว บางท่านอาจมีรหัสผ่านพวกนี้ก็ได้
-
7:45 - 7:46ดังนั้นสิ่งที่เราพบ
-
7:46 - 7:50โดยการวิ่งทั้ง 5,000 คำที่รวบรวมได้นี้
-
7:50 - 7:54ผ่านการทดสอบ เพื่อดูว่ามันยากในระดับไหน
-
7:54 - 7:57เราพบว่ารหัสผ่านที่ยาวๆนั้น
-
7:57 - 7:58จะค่อนข้างยาก
-
7:58 - 8:01และรหัสผ่านที่ซับซ้อน ก็ค่อนข้างยากเช่นกัน
-
8:01 - 8:04อย่างไรก็ตาม เมื่อเราดูข้อมูลที่สำรวจมา
-
8:04 - 8:07เราเห็นว่า ผู้คนจะค่อนข้างอึดอัด
-
8:07 - 8:09จากรหัสผ่านที่ซับซ้อนมากๆนั้น
-
8:09 - 8:12และรหัสผ่านยาวๆนั้น ใช้ได้ดียิ่งกว่ากันมาก
-
8:12 - 8:13และในบางกรณี จริงๆแล้ว
-
8:13 - 8:16มันยากยิ่งกว่ารหัสผ่านที่ซับซ้อน
-
8:16 - 8:17ดังนั้น สิ่งนี้จึงชี้แนะว่า
-
8:17 - 8:19แทนที่จะบอกผู้คนว่า พวกเขาต้อง
-
8:19 - 8:20เอาสัญญลักษณ์ และตัวเลขทั้งหมด
-
8:20 - 8:23และสิ่งบ้าๆบอๆ ใส่เข้าไปในรหัสผ่าน
-
8:23 - 8:25อาจจะดีกว่า เราแค่เพียงบอกผู้คน
-
8:25 - 8:28ให้ใช้รหัสผ่านยาวๆ
-
8:28 - 8:30แต่ตรงนี้ ก็ยังมีปัญหาอีก
-
8:30 - 8:32บางคนมีรหัสผ่านที่ยาว
-
8:32 - 8:33ซึ่งจริงๆแล้ว ไม่แข็งแกร่งมากเลย
-
8:33 - 8:35คุณสามารถทำรหัสผ่านยาวๆ
-
8:35 - 8:37ที่ยังคงเป็นประเภท
-
8:37 - 8:39ที่โจรสามารถเดาได้โดยง่าย
-
8:39 - 8:42เราจึงต้องทำมากกว่าแค่บอกว่า รหัสผ่านยาวๆ
-
8:42 - 8:44มันต้องมีข้อบังคับเพิ่มเติม
-
8:44 - 8:47งานวิจัยที่กำลังดำเนินอยู่ กำลังมองหา
-
8:47 - 8:49ข้อบังคับเพิ่มเติม ที่ควรจะเพิ่มเข้ามา
-
8:49 - 8:52เพื่อทำให้รหัสผ่านแข็งแกร่งขึ้น
-
8:52 - 8:54ที่จะทำให้คนจำได้ง่าย
-
8:54 - 8:57และพิมพ์ได้ง่ายอีกด้วย
-
8:57 - 8:59อีกวิธีการหนึ่งที่จะให้คนมีรหัสผ่าน
-
8:59 - 9:01ที่ยากขึ้น คือใช้ ตัววัดระดับความยาก
-
9:01 - 9:02นี่เป็นบางตัวอย่าง
-
9:02 - 9:04ซึ่งคุณอาจเคยเห็นมาแล้ว
-
9:04 - 9:07ในอินเตอร์เน็ต เมื่อตอนคุณสร้างรหัสผ่าน
-
9:07 - 9:09เราได้ตัดสินใจทำวิจัย เพื่อค้นพบว่า
-
9:09 - 9:12พาสเวอร์ดมีเตอร์นั้น ใช้การได้จริงหรือไม่
-
9:12 - 9:13มันช่วยผู้คนได้จริงไหม
-
9:13 - 9:15ในการทำให้รหัสผ่านยากขึ้น
-
9:15 - 9:17ถ้าจริง พาสเวอร์ดมีเตอร์ตัวไหนดีกว่ากัน
-
9:17 - 9:19เราจึงทดสอบ พาสเวอร์ดมีเตอร์
-
9:19 - 9:22ที่มีขนาด รูปร่าง สี ต่างๆกัน
-
