ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

לורי פיית' קראנור: מה לא בסדר עם ה0י0מ# שלך?

Filmed:
1,566,161 views

לורי פיית' קראנור למדה אלפים של סיסמאות אמיתיות על מנת לגלות את הטעויות המפתיעות והנפוצות שמשתמשים, ואתרים מאובטחים, עושים ובכך מסכנים את אבטחתם. איך, תשאלו, היא למדה אלפי סיסמאות אמיתיות בלי לסכן את אבטחת המשתמשים הללו? זהו סיפור בפני עצמו. זהו נתון סודי שכדאי לדעת, במיוחד אם הסיסמה שלך היא 123456...
- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

00:12
I am a computerמַחשֵׁב scienceמַדָע and engineeringהַנדָסָה
professorפּרוֹפֶסוֹר here at Carnegieקרנגי Mellonמלון,
0
535
3445
אני פרופסור להנדסת מחשבים
ומדעי המחשב כאן בקרנגי מלון
00:15
and my researchמחקר focusesמתמקד on
usableשָׁמִישׁ privacyפְּרָטִיוּת and securityבִּטָחוֹן,
1
3980
4248
והמחקר שלי מתמקד בפרטיות
ואבטחת מידע שמישים.
00:20
and so my friendsחברים like to give me examplesדוגמאות
2
8228
2768
אז חברים שלי אוהבים לתת לי דוגמאות
00:22
of theirשֶׁלָהֶם frustrationsתסכולים with computingמחשוב systemsמערכות,
3
10996
2202
של התסכול שלהם ממערכות ממוחשבות
00:25
especiallyבמיוחד frustrationsתסכולים relatedקָשׁוּר to
4
13198
3354
במיוחד כשזה מתקשר
00:28
unusableלא שמיש privacyפְּרָטִיוּת and securityבִּטָחוֹן.
5
16552
4112
לפרטיות ואבטחה לא-שמישיים.
00:32
So passwordsסיסמאות are something that I hearלִשְׁמוֹעַ a lot about.
6
20664
2711
אז סיסמאות זה משהו שאני שומעת עליו הרבה.
00:35
A lot of people are frustratedמְתוּסכָּל with passwordsסיסמאות,
7
23375
2880
הרבה אנשים מתוסכלים מסיסמאות,
00:38
and it's badרַע enoughמספיק
8
26255
1694
וזה מספיק גרוע
00:39
when you have to have one really good passwordסיסמה
9
27949
2644
כשאתם צריכים למצוא סיסמה אחת ממש טובה
00:42
that you can rememberלִזכּוֹר
10
30593
1822
שאתם יכולים לזכור
00:44
but nobodyאף אחד elseאַחֵר is going to be ableיכול to guessלְנַחֵשׁ.
11
32415
2894
אבל אף אחד אחר לא יוכל לנחש.
00:47
But what do you do when you have accountsחשבונות
12
35309
1637
אבל מה אתם עושים כשיש לכם חשבונות משתמשים
00:48
on a hundredמֵאָה differentשונה systemsמערכות
13
36946
1808
במאות מערכות שונות
00:50
and you're supposedאמור to have a uniqueייחודי passwordסיסמה
14
38754
2276
ואמורה להיות לכם סיסמה ייחודית
00:53
for eachכל אחד of these systemsמערכות?
15
41030
3037
לכל אחת מהן?
00:56
It's toughקָשֶׁה.
16
44067
2184
זה כבר מסובך.
00:58
At Carnegieקרנגי Mellonמלון, they used to make it
17
46251
1759
בקרנגי מלון, זה היה
01:00
actuallyלמעשה prettyיפה easyקַל for us
18
48010
1299
די פשוט עבורנו
01:01
to rememberלִזכּוֹר our passwordsסיסמאות.
19
49309
1737
לזכור סיסמאות.
01:03
The passwordסיסמה requirementדְרִישָׁה up throughדרך 2009
20
51046
2403
עד לשנת 2009 הדרישה לסיסמה
01:05
was just that you had to have a passwordסיסמה
21
53449
2379
הייתה רק שתהיה לך סיסמה
01:07
with at leastהכי פחות one characterאופי.
22
55828
2211
עם תו אחד לפחות.
01:10
Prettyיפה easyקַל. But then they changedהשתנה things,
23
58039
2888
די פשוט. אבל אז הדברים השתנו,
01:12
and at the endסוֹף of 2009, they announcedהודיעה
24
60927
2670
ובסוף שנת 2009, הודיעו
01:15
that we were going to have a newחָדָשׁ policyמְדִינִיוּת,
25
63597
2376
שבקרוב תהיה מדיניות חדשה,
01:17
and this newחָדָשׁ policyמְדִינִיוּת requiredנדרש
26
65973
1863
והמדיניות החדשה דרשה
01:19
passwordsסיסמאות that were at leastהכי פחות eightשמונה charactersדמויות long,
27
67836
2681
סיסמה שאורכה לפחות 8 תווים
01:22
with an uppercaseבאותיות רישיות letterמִכְתָב, lowercaseבאותיות קטנות letterמִכְתָב,
28
70517
1775
שכוללת אותיות גדולות, אותיות קטנות,
01:24
a digitסִפְרָה, a symbolסֵמֶל,
29
72292
1288
ספרה, סימן,
01:25
you couldn'tלא יכול use the sameאותו
characterאופי more than threeשְׁלוֹשָׁה timesפִּי,
30
73580
2638
אסור להשתמש באותו תו יותר משלוש פעמים
01:28
and it wasn'tלא היה allowedמוּתָר to be in a dictionaryמילון.
31
76218
2434
ואסור היה שזה יופיע במילון.
01:30
Now, when they implementedמיושם this newחָדָשׁ policyמְדִינִיוּת,
32
78652
2182
עכשיו, כשהמדיניות החדשה נכנסה לתוקף,
01:32
a lot of people, my colleaguesעמיתים and friendsחברים,
33
80834
2310
הרבה אנשים, הקולגות שלי וחבריי,
01:35
cameבא up to me and they said, "Wowוואו,
34
83144
1854
פנו אליי ואמרו: "וואו,
01:36
now that's really unusableלא שמיש.
35
84998
1512
עכשיו זה ממש לא שימושי.
01:38
Why are they doing this to us,
36
86510
1193
למה הם עושים לנו את זה,
01:39
and why didn't you stop them?"
37
87703
1711
ולמה לא עצרת בעדם?"
01:41
And I said, "Well, you know what?
38
89414
1356
ואני אומרת: "אתם יודעים מה?
01:42
They didn't askלִשְׁאוֹל me."
39
90770
1508
אף אחד לא שאל אותי."
01:44
But I got curiousסקרן, and I decidedהחליט to go talk
40
92278
3465
אבל זה סקרן אותי, והחלטתי לדבר
01:47
to the people in chargeלחייב of our computerמַחשֵׁב systemsמערכות
41
95743
1937
עם האנשים שאחראים
על המערכות הממוחשבות שלנו
01:49
and find out what led them to introduceהצג
42
97680
2831
ולברר מה הוביל אותם להנהיג
01:52
this newחָדָשׁ policyמְדִינִיוּת,
43
100511
1848
את המדיניות החדשה הזו,
והם אמרו שהאוניברסיטה
01:54
and they said that the universityאוּנִיבֶרְסִיטָה
44
102359
1584
01:55
had joinedהצטרף a consortiumקונסורציום of universitiesאוניברסיטאות,
45
103943
2366
הצטרפה להתאגדות של אוניברסיטאות
01:58
and one of the requirementsדרישות of membershipחֲבֵרוּת
46
106309
2634
ואחד התנאים להצטרפות היה
02:00
was that we had to have strongerיותר חזק passwordsסיסמאות
47
108943
2248
שיהיו לנו סיסמאות יותר חזקות
02:03
that compliedנענה with some newחָדָשׁ requirementsדרישות,
48
111191
2272
שיענו על כמה דרישות חדשות,
02:05
and these requirementsדרישות were that our passwordsסיסמאות
49
113463
2104
והדרישות הללו היו שבסיסמאות שלנו
02:07
had to have a lot of entropyאנטרופיה.
50
115567
1604
תהיה חייבת להיות הרבה אנתרופיה.
02:09
Now entropyאנטרופיה is a complicatedמסובך termטווח,
51
117171
2278
עכשיו, אנתרופיה זה מושג מסובך,
02:11
but basicallyבעיקרון it measuresאמצעים the strengthכוח of passwordsסיסמאות.
52
119449
2798
אבל בגדול, זה מדד לחוזק של סיסמה.
02:14
But the thing is, there isn't actuallyלמעשה
53
122247
1979
העניין הוא שאין בעצם
02:16
a standardתֶקֶן measureלִמְדוֹד of entropyאנטרופיה.
