TEDxCMU
Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?
ローリー・フェイス・クレイナー: あなたのpa$$w0rdのどこがいけないの?
Filmed:
Readability: 4.5
1,566,161 views
ローリー・フェイス・クレイナーは、ユーザー(そしてセキュリティーで保護されたウェブサイト) がよく犯してしまう、セキュリティを低下させる意外な誤ちを解明するため 、数千もの実際のパスワードを調査しました。彼女はどのようにして実ユーザーのセキュリティを危険にさらすことなく、実際のパスワードを調査することができたのでしょうか? それ自体面白い話です。もしあなたのパスワードが 123456 であるなら、これは特に知る価値のある秘密の情報でしょう・・・。
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio
Double-click the English transcript below to play the video.
00:12
I am a computer science and engineering
professor here at Carnegie Mellon,
professor here at Carnegie Mellon,
0
535
3445
私は カーネギーメロン大学の
コンピュータ科学と工学の教授です
コンピュータ科学と工学の教授です
00:15
and my research focuses on
usable privacy and security,
usable privacy and security,
1
3980
4248
ユーザビリティの高いプライバシー保護とセキュリティの研究をしています
00:20
and so my friends like to give me examples
2
8228
2768
ですので 私の友人は コンピュータシステムでの
00:22
of their frustrations with computing systems,
3
10996
2202
フラストレーションの例を教えてくれます
00:25
especially frustrations related to
4
13198
3354
特に うまく機能していない
00:28
unusable privacy and security.
5
16552
4112
プライバシーとセキュリティーに関してです
00:32
So passwords are something that I hear a lot about.
6
20664
2711
パスワードの話題を良く耳にします
00:35
A lot of people are frustrated with passwords,
7
23375
2880
多くの人がパスワードの事にもどかしさを感じています
00:38
and it's bad enough
8
26255
1694
自分が覚えることの出来る
00:39
when you have to have one really good password
9
27949
2644
それでいて 誰も思いつかない
00:42
that you can remember
10
30593
1822
とても良いパスワードを
00:44
but nobody else is going to be able to guess.
11
32415
2894
ひとつ考えるだけでも十分大変なのに
00:47
But what do you do when you have accounts
12
35309
1637
百の異なるシステムのアカウントを持ち
00:48
on a hundred different systems
13
36946
1808
各システムごとに
00:50
and you're supposed to have a unique password
14
38754
2276
異なるパスワードを
00:53
for each of these systems?
15
41030
3037
持たなければならないと
どうでしょう?
どうでしょう?
00:56
It's tough.
16
44067
2184
大変ですよね
00:58
At Carnegie Mellon, they used to make it
17
46251
1759
カーネギーメロン大学では かつて簡単に
01:00
actually pretty easy for us
18
48010
1299
パスワードを覚えれるようになっていました
01:01
to remember our passwords.
19
49309
1737
パスワードを覚えれるようになっていました
01:03
The password requirement up through 2009
20
51046
2403
2009年までの パスワードに必要な条件は
01:05
was just that you had to have a password
21
53449
2379
最低1文字を使った
01:07
with at least one character.
22
55828
2211
パスワードを持つことでした
01:10
Pretty easy. But then they changed things,
23
58039
2888
簡単でしょ
でも大学はこれを変更し
でも大学はこれを変更し
01:12
and at the end of 2009, they announced
24
60927
2670
2009年の終わりに
01:15
that we were going to have a new policy,
25
63597
2376
新しいポリシーになることを発表しました
01:17
and this new policy required
26
65973
1863
新しいポリシーの条件は
01:19
passwords that were at least eight characters long,
27
67836
2681
パスワードが最低8文字であること
01:22
with an uppercase letter, lowercase letter,
28
70517
1775
大文字 小文字 を含むこと
01:24
a digit, a symbol,
29
72292
1288
数字 記号を含むこと
01:25
you couldn't use the same
character more than three times,
character more than three times,
30
73580
2638
同じ文字を3回以上使用しないこと
01:28
and it wasn't allowed to be in a dictionary.
31
76218
2434
そして 辞書にある単語ではないことでした
01:30
Now, when they implemented this new policy,
32
78652
2182
さて この新しいポリシーが実施された時
01:32
a lot of people, my colleagues and friends,
33
80834
2310
私の同僚や友人 大勢の人々が
01:35
came up to me and they said, "Wow,
34
83144
1854
私の所にやってきて こう言いました
01:36
now that's really unusable.
35
84998
1512
「これこそ本当に使えない
01:38
Why are they doing this to us,
36
86510
1193
何故こんなことをするんだ
01:39
and why didn't you stop them?"
37
87703
1711
止められなかったのかい?」
01:41
And I said, "Well, you know what?
38
89414
1356
そして 私は こう言いました
01:42
They didn't ask me."
39
90770
1508
「あのね 尋ねてくれなかったの」
01:44
But I got curious, and I decided to go talk
40
92278
3465
ただ 私は興味を持ったので
01:47
to the people in charge of our computer systems
41
95743
1937
コンピュータシステムの担当の方に
01:49
and find out what led them to introduce
42
97680
2831
なぜ この新しいポリシーを 導入することになったのか
01:52
this new policy,
43
100511
1848
聞きに行くことにしました
01:54
and they said that the university
44
102359
1584
そして 彼らは
01:55
had joined a consortium of universities,
45
103943
2366
大学がコンソーシアムに入り
01:58
and one of the requirements of membership
46
106309
2634
加盟条件のひとつが
02:00
was that we had to have stronger passwords
47
108943
2248
新しい条件を満たす パスワードの強化
02:03
that complied with some new requirements,
48
111191
2272
だったと教えてくれました
02:05
and these requirements were that our passwords
49
113463
2104
パスワードが大きなエントロピーを
02:07
had to have a lot of entropy.
50
115567
1604
有するという条件です
02:09
Now entropy is a complicated term,
51
117171
2278
さて エントロピーとは 分かりにくい単語ですね
02:11
but basically it measures the strength of passwords.
