TEDxCMU
Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?
ลอร์รี่ เฟท เครเนอร์: รหัสผ่านของคุณไม่ดีตรงไหน
Filmed:
Readability: 4.5
1,566,161 views
ลอร์รี่ เฟท เครเนอร์ ได้ศึกษาวิจัยรหัสผ่านหลายพันรหัส เพื่อจะค้นพบข้อผิดพลาดธรรมดาสามัญมากๆ ที่น่าประหลาดใจ ซึ่งผู้ใช้รหัสเหล่านั้น - และเว็บไซ์ที่ว่าปลอดภัย - ปฏิบัติอันเป็นภัยต่อความปลอดภัย แต่คุณอาจจะถามว่า แล้วทำอย่างไรเล่า เธอจึงศึกษารหัสผ่านจริงๆเป็นพันๆรหัส โดยไม่ได้เป็นอันตรายต่อความปลอดภัยของผู้ใช้รหัสนั้นๆ และนั่นเป็นเรื่องราวในตัวของมันเอง มันเป็นข้อมูลความลับที่มีคุณค่าต่อการรับรู้ โดยเฉาะอย่างยิ่ง ถ้าหากรหัสผ่านของคุณ เป็น 123456...
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio
Double-click the English transcript below to play the video.
ฉันเป็นนักวิทยาการคอมพิวเตอร์ และศ.ด้านวิศวะ
00:12
I am a computer science and engineering
professor here at Carnegie Mellon,
professor here at Carnegie Mellon,
0
535
3445
ที่ ม.คาร์เนกีเมลลอน
00:15
and my research focuses on
usable privacy and security,
usable privacy and security,
1
3980
4248
งานวิจัยของฉันเน้นเรื่อง ระบบความเป็นส่วนตัวและ ความปลอดภัย
00:20
and so my friends like to give me examples
2
8228
2768
เพื่อนๆจึงชอบบอกฉัน
00:22
of their frustrations with computing systems,
3
10996
2202
ถึงความขัดข้องใจของเขา กับระบบคอมพิวเตอร์
00:25
especially frustrations related to
4
13198
3354
โดยเฉพาะความขัดข้องใจที่เกี่ยวกับ
00:28
unusable privacy and security.
5
16552
4112
ระบบความเป็นส่วนตัวและความปลอดภัย ที่ใช้ไม่ได้ผล
00:32
So passwords are something that I hear a lot about.
6
20664
2711
รหัสผ่าน จึงเป็นสิ่งที่ดิฉันได้รับฟังมามาก
00:35
A lot of people are frustrated with passwords,
7
23375
2880
คนจำนวนมากขัดข้องใจกับรหัสผ่าน
00:38
and it's bad enough
8
26255
1694
และมันก็แย่พออยู่แล้ว
00:39
when you have to have one really good password
9
27949
2644
เมื่อคุณต้องมีรหัสผ่านที่ดีจริงๆ
00:42
that you can remember
10
30593
1822
ที่คุณจำมันได้
00:44
but nobody else is going to be able to guess.
11
32415
2894
แต่คนอื่นๆไม่สามารถเดาได้
00:47
But what do you do when you have accounts
12
35309
1637
แต่คุณจะทำอย่างไร เมื่อมีชื่อบัญชี
00:48
on a hundred different systems
13
36946
1808
กับระบบต่างๆเป็นร้อย
00:50
and you're supposed to have a unique password
14
38754
2276
และคุณก็ควรจะต้องมีรหัสผ่านที่ไม่เหมือนใคร
00:53
for each of these systems?
15
41030
3037
สำหรับระบบแต่ละระบบเหล่านั้น
00:56
It's tough.
16
44067
2184
มันเป็นเรื่องยาก
00:58
At Carnegie Mellon, they used to make it
17
46251
1759
ที่คาร์เนกีฯ (CMU) เขาเคยทำเรืองนี้
01:00
actually pretty easy for us
18
48010
1299
ให้มันง่ายมาก สำหรับพวกเรา
01:01
to remember our passwords.
19
49309
1737
ที่จะจำรหัสผ่าน
01:03
The password requirement up through 2009
20
51046
2403
ตลอดมาจนถึงปี 2009 สิ่งที่ต้องมีในรหัสผ่าน
01:05
was just that you had to have a password
21
53449
2379
ก็แค่ คุณต้องใส่รหัสผ่าน
01:07
with at least one character.
22
55828
2211
พร้อมตัวอักษรอย่างน้อยหนึ่งตัว
ดูง่ายมาก แต่แล้วพวกเขาก็เปลี่ยนสิ่งต่างๆ
01:10
Pretty easy. But then they changed things,
23
58039
2888
01:12
and at the end of 2009, they announced
24
60927
2670
และในปลายปี 2009 ก็ประกาศว่า
01:15
that we were going to have a new policy,
25
63597
2376
เรากำลังจะมีแผนการใหม่
01:17
and this new policy required
26
65973
1863
และแผนการใหม่นี้จำเป็นต้อง
01:19
passwords that were at least eight characters long,
27
67836
2681
ใช้รหัสผ่าน ที่มีตัวอักษรอย่างน้อย แปดตัว
01:22
with an uppercase letter, lowercase letter,
28
70517
1775
พร้อมด้วยตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก
01:24
a digit, a symbol,
29
72292
1288
ตัวเลขโดด สัญลักษณ์
01:25
you couldn't use the same
character more than three times,
character more than three times,
30
73580
2638
คุณไม่สามารถใช้ตัวอักษรซ้ำกันเกินสามครั้ง
01:28
and it wasn't allowed to be in a dictionary.
31
76218
2434
และไม่อนุญาตให้เป็นคำในพจนานุกรม
01:30
Now, when they implemented this new policy,
32
78652
2182
ค่ะ เมื่อพวกเขานำหลักการใหม่นี้ ไปใช้จริง
01:32
a lot of people, my colleagues and friends,
33
80834
2310
คนจำนวนมาก เพื่อนร่วมงานและเพื่อนๆ
01:35
came up to me and they said, "Wow,
34
83144
1854
ก็มาหาดิฉัน และบอกว่า "โอ้โห
01:36
now that's really unusable.
35
84998
1512
ตอนนี้ มันใช้ไม่ได้ผลนะ
01:38
Why are they doing this to us,
36
86510
1193
ทำไมเค้าถึงสร้างกฏให้เราแบบนี้?"
01:39
and why didn't you stop them?"
37
87703
1711
และทำไมคุณถึงไม่ห้ามเขาละ?"
01:41
And I said, "Well, you know what?
38
89414
1356
ดิฉันบอกว่า "คุณรู้มั้ยละ
01:42
They didn't ask me."
