ABOUT THE SPEAKER

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com

TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Wat is er mis met ons w@chtw00rd?

Filmed: 2014-03-31

Readability: 4.5

1,566,161 views

Lorrie Faith Cranor heeft duizenden echte wachtwoorden bestudeerd en heeft verrassende, veelgemaakte fouten gevonden die gebruikers -- en beveiligde websites -- maken en de veiligheid in gevaar brengen. Je zult je afvragen hoe ze duizenden echte wachtwoorden heeft kunnen bestuderen zonder inbreuk op de veiligheid van de gebruikers. Dat is een verhaal op zich. Dat geheim moet je kennen, zeker als je wachtwoord 123456 is...

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

00:12

I am a computercomputer sciencewetenschap and engineeringbouwkunde
professorprofessor here at CarnegieCarnegie MellonMellon,

0

535

3445

Ik ben professor in computerwetenschappen
hier op Carnegie Mellon.

00:15

and my researchOnderzoek focusesricht zich on
usablebruikbaar privacyprivacy and securityveiligheid,

1

3980

4248

Mijn onderzoek richt zich op
bruikbare privacy en beveiliging.

00:20

and so my friendsvrienden like to give me examplesvoorbeelden

2

8228

2768

Mijn vrienden geven me graag voorbeelden

00:22

of theirhun frustrationsfrustraties with computinggegevensverwerking systemssystemen,

3

10996

2202

van hun frustraties met computersystemen.

00:25

especiallyvooral frustrationsfrustraties relatedverwant to

4

13198

3354

Vooral frustraties die te maken hebben

00:28

unusableonbruikbaar privacyprivacy and securityveiligheid.

5

16552

4112

met onbruikbare privacy en beveiliging.

00:32

So passwordswachtwoorden are something that I hearhoren a lot about.

6

20664

2711

Ik hoor dus veel over wachtwoorden.

00:35

A lot of people are frustratedgefrustreerd with passwordswachtwoorden,

7

23375

2880

Veel mensen zijn gefrustreerd
door wachtwoorden.

00:38

and it's badslecht enoughgenoeg

8

26255

1694

Het is al erg genoeg

00:39

when you have to have one really good passwordwachtwoord

9

27949

2644

als je één goed wachtwoord moet hebben

00:42

that you can rememberonthouden

10

30593

1822

dat je kunt onthouden,

00:44

but nobodyniemand elseanders is going to be ablein staat to guessraden.

11

32415

2894

maar dat niemand kan raden.

00:47

But what do you do when you have accountsrekeningen

12

35309

1637

Maar wat moet je doen
als je accounts hebt

00:48

on a hundredhonderd differentverschillend systemssystemen

13

36946

1808

voor honderden systemen

00:50

and you're supposedvermeend to have a uniqueuniek passwordwachtwoord

14

38754

2276

en je moet een uniek wachtwoord hebben

00:53

for eachelk of these systemssystemen?

15

41030

3037

voor al die systemen?

00:56

It's toughtaai.

16

44067

2184

Dat is lastig.

00:58

At CarnegieCarnegie MellonMellon, they used to make it

17

46251

1759

Op Carnegie Mellon maakten ze het

01:00

actuallywerkelijk prettymooi easygemakkelijk for us

18

48010

1299

redelijk makkelijk voor ons

01:01

to rememberonthouden our passwordswachtwoorden.

19

49309

1737

om onze wachtwoorden te onthouden.

01:03

The passwordwachtwoord requirementeis up throughdoor 2009

20

51046

2403

De wachtwoordvereisten waren tot 2009

01:05

was just that you had to have a passwordwachtwoord

21

53449

2379

dat je gewoon een wachtwoord moest hebben

01:07

with at leastminst one characterkarakter.

22

55828

2211

met minimaal 1 teken.

01:10

PrettyVrij easygemakkelijk. But then they changedveranderd things,

23

58039

2888

Nogal simpel.
Maar toen veranderden ze dat.

01:12

and at the endeinde of 2009, they announcedaangekondigd

24

60927

2670

Tegen het einde van 2009 verkondigden ze

01:15

that we were going to have a newnieuwe policyhet beleid,

25

63597

2376

dat we een nieuw beleid kregen.

01:17

and this newnieuwe policyhet beleid requirednodig

26

65973

1863

Dit beleid eiste

01:19

passwordswachtwoorden that were at leastminst eightacht characterstekens long,

27

67836

2681

dat wachtwoorden minimaal
8 tekens moesten hebben,

01:22

with an uppercasehoofdletters letterbrief, lowercasekleine letters letterbrief,

28

70517

1775

met een hoofdletter, kleine letter,

01:24

a digitcijfers, a symbolsymbool,

29

72292

1288

een cijfer, een teken,

01:25

you couldn'tkon het niet use the samedezelfde
characterkarakter more than threedrie timestijden,

30

73580

2638

je mocht niet 3 dezelfde tekens hebben

01:28

and it wasn'twas niet allowedtoegestaan to be in a dictionarywoordenboek.

31

76218

2434

en het mocht niet
in het woordenboek staan.

01:30

Now, when they implementedgeïmplementeerd this newnieuwe policyhet beleid,

32

78652

2182

Toen ze dat nieuwe beleid toepasten,

01:32

a lot of people, my colleaguescollega's and friendsvrienden,

33

80834

2310

zeiden veel mensen, collega's
en vrienden me:

01:35

camekwam up to me and they said, "WowWow,

34

83144

1854

"Poeh, dit is echt niet te doen.

01:36

now that's really unusableonbruikbaar.

35

84998

1512

01:38

Why are they doing this to us,

36

86510

1193

Waarom doen ze ons dat aan

01:39

and why didn't you stop them?"

37

87703

1711

en waarom houd je ze niet tegen?"

01:41

And I said, "Well, you know what?

38

89414

1356

Ik zei: "Weet je?

01:42

They didn't askvragen me."

39

90770

1508

Ze hebben mij niets gevraagd."

01:44

But I got curiousnieuwsgierig, and I decidedbeslist to go talk

40

92278

3465

Maar ik werd nieuwsgierig en ging praten

01:47

to the people in chargein rekening brengen of our computercomputer systemssystemen

41

95743

1937

met onze systeembeheerders

01:49

and find out what led them to introducevoorstellen

42

97680

2831

en ontdekte waarom ze

01:52

this newnieuwe policyhet beleid,

43

100511

1848

dit beleid hadden bedacht.

01:54

and they said that the universityUniversiteit

44

102359

1584

Ze zeiden dat de universiteit

01:55

had joinedtoegetreden a consortiumconsortium of universitiesuniversiteiten,

45

103943

2366

was gaan samenwerken
met andere universiteiten

01:58

and one of the requirementsvereisten of membershiplidmaatschap

46

106309

2634

en dat een van de voorwaarden was

02:00

was that we had to have strongersterker passwordswachtwoorden

47

108943

2248

dat we veiligere wachtwoorden kregen

02:03

that compliedin acht genomen with some newnieuwe requirementsvereisten,

48

111191

2272

die voldeden aan nieuwe voorwaarden.

02:05

and these requirementsvereisten were that our passwordswachtwoorden

49

113463

2104

Die vereisten
dat onze wachtwoorden

02:07

had to have a lot of entropyentropie.

50

115567

1604

niet voorspelbaar mochten zijn.