52
119449
2798
基本的に パスワードのセキュリティーの
強さを測る単語です
強さを測る単語です
02:14
But the thing is, there isn't actually
53
122247
1979
ですが 問題は エントロピーを測る
02:16
a standard measure of entropy.
54
124226
1949
標準規格が無いことです
02:18
Now, the National Institute
of Standards and Technology
of Standards and Technology
55
126175
2399
米国標準技術局 (NIST) には
02:20
has a set of guidelines
56
128574
1553
エントロピーを測定するための
02:22
which have some rules of thumb
57
130127
2568
経験則を使った
02:24
for measuring entropy,
58
132695
1440
一連のガイドラインがあります
02:26
but they don't have anything too specific,
59
134135
2895
ですが それらは 具体的ではありません
02:29
and the reason they only have rules of thumb
60
137030
2337
ガイドラインが 経験側だけである理由は
02:31
is it turns out they don't actually have any good data
61
139367
3136
彼らが パスワードの 十分な
データを持っていないからです
データを持っていないからです
02:34
on passwords.
62
142503
1520
彼らが パスワードの 十分な
データを持っていないからです
データを持っていないからです
02:36
In fact, their report states,
63
144023
2312
実際 レポートには こう記されています
02:38
"Unfortunately, we do not have much data
64
146335
2328
「残念ながら 特定の規則の下で選択された
02:40
on the passwords users
choose under particular rules.
choose under particular rules.
65
148663
2842
パスワードのデータを多く持っておりません
02:43
NIST would like to obtain more data
66
151505
2333
NISTは ユーザーが実際選択した
02:45
on the passwords users actually choose,
67
153838
2462
パスワードのデータをより多く取得したいのですが
02:48
but system administrators
are understandably reluctant
are understandably reluctant
68
156300
2463
システム管理者は 当然の事ながら
02:50
to reveal password data to others."
69
158763
2940
他者にパスワードデータを公表するのに消極的です」
02:53
So this is a problem, but our research group
70
161703
3097
これが問題なのですが私たち研究グループは
02:56
looked at it as an opportunity.
71
164800
2140
それを良い機会と捉えました
02:58
We said, "Well, there's a need
for good password data.
for good password data.
72
166940
3100
「なるほど 質の良いパスワード データが
必要とされている
必要とされている
03:02
Maybe we can collect some good password data
73
170040
2148
おそらく 私達でデータを集めて
03:04
and actually advance the state of the art here.
74
172188
2704
この分野の水準を高めることが出来るだろう」 と
03:06
So the first thing we did is,
75
174892
1672
そこで 私達が最初にしたことは
03:08
we got a bag of candy bars
76
176564
1556
チョコレート バーを買ってきて
03:10
and we walked around campus
77
178120
1086
キャンパスを歩き回り
03:11
and talked to students, faculty and staff,
78
179206
2798
学生や教員たちと話をしたことでした
03:14
and asked them for information
79
182004
1530
そして 彼らのパスワードに関する
03:15
about their passwords.
80
183534
1552
情報を尋ねました
03:17
Now we didn't say, "Give us your password."
81
185086
3004
もちろん 「パスワードを教えて下さい」
とは言いません
とは言いません
03:20
No, we just asked them about their password.
82
188090
2661
ただ パスワードについて質問したのです
03:22
How long is it? Does it have a digit?
83
190751
1478
どの位の長さか? 数字を含むか?
03:24
Does it have a symbol?
84
192229
1068
記号を含むか?
03:25
And were you annoyed at having to create
85
193297
2045
先週 新しいパスワードを
03:27
a new one last week?
86
195342
2744
作らないといけないのを
めんどくさいと思ったか?
めんどくさいと思ったか?
03:30
So we got results from 470 students,
87
198086
3206
こうして 学生 教員 職員 470人から
結果を得ることができ
結果を得ることができ
03:33
faculty and staff,
88
201292
971
こうして 学生 教員 職員 470人から
結果を得ることができ
結果を得ることができ
03:34
and indeed we confirmed that the new policy
89
202263
2514
新しいポリシーは 実際うっとうしく
思われていること事を確認しました
思われていること事を確認しました
03:36
was very annoying,
90
204777
1453
新しいポリシーは 実際うっとうしく
思われていること事を確認しました
思われていること事を確認しました
03:38
but we also found that people said
91
206230
1792
しかし同時に 新しいパスワード規定を
03:40
they felt more secure with these new passwords.
92
208022
3130
より安全と感じたと
言った人もいることが分かりました
言った人もいることが分かりました
03:43
We found that most people knew
93
211152
2306
多くの人が パスワードを
03:45
they were not supposed to
write their password down,
write their password down,
94
213458
2152
書き残すべきではないと理解していて
03:47
and only 13 percent of them did,
95
215610
2391
調査対象の13%の人だけが
そうしていていました
そうしていていました
03:50
but disturbingly, 80 percent of people
96
218001
2416
しかしながら 不安なことに 80%の人が
03:52
said they were reusing their password.
97
220417
2124
パスワードを使い回していると答えたのです
03:54
Now, this is actually more dangerous
98
222541
1796
実は こちらの方が パスワードを
03:56
than writing your password down,
99
224337
2022
書き残すより 危険なのです
03:58
because it makes you much
more susceptible to attackers.
more susceptible to attackers.
100
226359
3561
なぜなら ハッカーの攻撃を受けやすく するからです
04:01
So if you have to, write your passwords down,
101
229920
3118
ですので もし どうしても 必要なのであれば
04:05
but don't reuse them.
102
233038
1799
書き残してください 使い回さないでください
04:06
We also found some interesting things
103
234837
1751
私達は また面白い事を発見しました
04:08
about the symbols people use in passwords.