39
90770
1508
พวกเขาไม่ได้ถามฉันเลย"
01:44
But I got curious, and I decided to go talk
40
92278
3465
แต่ดิฉันก็อยากรู้ จึงตัดสินใจไปพูด
01:47
to the people in charge of our computer systems
41
95743
1937
กับคนที่รับผิดชอบระบบคอมพิวเตอร์ของเรา
01:49
and find out what led them to introduce
42
97680
2831
และก็พบว่า อะไรที่ทำให้พวกเขาเริ่มนำ
01:52
this new policy,
43
100511
1848
หลักการใหม่นี้เข้ามาใช้
01:54
and they said that the university
44
102359
1584
พวกเขาก็บอกว่า มหาวิทยาลัยนั้น
01:55
had joined a consortium of universities,
45
103943
2366
ได้เข้าไปเป็นสมาชิกของกลุ่มมหาวิทยาลัย
01:58
and one of the requirements of membership
46
106309
2634
และข้อบังคับอย่างหนึ่งของการเป็นสมาชิก
02:00
was that we had to have stronger passwords
47
108943
2248
ก็คือ เราต้องมีรหัสผ่านที่แข็งแรง
02:03
that complied with some new requirements,
48
111191
2272
โดยมีข้อบังคับการตั้งรหัสผ่าน
02:05
and these requirements were that our passwords
49
113463
2104
และข้อบังคับเหล่านี้ ก็คือ รหัสผ่านของเรา
02:07
had to have a lot of entropy.
50
115567
1604
ต้องมีระดับเอนโทรปี (entropy) มากๆ
02:09
Now entropy is a complicated term,
51
117171
2278
ค่ะ เอนโทรปี ค่อนข้างมีความซับซ้อน
02:11
but basically it measures the strength of passwords.
52
119449
2798
โดยพื้นฐาน มันจะวัดความยากของรหัสผ่าน
02:14
But the thing is, there isn't actually
53
122247
1979
แต่ข้อสำคัญก็คือ จริงๆแล้ว มันไม่มี
02:16
a standard measure of entropy.
54
124226
1949
การวัดอย่างเป็นมาตรฐานของเอนโทรปี
02:18
Now, the National Institute
of Standards and Technology
of Standards and Technology
55
126175
2399
สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)
02:20
has a set of guidelines
56
128574
1553
มีคู่มืออยู่ชุดหนึ่ง
02:22
which have some rules of thumb
57
130127
2568
ที่เป็นข้อแนะนำทั่วๆไป
02:24
for measuring entropy,
58
132695
1440
สำหรับการตั้งรหัสผ่าน
02:26
but they don't have anything too specific,
59
134135
2895
แต่พวกเขาไม่ได้เจาะจงอะไรมาก
02:29
and the reason they only have rules of thumb
60
137030
2337
และเหตุที่พวกเขาต้องมีข้อแนะนำ
02:31
is it turns out they don't actually have any good data
61
139367
3136
กลายเป็นว่า ที่จริงเขาไม่มีข้อมูลเลย
02:34
on passwords.
62
142503
1520
เกี่ยวกับรหัสผ่านที่ดี
02:36
In fact, their report states,
63
144023
2312
แท้จริงแล้ว รายงานของพวกเขาบอกว่า
02:38
"Unfortunately, we do not have much data
64
146335
2328
"โชคร้าย ที่เราไม่มีข้อมูลมากนัก
02:40
on the passwords users
choose under particular rules.
choose under particular rules.
65
148663
2842
บนรหัสผ่านของผู้ใช้ ที่ทำตามคำแนะนำ
02:43
NIST would like to obtain more data
66
151505
2333
NIST อยากจะได้ข้อมูลให้มากกว่านี้
02:45
on the passwords users actually choose,
67
153838
2462
ในเรื่องของรหัสผ่าน ที่ผู้ใช้มักจะเลือก
02:48
but system administrators
are understandably reluctant
are understandably reluctant
68
156300
2463
แต่ก็พอจะเข้าใจได้ว่าผู้บริหารระบบ ลังเล
02:50
to reveal password data to others."
69
158763
2940
ที่จะเปิดเผยข้อมูลรหัสผ่านกับผู้อื่น"
02:53
So this is a problem, but our research group
70
161703
3097
นี่จึงเป็นปัญหา แต่กลุ่มวิจัยของเรา
02:56
looked at it as an opportunity.
71
164800
2140
เห็นมัน เหมือนเป็นโอกาสอย่างหนึ่ง
02:58
We said, "Well, there's a need
for good password data.
for good password data.
72
166940
3100
เราพูดว่า "จำเป็นต้องมีข้อมูลรหัสผ่านที่ดี
03:02
Maybe we can collect some good password data
73
170040
2148
บางที เราอาจจะรวบรวมรหัสผ่านที่ดีได้บ้าง
03:04
and actually advance the state of the art here.
74
172188
2704
และเร่งพัฒนาให้ลํ้ายุคตรงนี้ได้จริง
03:06
So the first thing we did is,
75
174892
1672
ดังนั้นสิ่งแรกที่เราทำก็คือ
03:08
we got a bag of candy bars
76
176564
1556
เราเอาทอฟฟี่มาหนึ่งถุง
03:10
and we walked around campus
77
178120
1086
และเดินไปรอบมหาลัย
03:11
and talked to students, faculty and staff,
78
179206
2798
พูดคุยกับนักศึกษา อาจารย์ และเจ้าหน้าที่
03:14
and asked them for information
79
182004
1530
สอบถามพวกเขาให้ได้ข้อมูล
03:15
about their passwords.
80
183534
1552
เกี่ยวกับรหัสผ่าน
03:17
Now we didn't say, "Give us your password."
81
185086
3004
ค่ะ เราไม่ได้พูดว่า "เอารหัสผ่านของคุณมา"
03:20
No, we just asked them about their password.
82
188090
2661
ไม่ค่ะ เราเพียงถามเรื่องรหัสผ่านของพวกเขา
03:22
How long is it? Does it have a digit?
83
190751
1478
ยาวขนาดไหนคะ มีตัวอักษรไหม?
03:24
Does it have a symbol?
84
192229
1068
มีสัญญลักษณ์รึเปล่า?
03:25
And were you annoyed at having to create
85
193297
2045
และคุณรำคาญใจไหม ที่ต้องสร้าง
03:27
a new one last week?
86
195342
2744
รหัสผ่านใหม่ อาทิตย์ที่แล้วน่ะ?
03:30
So we got results from 470 students,
87
198086
3206
เราจึงได้คำตอบจาก 470 คน ที่เป็นนักศึกษา
03:33
faculty and staff,
88
201292
971
อาจารย์ และ เจ้าหน้าที่
03:34
and indeed we confirmed that the new policy
89
202263
2514
ที่จริง เรายืนยันได้ว่าหลักการใหม่นั้น
03:36
was very annoying,
90
204777
1453
เป็นที่น่ารำคาญมากๆ
03:38
but we also found that people said
91
206230
1792
และเรายังพบอีกว่า คนทั้งหลายพูดว่า
03:40
they felt more secure with these new passwords.
92
208022
3130
พวกเขารู้สึกปลอดภัยกว่า ในรหัสผ่านใหม่นี้
03:43
We found that most people knew
93
211152
2306
เราพบว่าคนส่วนใหญ่ทราบว่า
03:45
they were not supposed to
write their password down,
write their password down,
94
213458
2152
พวกเขาไม่ควรจะจดรหัสผ่านของเขาไว้
03:47
and only 13 percent of them did,
95
215610
2391
และก็มีเพียง 13 เปอร์เซ็นเท่านั้นที่ทำ
03:50
but disturbingly, 80 percent of people
96
218001
2416
แต่ก็ไม่น่าพอใจที่ คน 80 เปอร์เซ็นต์
03:52
said they were reusing their password.