54
124226
1949
יחידת מידה מקובלת לאנתרופיה.
02:18
Now, the Nationalלאומי Instituteמכון
of Standardsתקנים and Technologyטֶכנוֹלוֹגִיָה
55
126175
2399
למכון הלאומי לסטנדרטים וטכנולוגיה
02:20
has a setמַעֲרֶכֶת of guidelinesהנחיות
56
128574
1553
יש סדרה של קווים מנחים
02:22
whichאיזה have some rulesכללים of thumbאֲגוּדָל
57
130127
2568
שמורכבים מכללי אצבע
02:24
for measuringמדידה entropyאנטרופיה,
58
132695
1440
עבור מדידת אנתרופיה,
02:26
but they don't have anything too specificספֵּצִיפִי,
59
134135
2895
אבל אין להם משהו מוגדר מדי.
02:29
and the reasonסיבה they only have rulesכללים of thumbאֲגוּדָל
60
137030
2337
ומסתבר שהסיבה שיש להם רק כללי אצבע,
02:31
is it turnsפונה out they don't actuallyלמעשה have any good dataנתונים
61
139367
3136
היא שאין להם נתונים איכותיים
02:34
on passwordsסיסמאות.
62
142503
1520
בנוגע לסיסמאות.
02:36
In factעוּבדָה, theirשֶׁלָהֶם reportלהגיש תלונה statesמדינות,
63
144023
2312
למען האמת, בדו"ח שלהם הם מצהירים:
02:38
"Unfortunatelyלצערי, we do not have much dataנתונים
64
146335
2328
"למרבה הצער, אין לי די נתונים
02:40
on the passwordsסיסמאות usersמשתמשים
chooseבחר underתַחַת particularמיוחד rulesכללים.
65
148663
2842
על הסיסמאות שמשתמשים
בוחרים על פי כללים ספציפיים...
02:43
NISTNIST would like to obtainלְהַשִׂיג more dataנתונים
66
151505
2333
מלס"ט שואף להשיג נתונים נוספים
02:45
on the passwordsסיסמאות usersמשתמשים actuallyלמעשה chooseבחר,
67
153838
2462
בנוגע לסיסמאות שמשתמשים אכן בוחרים,
02:48
but systemמערכת administratorsמנהלים
are understandablyמובנת reluctantמסרב
68
156300
2463
אך מנהלי מערכות מסתייגים, כמובן,
02:50
to revealלְגַלוֹת passwordסיסמה dataנתונים to othersאחרים."
69
158763
2940
מחשיפת נתוני סיסמאות לאחרים."
02:53
So this is a problemבְּעָיָה, but our researchמחקר groupקְבוּצָה
70
161703
3097
אז יש לנו כאן בעיה, אבל קבוצת המחקר שלנו
02:56
lookedהביט at it as an opportunityהִזדַמְנוּת.
71
164800
2140
הסתכלה על זה כהזדמנות.
02:58
We said, "Well, there's a need
for good passwordסיסמה dataנתונים.
72
166940
3100
אמרנו "טוב, יש כאן איזה
צורך לנתונים איכותיים על סיסמאות,
03:02
Maybe we can collectלאסוף some good passwordסיסמה dataנתונים
73
170040
2148
אולי נוכל לאסוף נתונים שכאלה
03:04
and actuallyלמעשה advanceלְקַדֵם the stateמדינה of the artאומנות here.
74
172188
2704
ובכך לקדם את עדכניות הנתונים הקיימים."
03:06
So the first thing we did is,
75
174892
1672
אז הדבר הראשון שעשינו,
03:08
we got a bagתיק of candyסוּכַּרִיוֹת barsבארים
76
176564
1556
לקחנו שק של ממתקים,
03:10
and we walkedהלך around campusקַמפּוּס
77
178120
1086
הסתובבנו בקמפוס
03:11
and talkedדיבר to studentsסטודנטים, facultyסגל and staffצוות,
78
179206
2798
ודיברנו עם סטודנטים, סגל ההוראה והצוות,
03:14
and askedשאל them for informationמֵידָע
79
182004
1530
וביקשנו מהם מידע
03:15
about theirשֶׁלָהֶם passwordsסיסמאות.
80
183534
1552
בנוגע לסיסמאות שלהם.
03:17
Now we didn't say, "Give us your passwordסיסמה."
81
185086
3004
עכשיו, לא ניגשנו אליהם
ושאלנו "מה הסיסמה שלך?"
03:20
No, we just askedשאל them about theirשֶׁלָהֶם passwordסיסמה.
82
188090
2661
לא ולא, רק שאלנו אותם שאלות
בנוגע לסיסמאות שלהם.
03:22
How long is it? Does it have a digitסִפְרָה?
83
190751
1478
מה אורך הסיסמה? האם יש בה ספרה?
03:24
Does it have a symbolסֵמֶל?
84
192229
1068
האם יש בה סימן?
03:25
And were you annoyedמְרוּגָז at havingשיש to createלִיצוֹר
85
193297
2045
והאם הרגיז אתכם הצורך ליצור
03:27
a newחָדָשׁ one last weekשָׁבוּעַ?
86
195342
2744
סיסמה חדשה שבוע שעבר?
03:30
So we got resultsתוצאות from 470 studentsסטודנטים,
87
198086
3206
קיבלנו תוצאות מ-470 סטודנטים,
03:33
facultyסגל and staffצוות,
88
201292
971
סגל הוראה וצוות,
03:34
and indeedאכן we confirmedמְאוּשָׁר that the newחָדָשׁ policyמְדִינִיוּת
89
202263
2514
ואכן מצאנו שהמדיניות החדשה
03:36
was very annoyingמְעַצבֵּן,
90
204777
1453
הייתה מאוד מרגיזה.
03:38
but we alsoגַם foundמצאתי that people said
91
206230
1792
אבל מצאנו גם כן, שאנשים אמרו
03:40
they feltהרגיש more secureלבטח with these newחָדָשׁ passwordsסיסמאות.
92
208022
3130
שהם מרגישים בטוחים יותר עם הסיסמאות הללו.
03:43
We foundמצאתי that mostרוב people knewידע
93
211152
2306
מצאנו שרוב האנשים ידעו
03:45
they were not supposedאמור to
writeלִכתוֹב theirשֶׁלָהֶם passwordסיסמה down,
94
213458
2152
שהם לא אמורים לרשום
את הסיסמה שלהם בשום מקום
03:47
and only 13 percentאָחוּז of them did,
95
215610
2391
ורק 13 אחוזים מהם עשו זאת,
03:50
but disturbinglyמטריד, 80 percentאָחוּז of people
96
218001
2416
אך, באופן מטריד, 80 אחוזים מהם
03:52
said they were reusingשימוש חוזר theirשֶׁלָהֶם passwordסיסמה.
97
220417
2124
אמרו כי הם "ממחזרים" את הסיסמה שלהם.
03:54
Now, this is actuallyלמעשה more dangerousמְסוּכָּן
98
222541
1796
האמת היא שזה יותר מסוכן
03:56
than writingכְּתִיבָה your passwordסיסמה down,
99
224337
2022
מאשר לרשום את הסיסמה איפשהו,
03:58
because it makesעושה you much
more susceptibleרָגִישׁ to attackersהתוקפים.
100
226359
3561
כיוון שזה הופך אתכם להרבה יותר פגיעים.
04:01
So if you have to, writeלִכתוֹב your passwordsסיסמאות down,
101
229920
3118
אז אם אתם מוכרחים,
רשמו לכם את הסיסמה שלכם,
04:05
but don't reuseשימוש חוזר them.
102
233038
1799
אך אל תמחזרו אותה.
04:06
We alsoגַם foundמצאתי some interestingמעניין things
103
234837
1751
מצאנו גם נתונים מעניינים
04:08
about the symbolsסמלים people use in passwordsסיסמאות.
104
236588
2961
על סימנים שאנשים עושים בהם שימוש בסיסמאות.
04:11
So CMUCMU allowsמאפשרים 32 possibleאפשרי symbolsסמלים,
105
239549
2799
האוניברסיטה מאפשרת להכניס 32 תווים סימנים
04:14
but as you can see, there's only a smallקָטָן numberמספר
106
242348
2433
אך כמו שניתן לראות, אנשים משתמשים
04:16
that mostרוב people are usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני,
107
244781
1802
רק במספר קטן של תווים,
04:18
so we're not actuallyלמעשה gettingמקבל very much strengthכוח
108
246583
2941
כך שלמעשה איננו מקבלים סיסמאות חזקות יותר
04:21
from the symbolsסמלים in our passwordsסיסמאות.