104
236588
2961
それは パスワードで使われる記号についてです
04:11
So CMU allows 32 possible symbols,
105
239549
2799
CMUでは 32種類の記号が使用可能ですが
04:14
but as you can see, there's only a small number
106
242348
2433
ご覧の通り ほとんどの人が
04:16
that most people are using,
107
244781
1802
ごく限られた記号を使用しています
04:18
so we're not actually getting very much strength
108
246583
2941
ですので 実際は シンボルを使用することでの
04:21
from the symbols in our passwords.
109
249524
2466
パスワードの強化は あまり得られません
04:23
So this was a really interesting study,
110
251990
2711
これは本当に興味深い調査でした
04:26
and now we had data from 470 people,
111
254701
2464
私達は 470人のデータを得たわけですが
04:29
but in the scheme of things,
112
257165
1305
世の中全体から見ると
04:30
that's really not very much password data,
113
258470
2580
そんなに多くのデータではありません
04:33
and so we looked around to see
114
261050
1445
ですので どこで追加の
04:34
where could we find additional password data?
115
262495
2560
パスワードデータを見つける事が出来るか
探し始めました
探し始めました
04:37
So it turns out there are a lot of people
116
265055
2176
そして 世の中には
04:39
going around stealing passwords,
117
267231
2202
パスワードを盗む人達が大勢いて
04:41
and they often go and post these passwords
118
269433
2477
彼らは 盗んだパスワードをよくインターネット上に
04:43
on the Internet.
119
271910
1337
公開している事が分かりました
04:45
So we were able to get access
120
273247
1673
そこから 私たちは
04:46
to some of these stolen password sets.
121
274920
3970
盗まれたパスワードにアクセスすることが出来ました
04:50
This is still not really ideal for research, though,
122
278890
2328
ただ これらは研究には 理想的ではありません
04:53
because it's not entirely clear
123
281218
2037
なぜなら これらのパスワードが
04:55
where all of these passwords came from,
124
283255
2184
どこから来たのか
04:57
or exactly what policies were in effect
125
285439
2242
また どの様なポリシーの下に
04:59
when people created these passwords.
126
287681
2108
作られたのか 分からないからです
05:01
So we wanted to find some better source of data.
127
289789
3552
ですので 私達はもっと出所のはっきりした
データが欲しかったのです
データが欲しかったのです
05:05
So we decided that one thing we could do
128
293341
1634
そこで 私達が出来るのは
05:06
is we could do a study and have people
129
294975
2129
研究用に 人々にパスワードを作ってもらうことでした
05:09
actually create passwords for our study.
130
297104
3240
研究用に 人々にパスワードを作ってもらうことでした
05:12
So we used a service called
Amazon Mechanical Turk,
Amazon Mechanical Turk,
131
300344
2821
そこで アマゾン メカニカル タークという
サービスを使いました
サービスを使いました
05:15
and this is a service where you can post
132
303165
2334
これは 一分から数分 一時間 単位で
05:17
a small job online that takes a minute,
133
305499
2304
出来る小さな仕事を投稿し
05:19
a few minutes, an hour,
134
307803
1500
1¢10¢ 数$ を支払い
05:21
and pay people, a penny, ten cents, a few dollars,
135
309303
2584
タスクを実行してもらう
05:23
to do a task for you,
136
311887
1346
サービスです
05:25
and then you pay them through Amazon.com.
137
313233
2122
報酬は アマゾンを経由して支払います
05:27
So we paid people about 50 cents
138
315355
2294
私達は ルールに従ったパスワードを作って
05:29
to create a password following our rules
139
317649
2596
調査に答えてもらうのに
05:32
and answering a survey,
140
320245
1410
50¢ほど支払いました
05:33
and then we paid them again to come back
141
321655
2525
そして またお金を払って2日後戻ってきてもらい
05:36
two days later and log in
142
324180
2071
作ったパスワードでログインし
05:38
using their password and answering another survey.
143
326251
2574
他の調査に答えてもらいました
05:40
So we did this, and we collected 5,000 passwords,
144
328825
4464
これで 5千個のパスワードを集めました
05:45
and we gave people a bunch of different policies
145
333289
2695
また いくつかの異なるポリシーの下で
05:47
to create passwords with.
146
335984
1508
パスワードを作って貰いました
05:49
So some people had a pretty easy policy,
147
337492
1910
人によっては ベーシック8 と呼ばれる
05:51
we call it Basic8,
148
339402
1539
とてもやさしいポリシーで
05:52
and here the only rule was that your password
149
340941
2146
最低8文字のパスワードを作ることが
05:55
had to have at least eight characters.
150
343087
3416
ルールというものでした
05:58
Then some people had a much harder policy,
151
346503
2251
ある人は とても難解なポリシーを与えられました
06:00
and this was very similar to the CMU policy,
152
348754
2537
これは CMUのポリシーととても似ていて
06:03
that it had to have eight characters
153
351291
1934
最低8文字でなければならず
06:05
including uppercase, lowercase, digit, symbol,
154
353225
2376
大文字 小文字 数字 そして記号を含み
06:07
and pass a dictionary check.
155
355601
2389
辞書の検査に 通らなければなりません
06:09
And one of the other policies we tried,
156
357990
1335
非常に多くの調査の中
06:11
and there were a whole bunch more,
157
359325
1270
試みたポリシーを一つ上げると
06:12
but one of the ones we tried was called Basic16,
158
360595
2240
ベーシック16と呼ばれるもので
06:14
and the only requirement here
159
362835
2632
満たさなければならない条件は
06:17
was that your password had
to have at least 16 characters.
to have at least 16 characters.
160
365467
3153
最低16文字であるというだけです
06:20
All right, so now we had 5,000 passwords,
161
368620
2458
こうして 5千のパスワードを獲得し
06:23
and so we had much more detailed information.
162
371078
3563
はるかに詳細な情報を得ることができました
06:26
Again we see that there's only a small number
163
374641
2559
再び 私達は パスワードに
06:29
of symbols that people are actually using
164
377200
1915
ほんの少しの種類の記号しか
06:31
in their passwords.
