ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: Cos'è che non va con la vostra pa$$w0rd?

Filmed:
1,566,161 views

Lorrie Faith Cranor ha studiato migliaia di password reali per comprendere gli errori sorprendenti e molto comuni che gli utenti, e i siti protetti, commettono, compromettendo la sicurezza. Potreste chiedervi come abbia fatto a studiare migliaia di password reali senza compromettere la sicurezza degli utenti. Questa è già una storia di per sé. Sono dati segreti che vale la pena di conoscere, soprattutto se la vostra password è 123456...
- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

00:12
I am a computercomputer sciencescienza and engineeringingegneria
professorProfessore here at CarnegieCarnegie MellonMellon,
0
535
3445
Sono una professoressa di scienza
e ingegneria informatica
qui al Carnegie Mellon
00:15
and my researchricerca focusessi concentra on
usableutilizzabile privacysulla privacy and securitysicurezza,
1
3980
4248
e la mia ricerca si concentra
sull'accessibilità di privacy e sicurezza.
00:20
and so my friendsamici like to give me examplesesempi
2
8228
2768
Così ai miei amici piace
farmi degli esempi
00:22
of theirloro frustrationsfrustrazioni with computinginformatica systemssistemi,
3
10996
2202
delle loro frustrazioni
con i sistemi informatici,
00:25
especiallyparticolarmente frustrationsfrustrazioni relatedrelazionato to
4
13198
3354
in particolare di quelle frustrazioni
che hanno a che fare
00:28
unusableinutilizzabile privacysulla privacy and securitysicurezza.
5
16552
4112
con l'inaccessibilità
di privacy e sicurezza.
00:32
So passwordspassword are something that I hearsentire a lot about.
6
20664
2711
Quindi le password sono qualcosa
di cui sento molto parlare.
00:35
A lot of people are frustratedfrustrato with passwordspassword,
7
23375
2880
Molte persone sono frustrate
dalle password,
00:38
and it's badcattivo enoughabbastanza
8
26255
1694
ed è già abbastanza difficile
00:39
when you have to have one really good passwordpassword
9
27949
2644
quando devi avere una password
davvero buona
00:42
that you can rememberricorda
10
30593
1822
che puoi ricordare
00:44
but nobodynessuno elsealtro is going to be ablecapace to guessindovina.
11
32415
2894
ma che nessun altro sarà
in grado di indovinare.
00:47
But what do you do when you have accountsconti
12
35309
1637
Ma che cosa fare
quando si hanno account
00:48
on a hundredcentinaio differentdiverso systemssistemi
13
36946
1808
su centinaia di sistemi diversi
00:50
and you're supposedipotetico to have a uniqueunico passwordpassword
14
38754
2276
e si dovrebbe avere una password diversa
00:53
for eachogni of these systemssistemi?
15
41030
3037
per ognuno di questi sistemi?
00:56
It's toughdifficile.
16
44067
2184
È dura.
00:58
At CarnegieCarnegie MellonMellon, they used to make it
17
46251
1759
Al Carnegie Mellon,
era molto facile per noi
01:00
actuallyin realtà prettybella easyfacile for us
18
48010
1299
01:01
to rememberricorda our passwordspassword.
19
49309
1737
ricordare le nostre password.
01:03
The passwordpassword requirementRequisiti up throughattraverso 2009
20
51046
2403
Il requisito per le password
fino al 2009
01:05
was just that you had to have a passwordpassword
21
53449
2379
era che dovevi avere una password
01:07
with at leastmeno one charactercarattere.
22
55828
2211
con almeno un carattere.
01:10
PrettyPiuttosto easyfacile. But then they changedcambiato things,
23
58039
2888
Piuttosto semplice.
Ma poi le cose sono cambiate,
01:12
and at the endfine of 2009, they announcedannunciato
24
60927
2670
e alla fine del 2009
hanno annunciato
01:15
that we were going to have a newnuovo policypolitica,
25
63597
2376
che avremmo avuto una nuova politica,
01:17
and this newnuovo policypolitica requirednecessario
26
65973
1863
e questa nuova politica richiedeva
01:19
passwordspassword that were at leastmeno eightotto characterspersonaggi long,
27
67836
2681
che le password avessero
almeno otto caratteri,
01:22
with an uppercaselettere maiuscole letterlettera, lowercaselettere minuscole letterlettera,
28
70517
1775
con una lettera maiuscola,
una minuscola,
01:24
a digitcifra, a symbolsimbolo,
29
72292
1288
una cifra, un simbolo,
01:25
you couldn'tnon poteva use the samestesso
charactercarattere more than threetre timesvolte,
30
73580
2638
non si poteva usare lo stesso carattere
più di tre volte,
01:28
and it wasn'tnon era allowedpermesso to be in a dictionarydizionario.
31
76218
2434
e la parola non poteva trovarsi
in un dizionario.
01:30
Now, when they implementedimplementato this newnuovo policypolitica,
32
78652
2182
Quando introdussero
questa nuova politica,
01:32
a lot of people, my colleaguescolleghi and friendsamici,
33
80834
2310
molte persone, colleghi e amici,
01:35
cameè venuto up to me and they said, "WowWow,
34
83144
1854
vennero da me e mi dissero:
"Wow,
01:36
now that's really unusableinutilizzabile.
35
84998
1512
adesso sì che è inutilizzabile!
01:38
Why are they doing this to us,
36
86510
1193
Perché ci fanno questo,
01:39
and why didn't you stop them?"
37
87703
1711
e perché non glielo hai impedito?"
01:41
And I said, "Well, you know what?
38
89414
1356
E io risposi: "Be', sapete una cosa?
01:42
They didn't askChiedere me."
39
90770
1508
Io non sono stata interpellata."
01:44
But I got curiouscurioso, and I decideddeciso to go talk
40
92278
3465
Ma mi incuriosii, e decisi
di andare a parlare
01:47
to the people in chargecarica of our computercomputer systemssistemi
41
95743
1937
con i responsabili dei sistemi informatici
01:49
and find out what led them to introduceintrodurre
42
97680
2831
per scoprire che cosa li avesse spinti
a introdurre
01:52
this newnuovo policypolitica,
43
100511
1848
questa nuova politica.
01:54
and they said that the universityUniversità
44
102359
1584
Dissero che l'università
01:55
had joinedcongiunto a consortiumConsorzio of universitiesuniversità,
45
103943
2366
aveva aderito a un consorzio
di università,
01:58
and one of the requirementsrequisiti of membershipappartenenza
46
106309
2634
e uno dei requisiti per farne parte
02:00
was that we had to have strongerpiù forte passwordspassword
47
108943
2248
era che dovevamo avere password
più efficaci
02:03
that compliedrispettati with some newnuovo requirementsrequisiti,
48
111191
2272
che rispondessero a dei nuovi requisiti,
02:05
and these requirementsrequisiti were that our passwordspassword
49
113463
2104
e questi requisiti prevedevano
che le nostre password
02:07
had to have a lot of entropyentropia.
50
115567
1604
dovessero avere molta entropia.
02:09
Now entropyentropia is a complicatedcomplicato termtermine,
51
117171
2278
Ora, "entropia" è un termine complicato,
02:11
but basicallyfondamentalmente it measuresprovvedimenti the strengthforza of passwordspassword.
52
119449
2798
ma in pratica misura la forza
delle password.