97
220417
2124
บอกว่า พวกเขาเอารหัสผ่านเก่า กลับมาใช้อีก
03:54
Now, this is actually more dangerous
98
222541
1796
ค่ะ เรื่องนี้จริงๆ อันตรายยิ่งกว่า
03:56
than writing your password down,
99
224337
2022
การจดรหัสผ่านใว้เสียอีก
03:58
because it makes you much
more susceptible to attackers.
more susceptible to attackers.
100
226359
3561
เพราะ มันทำให้โจรสามารถเจาะเข้าข้อมูลได้ง่าย
04:01
So if you have to, write your passwords down,
101
229920
3118
ดังนั้นถ้าคุณจะต้องทำ ก็ขอให้จดรหัสผ่านไว้
04:05
but don't reuse them.
102
233038
1799
แต่อย่านำมันกลับมาใช้อีก
04:06
We also found some interesting things
103
234837
1751
เรายังพบสิ่งที่น่าสนใจบางอย่างอีกด้วย
04:08
about the symbols people use in passwords.
104
236588
2961
เกี่ยวกับสัญญลักษณ์ ที่ผู้คนใช้ในรหัสผ่าน
04:11
So CMU allows 32 possible symbols,
105
239549
2799
CMU จึงอนุญาตให้ใช้ สัญญลักษณ์ได้ 32 ตัว
04:14
but as you can see, there's only a small number
106
242348
2433
แต่อย่างที่เห็น มีตัวเลขไม่กี่ตัวเท่านั้น
04:16
that most people are using,
107
244781
1802
ที่คนส่วนใหญ่ใช้กันอยู่
04:18
so we're not actually getting very much strength
108
246583
2941
จริงๆ เราจึงไม่ได้มีระดับความยากมากเท่าไหร่
04:21
from the symbols in our passwords.
109
249524
2466
จากสัญญลักษณ์ในรหัสผ่านของเรา
04:23
So this was a really interesting study,
110
251990
2711
นี่จึงเป็นการวิจัยที่น่าสนใจอย่างมาก
04:26
and now we had data from 470 people,
111
254701
2464
ขณะนี้ เรามีข้อมูลจากคน 470 คน
04:29
but in the scheme of things,
112
257165
1305
แต่ในแบบแผนของสิ่งที่
04:30
that's really not very much password data,
113
258470
2580
จริงๆแล้ว ไม่ได้เป็นข้อมูลรหัสผ่านมากนัก
04:33
and so we looked around to see
114
261050
1445
เราจึงมองไปรอบๆ
04:34
where could we find additional password data?
115
262495
2560
ที่เราจะหาข้อมูลรหัสผ่านเพิ่มขึ้นอีก
04:37
So it turns out there are a lot of people
116
265055
2176
จึงกลายกลายเป็นว่า มีคนจำนวนมาก
04:39
going around stealing passwords,
117
267231
2202
เที่ยวไปขโมยรหัสผ่านเขาไปทั่ว
04:41
and they often go and post these passwords
118
269433
2477
และบ่อยๆ ที่พวกเขานำรหัสผ่านเหล่านี้
04:43
on the Internet.
119
271910
1337
ไปโพสต์ลงในอินเตอร์เน็ต
04:45
So we were able to get access
120
273247
1673
เราจึงสามารถเข้าไปถึง
04:46
to some of these stolen password sets.
121
274920
3970
กลุ่มรหัสผ่านที่ถูกขโมยมาเหล่านี้ได้บ้าง
04:50
This is still not really ideal for research, though,
122
278890
2328
แม้ว่า สิ่งนี้จริงๆแล้ว ยังไม่ดีที่สุด
04:53
because it's not entirely clear
123
281218
2037
สำหรับงานวิจัย เพราะมันไม่ชัดเจนทั้งหมดว่า
04:55
where all of these passwords came from,
124
283255
2184
รหัสผ่านทั้งหมดนี้ มาจากที่ใด
04:57
or exactly what policies were in effect
125
285439
2242
หรือให้แน่ๆคือ เกณฑ์อะไรที่ถูกนำมาใช้
04:59
when people created these passwords.
126
287681
2108
เมื่อผู้คนสร้างรหัสผ่านเหล่านี้ขึ้นมา
05:01
So we wanted to find some better source of data.
127
289789
3552
เราจึงต้องการจะหาแหล่งข้อมูลที่ดีกว่านี้
05:05
So we decided that one thing we could do
128
293341
1634
จึงตกลงใจว่า สิ่งหนึ่งที่เราทำได้
05:06
is we could do a study and have people
129
294975
2129
ก็คือ เราจะทำวิจัย โดยให้คน
05:09
actually create passwords for our study.
130
297104
3240
สร้างรหัสผ่านจริงๆ เพื่อการวิจัยของเรา
05:12
So we used a service called
Amazon Mechanical Turk,
Amazon Mechanical Turk,
131
300344
2821
เราจึงใช้โปรแกรม Amezon Mechanical Turk
05:15
and this is a service where you can post
132
303165
2334
เป็นโปรแกรมที่คุณสามารถโพสต์
05:17
a small job online that takes a minute,
133
305499
2304
งานอินเตอร์เน็ตเล็กๆ ที่ใช้เวลาสักนาที
05:19
a few minutes, an hour,
134
307803
1500
หรือ2-3นาที หรือหนึ่งชั่วโมง
05:21
and pay people, a penny, ten cents, a few dollars,
135
309303
2584
แล้วจ่าย 1,10 เซ็นต์ หรือ 2-3 ดอลล่าร์
05:23
to do a task for you,
136
311887
1346
เพื่อให้เขาทำงานชิ้นหนึ่งให้กับคุณ
05:25
and then you pay them through Amazon.com.
137
313233
2122
แล้วจ่ายเงินโดยผ่านทาง Amazon.com
05:27
So we paid people about 50 cents
138
315355
2294
เราจึงจ่ายเงินให้คนไป ประมาณ 50 เซ็นต์
05:29
to create a password following our rules
139
317649
2596
เพื่อให้สร้างรหัสผ่าน ตามกฎเกณฑ์ของเรา
05:32
and answering a survey,
140
320245
1410
และให้ตอบแบบสำรวจ
05:33
and then we paid them again to come back
141
321655
2525
แล้วเราก็จ่ายให้พวกเขาอีก เพื่อให้กลับมา
05:36
two days later and log in
142
324180
2071
สองวันหลังจากนั้น ให้เข้าสู่ระบบ (log in)
05:38
using their password and answering another survey.
143
326251
2574
ใช้รหัสผ่านของเขา และตอบแบบสำรวจอีก 1ชุด
05:40
So we did this, and we collected 5,000 passwords,
144
328825
4464
เราทำแบบนี้ และรวบรวมได้ 5,000 รหัสผ่าน
05:45
and we gave people a bunch of different policies
145
333289
2695
และเราให้หลักการต่างๆอีกมากมาย แก่ผู้คน
05:47
to create passwords with.
146
335984
1508
เพื่อใช้สร้างรหัสผ่าน
05:49
So some people had a pretty easy policy,
147
337492
1910
คนบางคนจึงมีหลักการที่ง่ายมากๆ
05:51
we call it Basic8,
148
339402
1539
เราเรียกมันว่า Basic 8
05:52
and here the only rule was that your password
149
340941
2146
มันมีกฏข้อเดียวที่ให้ใช้สร้างรหัส
05:55
had to have at least eight characters.