165
379115
1886
使われていない事を知りました
06:33
We also wanted to get an idea of how strong
166
381001
2599
また 私達は 作られたパスワードの
06:35
the passwords were that people were creating,
167
383600
2771
セキュリティーの高さを 知りたかったのですが
06:38
but as you may recall, there isn't a good measure
168
386371
2620
ご存知の通り パスワードの性能を測る
06:40
of password strength.
169
388991
1754
良い基準がありません
06:42
So what we decided to do was to see
170
390745
2312
ですので ハッカーが使うクラッキングツールを使い
06:45
how long it would take to crack these passwords
171
393057
2370
又は 研究資料から得られる情報 を使い
06:47
using the best cracking tools
172
395427
1414
又は 研究資料から得られる情報 を使い
06:48
that the bad guys are using,
173
396841
1808
どの程度の時間で
06:50
or that we could find information about
174
398649
2016
パスワードを解読できるかを
06:52
in the research literature.
175
400665
1537
測定の基準にすることにしました
06:54
So to give you an idea of how bad guys
176
402202
2758
さて ハッカーがどのようにパスワードを解読するか
06:56
go about cracking passwords,
177
404960
2170
少しお教えしましょう
06:59
they will steal a password file
178
407130
1951
彼らは 全てのパスワードが暗号化された
07:01
that will have all of the passwords
179
409081
2153
ハッシュと呼ばれる
07:03
in kind of a scrambled form, called a hash,
180
411234
2889
パスワードファイルを盗み
07:06
and so what they'll do is they'll make a guess
181
414123
2562
パスワードを推測し それに対して
07:08
as to what a password is,
182
416685
1712
ハッシュ関数を実行し
07:10
run it through a hashing function,
183
418397
1897
その結果が
07:12
and see whether it matches
184
420294
1765
彼らが盗んだ
07:14
the passwords they have on
their stolen password list.
their stolen password list.
185
422059
3950
パスワード リストのハッシュと
一致するか調べるのです
一致するか調べるのです
07:18
So a dumb attacker will try every password in order.
186
426009
3105
馬鹿なハッカーは 全てのパスワードを
順番に試していきます
順番に試していきます
07:21
They'll start with AAAAA and move on to AAAAB,
187
429114
3568
AAAAA から始まり AAAABを次に試すように
07:24
and this is going to take a really long time
188
432682
2418
この作業は 実際誰かが使っていそうな
07:27
before they get any passwords
189
435100
1526
パスワードに辿り着くまでに
07:28
that people are really likely to actually have.
190
436626
2697
すごい時間を費やします
07:31
A smart attacker, on the other hand,
191
439323
2183
一方 賢いハッカーは
07:33
does something much more clever.
192
441506
1386
もっと賢い方法をとります
07:34
They look at the passwords
193
442892
1826
彼らは 盗んだパスワードの一覧から
07:36
that are known to be popular
194
444718
1800
よく使われているとされている
07:38
from these stolen password sets,
195
446518
1727
パスワードを調べます
07:40
and they guess those first.
196
448245
1189
最初にそれらを推測するのです
07:41
So they're going to start by guessing "password,"
197
449434
2134
"password" を推測することから始め
07:43
and then they'll guess "I love you," and "monkey,"
198
451568
2751
"I love you" や "monkey"や
07:46
and "12345678,"
199
454319
2583
"12345678" などを推測するわけです
07:48
because these are the passwords
200
456902
1312
なぜなら 皆が使っている
07:50
that are most likely for people to have.
201
458214
1905
可能性が高いパスワードがあるからです
07:52
In fact, some of you probably have these passwords.
202
460119
3261
実際に あなた方のうち何人かは
これらのパスワードを使っているでしょう
これらのパスワードを使っているでしょう
07:57
So what we found
203
465191
1298
さて ご説明したテストを
07:58
by running all of these 5,000 passwords we collected
204
466489
3406
収集した5千のパスワードで実行して
08:01
through these tests to see how strong they were,
205
469895
4106
セキュリティーの強度をチェックしたところ
08:06
we found that the long passwords
206
474001
2752
長いパスワードは
08:08
were actually pretty strong,
207
476753
1280
実際 安全性が高いこと
08:10
and the complex passwords were pretty strong too.
208
478033
3262
そして 複雑なパスワードも
安全性が高いことが分かりました
安全性が高いことが分かりました
08:13
However, when we looked at the survey data,
209
481295
2442
しかしながら 調査データを見ると
08:15
we saw that people were really frustrated
210
483737
3024
人々は複雑なパスワードに
08:18
by the very complex passwords,
211
486761
2339
苛立ちを感じていることがわかりました
08:21
and the long passwords were a lot more usable,
212
489100
2630
そして 長いパスワードの方が より使いやすく
08:23
and in some cases, they were actually
213
491730
1325
場合によっては
08:25
even stronger than the complex passwords.
214
493055
2908
複雑なパスワードより 安全性が高い事がわかりました
08:27
So this suggests that,
215
495963
1169
これは パスワードに
08:29
instead of telling people that they need
216
497132
1703
記号や数字を入れたり
08:30
to put all these symbols and numbers
217
498835
1522
複雑な事をお願いするよりも
08:32
and crazy things into their passwords,
218
500357
2842
ただ 長いパスワードを作るように
08:35
we might be better off just telling people
219
503199
2022
お願いした方が良いかもしれないという事を
08:37
to have long passwords.
220
505221
2652
意味しています
08:39
Now here's the problem, though:
221
507873
1792
ただ ここで問題があります
08:41
Some people had long passwords
222
509665
2255
人によっては そんなに安全性の高くない
08:43
that actually weren't very strong.
223
511920
1555
長いパスワードを使っていた事です
08:45
You can make long passwords
224
513475
1997
ハッカーが 簡単に推測できる
08:47
that are still the sort of thing
225
515472
1556
長いパスワードを作ることもできてしまうので
08:49
that an attacker could easily guess.