02:14
But the thing is, there isn't actuallyin realtà
53
122247
1979
Il fatto è che in realtà non c'è
02:16
a standardstandard measuremisurare of entropyentropia.
54
124226
1949
una misura standard dell'entropia.
02:18
Now, the NationalNazionale InstituteIstituto
of StandardsStandard and TechnologyTecnologia
55
126175
2399
Il National Institute
of Standards and Technology
02:20
has a setimpostato of guidelineslinee guida
56
128574
1553
ha stabilito una serie di linee guida
02:22
whichquale have some rulesregole of thumbpollice
57
130127
2568
che danno indicazioni generali
02:24
for measuringmisurazione entropyentropia,
58
132695
1440
per misurare l'entropia,
02:26
but they don't have anything too specificspecifica,
59
134135
2895
ma non contengono niente
di troppo specifico,
02:29
and the reasonragionare they only have rulesregole of thumbpollice
60
137030
2337
e il motivo per cui hanno solo
indicazioni generiche
02:31
is it turnsgiri out they don't actuallyin realtà have any good datadati
61
139367
3136
è che a quanto pare
non dispongono di dati attendibili
02:34
on passwordspassword.
62
142503
1520
sulle password.
02:36
In factfatto, theirloro reportrapporto statesstati,
63
144023
2312
In effetti, il loro resoconto recita:
02:38
"UnfortunatelyPurtroppo, we do not have much datadati
64
146335
2328
"Purtroppo, non abbiamo
a disposizione molti dati
02:40
on the passwordspassword usersutenti
choosescegliere undersotto particularparticolare rulesregole.
65
148663
2842
sulle password scelte dagli utenti
secondo regole particolari.
02:43
NISTNIST would like to obtainottenere more datadati
66
151505
2333
Il NIST vorrebbe ottenere più dati
02:45
on the passwordspassword usersutenti actuallyin realtà choosescegliere,
67
153838
2462
sulle password effettivamente scelte
dagli utenti,
02:48
but systemsistema administratorsamministratori
are understandablycomprensibilmente reluctantriluttante
68
156300
2463
ma gli amministratori dei sistemi
sono comprensibilmente restii
02:50
to revealsvelare passwordpassword datadati to othersaltri."
69
158763
2940
a rivelare le password a terzi."
02:53
So this is a problemproblema, but our researchricerca groupgruppo
70
161703
3097
Questo è un problema,
ma il nostro gruppo di ricerca
02:56
lookedguardato at it as an opportunityopportunità.
71
164800
2140
lo ha considerato come un'opportunità.
02:58
We said, "Well, there's a need
for good passwordpassword datadati.
72
166940
3100
Ci siamo detti: "Beh, c'è bisogno
di dati validi per le password.
03:02
Maybe we can collectraccogliere some good passwordpassword datadati
73
170040
2148
Forse possiamo raccogliere
dei dati attendibili
03:04
and actuallyin realtà advanceavanzare the statestato of the artarte here.
74
172188
2704
e fare davvero dei progressi".
03:06
So the first thing we did is,
75
174892
1672
La prima cosa che abbiamo fatto è stata
03:08
we got a bagBorsa of candycaramella barsbarre
76
176564
1556
prendere una borsa piena
di barrette di cioccolata,
03:10
and we walkedcamminava around campuscittà universitaria
77
178120
1086
passeggiare per il campus
03:11
and talkedparlato to studentsstudenti, facultyfacoltà and staffpersonale,
78
179206
2798
e parlare con gli studenti,
il corpo docenti e lo staff,
03:14
and askedchiesto them for informationinformazione
79
182004
1530
e chiedere loro informazioni
03:15
about theirloro passwordspassword.
80
183534
1552
sulle loro password.
03:17
Now we didn't say, "Give us your passwordpassword."
81
185086
3004
Non abbiamo detto loro:
"Dateci le vostre password".
03:20
No, we just askedchiesto them about theirloro passwordpassword.
82
188090
2661
No, gli facevamo solamente
delle domande sulle loro password.
03:22
How long is it? Does it have a digitcifra?
83
190751
1478
Quanto è lunga? Contiene una cifra?
03:24
Does it have a symbolsimbolo?
84
192229
1068
Contiene un simbolo?
03:25
And were you annoyedinfastidito at havingavendo to createcreare
85
193297
2045
E ti ha dato fastidio doverne creare
03:27
a newnuovo one last weeksettimana?
86
195342
2744
una nuova la settimana scorsa?
03:30
So we got resultsrisultati from 470 studentsstudenti,
87
198086
3206
Abbiamo raccolto risultati
da 470 studenti,
03:33
facultyfacoltà and staffpersonale,
88
201292
971
insegnanti e staff,
03:34
and indeedinfatti we confirmedconfermato that the newnuovo policypolitica
89
202263
2514
e ci è stato confermato
che la nuova politica
03:36
was very annoyingfastidioso,
90
204777
1453
era davvero molto fastidiosa,
03:38
but we alsoanche foundtrovato that people said
91
206230
1792
ma abbiamo anche scoperto
che le persone dicevano
03:40
they feltprovato more securegarantire la with these newnuovo passwordspassword.
92
208022
3130
di sentirsi più sicure
con queste nuove password.
03:43
We foundtrovato that mostmaggior parte people knewconosceva
93
211152
2306
Abbiamo scoperto
che la maggioranza sapeva
03:45
they were not supposedipotetico to
writeScrivi theirloro passwordpassword down,
94
213458
2152
che le password
non si dovrebbero annotare,
03:47
and only 13 percentper cento of them did,
95
215610
2391
e solo il 13 per cento lo aveva fatto,
03:50
but disturbinglyin modo preoccupante, 80 percentper cento of people
96
218001
2416
ma, preoccupantemente,
l'80 per cento delle persone
03:52
said they were reusingriutilizzo theirloro passwordpassword.
97
220417
2124
ha dichiarato che stava riutilizzando
la propria password precedente.
03:54
Now, this is actuallyin realtà more dangerouspericoloso
98
222541
1796
Questo è di fatto molto più pericoloso
03:56
than writingscrittura your passwordpassword down,
99
224337
2022
che annotare la propria password,
03:58
because it makesfa you much
more susceptiblesuscettibile to attackersaggressori.
100
226359
3561
perché vi rende molto più
soggetti agli attacchi.
04:01
So if you have to, writeScrivi your passwordspassword down,
101
229920
3118
Perciò, se proprio dovete,
annotatevi la password,
04:05
but don't reuseriutilizzo them.
102
233038
1799
ma non riutilizzatela.
04:06
We alsoanche foundtrovato some interestinginteressante things
103
234837
1751
Abbiamo anche scoperto
cose interessanti
04:08
about the symbolssimboli people use in passwordspassword.
104
236588
2961
sui simboli usati
dalle persone nelle password.
04:11
So CMUCMU allowsconsente 32 possiblepossibile symbolssimboli,
105
239549
2799
La CMU consente 32 simboli possibili,
04:14
but as you can see, there's only a smallpiccolo numbernumero
106
242348
2433
ma come potete vedere,
c'è solo un piccolo numero
04:16
that mostmaggior parte people are usingutilizzando,
107
244781
1802
che viene usato dalla maggioranza
delle persone,
04:18
so we're not actuallyin realtà gettingottenere very much strengthforza
108
246583
2941
perciò non stiamo ottenendo
molta forza
04:21
from the symbolssimboli in our passwordspassword.