02:09

Now entropyentropie is a complicatedingewikkeld termtermijn,

51

117171

2278

Onvoorspelbaarheid
is een ingewikkelde term.

02:11

but basicallyeigenlijk it measuresmaatregelen the strengthkracht of passwordswachtwoorden.

52

119449

2798

Ze geeft de sterkte
van het wachtwoord weer,

02:14

But the thing is, there isn't actuallywerkelijk

53

122247

1979

maar er is eigenlijk geen
standaardmaat voor onvoorspelbaarheid.

02:16

a standardstandaard- measuremaatregel of entropyentropie.

54

124226

1949

02:18

Now, the NationalNationale InstituteInstituut
of StandardsNormen and TechnologyTechnologie

55

126175

2399

Het National Institute
of Standards and Technology

02:20

has a setreeks of guidelinesrichtlijnen

56

128574

1553

heeft een paar richtlijnen

02:22

whichwelke have some rulesreglement of thumbduim

57

130127

2568

met wat vuistregels

om onvoorspelbaarheid te meten,

02:24

for measuringmeten entropyentropie,

58

132695

1440

02:26

but they don't have anything too specificspecifiek,

59

134135

2895

maar ze hebben niets specifieks.

02:29

and the reasonreden they only have rulesreglement of thumbduim

60

137030

2337

De reden dat ze alleen
vuistregels hebben

02:31

is it turnsbochten out they don't actuallywerkelijk have any good datagegevens

61

139367

3136

is dat ze geen goede informatie hebben

02:34

on passwordswachtwoorden.

62

142503

1520

over wachtwoorden.

02:36

In factfeit, theirhun reportrapport statesstaten,

63

144023

2312

Hun rapport zegt zelfs:

02:38

"UnfortunatelyHelaas, we do not have much datagegevens

64

146335

2328

"Helaas hebben we niet veel gegevens

02:40

on the passwordswachtwoorden usersgebruikers
chooseKiezen underonder particularbijzonder rulesreglement.

65

148663

2842

over welke wachtwoorden men kiest
bij bepaalde regels.

02:43

NISTNIST would like to obtainverkrijgen more datagegevens

66

151505

2333

NIST wil meer informatie hebben

02:45

on the passwordswachtwoorden usersgebruikers actuallywerkelijk chooseKiezen,

67

153838

2462

over de wachtwoorden die men kiest,

02:48

but systemsysteem administratorsadministrators
are understandablybegrijpelijkerwijs reluctantonwillig

68

156300

2463

maar systeembeheerders zijn
natuurlijk terughoudend

02:50

to revealonthullen passwordwachtwoord datagegevens to othersanderen."

69

158763

2940

om wachtwoordgegevens openbaar te maken."

02:53

So this is a problemprobleem, but our researchOnderzoek groupgroep

70

161703

3097

Dat is dus een probleem,
maar ons onderzoeksteam

02:56

lookedkeek at it as an opportunitykans.

71

164800

2140

vond dat een uitdaging.

02:58

We said, "Well, there's a need
for good passwordwachtwoord datagegevens.

72

166940

3100

We zeiden: "Er is behoefte aan
goede wachtwoordgegevens.

03:02

Maybe we can collectverzamelen some good passwordwachtwoord datagegevens

73

170040

2148

We zouden ze kunnen verzamelen

03:04

and actuallywerkelijk advancevan te voren the statestaat of the artkunst here.

74

172188

2704

en de kennis daarover verspreiden."

03:06

So the first thing we did is,

75

174892

1672

Eerst regelden we
een grote zak snoeprepen,

03:08

we got a bagzak of candysnoep barsbars

76

176564

1556

03:10

and we walkedwandelde around campuscampus

77

178120

1086

en gingen over de campus wandelen

03:11

and talkedgesproken to studentsstudenten, facultyfaculteit and staffpersoneel,

78

179206

2798

om studenten, professoren
en medewerkers

03:14

and askedgevraagd them for informationinformatie

79

182004

1530

naar informatie te vragen

03:15

about theirhun passwordswachtwoorden.

80

183534

1552

over hun wachtwoorden.

03:17

Now we didn't say, "Give us your passwordwachtwoord."

81

185086

3004

We zeiden niet: "Geef me je wachtwoord."

03:20

No, we just askedgevraagd them about theirhun passwordwachtwoord.

82

188090

2661

We stelden vragen óver hun wachtwoord.

03:22

How long is it? Does it have a digitcijfers?

83

190751

1478

Hoe lang is het? Zit er een cijfer in?
En een vreemd teken?

03:24

Does it have a symbolsymbool?

84

192229

1068

03:25

And were you annoyedgeërgerd at havingmet to createcreëren

85

193297

2045

Was het vervelend

dat je er vorige week
een nieuw moest aanmaken?

03:27

a newnieuwe one last weekweek?

86

195342

2744

03:30

So we got resultsuitslagen from 470 studentsstudenten,

87

198086

3206

Zo kregen we gegevens over 470 studenten,
professoren en medewerkers,

03:33

facultyfaculteit and staffpersoneel,

88

201292

971

03:34

and indeedinderdaad we confirmedbevestigd that the newnieuwe policyhet beleid

89

202263

2514

en zagen dat het nieuwe beleid
inderdaad erg lastig was.

03:36

was very annoyingvervelend,

90

204777

1453

03:38

but we alsoook foundgevonden that people said

91

206230

1792

We vonden ook mensen

03:40

they feltvoelde more securebeveiligen with these newnieuwe passwordswachtwoorden.

92

208022

3130

die het veiliger vonden
met deze wachtwoorden.

03:43

We foundgevonden that mostmeest people knewwist

93

211152

2306

Het bleek dat de meesten wisten

03:45

they were not supposedvermeend to
writeschrijven theirhun passwordwachtwoord down,

94

213458

2152

dat ze hun wachtwoord
niet mochten noteren,

03:47

and only 13 percentprocent of them did,

95

215610

2391

en slechts 13% deed dat.

03:50

but disturbinglystorend, 80 percentprocent of people

96

218001

2416

80% zei echter

03:52

said they were reusinghergebruiken theirhun passwordwachtwoord.

97

220417

2124

dat ze hun wachtwoord
hergebruikten.

03:54

Now, this is actuallywerkelijk more dangerousgevaarlijk

98

222541

1796

Dat is nog gevaarlijker

03:56

than writingschrift your passwordwachtwoord down,

99

224337

2022

dan je wachtwoord opschrijven

03:58

because it makesmerken you much
more susceptiblevatbaar to attackersaanvallers.

100

226359

3561

omdat het gevoeliger is voor aanvallen.

04:01

So if you have to, writeschrijven your passwordswachtwoorden down,

101

229920

3118

Als het echt moet, schrijf het dan op

04:05

but don't reusehergebruik them.

102

233038

1799

maar hergebruik het niet.

04:06

We alsoook foundgevonden some interestinginteressant things

103

234837

1751

We vonden nog meer interessants

04:08

about the symbolssymbolen people use in passwordswachtwoorden.

104

236588

2961

over de tekens die mensen gebruiken.

04:11

So CMUCMU allowstoestaat 32 possiblemogelijk symbolssymbolen,

105

239549

2799

CMU staat 32 tekens toe,

maar je ziet dat de meesten
er maar een paar gebruiken.