9:22 - 9:23คำที่ถัดจากมันต่างๆกัน
-
9:23 - 9:26เราทำแม้กระทั่ง ตัวที่เป็นกระต่ายเต้นระบำ
-
9:26 - 9:28เมื่อคุณพิมพ์รหัสผ่านที่ดีกว่า
-
9:28 - 9:30เจ้ากระต่ายก็จะเต้นเร็วขึ้นๆ
-
9:30 - 9:33มันจึงตลกดี
-
9:33 - 9:34สิ่งที่เราพบ
-
9:34 - 9:38ก็คือ พาสเวอร์ดมีเตอร์ ทำงานได้จริง
-
9:38 - 9:40(เสียงหัวเราะ)
-
9:40 - 9:43พาสเวอร์ดมีเตอร์ส่วนใหญ่ มีประสิทธิภาพจริง
-
9:43 - 9:46และเจ้ากระต่าย ก็มีประสิทธิภาพมากด้วย
-
9:46 - 9:49แต่พาสเวอร์ดมีเตอร์ ที่มีประสิทธิภาพที่สุด
-
9:49 - 9:51คือ ตัวที่ทำให้คุณต้องคิดหนักมากขึ้น
-
9:51 - 9:53ก่อนที่พวกมันจะชูนิ้วโป้งขึ้น และบอกว่า
-
9:53 - 9:54รหัสนี้โอเคแล้ว
-
9:54 - 9:56และจริงๆแล้ว เราพบว่า พาสเวอร์ดมีเตอร์
-
9:56 - 9:58ส่วนมากที่ใช้กันในอินเตอร์เน็ต ในปัจจุบัน
-
9:58 - 9:59อ่อนเกินไป
-
9:59 - 10:01มันบอกคุณว่า รหัสนี้ดีแล้ว เร็วเกินไป
-
10:01 - 10:03และถ้ามันจะแค่รอ ให้นานอีกสักนิด
-
10:03 - 10:05ก่อนจะบอกคุณกลับไป ว่าดี
-
10:05 - 10:08คุณก็น่าจะได้รหัสผ่านที่ดีกว่านั้น
-
10:08 - 10:12อีกวิธีหนึ่งที่อาจจะให้พาสเวอร์ดที่ดีกว่า
-
10:12 - 10:15คือ ใช้รหัสกลุ่มคำ (pass phrase) แทน
-
10:15 - 10:18นี่เป็นการ์ตูนจากเว็บไซท์ xkcd สองปีก่อน
-
10:18 - 10:20และนักเขียนการ์ตูนแนะนำว่า
-
10:20 - 10:22เราทุกคนควรใช้รหัสกลุ่มคำ
-
10:22 - 10:26และถ้าคุณดูที่แถวที่สองของการ์ตูนนี่
-
10:26 - 10:27คุณจะเห็นว่า นักเขียนการ์ตูน กำลังแนะว่า
-
10:27 - 10:31รหัสกลุ่มคำ "correct horse battery staple"
-
10:31 - 10:33จะเป็นรหัสกลุ่มคำ ที่แข็งแกร่งมาก
-
10:33 - 10:35และเป็นสิ่งที่จดจำได้ง่ายจริงๆ
-
10:35 - 10:38เขาบอกว่า ที่จริงแล้ว คุณจำมันได้แล้วแหละ
-
10:38 - 10:40เราจึงตกลงใจทำการศึกษาวิจัย
-
10:40 - 10:43เพื่อค้นว่าพบ มันจริงหรือไม่
-
10:43 - 10:45จริงๆแล้ว ทุกคนที่ดิฉันพูดคุยด้วย
-
10:45 - 10:47เมื่อบอกว่า ฉันกำลังทำวิจัยเรื่องรหัสผ่าน
-
10:47 - 10:48พวกเขาก็จะชี้ไปที่การ์ตูนนี่
-
10:48 - 10:50"คุณเคยดูหรือยัง การ์ตูนของ xkcd
-
10:50 - 10:51correct horse battery staple"
-
10:51 - 10:53เราจึงทำการวิจัย เพื่อดูว่า
-
10:53 - 10:55จริงๆมันจะเกิดอะไรขึ้น
-