109
249524
2466
dai simboli nelle nostre password.
04:23
So this was a really interestinginteressante studystudia,
110
251990
2711
È stato uno studio davvero interessante,
04:26
and now we had datadati from 470 people,
111
254701
2464
e ora abbiamo dati da 470 persone
04:29
but in the schemeschema of things,
112
257165
1305
ma, data la situazione,
04:30
that's really not very much passwordpassword datadati,
113
258470
2580
non sono poi così tante le informazioni
raccolte sulle password
04:33
and so we lookedguardato around to see
114
261050
1445
e quindi ci siamo guardati intorno
04:34
where could we find additionalUlteriori passwordpassword datadati?
115
262495
2560
per vedere dove si potessero trovare
altri dati sulle password.
04:37
So it turnsgiri out there are a lot of people
116
265055
2176
Succede che ci sono un sacco di persone
04:39
going around stealingrubando passwordspassword,
117
267231
2202
che se ne vanno in giro
a rubare le password
04:41
and they oftenspesso go and postinviare these passwordspassword
118
269433
2477
e spesso pubblicano queste password
04:43
on the InternetInternet.
119
271910
1337
su Internet.
04:45
So we were ablecapace to get accessaccesso
120
273247
1673
Perciò siamo stati in grado
di accedere
04:46
to some of these stolenrubare passwordpassword setsimposta.
121
274920
3970
ad alcuni set di password rubate.
04:50
This is still not really idealideale for researchricerca, thoughanche se,
122
278890
2328
Tuttavia non è ancora la cosa ideale
per una ricerca,
04:53
because it's not entirelyinteramente clearchiaro
123
281218
2037
perché non è del tutto chiaro
04:55
where all of these passwordspassword cameè venuto from,
124
283255
2184
da dove provengano
tutte queste password,
04:57
or exactlydi preciso what policiespolitiche were in effecteffetto
125
285439
2242
o quali politiche fossero
effettivamente in vigore
04:59
when people createdcreato these passwordspassword.
126
287681
2108
quando le persone avevano creato
quelle password.
05:01
So we wanted to find some better sourcefonte of datadati.
127
289789
3552
Quindi volevamo trovare fonti
di informazioni migliori.
05:05
So we decideddeciso that one thing we could do
128
293341
1634
Così abbiamo deciso
che una possibilità
05:06
is we could do a studystudia and have people
129
294975
2129
era fare uno studio e far sì
che alcune persone
05:09
actuallyin realtà createcreare passwordspassword for our studystudia.
130
297104
3240
creassero delle password
appositamente per il nostro studio.
05:12
So we used a serviceservizio calledchiamato
AmazonAmazon MechanicalMeccanica TurkTurk,
131
300344
2821
Abbiamo usato un servizio chiamato
Amazon Mechanical Turk,
05:15
and this is a serviceservizio where you can postinviare
132
303165
2334
un servizio dove si può pubblicare
05:17
a smallpiccolo joblavoro onlinein linea that takes a minuteminuto,
133
305499
2304
un lavoretto online che impiega un minuto,
05:19
a fewpochi minutesminuti, an hourora,
134
307803
1500
qualche minuto, un'ora,
05:21
and paypagare people, a pennycentesimo, tendieci centscentesimi, a fewpochi dollarsdollari,
135
309303
2584
e pagare le persone un penny,
dieci centesimi, qualche dollaro
05:23
to do a taskcompito for you,
136
311887
1346
affinché svolgano un lavoro per voi,
05:25
and then you paypagare them throughattraverso AmazonAmazon.comcom.
137
313233
2122
e poi pagate il servizio
con Amazon.com.
05:27
So we paidpagato people about 50 centscentesimi
138
315355
2294
Abbiamo pagato 50 centesimi a persona
05:29
to createcreare a passwordpassword followinga seguire our rulesregole
139
317649
2596
perché creassero password
seguendo le nostre regole
05:32
and answeringsegreteria a surveysondaggio,
140
320245
1410
e rispondendo a un sondaggio,
05:33
and then we paidpagato them again to come back
141
321655
2525
e poi li abbiamo pagati ancora
perché ritornassero
05:36
two daysgiorni laterdopo and logceppo in
142
324180
2071
due giorni dopo ed effettuassero il login,
05:38
usingutilizzando theirloro passwordpassword and answeringsegreteria anotherun altro surveysondaggio.
143
326251
2574
utilizzando le proprie password,
e rispondessero a un altro sondaggio.
05:40
So we did this, and we collectedraccolto 5,000 passwordspassword,
144
328825
4464
L'abbiamo fatto, e abbiamo raccolto
5000 password.
05:45
and we gaveha dato people a bunchmazzo of differentdiverso policiespolitiche
145
333289
2695
Abbiamo dato ai partecipanti
diverse direttive
05:47
to createcreare passwordspassword with.
146
335984
1508
con cui creare le password.
05:49
So some people had a prettybella easyfacile policypolitica,
147
337492
1910
Alcune persone avevano regole
molto semplici,
05:51
we call it BasicBase8,
148
339402
1539
che noi chiamiamo Basic8,
05:52
and here the only ruleregola was that your passwordpassword
149
340941
2146
e qui l'unica regola
era che la password
05:55
had to have at leastmeno eightotto characterspersonaggi.
150
343087
3416
avesse almeno otto caratteri.
05:58
Then some people had a much harderPiù forte policypolitica,
151
346503
2251
Poi altre persone avevano
una politica più difficile,
06:00
and this was very similarsimile to the CMUCMU policypolitica,
152
348754
2537
piuttosto simile a quella della CMU,
06:03
that it had to have eightotto characterspersonaggi
153
351291
1934
cioè una password
con otto caratteri
06:05
includingCompreso uppercaselettere maiuscole, lowercaselettere minuscole, digitcifra, symbolsimbolo,
154
353225
2376
comprese una lettera maiuscola,
una minuscola, una cifra, un simbolo,
06:07
and passpassaggio a dictionarydizionario checkdai un'occhiata.
155
355601
2389
e controllo sul dizionario.
06:09
And one of the other policiespolitiche we triedprovato,
156
357990
1335
E una delle altre politiche
che abbiamo provato,
06:11
and there were a wholetotale bunchmazzo more,
157
359325
1270
e ce ne sono state molte,
06:12
but one of the onesquelli we triedprovato was calledchiamato BasicBase16,
158
360595
2240
una di quelle che abbiamo testato
si chiamava Basic16,
06:14
and the only requirementRequisiti here
159
362835
2632
e l'unico requisito
06:17
was that your passwordpassword had
to have at leastmeno 16 characterspersonaggi.
160
365467
3153
era che la password dovesse avere
come minimo 16 caratteri.
06:20
All right, so now we had 5,000 passwordspassword,
161
368620
2458
Ok, avevamo 5000 password,
06:23
and so we had much more detaileddettagliata informationinformazione.
162
371078
3563
e avevamo informazioni
molto più dettagliate.
06:26
Again we see that there's only a smallpiccolo numbernumero
163
374641
2559
Ancora, vediamo che c'è solo
un numero ridotto
06:29
of symbolssimboli that people are actuallyin realtà usingutilizzando
164
377200
1915
di simboli che vengono davvero
usati dalle persone
06:31
in theirloro passwordspassword.
165
379115
1886
nelle loro password.
