Điều gì chưa ổn trong pa$$w0rd của bạn?

0:01 - 0:04

Tôi là một giáo sư kỹ thuật
và khoa học máy tính tại Carnegie Mello,
0:04 - 0:08

và nghiên cứu của tôi tập trung vào
bảo mật và quyền riêng tư hữu dụng,
0:08 - 0:11

do đó các bạn của tôi thích đưa tôi các ví dụ
0:11 - 0:13

về sự bức bối với hệ thống máy tính,
0:13 - 0:17

đặc biệt là các mối ái ngại liên quan đến
0:17 - 0:21

quyền riêng tư và bảo mật không hữu dụng.
0:21 - 0:23

Do đó mật khẩu là thứ mà tôi
nghe nhiều nhất.
0:23 - 0:26

Rất nhiều người đau đầu với các mật khẩu,
0:26 - 0:28

và nó tệ đến mức
0:28 - 0:31

khi bạn có một mật khẩu thật sự tốt
0:31 - 0:32

mà bạn có thể nhớ
0:32 - 0:35

nhưng không ai có thể đoán được.
0:35 - 0:37

Nhưng bạn sẽ làm gì khi bạn có nhiều tài khoản
0:37 - 0:39

trên hàng trăm các hệ thống khác nhau
0:39 - 0:41

và bạn phải có một mật khẩu riêng
0:41 - 0:44

cho mỗi hệ thống?
0:44 - 0:46

Chuyện đó chẳng dễ dàng gì.
0:46 - 0:48

Tại Carnegie Mellon, họ đã làm việc đó,
0:48 - 0:49

thực ra nó khá dễ
0:49 - 0:51

để ta nhớ được các mật khẩu ấy.
0:51 - 0:53

Yêu cầu của mật khẩu cho đến năm 2009
0:53 - 0:56

chỉ là bạn cần phải có 1 mật khẩu
0:56 - 0:58

với ít nhất một ký tự.
0:58 - 1:01

Khá dễ dàng ha.
Nhưng sau đó họ thay đổi mọi thứ,
1:01 - 1:04

Và đến cuối năm 2009, họ thông báo
1:04 - 1:06

rằng chúng ta sẽ có một chính sách mới,
1:06 - 1:08

và chính sách mới này
1:08 - 1:11

yêu cầu mật khẩu phải có
độ dài ít nhất 8 ký tự ,
1:11 - 1:12

với một ký tự hoa, một ký tự thường,
1:12 - 1:14

một con số, một biểu tượng,
1:14 - 1:16

bạn không thể sử dụng
một ký tự quá 3 lần,
1:16 - 1:19

và nó không được có mặt trong từ điển.
1:19 - 1:21

Khi họ thực thi chính sách mới này,
1:21 - 1:23

rất nhiều người, đồng nghiệp và bạn bè tôi,
1:23 - 1:25

đến với tôi và nói:
1:25 - 1:27

"Chà, giờ thì đúng thật là bất tiện.
1:27 - 1:28

Mắc gì họ lại làm vậy với chúng ta,
1:28 - 1:29

và sao bạn không ngăn họ lại?"
1:29 - 1:31

Và tôi đáp, "Ờ thì, các bạn biết gì không?
1:31 - 1:32

Họ đã không hỏi tôi."
1:32 - 1:35

Nhưng tôi đã tò mò,
và quyết định đến hỏi
1:35 - 1:38

người phụ trách hệ thống máy tính
của chúng tôi
1:38 - 1:41

và tìm xem điều gì dẫn đến việc giới thiệu
1:41 - 1:42

chính sách mới này,
1:42 - 1:44

và họ nói rằng trường tôi
1:44 - 1:46

đã tham gia vào một liên minh các trường đại học,
1:46 - 1:49

và một điều cần thiết đối với thành viên
1:49 - 1:51

là chúng tôi phải có những mật khẩu mạnh hơn
1:51 - 1:53

để thỏa mãn với một vài ràng buộc mới,
1:53 - 1:56

đó là các mật khẩu của chúng tôi
1:56 - 1:57

phải có nhiều biến ngẫu nhiên - entropy.
1:57 - 1:59

Entropy là một khái niệm phức tạp,
1:59 - 2:02

nhưng về cơ bản, nó đo độ mạnh mật khẩu.
2:02 - 2:04

Nhưng vấn đề là, thực sự không có
2:04 - 2:06

một thước đo entropy chuẩn nào cả.
2:06 - 2:09

Viện Công Nghệ và Tiêu Chuẩn Quốc Gia
(NIST)
2:09 - 2:10

có một bộ đường lối chỉ đạo
2:10 - 2:13

gồm một số qui luật chung
2:13 - 2:14

để đo độ entropy,
2:14 - 2:17

nhưng họ lại không có gì cặn kẽ hơn,
2:17 - 2:19

và nguyên nhân họ chỉ có qui tắc chung
2:19 - 2:23

hóa ra là họ chẳng có bất cứ dữ liệu tốt nào
2:23 - 2:24

về mật khẩu cả.
2:24 - 2:26

Thật ra, báo cáo của họ viết rằng,
2:26 - 2:29

"Thật không may, chúng tôi không có nhiều dữ liệu
2:29 - 2:32

về mật khẩu mà người dùng chọn
theo những luật lệ nhất định.
2:32 - 2:34

NIST mong nhận được thêm nhiều dữ liệu
2:34 - 2:36

về sự lựa đó hơn trong thực tế,
2:36 - 2:39

nhưng điều dễ hiểu là các nhà
quản trị hệ thống lại miễn cưỡng
2:39 - 2:42

tiết lộ dữ liệu mật khẩu cho người khác."
2:42 - 2:45

Đây là một bài toán,
nhưng nhóm nghiên cứu của tôi
2:45 - 2:47

đã xem nó như một cơ hội.
2:47 - 2:50

Chúng tôi nhủ, "Được thôi, dữ liệu mật khẩu
an toàn đúng là cần thiết đấy."
2:50 - 2:52