109
249524
2466
משימוש בסימנים בסיסמאות שלנו.
04:23
So this was a really interestingמעניין studyלימוד,
110
251990
2711
זה היה מחקר מעניין,
04:26
and now we had dataנתונים from 470 people,
111
254701
2464
ועכשיו היו לנו נתונים מ-470 אנשים,
04:29
but in the schemeתָכְנִית of things,
112
257165
1305
אבל במכלול של הדברים,
04:30
that's really not very much passwordסיסמה dataנתונים,
113
258470
2580
אין כאן הרבה נתוני סיסמאות.
04:33
and so we lookedהביט around to see
114
261050
1445
אז אנחנו מסתכלים סביב ומחפשים
04:34
where could we find additionalנוֹסָף passwordסיסמה dataנתונים?
115
262495
2560
איפה נוכל למצוא נתוני סיסמאות נוספים?
04:37
So it turnsפונה out there are a lot of people
116
265055
2176
מתברר שיש הרבה אנשים
04:39
going around stealingגניבה passwordsסיסמאות,
117
267231
2202
שגונבים סיסמאות.
04:41
and they oftenלעתים קרובות go and postהודעה these passwordsסיסמאות
118
269433
2477
ולעיתים תכופות הם יפרסמו את
04:43
on the Internetאינטרנט.
119
271910
1337
הסיסמאות הללו באינטרנט.
04:45
So we were ableיכול to get accessגִישָׁה
120
273247
1673
אז הצלחנו לקבל גישה
04:46
to some of these stolenגָנוּב passwordסיסמה setsסטים.
121
274920
3970
לכמה מן הסיסמאות הגנובות הללו.
04:50
This is still not really idealאִידֵאָלִי for researchמחקר, thoughאם כי,
122
278890
2328
זה עדיין לא אידיאלי עבור מחקר
04:53
because it's not entirelyלַחֲלוּטִין clearברור
123
281218
2037
כיוון שלא לגמרי ברור
04:55
where all of these passwordsסיסמאות cameבא from,
124
283255
2184
מאין הגיעו כל הסיסמאות הללו,
04:57
or exactlyבְּדִיוּק what policiesמדיניות were in effectהשפעה
125
285439
2242
או מה הייתה המדיניות
04:59
when people createdשנוצר these passwordsסיסמאות.
126
287681
2108
בעת שאנשים יצרו את הסיסמאות הללו.
05:01
So we wanted to find some better sourceמָקוֹר of dataנתונים.
127
289789
3552
לכן רצינו למצוא מקור
טוב יותר עבור הנתונים.
05:05
So we decidedהחליט that one thing we could do
128
293341
1634
החלטנו שיש דבר אחד שנוכל לעשות
05:06
is we could do a studyלימוד and have people
129
294975
2129
וזה מחקר, בו
05:09
actuallyלמעשה createלִיצוֹר passwordsסיסמאות for our studyלימוד.
130
297104
3240
אנשים ייצרו סיסמאות עבור המחקר שלנו.
05:12
So we used a serviceשֵׁרוּת calledשקוראים לו
Amazonאֲמָזוֹנָה Mechanicalמֵכָנִי Turkטורקי,
131
300344
2821
אז השתמשנו בשירות שנקרא
"אמאזון מכניקל טורק"
05:15
and this is a serviceשֵׁרוּת where you can postהודעה
132
303165
2334
זהו שירות שבו ניתן לפרסם באינטרנט
05:17
a smallקָטָן jobעבודה onlineבאינטרנט that takes a minuteדַקָה,
133
305499
2304
עבודות קטנות שלוקחות דקה,
05:19
a fewמְעַטִים minutesדקות, an hourשָׁעָה,
134
307803
1500
כמה דקות, שעה,
05:21
and payלְשַׁלֵם people, a pennyפֶּנִי, tenעשר centsסנט, a fewמְעַטִים dollarsדולר,
135
309303
2584
ולשלם לאנשים, פני, 10 סנט, כמה דולרים,
05:23
to do a taskמְשִׁימָה for you,
136
311887
1346
עבור העבודה שהם עושים עבורך,
05:25
and then you payלְשַׁלֵם them throughדרך Amazonאֲמָזוֹנָה.comcom.
137
313233
2122
ואז משלמים להם דרך אמאזון.קום.
05:27
So we paidשילם people about 50 centsסנט
138
315355
2294
אז שילמנו לאנשים בערך 50 סנט
05:29
to createלִיצוֹר a passwordסיסמה followingהבא our rulesכללים
139
317649
2596
כדי שייצרו עבורנו סיסמאות
על פי הכללים שלנו
05:32
and answeringעונה a surveyסֶקֶר,
140
320245
1410
ויענו על סקר.
05:33
and then we paidשילם them again to come back
141
321655
2525
ואז שילמנו להם שוב
05:36
two daysימים laterיותר מאוחר and logעֵץ in
142
324180
2071
כדי שיחזרו יומיים לאחר מכן ויתחברו למערכת
05:38
usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני theirשֶׁלָהֶם passwordסיסמה and answeringעונה anotherאַחֵר surveyסֶקֶר.
143
326251
2574
בעזרת הסיסמה שיצרו ויענו על סקר נוסף.
05:40
So we did this, and we collectedשנאספו 5,000 passwordsסיסמאות,
144
328825
4464
כך אספנו 5000 סיסמאות.
05:45
and we gaveנתן people a bunchצְרוֹר of differentשונה policiesמדיניות
145
333289
2695
נתנו לאנשים מקבץ של מדיניויות שונות
05:47
to createלִיצוֹר passwordsסיסמאות with.
146
335984
1508
על מנת שייצרו איתם סיסמאות.
05:49
So some people had a prettyיפה easyקַל policyמְדִינִיוּת,
147
337492
1910
חלק מהאנשים קיבלו מדיניות מאוד קלה ופשוטה,
05:51
we call it Basicבסיסי8,
148
339402
1539
קראנו למדיניות הזו בייסיק8,
05:52
and here the only ruleכְּלָל was that your passwordסיסמה
149
340941
2146
ובה יש רק כלל אחד,
05:55
had to have at leastהכי פחות eightשמונה charactersדמויות.
150
343087
3416
שאומר שהסיסמה חייבת להכיל לפחות 8 תווים.
05:58
Then some people had a much harderקשה יותר policyמְדִינִיוּת,
151
346503
2251
חלק מהאנשים קיבלו מדיניות הרבה יותר קשה,
06:00
and this was very similarדוֹמֶה to the CMUCMU policyמְדִינִיוּת,
152
348754
2537
שהייתה מאוד דומה למדיניות
של אוניברסיטת קרנגי מלון,
06:03
that it had to have eightשמונה charactersדמויות
153
351291
1934
בה הסיסמה הייתה חייבת להכיל 8 תווים,
06:05
includingלְרַבּוֹת uppercaseבאותיות רישיות, lowercaseבאותיות קטנות, digitסִפְרָה, symbolסֵמֶל,
154
353225
2376
המורכבים מאותיות גדולות,
אותיות קטנות, ספרה, סימן,
06:07
and passלַעֲבוֹר a dictionaryמילון checkלבדוק.
155
355601
2389
ולעבור בדיקה מילונית.
06:09
And one of the other policiesמדיניות we triedניסה,
156
357990
1335
מדיניות נוספת שניסינו,
06:11
and there were a wholeכֹּל bunchצְרוֹר more,
157
359325
1270
והיו הרבה יותר,
06:12
but one of the onesיחידות we triedניסה was calledשקוראים לו Basicבסיסי16,
158
360595
2240
אבל אחת מהן נקראה בייסיק 16
06:14
and the only requirementדְרִישָׁה here
159
362835
2632
וכאן, הדרישה היחידה הייתה
06:17
was that your passwordסיסמה had
to have at leastהכי פחות 16 charactersדמויות.
160
365467
3153
שהסיסמה תכלול לפחות 16 תווים.
06:20
All right, so now we had 5,000 passwordsסיסמאות,
161
368620
2458
טוב, אז בשלב הזה היו לנו 5000 סיסמאות,
06:23
and so we had much more detailedמְפוֹרָט informationמֵידָע.
162
371078
3563
כך שהיה לנו מידע הרבה יותר מפורט.
06:26
Again we see that there's only a smallקָטָן numberמספר
163
374641
2559
שוב, אנו רואים שאנשים משתמשים
06:29
of symbolsסמלים that people are actuallyלמעשה usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני
164
377200
1915
רק בסמפר מועט של
06:31
in theirשֶׁלָהֶם passwordsסיסמאות.
165
379115
1886
סימנים בסיסמאות שלהם.