04:14

but as you can see, there's only a smallklein numberaantal

106

242348

2433

04:16

that mostmeest people are usinggebruik makend van,

107

244781

1802

04:18

so we're not actuallywerkelijk gettingkrijgen very much strengthkracht

108

246583

2941

Dat maakt wachtwoorden
niet veel sterker.

04:21

from the symbolssymbolen in our passwordswachtwoorden.

109

249524

2466

04:23

So this was a really interestinginteressant studystudie,

110

251990

2711

Dat was een interessant onderzoek.

04:26

and now we had datagegevens from 470 people,

111

254701

2464

We hadden nu gegevens over 470 mensen,

04:29

but in the schemeschema of things,

112

257165

1305

maar in verhouding was het niet veel.

04:30

that's really not very much passwordwachtwoord datagegevens,

113

258470

2580

04:33

and so we lookedkeek around to see

114

261050

1445

We gingen kijken

04:34

where could we find additionalextra passwordwachtwoord datagegevens?

115

262495

2560

of we nog meer wachtwoordgegevens
konden vinden.

04:37

So it turnsbochten out there are a lot of people

116

265055

2176

Het blijkt dat er veel mensen zijn

04:39

going around stealingstelen passwordswachtwoorden,

117

267231

2202

die wachtwoorden stelen

04:41

and they oftenvaak go and postpost these passwordswachtwoorden

118

269433

2477

en ze dan op het internet zetten.

04:43

on the InternetInternet.

119

271910

1337

04:45

So we were ablein staat to get accesstoegang

120

273247

1673

Zo kregen we toegang

04:46

to some of these stolengestolen passwordwachtwoord setssets.

121

274920

3970

tot een paar gestolen verzamelingen
met wachtwoorden.

04:50

This is still not really idealideaal for researchOnderzoek, thoughhoewel,

122

278890

2328

Dat is niet zo ideaal voor onderzoek

04:53

because it's not entirelygeheel clearduidelijk

123

281218

2037

omdat niet helemaal duidelijk was

04:55

where all of these passwordswachtwoorden camekwam from,

124

283255

2184

waar ze vandaan kwamen,

04:57

or exactlyprecies what policiesbeleid were in effecteffect

125

285439

2242

of welk beleid gold

04:59

when people createdaangemaakt these passwordswachtwoorden.

126

287681

2108

toen men die wachtwoorden moest bedenken.

05:01

So we wanted to find some better sourcebron of datagegevens.

127

289789

3552

We wilden betere gegevensbronnen.

05:05

So we decidedbeslist that one thing we could do

128

293341

1634

We wilden een onderzoek gaan doen

05:06

is we could do a studystudie and have people

129

294975

2129

waarbij mensen
wachtwoorden moesten bedenken

05:09

actuallywerkelijk createcreëren passwordswachtwoorden for our studystudie.

130

297104

3240

voor ons onderzoek.

05:12

So we used a serviceservice calledriep
AmazonAmazon MechanicalMechanische TurkTurk,

131

300344

2821

We gebruikten een dienst
die Amazon Mechanical Turk heet.

05:15

and this is a serviceservice where you can postpost

132

303165

2334

Daarmee kan je een kleine taak
online zetten

05:17

a smallklein jobbaan onlineonline that takes a minuteminuut,

133

305499

2304

die een paar minuten of een uur duurt,

05:19

a fewweinig minutesnotulen, an houruur,

134

307803

1500

05:21

and paybetalen people, a pennycent, tentien centscents, a fewweinig dollarsdollars,

135

309303

2584

en je betaalt een cent,
tien cent, een paar dollar

05:23

to do a tasktaak for you,

136

311887

1346

om die taak te laten doen.

05:25

and then you paybetalen them throughdoor AmazonAmazon.comcom.

137

313233

2122

Je betaalt dan via Amazon.com.

05:27

So we paidbetaald people about 50 centscents

138

315355

2294

We betaalden mensen ongeveer 50 cent

05:29

to createcreëren a passwordwachtwoord followingvolgend our rulesreglement

139

317649

2596

om een wachtwoord te bedenken
volgens onze regels

05:32

and answeringantwoordapparaat a surveyenquête,

140

320245

1410

en een enquête te doen.

05:33

and then we paidbetaald them again to come back

141

321655

2525

We betaalden nogmaals
als ze twee dagen later terugkwamen,

05:36

two daysdagen laterlater and loglogboek in

142

324180

2071

inlogden met hun wachtwoord

05:38

usinggebruik makend van theirhun passwordwachtwoord and answeringantwoordapparaat anothereen ander surveyenquête.

143

326251

2574

en nog een enquête invulden.

05:40

So we did this, and we collectedverzamelde 5,000 passwordswachtwoorden,

144

328825

4464

Zo verzamelden we 5.000 wachtwoorden,

05:45

and we gavegaf people a bunchbos of differentverschillend policiesbeleid

145

333289

2695

met diverse wachtwoordvoorschriften.

05:47

to createcreëren passwordswachtwoorden with.

146

335984

1508

05:49

So some people had a prettymooi easygemakkelijk policyhet beleid,

147

337492

1910

Sommigen kregen een makkelijk beleid,

05:51

we call it BasicBasic8,

148

339402

1539

dat we Basic8 noemden.

05:52

and here the only ruleregel was that your passwordwachtwoord

149

340941

2146

De enige regel was dat je wachtwoord

05:55

had to have at leastminst eightacht characterstekens.

150

343087

3416

minstens 8 tekens moest hebben.

05:58

Then some people had a much harderharder policyhet beleid,

151

346503

2251

Sommigen hadden een strenger beleid

06:00

and this was very similarsoortgelijk to the CMUCMU policyhet beleid,

152

348754

2537

dat erg lijkt op het beleid bij de CMU:

06:03

that it had to have eightacht characterstekens

153

351291

1934

het moest 8 tekens hebben

06:05

includinginclusief uppercasehoofdletters, lowercasekleine letters, digitcijfers, symbolsymbool,

154

353225

2376

met kleine en grote letters,
cijfers en tekens

06:07

and passslagen voor a dictionarywoordenboek checkcontroleren.

155

355601

2389

en voor de woordenboektest slagen.

06:09

And one of the other policiesbeleid we triedbeproefd,

156

357990

1335

We probeerden onder andere

06:11

and there were a wholegeheel bunchbos more,

157

359325

1270

het beleid Basic16.

06:12

but one of the onesdegenen we triedbeproefd was calledriep BasicBasic16,

158

360595

2240

06:14

and the only requirementeis here

159

362835

2632

Het enige voorschrift was

06:17

was that your passwordwachtwoord had
to have at leastminst 16 characterstekens.

160

365467

3153

dat het minstens 16 tekens moest hebben.

06:20

All right, so now we had 5,000 passwordswachtwoorden,

161

368620

2458

Zo kregen we 5.000 wachtwoorden,

06:23

and so we had much more detailedgedetailleerde informationinformatie.

162

371078

3563

met veel nauwkeurigere gegevens.

06:26

Again we see that there's only a smallklein numberaantal

163

374641

2559

We zien weer dat er maar een paar
vreemde tekens werden gebruikt.

06:29

of symbolssymbolen that people are actuallywerkelijk usinggebruik makend van

164

377200

1915

06:31

in theirhun passwordswachtwoorden.

165

379115

1886

06:33

We alsoook wanted to get an ideaidee of how strongsterk

166

381001

2599

We wilden ook eens kijken

hoe sterk de wachtwoorden waren
die men bedacht.