Có thể chúng tôi thu thập
một vài bộ dữ liệu mật khẩu tốt
2:52 - 2:55

và thậm chí tối tân hóa cái tiên tiến nữa.
2:55 - 2:57

Nên điều đầu tiên chúng tôi làm,
2:57 - 2:58

là lấy một túi kẹo cây
2:58 - 2:59

rồi đi vòng quanh trường
2:59 - 3:02

để nói chuyện với sinh viên,
cán bộ giảng dạy và nhân viên,
3:02 - 3:04

hỏi họ thông tin
3:04 - 3:05

về mật khẩu của họ.
3:05 - 3:08

Chúng tôi đã không yêu cầu,
"Đưa mật khẩu của anh/chị đây."
3:08 - 3:10

Không, chúng tôi chỉ dò về mật khẩu.
3:10 - 3:12

Nó dài bao nhiêu? Có chữ số không?
3:12 - 3:14

Có ký tự đặc biệt không?
3:14 - 3:16

Và bạn có thấy phiền khi tạo mới
3:16 - 3:18

mật khẩu tuần trước không?
3:18 - 3:21

Chúng tôi đã thu thập kết quả từ 470
sinh viên,
3:21 - 3:22

cán bộ khoa và nhân viên,
3:22 - 3:25

và y như rằng, chúng tôi thấy
chính sách mới
3:25 - 3:26

đúng là rất lằng nhằng.
3:26 - 3:28

Nhưng chúng tôi cũng để ý rằng
mọi người nói
3:28 - 3:31

họ cảm thấy an toàn hơn với
loại mật khẩu mới này.
3:31 - 3:33

Chúng tôi phát hiện đa số biết
3:33 - 3:36

họ không nên
viết ra mật khẩu của họ,
3:36 - 3:38

và chỉ 13% trong số đó làm như vậy,
3:38 - 3:40

nhưng tiếc thay, 80% tổng cộng
3:40 - 3:43

thừa nhận đã đang sử dụng lại mật khẩu.
3:43 - 3:44

Điều này thật sự còn nguy hiểm hơn
3:44 - 3:46

việc viết ra mật khẩu của mình,
3:46 - 3:50

bởi vì nó làm bạn dễ bị tấn công hơn.
3:50 - 3:53

Vì thế nếu bạn bị bắt buộc,
hãy viết mật khẩu của bạn ra,
3:53 - 3:55

nhưng đừng tái sử dụng chúng.
3:55 - 3:57

Chúng tôi cũng khám phá vài điều thú vị
3:57 - 4:00

về kí tự đặc biệt mọi người
sử dụng trong mật khẩu.
4:00 - 4:02

Do CMU cho phép cả thảy 32 kí tự,
4:02 - 4:05

nhưng như bạn thấy đó, chỉ có số lượng nhỏ
4:05 - 4:07

là mọi người đang sử dụng,
4:07 - 4:10

vì thế chúng ta thực sự không tận dụng
được độ mạnh
4:10 - 4:12

từ kí tự đặc biệt trong mật khẩu
của chúng ta.
4:12 - 4:15

Vì vậy đây quả là một nghiên cứu thú vị,
4:15 - 4:17

và chúng tôi có dữ liệu
từ 470 người,
4:17 - 4:18

nhưng theo kiểu này,
4:18 - 4:21

là không có nhiều dữ liệu password.
4:21 - 4:22

Thế nên chúng tôi đã tìm quanh
4:22 - 4:25

ở đâu có thể tìm thêm dữ liệu mật khẩu?
4:25 - 4:27

Và hóa ra là có rất nhiều người
4:27 - 4:29

suốt ngày tranh thủ trộm mật khẩu,
4:29 - 4:32

rồi họ thường đăng những mật khẩu này
4:32 - 4:33

lên mạng.
4:33 - 4:35

Vì thế chúng tôi đã có thể truy cập được
4:35 - 4:39

đến vài bộ mật khẩu bị đánh cắp nói trên.
4:39 - 4:41

Đây vẫn chưa là mô hình
lý tưởng cho nghiên cứu,
4:41 - 4:43

bởi nó không hoàn toàn rõ ràng
4:43 - 4:45

về nguồn của tất cả mật khẩu này,
4:45 - 4:48

hoặc là chính sách gì được áp dụng lên nó
4:48 - 4:50

khi người ta tạo ra chúng.
4:50 - 4:53

Nên chúng tôi muốn tìm thêm
một vài nguồn trữ tốt hơn.
4:53 - 4:55

Và chúng tôi quyết định
một điều có thể làm được
4:55 - 4:57

là làm một nghiên cứu và nhờ mọi người
4:57 - 5:00

tạo mật khẩu dành riêng cho mục đích này.
5:00 - 5:03

Chúng tôi sử dụng 1 dịch vụ có tên
Amazon Mechanical Turk,
5:03 - 5:05

và đây là một dịch vụ
mà bạn có thể đăng tải
5:05 - 5:08

một công tác nhỏ mất ít thời gian,
5:08 - 5:09

vài phút, một tiếng,
5:09 - 5:12

và trả tiền cho mọi người,
1 xu, 10 đồng (cent), vài đô la,
5:12 - 5:13

để làm việc cho bạn,
5:13 - 5:15

sau đó bạn trả họ thông qua Amazon.com.
5:15 - 5:18

Chúng tôi trả cho mọi người
tầm 50 đồng (cent)
5:18 - 5:20

để tạo một mật khẩu theo đúng qui định
5:20 - 5:22

kèm theo việc trả lời bản khảo sát,
5:22 - 5:24

rồi lại trả họ thêm lần nữa để quay lại
5:24 - 5:26

2 ngày sau và đăng nhập
5:26 - 5:29

sử dụng chính mật khẩu đó
và trả lời bản khảo sát khác.
5:29 - 5:33

Chúng tôi đã triển khai hình thức này,
và thu thập được 5.000 mật khẩu,
5:33 - 5:36