06:33
We alsoגַם wanted to get an ideaרַעְיוֹן of how strongחָזָק
166
381001
2599
רצינו גם לקבל מושג בנוגע לכמה חזקות
06:35
the passwordsסיסמאות were that people were creatingיוצר,
167
383600
2771
היו הסיסמאות שאנשים יצרו,
06:38
but as you mayמאי recallלִזכּוֹר, there isn't a good measureלִמְדוֹד
168
386371
2620
אך, כמו שאתם זוכרים, אין אמת מידה
06:40
of passwordסיסמה strengthכוח.
169
388991
1754
לחוזק של סיסמה.
06:42
So what we decidedהחליט to do was to see
170
390745
2312
אז החלטנו לבדוק
06:45
how long it would take to crackסדק these passwordsסיסמאות
171
393057
2370
כמה זמן ייקח לפצח את הסיסמאות הללו,
06:47
usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני the bestהטוב ביותר crackingהִסָדְקוּת toolsכלים
172
395427
1414
בעזרת הכלים הטובים ביותר לפיצוח,
06:48
that the badרַע guys are usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני,
173
396841
1808
שהחבר'ה הרעים משתמשים בהם,
06:50
or that we could find informationמֵידָע about
174
398649
2016
או כלים שנוכל למצוא מידע עליהם
06:52
in the researchמחקר literatureסִפְרוּת.
175
400665
1537
בספרות מחקרית.
06:54
So to give you an ideaרַעְיוֹן of how badרַע guys
176
402202
2758
אז כדי לתת לכם מושג איך החבר'ה הרעים
06:56
go about crackingהִסָדְקוּת passwordsסיסמאות,
177
404960
2170
מצליחים לפצח סיסמאות,
06:59
they will stealלִגנוֹב a passwordסיסמה fileקוֹבֶץ
178
407130
1951
הם יגנבו קובץ סיסמה,
07:01
that will have all of the passwordsסיסמאות
179
409081
2153
שמכיל את כל הסיסמאות
07:03
in kindסוג of a scrambledטָרוּף formטופס, calledשקוראים לו a hashבְּלִיל,
180
411234
2889
בצורה מפוזרת שכזו, שנקראת האש (גיבוב),
07:06
and so what they'llהם יהיו do is they'llהם יהיו make a guessלְנַחֵשׁ
181
414123
2562
ואז ינחשו
07:08
as to what a passwordסיסמה is,
182
416685
1712
מהי הסיסמה,
07:10
runלָרוּץ it throughדרך a hashinghas has functionפוּנקצִיָה,
183
418397
1897
יריצו את זה בפונקציה של גיבוב,
07:12
and see whetherהאם it matchesהתאמות
184
420294
1765
ויראו אם זה מתאים
07:14
the passwordsסיסמאות they have on
theirשֶׁלָהֶם stolenגָנוּב passwordסיסמה listרשימה.
185
422059
3950
לסיסמאות שיש להם ברשימה הגנובה.
07:18
So a dumbמְטוּמטָם attackerתוֹקֵף will try everyכֹּל passwordסיסמה in orderלהזמין.
186
426009
3105
אז תוקף טיפש ינסה כל סיסמה לפי הסדר.
07:21
They'llהם יהיו startהַתחָלָה with AAAAAAAAAA and moveמהלך \ לזוז \ לעבור on to AAAABAAAAB,
187
429114
3568
הם יתחילו עם AAAAA, ימשיכו ל AAAAB
07:24
and this is going to take a really long time
188
432682
2418
וזה ייקח המון זמן
07:27
before they get any passwordsסיסמאות
189
435100
1526
עד שיצליחו למצוא סיסמה כלשהי
07:28
that people are really likelyסָבִיר to actuallyלמעשה have.
190
436626
2697
שסביר שאנשים ישתמשו בה.
07:31
A smartלִכאוֹב attackerתוֹקֵף, on the other handיד,
191
439323
2183
מצד שני, תוקף חכם
07:33
does something much more cleverחכם.
192
441506
1386
יעשה דבר הרבה יותר מתוחכם.
07:34
They look at the passwordsסיסמאות
193
442892
1826
הם יסתכלו על הסיסמאות,
07:36
that are knownידוע to be popularפופולרי
194
444718
1800
שידועות כפופולריות
07:38
from these stolenגָנוּב passwordסיסמה setsסטים,
195
446518
1727
מהסדרות של הגנובות הללו של הסיסמאות,
07:40
and they guessלְנַחֵשׁ those first.
196
448245
1189
והם ינחשו את הסיסמאות האלה קודם כל.
07:41
So they're going to startהַתחָלָה by guessingמנחש "passwordסיסמה,"
197
449434
2134
כך שהם יתחילו בניחוש "סיסמה"
07:43
and then they'llהם יהיו guessלְנַחֵשׁ "I love you," and "monkeyקוֹף,"
198
451568
2751
והם ינחשו "אני אוהב אותך" ו"קוף",
07:46
and "12345678,"
199
454319
2583
וגם "12345678"
07:48
because these are the passwordsסיסמאות
200
456902
1312
כיוון שאלה סיסמאות
07:50
that are mostרוב likelyסָבִיר for people to have.
201
458214
1905
שהסבירות שאנשים משתמשים בהן היא גבוהה.
07:52
In factעוּבדָה, some of you probablyכנראה have these passwordsסיסמאות.
202
460119
3261
למען האמת, ייתכן כי חלק מכם
משתמשים בסיסמאות הללו.
07:57
So what we foundמצאתי
203
465191
1298
אז מה שמצאנו
07:58
by runningרץ all of these 5,000 passwordsסיסמאות we collectedשנאספו
204
466489
3406
על ידי הרצה, של כל 5000 הסיסמאות שאספנו,
08:01
throughדרך these testsבדיקות to see how strongחָזָק they were,
205
469895
4106
במערכת הזו, על מנת לבדוק
כמה חזקות הסיסמאות האלה,
08:06
we foundמצאתי that the long passwordsסיסמאות
206
474001
2752
מצאנו שסיסמאות ארוכות
08:08
were actuallyלמעשה prettyיפה strongחָזָק,
207
476753
1280
היו דווקא חזקות יחסית,
08:10
and the complexמורכב passwordsסיסמאות were prettyיפה strongחָזָק too.
208
478033
3262
והסיסמאות המורכבות היו גם חזקות יחסית.
08:13
Howeverלמרות זאת, when we lookedהביט at the surveyסֶקֶר dataנתונים,
209
481295
2442
מצד שני, כשהסתכלנו בנתוני הסקר,
08:15
we saw that people were really frustratedמְתוּסכָּל
210
483737
3024
ראינו שאנשים היו מאוד מתוסכלים
08:18
by the very complexמורכב passwordsסיסמאות,
211
486761
2339
מהסיסמאות המורכבות,
08:21
and the long passwordsסיסמאות were a lot more usableשָׁמִישׁ,
212
489100
2630
והסיסמאות הארוכות היו הרבה יותר שמישות,
08:23
and in some casesבמקרים, they were actuallyלמעשה
213
491730
1325
ובמקרים מסוימים, הן אפילו
08:25
even strongerיותר חזק than the complexמורכב passwordsסיסמאות.
214
493055
2908
היו יותר חזקות מסיסמאות מורכבות.
08:27
So this suggestsמציע that,
215
495963
1169
זה מצביע על כך
08:29
insteadבמקום זאת of tellingאומר people that they need
216
497132
1703
שבמקום לומר לאנשים שהם צריכים
08:30
to put all these symbolsסמלים and numbersמספרים
217
498835
1522
להכליל סימנים ומספרים
08:32
and crazyמְטוּרָף things into theirשֶׁלָהֶם passwordsסיסמאות,
218
500357
2842
ודברים משוגעים בסיסמאות שלהם,
08:35
we mightאולי be better off just tellingאומר people
219
503199
2022
אולי עדיף שפשוט נאמר להם
08:37
to have long passwordsסיסמאות.
220
505221
2652
שייצרו סיסמאות ארוכות.
08:39
Now here'sהנה the problemבְּעָיָה, thoughאם כי:
221
507873
1792
עכשיו אנו ניצבים בפני בעיה:
08:41
Some people had long passwordsסיסמאות
222
509665
2255
יש אנשים שהיו להם סיסמאות ארוכות
08:43
that actuallyלמעשה weren'tלא היו very strongחָזָק.
223
511920
1555
שבעצם לא היו ממש חזקות.
08:45
You can make long passwordsסיסמאות
224
513475
1997
ניתן ליצור סיסמאות ארוכות
08:47
that are still the sortסוג of thing
225
515472
1556
שעדיין יהיו משהו
08:49
that an attackerתוֹקֵף could easilyבְּקַלוּת guessלְנַחֵשׁ.