06:33
We alsoanche wanted to get an ideaidea of how strongforte
166
381001
2599
Volevamo anche farci un'idea
di quanto forti
06:35
the passwordspassword were that people were creatingla creazione di,
167
383600
2771
fossero le password
che creava la gente
06:38
but as you maypuò recallrichiamare, there isn't a good measuremisurare
168
386371
2620
ma, come forse ricorderete, non esiste
un buon parametro
06:40
of passwordpassword strengthforza.
169
388991
1754
per misurare la forza di una password.
06:42
So what we decideddeciso to do was to see
170
390745
2312
Perciò abbiamo deciso di vedere
06:45
how long it would take to crackcrepa these passwordspassword
171
393057
2370
quanto ci voleva per scoprire
queste password
06:47
usingutilizzando the bestmigliore crackingscrepolatura toolsutensili
172
395427
1414
usando i migliori
strumenti di violazione
06:48
that the badcattivo guys are usingutilizzando,
173
396841
1808
che usano i cattivi
nel mondo informatico,
06:50
or that we could find informationinformazione about
174
398649
2016
o di cui potevamo trovare informazioni
06:52
in the researchricerca literatureletteratura.
175
400665
1537
nei libri di ricerca.
06:54
So to give you an ideaidea of how badcattivo guys
176
402202
2758
Per darvi un'idea di come
facciano i cattivi
06:56
go about crackingscrepolatura passwordspassword,
177
404960
2170
a violare le password:
06:59
they will stealrubare a passwordpassword filefile
178
407130
1951
rubano un file
07:01
that will have all of the passwordspassword
179
409081
2153
che contiene tutte le password
07:03
in kindgenere of a scrambleduova strapazzate formmodulo, calledchiamato a hashhash,
180
411234
2889
in una forma confusa,
chiamata "hash",
07:06
and so what they'llfaranno do is they'llfaranno make a guessindovina
181
414123
2562
e quello che fanno è indovinare
07:08
as to what a passwordpassword is,
182
416685
1712
quale sia la password,
07:10
runcorrere it throughattraverso a hashingl'hashing functionfunzione,
183
418397
1897
fare girare una funzione di hashing,
07:12
and see whetherse it matchespartite
184
420294
1765
e verificare se corrisponde o meno
07:14
the passwordspassword they have on
theirloro stolenrubare passwordpassword listelenco.
185
422059
3950
alle password elencate
nella loro lista di password rubate.
07:18
So a dumbmuto attackerattaccante will try everyogni passwordpassword in orderordine.
186
426009
3105
Un hacker stupido proverà
tutte le password in ordine.
07:21
They'llChe faranno startinizio with AAAAAAAAAA and movemossa on to AAAABAAAAB,
187
429114
3568
Inizierà con AAAA
e proseguirà con AAAAB,
07:24
and this is going to take a really long time
188
432682
2418
e questo richiede molto tempo
07:27
before they get any passwordspassword
189
435100
1526
prima di trovare qualche password
07:28
that people are really likelyprobabile to actuallyin realtà have.
190
436626
2697
che è probabile venga
realmente usata dagli utenti.
07:31
A smartinteligente attackerattaccante, on the other handmano,
191
439323
2183
Gli hacker intelligenti, invece,
07:33
does something much more cleverintelligente.
192
441506
1386
agiscono in modo molto più intelligente.
07:34
They look at the passwordspassword
193
442892
1826
Guardano le password
07:36
that are knownconosciuto to be popularpopolare
194
444718
1800
che sono popolari
07:38
from these stolenrubare passwordpassword setsimposta,
195
446518
1727
tra i set di password rubate,
07:40
and they guessindovina those first.
196
448245
1189
e provano quelle per prime.
07:41
So they're going to startinizio by guessingindovinando "passwordpassword,"
197
449434
2134
Inizieranno tirando a indovinare:
"password",
07:43
and then they'llfaranno guessindovina "I love you," and "monkeyscimmia,"
198
451568
2751
e poi "ti amo",
e "scimmia"
07:46
and "12345678,"
199
454319
2583
e "12345678",
07:48
because these are the passwordspassword
200
456902
1312
perché sono queste le password
07:50
that are mostmaggior parte likelyprobabile for people to have.
201
458214
1905
più ricorrenti.
07:52
In factfatto, some of you probablyprobabilmente have these passwordspassword.
202
460119
3261
In effetti, è probabile
che alcuni di voi le usi.
07:57
So what we foundtrovato
203
465191
1298
Quello che abbiamo scoperto
07:58
by runningin esecuzione all of these 5,000 passwordspassword we collectedraccolto
204
466489
3406
testando tutte le 5000 password
da noi raccolte
08:01
throughattraverso these teststest to see how strongforte they were,
205
469895
4106
attraverso questi test
per vedere quanto fossero forti
08:06
we foundtrovato that the long passwordspassword
206
474001
2752
è stato che le password più lunghe
08:08
were actuallyin realtà prettybella strongforte,
207
476753
1280
erano piuttosto forti in realtà,
08:10
and the complexcomplesso passwordspassword were prettybella strongforte too.
208
478033
3262
così come le password complesse.
08:13
HoweverTuttavia, when we lookedguardato at the surveysondaggio datadati,
209
481295
2442
Tuttavia, quando abbiamo analizzato
i dati dei sondaggi,
08:15
we saw that people were really frustratedfrustrato
210
483737
3024
abbiamo visto che le persone
erano davvero frustrate
08:18
by the very complexcomplesso passwordspassword,
211
486761
2339
dalle password molto complesse,
08:21
and the long passwordspassword were a lot more usableutilizzabile,
212
489100
2630
e le password lunghe
erano molto più utilizzabili,
08:23
and in some casescasi, they were actuallyin realtà
213
491730
1325
e in alcuni casi, erano
08:25
even strongerpiù forte than the complexcomplesso passwordspassword.
214
493055
2908
persino più forti
delle password complesse.
08:27
So this suggestssuggerisce that,
215
495963
1169
Questo perciò suggerisce che,
08:29
insteadanziché of tellingraccontare people that they need
216
497132
1703
invece di dire alle persone
che devono
08:30
to put all these symbolssimboli and numbersnumeri
217
498835
1522
mettere tutti questi simboli e numeri
08:32
and crazypazzo things into theirloro passwordspassword,
218
500357
2842
e altre cose da matti nelle loro passwrod,
08:35
we mightpotrebbe be better off just tellingraccontare people
219
503199
2022
sarebbe meglio dire loro
08:37
to have long passwordspassword.
220
505221
2652
di creare password lunghe.
08:39
Now here'secco the problemproblema, thoughanche se:
221
507873
1792
Ora, però ecco il problema:
08:41
Some people had long passwordspassword
222
509665
2255
alcune persone avevano password lunghe
08:43
that actuallyin realtà weren'tnon erano very strongforte.
223
511920
1555
che in realtà non erano molto forti.
08:45
You can make long passwordspassword
224
513475
1997
Potete creare password lunghe
08:47
that are still the sortordinare of thing
225
515472
1556
che però potrebbero comunque
essere scoperte
08:49
that an attackerattaccante could easilyfacilmente guessindovina.
226
517028
1742
facilmente da un hacker.
08:50
So we need to do more than
just say long passwordspassword.
227
518770
3365
Quindi non abbiamo solo bisogno
di password più lunghe.