và chúng tôi đã đưa họ
1 đống yêu cầu khác nhau
5:36 - 5:37

để áp dụng tạo mật khẩu.
5:37 - 5:39

Một số có chính sách khá dễ chơi,
5:39 - 5:41

mà tụi tôi gọi là Basic8,
5:41 - 5:43

qui ước duy nhất là mật khẩu của bạn
5:43 - 5:47

phải có ít nhất 8 kí tự.
5:47 - 5:49

Đến số khác có yêu cầu khó hơn,
5:49 - 5:51

giống với yêu cầu của bên CMU,
5:51 - 5:53

là nó phải có 8 kí tự
5:53 - 5:56

bao gồm kí tự hoa, kí tự thường,
số, biểu tượng,
5:56 - 5:58

và phải vượt qua khâu kiểm tra từ điển.
5:58 - 5:59

Rồi một loại chính sách khác chúng tôi thử,
5:59 - 6:01

và thêm hàng tá nữa,
6:01 - 6:03

nhưng có một loại chúng tôi gọi Basic16,
6:03 - 6:05

và điều kiện duy nhất ở đây
6:05 - 6:09

là mật khẩu phải ít nhất 16 kí tự.
6:09 - 6:11

Được rồi, lúc đó chúng tôi có
5.000 password,
6:11 - 6:15

nên chúng tôi đã khá khẩm hơn nhiều
thông tin chi tiết.
6:15 - 6:17

Một lần nữa, chúng tôi thấy rằng
chỉ có một số nhỏ
6:17 - 6:19

kí tự đặc biệt là mọi người thật sự dùng
6:19 - 6:21

trong mật khẩu mà thôi.
6:21 - 6:24

Chúng tôi cũng muốn một ý tưởng
6:24 - 6:26

về độ mạnh mật khẩu
mà mọi người tạo ra.
6:26 - 6:29

Nhưng như các bạn nhớ đó,
không có thước đo chuẩn nào
6:29 - 6:31

cho độ mạnh của password.
6:31 - 6:33

Điều mà chúng tôi quyết định làm là xem
6:33 - 6:35

mất bao lâu để bẻ khóa các mật khẩu này
6:35 - 6:37

sử dụng các công cụ bẻ khóa hiện đại
6:37 - 6:39

mà những kẻ xấu đang sử dụng,
6:39 - 6:41

hoặc là chúng tôi có thể tìm thấy
thông tin về nó
6:41 - 6:42

trong các tài liệu nghiên cứu.
6:42 - 6:45

Để các bạn hình dung được cách
6:45 - 6:47

kẻ xấu bẻ khóa ra sao,
6:47 - 6:49

họ sẽ đánh cắp một tập tin mật khẩu,
6:49 - 6:51

mà chứa tất cả dữ liệu
6:51 - 6:54

dưới một dạng xáo trộn, được gọi là hash,
6:54 - 6:57

và điều họ sẽ làm là đoán
6:57 - 6:58

xem mật khẩu là gì,
6:58 - 7:00

rồi cho chạy với một chương trình hashing,
7:00 - 7:02

và chờ liệu có khớp
7:02 - 7:06

với các mật khẩu họ đã chuẩn bị sẵn
trên danh sách trộm được.
