sponsored links
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

ローリー・フェイス・クレイナー: あなたのpa$$w0rdのどこがいけないの?

March 31, 2014

ローリー・フェイス・クレイナーは、ユーザー(そしてセキュリティーで保護されたウェブサイト) がよく犯してしまう、セキュリティを低下させる意外な誤ちを解明するため 、数千もの実際のパスワードを調査しました。彼女はどのようにして実ユーザーのセキュリティを危険にさらすことなく、実際のパスワードを調査することができたのでしょうか? それ自体面白い話です。もしあなたのパスワードが 123456 であるなら、これは特に知る価値のある秘密の情報でしょう・・・。

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

sponsored links
Double-click the English subtitles below to play the video.
I am a computer science and engineering
professor here at Carnegie Mellon,
私は カーネギーメロン大学の
コンピュータ科学と工学の教授です
00:12
and my research focuses on
usable privacy and security,
ユーザビリティの高いプライバシー保護とセキュリティの研究をしています
00:15
and so my friends like to give me examples
ですので 私の友人は コンピュータシステムでの
00:20
of their frustrations with computing systems,
フラストレーションの例を教えてくれます
00:22
especially frustrations related to
特に うまく機能していない
00:25
unusable privacy and security.
プライバシーとセキュリティーに関してです
00:28
So passwords are something that I hear a lot about.
パスワードの話題を良く耳にします
00:32
A lot of people are frustrated with passwords,
多くの人がパスワードの事にもどかしさを感じています
00:35
and it's bad enough
自分が覚えることの出来る
00:38
when you have to have one really good password
それでいて 誰も思いつかない
00:39
that you can remember
とても良いパスワードを
00:42
but nobody else is going to be able to guess.
ひとつ考えるだけでも十分大変なのに
00:44
But what do you do when you have accounts
百の異なるシステムのアカウントを持ち
00:47
on a hundred different systems
各システムごとに
00:48
and you're supposed to have a unique password
異なるパスワードを
00:50
for each of these systems?
持たなければならないと
どうでしょう?
00:52
It's tough.
大変ですよね
00:55
At Carnegie Mellon, they used to make it
カーネギーメロン大学では かつて簡単に
00:58
actually pretty easy for us
パスワードを覚えれるようになっていました
00:59
to remember our passwords.
パスワードを覚えれるようになっていました
01:01
The password requirement up through 2009
2009年までの パスワードに必要な条件は
01:02
was just that you had to have a password
最低1文字を使った
01:05
with at least one character.
パスワードを持つことでした
01:07
Pretty easy. But then they changed things,
簡単でしょ  
でも大学はこれを変更し
01:09
and at the end of 2009, they announced
2009年の終わりに
01:12
that we were going to have a new policy,
新しいポリシーになることを発表しました
01:15
and this new policy required
新しいポリシーの条件は
01:17
passwords that were at least eight characters long,
パスワードが最低8文字であること
01:19
with an uppercase letter, lowercase letter,
大文字 小文字 を含むこと
01:22
a digit, a symbol,
数字 記号を含むこと
01:24
you couldn't use the same
character more than three times,
同じ文字を3回以上使用しないこと
01:25
and it wasn't allowed to be in a dictionary.
そして 辞書にある単語ではないことでした
01:28
Now, when they implemented this new policy,
さて この新しいポリシーが実施された時
01:30
a lot of people, my colleagues and friends,
私の同僚や友人 大勢の人々が
01:32
came up to me and they said, "Wow,
私の所にやってきて こう言いました
01:34
now that's really unusable.
「これこそ本当に使えない
01:36
Why are they doing this to us,
何故こんなことをするんだ
01:38
and why didn't you stop them?"
止められなかったのかい?」
01:39
And I said, "Well, you know what?
そして 私は こう言いました
01:41
They didn't ask me."
「あのね 尋ねてくれなかったの」
01:42
But I got curious, and I decided to go talk
ただ 私は興味を持ったので
01:44
to the people in charge of our computer systems
コンピュータシステムの担当の方に
01:47
and find out what led them to introduce
なぜ この新しいポリシーを 導入することになったのか
01:49
this new policy,
聞きに行くことにしました
01:52
and they said that the university
そして 彼らは
01:54
had joined a consortium of universities,
大学がコンソーシアムに入り
01:55
and one of the requirements of membership
加盟条件のひとつが
01:58
was that we had to have stronger passwords
新しい条件を満たす パスワードの強化
02:00
that complied with some new requirements,
だったと教えてくれました
02:03
and these requirements were that our passwords
パスワードが大きなエントロピーを
02:05
had to have a lot of entropy.
