Điều gì chưa ổn trong pa$$w0rd của bạn?
-
0:01 - 0:04Tôi là một giáo sư kỹ thuật
và khoa học máy tính tại Carnegie Mello, -
0:04 - 0:08và nghiên cứu của tôi tập trung vào
bảo mật và quyền riêng tư hữu dụng, -
0:08 - 0:11do đó các bạn của tôi thích đưa tôi các ví dụ
-
0:11 - 0:13về sự bức bối với hệ thống máy tính,
-
0:13 - 0:17đặc biệt là các mối ái ngại liên quan đến
-
0:17 - 0:21quyền riêng tư và bảo mật không hữu dụng.
-
0:21 - 0:23Do đó mật khẩu là thứ mà tôi
nghe nhiều nhất. -
0:23 - 0:26Rất nhiều người đau đầu với các mật khẩu,
-
0:26 - 0:28và nó tệ đến mức
-
0:28 - 0:31khi bạn có một mật khẩu thật sự tốt
-
0:31 - 0:32mà bạn có thể nhớ
-
0:32 - 0:35nhưng không ai có thể đoán được.
-
0:35 - 0:37Nhưng bạn sẽ làm gì khi bạn có nhiều tài khoản
-
0:37 - 0:39trên hàng trăm các hệ thống khác nhau
-
0:39 - 0:41và bạn phải có một mật khẩu riêng
-
0:41 - 0:44cho mỗi hệ thống?
-
0:44 - 0:46Chuyện đó chẳng dễ dàng gì.
-
0:46 - 0:48Tại Carnegie Mellon, họ đã làm việc đó,
-
0:48 - 0:49thực ra nó khá dễ
-
0:49 - 0:51để ta nhớ được các mật khẩu ấy.
-
0:51 - 0:53Yêu cầu của mật khẩu cho đến năm 2009
-
0:53 - 0:56chỉ là bạn cần phải có 1 mật khẩu
-
0:56 - 0:58với ít nhất một ký tự.
-
0:58 - 1:01Khá dễ dàng ha.
Nhưng sau đó họ thay đổi mọi thứ, -
1:01 - 1:04Và đến cuối năm 2009, họ thông báo
-
1:04 - 1:06rằng chúng ta sẽ có một chính sách mới,
-
1:06 - 1:08và chính sách mới này
-
1:08 - 1:11yêu cầu mật khẩu phải có
độ dài ít nhất 8 ký tự , -
1:11 - 1:12với một ký tự hoa, một ký tự thường,
-
1:12 - 1:14một con số, một biểu tượng,
-
1:14 - 1:16bạn không thể sử dụng
một ký tự quá 3 lần, -
1:16 - 1:19và nó không được có mặt trong từ điển.
-
1:19 - 1:21Khi họ thực thi chính sách mới này,
-
1:21 - 1:23rất nhiều người, đồng nghiệp và bạn bè tôi,
-
1:23 - 1:25đến với tôi và nói:
-
1:25 - 1:27"Chà, giờ thì đúng thật là bất tiện.
-
1:27 - 1:28Mắc gì họ lại làm vậy với chúng ta,
-
1:28 - 1:29và sao bạn không ngăn họ lại?"
-
1:29 - 1:31Và tôi đáp, "Ờ thì, các bạn biết gì không?
-
1:31 - 1:32Họ đã không hỏi tôi."
-
1:32 - 1:35Nhưng tôi đã tò mò,
và quyết định đến hỏi -
1:35 - 1:38người phụ trách hệ thống máy tính
của chúng tôi -
1:38 - 1:41và tìm xem điều gì dẫn đến việc giới thiệu
-
1:41 - 1:42chính sách mới này,
-
1:42 - 1:44và họ nói rằng trường tôi
-
1:44 - 1:46đã tham gia vào một liên minh các trường đại học,
-
1:46 - 1:49và một điều cần thiết đối với thành viên
-
1:49 - 1:51là chúng tôi phải có những mật khẩu mạnh hơn
-
1:51 - 1:53để thỏa mãn với một vài ràng buộc mới,
-
1:53 - 1:56đó là các mật khẩu của chúng tôi
-
1:56 - 1:57phải có nhiều biến ngẫu nhiên - entropy.
-
1:57 - 1:59Entropy là một khái niệm phức tạp,
-
1:59 - 2:02nhưng về cơ bản, nó đo độ mạnh mật khẩu.
-
2:02 - 2:04Nhưng vấn đề là, thực sự không có
-
2:04 - 2:06một thước đo entropy chuẩn nào cả.
-
2:06 - 2:09Viện Công Nghệ và Tiêu Chuẩn Quốc Gia
(NIST) -
2:09 - 2:10có một bộ đường lối chỉ đạo
-
2:10 - 2:13gồm một số qui luật chung
-
2:13 - 2:14để đo độ entropy,
-
2:14 - 2:17nhưng họ lại không có gì cặn kẽ hơn,
-
2:17 - 2:19và nguyên nhân họ chỉ có qui tắc chung
-
2:19 - 2:23hóa ra là họ chẳng có bất cứ dữ liệu tốt nào
-
2:23 - 2:24về mật khẩu cả.