10:55 - 10:58วิจัยของเราจึงใช้ Mechanical Turk สำรวจอีก
-
10:58 - 11:03เราได้ให้คอมพิวเตอร์สุ่มเลือกคำ
-
11:03 - 11:04ในรหัสกลุ่มคำ
-
11:04 - 11:05เหตุผลที่เราทำอย่างนี้
-
11:05 - 11:06ก็คือ มนุษย์เรานั้น ไม่ถนัด
-
11:06 - 11:08ในการสุ่มเลือกคำ
-
11:08 - 11:09ถ้าขอให้มนุษย์เป็นคนเลือก
-
11:09 - 11:12พวกเขาก็จะเลือก คำที่ไม่ค่อยโดนสุ่ม
-
11:12 - 11:14เราจึงทดลองเงื่อนไขต่างๆกัน สองสามอย่าง
-
11:14 - 11:16เงื่อนไขหนึ่ง ให้คอมพิวเตอร์หยิบคำ
-
11:16 - 11:18คำสามัญมากๆ จากพจนานุกรม
-
11:18 - 11:20ในภาษาอังกฤษ
-
11:20 - 11:21คุณก็จะได้รหัสกลุ่มคำ อย่างเช่น
-
11:21 - 11:23"try there three come"
-
11:23 - 11:25เมื่อเราดูแล้ว เราก็พูดว่า
-
11:25 - 11:28"ก็ จริงๆไม่ได้ดูน่าจะจดจำ ได้ดีนัก"
-
11:28 - 11:30ดังนั้นเราจึงลองเลือกคำ
-
11:30 - 11:33ที่มาจากคำชนิดต่างๆเจาะจงลงไป
-
11:33 - 11:35เอาเป็นว่า คำนาม-กริยา-คุณศัพท์-นาม
-
11:35 - 11:38ก็จะได้บางอย่าง ที่เหมือนกับประโยค
-
11:38 - 11:40คุณก็จะได้รหัสกลุ่มคำ อย่างเช่น
-
11:40 - 11:41"plan builds sure power"
-
11:41 - 11:44หรือ "end determines red drug"
-
11:44 - 11:47พวกนี้ดูเหมือนจะจำได้ ง่ายขึ้นอีกเล็กน้อย
-
11:47 - 11:49และบางทีคนจะชอบมัน มากขึ้นอีกหน่อย
-
11:49 - 11:52เราต้องการจะเปรียบเทียบพวกมัน กับรหัสผ่าน
-
11:52 - 11:55เราจึงให้คอมพิวเตอร์ สุ่มเลือกรหัสผ่านมา
-
11:55 - 11:57รหัสพวกนี้ดีและสั้น แต่ตามที่คุณเห็น
-
11:57 - 12:00มันไม่น่าจดจำเท่าไหร่
-
12:00 - 12:01เราจึงตกลงใจทำสิ่งที่เรียกว่า
-
12:01 - 12:03รหัสผ่านที่พูดออกเสียงได้
-
12:03 - 12:05ตรงนี้ คอมพิวเตอร์จึงสุ่มเลือกสระ
-
12:05 - 12:06และเอามันมาวางรวมกัน
-
12:06 - 12:09คุณจึงมีสิ่งที่ แบบว่า ออกเสียงได้
-
12:09 - 12:11อย่างเช่น "tufrivi" และ "vadasabi"
-
12:11 - 12:14เป็นแบบหนึ่งของการออกเสียงได้ง่ายๆ
-
12:14 - 12:16เหล่านี้จึงเป็นรหัสผ่านแบบสุ่ม
-
12:16 - 12:19ที่สร้างขึ้นมาจากคอมพิวเตอร์
-
12:19 - 12:22น่าประหลาดใจ สิ่งที่เราพบจากการวิจัย ก็คือ
-
12:22 - 12:25รหัสที่เป็นกลุ่มคำ จริงๆแล้วก็ไม่ได้ดีมาก
-
12:25 - 12:28คนเราไม่ได้ถนัดการจำเป็นกลุ่มคำ
-
12:28 - 12:31แต่จำรหัสที่สุ่ม ได้ดีกว่า
-