08:54
There has to be some additionalUlteriori requirementsrequisiti,
228
522135
1936
Ci devono essere dei requisiti
in più,
08:56
and some of our ongoingin corso researchricerca is looking at
229
524071
2969
e parte della nostra ricerca attuale
sta considerando
08:59
what additionalUlteriori requirementsrequisiti we should addInserisci
230
527040
2439
quali requisiti
dovremmo aggiungere
09:01
to make for strongerpiù forte passwordspassword
231
529479
2104
per creare password più forti
09:03
that alsoanche are going to be easyfacile for people
232
531583
2312
che siano anche facili
09:05
to rememberricorda and typetipo.
233
533895
2698
da ricordare e da digitare.
09:08
AnotherUn altro approachapproccio to gettingottenere people to have
234
536593
2126
Un altro approccio per far sì
che le persone abbiano
09:10
strongerpiù forte passwordspassword is to use a passwordpassword metermetro.
235
538719
2257
password più forti è usare un misuratore
di robustezza della password.
09:12
Here are some examplesesempi.
236
540976
1385
Ecco alcuni esempi.
09:14
You maypuò have seenvisto these on the InternetInternet
237
542361
1401
Forse li avete visti online
09:15
when you were creatingla creazione di passwordspassword.
238
543762
3057
creando delle password.
09:18
We decideddeciso to do a studystudia to find out
239
546819
2248
Abbiamo deciso di condurre
uno studio per scoprire
09:21
whetherse these passwordpassword metersmetri actuallyin realtà work.
240
549067
2887
se i misuratori di password funzionano
davvero oppure no.
09:23
Do they actuallyin realtà help people
241
551954
1421
Aiutano davvero le persone
09:25
have strongerpiù forte passwordspassword,
242
553375
1453
ad avere password più forti,
09:26
and if so, whichquale onesquelli are better?
243
554828
2086
e se sì, quali sono i migliori?
09:28
So we testedtestato passwordpassword metersmetri that were
244
556914
2507
Perciò abbiamo testato
dei misuratori di password
09:31
differentdiverso sizesdimensioni, shapesforme, colorscolori,
245
559421
2098
diversi per dimensioni, forma, colore,
09:33
differentdiverso wordsparole nextIl prossimo to them,
246
561519
1416
diversi per le parole vicine a loro,
09:34
and we even testedtestato one that was a dancingdanza bunnyconiglietto.
247
562935
3275
e ne abbiamo anche testato uno
che era un coniglietto ballerino.
09:38
As you typetipo a better passwordpassword,
248
566210
1582
Quando si scrive una password buona,
09:39
the bunnyconiglietto dancesdanze fasterPiù veloce and fasterPiù veloce.
249
567792
2539
il coniglietto balla
sempre più velocemente.
09:42
So this was prettybella fundivertimento.
250
570331
2529
È piuttosto divertente.
09:44
What we foundtrovato
251
572860
1567
Abbiamo scoperto che
09:46
was that passwordpassword metersmetri do work.
252
574427
3572
i misuratori di password
funzionano davvero.
09:49
(LaughterRisate)
253
577999
1801
(Risate)
09:51
MostMaggior parte of the passwordpassword metersmetri were actuallyin realtà effectiveefficace,
254
579800
3333
Gran parte dei misuratori di password
era davvero efficace,
09:55
and the dancingdanza bunnyconiglietto was very effectiveefficace too,
255
583133
2521
così come il coniglietto di prima,
09:57
but the passwordpassword metersmetri that were the mostmaggior parte effectiveefficace
256
585654
2881
ma i misuratori di password
più efficaci in assoluto
10:00
were the onesquelli that madefatto you work harderPiù forte
257
588535
2355
erano quelli che ci facevano faticare
10:02
before they gaveha dato you that thumbspollici up and said
258
590890
1980
prima di darci l'ok e dirci
10:04
you were doing a good joblavoro,
259
592870
1377
che stavamo facendo un buon lavoro,
10:06
and in factfatto we foundtrovato that mostmaggior parte
260
594247
1512
e in effetti abbiamo scoperto
che la maggior parte
10:07
of the passwordpassword metersmetri on the InternetInternet todayoggi
261
595759
2281
dei password meter online oggi
10:10
are too softmorbido.
262
598040
952
è troppo indulgente.
10:10
They tell you you're doing a good joblavoro too earlypresto,
263
598992
2203
Vi dicono che state andando bene
troppo presto,
10:13
and if they would just wait a little bitpo
264
601195
1929
e se aspettassero solo un po' di più
10:15
before givingdando you that positivepositivo feedbackrisposta,
265
603124
2049
prima di darvi un riscontro positivo,
10:17
you probablyprobabilmente would have better passwordspassword.
266
605173
3160
probabilmente voi avreste
password migliori.
10:20
Now anotherun altro approachapproccio to better passwordspassword, perhapsForse,
267
608333
3847
Un altro approccio per migliorare
le password, forse,
10:24
is to use passpassaggio phrasesfrasi insteadanziché of passwordspassword.
268
612180
2890
è usare le passphrase
al posto delle password.
10:27
So this was an xkcdxkcd cartooncartone animato
from a couplecoppia of yearsanni agofa,
269
615070
3418
Questo è una vignetta xkcd
di un paio di anni fa,
10:30
and the cartoonistvignettista suggestssuggerisce
270
618488
1674
e il disegnatore consiglia a tutti
10:32
that we should all use passpassaggio phrasesfrasi,
271
620162
2196
di usare le passphrase,
10:34
and if you look at the secondsecondo rowriga of this cartooncartone animato,
272
622358
3170
e se guardate nella seconda fila
di questa vignetta,
10:37
you can see the cartoonistvignettista is suggestingsuggerendo
273
625528
1857
vedrete che il disegnatore consiglia
10:39
that the passpassaggio phrasefrase "correctcorretta horsecavallo batterybatteria stapledi base"
274
627385
3441
la pass phrase:
"correct horse battery staple",
10:42
would be a very strongforte passpassaggio phrasefrase
275
630826
2481
che sarebbe una chiave di accesso
molto forte
10:45
and something really easyfacile to rememberricorda.
276
633307
1916
e molto facile da ricordare.
10:47
He saysdice, in factfatto, you've alreadygià rememberedricordato it.
277
635223
2797
Dice, in effetti, che
ce la ricordiamo già.
10:50
And so we decideddeciso to do a researchricerca studystudia
278
638020
2150
E così abbiamo deciso di fare uno studio
10:52
to find out whetherse this was truevero or not.
279
640170
2592
per scoprire se era vero o no.
10:54
In factfatto, everybodytutti who I talk to,
280
642762
1775
In realtà, tutte le persone con cui parlo
10:56
who I mentioncitare I'm doing passwordpassword researchricerca,
281
644537
2042
e a cui menziono la mia ricerca
sulle password,
10:58
they pointpunto out this cartooncartone animato.
282
646579
1400
mi parlano di questa vignetta.
10:59
"Oh, have you seenvisto it? That xkcdxkcd.
283
647979
1574
"Oh, l'hai vista? L'xkcd.
11:01
CorrectCorreggere horsecavallo batterybatteria stapledi base."
284
649553
1602
'correct horse battery staple'".
11:03
So we did the researchricerca studystudia to see
285
651155
1806
Abbiamo fatto questa ricerca per vedere
11:04
what would actuallyin realtà happenaccadere.
286
652961
2359
che cosa sarebbe successo nella realtà.