226
517028
1742
長いパスワードを作ることもできてしまうので
08:50
So we need to do more than
just say long passwords.
just say long passwords.
227
518770
3365
長いというだけではダメなのです
08:54
There has to be some additional requirements,
228
522135
1936
何か 追加の条件が必要なのです
08:56
and some of our ongoing research is looking at
229
524071
2969
現在 私達が継続している研究のひとつは
08:59
what additional requirements we should add
230
527040
2439
どのような追加条件を付け加えると
09:01
to make for stronger passwords
231
529479
2104
簡単に覚えられて タイプできる
09:03
that also are going to be easy for people
232
531583
2312
安全性の高いパスワードを
09:05
to remember and type.
233
533895
2698
作れるかです
09:08
Another approach to getting people to have
234
536593
2126
安全性の高いパスワードを作る事のできる
09:10
stronger passwords is to use a password meter.
235
538719
2257
他の手段として パスワードメーターがあります
09:12
Here are some examples.
236
540976
1385
ここにいくつかの例を上げます
09:14
You may have seen these on the Internet
237
542361
1401
パスワードを作成するとき
09:15
when you were creating passwords.
238
543762
3057
インターネットでこれらを
見たことがあるかもしれません
見たことがあるかもしれません
09:18
We decided to do a study to find out
239
546819
2248
私達は これらのパスワードメーターが
09:21
whether these password meters actually work.
240
549067
2887
実際 機能しているか調査することにしました
09:23
Do they actually help people
241
551954
1421
メーターは安全性の高い
09:25
have stronger passwords,
242
553375
1453
パスワードを作るのを助けているのか
09:26
and if so, which ones are better?
243
554828
2086
そうであれば どのメーターが良いのか?
09:28
So we tested password meters that were
244
556914
2507
私達は色々なパスワードメーターをテストしました
09:31
different sizes, shapes, colors,
245
559421
2098
異なる大きさ 形 色
09:33
different words next to them,
246
561519
1416
メーターの横の言葉が違うもの
09:34
and we even tested one that was a dancing bunny.
247
562935
3275
ウサギが踊る メーターさえも テストしました
09:38
As you type a better password,
248
566210
1582
良いパスワードであればあるほど
09:39
the bunny dances faster and faster.
249
567792
2539
ウサギのダンスが早くなります
09:42
So this was pretty fun.
250
570331
2529
これは結構面白かったかったですよ
09:44
What we found
251
572860
1567
調査の結果
09:46
was that password meters do work.
252
574427
3572
パスワードメータは
機能しているという事が分かりました
機能しているという事が分かりました
09:49
(Laughter)
253
577999
1801
(笑)
09:51
Most of the password meters were actually effective,
254
579800
3333
ほとんどのパスワードメーターは 有効です
09:55
and the dancing bunny was very effective too,
255
583133
2521
ウサギが踊るメータも効果的でした
09:57
but the password meters that were the most effective
256
585654
2881
しかし 最も効果的なパスワードメーターは
10:00
were the ones that made you work harder
257
588535
2355
メーターがOKをだすまで
10:02
before they gave you that thumbs up and said
258
590890
1980
パスワードを考える努力を強制するというものでした
10:04
you were doing a good job,
259
592870
1377
パスワードを考える努力を強制するというものでした
10:06
and in fact we found that most
260
594247
1512
今日インターネット上にある
10:07
of the password meters on the Internet today
261
595759
2281
パスワードメーターのほとんどは優しすぎるのです
10:10
are too soft.
262
598040
952
パスワードメーターのほとんどは優しすぎるのです
10:10
They tell you you're doing a good job too early,
263
598992
2203
メーターは OKを 早く出しすぎているので
10:13
and if they would just wait a little bit
264
601195
1929
OKサインを出す前に
10:15
before giving you that positive feedback,
265
603124
2049
もう少し待つように設定されていたら
10:17
you probably would have better passwords.
266
605173
3160
より良いパスワードになっていたことでしょう
10:20
Now another approach to better passwords, perhaps,
267
608333
3847
良いパスワードを作るもうひとつの方法は
10:24
is to use pass phrases instead of passwords.
268
612180
2890
パス’ワード’の変わりにパス’フレーズ’を使うことです
10:27
So this was an xkcd cartoon
from a couple of years ago,
from a couple of years ago,
269
615070
3418
これは 2年前の xkcd の漫画です
10:30
and the cartoonist suggests
270
618488
1674
この漫画家は
10:32
that we should all use pass phrases,
271
620162
2196
パスフレーズを使うことを推薦しています
10:34
and if you look at the second row of this cartoon,
272
622358
3170
そして2行目を見ていただくと
10:37
you can see the cartoonist is suggesting
273
625528
1857
漫画家はこう言っています
10:39
that the pass phrase "correct horse battery staple"
274
627385
3441
「correct horse battery staple」 は
(正解 馬 バッテリー ホッチキス)
(正解 馬 バッテリー ホッチキス)
10:42
would be a very strong pass phrase
275
630826
2481
とても安全性の高いパスフレーズで
10:45
and something really easy to remember.
276
633307
1916
そしてとても覚えやすいものだと
10:47
He says, in fact, you've already remembered it.
277
635223
2797
実際 あなたはすでに覚えたでしょう と
彼は言っています
彼は言っています
10:50
And so we decided to do a research study
278
638020
2150
そこで 私達はこれが本当かどうか
10:52
to find out whether this was true or not.
279
640170
2592
研究することにしました
10:54
In fact, everybody who I talk to,
280
642762
1775
実際 私がパスワードの研究をしていると話した人 皆が
10:56
who I mention I'm doing password research,
281
644537
2042
実際 私がパスワードの研究をしていると話した人 皆が
10:58
they point out this cartoon.
282
646579
1400
この漫画の事を指摘しました
10:59
"Oh, have you seen it? That xkcd.
283
647979
1574
「おー xkcdの漫画 見たことある?
11:01
Correct horse battery staple."