150
343087
3416
คือต้องมีอักษรแปดตัวเป็นอย่างน้อย
05:58
Then some people had a much harder policy,
151
346503
2251
แล้วก็ คนบางคนมีหลักการที่ยากกว่ามาก
06:00
and this was very similar to the CMU policy,
152
348754
2537
และนี่เป็นหลักการที่เหมือนกันมากกับของ CMU
06:03
that it had to have eight characters
153
351291
1934
ซึ่งมันต้องมีแปดอักขระ
06:05
including uppercase, lowercase, digit, symbol,
154
353225
2376
ทั้งอักษรตัวใหญ่ ตัวเล็ก ตัวเลข สัญญลักษณ์
06:07
and pass a dictionary check.
155
355601
2389
และไม่มีในพจนานุกรม
06:09
And one of the other policies we tried,
156
357990
1335
หนึ่งในหลักอื่น ที่เราลองใช้
06:11
and there were a whole bunch more,
157
359325
1270
แล้วยังมีอื่นๆอีกเป็นพวง
06:12
but one of the ones we tried was called Basic16,
158
360595
2240
แต่กฏหนึ่ง ที่เราลองใช้ ชื่อ Basic16
06:14
and the only requirement here
159
362835
2632
และข้อบังคับเพียงข้อเดียวนั้น
06:17
was that your password had
to have at least 16 characters.
to have at least 16 characters.
160
365467
3153
คือ รหัสต้องมีอย่างน้อยที่สุด 16 ตัวอักษร
06:20
All right, so now we had 5,000 passwords,
161
368620
2458
ค่ะ ตอนนั้นเราจึงมีรหัสผ่าน 5,000 รหัส
06:23
and so we had much more detailed information.
162
371078
3563
และเราก็มีข้อมูลอย่างละเอียดเพิ่มขึ้นมาก
06:26
Again we see that there's only a small number
163
374641
2559
แต่ก็นั่นแหละ เราเห็นว่าเป็นเพียงจำนวนน้อย
06:29
of symbols that people are actually using
164
377200
1915
ของสัญญลักษณ์ที่ผู้คนใช้กันอยู่จริง
06:31
in their passwords.
165
379115
1886
ในรหัสผ่านของพวกเขา
06:33
We also wanted to get an idea of how strong
166
381001
2599
เรายังต้องการทราบอีกด้วยว่า รหัสผ่าน
06:35
the passwords were that people were creating,
167
383600
2771
ที่ผู้คนสร้างขึ้นมานั้น แข็งแกร่งเพียงใด
06:38
but as you may recall, there isn't a good measure
168
386371
2620
แต่เมื่อคิดย้อนกลับไปว่า ไม่มีมาตรการที่ดี
06:40
of password strength.
169
388991
1754
ในเรื่องความแข็งแรงของรหัสผ่าน
06:42
So what we decided to do was to see
170
390745
2312
ดังนั้นสิ่งที่เราตัดสินใจทำ ก็คือ ดูว่า
06:45
how long it would take to crack these passwords
171
393057
2370
จะใช้เวลานานเท่าใด จึงจะเจาะรหัสเหล่านี้
06:47
using the best cracking tools
172
395427
1414
โดยใช้เครื่องมือเจาะดีที่สุด
06:48
that the bad guys are using,
173
396841
1808
ที่หัวขโมยใช้กันอยู่
06:50
or that we could find information about
174
398649
2016
หรือที่เราสามารถหามาได้
06:52
in the research literature.
175
400665
1537
จากเอกสารงานวิจัย
06:54
So to give you an idea of how bad guys
176
402202
2758
เพื่อให้คุณทราบว่า พวกคนแย่ๆพวกนั้น
06:56
go about cracking passwords,
177
404960
2170
ทำการเจาะรหัสผ่านได้อย่างไร
06:59
they will steal a password file
178
407130
1951
พวกเขาก็จะขโมยแฟ้มรหัสผ่าน
07:01
that will have all of the passwords
179
409081
2153
ซึ่งจะมีรหัสผ่านทั้งหมดอยู่
07:03
in kind of a scrambled form, called a hash,
180
411234
2889
ในแบบที่คละกันอยู่ เรียกว่า แฮช (hash)
07:06
and so what they'll do is they'll make a guess
181
414123
2562
ดังนั้นสิ่งที่พวกเขาจะทำ ก็คือ จะทำการเดา
07:08
as to what a password is,
182
416685
1712
ดูว่า รหัสผ่านเป็นอะไร
07:10
run it through a hashing function,
183
418397
1897
โดยให้มันวิ่งผ่าน กระบวนการฟังก์ชั่นแฮช
07:12
and see whether it matches
184
420294
1765
และดูว่า มันจับคู่กันได้หรือไม่
07:14
the passwords they have on
their stolen password list.
their stolen password list.
185
422059
3950
กับรหัสผ่าน ที่เขามีอยู่ในรายการที่ขโมยมา
07:18
So a dumb attacker will try every password in order.
186
426009
3105
โจรงี่เง่า ก็จะลองรหัสผ่านทุกตัวตามลำดับ
07:21
They'll start with AAAAA and move on to AAAAB,
187
429114
3568
จะเริ่มจาก AAAAA แล้วต่อไปที่ AAAAB
07:24
and this is going to take a really long time
188
432682
2418
ทำแบบนี้ ก็จะใช้เวลานานมากทีเดียว
07:27
before they get any passwords
189
435100
1526
ก่อนจะได้รหัสผ่าน
07:28
that people are really likely to actually have.
190
436626
2697
ที่ผู้คนน่าจะใช้กันอยู่จริงมาก
07:31
A smart attacker, on the other hand,
191
439323
2183
ในทางกลับกัน โจรฉลาด
07:33
does something much more clever.
192
441506
1386
จะทำบางอย่างที่ฉลาดกว่ามากๆ
07:34
They look at the passwords
193
442892
1826
พวกเขาจะดูรหัสผ่าน
07:36
that are known to be popular
194
444718
1800
ที่รู้กันดีว่า เป็นที่นิยม
07:38
from these stolen password sets,
195
446518
1727
จากชุดรหัสผ่านที่โมยมาพวกนี้
07:40
and they guess those first.
196
448245
1189
และเขาก็จะเดาพวกนั้นก่อน
07:41
So they're going to start by guessing "password,"
197
449434
2134
คือ พวกเขาจะเริ่ม ด้วยการเดา "รหัสผ่าน"
07:43
and then they'll guess "I love you," and "monkey,"
198
451568
2751
แล้วก็เดา "I love you" และ "monkey"
07:46
and "12345678,"
199
454319
2583
และ "12345678"
07:48
because these are the passwords
200
456902
1312
เพราะว่าพวกนี้เป็นรหัสผ่าน
07:50
that are most likely for people to have.
201
458214
1905
ที่คนส่วนใหญ่น่าจะมี
07:52
In fact, some of you probably have these passwords.