有するという条件です
02:07
Now entropy is a complicated term,
さて エントロピーとは 分かりにくい単語ですね
02:08
but basically it measures the strength of passwords.
基本的に パスワードのセキュリティーの
強さを測る単語です
02:11
But the thing is, there isn't actually
ですが 問題は エントロピーを測る
02:14
a standard measure of entropy.
標準規格が無いことです
02:16
Now, the National Institute
of Standards and Technology
米国標準技術局 (NIST) には
02:17
has a set of guidelines
エントロピーを測定するための
02:20
which have some rules of thumb
経験則を使った
02:21
for measuring entropy,
一連のガイドラインがあります
02:24
but they don't have anything too specific,
ですが それらは 具体的ではありません
02:25
and the reason they only have rules of thumb
ガイドラインが 経験側だけである理由は
02:28
is it turns out they don't actually have any good data
彼らが パスワードの 十分な
データを持っていないからです
02:31
on passwords.
彼らが パスワードの 十分な
データを持っていないからです
02:34
In fact, their report states,
実際 レポートには こう記されています
02:35
"Unfortunately, we do not have much data
「残念ながら 特定の規則の下で選択された
02:38
on the passwords users
choose under particular rules.
パスワードのデータを多く持っておりません
02:40
NIST would like to obtain more data
NISTは ユーザーが実際選択した
02:43
on the passwords users actually choose,
パスワードのデータをより多く取得したいのですが
02:45
but system administrators
are understandably reluctant
システム管理者は 当然の事ながら
02:48
to reveal password data to others."
他者にパスワードデータを公表するのに消極的です」
02:50
So this is a problem, but our research group
これが問題なのですが私たち研究グループは
02:53
looked at it as an opportunity.
それを良い機会と捉えました
02:56
We said, "Well, there's a need
for good password data.
「なるほど 質の良いパスワード データが
必要とされている
02:58
Maybe we can collect some good password data
おそらく 私達でデータを集めて
03:01
and actually advance the state of the art here.
この分野の水準を高めることが出来るだろう」 と
03:04
So the first thing we did is,
そこで 私達が最初にしたことは
03:06
we got a bag of candy bars
チョコレート バーを買ってきて
03:08
and we walked around campus
キャンパスを歩き回り
03:09
and talked to students, faculty and staff,
学生や教員たちと話をしたことでした
03:11
and asked them for information
そして 彼らのパスワードに関する
03:13
about their passwords.
情報を尋ねました
03:15
Now we didn't say, "Give us your password."
もちろん 「パスワードを教えて下さい」
とは言いません
03:16
No, we just asked them about their password.
ただ パスワードについて質問したのです
03:19
How long is it? Does it have a digit?
どの位の長さか? 数字を含むか?
03:22
Does it have a symbol?
記号を含むか?
03:24
And were you annoyed at having to create
先週 新しいパスワードを
03:25
a new one last week?
作らないといけないのを
めんどくさいと思ったか?
03:27
So we got results from 470 students,
こうして 学生 教員 職員 470人から
結果を得ることができ
03:29
faculty and staff,
こうして 学生 教員 職員 470人から
結果を得ることができ
03:33
and indeed we confirmed that the new policy
新しいポリシーは 実際うっとうしく
思われていること事を確認しました
03:34
was very annoying,
新しいポリシーは 実際うっとうしく
思われていること事を確認しました
03:36
but we also found that people said
しかし同時に 新しいパスワード規定を
03:38
they felt more secure with these new passwords.
より安全と感じたと
言った人もいることが分かりました
03:39
We found that most people knew
多くの人が パスワードを
03:42
they were not supposed to
write their password down,
書き残すべきではないと理解していて
03:45
and only 13 percent of them did,
調査対象の13%の人だけが
そうしていていました
03:47
but disturbingly, 80 percent of people
しかしながら 不安なことに 80%の人が
03:49
said they were reusing their password.
パスワードを使い回していると答えたのです
03:52
Now, this is actually more dangerous
実は こちらの方が パスワードを
03:54
than writing your password down,
書き残すより 危険なのです
03:56
because it makes you much
more susceptible to attackers.
なぜなら ハッカーの攻撃を受けやすく するからです
03:58
So if you have to, write your passwords down,
ですので もし どうしても 必要なのであれば
04:01
but don't reuse them.
書き残してください 使い回さないでください
04:04
We also found some interesting things
私達は また面白い事を発見しました
04:06
about the symbols people use in passwords.