284
649553
1602
正解 馬 バッテリー ホッチキス」
11:03
So we did the research study to see
285
651155
1806
そこで 実際どうなのか 調査しました
11:04
what would actually happen.
286
652961
2359
そこで 実際どうなのか 調査しました
11:07
So in our study, we used Mechanical Turk again,
287
655320
3060
調査には 再びメカニカル タークを使い
11:10
and we had the computer pick the random words
288
658380
4167
コンピュータに パスフレーズのランダムな単語を
11:14
in the pass phrase.
289
662547
1100
選択させました
11:15
Now the reason we did this
290
663647
1153
こうした理由は
11:16
is that humans are not very good
291
664800
1586
人間はランダムに単語を選ぶのが
11:18
at picking random words.
292
666386
1384
苦手だからです
11:19
If we asked a human to do it,
293
667770
1262
人に これをお願いすると
11:21
they would pick things that were not very random.
294
669032
2998
そんなにランダムではない単語を選んでしまうのです
11:24
So we tried a few different conditions.
295
672030
2032
私達はいくつか違う条件を試しました
11:26
In one condition, the computer picked
296
674062
2090
ひとつは コンピュータに
11:28
from a dictionary of the very common words
297
676152
2216
辞書の中から良く使われる英単語を
11:30
in the English language,
298
678368
1362
選択させるようにしました
11:31
and so you'd get pass phrases like
299
679730
1764
この様なフレーズです
11:33
"try there three come."
300
681494
1924
"try there three come"
11:35
And we looked at that, and we said,
301
683418
1732
私達は これを見て こう言いました
11:37
"Well, that doesn't really seem very memorable."
302
685150
3050
「うむ これはあまり覚えやすそうにないな」 と
11:40
So then we tried picking words
303
688200
2240
そこで 私達は スピーチの特定の部分の
11:42
that came from specific parts of speech,
304
690440
2521
単語を使うことを試みました
11:44
so how about noun-verb-adjective-noun.
305
692961
2182
すなわち 名詞‐動詞‐形容詞‐名詞 というような
11:47
That comes up with something
that's sort of sentence-like.
that's sort of sentence-like.
306
695143
2577
何か 文章のようなもので
11:49
So you can get a pass phrase like
307
697720
2070
以下の様なパスフレーズです
11:51
"plan builds sure power"
308
699790
1308
"plan builds sure power" や
11:53
or "end determines red drug."
309
701098
2786
"end determines red drug" です
11:55
And these seemed a little bit more memorable,
310
703884
2676
これらは 覚えやすそうで
11:58
and maybe people would like those a little bit better.
311
706560
2822
人々に もう少し 好まれそうに見えました
12:01
We wanted to compare them with passwords,
312
709382
2572
私達は これらをパスワードと比較したかったので
12:03
and so we had the computer
pick random passwords,
pick random passwords,
313
711954
3196
コンピュータに ランダムな
パスワードを選択させました
パスワードを選択させました
12:07
and these were nice and short, but as you can see,
314
715150
1990
これらは とても短いですが
12:09
they don't really look very memorable.
315
717140
2806
ご覧の通り 覚えやすそうには見えません
12:11
And then we decided to try something called
316
719946
1396
次に 私達は 発音できるパスワード
12:13
a pronounceable password.
317
721342
1646
というものを試すことにしました
12:14
So here the computer picks random syllables
318
722988
2245
コンピュータがランダムな音節を選択し
12:17
and puts them together
319
725233
1134
それを 発音可能になるように組み立てます
12:18
so you have something sort of pronounceable,
320
726367
2475
それを 発音可能になるように組み立てます
12:20
like "tufritvi" and "vadasabi."
321
728842
2602
"tufritive" や "vadasabi"ように
12:23
That one kind of rolls off your tongue.
322
731444
2147
発音しやすいようなものにするのです
12:25
So these were random passwords that were
323
733591
2216
これらが コンピュータによって作られた
12:27
generated by our computer.
324
735807
2744
ランダムなパスワードです
12:30
So what we found in this study was that, surprisingly,
325
738551
2978
この研究で発見したことは 驚いたことに
12:33
pass phrases were not actually all that good.
326
741529
3768
パスフレーズは
そんなに良いものではないということでした
そんなに良いものではないということでした
12:37
People were not really better at remembering
327
745297
2793
人々は ランダムなパスワードよりも パスフレーズを
12:40
the pass phrases than these random passwords,
328
748090
2953
覚えることに関して
そんなに長けてはいなかったのです
そんなに長けてはいなかったのです
12:43
and because the pass phrases are longer,
329
751043
2754
なぜなら パスフレーズは長く
12:45
they took longer to type
330
753797
1226
入力に時間が掛かるので
12:47
and people made more errors while typing them in.
331
755023
3010
タイプする時に間違ってしまうからです
12:50
So it's not really a clear win for pass phrases.
332
758033
3227
ですので パスフレーズの
圧勝というわけにはいきませんでした
圧勝というわけにはいきませんでした
12:53
Sorry, all of you xkcd fans.
333
761260
3345
xkcd ファンの皆さん ごめんなさい
12:56
On the other hand, we did find
334
764605
1892
一方 私達は 発音可能なパスワードが
12:58
that pronounceable passwords
335
766497
1804
驚くほど 上手く機能していることが 分かったので
13:00
worked surprisingly well,
336
768301
1471
意外に 上手く機能していることが 分かったので
13:01
and so we actually are doing some more research
337
769772
2418
この方法を さらに機能的にすることが出来るか
13:04
to see if we can make that
approach work even better.
approach work even better.
338
772190
3195
もう少し研究をすることにしました
13:07
So one of the problems
339
775385
1812
私達が行なった
いくつかの研究の中での 問題のひとつは
いくつかの研究の中での 問題のひとつは
13:09
with some of the studies that we've done
340
777197
1623
私達が行なった
いくつかの研究の中での 問題のひとつは
いくつかの研究の中での 問題のひとつは
13:10
is that because they're all done
341
778820
1683
これら研究全てで メカニカル タークが使われていて
13:12
using Mechanical Turk,
342
780503
1590
これら研究全てで メカニカル タークが使われていて
13:14
these are not people's real passwords.