7:06 - 7:09

Một kẻ gà mờ thì sẽ cố thử mọi mật khẩu
theo trình tự,
7:09 - 7:13

Họ sẽ bắt đầu với AAAAA và rồi AAAAB,
7:13 - 7:15

và điều này thật sự cần lượng lớn thời gian
7:15 - 7:17

trước khi họ lấy được bất cứ mật khẩu nào
7:17 - 7:19

mà ai ai cũng có thể làm được.
7:19 - 7:22

Một kẻ thông minh, mặt khác,
7:22 - 7:23

lại khéo léo hơn nhiều.
7:23 - 7:25

Họ nhìn vào các mật khẩu
7:25 - 7:27

mà được xem là phổ biến
7:27 - 7:28

từ những bộ bị đánh cắp này,
7:28 - 7:29

và họ đoán chúng trước.
7:29 - 7:32

Họ sẽ bắt đầu đoán là "password,"
7:32 - 7:34

và tiếp theo là "I love you," và "monkey,"
7:34 - 7:37

và "12345678,"
7:37 - 7:38

bởi vì đây là các mật khẩu
7:38 - 7:40

mà dường như mọi người hay có.
7:40 - 7:43

Thật ra, vài người ở đây có lẽ
có những loại này đó.
7:45 - 7:46

Điều chúng tôi tìm thấy
7:46 - 7:50

khi chạy 5.000 mật khẩu mà đã
tổng hợp được này
7:50 - 7:54

qua các đợt kiểm tra để xem
chúng mạnh như thế nào,
7:54 - 7:57

chúng tôi thấy rằng khi mật khẩu dài
7:57 - 7:58

thì thật sự khá mạnh,
7:58 - 8:01

và các loại phức tạp cũng vậy.
8:01 - 8:04

Tuy nhiên, khi chúng tôi xem qua
dữ liệu khảo sát,
8:04 - 8:07

chúng tôi thấy rằng mọi người
thật sự khó chịu
8:07 - 8:09

bởi sự phức tạp ấy,
8:09 - 8:12

và mật khẩu dài thì lại hữu dụng
hơn hẳn,
8:12 - 8:13

và trong vài trường hợp, chúng còn
8:13 - 8:16

thậm chí mạnh hơn cả loại phức tạp.
8:16 - 8:17

Điều này gợi ra rằng,
8:17 - 8:19

thay vì khuyên mọi người
8:19 - 8:20

hãy đặt kí tự đặc biệt và số
8:20 - 8:23

và những thứ điên rồ vào mật khẩu,
8:23 - 8:25

chúng ta tốt hơn chỉ khuyên họ là
8:25 - 8:28

nên có mật khẩu dài.
8:28 - 8:30

Dù gì thì, đây mới là vấn đề:
8:30 - 8:32

Một số người có mật khẩu dài
8:32 - 8:33

mà lại không thật sự mạnh.
8:33 - 8:35

Bạn có thể tạo độ dài
8:35 - 8:37

mà vẫn bao hàm những điều
8:37 - 8:39

một kẻ tấn công có thể dễ dàng đoán được.
8:39 - 8:42

Vì thế chúng ta cần làm nhiều hơn
thay vì chỉ tuyên bố khơi khơi như vậy.
8:42 - 8:44