12:31 - 12:34และเพราะว่ารหัสกลุ่มคำนั้น ยาวกว่า
-
12:34 - 12:35เขาจึงใช้เวลาพิมพ์นานกว่า
-
12:35 - 12:38และพวกเขาจะพิมพ์ผิดมากกว่า
-
12:38 - 12:41ดังนั้น รหัสกลุ่มคำ จึงไม่ได้ดีเท่าที่ควร
-
12:41 - 12:45ต้องขอโทษด้วยค่ะ สำหรับแฟนๆของ xkcd
-
12:45 - 12:46ในทางกลับกัน เราได้พบว่า
-
12:46 - 12:48รหัสคำที่ออกเสียงได้นั้น
-
12:48 - 12:50ใช้ได้ดีอย่างน่าประหลาดใจ
-
12:50 - 12:52เราจึงกำลังทำวิจัยเพิ่มเติม เพื่อดูว่า
-
12:52 - 12:55เราจะทำให้วิธีนี้ ใช้ได้ดีขึ้นอีกได้หรือไม่
-
12:55 - 12:57ดังนั้น ปัญหาหนึ่ง
-
12:57 - 12:59ที่เกิดขึ้นระหว่างการวิจัย
-
12:59 - 13:01ก็คือ การวิจัยเหล่านั้นทั้งหมด
-
13:01 - 13:02ได้ใช้Mechanical Turk เป็นเครื่องมือ
-
13:02 - 13:04ซึ่งไม่ใช่รหัสผ่านที่พวกเขาใช้จริง
-
13:04 - 13:06มันเป็นรหัสผ่านที่พวกเขาสร้างขึ้นมา หรือ
-
13:06 - 13:09สร้างโดยคอมเพื่อเป็นงานวิจัยของเรา
-
13:09 - 13:10และเราต้องการรู้ว่าพวกเขา
-
13:10 - 13:12จะเอาไปใช้สร้าง
-
13:12 - 13:15รหัสผ่านจริงๆของพวกเขา หรือเปล่า
-
13:15 - 13:18เราจึงไปสำนักความปลอดภัยข้อมูลที่ CMU
-
13:18 - 13:22และถามว่า ขอรหัสผ่านจริง ของทุกคนได้ไหม
-
13:22 - 13:24ไม่ประหลาดใจ พวกเขาไม่เต็มใจอยู่บ้าง
-
13:24 - 13:25ที่จะแบ่งปันรหัสเหล่านั้นกับเรา
-
13:25 - 13:27แต่จริงๆ เราก็สามารถคิดระบบหนึ่ง
-
13:27 - 13:28มาใช้กับพวกเขาได้
-
13:28 - 13:30โดยเราเอารหัสผ่านจริงทั้งหมด
-
13:30 - 13:33ของนักศึกษา อาจารย์ และพนักงาน 25,000 คน
-
13:33 - 13:36ไว้ในคอมพ์ที่ถูกล๊อกไว้ ในห้องใส่กุญแจ
-
13:36 - 13:37และไม่เชื่อมกับอินเตอร์เน็ต
-
13:37 - 13:39และเขาก็ส่งรหัส (code) เข้ามา ให้เราจด
-
13:39 - 13:41เพื่อวิเคราะห์รหัสผ่านเหล่านั้น
-
13:41 - 13:43เขาตรวจสอบบันทึกรหัสของเรา
-
13:43 - 13:44พวกเขาก็ส่งรหัสนั้นมา
-
13:44 - 13:46ดังนั้นเราจึงไม่เคยเห็น
-
13:46 - 13:48รหัสผ่านของใครเลย
-
13:48 - 13:50เราก็ได้ผลลัพท์ที่น่าสนใจออกมา
-
13:50 - 13:52นักศึกษาคณะธุรกิจเท็พเพอร์ ที่นั่งข้างหลัง
-
13:52 - 13:55จะสนใจอย่างมากในเรื่องนี้
-
13:55 - 13:58เราได้พบว่า รหัสผ่านที่ถูกสร้างขึ้น
-
13:58 - 14:00โดยคนที่อยู่ในภาควิชาวิทยาการคอมพิวเตอร์
-