226
517028
1742
שהתוקף יצליח לנחש בקלות.
08:50
So we need to do more than
just say long passwordsסיסמאות.
227
518770
3365
לפיכך אנחנו צריכים לדרוש
יותר מרק סיסמה ארוכה.
08:54
There has to be some additionalנוֹסָף requirementsדרישות,
228
522135
1936
צריכות להיות דרישות נוספות.
08:56
and some of our ongoingמתמשך researchמחקר is looking at
229
524071
2969
וחלק מהמחקר המתמשך שלנו מנסה לבחון
08:59
what additionalנוֹסָף requirementsדרישות we should addלְהוֹסִיף
230
527040
2439
אילו דרישות עלינו להוסיף
09:01
to make for strongerיותר חזק passwordsסיסמאות
231
529479
2104
על מנת ליצור סיסמאות חזקות יותר
09:03
that alsoגַם are going to be easyקַל for people
232
531583
2312
שגם יהיו קלות דיים על מנת
09:05
to rememberלִזכּוֹר and typeסוּג.
233
533895
2698
שאנשים יוכלו לזכור ולהקליד אותן.
09:08
Anotherאַחֵר approachגִישָׁה to gettingמקבל people to have
234
536593
2126
גישה נוספת כדי להוביל אנשים
09:10
strongerיותר חזק passwordsסיסמאות is to use a passwordסיסמה meterמטר.
235
538719
2257
ליצירת סיסמאות חזקות היא מד סיסמה.
09:12
Here are some examplesדוגמאות.
236
540976
1385
הנה כמה דוגמאות:
09:14
You mayמאי have seenלראות these on the Internetאינטרנט
237
542361
1401
ייתכן שראיתם את זה באינטרנט
09:15
when you were creatingיוצר passwordsסיסמאות.
238
543762
3057
כשיצרתם סיסמאות חדשות.
09:18
We decidedהחליט to do a studyלימוד to find out
239
546819
2248
החלטנו לעשות מחקר על מנת לגלות
09:21
whetherהאם these passwordסיסמה metersמטר actuallyלמעשה work.
240
549067
2887
האם מדי הסיסמאות הללו אכן עובדים.
09:23
Do they actuallyלמעשה help people
241
551954
1421
האם הם באמת עוזרים לאנשים
09:25
have strongerיותר חזק passwordsסיסמאות,
242
553375
1453
ליצור סיסמאות חזקות יותר,
09:26
and if so, whichאיזה onesיחידות are better?
243
554828
2086
ואם כן, אילו טובים יותר?
09:28
So we testedבָּדוּק passwordסיסמה metersמטר that were
244
556914
2507
אז ניסינו מדי סיסמאות
09:31
differentשונה sizesהגדלים, shapesצורות, colorsצבעים,
245
559421
2098
מגדלים, צורות וצבעים שונים,
09:33
differentשונה wordsמילים nextהַבָּא to them,
246
561519
1416
עם מילים שונות מוצמדות אליהם,
09:34
and we even testedבָּדוּק one that was a dancingריקוד bunnyאַרנֶבֶת.
247
562935
3275
ואפילו בדקנו אחד עם ארנבון שרוקד.
09:38
As you typeסוּג a better passwordסיסמה,
248
566210
1582
כשאתם מקלידים סיסמה טובה יותר,
09:39
the bunnyאַרנֶבֶת dancesריקודים fasterמהיר יותר and fasterמהיר יותר.
249
567792
2539
הארנבון רוקד מהר יותר ויותר.
09:42
So this was prettyיפה funכֵּיף.
250
570331
2529
אז זה היה די כיף.
09:44
What we foundמצאתי
251
572860
1567
מה שמצאנו
09:46
was that passwordסיסמה metersמטר do work.
252
574427
3572
זה שמדי סיסמאות אכן עובדים.
09:49
(Laughterצחוק)
253
577999
1801
09:51
Mostרוב of the passwordסיסמה metersמטר were actuallyלמעשה effectiveיָעִיל,
254
579800
3333
רוב מדי הסיסמאות אכן היו אפקטיביים,
09:55
and the dancingריקוד bunnyאַרנֶבֶת was very effectiveיָעִיל too,
255
583133
2521
והארנבון הרוקד היה אפקטיבי גם הוא,
09:57
but the passwordסיסמה metersמטר that were the mostרוב effectiveיָעִיל
256
585654
2881
אך מדי הסיסמאות האפקטיביים ביותר
10:00
were the onesיחידות that madeעָשׂוּי you work harderקשה יותר
257
588535
2355
היו אלה שגרמו לך לעבוד קשה יותר
10:02
before they gaveנתן you that thumbsאגודל up and said
258
590890
1980
לפני שנתנו לך אור ירוק והודיעו לך
10:04
you were doing a good jobעבודה,
259
592870
1377
שאת/ה עושה עבודה טובה,
10:06
and in factעוּבדָה we foundמצאתי that mostרוב
260
594247
1512
ולמעשה אנחנו מצאנו שרוב
10:07
of the passwordסיסמה metersמטר on the Internetאינטרנט todayהיום
261
595759
2281
מדי הסיסמאות שנמצאים באינטרנט היום
10:10
are too softרַך.
262
598040
952
הם עדינים מדי.
10:10
They tell you you're doing a good jobעבודה too earlyמוקדם,
263
598992
2203
הם אומרים לנו שאנו עושים
עבודה טובה מוקדם מדי,
10:13
and if they would just wait a little bitbit
264
601195
1929
ואם הם רק יחכו עוד קצת
10:15
before givingמַתָן you that positiveחִיוּבִי feedbackמָשׁוֹב,
265
603124
2049
לפני שהם נותנים לכם משוב חיובי
10:17
you probablyכנראה would have better passwordsסיסמאות.
266
605173
3160
כנראה שהיו לנו סיסמאות יותר טובות.
10:20
Now anotherאַחֵר approachגִישָׁה to better passwordsסיסמאות, perhapsאוּלַי,
267
608333
3847
גישה אפשרית נוספת לסיסמאות טובות יותר
10:24
is to use passלַעֲבוֹר phrasesביטויים insteadבמקום זאת of passwordsסיסמאות.
268
612180
2890
היא להשתמש במשפט-סיסמה במקום במילה.
10:27
So this was an xkcdxkcd cartoonקָרִיקָטוּרָה
from a coupleזוּג of yearsשנים agoלִפנֵי,
269
615070
3418
זהו קומיקס של XKCD מלפני כשנתיים
10:30
and the cartoonistקָרִיקָטוּרִיסט suggestsמציע
270
618488
1674
וצייר הקומיקס מציע
10:32
that we should all use passלַעֲבוֹר phrasesביטויים,
271
620162
2196
שכולנו נשתמש במשפטי-סיסמאות,
10:34
and if you look at the secondשְׁנִיָה rowשׁוּרָה of this cartoonקָרִיקָטוּרָה,
272
622358
3170
ואם תסתכלו בשורה השנייה של הקומיקס
10:37
you can see the cartoonistקָרִיקָטוּרִיסט is suggestingמציע
273
625528
1857
תוכלו לראות שהצייר מצביע על כך
10:39
that the passלַעֲבוֹר phraseמִשׁפָּט "correctנכון horseסוּס batteryסוֹלְלָה stapleמִצרָך"
274
627385
3441
שמשפט-הסיסמה: "נכון סוס סוללה סיכה"
10:42
would be a very strongחָזָק passלַעֲבוֹר phraseמִשׁפָּט
275
630826
2481
יהווה סיסמה מאוד חזקה
10:45
and something really easyקַל to rememberלִזכּוֹר.
276
633307
1916
וגם קלה לזכירה.
10:47
He saysאומר, in factעוּבדָה, you've alreadyכְּבָר rememberedנזכר it.
277
635223
2797
למעשה, הוא אומר, אתם כבר זוכרים אותו.
10:50
And so we decidedהחליט to do a researchמחקר studyלימוד
278
638020
2150
ולכן החלטנו לעשות מחקר
10:52
to find out whetherהאם this was trueנָכוֹן or not.
279
640170
2592
על מנת לגלות אם זה אכן נכון.
10:54
In factעוּבדָה, everybodyכולם who I talk to,
280
642762
1775
למען האמת, כל מי שדיברתי איתם,
10:56
who I mentionאִזְכּוּר I'm doing passwordסיסמה researchמחקר,
281
644537
2042
והסברתי להם שאני עושה מחקר בנושא סיסמאות,
10:58
they pointנְקוּדָה out this cartoonקָרִיקָטוּרָה.
282
646579
1400
הזכירו את הקומיקס הזה.
10:59
"Oh, have you seenלראות it? That xkcdxkcd.