Phải có vài điều kiện thêm vào,
8:44 - 8:47

và vài nghiên cứu dang dở
của chúng tôi đang xem xét
8:47 - 8:49

các điều kiện cần
8:49 - 8:52

để làm cho mật khẩu mạnh hơn
8:52 - 8:54

mà cũng chẳng phiền toái gì
8:54 - 8:57

để được ghi nhớ và gõ ra.
8:57 - 8:58

Một cách khác để
khuyến khích mọi người
8:58 - 9:01

tạo mật khẩu mạnh hơn là
sử dụng một thước đo mật khẩu..
9:01 - 9:02

Sau đây là một vài ví dụ.
9:02 - 9:04

Các bạn có thể đã thấy
những thứ này trên internet
9:04 - 9:07

trong khi các bạn tạo mật khẩu.
9:07 - 9:09

Chúng tôi đã quyết định làm
một nghiên cứu để tìm ra
9:09 - 9:12

cách hoạt động của các thước đo này.
9:12 - 9:13

Liệu chúng có thật sự giúp mọi người
9:13 - 9:15

cài mật khẩu mạnh hơn,
9:15 - 9:17

và nếu vậy, cái nào thì tốt hơn?
9:17 - 9:19

Vì thế chúng tôi đã thử nghiệm đủ loại
9:19 - 9:22

có kích thước, hình dáng,
màu sắc khác nhau,
9:22 - 9:23

tùm lum chữ xoay quanh,
9:23 - 9:26

và chúng tôi thậm chí đã thử một loại là
một chú thỏ nhảy nhót.
9:26 - 9:28

Khi bạn đánh một mật khẩu tốt hơn,
9:28 - 9:30

chú thỏ sẽ nhảy càng nhanh hơn.
9:30 - 9:33

Nhìn nó khá thú vị ấy chứ.
9:33 - 9:34

Rồi kết quả cuối cùng
9:34 - 9:38

là các thước đo này đúng có hiệu quả.
9:38 - 9:40

(Cười)
9:40 - 9:43

Đa số thực tế là như vậy,
9:43 - 9:46

kể cả con thỏ nhảy nhót nữa,
9:46 - 9:49

nhưng thước đo hay nhất
9:49 - 9:51

là cái khiến bạn làm việc nhiều hơn
9:51 - 9:53

trước khi nó đưa ra sự tán thành
và nói rằng
9:53 - 9:54

bạn đã đang làm rất tốt,
9:54 - 9:56

và hiện thực, chúng tôi thấy rằng phần lớn
9:56 - 9:58

thước đo mật khẩu trên Internet ngày nay
9:58 - 9:59

quá yếu.
9:59 - 10:01

Chúng khen bạn quá sớm,
10:01 - 10:03

và nếu chúng chỉ cần đợi thêm một tí
10:03 - 10:05

trước khi đưa bạn phản hồi tích cực đó,
10:05 - 10:08

thì bạn đã có thể có mật khẩu tốt hơn.
10:08 - 10:12

Một phương thức khác nữa, có lẽ thế,
10:12 - 10:15

là dùng cụm từ mật khẩu thay vì
từng từ mật khẩu.
10:15 - 10:18

Đây là bộ phim hoạt hình xkcd
cách đây vài năm,
10:18 - 10:20

và nhà họa sĩ phía sau đề nghị
10:20 - 10:22

tất cả chúng ta nên sử dụng
cụm mật khẩu
10:22 - 10:26

và nếu bạn nhìn vào hàng thứ 2
của phim hoạt hình này,
10:26 - 10:27

bạn có thể thấy nó đang gợi ý
10:27 - 10:31

rằng cụm từ mật khẩu
"correct horse battery staple"
10:31 - 10:33

sẽ rất mạnh
10:33 - 10:35

và cũng rất dễ nhớ.
10:35 - 10:38

Thật ra, anh ta nói không chừng
bạn đã nhớ nó rồi.
10:38 - 10:40

Do đó chúng tôi đã quyết định
làm một nghiên cứu
10:40 - 10:43

để phân xem điều đó đúng hay sai.
10:43 - 10:44

Những người tôi từng tiếp xúc,
10:44 - 10:47

người mà tôi nói rằng
tôi đang làm nghiên cứu,
10:47 - 10:48

họ đều chỉ đến bộ phim này.
10:48 - 10:50

"Ếy, bà đã xem nó chưa? Phim xkcd đó.
10:50 - 10:51

Correct horse battery staple."
10:51 - 10:53

Chúng tôi đã làm một nghiên cứu để xem
10:53 - 10:55

điều gì thực sự sẽ xảy ra.
10:55 - 10:58

Trong nghiên cứu, chúng tôi lại sử dụng
Mechanical Turk,
10:58 - 11:03

rồi chúng tôi để máy tính
chọn ngẫu nhiên các từ
11:03 - 11:04

vào trong cụm mật khẩu.
11:04 - 11:05

Lý do cho việc đó