それは パスワードで使われる記号についてです
04:08
So CMU allows 32 possible symbols,
CMUでは 32種類の記号が使用可能ですが
04:11
but as you can see, there's only a small number
ご覧の通り ほとんどの人が
04:14
that most people are using,
ごく限られた記号を使用しています
04:16
so we're not actually getting very much strength
ですので 実際は シンボルを使用することでの
04:18
from the symbols in our passwords.
パスワードの強化は あまり得られません
04:21
So this was a really interesting study,
これは本当に興味深い調査でした
04:23
and now we had data from 470 people,
私達は 470人のデータを得たわけですが
04:26
but in the scheme of things,
世の中全体から見ると
04:28
that's really not very much password data,
そんなに多くのデータではありません
04:30
and so we looked around to see
ですので どこで追加の
04:32
where could we find additional password data?
パスワードデータを見つける事が出来るか
探し始めました
04:34
So it turns out there are a lot of people
そして 世の中には
04:36
going around stealing passwords,
パスワードを盗む人達が大勢いて
04:39
and they often go and post these passwords
彼らは 盗んだパスワードをよくインターネット上に
04:41
on the Internet.
公開している事が分かりました
04:43
So we were able to get access
そこから 私たちは
04:45
to some of these stolen password sets.
盗まれたパスワードにアクセスすることが出来ました
04:46
This is still not really ideal for research, though,
ただ これらは研究には 理想的ではありません
04:50
because it's not entirely clear
なぜなら これらのパスワードが
04:53
where all of these passwords came from,
どこから来たのか
04:55
or exactly what policies were in effect
また どの様なポリシーの下に
04:57
when people created these passwords.
作られたのか 分からないからです
04:59
So we wanted to find some better source of data.
ですので 私達はもっと出所のはっきりした
データが欲しかったのです
05:01
So we decided that one thing we could do
そこで 私達が出来るのは
05:05
is we could do a study and have people
研究用に 人々にパスワードを作ってもらうことでした
05:06
actually create passwords for our study.
研究用に 人々にパスワードを作ってもらうことでした
05:08
So we used a service called
Amazon Mechanical Turk,
そこで アマゾン メカニカル タークという
サービスを使いました
05:12
and this is a service where you can post
これは 一分から数分 一時間 単位で
05:14
a small job online that takes a minute,
出来る小さな仕事を投稿し
05:17
a few minutes, an hour,
1¢10¢ 数$ を支払い
05:19
and pay people, a penny, ten cents, a few dollars,
タスクを実行してもらう
05:21
to do a task for you,
サービスです
05:23
and then you pay them through Amazon.com.
報酬は アマゾンを経由して支払います
05:25
So we paid people about 50 cents
私達は ルールに従ったパスワードを作って
05:27
to create a password following our rules
調査に答えてもらうのに
05:29
and answering a survey,
50¢ほど支払いました
05:32
and then we paid them again to come back
そして またお金を払って2日後戻ってきてもらい
05:33
two days later and log in
作ったパスワードでログインし
05:36
using their password and answering another survey.
他の調査に答えてもらいました
05:38
So we did this, and we collected 5,000 passwords,
これで 5千個のパスワードを集めました
05:40
and we gave people a bunch of different policies
また いくつかの異なるポリシーの下で
05:45
to create passwords with.
パスワードを作って貰いました
05:47
So some people had a pretty easy policy,
人によっては ベーシック8 と呼ばれる
05:49
we call it Basic8,
とてもやさしいポリシーで
05:51
and here the only rule was that your password
最低8文字のパスワードを作ることが
05:52
had to have at least eight characters.
ルールというものでした
05:54
Then some people had a much harder policy,
ある人は とても難解なポリシーを与えられました
05:58
and this was very similar to the CMU policy,
これは CMUのポリシーととても似ていて
06:00
that it had to have eight characters
最低8文字でなければならず
06:03
including uppercase, lowercase, digit, symbol,
大文字 小文字 数字 そして記号を含み
06:05
and pass a dictionary check.
辞書の検査に 通らなければなりません
06:07
And one of the other policies we tried,
非常に多くの調査の中
06:09
and there were a whole bunch more,
試みたポリシーを一つ上げると
06:11
but one of the ones we tried was called Basic16,
ベーシック16と呼ばれるもので
06:12
and the only requirement here
満たさなければならない条件は
06:14
was that your password had
to have at least 16 characters.
最低16文字であるというだけです
06:17
All right, so now we had 5,000 passwords,
こうして 5千のパスワードを獲得し
06:20
and so we had much more detailed information.
はるかに詳細な情報を得ることができました
06:22
Again we see that there's only a small number
再び 私達は パスワードに
06:26
of symbols that people are actually using
ほんの少しの種類の記号しか
06:29
in their passwords.
