TEDxCMU
Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?
Lorrie Faith Cranor: Qu'est-ce qui cloche avec votre m0t de pa$$e ?
Filmed:
Readability: 4.5
1,566,161 views
Lorrie Faith Cranor a étudié des milliers de vrais mots de passe pour comprendre les erreurs étonnantes et très courantes que les utilisateurs - et les sites sécurisés - commettent et qui compromettent la sécurité. Et vous vous demandez peut-être : comment a-t-elle étudié des milliers de vrais mots de passe sans compromettre la sécurité d'aucun utilisateur ? C'est une histoire en soi. C'est une base de données secrète qui mérite d'être connue, particulièrement si votre mot de passe est 123456...
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio
Double-click the English transcript below to play the video.
00:12
I am a computer science and engineering
professor here at Carnegie Mellon,
professor here at Carnegie Mellon,
0
535
3445
Je suis professeur d'informatique et
d'ingéniérie informatique
d'ingéniérie informatique
à Carnegie Mellon,
00:15
and my research focuses on
usable privacy and security,
usable privacy and security,
1
3980
4248
et mes recherches se concentrent sur
l'utilisabilité de la vie privée
l'utilisabilité de la vie privée
et de la sécurité,
00:20
and so my friends like to give me examples
2
8228
2768
et mes amis aiment me donner des exemples
00:22
of their frustrations with computing systems,
3
10996
2202
de leurs frustrations liées
aux systèmes informatiques,
aux systèmes informatiques,
00:25
especially frustrations related to
4
13198
3354
particulièrement des frustrations liées à
00:28
unusable privacy and security.
5
16552
4112
une vie privée et une sécurité
qui ne sont pas utilisables.
qui ne sont pas utilisables.
00:32
So passwords are something that I hear a lot about.
6
20664
2711
J'entends donc beaucoup parler
des mots de passe.
des mots de passe.
00:35
A lot of people are frustrated with passwords,
7
23375
2880
Beaucoup de gens sont irrités
par les mots de passe,
par les mots de passe,
00:38
and it's bad enough
8
26255
1694
c'est déjà assez compliqué
00:39
when you have to have one really good password
9
27949
2644
d'avoir un très bon mot de passe
00:42
that you can remember
10
30593
1822
dont vous pouvez vous souvenir
00:44
but nobody else is going to be able to guess.
11
32415
2894
mais que personne d'autre ne peut deviner.
00:47
But what do you do when you have accounts
12
35309
1637
Mais que fait-on lorsqu'on a des comptes
00:48
on a hundred different systems
13
36946
1808
sur une centaine de systèmes différents
00:50
and you're supposed to have a unique password
14
38754
2276
et qu'on est sensé avoir
un mot de passe unique
un mot de passe unique
00:53
for each of these systems?
15
41030
3037
pour chacun de ces systèmes ?
00:56
It's tough.
16
44067
2184
C'est difficile.
00:58
At Carnegie Mellon, they used to make it
17
46251
1759
A Carnegie Mellon, ils rendaient
01:00
actually pretty easy for us
18
48010
1299
la mémorisation de nos mots de passe
plutôt facile.
plutôt facile.
01:01
to remember our passwords.
19
49309
1737
01:03
The password requirement up through 2009
20
51046
2403
Jusqu'en 2009, l'exigence était
01:05
was just that you had to have a password
21
53449
2379
d'avoir un mot de passe
01:07
with at least one character.
22
55828
2211
comportant au moins un caractère.
01:10
Pretty easy. But then they changed things,
23
58039
2888
Plutôt facile.
Et puis les choses ont changé,
Et puis les choses ont changé,
01:12
and at the end of 2009, they announced
24
60927
2670
et fin 2009, ils ont annoncé
01:15
that we were going to have a new policy,
25
63597
2376
que nous allions avoir
une nouvelle politique,
une nouvelle politique,
01:17
and this new policy required
26
65973
1863
et cette nouvelle politique exigeait
01:19
passwords that were at least eight characters long,
27
67836
2681
des mots de passe
d'au moins huit caractères,
d'au moins huit caractères,
01:22
with an uppercase letter, lowercase letter,
28
70517
1775
avec une majuscule, une minuscule,
01:24
a digit, a symbol,
29
72292
1288
un chiffre, un symbole,
01:25
you couldn't use the same
character more than three times,
character more than three times,
30
73580
2638
vous ne pouviez pas utiliser
le même caractère plus de trois fois,
le même caractère plus de trois fois,
01:28
and it wasn't allowed to be in a dictionary.
31
76218
2434
et ce ne pouvait pas être
un mot du dictionnaire.
un mot du dictionnaire.
01:30
Now, when they implemented this new policy,
32
78652
2182
Quand ils ont mis en place
cette nouvelle politique,
cette nouvelle politique,
01:32
a lot of people, my colleagues and friends,
33
80834
2310
beaucoup de gens,
mes collègues et amis,
mes collègues et amis,
01:35
came up to me and they said, "Wow,
34
83144
1854
sont venus me voir et ont dit :
01:36
now that's really unusable.
35
84998
1512
« C'est vraiment inutilisable.
01:38
Why are they doing this to us,
36
86510
1193
Pourquoi nous font-ils ça,
01:39
and why didn't you stop them?"
37
87703
1711
et pourquoi
ne les en as-tu pas empêchés ? »
ne les en as-tu pas empêchés ? »
01:41
And I said, "Well, you know what?
38
89414
1356
Et j'ai dit :
« Vous savez quoi ?
« Vous savez quoi ?
01:42
They didn't ask me."
39
90770
1508
On ne m'a rien demandé. »
01:44
But I got curious, and I decided to go talk
40
92278
3465
Mais ça a éveillé ma curiosité,
et j'ai décidé d'aller parler
et j'ai décidé d'aller parler
01:47
to the people in charge of our computer systems
41
95743
1937
aux personnes en charge
des systèmes informatiques
des systèmes informatiques
01:49
and find out what led them to introduce
42
97680
2831
et de découvrir ce qui
les a amenés à introduire
les a amenés à introduire
01:52
this new policy,
43
100511
1848
cette nouvelle politique,
01:54
and they said that the university
44
102359
1584
et ils ont dit que l'université
01:55
had joined a consortium of universities,
45
103943
2366
avait rejoint un consortium d'universités,
01:58
and one of the requirements of membership
46
106309
2634
et que l'une des exigences
pour devenir membre
pour devenir membre
02:00
was that we had to have stronger passwords
47
108943
2248
était que nous devions avoir
des mots de passe plus compliqués
des mots de passe plus compliqués
02:03
that complied with some new requirements,
48
111191
2272
qui respectaient de nouvelles exigences,
02:05
and these requirements were that our passwords
49
113463
2104
et ces exigences étaient que
nos mots de passe
nos mots de passe
02:07
had to have a lot of entropy.
50
115567
1604
devaient avoir beaucoup d'entropie.
02:09
Now entropy is a complicated term,
51
117171
2278
L'entropie est un terme compliqué,
02:11
but basically it measures the strength of passwords.