11:05 - 11:06

là vì con người không giỏi
11:06 - 11:08

việc chọn ra từ ngẫu nhiên.
11:08 - 11:09

Nếu chúng tôi nhờ ai làm điều đó,
11:09 - 11:12

họ sẽ chọn những từ
không tự nhiên lắm.
11:12 - 11:14

Vì thế chúng tôi đã thử
trong điều kiện khác nhau.
11:14 - 11:16

Trong một trường hợp, máy tính
11:16 - 11:18

lọc từ một từ điển chứa nhiều
11:18 - 11:20

từ Tiếng Anh thông dụng,
11:20 - 11:21

và vì vậy bạn sẽ có thể nhận
được các cụm như
11:21 - 11:23

"try there three come."
11:23 - 11:25

Chúng tôi nhìn vào nó, và nói,
11:25 - 11:28

"Chậc, cũng chả dễ nhớ hơn là bao."
11:28 - 11:30

Sau đó chúng tôi thử những từ
11:30 - 11:33

các đoạn cụ thể trong bài văn nào đó,
11:33 - 11:35

hợp cấu trúc
Danh từ-động từ- tính từ-danh từ.
11:35 - 11:38

Điều đó đúc kết ra
những cụm giống như câu văn vậy.
11:38 - 11:40

Nên bạn có thể nhận được cụm đại loại như
11:40 - 11:41

"plan builds sure power"
11:41 - 11:44

hoặc "end determines red drug."
11:44 - 11:47

Và những cái này
dường như khá hơn đôi chút,
11:47 - 11:49

và có thể mọi người sẽ thích
những từ đó hơn.
11:49 - 11:52

Chúng tôi muốn so sánh chúng với mật khẩu,
11:52 - 11:55

nên chúng tôi để máy tính
chọn mật khẩu ngẫu nhiên,
11:55 - 11:57

chúng hấp dẫn và ngắn,
nhưng như bạn thấy đó,
11:57 - 12:00

chúng trông không dễ nhớ cho lắm.
12:00 - 12:01

Sau đó chúng tôi thử
12:01 - 12:03

mật khẩu phát âm được.
12:03 - 12:05

Máy tính chọn ngẫu nhiên âm tiết
12:05 - 12:06

rồi kết hợp chúng lại với nhau
12:06 - 12:09

cho ra vài thứ có thể phát âm được,
12:09 - 12:11

như "tufrivi" và "vadasabi."
12:11 - 12:14

Chúng làm cong lưỡi của bạn.
12:14 - 12:16

Đây là những mật khẩu ngẫu nhiên
12:16 - 12:19

được tạo ra từ máy tính.
12:19 - 12:22

Ngạc nhiên thay, cái chúng tôi tìm được
trong nghiên cứu này,
12:22 - 12:25

là cụm từ mật khẩu thì không mạnh cỡ vậy.
12:25 - 12:28

Mọi người thật sự không cảm thấy tốt hơn khi ghi nhớ
12:28 - 12:31

các 'cụm mật khẩu' hơn là
các 'từ mật khẩu' ngẫu nhiên này,
12:31 - 12:34

và bởi vì các 'cụm mật khẩu' dài hơn,
12:34 - 12:35

chúng làm mất thời gian lâu hơn khi gõ
12:35 - 12:38

và mọi người mắc lỗi nhiều hơn khi gõ chúng.
12:38 - 12:41

Vì thế nó là nhược điểm
của 'cụm mật khẩu'.
12:41 - 12:45

Xin lỗi, các fan của xkcd.
12:45 - 12:46

Mặt khác, chúng tôi đã tìm thấy
12:46 - 12:48

rằng các mật khẩu phát âm được
12:48 - 12:50

có hiệu quả đáng ngạc nhiên,
12:50 - 12:52

và do đó chúng tôi nghiên cứu thêm
12:52 - 12:55

cách làm tăng hiệu quả
của phương cách này.
12:55 - 12:57

Và một trong số các vấn đề
12:57 - 12:59

với các nghiên cứu của chúng tôi
12:59 - 13:01

là bởi các mật khẩu đều được tạo ra
13:01 - 13:02

từ Mechanical Turk.
13:02 - 13:04

Đó không phải mật khẩu thực
của con người.
13:04 - 13:06

Đó là các mật khẩu trang web này tạo ra
13:06 - 13:09

hoặc là do máy tính tạo ra
cho các nghiên cứu của chúng tôi.
13:09 - 13:10

Và chúng tôi muốn biết
13:10 - 13:12

liệu mọi người có làm như vậy
13:12 - 13:15

với các mật khẩu thực của họ.
13:15 - 13:18

Vì thế chúng tôi đã hỏi văn phòng
bảo mật thông tin tại Carnegie Mellon
13:18 - 13:22