14:00 - 14:03จริงๆแล้ว ยากกว่า
-
14:03 - 14:07รหัสผ่านของผู้ที่ในภาควิชาธุรกิจ 1.8 เท่า
-
14:07 - 14:09เรามีเรื่องอื่นๆ ที่น่าสนใจจริงๆอีกมาก
-
14:09 - 14:11รวมทั้งข้อมูลเกี่ยวกับสถิติจำนวนประชากร
-
14:11 - 14:13สิ่งน่าสนใจอื่นๆที่เราได้พบ
-
14:13 - 14:15คือ เมื่อเปรียบเทียบรหัสผ่านของ CMU
-
14:15 - 14:17กับรหัสผ่านที่สร้างจาก Mechanical Turk
-
14:17 - 14:20จริงๆก็มีสิ่งที่เหมือนกันอยู่มาก
-
14:20 - 14:22จึงช่วยพิสูจน์ได้ว่าวิธีวิจัยของเราใช้ได้
-
14:22 - 14:24และแสดงได้ว่า จริงๆแล้ว การรวบรวมรหัสผ่าน
-
14:24 - 14:26โดยใช้ Mechanical Turk วิจัยนั้น
-
14:26 - 14:29จริงๆ เป็นวิธีการศึกษารหัสผ่าน ที่ใช้ได้
-
14:29 - 14:31นั่นจึงเป็นข่าวดี
-
14:31 - 14:34ค่ะ ดิฉันอยากจะจบ ด้วยการพูดถึงเรื่อง
-
14:34 - 14:36การได้รับความเข้าใจอย่างลึกซึ้ง
-
14:36 - 14:39ในช่วงวันหยุดปีที่แล้ว ที่คณะศิลปศาสตร์ CMU
-
14:39 - 14:40สิ่งหนึ่งที่ดิฉันทำ
-
14:40 - 14:42ก็คือ ดิฉันได้ทำผ้านวมใว้หลายผืน
-
14:42 - 14:43และดิฉันได้ทำผ้านวมผืนนี้
-
14:43 - 14:45เรียกมันว่า "ผ้าห่มแห่งความปลอดภัย"
-
14:45 - 14:48(เสียงหัวเราะ)
-
14:48 - 14:51ผ้านวมนี้มีรหัสผ่าน ที่ใช้กันมากที่สุด
-
14:51 - 14:531,000 รหัส ที่ถูกขโมยไป
-
14:53 - 14:56จากเว็บไซท์ RockYou
-
14:56 - 14:58และขนาดของรหัสผ่านพวกนั้น เป็นสัดส่วน
-
14:58 - 15:00กับการที่พวกมันปรากฎ บ่อยมากแค่ไหน
-
15:00 - 15:02ในข้อมูลชุดที่ถูกขโมยนั้น
-
15:02 - 15:05ฉันได้สร้างกลุ่มคำ (word cloud) นี้ขึ้น
-
15:05 - 15:07และได้ตรวจดูทั้ง 1,000 คำนั้น
-
15:07 - 15:08ได้จัดกลุ่มมันออกเป็น
-
15:08 - 15:11หมวดหมู่อย่างหลวมๆ ตามเนื้อความ
-
15:11 - 15:13และในบางกรณี
-
15:13 - 15:15มันเหมือนกับว่า ยากที่จะคิดออกว่า
-
15:15 - 15:17พวกมันควรอยู่ในหมวดหมู่ใด
-
15:17 - 15:18แล้วดิฉันก็ใส่รหัสสีให้มัน
-
15:18 - 15:21นี่เป็นบางตัวอย่าง เกี่ยวกับความยากนั้น
-
15:21 - 15:22ค่ะ คำว่า "justin"
-
15:22 - 15:24ใช่เป็นชื่อของผู้ใช้ หรือเพื่อนชาย
-
15:24 - 15:25หรือลูกชายของพวกเขา หรือไม่
-
15:25 - 15:28อาจเป็นแฟนเพลง จัสติน บีเบอร์
-
15:28 - 15:30หรือคำว่า "princess"
-
15:30 - 15:32ใช่ชื่อเล่นไหม?