11:07
So in our studystudia, we used MechanicalMeccanica TurkTurk again,
287
655320
3060
Nel nostro studio abbiamo usato
ancora Mechanical Turk,
11:10
and we had the computercomputer pickraccogliere the randomcasuale wordsparole
288
658380
4167
e abbiamo fatto scegliere
al computer le parole a caso
11:14
in the passpassaggio phrasefrase.
289
662547
1100
nella chiave di accesso.
11:15
Now the reasonragionare we did this
290
663647
1153
Il motivo per cui l'abbiamo fatto
11:16
is that humansgli esseri umani are not very good
291
664800
1586
è che gli esseri umani
non sono molto bravi
11:18
at pickingscelta randomcasuale wordsparole.
292
666386
1384
a scegliere le parole a caso.
11:19
If we askedchiesto a humanumano to do it,
293
667770
1262
Se avessimo chiesto alle persone di farlo,
11:21
they would pickraccogliere things that were not very randomcasuale.
294
669032
2998
non avrebbero scelto casualmente.
11:24
So we triedprovato a fewpochi differentdiverso conditionscondizioni.
295
672030
2032
Perciò abbiamo provato
diverse condizioni.
11:26
In one conditioncondizione, the computercomputer pickedraccolto
296
674062
2090
In una condizione, il computer sceglieva
11:28
from a dictionarydizionario of the very commonComune wordsparole
297
676152
2216
da un dizionario delle parole più comuni
11:30
in the EnglishInglese languageLingua,
298
678368
1362
della lingua inglese,
11:31
and so you'dfaresti get passpassaggio phrasesfrasi like
299
679730
1764
così si ottenevano chiavi come:
11:33
"try there threetre come."
300
681494
1924
"prova là albero venire".
11:35
And we lookedguardato at that, and we said,
301
683418
1732
L'abbiamo guardata,
e ci siamo detti:
11:37
"Well, that doesn't really seemsembrare very memorablememorabile."
302
685150
3050
"Beh, non sembra poi così tanto
facile da tenere a mente".
11:40
So then we triedprovato pickingscelta wordsparole
303
688200
2240
Poi abbiamo provato a scegliere
11:42
that cameè venuto from specificspecifica partsparti of speechdiscorso,
304
690440
2521
parti del discorso specifiche
11:44
so how about noun-verb-adjective-nounsostantivo-verbo-aggettivo-sostantivo.
305
692961
2182
come ad esempio
sostantivo-verbo-aggettivo-sostantivo.
11:47
That comesviene up with something
that's sortordinare of sentence-likefrase simile.
306
695143
2577
Questa combinazione può anche
risultare in una specie di frase.
11:49
So you can get a passpassaggio phrasefrase like
307
697720
2070
Quindi si possono ottenere chiavi
di accesso come
11:51
"planPiano buildscostruisce sure powerenergia"
308
699790
1308
"piano costruisce sicuro potere"
11:53
or "endfine determinesdetermina redrosso drugdroga."
309
701098
2786
o "fine determina farmaco rosso".
11:55
And these seemedsembrava a little bitpo more memorablememorabile,
310
703884
2676
E queste ci sembravano
un po' più facili da ricordare,
11:58
and maybe people would like those a little bitpo better.
311
706560
2822
e forse alla gente piacerebbero
anche di più.
12:01
We wanted to compareconfrontare them with passwordspassword,
312
709382
2572
Volevamo confrontarle
con le password,
12:03
and so we had the computercomputer
pickraccogliere randomcasuale passwordspassword,
313
711954
3196
e così abbiamo fatto scegliere
password a caso ai computer,
e queste erano belle e corte
ma, come potete vedere,
12:07
and these were nicesimpatico and shortcorto, but as you can see,
314
715150
1990
12:09
they don't really look very memorablememorabile.
315
717140
2806
non sono molto facili da ricordare.
12:11
And then we decideddeciso to try something calledchiamato
316
719946
1396
E poi abbiamo deciso di provare
le cosidette
12:13
a pronounceablepronunciabile passwordpassword.
317
721342
1646
password pronunciabili.
12:14
So here the computercomputer pickspicconi randomcasuale syllablessillabe
318
722988
2245
Il computer in questo caso
sceglie sillabe a caso
12:17
and putsmette them togetherinsieme
319
725233
1134
e le assembla
12:18
so you have something sortordinare of pronounceablepronunciabile,
320
726367
2475
in modo da ottenere frasi
più o meno pronunciabili,
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
321
728842
2602
come "tufritvi" e "vadasabi".
12:23
That one kindgenere of rollsrotoli off your tonguelingua.
322
731444
2147
Quest'ultima è una specie
di scioglilingua.
12:25
So these were randomcasuale passwordspassword that were
323
733591
2216
Queste sono alcune password casuali
12:27
generatedgenerato by our computercomputer.
324
735807
2744
generate dal nostro computer.
12:30
So what we foundtrovato in this studystudia was that, surprisinglysorprendentemente,
325
738551
2978
Ciò che abbiamo scoperto in questo studio
è che, sorprendentemente,
12:33
passpassaggio phrasesfrasi were not actuallyin realtà all that good.
326
741529
3768
le passphrase non erano poi così valide.
12:37
People were not really better at rememberingricordare
327
745297
2793
Le persone non se le ricordavano meglio
12:40
the passpassaggio phrasesfrasi than these randomcasuale passwordspassword,
328
748090
2953
in confronto a queste password
create a caso,
12:43
and because the passpassaggio phrasesfrasi are longerpiù a lungo,
329
751043
2754
e dato che le passphrase sono più lunghe,
12:45
they tookha preso longerpiù a lungo to typetipo
330
753797
1226
ci voleva più tempo per scriverle
12:47
and people madefatto more errorserrori while typingdigitando them in.
331
755023
3010
e le persone facevano
più errori scrivendole.
12:50
So it's not really a clearchiaro winvincere for passpassaggio phrasesfrasi.
332
758033
3227
Quindi le passphrase
non hanno proprio la meglio.
12:53
Sorry, all of you xkcdxkcd fanstifosi.
333
761260
3345
Ci dispiace, fan dell'xkcd.
12:56
On the other handmano, we did find
334
764605
1892
D'altro canto, abbiamo scoperto
12:58
that pronounceablepronunciabile passwordspassword
335
766497
1804
che le password pronunciabili
13:00
workedlavorato surprisinglysorprendentemente well,
336
768301
1471
funzionavano sorprendentemente bene,
13:01
and so we actuallyin realtà are doing some more researchricerca
337
769772
2418
e così stiamo facendo ancora
qualche ricerca
13:04
to see if we can make that
approachapproccio work even better.
338
772190
3195
per vedere se possiamo far funzionare
ancora meglio questo tipo di approccio.
13:07
So one of the problemsi problemi
339
775385
1812
Uno dei problemi
13:09
with some of the studiesstudi that we'venoi abbiamo donefatto
340
777197
1623
con alcuni degli studi
che abbiamo condotto
13:10
is that because they're all donefatto
341
778820
1683
è che, siccome sono state fatte tutte
13:12
usingutilizzando MechanicalMeccanica TurkTurk,
342
780503
1590
usando Mechanical Turk,
13:14
these are not people'spersone di realvero passwordspassword.
343
782093
1812
queste password non sono
quelle usate realmente dagli utenti.