-
2:24 - 2:26Thật ra, báo cáo của họ viết rằng,
-
2:26 - 2:29"Thật không may, chúng tôi không có nhiều dữ liệu
-
2:29 - 2:32về mật khẩu mà người dùng chọn
theo những luật lệ nhất định. -
2:32 - 2:34NIST mong nhận được thêm nhiều dữ liệu
-
2:34 - 2:36về sự lựa đó hơn trong thực tế,
-
2:36 - 2:39nhưng điều dễ hiểu là các nhà
quản trị hệ thống lại miễn cưỡng -
2:39 - 2:42tiết lộ dữ liệu mật khẩu cho người khác."
-
2:42 - 2:45Đây là một bài toán,
nhưng nhóm nghiên cứu của tôi -
2:45 - 2:47đã xem nó như một cơ hội.
-
2:47 - 2:50Chúng tôi nhủ, "Được thôi, dữ liệu mật khẩu
an toàn đúng là cần thiết đấy." -
2:50 - 2:52Có thể chúng tôi thu thập
một vài bộ dữ liệu mật khẩu tốt -
2:52 - 2:55và thậm chí tối tân hóa cái tiên tiến nữa.
-
2:55 - 2:57Nên điều đầu tiên chúng tôi làm,
-
2:57 - 2:58là lấy một túi kẹo cây
-
2:58 - 2:59rồi đi vòng quanh trường
-
2:59 - 3:02để nói chuyện với sinh viên,
cán bộ giảng dạy và nhân viên, -
3:02 - 3:04hỏi họ thông tin
-
3:04 - 3:05về mật khẩu của họ.
-
3:05 - 3:08Chúng tôi đã không yêu cầu,
"Đưa mật khẩu của anh/chị đây." -
3:08 - 3:10Không, chúng tôi chỉ dò về mật khẩu.
-
3:10 - 3:12Nó dài bao nhiêu? Có chữ số không?
-
3:12 - 3:14Có ký tự đặc biệt không?
-
3:14 - 3:16Và bạn có thấy phiền khi tạo mới
-
3:16 - 3:18mật khẩu tuần trước không?
-
3:18 - 3:21Chúng tôi đã thu thập kết quả từ 470
sinh viên, -
3:21 - 3:22cán bộ khoa và nhân viên,
-
3:22 - 3:25và y như rằng, chúng tôi thấy
chính sách mới -
3:25 - 3:26đúng là rất lằng nhằng.
-
3:26 - 3:28Nhưng chúng tôi cũng để ý rằng
mọi người nói -
3:28 - 3:31họ cảm thấy an toàn hơn với
loại mật khẩu mới này. -
3:31 - 3:33Chúng tôi phát hiện đa số biết
-
3:33 - 3:36họ không nên
viết ra mật khẩu của họ, -
3:36 - 3:38và chỉ 13% trong số đó làm như vậy,
-
3:38 - 3:40nhưng tiếc thay, 80% tổng cộng
-
3:40 - 3:43thừa nhận đã đang sử dụng lại mật khẩu.
-
3:43 - 3:44Điều này thật sự còn nguy hiểm hơn
-
3:44 - 3:46việc viết ra mật khẩu của mình,
-
3:46 - 3:50bởi vì nó làm bạn dễ bị tấn công hơn.
-
3:50 - 3:53Vì thế nếu bạn bị bắt buộc,
hãy viết mật khẩu của bạn ra, -
3:53 - 3:55nhưng đừng tái sử dụng chúng.
-
3:55 - 3:57Chúng tôi cũng khám phá vài điều thú vị
-
3:57 - 4:00về kí tự đặc biệt mọi người
sử dụng trong mật khẩu. -
4:00 - 4:02Do CMU cho phép cả thảy 32 kí tự,
-
4:02 - 4:05nhưng như bạn thấy đó, chỉ có số lượng nhỏ
-
4:05 - 4:07là mọi người đang sử dụng,
-
4:07 - 4:10vì thế chúng ta thực sự không tận dụng
được độ mạnh -
4:10 - 4:12từ kí tự đặc biệt trong mật khẩu
của chúng ta. -
4:12 - 4:15Vì vậy đây quả là một nghiên cứu thú vị,
-
4:15 - 4:17và chúng tôi có dữ liệu
từ 470 người, -
4:17 - 4:18nhưng theo kiểu này,
-
4:18 - 4:21là không có nhiều dữ liệu password.
-
4:21 - 4:22Thế nên chúng tôi đã tìm quanh
-
4:22 - 4:25ở đâu có thể tìm thêm dữ liệu mật khẩu?