liệu chúng tôi có thể có
password thực của mọi người.
13:22 - 13:24

Không ngạc nhiên, họ hơi miễn cưỡng
13:24 - 13:25

để chia sẻ chúng với chúng tôi,
13:25 - 13:27

nhưng chúng tôi đã tiếp cận được
13:27 - 13:28

một hệ thống mật khẩu
13:28 - 13:30

nơi mà họ chứa tất cả các password thực
13:30 - 13:33

cho 25.000 sinh viên CMU,
các cán bộ giảng dạy và nhân viên,
13:33 - 13:36

vào một máy tính được khóa
trong phòng bảo mật,
13:36 - 13:37

không kết nối internet,
13:37 - 13:39

và họ chạy mã lệnh mà chúng tôi viết
13:39 - 13:41

để phân tích các password này.
13:41 - 13:43

Họ kiểm tra code của chúng tôi.
13:43 - 13:44

Họ đã chạy code đó.
13:44 - 13:46

Và chúng tôi thật sự không thấy được
13:46 - 13:48

các mật khẩu của bất kỳ ai.
13:48 - 13:50

Chúng tôi thu được vài kết quả thú vị,
13:50 - 13:52

và những học sinh trường Tepper ở phía cuối
13:52 - 13:55

sẽ rất thích thú về điều này.
13:55 - 13:58

Chúng tôi đã tìm thấy rằng các password được tạo
13:58 - 14:00

bởi những người trong trường tin học
14:00 - 14:03

thì thực sự mạnh hơn gấp 1.8 lần
14:03 - 14:07

so với những người học tại trường kinh tế.
14:07 - 14:09

Chúng tôi cũng có nhiều
14:09 - 14:11

thông tin nhân khẩu học thú vị khác nữa
14:11 - 14:13

Điều thú vị khác mà chúng tôi tìm thấy
14:13 - 14:15

là khi so sánh các mật khẩu
của Carnegie Mellon
14:15 - 14:17

với các mật khẩu được tạo bởi Mechnical Turk,
14:17 - 14:20

thưc sự có rất nhiều sự giống nhau,
14:20 - 14:22

và điều này xác nhận
phương pháp nghiên cứu của chúng tôi
14:22 - 14:24

và cho thấy rằng, việc tổng hợp password
14:24 - 14:26

theo kết quả của Mechanical Turk này
14:26 - 14:29

là một cách hợp lý để nghiên cứu password.
14:29 - 14:31

Đó là một tin tốt lành.
14:31 - 14:34

Okay, tôi muốn kết thúc bằng việc nói về
14:34 - 14:36

vài hiểu biết mà tôi đã đúc kết được khi đi
14:36 - 14:39

nghiên cứu tại trường nghệ thuật
Carnegie Mellon.
14:39 - 14:40

Tôi đã làm một việc
14:40 - 14:42

là tạo ra một số mền long,
14:42 - 14:43

và tôi đã làm cái mền này đây.
14:43 - 14:45

Nó được gọi là "Tấm mền Bảo Mật."
14:45 - 14:48

(Cười)
14:48 - 14:51

Và cái mền này có tới 1.000
14:51 - 14:53

password bị đánh cắp nhiều nhất
14:53 - 14:56

từ website RockYou.
14:56 - 14:58

Và kích cỡ của password
thì tương ứng
14:58 - 15:00

với mức độ xuất hiện của chúng
15:00 - 15:02

trên bộ dữ liệu đánh cắp.
15:02 - 15:05

Và cái mà tôi làm là tạo ra đám mây từ này,
15:05 - 15:07

và tôi duyệt qua tất cả 1.000 từ
15:07 - 15:08

và tôi phân loại chúng vào
15:08 - 15:11

các loại chuyên đề mơ hồ.
15:11 - 15:13

Và trong vài trường hợp,
15:13 - 15:15

nó khó để nhận ra
15:15 - 15:17

chúng thuộc thể loại nào,
15:17 - 15:18

và sau đó tôi đánh màu cho chúng.
15:18 - 15:21

Và đây là vài ví dụ của sự khó khăn.
15:21 - 15:22

So "justin."
15:22 - 15:24

đó có phải là tên của một người dùng,
15:24 - 15:25

bạn trai của họ, con trai của họ?
15:25 - 15:28

Có lẽ chúng là 1 fan của Justin Bieber.
15:28 - 15:30

Hoặc "princess."
15:30 - 15:32

Đó là môt nickname?
15:32 - 15:34

Họ là fan của công chúa Disney?
15:34 - 15:37

Hoặc có lẽ đó là tên của con mèo của họ.
15:37 - 15:39

"Iloveyou" xuất hiện nhiều lần
15:39 - 15:41

trong nhiều ngôn ngữ khác nhau.
15:41 - 15:44

Có nhiều chữ love trong các password này
15:44 - 15:46

Nếu bạn nhìn kĩ, bạn sẽ nhìn thấy
15:46 - 15:48

vài lời tục tĩu,
15:48 - 15:50

những nó cũng thú vị
15:50 - 15:53

khi có nhiều YÊU hơn là GHÉT
15:53 - 15:55

trong các password này.
15:55 - 15:56

Và có những con vật,
15:56 - 15:58