06:35

the passwordswachtwoorden were that people were creatinghet creëren van,

167

383600

2771

06:38

but as you maymei recallterugroepen, there isn't a good measuremaatregel

168

386371

2620

Maar je weet nog
dat je dat niet kan meten.

06:40

of passwordwachtwoord strengthkracht.

169

388991

1754

06:42

So what we decidedbeslist to do was to see

170

390745

2312

We besloten te kijken

06:45

how long it would take to crackbarst these passwordswachtwoorden

171

393057

2370

hoe snel je de wachtwoorden kon kraken

06:47

usinggebruik makend van the bestbeste crackingkraken toolsgereedschap

172

395427

1414

met de beste kraak-trucs
die de boeven gebruiken,

06:48

that the badslecht guys are usinggebruik makend van,

173

396841

1808

06:50

or that we could find informationinformatie about

174

398649

2016

of waar we iets over konden vinden

06:52

in the researchOnderzoek literatureliteratuur.

175

400665

1537

in de onderzoeksliteratuur.

06:54

So to give you an ideaidee of how badslecht guys

176

402202

2758

Om je een idee te geven wat boeven doen

06:56

go about crackingkraken passwordswachtwoorden,

177

404960

2170

om wachtwoorden te kraken:

06:59

they will stealstelen a passwordwachtwoord filehet dossier

178

407130

1951

ze stelen een wachtwoordbestand

07:01

that will have all of the passwordswachtwoorden

179

409081

2153

waar alle wachtwoorden in zitten

07:03

in kindsoort of a scrambledvervormd formformulier, calledriep a hashhash,

180

411234

2889

in een verhaspelde vorm, een 'hash',

07:06

and so what they'llzullen ze do is they'llzullen ze make a guessraden

181

414123

2562

en ze gokken wat een wachtwoord is,

07:08

as to what a passwordwachtwoord is,

182

416685

1712

07:10

runrennen it throughdoor a hashinghashing functionfunctie,

183

418397

1897

gooien het door een verhaspelfunctie

07:12

and see whetherof it matcheswedstrijden

184

420294

1765

en kijken of het klopt met de wachtwoorden

07:14

the passwordswachtwoorden they have on
theirhun stolengestolen passwordwachtwoord listlijst.

185

422059

3950

die ze op hun gestolen lijst hebben.

07:18

So a dumbstom attackeraanvaller will try everyelk passwordwachtwoord in orderbestellen.

186

426009

3105

Een domme kraker
probeert alle wachtwoorden.

07:21

They'llZij zullen startbegin with AAAAAAAAAA and moveverhuizing on to AAAABAAAAB,

187

429114

3568

Ze beginnen met AAAAA en dan AAAAB.

07:24

and this is going to take a really long time

188

432682

2418

Het duurt dus wel even om
de meest gebruikte paswoorden te vinden.

07:27

before they get any passwordswachtwoorden

189

435100

1526

07:28

that people are really likelywaarschijnlijk to actuallywerkelijk have.

190

436626

2697

07:31

A smartslim attackeraanvaller, on the other handhand-,

191

439323

2183

Slimme krakers echter

07:33

does something much more cleverknap.

192

441506

1386

doen het veel slimmer.

07:34

They look at the passwordswachtwoorden

193

442892

1826

Die kijken naar wachtwoorden

07:36

that are knownbekend to be popularpopulair

194

444718

1800

die bekend staan als veelgebruikt

07:38

from these stolengestolen passwordwachtwoord setssets,

195

446518

1727

uit die gestolen wachtwoorden

07:40

and they guessraden those first.

196

448245

1189

en proberen die eerst.

07:41

So they're going to startbegin by guessinggissen "passwordwachtwoord,"

197

449434

2134

'password' proberen ze eerst uit.

07:43

and then they'llzullen ze guessraden "I love you," and "monkeyaap,"

198

451568

2751

Dan proberen ze 'I love you' en 'monkey'

07:46

and "12345678,"

199

454319

2583

en '12345678'

07:48

because these are the passwordswachtwoorden

200

456902

1312

omdat het de meestgebruikte
wachtwoorden zijn

07:50

that are mostmeest likelywaarschijnlijk for people to have.

201

458214

1905

07:52

In factfeit, some of you probablywaarschijnlijk have these passwordswachtwoorden.

202

460119

3261

Sommigen van jullie
zullen die wachtwoorden gebruiken.

07:57

So what we foundgevonden

203

465191

1298

Door al onze 5.000 wachtwoorden
te proberen,

07:58

by runninglopend all of these 5,000 passwordswachtwoorden we collectedverzamelde

204

466489

3406

08:01

throughdoor these teststesten to see how strongsterk they were,

205

469895

4106

en te testen hoe sterk ze waren,

08:06

we foundgevonden that the long passwordswachtwoorden

206

474001

2752

zagen we dat de lange wachtwoorden

08:08

were actuallywerkelijk prettymooi strongsterk,

207

476753

1280

best wel sterk waren.

08:10

and the complexcomplex passwordswachtwoorden were prettymooi strongsterk too.

208

478033

3262

De ingewikkelde waren ook vrij sterk.

08:13

HoweverEchter, when we lookedkeek at the surveyenquête datagegevens,

209

481295

2442

Maar als we keken
naar de enquêtes,

08:15

we saw that people were really frustratedgefrustreerd

210

483737

3024

zagen we dat men nogal gefrustreerd was

08:18

by the very complexcomplex passwordswachtwoorden,

211

486761

2339

door deze ingewikkelde wachtwoorden.

08:21

and the long passwordswachtwoorden were a lot more usablebruikbaar,

212

489100

2630

De lange waren een stuk bruikbaarder

08:23

and in some casesgevallen, they were actuallywerkelijk

213

491730

1325

en soms waren ze zelfs sterker

08:25

even strongersterker than the complexcomplex passwordswachtwoorden.

214

493055

2908

dan de ingewikkelde wachtwoorden.

08:27

So this suggestssuggereert that,

215

495963

1169

Dit geeft aan dat je niet moet zeggen

08:29

insteadin plaats daarvan of tellingvertellen people that they need

216

497132

1703

dat je al die tekens,
cijfers en idiote dingen

08:30

to put all these symbolssymbolen and numbersgetallen

217

498835

1522

08:32

and crazygek things into theirhun passwordswachtwoorden,

218

500357

2842

in je wachtwoorden moet stoppen.

08:35

we mightmacht be better off just tellingvertellen people

219

503199

2022

Je kunt beter lange wachtwoorden gebruiken.

08:37

to have long passwordswachtwoorden.

220

505221

2652

08:39

Now here'shier is the problemprobleem, thoughhoewel:

221

507873

1792

Er is wel een probleem:

08:41

Some people had long passwordswachtwoorden

222

509665

2255

sommigen hadden lange wachtwoorden

08:43

that actuallywerkelijk weren'twaren niet very strongsterk.

223

511920

1555

die helemaal niet sterk waren.

08:45

You can make long passwordswachtwoorden

224

513475

1997

Je kunt lange wachtwoorden maken

08:47

that are still the sortsoort of thing

225

515472

1556

die nog steeds makkelijk
te raden zijn door aanvallers.

08:49

that an attackeraanvaller could easilygemakkelijk guessraden.

226

517028

1742

08:50

So we need to do more than
just say long passwordswachtwoorden.