-
4:25 - 4:27Và hóa ra là có rất nhiều người
-
4:27 - 4:29suốt ngày tranh thủ trộm mật khẩu,
-
4:29 - 4:32rồi họ thường đăng những mật khẩu này
-
4:32 - 4:33lên mạng.
-
4:33 - 4:35Vì thế chúng tôi đã có thể truy cập được
-
4:35 - 4:39đến vài bộ mật khẩu bị đánh cắp nói trên.
-
4:39 - 4:41Đây vẫn chưa là mô hình
lý tưởng cho nghiên cứu, -
4:41 - 4:43bởi nó không hoàn toàn rõ ràng
-
4:43 - 4:45về nguồn của tất cả mật khẩu này,
-
4:45 - 4:48hoặc là chính sách gì được áp dụng lên nó
-
4:48 - 4:50khi người ta tạo ra chúng.
-
4:50 - 4:53Nên chúng tôi muốn tìm thêm
một vài nguồn trữ tốt hơn. -
4:53 - 4:55Và chúng tôi quyết định
một điều có thể làm được -
4:55 - 4:57là làm một nghiên cứu và nhờ mọi người
-
4:57 - 5:00tạo mật khẩu dành riêng cho mục đích này.
-
5:00 - 5:03Chúng tôi sử dụng 1 dịch vụ có tên
Amazon Mechanical Turk, -
5:03 - 5:05và đây là một dịch vụ
mà bạn có thể đăng tải -
5:05 - 5:08một công tác nhỏ mất ít thời gian,
-
5:08 - 5:09vài phút, một tiếng,
-
5:09 - 5:12và trả tiền cho mọi người,
1 xu, 10 đồng (cent), vài đô la, -
5:12 - 5:13để làm việc cho bạn,
-
5:13 - 5:15sau đó bạn trả họ thông qua Amazon.com.
-
5:15 - 5:18Chúng tôi trả cho mọi người
tầm 50 đồng (cent) -
5:18 - 5:20để tạo một mật khẩu theo đúng qui định
-
5:20 - 5:22kèm theo việc trả lời bản khảo sát,
-
5:22 - 5:24rồi lại trả họ thêm lần nữa để quay lại
-
5:24 - 5:262 ngày sau và đăng nhập
-
5:26 - 5:29sử dụng chính mật khẩu đó
và trả lời bản khảo sát khác. -
5:29 - 5:33Chúng tôi đã triển khai hình thức này,
và thu thập được 5.000 mật khẩu, -
5:33 - 5:36và chúng tôi đã đưa họ
1 đống yêu cầu khác nhau -
5:36 - 5:37để áp dụng tạo mật khẩu.
-
5:37 - 5:39Một số có chính sách khá dễ chơi,
-
5:39 - 5:41mà tụi tôi gọi là Basic8,
-
5:41 - 5:43qui ước duy nhất là mật khẩu của bạn
-
5:43 - 5:47phải có ít nhất 8 kí tự.
-
5:47 - 5:49Đến số khác có yêu cầu khó hơn,
-
5:49 - 5:51giống với yêu cầu của bên CMU,
-
5:51 - 5:53là nó phải có 8 kí tự
-
5:53 - 5:56bao gồm kí tự hoa, kí tự thường,
số, biểu tượng, -
5:56 - 5:58và phải vượt qua khâu kiểm tra từ điển.
-
5:58 - 5:59Rồi một loại chính sách khác chúng tôi thử,
-
5:59 - 6:01và thêm hàng tá nữa,
-
6:01 - 6:03nhưng có một loại chúng tôi gọi Basic16,
-
6:03 - 6:05và điều kiện duy nhất ở đây
-
6:05 - 6:09là mật khẩu phải ít nhất 16 kí tự.
-
6:09 - 6:11Được rồi, lúc đó chúng tôi có
5.000 password, -
6:11 - 6:15nên chúng tôi đã khá khẩm hơn nhiều
thông tin chi tiết. -
6:15 - 6:17Một lần nữa, chúng tôi thấy rằng
chỉ có một số nhỏ -
6:17 - 6:19kí tự đặc biệt là mọi người thật sự dùng
-
6:19 - 6:21trong mật khẩu mà thôi.
-
6:21 - 6:24Chúng tôi cũng muốn một ý tưởng
-
6:24 - 6:26về độ mạnh mật khẩu
mà mọi người tạo ra. -
6:26 - 6:29Nhưng như các bạn nhớ đó,
không có thước đo chuẩn nào -
6:29 - 6:31cho độ mạnh của password.
-
6:31 - 6:33Điều mà chúng tôi quyết định làm là xem
-
6:33 - 6:35mất bao lâu để bẻ khóa các mật khẩu này
-
6:35 - 6:37sử dụng các công cụ bẻ khóa hiện đại
-
6:37 - 6:39mà những kẻ xấu đang sử dụng,
-
6:39 - 6:41hoặc là chúng tôi có thể tìm thấy
thông tin về nó -
6:41 - 6:42trong các tài liệu nghiên cứu.