rất nhiều động vật,
15:58 - 16:00

và "monkey" là con vật thông dụng nhất
16:00 - 16:04

và đứng thứ 14 trong tất cả
các password thông dụng nhất.
16:04 - 16:06

Và điều này gây cho tôi tò mò,
16:06 - 16:08

tôi tự hỏi, "Tại sao khỉ lại thông dụng nhất ?"
16:08 - 16:12

Và trong nghiên cứu cuối cùng của chúng tôi,
16:12 - 16:13

mỗi khi chúng tôi tìm thấy ai đó
16:13 - 16:16

tạo 1 mật khẩu với từ "monkey",
16:16 - 16:19

chúng tôi hỏi tại sao lại có
con khỉ trong mật khẩu của họ.
16:19 - 16:21

Và chúng tôi tìm ra --
16:21 - 16:23

chúng tôi tìm được 17 người
16:23 - 16:24

mà có từ "monkey" --
16:24 - 16:26

1/3 trong số họ nói rằng
16:26 - 16:28

họ có một thú nuôi tên là "monkey"
16:28 - 16:30

hoặc là một người bạn của họ có nickname là "monkey",
16:30 - 16:32

và 1/3 họ nói rằng
16:32 - 16:33

họ thích khỉ
16:33 - 16:35

và khỉ rất dễ thương.
16:35 - 16:39

Và nó thật sự dễ thương.
16:39 - 16:42

Và dường như cuối ngày,
16:42 - 16:44

khi chúng tôi tạo password,
16:44 - 16:46

chúng tôi cũng tạo ra vài thứ thật sự dễ nhớ
16:46 - 16:49

để đánh máy, một mẫu phổ biến,
16:49 - 16:51

hoặc những thứ gợi chúng tôi tới từ 'password'
16:51 - 16:55

hoặc là tài khoản mà chúng tôi đã tạo mật khẩu cho,
16:55 - 16:57

hoặc là bất cứ thứ gì.
16:57 - 17:00

Hoặc chúng tôi nghĩ về điều
làm chúng tôi hạnh phúc,
17:00 - 17:01

và chúng tôi tạo mật khẩu
17:01 - 17:04

dựa trên các điều mà làm chúng tôi hạnh phúc.
17:04 - 17:06

Và khi điều này làm cho việc đánh máy
17:06 - 17:09

và ghi nhớ mật khẩu thú vị hơn,
17:09 - 17:11

nó cũng trở nên dễ dàng hơn
17:11 - 17:13

để đoán mật khẩu của bạn.
17:13 - 17:14

Và tôi biết rất nhiều bài TED
17:14 - 17:16

gây cảm hứng
17:16 - 17:18

và làm cho bạn nghĩ về
những thứ tốt đẹp, hạnh phúc,
17:18 - 17:20

nhưng khi bạn tạo password,
17:20 - 17:22

hãy cố nghĩ đến những thứ khác.
17:22 - 17:23

Xin cám ơn.
17:23 - 17:24

(Vỗ tay)

Title:: Điều gì chưa ổn trong pa$$w0rd của bạn?
Speaker:: Lorrie Faith Cranor
Description:: Lorrie Faith Cranor nghiên cứu hàng nghìn mật khẩu thực để tìm ra những lỗi thông dụng và bất ngờ mà người dùng và trang web bảo mật mắc phải. Và có thể bạn sẽ hỏi, làm thế nào cô ấy nghiên cứu các mật khẩu mà không xâm phạm quyền bảo mật của người dùng? Đó lại là một câu chuyện khác. Những thông tin bảo mật này thực sự đáng quan tâm, nhất là khi mật khẩu của bạn là 123456...

more » « less
Video Language:: English
Team:: closed TED
Project:: TEDTalks
Duration:: 17:41

	Dimitra Papageorgiou approved Vietnamese subtitles for What’s wrong with your pa$$w0rd?
	Hieu Nguyen Chi commented on Vietnamese subtitles for What’s wrong with your pa$$w0rd?
	Thu Ha Tran accepted Vietnamese subtitles for What’s wrong with your pa$$w0rd?
	Thu Ha Tran commented on Vietnamese subtitles for What’s wrong with your pa$$w0rd?
	Thu Ha Tran edited Vietnamese subtitles for What’s wrong with your pa$$w0rd?
	Thu Ha Tran edited Vietnamese subtitles for What’s wrong with your pa$$w0rd?
	Thu Ha Tran edited Vietnamese subtitles for What’s wrong with your pa$$w0rd?
	Thu Ha Tran edited Vietnamese subtitles for What’s wrong with your pa$$w0rd?

Show all

Thu Ha Tran

I think you should pay more attention to the reading speed, and don't forget to translate the title and description.

Overall, your translation is nice. I've edited some reading speed problems for you.
Hieu Nguyen Chi

Thanks

Vietnamese subtitles

Revisions

Revision 52 Edited

Thu Ha Tran

Điều gì chưa ổn trong pa$$w0rd của bạn?

Revisions

Our website uses cookies

Operating cookies (Required)