52
119449
2798
mais en fait ça mesure
la sécurité des mots de passe.
la sécurité des mots de passe.
02:14
But the thing is, there isn't actually
53
122247
1979
Mais le fait est qu'en réalité,
il n'y a pas
il n'y a pas
02:16
a standard measure of entropy.
54
124226
1949
de mesure standard de l'entropie.
02:18
Now, the National Institute
of Standards and Technology
of Standards and Technology
55
126175
2399
L'Institut National des Standards
et de la Technologie (INST)
et de la Technologie (INST)
02:20
has a set of guidelines
56
128574
1553
a fixé des règles,
02:22
which have some rules of thumb
57
130127
2568
qui sont basées sur le bon sens,
02:24
for measuring entropy,
58
132695
1440
pour mesurer l'entropie,
02:26
but they don't have anything too specific,
59
134135
2895
mais elles n'ont rien de spécifique,
02:29
and the reason they only have rules of thumb
60
137030
2337
et la raison pour laquelle
il n'y a que des règles de bon sens
il n'y a que des règles de bon sens
02:31
is it turns out they don't actually have any good data
61
139367
3136
est qu'il n'y a pas vraiment
de bonne base de données
de bonne base de données
02:34
on passwords.
62
142503
1520
sur les mots de passe.
02:36
In fact, their report states,
63
144023
2312
En fait, dans leur rapport, ils déclarent :
02:38
"Unfortunately, we do not have much data
64
146335
2328
« Malheureusement, nous n'avons pas
beaucoup de données
beaucoup de données
02:40
on the passwords users
choose under particular rules.
choose under particular rules.
65
148663
2842
sur les mots de passe que les utilisateurs
choisissent selon les règles spécifiques.
choisissent selon les règles spécifiques.
02:43
NIST would like to obtain more data
66
151505
2333
L'INST aimerait obtenir plus de données
02:45
on the passwords users actually choose,
67
153838
2462
sur les mots de passe
que les utilisateurs choisissent,
que les utilisateurs choisissent,
02:48
but system administrators
are understandably reluctant
are understandably reluctant
68
156300
2463
mais les administrateurs systèmes sont,
on le comprend, réticents
on le comprend, réticents
02:50
to reveal password data to others."
69
158763
2940
à révéler les mots de passe
à d'autres personnes. »
à d'autres personnes. »
02:53
So this is a problem, but our research group
70
161703
3097
C'est donc un problème,
mais notre groupe de recherche
mais notre groupe de recherche
02:56
looked at it as an opportunity.
71
164800
2140
l'a envisagé comme une opportunité.
02:58
We said, "Well, there's a need
for good password data.
for good password data.
72
166940
3100
Nous avons dit : « Il y a besoin de bonnes
données sur les mots de passe.
données sur les mots de passe.
03:02
Maybe we can collect some good password data
73
170040
2148
Peut-être que nous pouvons collecter
de bonnes données sur les mots de passe
de bonnes données sur les mots de passe
03:04
and actually advance the state of the art here.
74
172188
2704
et faire avancer l'état de l'art. »
03:06
So the first thing we did is,
75
174892
1672
La première chose
que nous avons faite est
que nous avons faite est
03:08
we got a bag of candy bars
76
176564
1556
que nous avons pris un sac
plein de sucreries
plein de sucreries
03:10
and we walked around campus
77
178120
1086
et nous nous sommes promenés
dans le campus,
dans le campus,
03:11
and talked to students, faculty and staff,
78
179206
2798
nous avons parlé à des étudiants,
des professeurs et au personnel,
des professeurs et au personnel,
03:14
and asked them for information
79
182004
1530
et leur avons demandé des informations
03:15
about their passwords.
80
183534
1552
sur leurs mots de passe.
03:17
Now we didn't say, "Give us your password."
81
185086
3004
Nous ne leur avons pas dit :
« Donnez-nous votre mot de passe. »
« Donnez-nous votre mot de passe. »
03:20
No, we just asked them about their password.
82
188090
2661
Non, nous leur avons simplement
posé des questions sur leur mot de passe.
posé des questions sur leur mot de passe.
03:22
How long is it? Does it have a digit?
83
190751
1478
Est-il long ? Contient-il un chiffre ?
03:24
Does it have a symbol?
84
192229
1068
Contient-il un symbole ?
03:25
And were you annoyed at having to create
85
193297
2045
Avez-vous trouvé gênant de devoir en créer
03:27
a new one last week?
86
195342
2744
un nouveau la semaine dernière ?
03:30
So we got results from 470 students,
87
198086
3206
Nous avons eu les résultats
concernant 470 étudiants,
concernant 470 étudiants,
03:33
faculty and staff,
88
201292
971
professeurs et membres du personnel,
03:34
and indeed we confirmed that the new policy
89
202263
2514
et avons confirmé que la nouvelle politque
03:36
was very annoying,
90
204777
1453
était très embêtante,
03:38
but we also found that people said
91
206230
1792
mais nous avons aussi remarqué
que les gens disaient
que les gens disaient
03:40
they felt more secure with these new passwords.
92
208022
3130
qu'ils se sentaient plus en sécurité
avec ces nouveaux mots de passe.
avec ces nouveaux mots de passe.
03:43
We found that most people knew
93
211152
2306
Nous avons constaté
que la plupart des gens savait
que la plupart des gens savait
03:45
they were not supposed to
write their password down,
write their password down,
94
213458
2152
qu'ils n'étaient pas sensés
écrire leur mot de passe sur un papier,
écrire leur mot de passe sur un papier,
03:47
and only 13 percent of them did,
95
215610
2391
et que seulement 13%
d'entre eux le faisaient,
d'entre eux le faisaient,
03:50
but disturbingly, 80 percent of people
96
218001
2416
mais, de façon dérangeante,
80% des gens
80% des gens
03:52
said they were reusing their password.
97
220417
2124
disaient qu'ils réutilisaient
leur mot de passe.
leur mot de passe.
03:54
Now, this is actually more dangerous
98
222541
1796
C'est en fait plus dangereux
03:56
than writing your password down,
99
224337
2022
que d'écrire votre mot de passe
sur un papier,
sur un papier,
03:58
because it makes you much
more susceptible to attackers.
more susceptible to attackers.
100
226359
3561
parce que ça vous rend
plus exposés aux attaques.
plus exposés aux attaques.
04:01
So if you have to, write your passwords down,
101
229920
3118
Donc, si vous en avez besoin,
écrivez vos mots de passe sur un papier,
écrivez vos mots de passe sur un papier,
04:05
but don't reuse them.
102
233038
1799
mais ne les réutilisez pas.
04:06
We also found some interesting things
103
234837
1751
Nous avons également constaté
des choses intéressantes
des choses intéressantes
04:08
about the symbols people use in passwords.
104
236588
2961
concernant les symboles utilisés
dans les mots de passe.
dans les mots de passe.