13:15
They're the passwordspassword that they createdcreato
344
783905
2105
Sono le password che hanno creato
13:18
or the computercomputer createdcreato for them for our studystudia.
345
786010
2495
o che il computer ha creato per loro
per il nostro studio.
13:20
And we wanted to know whetherse people
346
788505
1568
E volevamo sapere se le persone
13:22
would actuallyin realtà behavecomportarsi the samestesso way
347
790073
2312
si sarebbero davvero comportate così
13:24
with theirloro realvero passwordspassword.
348
792385
2227
con le loro password reali.
13:26
So we talkedparlato to the informationinformazione
securitysicurezza officeufficio at CarnegieCarnegie MellonMellon
349
794612
3681
Abbiamo parlato con l'ufficio per la
sicurezza delle informazioni
alla Carnegie Mellon
13:30
and askedchiesto them if we could
have everybody'sognuno è realvero passwordspassword.
350
798293
3803
e abbiamo chiesto se potevamo avere
le password di tutti.
Ovviamente, erano un po' restii
13:34
Not surprisinglysorprendentemente, they were a little bitpo reluctantriluttante
351
802096
1754
13:35
to shareCondividere them with us,
352
803850
1550
a condividerle con noi,
13:37
but we were actuallyin realtà ablecapace to work out
353
805400
1810
ma noi siamo stati capaci di ideare
13:39
a systemsistema with them
354
807210
1040
un sistema con loro
13:40
where they put all of the realvero passwordspassword
355
808250
2109
dove si mettono tutte le password vere
13:42
for 25,000 CMUCMU studentsstudenti, facultyfacoltà and staffpersonale,
356
810359
3091
per 25 mila studenti,
corpo docenti e staff,
13:45
into a lockedbloccato computercomputer in a lockedbloccato roomcamera,
357
813450
2448
in un computer bloccato
in una stanza chiusa a chiave,
13:47
not connectedcollegato to the InternetInternet,
358
815898
1394
non connessa a internet,
13:49
and they rancorse codecodice on it that we wroteha scritto
359
817292
1848
e loro facevano passare il codice
13:51
to analyzeanalizzare these passwordspassword.
360
819140
2152
sulle password che analizzavamo.
13:53
They auditedcontrollati our codecodice.
361
821292
1326
Verificavano il nostro codice.
13:54
They rancorse the codecodice.
362
822618
1312
Facevano passare il codice.
13:55
And so we never actuallyin realtà saw
363
823930
1738
E perciò non abbiamo mai visto
13:57
anybody'snessuno è passwordpassword.
364
825668
2817
la password di nessuno.
14:00
We got some interestinginteressante resultsrisultati,
365
828485
1515
Abbiamo ottenuto risultati interessanti,
14:02
and those of you TepperTepper studentsstudenti in the back
366
830000
1696
e per voi studenti
del corso Tepper lì in fondo
14:03
will be very interestedinteressato in this.
367
831696
2875
saranno molto interessanti.
14:06
So we foundtrovato that the passwordspassword createdcreato
368
834571
3731
Così abbiamo scoperto
che le password create
14:10
by people affiliatedaffiliati with the
schoolscuola of computercomputer sciencescienza
369
838302
2158
dalle persone che frequentano
la facoltà di informatica
14:12
were actuallyin realtà 1.8 timesvolte strongerpiù forte
370
840460
2324
sono 1,8 volte più forti
14:14
than those affiliatedaffiliati with the businessattività commerciale schoolscuola.
371
842784
3738
rispetto a quelle
degli studenti di economia.
14:18
We have lots of other really interestinginteressante
372
846522
2040
Abbiamo anche molte altre informazioni
14:20
demographicdemografico informationinformazione as well.
373
848562
2238
demografiche interessanti.
14:22
The other interestinginteressante thing that we foundtrovato
374
850800
1846
L'altra cosa interessante
che abbiamo scoperto
14:24
is that when we comparedrispetto
the CarnegieCarnegie MellonMellon passwordspassword
375
852646
2440
è che quando abbiamo paragonato
le password della Carnegie Mellon
14:27
to the MechanicalMeccanica Turk-generatedTurk-generato passwordspassword,
376
855086
2283
a quelle generate dal Mechanical Turk,
14:29
there was actuallyin realtà a lot of similaritiesanalogie,
377
857369
2619
in realtà c'erano molte somiglianze,
14:31
and so this helpedaiutato validateconvalidare our researchricerca methodmetodo
378
859988
1948
e questo ci ha aiutato a convalidare
il nostro metodo di ricerca
14:33
and showmostrare that actuallyin realtà, collectingraccolta passwordspassword
379
861936
2510
e mostrare che, in realtà,
raccogliere le password
14:36
usingutilizzando these MechanicalMeccanica TurkTurk studiesstudi
380
864446
1808
usando questi studi di Mechanical Turk
14:38
is actuallyin realtà a validvalido way to studystudia passwordspassword.
381
866254
2788
è davvero un modo valido
per studiare le password.
14:41
So that was good newsnotizia.
382
869042
2285
È una buona notizia.
14:43
Okay, I want to closevicino by talkingparlando about
383
871327
2414
Ok, vorrei concludere parlando
14:45
some insightsapprofondimenti I gainedguadagnato while on sabbaticalanno sabbatico
384
873741
2068
di alcune cose che ho scoperto durante
lo scorso anno sabbatico alla facoltà
di arte alla Carnegie Mellon.
14:47
last yearanno in the CarnegieCarnegie MellonMellon artarte schoolscuola.
385
875809
3201
14:51
One of the things that I did
386
879010
1281
Una delle cose che ho fatto
14:52
is I madefatto a numbernumero of quiltstrapunte,
387
880291
1524
è stata cucire parecchie trapunte,
14:53
and I madefatto this quilttrapunta here.
388
881815
1548
e questa l'ho fatta io.
14:55
It's calledchiamato "SecuritySicurezza BlanketCoperta."
389
883363
1899
Si chiama "Coperta di Sicurezza".
14:57
(LaughterRisate)
390
885262
2431
(Risate)
Questa trapunta ha le mille password
14:59
And this quilttrapunta has the 1,000
391
887693
3095
15:02
mostmaggior parte frequentfrequente passwordspassword stolenrubare
392
890788
2328
più frequenti rubate
15:05
from the RockYouRockYou websiteSito web.
393
893116
2571
dal sito web RockYou.
15:07
And the sizedimensione of the passwordspassword is proportionalproporzionale
394
895687
2061
E le dimensioni delle password
sono proporzionali
15:09
to how frequentlyfrequentemente they appearedè apparso
395
897748
1901
alla frequenza con cui appaiono
15:11
in the stolenrubare datasetDataSet.
396
899649
2248
tra i dati rubati.
15:13
And what I did is I createdcreato this wordparola cloudnube,
397
901897
2632
Quello che ho fatto è stato
creare questa nuvola di parole,
15:16
and I wentandato throughattraverso all 1,000 wordsparole,
398
904529
2132
analizzare tutte le mille parole,
15:18
and I categorizedclassificato them into
399
906661
1795
e classificarle
15:20
loosesciolto thematictematici categoriescategorie.
400
908456
2380
in categorie tematiche ampie.
15:22
And it was, in some casescasi,
401
910836
1903
E, in alcuni casi,
15:24
it was kindgenere of difficultdifficile to figurefigura out
402
912739
2038
è stato difficile capire
15:26
what categorycategoria they should be in,
403
914777
1755
in quale categoria rientrassero,
15:28
and then I color-codedcolor-coded them.