202
460119
3261
จริงๆแล้ว บางท่านอาจมีรหัสผ่านพวกนี้ก็ได้
07:57
So what we found
203
465191
1298
ดังนั้นสิ่งที่เราพบ
07:58
by running all of these 5,000 passwords we collected
204
466489
3406
โดยการวิ่งทั้ง 5,000 คำที่รวบรวมได้นี้
08:01
through these tests to see how strong they were,
205
469895
4106
ผ่านการทดสอบ เพื่อดูว่ามันยากในระดับไหน
08:06
we found that the long passwords
206
474001
2752
เราพบว่ารหัสผ่านที่ยาวๆนั้น
08:08
were actually pretty strong,
207
476753
1280
จะค่อนข้างยาก
08:10
and the complex passwords were pretty strong too.
208
478033
3262
และรหัสผ่านที่ซับซ้อน ก็ค่อนข้างยากเช่นกัน
08:13
However, when we looked at the survey data,
209
481295
2442
อย่างไรก็ตาม เมื่อเราดูข้อมูลที่สำรวจมา
08:15
we saw that people were really frustrated
210
483737
3024
เราเห็นว่า ผู้คนจะค่อนข้างอึดอัด
08:18
by the very complex passwords,
211
486761
2339
จากรหัสผ่านที่ซับซ้อนมากๆนั้น
08:21
and the long passwords were a lot more usable,
212
489100
2630
และรหัสผ่านยาวๆนั้น ใช้ได้ดียิ่งกว่ากันมาก
08:23
and in some cases, they were actually
213
491730
1325
และในบางกรณี จริงๆแล้ว
08:25
even stronger than the complex passwords.
214
493055
2908
มันยากยิ่งกว่ารหัสผ่านที่ซับซ้อน
08:27
So this suggests that,
215
495963
1169
ดังนั้น สิ่งนี้จึงชี้แนะว่า
08:29
instead of telling people that they need
216
497132
1703
แทนที่จะบอกผู้คนว่า พวกเขาต้อง
08:30
to put all these symbols and numbers
217
498835
1522
เอาสัญญลักษณ์ และตัวเลขทั้งหมด
08:32
and crazy things into their passwords,
218
500357
2842
และสิ่งบ้าๆบอๆ ใส่เข้าไปในรหัสผ่าน
08:35
we might be better off just telling people
219
503199
2022
อาจจะดีกว่า เราแค่เพียงบอกผู้คน
08:37
to have long passwords.
220
505221
2652
ให้ใช้รหัสผ่านยาวๆ
08:39
Now here's the problem, though:
221
507873
1792
แต่ตรงนี้ ก็ยังมีปัญหาอีก
08:41
Some people had long passwords
222
509665
2255
บางคนมีรหัสผ่านที่ยาว
08:43
that actually weren't very strong.
223
511920
1555
ซึ่งจริงๆแล้ว ไม่แข็งแกร่งมากเลย
08:45
You can make long passwords
224
513475
1997
คุณสามารถทำรหัสผ่านยาวๆ
08:47
that are still the sort of thing
225
515472
1556
ที่ยังคงเป็นประเภท
08:49
that an attacker could easily guess.
226
517028
1742
ที่โจรสามารถเดาได้โดยง่าย
08:50
So we need to do more than
just say long passwords.
just say long passwords.
227
518770
3365
เราจึงต้องทำมากกว่าแค่บอกว่า รหัสผ่านยาวๆ
08:54
There has to be some additional requirements,
228
522135
1936
มันต้องมีข้อบังคับเพิ่มเติม
08:56
and some of our ongoing research is looking at
229
524071
2969
งานวิจัยที่กำลังดำเนินอยู่ กำลังมองหา
08:59
what additional requirements we should add
230
527040
2439
ข้อบังคับเพิ่มเติม ที่ควรจะเพิ่มเข้ามา
09:01
to make for stronger passwords
231
529479
2104
เพื่อทำให้รหัสผ่านแข็งแกร่งขึ้น
09:03
that also are going to be easy for people
232
531583
2312
ที่จะทำให้คนจำได้ง่าย
09:05
to remember and type.
233
533895
2698
และพิมพ์ได้ง่ายอีกด้วย
09:08
Another approach to getting people to have
234
536593
2126
อีกวิธีการหนึ่งที่จะให้คนมีรหัสผ่าน
09:10
stronger passwords is to use a password meter.
235
538719
2257
ที่ยากขึ้น คือใช้ ตัววัดระดับความยาก
09:12
Here are some examples.
236
540976
1385
นี่เป็นบางตัวอย่าง
09:14
You may have seen these on the Internet
237
542361
1401
ซึ่งคุณอาจเคยเห็นมาแล้ว
09:15
when you were creating passwords.
238
543762
3057
ในอินเตอร์เน็ต เมื่อตอนคุณสร้างรหัสผ่าน
09:18
We decided to do a study to find out
239
546819
2248
เราได้ตัดสินใจทำวิจัย เพื่อค้นพบว่า
09:21
whether these password meters actually work.
240
549067
2887
พาสเวอร์ดมีเตอร์นั้น ใช้การได้จริงหรือไม่
09:23
Do they actually help people
241
551954
1421
มันช่วยผู้คนได้จริงไหม
09:25
have stronger passwords,
242
553375
1453
ในการทำให้รหัสผ่านยากขึ้น
09:26
and if so, which ones are better?
243
554828
2086
ถ้าจริง พาสเวอร์ดมีเตอร์ตัวไหนดีกว่ากัน
09:28
So we tested password meters that were
244
556914
2507
เราจึงทดสอบ พาสเวอร์ดมีเตอร์
09:31
different sizes, shapes, colors,
245
559421
2098
ที่มีขนาด รูปร่าง สี ต่างๆกัน
09:33
different words next to them,
246
561519
1416
คำที่ถัดจากมันต่างๆกัน
09:34
and we even tested one that was a dancing bunny.
247
562935
3275
เราทำแม้กระทั่ง ตัวที่เป็นกระต่ายเต้นระบำ
09:38
As you type a better password,
248
566210
1582
เมื่อคุณพิมพ์รหัสผ่านที่ดีกว่า
09:39
the bunny dances faster and faster.
249
567792
2539
เจ้ากระต่ายก็จะเต้นเร็วขึ้นๆ
09:42
So this was pretty fun.
250
570331
2529
มันจึงตลกดี
09:44
What we found
251
572860
1567
สิ่งที่เราพบ
09:46
was that password meters do work.
252
574427
3572
ก็คือ พาสเวอร์ดมีเตอร์ ทำงานได้จริง
09:49
(Laughter)
253
577999
1801
(เสียงหัวเราะ)
09:51
Most of the password meters were actually effective,
254
579800
3333
พาสเวอร์ดมีเตอร์ส่วนใหญ่ มีประสิทธิภาพจริง
09:55
and the dancing bunny was very effective too,
255
583133
2521
และเจ้ากระต่าย ก็มีประสิทธิภาพมากด้วย
09:57
but the password meters that were the most effective
256
585654
2881
แต่พาสเวอร์ดมีเตอร์ ที่มีประสิทธิภาพที่สุด
10:00
were the ones that made you work harder
257
588535
2355
คือ ตัวที่ทำให้คุณต้องคิดหนักมากขึ้น
10:02
before they gave you that thumbs up and said
258
590890
1980
ก่อนที่พวกมันจะชูนิ้วโป้งขึ้น และบอกว่า
10:04
you were doing a good job,
259
592870
1377
รหัสนี้โอเคแล้ว
10:06
and in fact we found that most
260
594247
1512
และจริงๆแล้ว เราพบว่า พาสเวอร์ดมีเตอร์
10:07
of the password meters on the Internet today
261
595759
2281
ส่วนมากที่ใช้กันในอินเตอร์เน็ต ในปัจจุบัน
10:10
are too soft.