-
6:42 - 6:45Để các bạn hình dung được cách
-
6:45 - 6:47kẻ xấu bẻ khóa ra sao,
-
6:47 - 6:49họ sẽ đánh cắp một tập tin mật khẩu,
-
6:49 - 6:51mà chứa tất cả dữ liệu
-
6:51 - 6:54dưới một dạng xáo trộn, được gọi là hash,
-
6:54 - 6:57và điều họ sẽ làm là đoán
-
6:57 - 6:58xem mật khẩu là gì,
-
6:58 - 7:00rồi cho chạy với một chương trình hashing,
-
7:00 - 7:02và chờ liệu có khớp
-
7:02 - 7:06với các mật khẩu họ đã chuẩn bị sẵn
trên danh sách trộm được. -
7:06 - 7:09Một kẻ gà mờ thì sẽ cố thử mọi mật khẩu
theo trình tự, -
7:09 - 7:13Họ sẽ bắt đầu với AAAAA và rồi AAAAB,
-
7:13 - 7:15và điều này thật sự cần lượng lớn thời gian
-
7:15 - 7:17trước khi họ lấy được bất cứ mật khẩu nào
-
7:17 - 7:19mà ai ai cũng có thể làm được.
-
7:19 - 7:22Một kẻ thông minh, mặt khác,
-
7:22 - 7:23lại khéo léo hơn nhiều.
-
7:23 - 7:25Họ nhìn vào các mật khẩu
-
7:25 - 7:27mà được xem là phổ biến
-
7:27 - 7:28từ những bộ bị đánh cắp này,
-
7:28 - 7:29và họ đoán chúng trước.
-
7:29 - 7:32Họ sẽ bắt đầu đoán là "password,"
-
7:32 - 7:34và tiếp theo là "I love you," và "monkey,"
-
7:34 - 7:37và "12345678,"
-
7:37 - 7:38bởi vì đây là các mật khẩu
-
7:38 - 7:40mà dường như mọi người hay có.
-
7:40 - 7:43Thật ra, vài người ở đây có lẽ
có những loại này đó. -
7:45 - 7:46Điều chúng tôi tìm thấy
-
7:46 - 7:50khi chạy 5.000 mật khẩu mà đã
tổng hợp được này -
7:50 - 7:54qua các đợt kiểm tra để xem
chúng mạnh như thế nào, -
7:54 - 7:57chúng tôi thấy rằng khi mật khẩu dài
-
7:57 - 7:58thì thật sự khá mạnh,
-
7:58 - 8:01và các loại phức tạp cũng vậy.
-
8:01 - 8:04Tuy nhiên, khi chúng tôi xem qua
dữ liệu khảo sát, -
8:04 - 8:07chúng tôi thấy rằng mọi người
thật sự khó chịu -
8:07 - 8:09bởi sự phức tạp ấy,
-
8:09 - 8:12và mật khẩu dài thì lại hữu dụng
hơn hẳn, -
8:12 - 8:13và trong vài trường hợp, chúng còn
-
8:13 - 8:16thậm chí mạnh hơn cả loại phức tạp.
-
8:16 - 8:17Điều này gợi ra rằng,
-
8:17 - 8:19thay vì khuyên mọi người
-
8:19 - 8:20hãy đặt kí tự đặc biệt và số
-
8:20 - 8:23và những thứ điên rồ vào mật khẩu,
-
8:23 - 8:25chúng ta tốt hơn chỉ khuyên họ là
-
8:25 - 8:28nên có mật khẩu dài.
-
8:28 - 8:30Dù gì thì, đây mới là vấn đề:
-
8:30 - 8:32Một số người có mật khẩu dài
-
8:32 - 8:33mà lại không thật sự mạnh.
-
8:33 - 8:35Bạn có thể tạo độ dài
-
8:35 - 8:37mà vẫn bao hàm những điều
-
8:37 - 8:39một kẻ tấn công có thể dễ dàng đoán được.
-
8:39 - 8:42Vì thế chúng ta cần làm nhiều hơn
thay vì chỉ tuyên bố khơi khơi như vậy. -
8:42 - 8:44Phải có vài điều kiện thêm vào,
-
8:44 - 8:47và vài nghiên cứu dang dở
của chúng tôi đang xem xét -
8:47 - 8:49các điều kiện cần
-
8:49 - 8:52để làm cho mật khẩu mạnh hơn
-
8:52 - 8:54mà cũng chẳng phiền toái gì
-
8:54 - 8:57để được ghi nhớ và gõ ra.
-
8:57 - 8:58Một cách khác để
khuyến khích mọi người -
8:58 - 9:01tạo mật khẩu mạnh hơn là
sử dụng một thước đo mật khẩu.. -
9:01 - 9:02Sau đây là một vài ví dụ.