使われていない事を知りました
06:30
We also wanted to get an idea of how strong
また 私達は 作られたパスワードの
06:32
the passwords were that people were creating,
セキュリティーの高さを 知りたかったのですが
06:35
but as you may recall, there isn't a good measure
ご存知の通り パスワードの性能を測る
06:38
of password strength.
良い基準がありません
06:40
So what we decided to do was to see
ですので ハッカーが使うクラッキングツールを使い
06:42
how long it would take to crack these passwords
又は 研究資料から得られる情報 を使い
06:44
using the best cracking tools
又は 研究資料から得られる情報 を使い
06:47
that the bad guys are using,
どの程度の時間で
06:48
or that we could find information about
パスワードを解読できるかを
06:50
in the research literature.
測定の基準にすることにしました
06:52
So to give you an idea of how bad guys
さて ハッカーがどのようにパスワードを解読するか
06:54
go about cracking passwords,
少しお教えしましょう
06:56
they will steal a password file
彼らは 全てのパスワードが暗号化された
06:58
that will have all of the passwords
ハッシュと呼ばれる
07:00
in kind of a scrambled form, called a hash,
パスワードファイルを盗み
07:03
and so what they'll do is they'll make a guess
パスワードを推測し それに対して
07:05
as to what a password is,
ハッシュ関数を実行し
07:08
run it through a hashing function,
その結果が
07:10
and see whether it matches
彼らが盗んだ
07:12
the passwords they have on
their stolen password list.
パスワード リストのハッシュと
一致するか調べるのです
07:13
So a dumb attacker will try every password in order.
馬鹿なハッカーは 全てのパスワードを
順番に試していきます
07:17
They'll start with AAAAA and move on to AAAAB,
AAAAA から始まり AAAABを次に試すように
07:20
and this is going to take a really long time
この作業は 実際誰かが使っていそうな
07:24
before they get any passwords
パスワードに辿り着くまでに
07:26
that people are really likely to actually have.
すごい時間を費やします
07:28
A smart attacker, on the other hand,
一方 賢いハッカーは
07:31
does something much more clever.
もっと賢い方法をとります
07:33
They look at the passwords
彼らは 盗んだパスワードの一覧から
07:34
that are known to be popular
よく使われているとされている
07:36
from these stolen password sets,
パスワードを調べます
07:38
and they guess those first.
最初にそれらを推測するのです
07:40
So they're going to start by guessing "password,"
"password" を推測することから始め
07:41
and then they'll guess "I love you," and "monkey,"
"I love you" や "monkey"や
07:43
and "12345678,"
"12345678" などを推測するわけです
07:46
because these are the passwords
なぜなら 皆が使っている
07:48
that are most likely for people to have.
可能性が高いパスワードがあるからです
07:50
In fact, some of you probably have these passwords.
実際に あなた方のうち何人かは
これらのパスワードを使っているでしょう
07:51
So what we found
さて ご説明したテストを
07:57
by running all of these 5,000 passwords we collected
収集した5千のパスワードで実行して
07:58
through these tests to see how strong they were,
セキュリティーの強度をチェックしたところ
08:01
we found that the long passwords
長いパスワードは
08:05
were actually pretty strong,
実際 安全性が高いこと
08:08
and the complex passwords were pretty strong too.
そして 複雑なパスワードも
安全性が高いことが分かりました
08:09
However, when we looked at the survey data,
しかしながら 調査データを見ると
08:13
we saw that people were really frustrated
人々は複雑なパスワードに
08:15
by the very complex passwords,
苛立ちを感じていることがわかりました
08:18
and the long passwords were a lot more usable,
そして 長いパスワードの方が より使いやすく
08:20
and in some cases, they were actually
場合によっては
08:23
even stronger than the complex passwords.
複雑なパスワードより 安全性が高い事がわかりました
08:24
So this suggests that,
これは パスワードに
08:27
instead of telling people that they need
記号や数字を入れたり
08:28
to put all these symbols and numbers
複雑な事をお願いするよりも
08:30
and crazy things into their passwords,
ただ 長いパスワードを作るように
08:32
we might be better off just telling people
お願いした方が良いかもしれないという事を
08:35
to have long passwords.
意味しています
08:37
Now here's the problem, though:
ただ ここで問題があります
08:39
Some people had long passwords
人によっては そんなに安全性の高くない
08:41
that actually weren't very strong.
長いパスワードを使っていた事です
08:43
You can make long passwords
ハッカーが 簡単に推測できる
08:45
that are still the sort of thing
長いパスワードを作ることもできてしまうので
08:47
that an attacker could easily guess.
長いパスワードを作ることもできてしまうので
08:48
So we need to do more than
just say long passwords.