04:11
So CMU allows 32 possible symbols,
105
239549
2799
La CMU autorise 32 symboles possibles,
04:14
but as you can see, there's only a small number
106
242348
2433
mais comme vous pouvez le voir,
seul un petit nombre
seul un petit nombre
04:16
that most people are using,
107
244781
1802
est utilisé par la majorité des gens,
04:18
so we're not actually getting very much strength
108
246583
2941
donc nos mots de passe ne sont pas
vraiment beaucoup plus sûrs
vraiment beaucoup plus sûrs
04:21
from the symbols in our passwords.
109
249524
2466
si on y met des symboles.
04:23
So this was a really interesting study,
110
251990
2711
C'était une étude très intéressante,
04:26
and now we had data from 470 people,
111
254701
2464
et nous avons maintenant les données
de 470 personnes,
de 470 personnes,
04:29
but in the scheme of things,
112
257165
1305
mais dans la situation actuelle,
04:30
that's really not very much password data,
113
258470
2580
ça ne représente pas beaucoup
de données sur les mots de passe,
de données sur les mots de passe,
04:33
and so we looked around to see
114
261050
1445
nous avons donc regardé autour de nous :
04:34
where could we find additional password data?
115
262495
2560
où pouvions-nous trouver des données
additionnelles sur les mots de passe ?
additionnelles sur les mots de passe ?
04:37
So it turns out there are a lot of people
116
265055
2176
Il s'avère que beaucoup de personnes
04:39
going around stealing passwords,
117
267231
2202
volent des mots de passe,
04:41
and they often go and post these passwords
118
269433
2477
et souvent postent ces mots de passe
04:43
on the Internet.
119
271910
1337
sur internet.
04:45
So we were able to get access
120
273247
1673
Nous avons donc eu accès
04:46
to some of these stolen password sets.
121
274920
3970
à certains de ces ensembles
de mots de passe volés.
de mots de passe volés.
04:50
This is still not really ideal for research, though,
122
278890
2328
Cependant, ce n'est pas idéal
pour la recherche
pour la recherche
04:53
because it's not entirely clear
123
281218
2037
parce que la provenance
de ces mots de passe
de ces mots de passe
04:55
where all of these passwords came from,
124
283255
2184
n'est pas totalement claire,
04:57
or exactly what policies were in effect
125
285439
2242
ni quelles politiques étaient en place
04:59
when people created these passwords.
126
287681
2108
quand les gens ont créé ces mots de passe.
05:01
So we wanted to find some better source of data.
127
289789
3552
Nous voulions trouver
une meilleure source de données.
une meilleure source de données.
05:05
So we decided that one thing we could do
128
293341
1634
Nous avons décidé qu'une chose
que nous pouvions faire
que nous pouvions faire
05:06
is we could do a study and have people
129
294975
2129
était de faire une étude
et de demander aux gens
et de demander aux gens
05:09
actually create passwords for our study.
130
297104
3240
de créer des mots de passe
pour notre étude.
pour notre étude.
05:12
So we used a service called
Amazon Mechanical Turk,
Amazon Mechanical Turk,
131
300344
2821
Nous avons utilisé un service du nom de
Amazon Mechanical Turk,
Amazon Mechanical Turk,
05:15
and this is a service where you can post
132
303165
2334
c'est un service où vous pouvez poster
05:17
a small job online that takes a minute,
133
305499
2304
un petit job en ligne
qui prend une minute,
qui prend une minute,
05:19
a few minutes, an hour,
134
307803
1500
quelques minutes, une heure,
05:21
and pay people, a penny, ten cents, a few dollars,
135
309303
2584
et payer les gens, un penny,
dix centimes, quelques dollars,
dix centimes, quelques dollars,
05:23
to do a task for you,
136
311887
1346
pour accomplir une tache pour vous
05:25
and then you pay them through Amazon.com.
137
313233
2122
et ensuite vous les payez via Amazon.com.
05:27
So we paid people about 50 cents
138
315355
2294
Nous avons payé les gens
environ 50 centimes
environ 50 centimes
05:29
to create a password following our rules
139
317649
2596
pour créer un mot de passe
suivant nos règles
suivant nos règles
05:32
and answering a survey,
140
320245
1410
et répondre à un sondage,
05:33
and then we paid them again to come back
141
321655
2525
et ensuite nous les payions pour revenir
05:36
two days later and log in
142
324180
2071
deux jours plus tard se connecter
05:38
using their password and answering another survey.
143
326251
2574
en utilisant leur mot de passe
pour répondre à un autre sondage.
pour répondre à un autre sondage.
05:40
So we did this, and we collected 5,000 passwords,
144
328825
4464
Nous avons fait ça et nous avons
collecté 5000 mots de passe,
collecté 5000 mots de passe,
05:45
and we gave people a bunch of different policies
145
333289
2695
et nous avons soumis les gens
à différentes réglementations
à différentes réglementations
05:47
to create passwords with.
146
335984
1508
pour créer ces mots de passe.
05:49
So some people had a pretty easy policy,
147
337492
1910
Certaines personnes avaient
une réglementation plutôt simple,
une réglementation plutôt simple,
05:51
we call it Basic8,
148
339402
1539
nous appelons ça Basic8,
05:52
and here the only rule was that your password
149
340941
2146
et la seule règle était
que votre mot de passe
que votre mot de passe
05:55
had to have at least eight characters.
150
343087
3416
devait faire au moins
8 caractères de long.
8 caractères de long.
05:58
Then some people had a much harder policy,
151
346503
2251
Et puis d'autres personnes avaient
une réglementation bien plus difficile,
une réglementation bien plus difficile,
06:00
and this was very similar to the CMU policy,
152
348754
2537
et qui était très similaire
à la politique du CMU,
à la politique du CMU,
06:03
that it had to have eight characters
153
351291
1934
ils devaient avoir 8 caractères
06:05
including uppercase, lowercase, digit, symbol,
154
353225
2376
dont une majuscule, une minuscule,
un chiffre, un symbole,
un chiffre, un symbole,
06:07
and pass a dictionary check.
155
355601
2389
et ne pas être dans le dictionnaire.
06:09
And one of the other policies we tried,
156
357990
1335
Et l'une des autres réglementations
que nous avons essayées,
que nous avons essayées,
06:11
and there were a whole bunch more,
157
359325
1270
et il y en avait plein d'autres,
06:12
but one of the ones we tried was called Basic16,
158
360595
2240
mais l'une que nous avons essayée
s'appelait Basic16,
s'appelait Basic16,
06:14
and the only requirement here
159
362835
2632
et la seule exigence était
06:17
was that your password had
to have at least 16 characters.
to have at least 16 characters.
160
365467
3153
d'avoir un mot de passe
d'au moins 16 caractères.
d'au moins 16 caractères.
06:20
All right, so now we had 5,000 passwords,
161
368620
2458
Nous avions donc 5000 mots de passe,
06:23
and so we had much more detailed information.
162
371078
3563
et donc nous avions des informations
beaucoup plus détaillées.
beaucoup plus détaillées.
06:26
Again we see that there's only a small number
163
374641
2559
Encore une fois, nous voyons
que seul un petit nombre
que seul un petit nombre
06:29
of symbols that people are actually using
164
377200
1915
de symboles est utilisé
06:31
in their passwords.