-
9:02 - 9:04Các bạn có thể đã thấy
những thứ này trên internet -
9:04 - 9:07trong khi các bạn tạo mật khẩu.
-
9:07 - 9:09Chúng tôi đã quyết định làm
một nghiên cứu để tìm ra -
9:09 - 9:12cách hoạt động của các thước đo này.
-
9:12 - 9:13Liệu chúng có thật sự giúp mọi người
-
9:13 - 9:15cài mật khẩu mạnh hơn,
-
9:15 - 9:17và nếu vậy, cái nào thì tốt hơn?
-
9:17 - 9:19Vì thế chúng tôi đã thử nghiệm đủ loại
-
9:19 - 9:22có kích thước, hình dáng,
màu sắc khác nhau, -
9:22 - 9:23tùm lum chữ xoay quanh,
-
9:23 - 9:26và chúng tôi thậm chí đã thử một loại là
một chú thỏ nhảy nhót. -
9:26 - 9:28Khi bạn đánh một mật khẩu tốt hơn,
-
9:28 - 9:30chú thỏ sẽ nhảy càng nhanh hơn.
-
9:30 - 9:33Nhìn nó khá thú vị ấy chứ.
-
9:33 - 9:34Rồi kết quả cuối cùng
-
9:34 - 9:38là các thước đo này đúng có hiệu quả.
-
9:38 - 9:40(Cười)
-
9:40 - 9:43Đa số thực tế là như vậy,
-
9:43 - 9:46kể cả con thỏ nhảy nhót nữa,
-
9:46 - 9:49nhưng thước đo hay nhất
-
9:49 - 9:51là cái khiến bạn làm việc nhiều hơn
-
9:51 - 9:53trước khi nó đưa ra sự tán thành
và nói rằng -
9:53 - 9:54bạn đã đang làm rất tốt,
-
9:54 - 9:56và hiện thực, chúng tôi thấy rằng phần lớn
-
9:56 - 9:58thước đo mật khẩu trên Internet ngày nay
-
9:58 - 9:59quá yếu.
-
9:59 - 10:01Chúng khen bạn quá sớm,
-
10:01 - 10:03và nếu chúng chỉ cần đợi thêm một tí
-
10:03 - 10:05trước khi đưa bạn phản hồi tích cực đó,
-
10:05 - 10:08thì bạn đã có thể có mật khẩu tốt hơn.
-
10:08 - 10:12Một phương thức khác nữa, có lẽ thế,
-
10:12 - 10:15là dùng cụm từ mật khẩu thay vì
từng từ mật khẩu. -
10:15 - 10:18Đây là bộ phim hoạt hình xkcd
cách đây vài năm, -
10:18 - 10:20và nhà họa sĩ phía sau đề nghị
-
10:20 - 10:22tất cả chúng ta nên sử dụng
cụm mật khẩu -
10:22 - 10:26và nếu bạn nhìn vào hàng thứ 2
của phim hoạt hình này, -
10:26 - 10:27bạn có thể thấy nó đang gợi ý
-
10:27 - 10:31rằng cụm từ mật khẩu
"correct horse battery staple" -
10:31 - 10:33sẽ rất mạnh
-
10:33 - 10:35và cũng rất dễ nhớ.
-
10:35 - 10:38Thật ra, anh ta nói không chừng
bạn đã nhớ nó rồi. -
10:38 - 10:40Do đó chúng tôi đã quyết định
làm một nghiên cứu -
10:40 - 10:43để phân xem điều đó đúng hay sai.
-
10:43 - 10:44Những người tôi từng tiếp xúc,
-
10:44 - 10:47người mà tôi nói rằng
tôi đang làm nghiên cứu, -
10:47 - 10:48họ đều chỉ đến bộ phim này.
-
10:48 - 10:50"Ếy, bà đã xem nó chưa? Phim xkcd đó.
-
10:50 - 10:51Correct horse battery staple."
-
10:51 - 10:53Chúng tôi đã làm một nghiên cứu để xem
-
10:53 - 10:55điều gì thực sự sẽ xảy ra.
-
10:55 - 10:58Trong nghiên cứu, chúng tôi lại sử dụng
Mechanical Turk, -
10:58 - 11:03rồi chúng tôi để máy tính
chọn ngẫu nhiên các từ -
11:03 - 11:04vào trong cụm mật khẩu.
-
11:04 - 11:05Lý do cho việc đó
-
11:05 - 11:06là vì con người không giỏi
-
11:06 - 11:08việc chọn ra từ ngẫu nhiên.
-
11:08 - 11:09Nếu chúng tôi nhờ ai làm điều đó,
-
11:09 - 11:12họ sẽ chọn những từ
không tự nhiên lắm. -
11:12 - 11:14Vì thế chúng tôi đã thử
trong điều kiện khác nhau. -
11:14 - 11:16Trong một trường hợp, máy tính
-
11:16 - 11:18lọc từ một từ điển chứa nhiều
-
11:18 - 11:20từ Tiếng Anh thông dụng,
-
11:20 - 11:21và vì vậy bạn sẽ có thể nhận
được các cụm như -
11:21 - 11:23"try there three come."