長いというだけではダメなのです
08:50
There has to be some additional requirements,
何か 追加の条件が必要なのです
08:53
and some of our ongoing research is looking at
現在 私達が継続している研究のひとつは
08:55
what additional requirements we should add
どのような追加条件を付け加えると
08:58
to make for stronger passwords
簡単に覚えられて タイプできる
09:01
that also are going to be easy for people
安全性の高いパスワードを
09:03
to remember and type.
作れるかです
09:05
Another approach to getting people to have
安全性の高いパスワードを作る事のできる
09:08
stronger passwords is to use a password meter.
他の手段として パスワードメーターがあります
09:10
Here are some examples.
ここにいくつかの例を上げます
09:12
You may have seen these on the Internet
パスワードを作成するとき
09:14
when you were creating passwords.
インターネットでこれらを
見たことがあるかもしれません
09:15
We decided to do a study to find out
私達は これらのパスワードメーターが
09:18
whether these password meters actually work.
実際 機能しているか調査することにしました
09:20
Do they actually help people
メーターは安全性の高い
09:23
have stronger passwords,
パスワードを作るのを助けているのか
09:25
and if so, which ones are better?
そうであれば どのメーターが良いのか?
09:26
So we tested password meters that were
私達は色々なパスワードメーターをテストしました
09:28
different sizes, shapes, colors,
異なる大きさ 形 色
09:31
different words next to them,
メーターの横の言葉が違うもの
09:33
and we even tested one that was a dancing bunny.
ウサギが踊る メーターさえも テストしました
09:34
As you type a better password,
良いパスワードであればあるほど
09:38
the bunny dances faster and faster.
ウサギのダンスが早くなります
09:39
So this was pretty fun.
これは結構面白かったかったですよ
09:42
What we found
調査の結果
09:44
was that password meters do work.
パスワードメータは
機能しているという事が分かりました
09:46
(Laughter)
(笑)
09:49
Most of the password meters were actually effective,
ほとんどのパスワードメーターは 有効です
09:51
and the dancing bunny was very effective too,
ウサギが踊るメータも効果的でした
09:54
but the password meters that were the most effective
しかし 最も効果的なパスワードメーターは
09:57
were the ones that made you work harder
メーターがOKをだすまで
10:00
before they gave you that thumbs up and said
パスワードを考える努力を強制するというものでした
10:02
you were doing a good job,
パスワードを考える努力を強制するというものでした
10:04
and in fact we found that most
今日インターネット上にある
10:06
of the password meters on the Internet today
パスワードメーターのほとんどは優しすぎるのです
10:07
are too soft.
パスワードメーターのほとんどは優しすぎるのです
10:09
They tell you you're doing a good job too early,
メーターは OKを 早く出しすぎているので
10:10
and if they would just wait a little bit
OKサインを出す前に
10:13
before giving you that positive feedback,
もう少し待つように設定されていたら
10:14
you probably would have better passwords.
より良いパスワードになっていたことでしょう
10:16
Now another approach to better passwords, perhaps,
良いパスワードを作るもうひとつの方法は
10:20
is to use pass phrases instead of passwords.
パス’ワード’の変わりにパス’フレーズ’を使うことです
10:24
So this was an xkcd cartoon
from a couple of years ago,
これは 2年前の xkcd の漫画です
10:26
and the cartoonist suggests
この漫画家は
10:30
that we should all use pass phrases,
パスフレーズを使うことを推薦しています
10:31
and if you look at the second row of this cartoon,
そして2行目を見ていただくと
10:34
you can see the cartoonist is suggesting
漫画家はこう言っています
10:37
that the pass phrase "correct horse battery staple"
「correct horse battery staple」 は
(正解 馬 バッテリー ホッチキス)
10:39
would be a very strong pass phrase
とても安全性の高いパスフレーズで
10:42
and something really easy to remember.
そしてとても覚えやすいものだと
10:45
He says, in fact, you've already remembered it.
実際 あなたはすでに覚えたでしょう と
彼は言っています
10:47
And so we decided to do a research study
そこで 私達はこれが本当かどうか
10:49
to find out whether this was true or not.
研究することにしました
10:51
In fact, everybody who I talk to,
実際 私がパスワードの研究をしていると話した人 皆が
10:54
who I mention I'm doing password research,
実際 私がパスワードの研究をしていると話した人 皆が
10:56
they point out this cartoon.
この漫画の事を指摘しました
10:58
"Oh, have you seen it? That xkcd.
「おー xkcdの漫画 見たことある?
10:59
Correct horse battery staple."
正解 馬 バッテリー ホッチキス」
11:01
So we did the research study to see
そこで 実際どうなのか 調査しました
11:02
what would actually happen.