343
782093
1812
実際のパスワードではないことです
13:15
They're the passwords that they created
344
783905
2105
メカニカルタークで作ったものか
13:18
or the computer created for them for our study.
345
786010
2495
コンピュータが研究用に作った物なのです
13:20
And we wanted to know whether people
346
788505
1568
私達は 一般の方々が実際
13:22
would actually behave the same way
347
790073
2312
本当のパスワードで
13:24
with their real passwords.
348
792385
2227
同じような行動を取るか知りたいと思いました
13:26
So we talked to the information
security office at Carnegie Mellon
security office at Carnegie Mellon
349
794612
3681
そこで 私達は カーネギーメロンの
情報セキュリティー オフィスに
情報セキュリティー オフィスに
13:30
and asked them if we could
have everybody's real passwords.
have everybody's real passwords.
350
798293
3803
学校 皆のパスワードを調査できないか尋ねました
13:34
Not surprisingly, they were a little bit reluctant
351
802096
1754
予想通り 彼らは私達に見せることを
13:35
to share them with us,
352
803850
1550
少し躊躇していましたが
13:37
but we were actually able to work out
353
805400
1810
何とか 彼らと共に あるシステムを
13:39
a system with them
354
807210
1040
成立させました
13:40
where they put all of the real passwords
355
808250
2109
大学の生徒 教員 職員
13:42
for 25,000 CMU students, faculty and staff,
356
810359
3091
2万5千個のパスワードを 鍵をかけた部屋にある
13:45
into a locked computer in a locked room,
357
813450
2448
ロックされたコンピュータに入れ
13:47
not connected to the Internet,
358
815898
1394
インターネットから遮断した上で
13:49
and they ran code on it that we wrote
359
817292
1848
パスワードを解析する為に私達が書いた
13:51
to analyze these passwords.
360
819140
2152
コードを彼らに実行してもらいました
13:53
They audited our code.
361
821292
1326
彼らは 私達のコードを検閲し
13:54
They ran the code.
362
822618
1312
コードを実行しました
13:55
And so we never actually saw
363
823930
1738
ですので 私達は実際に
13:57
anybody's password.
364
825668
2817
誰のパスワードも見ていません
14:00
We got some interesting results,
365
828485
1515
研究から 面白い結果を得ました
14:02
and those of you Tepper students in the back
366
830000
1696
後ろにいる テッパーの学生には
14:03
will be very interested in this.
367
831696
2875
とても興味深いものだと思います
14:06
So we found that the passwords created
368
834571
3731
コンピュータサイエンス学部に属している
14:10
by people affiliated with the
school of computer science
school of computer science
369
838302
2158
学生が作ったパスワードは
14:12
were actually 1.8 times stronger
370
840460
2324
経営学部の学生のものより
14:14
than those affiliated with the business school.
371
842784
3738
1.8倍安全性が高いことが分かりました
14:18
We have lots of other really interesting
372
846522
2040
私達は また とても興味深い
14:20
demographic information as well.
373
848562
2238
人口学的情報も たくさん得ることができました
14:22
The other interesting thing that we found
374
850800
1846
他に 発見した興味深いことは
14:24
is that when we compared
the Carnegie Mellon passwords
the Carnegie Mellon passwords
375
852646
2440
メカニカルタークで作成されたパスワードと
14:27
to the Mechanical Turk-generated passwords,
376
855086
2283
カーネギーメロンのパスワードを比較したとき
14:29
there was actually a lot of similarities,
377
857369
2619
それらはとても似ていたことです
14:31
and so this helped validate our research method
378
859988
1948
これは 研究方法を実証する助けとなり
14:33
and show that actually, collecting passwords
379
861936
2510
メカニカルタークを使ってパスワードを集める事は
14:36
using these Mechanical Turk studies
380
864446
1808
研究に正当な方法である
14:38
is actually a valid way to study passwords.
381
866254
2788
ことを示していました
14:41
So that was good news.
382
869042
2285
これは 良いニュースでした
14:43
Okay, I want to close by talking about
383
871327
2414
さて 去年 私が大学の芸術学部で
14:45
some insights I gained while on sabbatical
384
873741
2068
研究休暇を取った時の事を
14:47
last year in the Carnegie Mellon art school.
385
875809
3201
お話して終わりにしたいと思います
14:51
One of the things that I did
386
879010
1281
私がやった事のひとつは
14:52
is I made a number of quilts,
387
880291
1524
たくさんのキルトを作った事です
14:53
and I made this quilt here.
388
881815
1548
ここにあるキルトも作りました
14:55
It's called "Security Blanket."
389
883363
1899
「セキュリティー ブランケット」といいます
14:57
(Laughter)
390
885262
2431
(笑)
14:59
And this quilt has the 1,000
391
887693
3095
このキルトにはRockYou サイトから
15:02
most frequent passwords stolen
392
890788
2328
盗まれたパスワードのうち最も頻度の高い
15:05
from the RockYou website.
393
893116
2571
千個のパスワードが縫いこまれています
15:07
And the size of the passwords is proportional
394
895687
2061
そして パスワードの大きさは
15:09
to how frequently they appeared
395
897748
1901
盗まれたデータセットの中に
15:11
in the stolen dataset.
396
899649
2248
現れる頻度に比例しています
15:13
And what I did is I created this word cloud,
397
901897
2632
私は これらの単語のワードクラウドを作り
15:16
and I went through all 1,000 words,
398
904529
2132
千個全ての単語を見直し
15:18
and I categorized them into
399
906661
1795
大体のテーマ別のカテゴリーに 分類しました
15:20
loose thematic categories.