283
647979
1574
"אה, ראית את זה? XKCD האלה.
11:01
Correctנכון horseסוּס batteryסוֹלְלָה stapleמִצרָך."
284
649553
1602
נכון סוס סוללה סיכה"
11:03
So we did the researchמחקר studyלימוד to see
285
651155
1806
אז המשכנו לחקור כדי לפענח
11:04
what would actuallyלמעשה happenלִקְרוֹת.
286
652961
2359
לאן זה יוביל.
11:07
So in our studyלימוד, we used Mechanicalמֵכָנִי Turkטורקי again,
287
655320
3060
אז במחקר הזה שלנו,
השתמשנו שוב ב"אמאזון מכניקל טורק"
11:10
and we had the computerמַחשֵׁב pickלִבחוֹר the randomאַקרַאִי wordsמילים
288
658380
4167
והמחשב בחר עבורנו מילים אקראיות
11:14
in the passלַעֲבוֹר phraseמִשׁפָּט.
289
662547
1100
במשפט-סיסמה.
11:15
Now the reasonסיבה we did this
290
663647
1153
הסיבה שעשינו זאת היא
11:16
is that humansבני אנוש are not very good
291
664800
1586
מכיוון שבני אנוש לא מוצלחים כל כך
11:18
at pickingקטיף randomאַקרַאִי wordsמילים.
292
666386
1384
בבחירת מילים אקראיות.
11:19
If we askedשאל a humanבן אנוש to do it,
293
667770
1262
אם בן אנוש היה עושה זאת
11:21
they would pickלִבחוֹר things that were not very randomאַקרַאִי.
294
669032
2998
הוא היה בוחר מילים שאינן אקראיות כל כך.
11:24
So we triedניסה a fewמְעַטִים differentשונה conditionsתנאים.
295
672030
2032
אז ניסינו מספר תנאים שונים.
11:26
In one conditionמַצָב, the computerמַחשֵׁב pickedהרים
296
674062
2090
על פי תנאי אחד, המחשב בחר
11:28
from a dictionaryמילון of the very commonמשותף wordsמילים
297
676152
2216
מתוך מילון של מילים מאוד נפוצות
11:30
in the Englishאנגלית languageשפה,
298
678368
1362
בשפה האנגלית.
11:31
and so you'dהיית רוצה get passלַעֲבוֹר phrasesביטויים like
299
679730
1764
וכך התקבלו משפטי-סיסמה כמו
11:33
"try there threeשְׁלוֹשָׁה come."
300
681494
1924
"נסה שם שלוש בוא".
11:35
And we lookedהביט at that, and we said,
301
683418
1732
הסתכלנו על זה ואמרנו,
11:37
"Well, that doesn't really seemנראה very memorableבלתי נשכח."
302
685150
3050
"טוב, זה לא ממש נראה
כמו משהו שניתן לזכור בקלות"
11:40
So then we triedניסה pickingקטיף wordsמילים
303
688200
2240
אז ניסינו לבחור מילים
11:42
that cameבא from specificספֵּצִיפִי partsחלקים of speechנְאוּם,
304
690440
2521
שמשמשות כחלקים שונים בהבעה,
11:44
so how about noun-verb-adjective-nounשם עצם-שם-שם-שם עצם.
305
692961
2182
למשל שם עצם-שם תואר-פועל-שם עצם.
11:47
That comesבא up with something
that's sortסוג of sentence-likeכמו משפט.
306
695143
2577
שיופיעו כסוג של משהו שמדמה משפט.
11:49
So you can get a passלַעֲבוֹר phraseמִשׁפָּט like
307
697720
2070
כך שנוכל לקבל משפט-סיסמה כמו
11:51
"planלְתַכְנֵן buildsבונה sure powerכּוֹחַ"
308
699790
1308
"תכנית בונה כוח מהימן"
11:53
or "endסוֹף determinesקובע redאָדוֹם drugתְרוּפָה."
309
701098
2786
או "סיום קובע סם אדום"
11:55
And these seemedנראה a little bitbit more memorableבלתי נשכח,
310
703884
2676
ואלה נראו כקלים יותר לזכירה.
11:58
and maybe people would like those a little bitbit better.
311
706560
2822
ואולי אנשים יאהבו אותם קצת יותר.
12:01
We wanted to compareלְהַשְׁווֹת them with passwordsסיסמאות,
312
709382
2572
רצינו להשוות את אלה למילות-סיסמה,
12:03
and so we had the computerמַחשֵׁב
pickלִבחוֹר randomאַקרַאִי passwordsסיסמאות,
313
711954
3196
אז המחשב בחר עבורנו מילות-סיסמה אקראיות,
12:07
and these were niceנֶחְמָד and shortקצר, but as you can see,
314
715150
1990
והן היו נחמדות וקצרות,
אך כמו שאתם יכולים לראות
12:09
they don't really look very memorableבלתי נשכח.
315
717140
2806
הן לא נראות כל כך בלתי-נשכחות.
12:11
And then we decidedהחליט to try something calledשקוראים לו
316
719946
1396
אז החלטנו לנסות משהו שנקרא
12:13
a pronounceableניתן לבטא passwordסיסמה.
317
721342
1646
"סיסמה ניתנת לביטוי"
12:14
So here the computerמַחשֵׁב picksמבחר randomאַקרַאִי syllablesהברות
318
722988
2245
כך המחשב בוחר הברות אקראיות
12:17
and putsמעמיד them togetherיַחַד
319
725233
1134
ומחבר ביניהן
12:18
so you have something sortסוג of pronounceableניתן לבטא,
320
726367
2475
עך שמתקבל משהו יחסית ניתן לביטוי
12:20
like "tufritviטופריטוי" and "vadasabivadasabi."
321
728842
2602
כמו "מדשאיני" או "לביבסאבי"
12:23
That one kindסוג of rollsלחמניות off your tongueלָשׁוֹן.
322
731444
2147
שדי מתגלגל לך על הלשון.
12:25
So these were randomאַקרַאִי passwordsסיסמאות that were
323
733591
2216
אז אלה היו מילות-סיסמה אקראיות
12:27
generatedשנוצר by our computerמַחשֵׁב.
324
735807
2744
שנוצרו על ידי המחשב שלנו.
12:30
So what we foundמצאתי in this studyלימוד was that, surprisinglyלמרבה ההפתעה,
325
738551
2978
כך שמה שמצאנו במחקר הזה, באופן מפתיע,
12:33
passלַעֲבוֹר phrasesביטויים were not actuallyלמעשה all that good.
326
741529
3768
משפטי-סיסמה לא היו
כאלה מצוינים בסופו של דבר.
12:37
People were not really better at rememberingזוכרת
327
745297
2793
אנשים לא זכרו אותם טוב יותר
12:40
the passלַעֲבוֹר phrasesביטויים than these randomאַקרַאִי passwordsסיסמאות,
328
748090
2953
מאשר את מילות הסיסמה.
12:43
and because the passלַעֲבוֹר phrasesביטויים are longerארוך יותר,
329
751043
2754
וגם כיוון שמשפטי-סיסמה ארוכים יותר,
12:45
they tookלקח longerארוך יותר to typeסוּג
330
753797
1226
ולקח יותר זמן להקליד אותם
12:47
and people madeעָשׂוּי more errorsשגיאות while typingהקלדה them in.
331
755023
3010
אנשים טעו יותר בזמן הקלדתם.
12:50
So it's not really a clearברור winלנצח for passלַעֲבוֹר phrasesביטויים.
332
758033
3227
לכן אין כאן הכרעה ברורה
בנושא משפטי-הסיסמה.
12:53
Sorry, all of you xkcdxkcd fansמעריצים.
333
761260
3345
מצטערת, חובבי XKCD.
12:56
On the other handיד, we did find
334
764605
1892
מאידך, מצאנו
12:58
that pronounceableניתן לבטא passwordsסיסמאות
335
766497
1804
שמילות סיסמה שניתנות לביטוי
13:00
workedעבד surprisinglyלמרבה ההפתעה well,
336
768301
1471
עבדו מעולה, באופן מפתיע.
13:01
and so we actuallyלמעשה are doing some more researchמחקר
337
769772
2418
אז אנחנו כרגע חוקרים לעומק
13:04
to see if we can make that
approachגִישָׁה work even better.
338
772190
3195
על מנת לראות אם נוכל לפתח את הגישה הזו.
13:07
So one of the problemsבעיות
339
775385
1812
אחת הבעיות
13:09
with some of the studiesלימודים that we'veיש לנו doneבוצע
340
777197
1623
עם חלק מהמחקרים שביצענו
13:10
is that because they're all doneבוצע
341
778820
1683
זה בגלל שכולם נעשו
13:12
usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני Mechanicalמֵכָנִי Turkטורקי,
342
780503
1590
בעזרת "מכניקל טורק"
13:14
these are not people'sשל אנשים realאמיתי passwordsסיסמאות.