そこで 実際どうなのか 調査しました
11:04
So in our study, we used Mechanical Turk again,
調査には 再びメカニカル タークを使い
11:07
and we had the computer pick the random words
コンピュータに パスフレーズのランダムな単語を
11:10
in the pass phrase.
選択させました
11:14
Now the reason we did this
こうした理由は
11:15
is that humans are not very good
人間はランダムに単語を選ぶのが
11:16
at picking random words.
苦手だからです
11:18
If we asked a human to do it,
人に これをお願いすると
11:19
they would pick things that were not very random.
そんなにランダムではない単語を選んでしまうのです
11:20
So we tried a few different conditions.
私達はいくつか違う条件を試しました
11:23
In one condition, the computer picked
ひとつは コンピュータに
11:25
from a dictionary of the very common words
辞書の中から良く使われる英単語を
11:27
in the English language,
選択させるようにしました
11:30
and so you'd get pass phrases like
この様なフレーズです
11:31
"try there three come."
"try there three come"
11:33
And we looked at that, and we said,
私達は これを見て こう言いました
11:35
"Well, that doesn't really seem very memorable."
「うむ これはあまり覚えやすそうにないな」 と
11:36
So then we tried picking words
そこで 私達は スピーチの特定の部分の
11:40
that came from specific parts of speech,
単語を使うことを試みました
11:42
so how about noun-verb-adjective-noun.
すなわち 名詞‐動詞‐形容詞‐名詞 というような
11:44
That comes up with something
that's sort of sentence-like.
何か 文章のようなもので
11:46
So you can get a pass phrase like
以下の様なパスフレーズです
11:49
"plan builds sure power"
"plan builds sure power" や
11:51
or "end determines red drug."
"end determines red drug" です
11:52
And these seemed a little bit more memorable,
これらは 覚えやすそうで
11:55
and maybe people would like those a little bit better.
人々に もう少し 好まれそうに見えました
11:58
We wanted to compare them with passwords,
私達は これらをパスワードと比較したかったので
12:01
and so we had the computer
pick random passwords,
コンピュータに ランダムな
パスワードを選択させました
12:03
and these were nice and short, but as you can see,
これらは とても短いですが
12:06
they don't really look very memorable.
ご覧の通り 覚えやすそうには見えません
12:08
And then we decided to try something called
次に 私達は 発音できるパスワード
12:11
a pronounceable password.
というものを試すことにしました
12:13
So here the computer picks random syllables
コンピュータがランダムな音節を選択し
12:14
and puts them together
それを 発音可能になるように組み立てます
12:17
so you have something sort of pronounceable,
それを 発音可能になるように組み立てます
12:18
like "tufritvi" and "vadasabi."
"tufritive" や "vadasabi"ように
12:20
That one kind of rolls off your tongue.
発音しやすいようなものにするのです
12:23
So these were random passwords that were
これらが コンピュータによって作られた
12:25
generated by our computer.
ランダムなパスワードです
12:27
So what we found in this study was that, surprisingly,
この研究で発見したことは 驚いたことに
12:30
pass phrases were not actually all that good.
パスフレーズは
そんなに良いものではないということでした
12:33
People were not really better at remembering
人々は ランダムなパスワードよりも パスフレーズを
12:37
the pass phrases than these random passwords,
覚えることに関して
そんなに長けてはいなかったのです
12:39
and because the pass phrases are longer,
なぜなら パスフレーズは長く
12:42
they took longer to type
入力に時間が掛かるので
12:45
and people made more errors while typing them in.
タイプする時に間違ってしまうからです
12:46
So it's not really a clear win for pass phrases.
ですので パスフレーズの
圧勝というわけにはいきませんでした
12:49
Sorry, all of you xkcd fans.
xkcd ファンの皆さん ごめんなさい
12:53
On the other hand, we did find
一方 私達は 発音可能なパスワードが
12:56
that pronounceable passwords
驚くほど 上手く機能していることが 分かったので
12:58
worked surprisingly well,
意外に 上手く機能していることが 分かったので
13:00
and so we actually are doing some more research
この方法を さらに機能的にすることが出来るか
13:01
to see if we can make that
approach work even better.
もう少し研究をすることにしました
13:04
So one of the problems
私達が行なった
いくつかの研究の中での 問題のひとつは
13:07
with some of the studies that we've done
私達が行なった
いくつかの研究の中での 問題のひとつは
13:09
is that because they're all done
これら研究全てで メカニカル タークが使われていて
13:10
using Mechanical Turk,
これら研究全てで メカニカル タークが使われていて
13:12
these are not people's real passwords.