-
15:32 - 15:34เป็นแฟนหนังการ์ตูนดิสนีย์รึเปล่า?
-
15:34 - 15:37หรืออาจจะเป็นชื่อแมวของพวกเขาก็ได้
-
15:37 - 15:39"Iloveyou" ปรากฎขึ้นหลายครั้ง
-
15:39 - 15:41ในภาษาต่างๆมากมาย
-
15:41 - 15:44มีความรักอยู่มากมาย ในรหัสผ่านเหล่านี้
-
15:44 - 15:46ถ้าคุณดูให้ดี คุณก็จะเห็นอีกด้วยว่า
-
15:46 - 15:48มีสิ่งหยาบคายอยู่บ้างเหมือนกัน
-
15:48 - 15:50มันน่าทึ่งมาก ที่เห็นว่า
-
15:50 - 15:53ความรัก มีมากกว่าความเกลียดชัง
-
15:53 - 15:55ในรหัสผ่านเหล่านี้
-
15:55 - 15:56และก็มีพวกสัตว์
-
15:56 - 15:58สัตว์มากมาย
-
15:58 - 16:00และ "monkey" เป็นสัตว์สามัญที่สุด
-
16:00 - 16:04รวมๆแล้ว เป็นรหัสที่นิยมที่สุดลำดับที่ 14
-
16:04 - 16:06และเรื่องนี้ ดิฉันอยากรู้จริงๆ
-
16:06 - 16:08และสงสัยว่า "ทำไมลิงจึงเป็นที่นิยมมากนัก?"
-
16:08 - 16:12ดังนั้นในการวิจัยรหัสผ่านสุดท้ายของเรา
-
16:12 - 16:13ครั้งใดที่เราตรวจจับได้ว่า คนบางคน
-
16:13 - 16:16กำลังสร้างรหัสผ่านมีคำ "monkey" ในนั้น
-
16:16 - 16:19เราก็ถามเขาว่า ทำไมจึงมี monkey ในรหัสผ่าน
-
16:19 - 16:21และสิ่งที่เราค้นพบ
-
16:21 - 16:23คิดว่าน่าจะประมาณ 17 คน
-
16:23 - 16:24ที่มีคำว่า "monkey"
-
16:24 - 16:26เราพบว่า หนึ่งในสามของพวกเขา บอกว่า
-
16:26 - 16:28พวกเขามีสัตว์เลี้ยงชื่อ "monkey"
-
16:28 - 16:30หรือมีเพื่อนชื่อเล่นว่า "monkey"
-
16:30 - 16:32และราวหนึ่งในสามของพวกเขา บอกว่า
-
16:32 - 16:33พวกเขาแค่ชอบลิง
-
16:33 - 16:35และลิงนั้นก็แสนจะน่ารัก
-
16:35 - 16:39และเจ้าหนุ่มนั่นก็น่ารักจริงๆด้วย
-
16:39 - 16:42จึงดูเหมือนกับว่า ในตอนใกล้จะสิ้นสุดของวัน
-
16:42 - 16:44เมื่อเราสร้างรหัสผ่านนั้น
-
16:44 - 16:46เราจะสร้างรหัสที่ง่ายต่อการพิมพ์
-
16:46 - 16:49ที่มีรูปแบบที่ธรรมดาๆ
-
16:49 - 16:51หรือสิ่งที่ทำให้เราจำรหัสนั้นได้
-
16:51 - 16:55หรือบัญชีเข้าใช้ ที่เราได้สร้างรหัสไว้
-
16:55 - 16:57หรือคำว่า "whatever"
-
16:57 - 17:00หรือเราคิดถึง สิ่งที่ทำให้เรามีความสุข
-
17:00 - 17:01แล้วเราก็สร้างรหัสผ่านขึ้น
-
17:01 - 17:04โดยส่วนใหญ่เป็นสิ่งที่ทำให้เรามีความสุข
-
17:04 - 17:06และขณะที่กำลังสนุกกับการพิมพ์
-
17:06 - 17:09และการจดจำรหัสผ่านของคุณ
-
17:09 - 17:11คุณอาจจะทำให้มันง่ายขึ้นอีกมาก
-
17:11 - 17:13ที่จะเดารหัสผ่านของคุณ
-