227

518770

3365

We moeten dus niet alleen lange
wachtwoorden voorschrijven.

08:54

There has to be some additionalextra requirementsvereisten,

228

522135

1936

Er moet nog iets bij.

08:56

and some of our ongoingvoortdurende researchOnderzoek is looking at

229

524071

2969

We onderzoeken nog

08:59

what additionalextra requirementsvereisten we should addtoevoegen

230

527040

2439

welke extra voorschriften het moeten zijn

09:01

to make for strongersterker passwordswachtwoorden

231

529479

2104

om sterkere wachtwoorden te krijgen

09:03

that alsoook are going to be easygemakkelijk for people

232

531583

2312

die makkelijk te onthouden
en te typen zijn.

09:05

to rememberonthouden and typetype.

233

533895

2698

09:08

AnotherEen ander approachnadering to gettingkrijgen people to have

234

536593

2126

Een andere aanpak
voor sterkere wachtwoorden

09:10

strongersterker passwordswachtwoorden is to use a passwordwachtwoord metermeter.

235

538719

2257

is een wachtwoordmeter.

09:12

Here are some examplesvoorbeelden.

236

540976

1385

Hier zijn wat voorbeelden.

09:14

You maymei have seengezien these on the InternetInternet

237

542361

1401

Misschien heb je ze al gezien

09:15

when you were creatinghet creëren van passwordswachtwoorden.

238

543762

3057

toen je een wachtwoord moest maken.

09:18

We decidedbeslist to do a studystudie to find out

239

546819

2248

We besloten te onderzoeken

09:21

whetherof these passwordwachtwoord metersmeter actuallywerkelijk work.

240

549067

2887

of deze wachtwoordmeters echt werken.

09:23

Do they actuallywerkelijk help people

241

551954

1421

Helpen ze echt

om sterkere wachtwoorden te maken?

09:25

have strongersterker passwordswachtwoorden,

242

553375

1453

09:26

and if so, whichwelke onesdegenen are better?

243

554828

2086

Zo ja, welke zijn het best?

09:28

So we testedgetest passwordwachtwoord metersmeter that were

244

556914

2507

We hebben wachtwoordmeters getest

09:31

differentverschillend sizesmaten, shapesvormen, colorskleuren,

245

559421

2098

met verschillende lengtes,
vormen, kleuren,

09:33

differentverschillend wordstekst nextvolgende to them,

246

561519

1416

met allerlei woorden erbij.

09:34

and we even testedgetest one that was a dancingdansen bunnyBunny.

247

562935

3275

Zelfs eentje met een dansend konijn.

09:38

As you typetype a better passwordwachtwoord,

248

566210

1582

Terwijl je een wachtwoord typt,
danst het konijn steeds sneller.

09:39

the bunnyBunny dancesdansen fastersneller and fastersneller.

249

567792

2539

09:42

So this was prettymooi funpret.

250

570331

2529

Dat was lachen.

09:44

What we foundgevonden

251

572860

1567

We zagen
dat wachtwoordmeters werken.

09:46

was that passwordwachtwoord metersmeter do work.

252

574427

3572

09:49

(LaughterGelach)

253

577999

1801

(Gelach)

09:51

MostDe meeste of the passwordwachtwoord metersmeter were actuallywerkelijk effectiveeffectief,

254

579800

3333

De meeste wachtwoordmeters waren effectief

09:55

and the dancingdansen bunnyBunny was very effectiveeffectief too,

255

583133

2521

en het dansend konijn
was ook erg effectief,

09:57

but the passwordwachtwoord metersmeter that were the mostmeest effectiveeffectief

256

585654

2881

maar de effectiefste wachtwoordmeters

10:00

were the onesdegenen that madegemaakt you work harderharder

257

588535

2355

waren die waar je harder moest werken

10:02

before they gavegaf you that thumbsduimen up and said

258

590890

1980

voordat je een opgestoken duim kreeg
en geprezen werd.

10:04

you were doing a good jobbaan,

259

592870

1377

10:06

and in factfeit we foundgevonden that mostmeest

260

594247

1512

We zagen dat de meeste wachtwoordmeters

10:07

of the passwordwachtwoord metersmeter on the InternetInternet todayvandaag

261

595759

2281

op het internet
te flauw zijn.

10:10

are too softzacht.

262

598040

952

10:10

They tell you you're doing a good jobbaan too earlyvroeg,

263

598992

2203

Ze zeggen te snel dat je het goed doet.

10:13

and if they would just wait a little bitbeetje

264

601195

1929

Als ze iets langer zouden wachten

10:15

before givinggeven you that positivepositief feedbackterugkoppeling,

265

603124

2049

voordat ze je postieve feedback gaven,

10:17

you probablywaarschijnlijk would have better passwordswachtwoorden.

266

605173

3160

dan zou je waarschijnlijk
betere wachtwoorden maken.

10:20

Now anothereen ander approachnadering to better passwordswachtwoorden, perhapsmisschien,

267

608333

3847

Een andere aanpak
voor betere wachtwoorden is misschien

10:24

is to use passslagen voor phraseszinnen insteadin plaats daarvan of passwordswachtwoorden.

268

612180

2890

om zinnen te gebruiken
in plaats van wachtwoorden.

10:27

So this was an xkcdxkcd cartoonspotprent
from a couplepaar of yearsjaar agogeleden,

269

615070

3418

Dit was een cartoon van xkcd
van een paar jaar geleden.

10:30

and the cartooniststriptekenaar suggestssuggereert

270

618488

1674

De tekenaar suggereert

10:32

that we should all use passslagen voor phraseszinnen,

271

620162

2196

dat we zinnen moeten gebruiken.

10:34

and if you look at the secondtweede rowrij of this cartoonspotprent,

272

622358

3170

Als je naar de tweede rij kijkt,

10:37

you can see the cartooniststriptekenaar is suggestingsuggereren

273

625528

1857

dan zie je dat de tekenaar aangeeft

10:39

that the passslagen voor phraseuitdrukking "correctcorrect horsepaard batteryaccu staplekram"

274

627385

3441

dat de zin 'correct horse battery staple'

10:42

would be a very strongsterk passslagen voor phraseuitdrukking

275

630826

2481

een erg sterk wachtwoord zou zijn

10:45

and something really easygemakkelijk to rememberonthouden.

276

633307

1916

dat makkelijk te onthouden is.

10:47

He sayszegt, in factfeit, you've alreadynu al rememberedherinnerde it.

277

635223

2797

Hij zegt dat je het al hebt onthouden.

10:50

And so we decidedbeslist to do a researchOnderzoek studystudie

278

638020

2150

We besloten uit te zoeken

10:52

to find out whetherof this was truewaar or not.

279

640170

2592

of dat waar was.

10:54

In factfeit, everybodyiedereen who I talk to,

280

642762

1775

Iedereen aan wie ik zeg

10:56

who I mentionnoemen I'm doing passwordwachtwoord researchOnderzoek,

281

644537

2042

dat ik wachtwoordonderzoek doe,

10:58

they pointpunt out this cartoonspotprent.

282

646579

1400

wijst me op deze strip.

10:59

"Oh, have you seengezien it? That xkcdxkcd.

283

647979

1574

"Heb je die gezien? Van xkcd.

11:01

CorrectCorrigeren horsepaard batteryaccu staplekram."

284

649553

1602

Correct horse battery staple."