165
379115
1886
dans les mots de passe.
06:33
We also wanted to get an idea of how strong
166
381001
2599
Nous voulions aussi avoir une idée
de la difficulté
de la difficulté
06:35
the passwords were that people were creating,
167
383600
2771
des mots de passe
que les gens créaient,
que les gens créaient,
06:38
but as you may recall, there isn't a good measure
168
386371
2620
mais comme vous vous souvenez peut-être,
il n'y a pas de bonne mesure
il n'y a pas de bonne mesure
06:40
of password strength.
169
388991
1754
de la difficulté d'un mot de passe.
06:42
So what we decided to do was to see
170
390745
2312
Nous avons donc décidé de regarder
06:45
how long it would take to crack these passwords
171
393057
2370
le temps qu'il faudrait pour craquer
ces mots de passe
ces mots de passe
06:47
using the best cracking tools
172
395427
1414
en utilisant les meilleurs outils
06:48
that the bad guys are using,
173
396841
1808
que les voyous utilisent,
06:50
or that we could find information about
174
398649
2016
ou sur lesquels nous pouvions
trouver des informations
trouver des informations
06:52
in the research literature.
175
400665
1537
dans la littérature de recherche.
06:54
So to give you an idea of how bad guys
176
402202
2758
Pour vous donner une idée
de comment les voyous
de comment les voyous
06:56
go about cracking passwords,
177
404960
2170
craquent les mots de passe,
06:59
they will steal a password file
178
407130
1951
ils volent un fichier de mots de passe
07:01
that will have all of the passwords
179
409081
2153
qui contiendra tous les mots de passe
07:03
in kind of a scrambled form, called a hash,
180
411234
2889
sous une forme brouillée,
appelée hachage,
appelée hachage,
07:06
and so what they'll do is they'll make a guess
181
414123
2562
et ce qu'ils vont faire
c'est faire une supposition
c'est faire une supposition
07:08
as to what a password is,
182
416685
1712
sur ce qu'un mot de passe peut être,
07:10
run it through a hashing function,
183
418397
1897
le passer dans une fonction de hachage,
07:12
and see whether it matches
184
420294
1765
et regarder si ça correspond
07:14
the passwords they have on
their stolen password list.
their stolen password list.
185
422059
3950
aux mots de passe qu'ils ont
sur la liste volée.
sur la liste volée.
07:18
So a dumb attacker will try every password in order.
186
426009
3105
Un attaquant idiot prendra
tous les mots de passe dans l'ordre.
tous les mots de passe dans l'ordre.
07:21
They'll start with AAAAA and move on to AAAAB,
187
429114
3568
Il commencera par AAAAA et ensuite AAAAB,
07:24
and this is going to take a really long time
188
432682
2418
et ça va prendre beaucoup de temps
07:27
before they get any passwords
189
435100
1526
avant qu'il n'obtienne un mot de passe
07:28
that people are really likely to actually have.
190
436626
2697
que les gens pourraient avoir.
07:31
A smart attacker, on the other hand,
191
439323
2183
Un attaquant intelligent, d'un autre côté,
07:33
does something much more clever.
192
441506
1386
fait quelque chose de beaucoup plus malin.
07:34
They look at the passwords
193
442892
1826
Il regarde les mots de passe
07:36
that are known to be popular
194
444718
1800
qui sont réputés populaires
07:38
from these stolen password sets,
195
446518
1727
dans ces listes de mots de passe volés,
07:40
and they guess those first.
196
448245
1189
et il suppose quels sont les premiers.
07:41
So they're going to start by guessing "password,"
197
449434
2134
Il va donc commencer par penser
à « mot de passe »,
à « mot de passe »,
07:43
and then they'll guess "I love you," and "monkey,"
198
451568
2751
puis à « je t'aime » et « singe »,
07:46
and "12345678,"
199
454319
2583
et « 12345678 »
07:48
because these are the passwords
200
456902
1312
parce que ce sont les mots de passe
07:50
that are most likely for people to have.
201
458214
1905
que les gens ont
le plus de chance d'avoir.
le plus de chance d'avoir.
07:52
In fact, some of you probably have these passwords.
202
460119
3261
En fait, certains d'entre vous
ont probablement ces mots de passe.
ont probablement ces mots de passe.
07:57
So what we found
203
465191
1298
Ce que nous avons constaté
07:58
by running all of these 5,000 passwords we collected
204
466489
3406
en testant ces 5000
mots de passe collectés
mots de passe collectés
08:01
through these tests to see how strong they were,
205
469895
4106
pour connaître leur difficulté,
08:06
we found that the long passwords
206
474001
2752
nous avons constaté que
les longs mots de passe
les longs mots de passe
08:08
were actually pretty strong,
207
476753
1280
étaient en fait plutôt difficiles,
08:10
and the complex passwords were pretty strong too.
208
478033
3262
et que les mots de passe compliqués
résistaient aussi plutôt bien.
résistaient aussi plutôt bien.
08:13
However, when we looked at the survey data,
209
481295
2442
Cependant, quand on regarde les sondages,
08:15
we saw that people were really frustrated
210
483737
3024
on remarque que les gens
étaient vraiment frustrés
étaient vraiment frustrés
08:18
by the very complex passwords,
211
486761
2339
par les mots de passe compliqués,
08:21
and the long passwords were a lot more usable,
212
489100
2630
et les mots de passe longs
étaient beaucoup plus utilisables,
étaient beaucoup plus utilisables,
08:23
and in some cases, they were actually
213
491730
1325
et dans certains cas,
ils étaient en fait
ils étaient en fait
08:25
even stronger than the complex passwords.
214
493055
2908
plus difficiles que
les mots de passe complexes.
les mots de passe complexes.
08:27
So this suggests that,
215
495963
1169
Cela suggère que
08:29
instead of telling people that they need
216
497132
1703
au lieu de dire aux gens qu'ils ont besoin
08:30
to put all these symbols and numbers
217
498835
1522
de mettre tous ces symboles et nombres
08:32
and crazy things into their passwords,
218
500357
2842
et ces choses un peu folles
dans leurs mots de passe,
dans leurs mots de passe,
08:35
we might be better off just telling people
219
503199
2022
nous ferions mieux de dire aux gens
08:37
to have long passwords.
220
505221
2652
d'avoir des mots de passe longs.
08:39
Now here's the problem, though:
221
507873
1792
Cependant, il reste un problème :
08:41
Some people had long passwords
222
509665
2255
certaines personnes ont
de longs mots de passe
de longs mots de passe
08:43
that actually weren't very strong.
223
511920
1555
qui ne sont pas très difficiles.
08:45
You can make long passwords
224
513475
1997
On peut faire de longs mots de passe
08:47
that are still the sort of thing
225
515472
1556
qui sont quand même
08:49
that an attacker could easily guess.
226
517028
1742
facilement devinables par un attaquant.
08:50
So we need to do more than
just say long passwords.
just say long passwords.
227
518770
3365
Nous devons faire plus que
demander des mots de passe longs.
demander des mots de passe longs.