400
908456
2380
大体のテーマ別のカテゴリーに 分類しました
15:22
And it was, in some cases,
401
910836
1903
時として
15:24
it was kind of difficult to figure out
402
912739
2038
どのカテゴリーに属すか 判断するのが
15:26
what category they should be in,
403
914777
1755
難しい物もありました
15:28
and then I color-coded them.
404
916532
1899
そして 私は それらを色分けしました
15:30
So here are some examples of the difficulty.
405
918431
2619
これらが 難しかった例のいくつかです
15:33
So "justin."
406
921050
1181
例えば "justin"
15:34
Is that the name of the user,
407
922231
1829
これは ユーザーの名前でしょうか
15:36
their boyfriend, their son?
408
924060
1322
彼氏 又は息子の名前でしょうか?
15:37
Maybe they're a Justin Bieber fan.
409
925382
2888
ジャスティン ビーバーのファンかもしれません
15:40
Or "princess."
410
928270
2225
あるいは "princess"
15:42
Is that a nickname?
411
930495
1635
ニックネームでしょうか?
15:44
Are they Disney princess fans?
412
932130
1595
ディズニー プリンセスのファンでしょうか?
15:45
Or maybe that's the name of their cat.
413
933725
3694
ひょっとしたら 猫の名前かもしれません
15:49
"Iloveyou" appears many times
414
937419
1655
「Iloveyou」 は 色々な言語で
15:51
in many different languages.
415
939074
1545
よく見受けられました
15:52
There's a lot of love in these passwords.
416
940619
3735
パスワードには愛が込められているのです
15:56
If you look carefully, you'll see there's also
417
944354
1680
注意深く見ていると みだらな言葉が
15:58
some profanity,
418
946034
2267
使われているのも見受けられます
16:00
but it was really interesting to me to see
419
948301
1950
でも 憎しみよりも はるかに多くの
16:02
that there's a lot more love than hate
420
950251
2307
愛の言葉が パスワードに使われていることは
16:04
in these passwords.
421
952558
2292
とても興味深いことです
16:06
And there are animals,
422
954850
1490
そして 動物
16:08
a lot of animals,
423
956340
1360
多くの動物の名前が使われています
16:09
and "monkey" is the most common animal
424
957700
2304
「monkey」 (サル)は最もよく使われる動物で
16:12
and the 14th most popular password overall.
425
960004
3675
全体の人気パスワードの中でも14位に入ります
16:15
And this was really curious to me,
426
963679
2231
私はこれをとても興味深く思い
16:17
and I wondered, "Why are monkeys so popular?"
427
965910
2523
「なぜ サルがこんなにも人気なのか?」
と疑問に思いました
と疑問に思いました
16:20
And so in our last password study,
428
968433
3352
ですので 最後の研究に
16:23
any time we detected somebody
429
971785
1686
"monkey" と
16:25
creating a password with the word "monkey" in it,
430
973471
2649
パスワードに入れた人を探し
16:28
we asked them why they had
a monkey in their password.
a monkey in their password.
431
976120
3030
なぜ サルをパスワードに入れたのか
尋ねることにしました
尋ねることにしました
16:31
And what we found out --
432
979150
1910
そして分かったことは
16:33
we found 17 people so far, I think,
433
981060
2103
-今のところ 「サル」の単語を使ったと思われる
16:35
who have the word "monkey" --
434
983163
1283
人を17人を見つけました-
16:36
We found out about a third of them said
435
984446
1812
約1/3の人はペットに“サル"と名付けた
16:38
they have a pet named "monkey"
436
986258
1740
約1/3の人はペットに“サル"と名付けた
16:39
or a friend whose nickname is "monkey,"
437
987998
2291
又は “サル" というあだ名の友達がいる
ということでした
ということでした
16:42
and about a third of them said
438
990289
1660
そして 他の約1/3は
16:43
that they just like monkeys
439
991949
1533
サルが好きで 可愛いいと
16:45
and monkeys are really cute.
440
993482
1638
思っている言っていました
16:47
And that guy is really cute.
441
995120
3639
彼は 本当に可愛いですね
16:50
So it seems that at the end of the day,
442
998759
3408
結局のところ
16:54
when we make passwords,
443
1002167
1783
私達はパスワードを作るとき
16:55
we either make something that's really easy
444
1003950
1974
入力するのがとても簡単なもの
16:57
to type, a common pattern,
445
1005924
3009
ありがちなパターン
17:00
or things that remind us of the word password
446
1008933
2486
"password"という単語や
17:03
or the account that we've created the password for,
447
1011419
3312
あるいはアカウント名を連想するもの
17:06
or whatever.
448
1014731
2617
など脆弱なものを選んでしまうのです
17:09
Or we think about things that make us happy,
449
1017348
2642
もしくは 私達を幸せにしてくれるものを思い浮かべ
17:11
and we create our password
450
1019990
1304
それをもとに
17:13
based on things that make us happy.
451
1021294
2238
パスワードを作ります
17:15
And while this makes typing
452
1023532
2863
こういったパスワードは
17:18
and remembering your password more fun,
453
1026395
2870
覚えやすくて入力するのも楽しいのですが
17:21
it also makes it a lot easier
454
1029265
1807
同時に簡単に破られてしまいます
17:23
to guess your password.
455
1031072
1506
同時に簡単に破られてしまいます
17:24
So I know a lot of these TED Talks
456
1032578
1748
ですので TED Talksの多くは
17:26
are inspirational
457
1034326
1634
とても感動的で 私達に 素敵で
17:27
and they make you think about nice, happy things,
458
1035960
2461
幸せな事を考えさせてくれますが
17:30
but when you're creating your password,
459
1038421
1897
パスワードを作るときは
17:32
try to think about something else.
460
1040318
1991
他の事を考えて作るようにしてください
17:34
Thank you.
461
1042309
1107
ありがとうございました
17:35
(Applause)
462
1043416
553
(拍手)
ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcherAt Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.
Why you should listen
Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.
Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.
Lorrie Faith Cranor | Speaker | TED.com