-
11:23 - 11:25Chúng tôi nhìn vào nó, và nói,
-
11:25 - 11:28"Chậc, cũng chả dễ nhớ hơn là bao."
-
11:28 - 11:30Sau đó chúng tôi thử những từ
-
11:30 - 11:33các đoạn cụ thể trong bài văn nào đó,
-
11:33 - 11:35hợp cấu trúc
Danh từ-động từ- tính từ-danh từ. -
11:35 - 11:38Điều đó đúc kết ra
những cụm giống như câu văn vậy. -
11:38 - 11:40Nên bạn có thể nhận được cụm đại loại như
-
11:40 - 11:41"plan builds sure power"
-
11:41 - 11:44hoặc "end determines red drug."
-
11:44 - 11:47Và những cái này
dường như khá hơn đôi chút, -
11:47 - 11:49và có thể mọi người sẽ thích
những từ đó hơn. -
11:49 - 11:52Chúng tôi muốn so sánh chúng với mật khẩu,
-
11:52 - 11:55nên chúng tôi để máy tính
chọn mật khẩu ngẫu nhiên, -
11:55 - 11:57chúng hấp dẫn và ngắn,
nhưng như bạn thấy đó, -
11:57 - 12:00chúng trông không dễ nhớ cho lắm.
-
12:00 - 12:01Sau đó chúng tôi thử
-
12:01 - 12:03mật khẩu phát âm được.
-
12:03 - 12:05Máy tính chọn ngẫu nhiên âm tiết
-
12:05 - 12:06rồi kết hợp chúng lại với nhau
-
12:06 - 12:09cho ra vài thứ có thể phát âm được,
-
12:09 - 12:11như "tufrivi" và "vadasabi."
-
12:11 - 12:14Chúng làm cong lưỡi của bạn.
-
12:14 - 12:16Đây là những mật khẩu ngẫu nhiên
-
12:16 - 12:19được tạo ra từ máy tính.
-
12:19 - 12:22Ngạc nhiên thay, cái chúng tôi tìm được
trong nghiên cứu này, -
12:22 - 12:25là cụm từ mật khẩu thì không mạnh cỡ vậy.
-
12:25 - 12:28Mọi người thật sự không cảm thấy tốt hơn khi ghi nhớ
-
12:28 - 12:31các 'cụm mật khẩu' hơn là
các 'từ mật khẩu' ngẫu nhiên này, -
12:31 - 12:34và bởi vì các 'cụm mật khẩu' dài hơn,
-
12:34 - 12:35chúng làm mất thời gian lâu hơn khi gõ
-
12:35 - 12:38và mọi người mắc lỗi nhiều hơn khi gõ chúng.
-
12:38 - 12:41Vì thế nó là nhược điểm
của 'cụm mật khẩu'. -
12:41 - 12:45Xin lỗi, các fan của xkcd.
-
12:45 - 12:46Mặt khác, chúng tôi đã tìm thấy
-
12:46 - 12:48rằng các mật khẩu phát âm được
-
12:48 - 12:50có hiệu quả đáng ngạc nhiên,
-
12:50 - 12:52và do đó chúng tôi nghiên cứu thêm
-
12:52 - 12:55cách làm tăng hiệu quả
của phương cách này. -
12:55 - 12:57Và một trong số các vấn đề
-
12:57 - 12:59với các nghiên cứu của chúng tôi
-
12:59 - 13:01là bởi các mật khẩu đều được tạo ra
-
13:01 - 13:02từ Mechanical Turk.
-
13:02 - 13:04Đó không phải mật khẩu thực
của con người. -
13:04 - 13:06Đó là các mật khẩu trang web này tạo ra
-
13:06 - 13:09hoặc là do máy tính tạo ra
cho các nghiên cứu của chúng tôi. -
13:09 - 13:10Và chúng tôi muốn biết
-
13:10 - 13:12liệu mọi người có làm như vậy
-
13:12 - 13:15với các mật khẩu thực của họ.
-
13:15 - 13:18Vì thế chúng tôi đã hỏi văn phòng
bảo mật thông tin tại Carnegie Mellon -
13:18 - 13:22liệu chúng tôi có thể có
password thực của mọi người. -
13:22 - 13:24Không ngạc nhiên, họ hơi miễn cưỡng
-
13:24 - 13:25để chia sẻ chúng với chúng tôi,
-
13:25 - 13:27nhưng chúng tôi đã tiếp cận được
-
13:27 - 13:28một hệ thống mật khẩu
-
13:28 - 13:30nơi mà họ chứa tất cả các password thực
-
13:30 - 13:33cho 25.000 sinh viên CMU,
các cán bộ giảng dạy và nhân viên, -
13:33 - 13:36vào một máy tính được khóa
trong phòng bảo mật, -
13:36 - 13:37không kết nối internet,
-
13:37 - 13:39và họ chạy mã lệnh mà chúng tôi viết
-
13:39 - 13:41để phân tích các password này.