08:54
There has to be some additional requirements,
228
522135
1936
Il doit y avoir d'autres exigences,
08:56
and some of our ongoing research is looking at
229
524071
2969
et parmi nos recherches en cours,
nous recherchons
nous recherchons
08:59
what additional requirements we should add
230
527040
2439
quelles exigences supplémentaires
nous devrions avoir
nous devrions avoir
09:01
to make for stronger passwords
231
529479
2104
pour faire des mots de passe
plus difficiles
plus difficiles
09:03
that also are going to be easy for people
232
531583
2312
qui seront également faciles
09:05
to remember and type.
233
533895
2698
à retenir et à taper.
09:08
Another approach to getting people to have
234
536593
2126
Une autre approche pour
pousser les gens à avoir
pousser les gens à avoir
09:10
stronger passwords is to use a password meter.
235
538719
2257
des mots de passe plus difficiles est
d'utiliser une mesure de mots de passe.
d'utiliser une mesure de mots de passe.
09:12
Here are some examples.
236
540976
1385
Voici quelques exemples.
09:14
You may have seen these on the Internet
237
542361
1401
Vous avez les peut-être
vu sur internet
vu sur internet
09:15
when you were creating passwords.
238
543762
3057
quand vous créiez des mots de passe.
09:18
We decided to do a study to find out
239
546819
2248
Nous avons décidé de lancer
une étude pour voir si
une étude pour voir si
09:21
whether these password meters actually work.
240
549067
2887
ces mesures de mots de passe
fonctionnaient ou non.
fonctionnaient ou non.
09:23
Do they actually help people
241
551954
1421
Aident-elles les gens
09:25
have stronger passwords,
242
553375
1453
à avoir des mots de passe
plus difficiles ?
plus difficiles ?
09:26
and if so, which ones are better?
243
554828
2086
Et si oui,
lesquelles sont les meilleures ?
lesquelles sont les meilleures ?
09:28
So we tested password meters that were
244
556914
2507
Nous avons testé des mesures
de mots de passe qui étaient
de mots de passe qui étaient
09:31
different sizes, shapes, colors,
245
559421
2098
de différentes tailles,
formes et couleurs,
formes et couleurs,
09:33
different words next to them,
246
561519
1416
ayant des mots différents associés,
09:34
and we even tested one that was a dancing bunny.
247
562935
3275
et nous avons même testé un lapin dansant.
09:38
As you type a better password,
248
566210
1582
Quand vous tapez
un meilleur mot de passe,
un meilleur mot de passe,
09:39
the bunny dances faster and faster.
249
567792
2539
le lapin dance plus vite.
09:42
So this was pretty fun.
250
570331
2529
C'était plutôt amusant.
09:44
What we found
251
572860
1567
Ce que nous avons remarqué
09:46
was that password meters do work.
252
574427
3572
était que les mesures de
mots de passe fonctionnent.
mots de passe fonctionnent.
09:49
(Laughter)
253
577999
1801
(Rires)
09:51
Most of the password meters were actually effective,
254
579800
3333
La plupart de ces mesures de
mots de passe étaient efficaces,
mots de passe étaient efficaces,
09:55
and the dancing bunny was very effective too,
255
583133
2521
et le lapin dansant était également
très efficace,
très efficace,
09:57
but the password meters that were the most effective
256
585654
2881
mais les mesures de mots de passe
qui étaient les plus efficaces
qui étaient les plus efficaces
10:00
were the ones that made you work harder
257
588535
2355
étaient celles qui vous faisaient
travailler plus dur
travailler plus dur
10:02
before they gave you that thumbs up and said
258
590890
1980
avant de vous donner le feu vert
et de dire que
et de dire que
10:04
you were doing a good job,
259
592870
1377
vous faissiez un bon travail,
10:06
and in fact we found that most
260
594247
1512
et en fait nous avons remarqué
que la plupart
que la plupart
10:07
of the password meters on the Internet today
261
595759
2281
des mesures de mots de passe
actuellement sur internet
actuellement sur internet
10:10
are too soft.
262
598040
952
étaient trop indulgentes.
10:10
They tell you you're doing a good job too early,
263
598992
2203
Elles vous disent trop tôt
que vous faites du bon travail,
que vous faites du bon travail,
10:13
and if they would just wait a little bit
264
601195
1929
et si elles attendaient juste un petit peu
10:15
before giving you that positive feedback,
265
603124
2049
avant de vous donner un retour positif,
10:17
you probably would have better passwords.
266
605173
3160
vous auriez probablement
de meilleurs mots de passe.
de meilleurs mots de passe.
10:20
Now another approach to better passwords, perhaps,
267
608333
3847
Maintenant, une autre approche pour,
peut-être, de meilleurs mots de passe,
peut-être, de meilleurs mots de passe,
10:24
is to use pass phrases instead of passwords.
268
612180
2890
est d'utiliser des phrases de passe
à la place des mots de passe.
à la place des mots de passe.
10:27
So this was an xkcd cartoon
from a couple of years ago,
from a couple of years ago,
269
615070
3418
C'était un dessin animé de la xfcd
d'il y a quelques années,
d'il y a quelques années,
10:30
and the cartoonist suggests
270
618488
1674
et le dessinateur suggère
10:32
that we should all use pass phrases,
271
620162
2196
que nous devrions tous nous servir
d'expressions de passe,
d'expressions de passe,
10:34
and if you look at the second row of this cartoon,
272
622358
3170
et si vous regardez à l'arrière plan
de ce dessin animé,
de ce dessin animé,
10:37
you can see the cartoonist is suggesting
273
625528
1857
vous pouvez voir que
le dessinateur suggère
le dessinateur suggère
10:39
that the pass phrase "correct horse battery staple"
274
627385
3441
que l'expression de passe
« correct cheval batterie agrafe »
« correct cheval batterie agrafe »
10:42
would be a very strong pass phrase
275
630826
2481
serait une phrase de passe
très difficile
très difficile
10:45
and something really easy to remember.
276
633307
1916
et très facile à retenir.
10:47
He says, in fact, you've already remembered it.
277
635223
2797
Il dit, en fait, que vous devriez
dejà l'avoir retenue.
dejà l'avoir retenue.
10:50
And so we decided to do a research study
278
638020
2150
Nous avons donc décidé de lancer une étude
10:52
to find out whether this was true or not.
279
640170
2592
pour découvrir si c'était vrai ou pas.
10:54
In fact, everybody who I talk to,
280
642762
1775
Toutes les personnes
auxquelles j'ai parlé,
auxquelles j'ai parlé,
10:56
who I mention I'm doing password research,
281
644537
2042
auxquelles j'ai mentionné que je faisais
de la recherche sur les mots de passe,
de la recherche sur les mots de passe,
10:58
they point out this cartoon.
282
646579
1400
toutes m'ont parlé de ce dessin animé.
10:59
"Oh, have you seen it? That xkcd.
283
647979
1574
« L'avez-vous vu ? Ce xkcd.
11:01
Correct horse battery staple."