262
598040
952
อ่อนเกินไป
10:10
They tell you you're doing a good job too early,
263
598992
2203
มันบอกคุณว่า รหัสนี้ดีแล้ว เร็วเกินไป
10:13
and if they would just wait a little bit
264
601195
1929
และถ้ามันจะแค่รอ ให้นานอีกสักนิด
10:15
before giving you that positive feedback,
265
603124
2049
ก่อนจะบอกคุณกลับไป ว่าดี
10:17
you probably would have better passwords.
266
605173
3160
คุณก็น่าจะได้รหัสผ่านที่ดีกว่านั้น
10:20
Now another approach to better passwords, perhaps,
267
608333
3847
อีกวิธีหนึ่งที่อาจจะให้พาสเวอร์ดที่ดีกว่า
10:24
is to use pass phrases instead of passwords.
268
612180
2890
คือ ใช้รหัสกลุ่มคำ (pass phrase) แทน
10:27
So this was an xkcd cartoon
from a couple of years ago,
from a couple of years ago,
269
615070
3418
นี่เป็นการ์ตูนจากเว็บไซท์ xkcd สองปีก่อน
10:30
and the cartoonist suggests
270
618488
1674
และนักเขียนการ์ตูนแนะนำว่า
10:32
that we should all use pass phrases,
271
620162
2196
เราทุกคนควรใช้รหัสกลุ่มคำ
10:34
and if you look at the second row of this cartoon,
272
622358
3170
และถ้าคุณดูที่แถวที่สองของการ์ตูนนี่
10:37
you can see the cartoonist is suggesting
273
625528
1857
คุณจะเห็นว่า นักเขียนการ์ตูน กำลังแนะว่า
10:39
that the pass phrase "correct horse battery staple"
274
627385
3441
รหัสกลุ่มคำ "correct horse battery staple"
10:42
would be a very strong pass phrase
275
630826
2481
จะเป็นรหัสกลุ่มคำ ที่แข็งแกร่งมาก
10:45
and something really easy to remember.
276
633307
1916
และเป็นสิ่งที่จดจำได้ง่ายจริงๆ
10:47
He says, in fact, you've already remembered it.
277
635223
2797
เขาบอกว่า ที่จริงแล้ว คุณจำมันได้แล้วแหละ
10:50
And so we decided to do a research study
278
638020
2150
เราจึงตกลงใจทำการศึกษาวิจัย
10:52
to find out whether this was true or not.
279
640170
2592
เพื่อค้นว่าพบ มันจริงหรือไม่
10:54
In fact, everybody who I talk to,
280
642762
1775
จริงๆแล้ว ทุกคนที่ดิฉันพูดคุยด้วย
10:56
who I mention I'm doing password research,
281
644537
2042
เมื่อบอกว่า ฉันกำลังทำวิจัยเรื่องรหัสผ่าน
10:58
they point out this cartoon.
282
646579
1400
พวกเขาก็จะชี้ไปที่การ์ตูนนี่
10:59
"Oh, have you seen it? That xkcd.
283
647979
1574
"คุณเคยดูหรือยัง การ์ตูนของ xkcd
11:01
Correct horse battery staple."
284
649553
1602
correct horse battery staple"
11:03
So we did the research study to see
285
651155
1806
เราจึงทำการวิจัย เพื่อดูว่า
11:04
what would actually happen.
286
652961
2359
จริงๆมันจะเกิดอะไรขึ้น
11:07
So in our study, we used Mechanical Turk again,
287
655320
3060
วิจัยของเราจึงใช้ Mechanical Turk สำรวจอีก
11:10
and we had the computer pick the random words
288
658380
4167
เราได้ให้คอมพิวเตอร์สุ่มเลือกคำ
11:14
in the pass phrase.
289
662547
1100
ในรหัสกลุ่มคำ
11:15
Now the reason we did this
290
663647
1153
เหตุผลที่เราทำอย่างนี้
11:16
is that humans are not very good
291
664800
1586
ก็คือ มนุษย์เรานั้น ไม่ถนัด
11:18
at picking random words.
292
666386
1384
ในการสุ่มเลือกคำ
11:19
If we asked a human to do it,
293
667770
1262
ถ้าขอให้มนุษย์เป็นคนเลือก
11:21
they would pick things that were not very random.
294
669032
2998
พวกเขาก็จะเลือก คำที่ไม่ค่อยโดนสุ่ม
11:24
So we tried a few different conditions.
295
672030
2032
เราจึงทดลองเงื่อนไขต่างๆกัน สองสามอย่าง
11:26
In one condition, the computer picked
296
674062
2090
เงื่อนไขหนึ่ง ให้คอมพิวเตอร์หยิบคำ
11:28
from a dictionary of the very common words
297
676152
2216
คำสามัญมากๆ จากพจนานุกรม
11:30
in the English language,
298
678368
1362
ในภาษาอังกฤษ
11:31
and so you'd get pass phrases like
299
679730
1764
คุณก็จะได้รหัสกลุ่มคำ อย่างเช่น
11:33
"try there three come."
300
681494
1924
"try there three come"
11:35
And we looked at that, and we said,
301
683418
1732
เมื่อเราดูแล้ว เราก็พูดว่า
11:37
"Well, that doesn't really seem very memorable."
302
685150
3050
"ก็ จริงๆไม่ได้ดูน่าจะจดจำ ได้ดีนัก"
11:40
So then we tried picking words
303
688200
2240
ดังนั้นเราจึงลองเลือกคำ
11:42
that came from specific parts of speech,
304
690440
2521
ที่มาจากคำชนิดต่างๆเจาะจงลงไป
11:44
so how about noun-verb-adjective-noun.
305
692961
2182
เอาเป็นว่า คำนาม-กริยา-คุณศัพท์-นาม
11:47
That comes up with something
that's sort of sentence-like.
that's sort of sentence-like.
306
695143
2577
ก็จะได้บางอย่าง ที่เหมือนกับประโยค
11:49
So you can get a pass phrase like
307
697720
2070
คุณก็จะได้รหัสกลุ่มคำ อย่างเช่น
11:51
"plan builds sure power"
308
699790
1308
"plan builds sure power"
11:53
or "end determines red drug."
309
701098
2786
หรือ "end determines red drug"
11:55
And these seemed a little bit more memorable,
310
703884
2676
พวกนี้ดูเหมือนจะจำได้ ง่ายขึ้นอีกเล็กน้อย
11:58
and maybe people would like those a little bit better.
311
706560
2822
และบางทีคนจะชอบมัน มากขึ้นอีกหน่อย
12:01
We wanted to compare them with passwords,
312
709382
2572
เราต้องการจะเปรียบเทียบพวกมัน กับรหัสผ่าน
12:03
and so we had the computer
pick random passwords,
pick random passwords,
313
711954
3196
เราจึงให้คอมพิวเตอร์ สุ่มเลือกรหัสผ่านมา
12:07
and these were nice and short, but as you can see,
314
715150
1990
รหัสพวกนี้ดีและสั้น แต่ตามที่คุณเห็น
12:09
they don't really look very memorable.