-
13:41 - 13:43Họ kiểm tra code của chúng tôi.
-
13:43 - 13:44Họ đã chạy code đó.
-
13:44 - 13:46Và chúng tôi thật sự không thấy được
-
13:46 - 13:48các mật khẩu của bất kỳ ai.
-
13:48 - 13:50Chúng tôi thu được vài kết quả thú vị,
-
13:50 - 13:52và những học sinh trường Tepper ở phía cuối
-
13:52 - 13:55sẽ rất thích thú về điều này.
-
13:55 - 13:58Chúng tôi đã tìm thấy rằng các password được tạo
-
13:58 - 14:00bởi những người trong trường tin học
-
14:00 - 14:03thì thực sự mạnh hơn gấp 1.8 lần
-
14:03 - 14:07so với những người học tại trường kinh tế.
-
14:07 - 14:09Chúng tôi cũng có nhiều
-
14:09 - 14:11thông tin nhân khẩu học thú vị khác nữa
-
14:11 - 14:13Điều thú vị khác mà chúng tôi tìm thấy
-
14:13 - 14:15là khi so sánh các mật khẩu
của Carnegie Mellon -
14:15 - 14:17với các mật khẩu được tạo bởi Mechnical Turk,
-
14:17 - 14:20thưc sự có rất nhiều sự giống nhau,
-
14:20 - 14:22và điều này xác nhận
phương pháp nghiên cứu của chúng tôi -
14:22 - 14:24và cho thấy rằng, việc tổng hợp password
-
14:24 - 14:26theo kết quả của Mechanical Turk này
-
14:26 - 14:29là một cách hợp lý để nghiên cứu password.
-
14:29 - 14:31Đó là một tin tốt lành.
-
14:31 - 14:34Okay, tôi muốn kết thúc bằng việc nói về
-
14:34 - 14:36vài hiểu biết mà tôi đã đúc kết được khi đi
-
14:36 - 14:39nghiên cứu tại trường nghệ thuật
Carnegie Mellon. -
14:39 - 14:40Tôi đã làm một việc
-
14:40 - 14:42là tạo ra một số mền long,
-
14:42 - 14:43và tôi đã làm cái mền này đây.
-
14:43 - 14:45Nó được gọi là "Tấm mền Bảo Mật."
-
14:45 - 14:48(Cười)
-
14:48 - 14:51Và cái mền này có tới 1.000
-
14:51 - 14:53password bị đánh cắp nhiều nhất
-
14:53 - 14:56từ website RockYou.
-
14:56 - 14:58Và kích cỡ của password
thì tương ứng -
14:58 - 15:00với mức độ xuất hiện của chúng
-
15:00 - 15:02trên bộ dữ liệu đánh cắp.
-
15:02 - 15:05Và cái mà tôi làm là tạo ra đám mây từ này,
-
15:05 - 15:07và tôi duyệt qua tất cả 1.000 từ
-
15:07 - 15:08và tôi phân loại chúng vào
-
15:08 - 15:11các loại chuyên đề mơ hồ.
-
15:11 - 15:13Và trong vài trường hợp,
-
15:13 - 15:15nó khó để nhận ra
-
15:15 - 15:17chúng thuộc thể loại nào,
-
15:17 - 15:18và sau đó tôi đánh màu cho chúng.
-
15:18 - 15:21Và đây là vài ví dụ của sự khó khăn.
-
15:21 - 15:22So "justin."
-
15:22 - 15:24đó có phải là tên của một người dùng,
-
15:24 - 15:25bạn trai của họ, con trai của họ?
-
15:25 - 15:28Có lẽ chúng là 1 fan của Justin Bieber.
-
15:28 - 15:30Hoặc "princess."
-
15:30 - 15:32Đó là môt nickname?
-
15:32 - 15:34Họ là fan của công chúa Disney?
-
15:34 - 15:37Hoặc có lẽ đó là tên của con mèo của họ.
-
15:37 - 15:39"Iloveyou" xuất hiện nhiều lần
-
15:39 - 15:41trong nhiều ngôn ngữ khác nhau.
-
15:41 - 15:44Có nhiều chữ love trong các password này
-
15:44 - 15:46Nếu bạn nhìn kĩ, bạn sẽ nhìn thấy
-
15:46 - 15:48vài lời tục tĩu,
-
15:48 - 15:50những nó cũng thú vị
-
15:50 - 15:53khi có nhiều YÊU hơn là GHÉT
-
15:53 - 15:55trong các password này.