284
649553
1602
Correct cheval batterie agrafe. »
11:03
So we did the research study to see
285
651155
1806
Nous avons donc fait l'étude pour voir
11:04
what would actually happen.
286
652961
2359
ce qu'il se passerait.
11:07
So in our study, we used Mechanical Turk again,
287
655320
3060
Dans cette étude, nous avons à nouveau
utilisé Mechanical Turk,
utilisé Mechanical Turk,
11:10
and we had the computer pick the random words
288
658380
4167
l'ordinateur prenait des mots au hasard
11:14
in the pass phrase.
289
662547
1100
pour former la phrase de passe.
11:15
Now the reason we did this
290
663647
1153
La raison pour laquelle
nous avons fait ça
nous avons fait ça
11:16
is that humans are not very good
291
664800
1586
est que les humains ne sont pas très bons
11:18
at picking random words.
292
666386
1384
quand il s'agit de choisir
des mots au hasard.
des mots au hasard.
11:19
If we asked a human to do it,
293
667770
1262
Si nous demandions
à des humains de le faire,
à des humains de le faire,
11:21
they would pick things that were not very random.
294
669032
2998
ils choisiraient des choses
pas vraiment au hasard.
pas vraiment au hasard.
11:24
So we tried a few different conditions.
295
672030
2032
Nous avons essayé plusieurs conditions.
11:26
In one condition, the computer picked
296
674062
2090
Dans une des conditions,
l'ordinateur choisissait
l'ordinateur choisissait
11:28
from a dictionary of the very common words
297
676152
2216
dans un dictionnaire de mots
très communs
très communs
11:30
in the English language,
298
678368
1362
de la langue anglaise,
11:31
and so you'd get pass phrases like
299
679730
1764
et donc vous obteniez
des expressions de passe comme :
des expressions de passe comme :
11:33
"try there three come."
300
681494
1924
« essayer là trois venir ».
11:35
And we looked at that, and we said,
301
683418
1732
Nous avons regardé ça
et nous avons dit :
et nous avons dit :
11:37
"Well, that doesn't really seem very memorable."
302
685150
3050
« Ça ne semble pas très mémorisable. »
11:40
So then we tried picking words
303
688200
2240
Alors ensuite nous avons essayé
de choisir les mots
de choisir les mots
11:42
that came from specific parts of speech,
304
690440
2521
issus de parties spécifiques du langage,
11:44
so how about noun-verb-adjective-noun.
305
692961
2182
qu'en est-il de nom-verbe-nom-adjectif.
11:47
That comes up with something
that's sort of sentence-like.
that's sort of sentence-like.
306
695143
2577
Il en ressort quelque chose
qui ressemble à une phrase.
qui ressemble à une phrase.
11:49
So you can get a pass phrase like
307
697720
2070
Vous pouvez obtenir
une expression de passe comme :
une expression de passe comme :
11:51
"plan builds sure power"
308
699790
1308
« Projet construit pouvoir sûr »
11:53
or "end determines red drug."
309
701098
2786
ou « Fin détermine drogue rouge ».
11:55
And these seemed a little bit more memorable,
310
703884
2676
Celles-ci semblaient
un peu plus mémorisables,
un peu plus mémorisables,
11:58
and maybe people would like those a little bit better.
311
706560
2822
et peut-être que
les gens les préfèreraient.
les gens les préfèreraient.
12:01
We wanted to compare them with passwords,
312
709382
2572
Nous voulions les comparer
avec les mots de passe,
avec les mots de passe,
12:03
and so we had the computer
pick random passwords,
pick random passwords,
313
711954
3196
l'ordinateur choisissait donc
des mots de passe au hasard,
des mots de passe au hasard,
12:07
and these were nice and short, but as you can see,
314
715150
1990
qui étaient sympas et courts,
mais comme vous pouvez le voir,
mais comme vous pouvez le voir,
12:09
they don't really look very memorable.
315
717140
2806
ils n'ont pas l'air très mémorisables.
12:11
And then we decided to try something called
316
719946
1396
Nous avons ensuite décidé d'essayer
quelque chose qui s'appelle
quelque chose qui s'appelle
12:13
a pronounceable password.
317
721342
1646
un mot de passe prononçable.
12:14
So here the computer picks random syllables
318
722988
2245
L'ordinateur choisit
des syllables au hasard
des syllables au hasard
12:17
and puts them together
319
725233
1134
et les réunit
12:18
so you have something sort of pronounceable,
320
726367
2475
pour avoir quelque chose
de prononçable
de prononçable
12:20
like "tufritvi" and "vadasabi."
321
728842
2602
comme « tufritvi » et « vadasabi ».
12:23
That one kind of rolls off your tongue.
322
731444
2147
Ce genre de choses
qui se prononcent plutôt bien.
qui se prononcent plutôt bien.
12:25
So these were random passwords that were
323
733591
2216
C'étaient des mots de passe qui étaient
12:27
generated by our computer.
324
735807
2744
générés au hasard par notre ordinateur.
12:30
So what we found in this study was that, surprisingly,
325
738551
2978
Ce que nous avons remarqué
dans cette étude est que, étonamment,
dans cette étude est que, étonamment,
12:33
pass phrases were not actually all that good.
326
741529
3768
les expressions de passe n'étaient en fait
pas si bonnes que ça.
pas si bonnes que ça.
12:37
People were not really better at remembering
327
745297
2793
Les gens ne retenaient pas mieux
12:40
the pass phrases than these random passwords,
328
748090
2953
les phrases de passe que
ces mots de passe aléatoires,
ces mots de passe aléatoires,
12:43
and because the pass phrases are longer,
329
751043
2754
et parce que les phrases de passe
sont plus longues,
sont plus longues,
12:45
they took longer to type
330
753797
1226
il fallait plus de temps pour les taper
12:47
and people made more errors while typing them in.
331
755023
3010
et les gens faisaient plus d'erreurs
en les tapant.
en les tapant.
12:50
So it's not really a clear win for pass phrases.
332
758033
3227
Ce n'est donc pas une victoire nette
pour les phrases de passe.
pour les phrases de passe.
12:53
Sorry, all of you xkcd fans.
333
761260
3345
Désolée pour tous les fans de xkcd.
12:56
On the other hand, we did find
334
764605
1892
D'un autre côté, nous avons remarqué
12:58
that pronounceable passwords
335
766497
1804
que les mots de passe prononçables
13:00
worked surprisingly well,
336
768301
1471
fonctionnaient étonnamment bien,
13:01
and so we actually are doing some more research
337
769772
2418
et nous faisons donc
de la recherche additionnelle
de la recherche additionnelle
13:04
to see if we can make that
approach work even better.
approach work even better.
338
772190
3195
pour voir si nous pouvons faire
fonctionner cette approche encore mieux.
fonctionner cette approche encore mieux.
13:07
So one of the problems
339
775385
1812
Un des problèmes
13:09
with some of the studies that we've done
340
777197
1623
avec certaines des études
que nous avons faites
que nous avons faites
13:10
is that because they're all done
341
778820
1683
est que parce qu'elles sont toutes faites
13:12
using Mechanical Turk,
342
780503
1590
via Mechanical Turk,
13:14
these are not people's real passwords.