実際のパスワードではないことです
13:13
They're the passwords that they created
メカニカルタークで作ったものか
13:15
or the computer created for them for our study.
コンピュータが研究用に作った物なのです
13:17
And we wanted to know whether people
私達は 一般の方々が実際
13:20
would actually behave the same way
本当のパスワードで
13:21
with their real passwords.
同じような行動を取るか知りたいと思いました
13:24
So we talked to the information
security office at Carnegie Mellon
そこで 私達は カーネギーメロンの
情報セキュリティー オフィスに
13:26
and asked them if we could
have everybody's real passwords.
学校 皆のパスワードを調査できないか尋ねました
13:30
Not surprisingly, they were a little bit reluctant
予想通り 彼らは私達に見せることを
13:33
to share them with us,
少し躊躇していましたが
13:35
but we were actually able to work out
何とか 彼らと共に あるシステムを
13:37
a system with them
成立させました
13:39
where they put all of the real passwords
大学の生徒 教員 職員
13:40
for 25,000 CMU students, faculty and staff,
2万5千個のパスワードを 鍵をかけた部屋にある
13:42
into a locked computer in a locked room,
ロックされたコンピュータに入れ
13:45
not connected to the Internet,
インターネットから遮断した上で
13:47
and they ran code on it that we wrote
パスワードを解析する為に私達が書いた
13:49
to analyze these passwords.
コードを彼らに実行してもらいました
13:50
They audited our code.
彼らは 私達のコードを検閲し
13:53
They ran the code.
コードを実行しました
13:54
And so we never actually saw
ですので 私達は実際に
13:55
anybody's password.
誰のパスワードも見ていません
13:57
We got some interesting results,
研究から 面白い結果を得ました
14:00
and those of you Tepper students in the back
後ろにいる テッパーの学生には
14:01
will be very interested in this.
とても興味深いものだと思います
14:03
So we found that the passwords created
コンピュータサイエンス学部に属している
14:06
by people affiliated with the
school of computer science
学生が作ったパスワードは
14:10
were actually 1.8 times stronger
経営学部の学生のものより
14:12
than those affiliated with the business school.
1.8倍安全性が高いことが分かりました
14:14
We have lots of other really interesting
私達は また とても興味深い
14:18
demographic information as well.
人口学的情報も たくさん得ることができました
14:20
The other interesting thing that we found
他に 発見した興味深いことは
14:22
is that when we compared
the Carnegie Mellon passwords
メカニカルタークで作成されたパスワードと
14:24
to the Mechanical Turk-generated passwords,
カーネギーメロンのパスワードを比較したとき
14:26
there was actually a lot of similarities,
それらはとても似ていたことです
14:29
and so this helped validate our research method
これは 研究方法を実証する助けとなり
14:31
and show that actually, collecting passwords
メカニカルタークを使ってパスワードを集める事は
14:33
using these Mechanical Turk studies
研究に正当な方法である
14:36
is actually a valid way to study passwords.
ことを示していました
14:38
So that was good news.
これは 良いニュースでした
14:40
Okay, I want to close by talking about
さて 去年 私が大学の芸術学部で
14:43
some insights I gained while on sabbatical
研究休暇を取った時の事を
14:45
last year in the Carnegie Mellon art school.
お話して終わりにしたいと思います
14:47
One of the things that I did
私がやった事のひとつは
14:50
is I made a number of quilts,
たくさんのキルトを作った事です
14:52
and I made this quilt here.
ここにあるキルトも作りました
14:53
It's called "Security Blanket."
「セキュリティー ブランケット」といいます
14:55
(Laughter)
(笑)
14:57
And this quilt has the 1,000
このキルトにはRockYou サイトから
14:59
most frequent passwords stolen
盗まれたパスワードのうち最も頻度の高い
15:02
from the RockYou website.
千個のパスワードが縫いこまれています
15:04
And the size of the passwords is proportional
そして パスワードの大きさは
15:07
to how frequently they appeared
盗まれたデータセットの中に
15:09
in the stolen dataset.
現れる頻度に比例しています
15:11
And what I did is I created this word cloud,
私は これらの単語のワードクラウドを作り
15:13
and I went through all 1,000 words,
千個全ての単語を見直し
15:16
and I categorized them into
大体のテーマ別のカテゴリーに 分類しました
15:18
loose thematic categories.
大体のテーマ別のカテゴリーに 分類しました
15:20
And it was, in some cases,
時として
15:22
it was kind of difficult to figure out
どのカテゴリーに属すか 判断するのが
15:24
what category they should be in,
難しい物もありました
15:26
and then I color-coded them.