404
916532
1899
e poi le ho codificate tramite dei colori.
15:30
So here are some examplesesempi of the difficultydifficoltà.
405
918431
2619
Ecco alcuni esempi delle difficoltà
che ho riscontrato.
15:33
So "justinJustin."
406
921050
1181
"justin".
15:34
Is that the namenome of the userutente,
407
922231
1829
È il nome dell'utente,
15:36
theirloro boyfriendfidanzato, theirloro sonfiglio?
408
924060
1322
del suo ragazzo, di suo figlio?
15:37
Maybe they're a JustinJustin BieberBieber fanfan.
409
925382
2888
Forse si tratta
di un fan di Justin Bieber.
15:40
Or "princessPrincipessa."
410
928270
2225
O "principesssa".
15:42
Is that a nicknameNickname?
411
930495
1635
È un soprannome?
15:44
Are they DisneyDisney princessPrincipessa fanstifosi?
412
932130
1595
L'utente è un fan
delle principesse Disney?
15:45
Or maybe that's the namenome of theirloro catgatto.
413
933725
3694
Oppure è il nome del suo gatto.
15:49
"IloveyouILOVEYOU" appearsappare manymolti timesvolte
414
937419
1655
"Iloveyou" compare molte volte
15:51
in manymolti differentdiverso languagesle lingue.
415
939074
1545
in tante lingue diverse.
15:52
There's a lot of love in these passwordspassword.
416
940619
3735
C'è molto amore in queste password.
15:56
If you look carefullyaccuratamente, you'llpotrai see there's alsoanche
417
944354
1680
Se guardate attentamente,
vedrete che c'è anche
15:58
some profanityprofanità,
418
946034
2267
del profano,
16:00
but it was really interestinginteressante to me to see
419
948301
1950
ma per me è stato davvero interessante
16:02
that there's a lot more love than hateodiare
420
950251
2307
vedere che c'è molto più amore che odio
16:04
in these passwordspassword.
421
952558
2292
in queste password.
16:06
And there are animalsanimali,
422
954850
1490
E c'erano anche gli animali,
16:08
a lot of animalsanimali,
423
956340
1360
molti animali,
16:09
and "monkeyscimmia" is the mostmaggior parte commonComune animalanimale
424
957700
2304
e "scimmia" è l'animale più comune,
16:12
and the 14thesimo mostmaggior parte popularpopolare passwordpassword overallcomplessivamente.
425
960004
3675
in generale la 14esima password
più comune.
16:15
And this was really curiouscurioso to me,
426
963679
2231
Questo mi ha incuriosita,
16:17
and I wonderedchiesti, "Why are monkeysscimmie so popularpopolare?"
427
965910
2523
e mi sono chiesta: "Perché le scimmie
sono così popolari?"
16:20
And so in our last passwordpassword studystudia,
428
968433
3352
E così è nato il nostro ultimo studio
sulle password:
16:23
any time we detectedrilevato somebodyqualcuno
429
971785
1686
ogni volta che notavamo qualcuno
16:25
creatingla creazione di a passwordpassword with the wordparola "monkeyscimmia" in it,
430
973471
2649
che creava una password contenente
la parola "scimmia",
16:28
we askedchiesto them why they had
a monkeyscimmia in theirloro passwordpassword.
431
976120
3030
gli abbiamo chiesto perché
l'avesse scelta.
16:31
And what we foundtrovato out --
432
979150
1910
E abbiamo scoperto che --
16:33
we foundtrovato 17 people so farlontano, I think,
433
981060
2103
finora abbiamo trovato 17 persone
16:35
who have the wordparola "monkeyscimmia" --
434
983163
1283
che hanno "scimmia"
nelle proprie password ‒-
16:36
We foundtrovato out about a thirdterzo of them said
435
984446
1812
abbiamo scoperto
che circa un terzo di loro
16:38
they have a petanimale domestico nameddi nome "monkeyscimmia"
436
986258
1740
ha un animale domestico
che si chiama "scimmmia"
16:39
or a friendamico whosedi chi nicknameNickname is "monkeyscimmia,"
437
987998
2291
o hanno un amico il cui soprannome
è "scimmia",
16:42
and about a thirdterzo of them said
438
990289
1660
e circa un terzo ha detto
16:43
that they just like monkeysscimmie
439
991949
1533
che gli piacciono le scimmie
16:45
and monkeysscimmie are really cutecarina.
440
993482
1638
e che sono molto carine.
16:47
And that guy is really cutecarina.
441
995120
3639
E quella è molto carina.
16:50
So it seemssembra that at the endfine of the day,
442
998759
3408
Perciò, alla fine dei conti, sembra che
16:54
when we make passwordspassword,
443
1002167
1783
quando creiamo delle password,
16:55
we eithero make something that's really easyfacile
444
1003950
1974
creiamo qualcosa di molto facile
16:57
to typetipo, a commonComune patternmodello,
445
1005924
3009
da scrivere, un modello comune,
17:00
or things that remindricordare us of the wordparola passwordpassword
446
1008933
2486
oppure pensiamo a cose
che ci ricordino la parola password,
17:03
or the accountaccount that we'venoi abbiamo createdcreato the passwordpassword for,
447
1011419
3312
l'account per cui
abbiamo creato la password,
17:06
or whateverqualunque cosa.
448
1014731
2617
o roba del genere.
17:09
Or we think about things that make us happycontento,
449
1017348
2642
Oppure ancora pensiamo
a cose che ci rendono felici,
17:11
and we createcreare our passwordpassword
450
1019990
1304
e creiamo la nostra password
17:13
basedbasato on things that make us happycontento.
451
1021294
2238
in base alle cose che ci rendono felici.
17:15
And while this makesfa typingdigitando
452
1023532
2863
E mentre questo fa sì
che sia più divertente
17:18
and rememberingricordare your passwordpassword more fundivertimento,
453
1026395
2870
scrivere e ricordarsi la propria password,
17:21
it alsoanche makesfa it a lot easierPiù facile
454
1029265
1807
la rende anche più facile da indovinare.
17:23
to guessindovina your passwordpassword.
455
1031072
1506
17:24
So I know a lot of these TEDTED TalksColloqui
456
1032578
1748
So che molti discorsi TED
17:26
are inspirationalInspirational
457
1034326
1634
sono d'ispirazione
17:27
and they make you think about nicesimpatico, happycontento things,
458
1035960
2461
e che vi fanno pensare
a cose belle e felici,
17:30
but when you're creatingla creazione di your passwordpassword,
459
1038421
1897
ma quando create la vostra password
17:32
try to think about something elsealtro.
460
1040318
1991
cercate di pensare a qualcos'altro.
17:34
Thank you.
461
1042309
1107
Grazie.
(Applausi)
17:35
(ApplauseApplausi)
462
1043416
553
Translated by Elisa Magni
Reviewed by Valentina Buda

▲Back to top

ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com

Data provided by TED.

This site was created in May 2015 and the last update was on January 12, 2020. It will no longer be updated.

We are currently creating a new site called "eng.lish.video" and would be grateful if you could access it.

If you have any questions or suggestions, please feel free to write comments in your language on the contact form.

Privacy Policy

Developer's Blog

Buy Me A Coffee