-
15:55 - 15:56Và có những con vật,
-
15:56 - 15:58rất nhiều động vật,
-
15:58 - 16:00và "monkey" là con vật thông dụng nhất
-
16:00 - 16:04và đứng thứ 14 trong tất cả
các password thông dụng nhất. -
16:04 - 16:06Và điều này gây cho tôi tò mò,
-
16:06 - 16:08tôi tự hỏi, "Tại sao khỉ lại thông dụng nhất ?"
-
16:08 - 16:12Và trong nghiên cứu cuối cùng của chúng tôi,
-
16:12 - 16:13mỗi khi chúng tôi tìm thấy ai đó
-
16:13 - 16:16tạo 1 mật khẩu với từ "monkey",
-
16:16 - 16:19chúng tôi hỏi tại sao lại có
con khỉ trong mật khẩu của họ. -
16:19 - 16:21Và chúng tôi tìm ra --
-
16:21 - 16:23chúng tôi tìm được 17 người
-
16:23 - 16:24mà có từ "monkey" --
-
16:24 - 16:261/3 trong số họ nói rằng
-
16:26 - 16:28họ có một thú nuôi tên là "monkey"
-
16:28 - 16:30hoặc là một người bạn của họ có nickname là "monkey",
-
16:30 - 16:32và 1/3 họ nói rằng
-
16:32 - 16:33họ thích khỉ
-
16:33 - 16:35và khỉ rất dễ thương.
-
16:35 - 16:39Và nó thật sự dễ thương.
-
16:39 - 16:42Và dường như cuối ngày,
-
16:42 - 16:44khi chúng tôi tạo password,
-
16:44 - 16:46chúng tôi cũng tạo ra vài thứ thật sự dễ nhớ
-
16:46 - 16:49để đánh máy, một mẫu phổ biến,
-
16:49 - 16:51hoặc những thứ gợi chúng tôi tới từ 'password'
-
16:51 - 16:55hoặc là tài khoản mà chúng tôi đã tạo mật khẩu cho,
-
16:55 - 16:57hoặc là bất cứ thứ gì.
-
16:57 - 17:00Hoặc chúng tôi nghĩ về điều
làm chúng tôi hạnh phúc, -
17:00 - 17:01và chúng tôi tạo mật khẩu
-
17:01 - 17:04dựa trên các điều mà làm chúng tôi hạnh phúc.
-
17:04 - 17:06Và khi điều này làm cho việc đánh máy
-
17:06 - 17:09và ghi nhớ mật khẩu thú vị hơn,
-
17:09 - 17:11nó cũng trở nên dễ dàng hơn
-
17:11 - 17:13để đoán mật khẩu của bạn.
-
17:13 - 17:14Và tôi biết rất nhiều bài TED
-
17:14 - 17:16gây cảm hứng
-
17:16 - 17:18và làm cho bạn nghĩ về
những thứ tốt đẹp, hạnh phúc, -
17:18 - 17:20nhưng khi bạn tạo password,
-
17:20 - 17:22hãy cố nghĩ đến những thứ khác.
-
17:22 - 17:23Xin cám ơn.
-
17:23 - 17:24(Vỗ tay)
- Title:
- Điều gì chưa ổn trong pa$$w0rd của bạn?
- Speaker:
- Lorrie Faith Cranor
- Description:
-
Lorrie Faith Cranor nghiên cứu hàng nghìn mật khẩu thực để tìm ra những lỗi thông dụng và bất ngờ mà người dùng và trang web bảo mật mắc phải. Và có thể bạn sẽ hỏi, làm thế nào cô ấy nghiên cứu các mật khẩu mà không xâm phạm quyền bảo mật của người dùng? Đó lại là một câu chuyện khác. Những thông tin bảo mật này thực sự đáng quan tâm, nhất là khi mật khẩu của bạn là 123456...
- Video Language:
- English
- Team:
- closed TED
- Project:
- TEDTalks
- Duration:
- 17:41
Dimitra Papageorgiou approved Vietnamese subtitles for What’s wrong with your pa$$w0rd? | ||
Hieu Nguyen Chi commented on Vietnamese subtitles for What’s wrong with your pa$$w0rd? | ||
Thu Ha Tran accepted Vietnamese subtitles for What’s wrong with your pa$$w0rd? | ||
Thu Ha Tran commented on Vietnamese subtitles for What’s wrong with your pa$$w0rd? | ||
Thu Ha Tran edited Vietnamese subtitles for What’s wrong with your pa$$w0rd? | ||
Thu Ha Tran edited Vietnamese subtitles for What’s wrong with your pa$$w0rd? | ||
Thu Ha Tran edited Vietnamese subtitles for What’s wrong with your pa$$w0rd? | ||
Thu Ha Tran edited Vietnamese subtitles for What’s wrong with your pa$$w0rd? |
Thu Ha Tran
I think you should pay more attention to the reading speed, and don't forget to translate the title and description.
Overall, your translation is nice. I've edited some reading speed problems for you.
Hieu Nguyen Chi
Thanks