そして 私は それらを色分けしました
15:28
So here are some examples of the difficulty.
これらが 難しかった例のいくつかです
15:30
So "justin."
例えば "justin"
15:32
Is that the name of the user,
これは ユーザーの名前でしょうか
15:34
their boyfriend, their son?
彼氏 又は息子の名前でしょうか?
15:35
Maybe they're a Justin Bieber fan.
ジャスティン ビーバーのファンかもしれません
15:37
Or "princess."
あるいは "princess"
15:40
Is that a nickname?
ニックネームでしょうか?
15:42
Are they Disney princess fans?
ディズニー プリンセスのファンでしょうか?
15:43
Or maybe that's the name of their cat.
ひょっとしたら 猫の名前かもしれません
15:45
"Iloveyou" appears many times
「Iloveyou」 は 色々な言語で
15:49
in many different languages.
よく見受けられました
15:50
There's a lot of love in these passwords.
パスワードには愛が込められているのです
15:52
If you look carefully, you'll see there's also
注意深く見ていると みだらな言葉が
15:56
some profanity,
使われているのも見受けられます
15:57
but it was really interesting to me to see
でも 憎しみよりも はるかに多くの
16:00
that there's a lot more love than hate
愛の言葉が パスワードに使われていることは
16:02
in these passwords.
とても興味深いことです
16:04
And there are animals,
そして 動物
16:06
a lot of animals,
多くの動物の名前が使われています
16:08
and "monkey" is the most common animal
「monkey」 (サル)は最もよく使われる動物で
16:09
and the 14th most popular password overall.
全体の人気パスワードの中でも14位に入ります
16:11
And this was really curious to me,
私はこれをとても興味深く思い
16:15
and I wondered, "Why are monkeys so popular?"
「なぜ サルがこんなにも人気なのか?」
と疑問に思いました
16:17
And so in our last password study,
ですので 最後の研究に
16:20
any time we detected somebody
"monkey" と
16:23
creating a password with the word "monkey" in it,
パスワードに入れた人を探し
16:25
we asked them why they had
a monkey in their password.
なぜ サルをパスワードに入れたのか
尋ねることにしました
16:27
And what we found out --
そして分かったことは
16:30
we found 17 people so far, I think,
-今のところ 「サル」の単語を使ったと思われる
16:32
who have the word "monkey" --
人を17人を見つけました-
16:34
We found out about a third of them said
約1/3の人はペットに“サル"と名付けた
16:36
they have a pet named "monkey"
約1/3の人はペットに“サル"と名付けた
16:38
or a friend whose nickname is "monkey,"
又は “サル" というあだ名の友達がいる
ということでした
16:39
and about a third of them said
そして 他の約1/3は
16:42
that they just like monkeys
サルが好きで 可愛いいと
16:43
and monkeys are really cute.
思っている言っていました
16:45
And that guy is really cute.
彼は 本当に可愛いですね
16:46
So it seems that at the end of the day,
結局のところ
16:50
when we make passwords,
私達はパスワードを作るとき
16:53
we either make something that's really easy
入力するのがとても簡単なもの
16:55
to type, a common pattern,
ありがちなパターン
16:57
or things that remind us of the word password
"password"という単語や
17:00
or the account that we've created the password for,
あるいはアカウント名を連想するもの
17:03
or whatever.
など脆弱なものを選んでしまうのです
17:06
Or we think about things that make us happy,
もしくは 私達を幸せにしてくれるものを思い浮かべ
17:09
and we create our password
それをもとに
17:11
based on things that make us happy.
パスワードを作ります
17:13
And while this makes typing
こういったパスワードは
17:15
and remembering your password more fun,
覚えやすくて入力するのも楽しいのですが
17:18
it also makes it a lot easier
同時に簡単に破られてしまいます
17:21
to guess your password.
同時に簡単に破られてしまいます
17:22
So I know a lot of these TED Talks
ですので TED Talksの多くは
17:24
are inspirational
とても感動的で 私達に 素敵で
17:26
and they make you think about nice, happy things,
幸せな事を考えさせてくれますが
17:27
but when you're creating your password,
パスワードを作るときは
17:30
try to think about something else.
他の事を考えて作るようにしてください
17:32
Thank you.
ありがとうございました
17:34
(Applause)
(拍手)
17:35
Translator:Kayo Kallas
Reviewer:Shuichi Sakai

sponsored links

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

sponsored links

If you need translations, you can install "Google Translate" extension into your Chrome Browser.
Furthermore, you can change playback rate by installing "Video Speed Controller" extension.

Data provided by TED.

This website is owned and operated by Tokyo English Network.
The developer's blog is here.