343
782093
1812
אלה לא סיסמאות אמיתיות של מישהו.
13:15
They're the passwordsסיסמאות that they createdשנוצר
344
783905
2105
אלה הן סיסמאות שהם יצרו
13:18
or the computerמַחשֵׁב createdשנוצר for them for our studyלימוד.
345
786010
2495
או שמחשב יצר אותם עבור המחקר שלנו.
13:20
And we wanted to know whetherהאם people
346
788505
1568
ורצינו לדעת האם אנשים
13:22
would actuallyלמעשה behaveלְהִתְנַהֵג the sameאותו way
347
790073
2312
יתנהגו באותו אופן
13:24
with theirשֶׁלָהֶם realאמיתי passwordsסיסמאות.
348
792385
2227
עם הסיסמאות האמיתיות שמשמשות אותם.
13:26
So we talkedדיבר to the informationמֵידָע
securityבִּטָחוֹן officeמִשׂרָד at Carnegieקרנגי Mellonמלון
349
794612
3681
אז דיברנו עם אחראי אבטחת המידע
באוניברסיטת קרנגי מלון
13:30
and askedשאל them if we could
have everybody'sשל כולם realאמיתי passwordsסיסמאות.
350
798293
3803
וביקשנו אם נוכל לקבל
את כל הסיסמאות האמיתיות במערכת.
13:34
Not surprisinglyלמרבה ההפתעה, they were a little bitbit reluctantמסרב
351
802096
1754
כמובן, הם היו די מסויגים
13:35
to shareלַחֲלוֹק them with us,
352
803850
1550
לשתף אותנו בפרטים הללו,
13:37
but we were actuallyלמעשה ableיכול to work out
353
805400
1810
אבל הצלחנו למצוא,
13:39
a systemמערכת with them
354
807210
1040
יחד איתם, שיטה
13:40
where they put all of the realאמיתי passwordsסיסמאות
355
808250
2109
לפיה הם ישימו את כל הסיסמאות
13:42
for 25,000 CMUCMU studentsסטודנטים, facultyסגל and staffצוות,
356
810359
3091
של 25000 סטודנטים, סגל וצוות האוניברסיטה
13:45
into a lockedנָעוּל computerמַחשֵׁב in a lockedנָעוּל roomחֶדֶר,
357
813450
2448
במחשב נעול, בחדר נעול,
13:47
not connectedמְחוּבָּר to the Internetאינטרנט,
358
815898
1394
שאינו מחובר לאינטרנט,
13:49
and they ranרץ codeקוד on it that we wroteכתבתי
359
817292
1848
והם הריצו עליו צופן שאנחנו רשמנו
13:51
to analyzeלְנַתֵחַ these passwordsסיסמאות.
360
819140
2152
כדי לנתח את הסיסמאות הללו.
13:53
They auditedמבוקר our codeקוד.
361
821292
1326
הם ביקרו את הצופן שלנו.
13:54
They ranרץ the codeקוד.
362
822618
1312
הם הריצו את הקוד.
13:55
And so we never actuallyלמעשה saw
363
823930
1738
כך שבעצם לא ראינו כלל
13:57
anybody'sשל מישהו passwordסיסמה.
364
825668
2817
אף אחת מהסיסמאות.
14:00
We got some interestingמעניין resultsתוצאות,
365
828485
1515
קיבלנו תוצאות מעניינות.
14:02
and those of you Tepperטפר studentsסטודנטים in the back
366
830000
1696
ואתם שם מאחור,
הסטודנטים בטפר (בי"ס לעסקים),
14:03
will be very interestedמעוניין in this.
367
831696
2875
זה יעניין אתכם מאוד.
14:06
So we foundמצאתי that the passwordsסיסמאות createdשנוצר
368
834571
3731
מצאנו שהסיסמאות שנוצרו
14:10
by people affiliatedמְסוּנָף with the
schoolבית ספר of computerמַחשֵׁב scienceמַדָע
369
838302
2158
על ידי אנשים שמשויכים לביה"ס למדעי המחשב
14:12
were actuallyלמעשה 1.8 timesפִּי strongerיותר חזק
370
840460
2324
היו פי 1.8 חזקות יותר
14:14
than those affiliatedמְסוּנָף with the businessעֵסֶק schoolבית ספר.
371
842784
3738
מהסיסמאות של המשויכים לביה"ס לעסקים.
14:18
We have lots of other really interestingמעניין
372
846522
2040
יש לנו עוד הרבה
14:20
demographicדמוגרפי informationמֵידָע as well.
373
848562
2238
מידע דמוגרפי מעניין גם כן.
14:22
The other interestingמעניין thing that we foundמצאתי
374
850800
1846
דבר מעניין נוסף שמצאנו
14:24
is that when we comparedבהשוואה
the Carnegieקרנגי Mellonמלון passwordsסיסמאות
375
852646
2440
זה שבהשוואה בין הסיסמאות מהאוניברסיטה
14:27
to the Mechanicalמֵכָנִי Turk-generatedטורק שנוצר passwordsסיסמאות,
376
855086
2283
לסיסמאות שנוצרו דרך "מכניקל טורק"
14:29
there was actuallyלמעשה a lot of similaritiesקווי דמיון,
377
857369
2619
מצאנו שיש הרבה דמיון ביניהן,
14:31
and so this helpedעזר validateלְאַמֵת our researchמחקר methodשִׁיטָה
378
859988
1948
כך שזה נתן תוקף לשיטת המחקר שלנו
14:33
and showלְהַצִיג that actuallyלמעשה, collectingאיסוף passwordsסיסמאות
379
861936
2510
והוכיח שבעצם, איסוף סיסמאות
14:36
usingמבנה יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוניפים יוני these Mechanicalמֵכָנִי Turkטורקי studiesלימודים
380
864446
1808
על ידי שימוש בסקרים ב"מכניקל טורק"
14:38
is actuallyלמעשה a validתָקֵף way to studyלימוד passwordsסיסמאות.
381
866254
2788
זו אכן שיטה תקפה ללמידה של סיסמאות.
14:41
So that was good newsחֲדָשׁוֹת.
382
869042
2285
אז אלה היו חדשות טובות.
14:43
Okay, I want to closeלִסְגוֹר by talkingשִׂיחָה about
383
871327
2414
רציתי לסיים בלדבר על
14:45
some insightsתובנות I gainedזכה while on sabbaticalשבתון
384
873741
2068
כמה תובנות שצברתי במהלך שנת שבתון
14:47
last yearשָׁנָה in the Carnegieקרנגי Mellonמלון artאומנות schoolבית ספר.
385
875809
3201
שלקחתי בשנה שעברה
בביה"ס לאומנות של קרנגי מלון.
14:51
One of the things that I did
386
879010
1281
אחד הדברים שעשיתי
14:52
is I madeעָשׂוּי a numberמספר of quiltsשמיכות,
387
880291
1524
זה הכנתי מספר שמיכות טלאים
14:53
and I madeעָשׂוּי this quiltשמיכה here.
388
881815
1548
והכנתי את שמיכת הטלאים הזו כאן.
14:55
It's calledשקוראים לו "Securityבִּטָחוֹן Blanketשְׂמִיכָה."
389
883363
1899
זה נקרא "שמיכת אבטחה"
14:57
(Laughterצחוק)
390
885262
2431
14:59
And this quiltשמיכה has the 1,000
391
887693
3095
ובשמיכה הזאת יש אלף
15:02
mostרוב frequentתָכוּף passwordsסיסמאות stolenגָנוּב
392
890788
2328
סיסמאות שהן הנגנבות ביותר
15:05
from the RockYouננצח אתכם websiteאתר אינטרנט.
393
893116
2571
מאתר RockYou
15:07
And the sizeגודל of the passwordsסיסמאות is proportionalיַחֲסִי
394
895687
2061
והאורך של הסיסמאות הוא פרופורציונלי
15:09
to how frequentlyבתדירות גבוהה they appearedהופיע
395
897748
1901
לתכיפות בה הסיסמה מופיעה
15:11
in the stolenגָנוּב datasetמערך נתונים.
396
899649
2248
בנתונים של סיסמאות גנובות.
15:13
And what I did is I createdשנוצר this wordמִלָה cloudענן,
397
901897
2632
ומה שעשיתי זה יצרתי את ענן-המילים הזה,
15:16
and I wentהלך throughדרך all 1,000 wordsמילים,
398
904529
2132
עברתי על כל אלף המילים,
15:18
and I categorizedמסווג them into
399
906661
1795
וקיטלגתי אותם
15:20
looseמְשׁוּחרָר thematicנוֹשְׂאִי categoriesקטגוריות.