11:03

So we did the researchOnderzoek studystudie to see

285

651155

1806

We deden onderzoek

om te zien wat er zou gebeuren.

11:04

what would actuallywerkelijk happengebeuren.

286

652961

2359

11:07

So in our studystudie, we used MechanicalMechanische TurkTurk again,

287

655320

3060

In ons onderzoek gebruikten we weer
die Mechanische Turk.

11:10

and we had the computercomputer pickplukken the randomwillekeurig wordstekst

288

658380

4167

We lieten de computer woorden kiezen

11:14

in the passslagen voor phraseuitdrukking.

289

662547

1100

voor de wachtwoordzin.

11:15

Now the reasonreden we did this

290

663647

1153

De reden ervan was

11:16

is that humansmensen are not very good

291

664800

1586

dat mensen slecht zijn
in willekeurige woorden kiezen.

11:18

at pickingpluk randomwillekeurig wordstekst.

292

666386

1384

11:19

If we askedgevraagd a humanmenselijk to do it,

293

667770

1262

Als we een mens laten kiezen,
kiest hij niet willekeurig.

11:21

they would pickplukken things that were not very randomwillekeurig.

294

669032

2998

11:24

So we triedbeproefd a fewweinig differentverschillend conditionsvoorwaarden.

295

672030

2032

We kozen een paar voorwaarden.

11:26

In one conditionstaat, the computercomputer pickeduitgekozen

296

674062

2090

Bij eentje koos de computer

11:28

from a dictionarywoordenboek of the very commongemeenschappelijk wordstekst

297

676152

2216

uit een woordenlijst met
normale Engelse woorden.

11:30

in the EnglishEngels languagetaal,

298

678368

1362

11:31

and so you'dje zou get passslagen voor phraseszinnen like

299

679730

1764

Dan krijg je zinnen als

11:33

"try there threedrie come."

300

681494

1924

"try there three come".

11:35

And we lookedkeek at that, and we said,

301

683418

1732

Dat leek ons niet makkelijk te onthouden.

11:37

"Well, that doesn't really seemlijken very memorablememorabele."

302

685150

3050

11:40

So then we triedbeproefd pickingpluk wordstekst

303

688200

2240

Toen lieten we woorden kiezen

11:42

that camekwam from specificspecifiek partsonderdelen of speechtoespraak,

304

690440

2521

uit specifieke woordsoorten, bijvoorbeeld

11:44

so how about noun-verb-adjective-nounzelfstandig naamwoord-werkwoord-bijvoeglijk naamwoord-zelfstandig naamwoord.

305

692961

2182

substantief-werkwoord-adjectief-substantief.

11:47

That comeskomt up with something
that's sortsoort of sentence-likezin-achtige.

306

695143

2577

Dan krijg je een soort zinnen.

11:49

So you can get a passslagen voor phraseuitdrukking like

307

697720

2070

Je krijgt dan een zin als

11:51

"planplan buildsbouwt sure powermacht"

308

699790

1308

'plan builds sure power',

11:53

or "endeinde determinesbepaalt redrood drugdrug."

309

701098

2786

of 'end determines red drug'.

11:55

And these seemedscheen a little bitbeetje more memorablememorabele,

310

703884

2676

Deze leken wat makkelijker te onthouden.

11:58

and maybe people would like those a little bitbeetje better.

311

706560

2822

Misschien wilde men die liever.

12:01

We wanted to comparevergelijken them with passwordswachtwoorden,

312

709382

2572

We wilden ze vergelijken met wachtwoorden.

12:03

and so we had the computercomputer
pickplukken randomwillekeurig passwordswachtwoorden,

313

711954

3196

We lieten de computer willekeurig
woorden kiezen.

12:07

and these were niceleuk and shortkort, but as you can see,

314

715150

1990

Deze waren kort en mooi, maar je ziet

12:09

they don't really look very memorablememorabele.

315

717140

2806

dat ze niet makkelijk te onthouden zijn.

12:11

And then we decidedbeslist to try something calledriep

316

719946

1396

Toen probeerden we iets wat
een 'uitspreekbaar woord' heet.

12:13

a pronounceablepronounceable passwordwachtwoord.

317

721342

1646

12:14

So here the computercomputer picksPicks randomwillekeurig syllableslettergrepen

318

722988

2245

De computer neemt dan lettergrepen

12:17

and putsputs them togethersamen

319

725233

1134

en plakt ze aan elkaar.

12:18

so you have something sortsoort of pronounceablepronounceable,

320

726367

2475

Dan krijg je iets dat je kunt uitspreken,

12:20

like "tufritvitufritvi" and "vadasabivadasabi."

321

728842

2602

zoals 'tufritvi' en 'vadasabi'.

12:23

That one kindsoort of rollsbroodjes off your tonguetong.

322

731444

2147

Dat rolt zo van je tong.

12:25

So these were randomwillekeurig passwordswachtwoorden that were

323

733591

2216

Het waren willekeurige wachtwoorden

die uit de computer kwamen.

12:27

generatedgegenereerd by our computercomputer.

324

735807

2744

12:30

So what we foundgevonden in this studystudie was that, surprisinglyverrassend,

325

738551

2978

We ontdekten met dit onderzoek,
gek genoeg,

12:33

passslagen voor phraseszinnen were not actuallywerkelijk all that good.

326

741529

3768

dat wachtwoordzinnen niet zo goed zijn.

12:37

People were not really better at rememberingherinneren

327

745297

2793

Mensen kunnen niet veel beter
de wachtwoordzinnen onthouden

12:40

the passslagen voor phraseszinnen than these randomwillekeurig passwordswachtwoorden,

328

748090

2953

dan willekeurige wachtwoorden.

12:43

and because the passslagen voor phraseszinnen are longerlanger,

329

751043

2754

Omdat de wachtwoordzinnen langer zijn,

12:45

they tooknam longerlanger to typetype

330

753797

1226

duurt het typen langer

12:47

and people madegemaakt more errorsfouten while typingtypen them in.

331

755023

3010

en maakt men meer fouten.

12:50

So it's not really a clearduidelijk winwinnen for passslagen voor phraseszinnen.

332

758033

3227

Wachtwoordzinnen zijn dus niet
duidelijk beter.

12:53

Sorry, all of you xkcdxkcd fansfans.

333

761260

3345

Sorry, xkcd-liefhebbers.

12:56

On the other handhand-, we did find

334

764605

1892

Maar we vonden wel

12:58

that pronounceablepronounceable passwordswachtwoorden

335

766497

1804

dat uitspreekbare wachtwoorden

13:00

workedwerkte surprisinglyverrassend well,

336

768301

1471

verrassend goed werkten.

13:01

and so we actuallywerkelijk are doing some more researchOnderzoek

337

769772

2418

We doen nu nog meer onderzoek

13:04

to see if we can make that
approachnadering work even better.

338

772190

3195

om te zien of we het
beter kunnen aanpakken.

13:07

So one of the problemsproblemen

339

775385

1812

Een van de problemen was

13:09

with some of the studiesstudies that we'vewij hebben donegedaan

340

777197

1623

dat sommige van onze onderzoeken

13:10

is that because they're all donegedaan

341

778820

1683

met de Mechanische Turk

13:12

usinggebruik makend van MechanicalMechanische TurkTurk,

342

780503

1590

gedaan werden.

13:14

these are not people'sPeople's realecht passwordswachtwoorden.