343
782093
1812
ce ne sont pas de vrais
mots de passe.
mots de passe.
13:15
They're the passwords that they created
344
783905
2105
Ce sont des mots de passe
qu'ils ont créés
qu'ils ont créés
13:18
or the computer created for them for our study.
345
786010
2495
ou que l'ordinateur a créés
pour notre étude.
pour notre étude.
13:20
And we wanted to know whether people
346
788505
1568
Et nous voulions savoir
est-ce que les gens
est-ce que les gens
13:22
would actually behave the same way
347
790073
2312
se comporteraient de la même façon
13:24
with their real passwords.
348
792385
2227
avec leurs vrais mots de passe.
13:26
So we talked to the information
security office at Carnegie Mellon
security office at Carnegie Mellon
349
794612
3681
Nous nous sommes donc adressés au bureau
de la sécurité des informations de la CMU
de la sécurité des informations de la CMU
13:30
and asked them if we could
have everybody's real passwords.
have everybody's real passwords.
350
798293
3803
et leur avons demandé si nous pouvions
avoir les vrais mots de passe
avoir les vrais mots de passe
de tout le monde.
13:34
Not surprisingly, they were a little bit reluctant
351
802096
1754
Ce n'est pas étonnant qu'ils aient été
un peu réticents à les partager avec nous,
un peu réticents à les partager avec nous,
13:35
to share them with us,
352
803850
1550
13:37
but we were actually able to work out
353
805400
1810
mais nous avons été capables
de mettre au point
de mettre au point
13:39
a system with them
354
807210
1040
un système avec eux
13:40
where they put all of the real passwords
355
808250
2109
où ils ont mis tous les vrais
mots de passe
mots de passe
13:42
for 25,000 CMU students, faculty and staff,
356
810359
3091
pour 25 000 étudiants, professeurs
et membres du personnel de la CMU,
et membres du personnel de la CMU,
13:45
into a locked computer in a locked room,
357
813450
2448
sur un ordinateur verrouillé
dans une pièce verrouillée,
dans une pièce verrouillée,
13:47
not connected to the Internet,
358
815898
1394
pas connecté à internet,
13:49
and they ran code on it that we wrote
359
817292
1848
et ils ont lancé un programme
que nous avions codé
que nous avions codé
13:51
to analyze these passwords.
360
819140
2152
pour analyser ces mots de passe.
13:53
They audited our code.
361
821292
1326
Ils ont vérifié le programme.
13:54
They ran the code.
362
822618
1312
Ils ont lancé le programme.
13:55
And so we never actually saw
363
823930
1738
Nous n'avons jamais vraiment vu
13:57
anybody's password.
364
825668
2817
aucun mot de passe.
14:00
We got some interesting results,
365
828485
1515
Nous avons obtenu
des résultats intéressants,
des résultats intéressants,
14:02
and those of you Tepper students in the back
366
830000
1696
et les étudiants de Tepper dans le fond,
14:03
will be very interested in this.
367
831696
2875
ceci va vous intéresser.
14:06
So we found that the passwords created
368
834571
3731
Nous avons constaté que
les mots de passe créés
les mots de passe créés
14:10
by people affiliated with the
school of computer science
school of computer science
369
838302
2158
par des personnes affiliées
à l'école d'informatique
à l'école d'informatique
14:12
were actually 1.8 times stronger
370
840460
2324
étaient en fait 1,8 fois plus difficiles
14:14
than those affiliated with the business school.
371
842784
3738
que ceux des personnes affiliées
à l'école de commerce.
à l'école de commerce.
14:18
We have lots of other really interesting
372
846522
2040
Nous avons également beaucoup d'autres
14:20
demographic information as well.
373
848562
2238
informations démographiques
très intéressantes.
très intéressantes.
14:22
The other interesting thing that we found
374
850800
1846
L'autre chose très intéressante
que nous avons constatée
que nous avons constatée
14:24
is that when we compared
the Carnegie Mellon passwords
the Carnegie Mellon passwords
375
852646
2440
est que lorsque nous avons comparé
les mots de passe de Carnegie Mellon
les mots de passe de Carnegie Mellon
14:27
to the Mechanical Turk-generated passwords,
376
855086
2283
avec ceux générés par Mechanical Turk,
14:29
there was actually a lot of similarities,
377
857369
2619
il y avait beaucoup de similitudes,
14:31
and so this helped validate our research method
378
859988
1948
et ça a contribué à valider
notre méthode de recherche
notre méthode de recherche
14:33
and show that actually, collecting passwords
379
861936
2510
et montre qu'en fait,
collecter des mots de passe
collecter des mots de passe
14:36
using these Mechanical Turk studies
380
864446
1808
en utilisant les études
de Mechanical Turk
de Mechanical Turk
14:38
is actually a valid way to study passwords.
381
866254
2788
est une façon valide d'étudier
les mots de passe.
les mots de passe.
14:41
So that was good news.
382
869042
2285
C'étaient donc de bonnes nouvelles.
14:43
Okay, I want to close by talking about
383
871327
2414
OK, pour finir je voudrais parler de
14:45
some insights I gained while on sabbatical
384
873741
2068
d'aperçus que j'ai eu
alors que j'étais en année sabbatique
alors que j'étais en année sabbatique
14:47
last year in the Carnegie Mellon art school.
385
875809
3201
l'année dernière à l'école d'art
de Carnegie Mellon.
de Carnegie Mellon.
14:51
One of the things that I did
386
879010
1281
Une des choses que j'ai faites
14:52
is I made a number of quilts,
387
880291
1524
est que j'ai fait nombre de couettes,
14:53
and I made this quilt here.
388
881815
1548
et j'ai fait cette couette-ci.
14:55
It's called "Security Blanket."
389
883363
1899
Elle s'appelle la
« couverture de sécurité ».
« couverture de sécurité ».
14:57
(Laughter)
390
885262
2431
(Rires)
14:59
And this quilt has the 1,000
391
887693
3095
Et sur cette couette il y a les 1 000
15:02
most frequent passwords stolen
392
890788
2328
mots de passe les plus fréquemment volés
15:05
from the RockYou website.
393
893116
2571
du site RockYou.
15:07
And the size of the passwords is proportional
394
895687
2061
Et la taille des mots de passe
est proportionnelle
est proportionnelle
15:09
to how frequently they appeared
395
897748
1901
à leur fréquence d'apparition
15:11
in the stolen dataset.
396
899649
2248
dans la base de données des vols.
15:13
And what I did is I created this word cloud,
397
901897
2632
Ce que j'ai fait c'est que
j'ai créé ce nuage de mots
j'ai créé ce nuage de mots
15:16
and I went through all 1,000 words,
398
904529
2132
et j'ai parcouru ces 1 000 mots
15:18
and I categorized them into
399
906661
1795
et je les ai classés
15:20
loose thematic categories.
400
908456
2380
en catégories thématiques.