17:13 - 17:14ค่ะ ฉันรู้ว่า TED Talks จำนวนมากนั้น
-
17:14 - 17:16เป็นแรงบันดาลใจ
-
17:16 - 17:18ทำให้คิดถึง สิ่งดีๆ มีความสุข
-
17:18 - 17:20แต่ขณะที่คุณกำลังสร้างรหัสผ่าน
-
17:20 - 17:22พยายามคิดถึงอย่างอื่นบ้างนะคะ
-
17:22 - 17:23ขอบคุณค่ะ
-
17:23 - 17:24(เสียงปรบมือ)
- Title:
- รหัสผ่านของคุณไม่ดีตรงไหน
- Speaker:
- ลอร์รี่ เฟท เครเนอร์
- Description:
-
ลอร์รี่ เฟท เครเนอร์ ได้ศึกษาวิจัยรหัสผ่านหลายพันรหัส เพื่อจะค้นพบข้อผิดพลาดธรรมดาสามัญมากๆ ที่น่าประหลาดใจ ซึ่งผู้ใช้รหัสเหล่านั้น - และเว็บไซ์ที่ว่าปลอดภัย - ปฏิบัติอันเป็นภัยต่อความปลอดภัย แต่คุณอาจจะถามว่า แล้วทำอย่างไรเล่า เธอจึงศึกษารหัสผ่านจริงๆเป็นพันๆรหัส โดยไม่ได้เป็นอันตรายต่อความปลอดภัยของผู้ใช้รหัสนั้นๆ และนั่นเป็นเรื่องราวในตัวของมันเอง มันเป็นข้อมูลความลับที่มีคุณค่าต่อการรับรู้ โดยเฉาะอย่างยิ่ง ถ้าหากรหัสผ่านของคุณ เป็น 123456...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Dimitra Papageorgiou approved Thai subtitles for What’s wrong with your pa$$w0rd? | ||
Kelwalin Dhanasarnsombut commented on Thai subtitles for What’s wrong with your pa$$w0rd? | ||
Nattiya Chanpichaigosol commented on Thai subtitles for What’s wrong with your pa$$w0rd? | ||
Alexandra Anca Codreanu commented on Thai subtitles for What’s wrong with your pa$$w0rd? | ||
Nattiya Chanpichaigosol accepted Thai subtitles for What’s wrong with your pa$$w0rd? | ||
Nattiya Chanpichaigosol commented on Thai subtitles for What’s wrong with your pa$$w0rd? | ||
Nattiya Chanpichaigosol edited Thai subtitles for What’s wrong with your pa$$w0rd? | ||
Nattiya Chanpichaigosol edited Thai subtitles for What’s wrong with your pa$$w0rd? |
Nattiya Chanpichaigosol
I'd love to change some words to be more natural and keep it flows. Actually, you were doing a great job! love it! :)
Alexandra Anca Codreanu
Sorry but were you talking about the Romanan translation?
Nattiya Chanpichaigosol
We're doing Thai Subtitles ^^ sorry about that..
Kelwalin Dhanasarnsombut
Description of the video hasn't yet translated (Thai). Would the reviewer and translator agree with the draft? :)