343

782093

1812

Het zijn geen echte wachtwoorden.

13:15

They're the passwordswachtwoorden that they createdaangemaakt

344

783905

2105

Het zijn de wachtwoorden die men,
of de computer,

13:18

or the computercomputer createdaangemaakt for them for our studystudie.

345

786010

2495

voor het onderzoek maakte.

13:20

And we wanted to know whetherof people

346

788505

1568

We wilden weten of mensen
hetzelfde deden

13:22

would actuallywerkelijk behavezich gedragen the samedezelfde way

347

790073

2312

13:24

with theirhun realecht passwordswachtwoorden.

348

792385

2227

met hun echte wachtwoorden.

13:26

So we talkedgesproken to the informationinformatie
securityveiligheid officekantoor at CarnegieCarnegie MellonMellon

349

794612

3681

We overlegden met de IT-afdeling
van Carnegie Mellon

13:30

and askedgevraagd them if we could
have everybody'svan iedereen realecht passwordswachtwoorden.

350

798293

3803

en vroegen of we alle wachtwoorden
mochten hebben.

13:34

Not surprisinglyverrassend, they were a little bitbeetje reluctantonwillig

351

802096

1754

Ze waren natuurlijk terughoudend

13:35

to sharedelen them with us,

352

803850

1550

om ze met ons te delen,

13:37

but we were actuallywerkelijk ablein staat to work out

353

805400

1810

maar we mochten een systeem uitwerken

13:39

a systemsysteem with them

354

807210

1040

13:40

where they put all of the realecht passwordswachtwoorden

355

808250

2109

waarbij ze alle echte wachtwoorden

13:42

for 25,000 CMUCMU studentsstudenten, facultyfaculteit and staffpersoneel,

356

810359

3091

van 25.000 studenten, professoren
en medewerkers

13:45

into a lockedopgesloten computercomputer in a lockedopgesloten roomkamer,

357

813450

2448

in een gesloten computer stopten

in een afgesloten kamer zonder internet.

13:47

not connectedaangesloten to the InternetInternet,

358

815898

1394

13:49

and they ranrende codecode on it that we wroteschreef

359

817292

1848

Ze lieten met een programma

13:51

to analyzeanalyseren these passwordswachtwoorden.

360

819140

2152

deze wachtwoorden analyseren.

13:53

They auditedgecontroleerd our codecode.

361

821292

1326

Ze checkten ons programma.

13:54

They ranrende the codecode.

362

822618

1312

Ze lieten het draaien.

13:55

And so we never actuallywerkelijk saw

363

823930

1738

Op die manier konden we nooit
de wachtwoorden zien.

13:57

anybody'siedereen is passwordwachtwoord.

364

825668

2817

We kregen interessante uitkomsten

14:00

We got some interestinginteressant resultsuitslagen,

365

828485

1515

en de Tepper-studenten daar achteraan

14:02

and those of you TepperTepper studentsstudenten in the back

366

830000

1696

14:03

will be very interestedgeïnteresseerd in this.

367

831696

2875

zullen het interessant vinden.

14:06

So we foundgevonden that the passwordswachtwoorden createdaangemaakt

368

834571

3731

We ontdekten dat de mensen

14:10

by people affiliatedaangesloten with the
schoolschool- of computercomputer sciencewetenschap

369

838302

2158

van Computerwetenschappen

14:12

were actuallywerkelijk 1.8 timestijden strongersterker

370

840460

2324

een 1,8 keer zo sterk wachtwoord hadden

14:14

than those affiliatedaangesloten with the businessbedrijf schoolschool-.

371

842784

3738

als die van de business-school.

14:18

We have lots of other really interestinginteressant

372

846522

2040

Er kwam ook veel interessante

14:20

demographicdemografisch informationinformatie as well.

373

848562

2238

demografische informatie uit.

14:22

The other interestinginteressant thing that we foundgevonden

374

850800

1846

Ook interessant was

14:24

is that when we comparedvergeleken
the CarnegieCarnegie MellonMellon passwordswachtwoorden

375

852646

2440

dat tussen de wachtwoorden
van Carnegie Mellon

14:27

to the MechanicalMechanische Turk-generatedTurk-gegenereerd passwordswachtwoorden,

376

855086

2283

en die van de Mechanische Turk

14:29

there was actuallywerkelijk a lot of similaritiesgelijkenissen,

377

857369

2619

weinig verschil bestond.

14:31

and so this helpedgeholpen validatevalideren our researchOnderzoek methodmethode

378

859988

1948

Dat hielp de methode te valideren

14:33

and showtonen that actuallywerkelijk, collectingverzamelen passwordswachtwoorden

379

861936

2510

en liet zien dat het verzamelen
van wachtwoorden

14:36

usinggebruik makend van these MechanicalMechanische TurkTurk studiesstudies

380

864446

1808

met de Mechanische Turk

14:38

is actuallywerkelijk a validGeldig way to studystudie passwordswachtwoorden.

381

866254

2788

een geldige manier was
om wachtwoorden te bestuderen.

14:41

So that was good newsnieuws.

382

869042

2285

Dat was dus goed nieuws.

14:43

Okay, I want to closedichtbij by talkingpratend about

383

871327

2414

Ik wil afsluiten met wat inzichten

14:45

some insightsinzichten I gainedopgedaan while on sabbaticalsabbatical

384

873741

2068

die ik kreeg tijdens mijn sabbatical

14:47

last yearjaar in the CarnegieCarnegie MellonMellon artkunst schoolschool-.

385

875809

3201

afgelopen jaar op de
kunstfaculteit van Carnegie Mellon.

Een van de dingen die ik deed,

14:51

One of the things that I did

386

879010

1281

14:52

is I madegemaakt a numberaantal of quiltsdekbedden,

387

880291

1524

was quilts maken.

14:53

and I madegemaakt this quiltquilt here.

388

881815

1548

Ik heb deze gemaakt.

14:55

It's calledriep "SecurityVeiligheid BlanketDeken."

389

883363

1899

Hij heet 'Veiligheidsdeken'.

14:57

(LaughterGelach)

390

885262

2431

(Gelach)

14:59

And this quiltquilt has the 1,000

391

887693

3095

Deze heeft de duizend
meest gestolen wachtwoorden

15:02

mostmeest frequentveel voorkomend passwordswachtwoorden stolengestolen

392

890788

2328

van de website van RockYou.

15:05

from the RockYouRockYou websitewebsite.

393

893116

2571

15:07

And the sizegrootte of the passwordswachtwoorden is proportionalproportioneel

394

895687

2061

De grootte van het wachtwoord geeft aan

15:09

to how frequentlyvaak they appearedverschenen

395

897748

1901

hoe vaak het gestolen is.

15:11

in the stolengestolen datasetDataset.

396

899649

2248

15:13

And what I did is I createdaangemaakt this wordwoord cloudwolk,

397

901897

2632

Ik heb deze woordenwolk gemaakt

15:16

and I wentgegaan throughdoor all 1,000 wordstekst,

398

904529

2132

door alle 1000 woorden langs te gaan,

15:18

and I categorizedgecategoriseerd them into

399

906661

1795

en in aparte thema's te groeperen.

15:20

looselos thematicthematische categoriescategorieën.