15:22
And it was, in some cases,
401
910836
1903
Et, dans certains cas,
15:24
it was kind of difficult to figure out
402
912739
2038
il a été assez difficile de déterminer
15:26
what category they should be in,
403
914777
1755
dans quelle catégorie ils devraient être,
15:28
and then I color-coded them.
404
916532
1899
et ensuite j'ai créé un code couleur.
15:30
So here are some examples of the difficulty.
405
918431
2619
Voici des exemples de la difficulté.
15:33
So "justin."
406
921050
1181
« Justin ».
15:34
Is that the name of the user,
407
922231
1829
Est-ce le nom de l'utilisateur,
15:36
their boyfriend, their son?
408
924060
1322
de son copain, de son fils ?
15:37
Maybe they're a Justin Bieber fan.
409
925382
2888
Peut-être que c'est juste
un fan de Justin Bieber.
un fan de Justin Bieber.
15:40
Or "princess."
410
928270
2225
Ou « princesse ».
15:42
Is that a nickname?
411
930495
1635
Est-ce un surnom ?
15:44
Are they Disney princess fans?
412
932130
1595
Est-ce un fan des princesses de Disney ?
15:45
Or maybe that's the name of their cat.
413
933725
3694
Ou peut-être que
c'est le nom de leur chat.
c'est le nom de leur chat.
15:49
"Iloveyou" appears many times
414
937419
1655
« Jetaime » apparaît de nombreuses fois
15:51
in many different languages.
415
939074
1545
dans de nombreuses langues.
15:52
There's a lot of love in these passwords.
416
940619
3735
Il y a beaucoup d'amour
dans ces mots de passe.
dans ces mots de passe.
15:56
If you look carefully, you'll see there's also
417
944354
1680
Si vous regardez attentivement,
vous verrez également
vous verrez également
15:58
some profanity,
418
946034
2267
quelques obscénités,
16:00
but it was really interesting to me to see
419
948301
1950
mais pour moi il était
très intéressant de voir
très intéressant de voir
16:02
that there's a lot more love than hate
420
950251
2307
qu'il y a beaucoup plus
d'amour que de haine
d'amour que de haine
16:04
in these passwords.
421
952558
2292
dans ces mots de passe.
16:06
And there are animals,
422
954850
1490
Il y a des animaux,
16:08
a lot of animals,
423
956340
1360
beaucoup d'animaux,
16:09
and "monkey" is the most common animal
424
957700
2304
et « singe » est l'animal le plus commun
16:12
and the 14th most popular password overall.
425
960004
3675
et le 14ème mot de passe
le plus populaire de tous.
le plus populaire de tous.
16:15
And this was really curious to me,
426
963679
2231
Et cela m'a paru curieux,
16:17
and I wondered, "Why are monkeys so popular?"
427
965910
2523
et je me suis demandé : « Pourquoi
les singes sont-il si populaires ? »
les singes sont-il si populaires ? »
16:20
And so in our last password study,
428
968433
3352
Donc dans notre dernière étude
sur les mots de passe,
sur les mots de passe,
16:23
any time we detected somebody
429
971785
1686
à chaque fois que
nous détections quelqu'un
nous détections quelqu'un
16:25
creating a password with the word "monkey" in it,
430
973471
2649
qui créait un mot de passe
contenant le mot « singe »,
contenant le mot « singe »,
16:28
we asked them why they had
a monkey in their password.
a monkey in their password.
431
976120
3030
nous leur demandions pourquoi ils avaient
« singe » dans leur mot de passe.
« singe » dans leur mot de passe.
16:31
And what we found out --
432
979150
1910
Et nous avons constaté --
16:33
we found 17 people so far, I think,
433
981060
2103
jusqu'ici nous avons trouvé
17 personnes, je crois,
17 personnes, je crois,
16:35
who have the word "monkey" --
434
983163
1283
qui ont le mot « singe » --
16:36
We found out about a third of them said
435
984446
1812
Nous avons remarqué qu'environ
un tiers d'entre eux disait
un tiers d'entre eux disait
16:38
they have a pet named "monkey"
436
986258
1740
qu'ils avaient un animal de compagnie
qui s'appelait « singe »
qui s'appelait « singe »
16:39
or a friend whose nickname is "monkey,"
437
987998
2291
ou un ami surnommé « singe »,
16:42
and about a third of them said
438
990289
1660
et environ un tiers d'entre eux disait
16:43
that they just like monkeys
439
991949
1533
que c'était juste
qu'ils aimaient les singes
qu'ils aimaient les singes
16:45
and monkeys are really cute.
440
993482
1638
et que les singes sont très mignons.
16:47
And that guy is really cute.
441
995120
3639
Et celui-ci est vraiment mignon.
16:50
So it seems that at the end of the day,
442
998759
3408
Il semble qu'en fin de compte,
16:54
when we make passwords,
443
1002167
1783
quand nous créons nos mots de passe,
16:55
we either make something that's really easy
444
1003950
1974
nous faisons soit
quelque chose de très simple
quelque chose de très simple
16:57
to type, a common pattern,
445
1005924
3009
à taper, un schéma familier,
17:00
or things that remind us of the word password
446
1008933
2486
ou quelque chose qui nous rappelle
l'expression « mot de passe »
l'expression « mot de passe »
17:03
or the account that we've created the password for,
447
1011419
3312
ou le compte pour lequel nous avons
créé le mot de passe,
créé le mot de passe,
17:06
or whatever.
448
1014731
2617
ou quoi que ce soit.
17:09
Or we think about things that make us happy,
449
1017348
2642
Ou nous pensons à des choses
qui nous rendent heureux,
qui nous rendent heureux,
17:11
and we create our password
450
1019990
1304
et nous créons notre mot de passe
17:13
based on things that make us happy.
451
1021294
2238
à partir de choses
qui nous rendent heureux.
qui nous rendent heureux.
17:15
And while this makes typing
452
1023532
2863
Et, alors que ça rend
plus amusant le fait de taper
plus amusant le fait de taper
17:18
and remembering your password more fun,
453
1026395
2870
et de se souvenir de notre mot de passe,
17:21
it also makes it a lot easier
454
1029265
1807
ça rend aussi nos mots de passe
17:23
to guess your password.
455
1031072
1506
plus facilement devinables.
17:24
So I know a lot of these TED Talks
456
1032578
1748
Je sais que beaucoup
de ces exposés de TED
de ces exposés de TED
17:26
are inspirational
457
1034326
1634
sont source d'inspiration
17:27
and they make you think about nice, happy things,
458
1035960
2461
et qu'ils vont font penser à
des choses sympas et heureuses,
des choses sympas et heureuses,
17:30
but when you're creating your password,
459
1038421
1897
mais quand vous créez votre mot de passe,
17:32
try to think about something else.
460
1040318
1991
essayez de penser à quelque chose d'autre.
17:34
Thank you.
461
1042309
1107
Merci.
17:35
(Applause)
462
1043416
553
(Applaudissements)
ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcherAt Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.
Why you should listen
Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.
Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.
Lorrie Faith Cranor | Speaker | TED.com