400
908456
2380
למערכת נושאית כללית.
15:22
And it was, in some casesבמקרים,
401
910836
1903
ובחלק מהמקרים, זה היה
15:24
it was kindסוג of difficultקָשֶׁה to figureדמות out
402
912739
2038
די קשה להחליט
15:26
what categoryקטגוריה they should be in,
403
914777
1755
באיזו קטגוריה לקטלג אותן,
15:28
and then I color-codedמקודד צבע them.
404
916532
1899
ואז סידרתי אותם על פי צבעים.
15:30
So here are some examplesדוגמאות of the difficultyקושי.
405
918431
2619
אז הנה כמה דוגמאות של הקושי בפיענוח.
15:33
So "justinפשוט."
406
921050
1181
אז לדוגמה "ג'סטין"
15:34
Is that the nameשֵׁם of the userמִשׁתַמֵשׁ,
407
922231
1829
האם זה שם המשתמש,
15:36
theirשֶׁלָהֶם boyfriendהֶחָבֵר, theirשֶׁלָהֶם sonבֵּן?
408
924060
1322
שם החבר או הבן?
15:37
Maybe they're a Justinג'סטין Bieberביבר fanאוהד.
409
925382
2888
אולי הם בכלל מעריצים של ג'סטין ביבר.
15:40
Or "princessנסיכה."
410
928270
2225
או "נסיכה"
15:42
Is that a nicknameכינוי?
411
930495
1635
האם זה שם חיבה?
15:44
Are they Disneyדיסני princessנסיכה fansמעריצים?
412
932130
1595
האם אלה הם מעריצים של נסיכת דיסני?
15:45
Or maybe that's the nameשֵׁם of theirשֶׁלָהֶם catחתול.
413
933725
3694
או אולי זהו שם החתולה שלהם.
15:49
"Iloveyouאני אוהב אותך" appearsמופיע manyרב timesפִּי
414
937419
1655
"אניאוהבאותך" מופיע הרבה פעמים
15:51
in manyרב differentשונה languagesשפות.
415
939074
1545
בהרבה שפות שונות.
15:52
There's a lot of love in these passwordsסיסמאות.
416
940619
3735
יש הרבה "אהבה" בסיסמאות הללו.
15:56
If you look carefullyבקפידה, you'llאתה see there's alsoגַם
417
944354
1680
אם תביטו היטב תוכלו לראות
15:58
some profanityניבולי פה,
418
946034
2267
שיש שם גם תועבה,
16:00
but it was really interestingמעניין to me to see
419
948301
1950
אבל זה היה מאוד מעניין עבורי
16:02
that there's a lot more love than hateשִׂנאָה
420
950251
2307
לראות שיש הרבה יותר אהבה משנאה
16:04
in these passwordsסיסמאות.
421
952558
2292
בסיסמאות הללו.
16:06
And there are animalsבעלי חיים,
422
954850
1490
ויש בעלי חיים,
16:08
a lot of animalsבעלי חיים,
423
956340
1360
הרבה בעלי חיים,
16:09
and "monkeyקוֹף" is the mostרוב commonמשותף animalבעל חיים
424
957700
2304
ו"קוף" זה הנפוץ ביותר מביניהם
16:12
and the 14thה mostרוב popularפופולרי passwordסיסמה overallבאופן כללי.
425
960004
3675
והסיסמה ה-14 הנפוצה ביותר ברשימה.
16:15
And this was really curiousסקרן to me,
426
963679
2231
וזה מאוד סיקרן אותי
16:17
and I wonderedתהה, "Why are monkeysקופים so popularפופולרי?"
427
965910
2523
וחשבתי לעצמי
"למה קופים הם כל כך פופולריים?"
16:20
And so in our last passwordסיסמה studyלימוד,
428
968433
3352
וכך, במחקר הסיסמאות האחרון שלנו
16:23
any time we detectedזוהה somebodyמִישֶׁהוּ
429
971785
1686
כל פעם שזיהינו מישהו
16:25
creatingיוצר a passwordסיסמה with the wordמִלָה "monkeyקוֹף" in it,
430
973471
2649
שיצר סיסמה עם המילה "קוף"
16:28
we askedשאל them why they had
a monkeyקוֹף in theirשֶׁלָהֶם passwordסיסמה.
431
976120
3030
שאלנו אותם למה הם החליטו
לכלול קוף בסיסמה שלהם
16:31
And what we foundמצאתי out --
432
979150
1910
ומה שגילינו...
16:33
we foundמצאתי 17 people so farרָחוֹק, I think,
433
981060
2103
גילינו ש-17 אנשים, עד כה, אני חושבת
16:35
who have the wordמִלָה "monkeyקוֹף" --
434
983163
1283
שכללו את המילה "קוף"...
16:36
We foundמצאתי out about a thirdשְׁלִישִׁי of them said
435
984446
1812
מצאנו שכשליש מהם אמרו
16:38
they have a petחיית מחמד namedבשם "monkeyקוֹף"
436
986258
1740
שיש להם חיית מחמד שקוראים לה "קוף"
16:39
or a friendחָבֵר whoseשל מי nicknameכינוי is "monkeyקוֹף,"
437
987998
2291
או חבר שהכינוי שלו זה "קוף"
16:42
and about a thirdשְׁלִישִׁי of them said
438
990289
1660
ושליש מהם אמרו
16:43
that they just like monkeysקופים
439
991949
1533
שהם פשוט אוהבים קופים
16:45
and monkeysקופים are really cuteחָמוּד.
440
993482
1638
ושקופים ממש חמודים.
16:47
And that guy is really cuteחָמוּד.
441
995120
3639
והבחור הזה ממש חמוד.
16:50
So it seemsנראה that at the endסוֹף of the day,
442
998759
3408
כך שנראה, בסופו של יום,
16:54
when we make passwordsסיסמאות,
443
1002167
1783
כשאנחנו יוצרים סיסמאות
16:55
we eitherאוֹ make something that's really easyקַל
444
1003950
1974
אנחנו יוצרים משהו שהוא ממש קל להקליד
16:57
to typeסוּג, a commonמשותף patternתַבְנִית,
445
1005924
3009
כמו תבנית נפוצה,
17:00
or things that remindלְהַזכִּיר us of the wordמִלָה passwordסיסמה
446
1008933
2486
או דברים שמזכירים לנו את מילת הסיסמה
17:03
or the accountחֶשְׁבּוֹן that we'veיש לנו createdשנוצר the passwordסיסמה for,
447
1011419
3312
או את החשבון שעבורו יצרנו את הסיסמה,
17:06
or whateverמה שתגיד.
448
1014731
2617
או כל דבר.
17:09
Or we think about things that make us happyשַׂמֵחַ,
449
1017348
2642
או שאנחנו חושבים על דברים
שגורמים לנו לשמוח.
17:11
and we createלִיצוֹר our passwordסיסמה
450
1019990
1304
ואנחנו יוצרים את הסיסמאות שלנו
17:13
basedמבוסס on things that make us happyשַׂמֵחַ.
451
1021294
2238
בהתבסס על דברים שגורמים לנו לשמוח.
17:15
And while this makesעושה typingהקלדה
452
1023532
2863
ואמנם זה גורם להקלדה
17:18
and rememberingזוכרת your passwordסיסמה more funכֵּיף,
453
1026395
2870
ולזכירה של הסיסמה שלנו להיות מהנים יותר,
17:21
it alsoגַם makesעושה it a lot easierקל יותר
454
1029265
1807
אבל זה גם הופך את הסיסמה שלנו
17:23
to guessלְנַחֵשׁ your passwordסיסמה.
455
1031072
1506
להרבה יותר קלה לניחוש.
17:24
So I know a lot of these TEDTED Talksשיחות
456
1032578
1748
אז אני יודעת שהרבה מהסרטונים הללו ב TED
17:26
are inspirationalמעוררת השראה
457
1034326
1634
הם מעוררי השראה
17:27
and they make you think about niceנֶחְמָד, happyשַׂמֵחַ things,
458
1035960
2461
והם גורמים לכם לחשוב
על דברים נחמדים ומשמחים,
17:30
but when you're creatingיוצר your passwordסיסמה,
459
1038421
1897
אבל כשאתם יוצרים לעצמכם סיסמה,
17:32
try to think about something elseאַחֵר.
460
1040318
1991
נסו לחשוב על משהו אחר.
17:34
Thank you.
461
1042309
1107
תודה.
17:35
(Applauseתְשׁוּאוֹת)
462
1043416
553
Translated by Shira Salingré
Reviewed by Oren Szekatch

▲Back to top

ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com