400

908456

2380

15:22

And it was, in some casesgevallen,

401

910836

1903

Soms was het moeilijk
om uit te vinden

15:24

it was kindsoort of difficultmoeilijk to figurefiguur out

402

912739

2038

15:26

what categorycategorie they should be in,

403

914777

1755

in welke categorie ze moesten.

15:28

and then I color-codedvergelijkende them.

404

916532

1899

Daarna gaf ik ze een kleur.

15:30

So here are some examplesvoorbeelden of the difficultymoeilijkheid.

405

918431

2619

Hier is een voorbeeld
hoe lastig dat was:

15:33

So "justinJustin."

406

921050

1181

'Justin'

15:34

Is that the namenaam of the usergebruiker,

407

922231

1829

Is dat de naam van de gebruiker?

15:36

theirhun boyfriendvriendje, theirhun sonzoon?

408

924060

1322

Haar vriendje of haar zoon?

15:37

Maybe they're a JustinJustin BieberBieber fanventilator.

409

925382

2888

Misschien wel een Justin Bieber-fan.

15:40

Or "princessPrinses."

410

928270

2225

Of 'princess'.

15:42

Is that a nicknamebijnaam?

411

930495

1635

Is dat een koosnaam?

Zijn het fans van de Disney-prinses?

15:44

Are they DisneyDisney princessPrinses fansfans?

412

932130

1595

15:45

Or maybe that's the namenaam of theirhun catkat.

413

933725

3694

Of het is de naam van hun kat.

15:49

"IloveyouILOVEYOU" appearskomt naar voren manyveel timestijden

414

937419

1655

'Iloveyou' verschijnt vaak,

15:51

in manyveel differentverschillend languagestalen.

415

939074

1545

in allerlei talen.

15:52

There's a lot of love in these passwordswachtwoorden.

416

940619

3735

Er zit veel liefde in deze wachtwoorden.

15:56

If you look carefullyvoorzichtig, you'llje zult see there's alsoook

417

944354

1680

Als je goed oplet,
vind je ook wat vulgariteit,

15:58

some profanitygodslastering,

418

946034

2267

16:00

but it was really interestinginteressant to me to see

419

948301

1950

maar ik vond het erg interessant

16:02

that there's a lot more love than hatehaat

420

950251

2307

dat er meer liefde dan haat

16:04

in these passwordswachtwoorden.

421

952558

2292

in deze wachtwoorden zat.

16:06

And there are animalsdieren,

422

954850

1490

En er zijn dieren,

16:08

a lot of animalsdieren,

423

956340

1360

veel dieren.

16:09

and "monkeyaap" is the mostmeest commongemeenschappelijk animaldier

424

957700

2304

'monkey' is het meestgebruikte dier.

16:12

and the 14thth mostmeest popularpopulair passwordwachtwoord overallglobaal.

425

960004

3675

Het op 14 na meestgebruikte wachtwoord.

16:15

And this was really curiousnieuwsgierig to me,

426

963679

2231

Dat vond ik heel bijzonder.

16:17

and I wonderedvroeg me af, "Why are monkeysapen so popularpopulair?"

427

965910

2523

Ik vroeg me af
waarom apen zo populair zijn.

16:20

And so in our last passwordwachtwoord studystudie,

428

968433

3352

Telkens we tijdens ons laatste onderzoek
iemand ontdekten

16:23

any time we detectedgedetecteerd somebodyiemand

429

971785

1686

16:25

creatinghet creëren van a passwordwachtwoord with the wordwoord "monkeyaap" in it,

430

973471

2649

die een wachtwoord had met 'monkey' erin,

16:28

we askedgevraagd them why they had
a monkeyaap in theirhun passwordwachtwoord.

431

976120

3030

vroegen we waarom ze dat hadden.

16:31

And what we foundgevonden out --

432

979150

1910

We ontdekten --

16:33

we foundgevonden 17 people so farver, I think,

433

981060

2103

we vonden tot nu toe 17 mensen

die het woord 'monkey' hadden --

16:35

who have the wordwoord "monkeyaap" --

434

983163

1283

16:36

We foundgevonden out about a thirdderde of them said

435

984446

1812

We ontdekten dat een derde

een huisdier heeft dat 'monkey' heet.

16:38

they have a pethuisdier namedgenaamd "monkeyaap"

436

986258

1740

16:39

or a friendvriend whosewaarvan nicknamebijnaam is "monkeyaap,"

437

987998

2291

of een vriend met koosnaam 'monkey'.

16:42

and about a thirdderde of them said

438

990289

1660

Een derde hield gewoon van apen.

16:43

that they just like monkeysapen

439

991949

1533

16:45

and monkeysapen are really cuteschattig.

440

993482

1638

en vond apen gewoon leuk.

16:47

And that guy is really cuteschattig.

441

995120

3639

Dit ventje is echt schattig.

16:50

So it seemslijkt that at the endeinde of the day,

442

998759

3408

Het komt erop neer dat we
bij het maken van wachtwoorden

16:54

when we make passwordswachtwoorden,

443

1002167

1783

16:55

we eithereen van beide make something that's really easygemakkelijk

444

1003950

1974

iets maken dat makkelijk te typen is,

16:57

to typetype, a commongemeenschappelijk patternpatroon,

445

1005924

3009

een bekend patroon,

17:00

or things that remindherinneren us of the wordwoord passwordwachtwoord

446

1008933

2486

of iets dat herinnert
aan het woord 'wachtwoord'

17:03

or the accountaccount that we'vewij hebben createdaangemaakt the passwordwachtwoord for,

447

1011419

3312

of aan het account waar we het voor maken

17:06

or whateverwat dan ook.

448

1014731

2617

of 'watdanook'.

17:09

Or we think about things that make us happygelukkig,

449

1017348

2642

Of we denken aan dingen
waar we blij van worden.

17:11

and we createcreëren our passwordwachtwoord

450

1019990

1304

We baseren ons wachtwoord

17:13

basedgebaseerde on things that make us happygelukkig.

451

1021294

2238

op dingen waar we blij van worden.

17:15

And while this makesmerken typingtypen

452

1023532

2863

Hoewel dat het typen en onthouden

17:18

and rememberingherinneren your passwordwachtwoord more funpret,

453

1026395

2870

van je wachtwoord leuker maakt,

17:21

it alsoook makesmerken it a lot easiergemakkelijker

454

1029265

1807

wordt het wel een stuk makkelijker

17:23

to guessraden your passwordwachtwoord.

455

1031072

1506

om je wachtwoord te raden.

17:24

So I know a lot of these TEDTED TalksGesprekken

456

1032578

1748

Ik weet dat TED Talks

17:26

are inspirationalinspirerende

457

1034326

1634

vaak inspirerend zijn

17:27

and they make you think about niceleuk, happygelukkig things,

458

1035960

2461

en je doen denken aan fijne dingen,

17:30

but when you're creatinghet creëren van your passwordwachtwoord,

459

1038421

1897

maar als je je wachtwoord maakt,

17:32

try to think about something elseanders.

460

1040318

1991

probeer dan aan iets anders te denken.

17:34

Thank you.

461

1042309

1107

Dank je wel.

17:35

(ApplauseApplaus)

462

1043416

553

(Applaus)

Translated by Dick Stada
Reviewed by Rik Delaet

ABOUT THE SPEAKER

Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com

THE ORIGINAL VIDEO ON TED.COM

Lorrie Faith Cranor: Wat is er mis met ons w@chtw00rd? | TED Talk | TED.com