315
717140
2806
มันไม่น่าจดจำเท่าไหร่
12:11
And then we decided to try something called
316
719946
1396
เราจึงตกลงใจทำสิ่งที่เรียกว่า
12:13
a pronounceable password.
317
721342
1646
รหัสผ่านที่พูดออกเสียงได้
12:14
So here the computer picks random syllables
318
722988
2245
ตรงนี้ คอมพิวเตอร์จึงสุ่มเลือกสระ
12:17
and puts them together
319
725233
1134
และเอามันมาวางรวมกัน
12:18
so you have something sort of pronounceable,
320
726367
2475
คุณจึงมีสิ่งที่ แบบว่า ออกเสียงได้
12:20
like "tufritvi" and "vadasabi."
321
728842
2602
อย่างเช่น "tufrivi" และ "vadasabi"
12:23
That one kind of rolls off your tongue.
322
731444
2147
เป็นแบบหนึ่งของการออกเสียงได้ง่ายๆ
12:25
So these were random passwords that were
323
733591
2216
เหล่านี้จึงเป็นรหัสผ่านแบบสุ่ม
12:27
generated by our computer.
324
735807
2744
ที่สร้างขึ้นมาจากคอมพิวเตอร์
12:30
So what we found in this study was that, surprisingly,
325
738551
2978
น่าประหลาดใจ สิ่งที่เราพบจากการวิจัย ก็คือ
12:33
pass phrases were not actually all that good.
326
741529
3768
รหัสที่เป็นกลุ่มคำ จริงๆแล้วก็ไม่ได้ดีมาก
12:37
People were not really better at remembering
327
745297
2793
คนเราไม่ได้ถนัดการจำเป็นกลุ่มคำ
12:40
the pass phrases than these random passwords,
328
748090
2953
แต่จำรหัสที่สุ่ม ได้ดีกว่า
12:43
and because the pass phrases are longer,
329
751043
2754
และเพราะว่ารหัสกลุ่มคำนั้น ยาวกว่า
12:45
they took longer to type
330
753797
1226
เขาจึงใช้เวลาพิมพ์นานกว่า
12:47
and people made more errors while typing them in.
331
755023
3010
และพวกเขาจะพิมพ์ผิดมากกว่า
12:50
So it's not really a clear win for pass phrases.
332
758033
3227
ดังนั้น รหัสกลุ่มคำ จึงไม่ได้ดีเท่าที่ควร
12:53
Sorry, all of you xkcd fans.
333
761260
3345
ต้องขอโทษด้วยค่ะ สำหรับแฟนๆของ xkcd
12:56
On the other hand, we did find
334
764605
1892
ในทางกลับกัน เราได้พบว่า
12:58
that pronounceable passwords
335
766497
1804
รหัสคำที่ออกเสียงได้นั้น
13:00
worked surprisingly well,
336
768301
1471
ใช้ได้ดีอย่างน่าประหลาดใจ
13:01
and so we actually are doing some more research
337
769772
2418
เราจึงกำลังทำวิจัยเพิ่มเติม เพื่อดูว่า
13:04
to see if we can make that
approach work even better.
approach work even better.
338
772190
3195
เราจะทำให้วิธีนี้ ใช้ได้ดีขึ้นอีกได้หรือไม่
13:07
So one of the problems
339
775385
1812
ดังนั้น ปัญหาหนึ่ง
13:09
with some of the studies that we've done
340
777197
1623
ที่เกิดขึ้นระหว่างการวิจัย
13:10
is that because they're all done
341
778820
1683
ก็คือ การวิจัยเหล่านั้นทั้งหมด
13:12
using Mechanical Turk,
342
780503
1590
ได้ใช้Mechanical Turk เป็นเครื่องมือ
13:14
these are not people's real passwords.
343
782093
1812
ซึ่งไม่ใช่รหัสผ่านที่พวกเขาใช้จริง
13:15
They're the passwords that they created
344
783905
2105
มันเป็นรหัสผ่านที่พวกเขาสร้างขึ้นมา หรือ
13:18
or the computer created for them for our study.
345
786010
2495
สร้างโดยคอมเพื่อเป็นงานวิจัยของเรา
13:20
And we wanted to know whether people
346
788505
1568
และเราต้องการรู้ว่าพวกเขา
13:22
would actually behave the same way
347
790073
2312
จะเอาไปใช้สร้าง
13:24
with their real passwords.
348
792385
2227
รหัสผ่านจริงๆของพวกเขา หรือเปล่า
13:26
So we talked to the information
security office at Carnegie Mellon
security office at Carnegie Mellon
349
794612
3681
เราจึงไปสำนักความปลอดภัยข้อมูลที่ CMU
13:30
and asked them if we could
have everybody's real passwords.
have everybody's real passwords.
350
798293
3803
และถามว่า ขอรหัสผ่านจริง ของทุกคนได้ไหม
13:34
Not surprisingly, they were a little bit reluctant
351
802096
1754
ไม่ประหลาดใจ พวกเขาไม่เต็มใจอยู่บ้าง
13:35
to share them with us,
352
803850
1550
ที่จะแบ่งปันรหัสเหล่านั้นกับเรา
13:37
but we were actually able to work out
353
805400
1810
แต่จริงๆ เราก็สามารถคิดระบบหนึ่ง
13:39
a system with them
354
807210
1040
มาใช้กับพวกเขาได้
13:40
where they put all of the real passwords
355
808250
2109
โดยเราเอารหัสผ่านจริงทั้งหมด
13:42
for 25,000 CMU students, faculty and staff,
356
810359
3091
ของนักศึกษา อาจารย์ และพนักงาน 25,000 คน
13:45
into a locked computer in a locked room,
357
813450
2448
ไว้ในคอมพ์ที่ถูกล๊อกไว้ ในห้องใส่กุญแจ
13:47
not connected to the Internet,
358
815898
1394
และไม่เชื่อมกับอินเตอร์เน็ต
13:49
and they ran code on it that we wrote
359
817292
1848
และเขาก็ส่งรหัส (code) เข้ามา ให้เราจด
13:51
to analyze these passwords.
360
819140
2152
เพื่อวิเคราะห์รหัสผ่านเหล่านั้น
13:53
They audited our code.
361
821292
1326
เขาตรวจสอบบันทึกรหัสของเรา
13:54
They ran the code.
362
822618
1312
พวกเขาก็ส่งรหัสนั้นมา
13:55
And so we never actually saw
363
823930
1738
ดังนั้นเราจึงไม่เคยเห็น
13:57
anybody's password.
364
825668
2817
รหัสผ่านของใครเลย
14:00
We got some interesting results,
365
828485
1515
เราก็ได้ผลลัพท์ที่น่าสนใจออกมา
14:02
and those of you Tepper students in the back
366
830000
1696
นักศึกษาคณะธุรกิจเท็พเพอร์ ที่นั่งข้างหลัง
14:03
will be very interested in this.
367
831696
2875
จะสนใจอย่างมากในเรื่องนี้
14:06
So we found that the passwords created
368
834571
3731
เราได้พบว่า รหัสผ่านที่ถูกสร้างขึ้น
14:10
by people affiliated with the
school of computer science
school of computer science
369
838302
2158
โดยคนที่อยู่ในภาควิชาวิทยาการคอมพิวเตอร์
14:12
were actually 1.8 times stronger
370
840460
2324
จริงๆแล้ว ยากกว่า
14:14
than those affiliated with the business school.
371
842784
3738
รหัสผ่านของผู้ที่ในภาควิชาธุรกิจ 1.8 เท่า
14:18
We have lots of other really interesting
372
846522
2040
เรามีเรื่องอื่นๆ ที่น่าสนใจจริงๆอีกมาก
14:20
demographic information as well.
373
848562
2238
รวมทั้งข้อมูลเกี่ยวกับสถิติจำนวนประชากร
14:22
The other interesting thing that we found
374
850800
1846
สิ่งน่าสนใจอื่นๆที่เราได้พบ
14:24
is that when we compared
the Carnegie Mellon passwords
the Carnegie Mellon passwords
375
852646
2440
คือ เมื่อเปรียบเทียบรหัสผ่านของ CMU
14:27
to the Mechanical Turk-generated passwords,
376
855086
2283
กับรหัสผ่านที่สร้างจาก Mechanical Turk
14:29
there was actually a lot of similarities,
377
857369
2619
จริงๆก็มีสิ่งที่เหมือนกันอยู่มาก
14:31
and so this helped validate our research method
378
859988
1948
จึงช่วยพิสูจน์ได้ว่าวิธีวิจัยของเราใช้ได้
14:33
and show that actually, collecting passwords
379
861936
2510
และแสดงได้ว่า จริงๆแล้ว การรวบรวมรหัสผ่าน
14:36
using these Mechanical Turk studies
380
864446
1808
โดยใช้ Mechanical Turk วิจัยนั้น
14:38
is actually a valid way to study passwords.
381
866254
2788
จริงๆ เป็นวิธีการศึกษารหัสผ่าน ที่ใช้ได้
14:41
So that was good news.
382
869042
2285
นั่นจึงเป็นข่าวดี
14:43
Okay, I want to close by talking about
383
871327
2414
ค่ะ ดิฉันอยากจะจบ ด้วยการพูดถึงเรื่อง
14:45
some insights I gained while on sabbatical
384
873741
2068
การได้รับความเข้าใจอย่างลึกซึ้ง
14:47
last year in the Carnegie Mellon art school.
385
875809
3201
ในช่วงวันหยุดปีที่แล้ว ที่คณะศิลปศาสตร์ CMU
14:51
One of the things that I did
386
879010
1281
สิ่งหนึ่งที่ดิฉันทำ
14:52
is I made a number of quilts,
387
880291
1524
ก็คือ ดิฉันได้ทำผ้านวมใว้หลายผืน
14:53
and I made this quilt here.
388
881815
1548
และดิฉันได้ทำผ้านวมผืนนี้
14:55
It's called "Security Blanket."
389
883363
1899
เรียกมันว่า "ผ้าห่มแห่งความปลอดภัย"
14:57
(Laughter)
390
885262
2431
(เสียงหัวเราะ)
14:59
And this quilt has the 1,000
391
887693
3095
ผ้านวมนี้มีรหัสผ่าน ที่ใช้กันมากที่สุด
15:02
most frequent passwords stolen
392
890788
2328
1,000 รหัส ที่ถูกขโมยไป
15:05
from the RockYou website.
393
893116
2571
จากเว็บไซท์ RockYou
15:07
And the size of the passwords is proportional
394
895687
2061
และขนาดของรหัสผ่านพวกนั้น เป็นสัดส่วน
15:09
to how frequently they appeared
395
897748
1901
กับการที่พวกมันปรากฎ บ่อยมากแค่ไหน
15:11
in the stolen dataset.
396
899649
2248
ในข้อมูลชุดที่ถูกขโมยนั้น
15:13
And what I did is I created this word cloud,
397
901897
2632
ฉันได้สร้างกลุ่มคำ (word cloud) นี้ขึ้น
15:16
and I went through all 1,000 words,
398
904529
2132
และได้ตรวจดูทั้ง 1,000 คำนั้น
15:18
and I categorized them into
399
906661
1795
ได้จัดกลุ่มมันออกเป็น
15:20
loose thematic categories.
400
908456
2380
หมวดหมู่อย่างหลวมๆ ตามเนื้อความ
15:22
And it was, in some cases,
401
910836
1903
และในบางกรณี
15:24
it was kind of difficult to figure out
402
912739
2038
มันเหมือนกับว่า ยากที่จะคิดออกว่า
15:26
what category they should be in,
403
914777
1755
พวกมันควรอยู่ในหมวดหมู่ใด
15:28
and then I color-coded them.
404
916532
1899
แล้วดิฉันก็ใส่รหัสสีให้มัน
15:30
So here are some examples of the difficulty.
405
918431
2619
นี่เป็นบางตัวอย่าง เกี่ยวกับความยากนั้น
15:33
So "justin."
406
921050
1181
ค่ะ คำว่า "justin"
15:34
Is that the name of the user,
407
922231
1829
ใช่เป็นชื่อของผู้ใช้ หรือเพื่อนชาย
15:36
their boyfriend, their son?
408
924060
1322
หรือลูกชายของพวกเขา หรือไม่
15:37
Maybe they're a Justin Bieber fan.
409
925382
2888
อาจเป็นแฟนเพลง จัสติน บีเบอร์
15:40
Or "princess."
410
928270
2225
หรือคำว่า "princess"
15:42
Is that a nickname?
411
930495
1635
ใช่ชื่อเล่นไหม?
15:44
Are they Disney princess fans?
412
932130
1595
เป็นแฟนหนังการ์ตูนดิสนีย์รึเปล่า?
15:45
Or maybe that's the name of their cat.
413
933725
3694
หรืออาจจะเป็นชื่อแมวของพวกเขาก็ได้
15:49
"Iloveyou" appears many times
414
937419
1655
"Iloveyou" ปรากฎขึ้นหลายครั้ง
15:51
in many different languages.
415
939074
1545
ในภาษาต่างๆมากมาย
15:52
There's a lot of love in these passwords.
416
940619
3735
มีความรักอยู่มากมาย ในรหัสผ่านเหล่านี้
15:56
If you look carefully, you'll see there's also
417
944354
1680
ถ้าคุณดูให้ดี คุณก็จะเห็นอีกด้วยว่า
15:58
some profanity,
418
946034
2267
มีสิ่งหยาบคายอยู่บ้างเหมือนกัน
16:00
but it was really interesting to me to see
419
948301
1950
มันน่าทึ่งมาก ที่เห็นว่า
16:02
that there's a lot more love than hate
420
950251
2307
ความรัก มีมากกว่าความเกลียดชัง
16:04
in these passwords.
421
952558
2292
ในรหัสผ่านเหล่านี้
16:06
And there are animals,
422
954850
1490
และก็มีพวกสัตว์
16:08
a lot of animals,
423
956340
1360
สัตว์มากมาย
16:09
and "monkey" is the most common animal
424
957700
2304
และ "monkey" เป็นสัตว์สามัญที่สุด
16:12
and the 14th most popular password overall.
425
960004
3675
รวมๆแล้ว เป็นรหัสที่นิยมที่สุดลำดับที่ 14
16:15
And this was really curious to me,
426
963679
2231
และเรื่องนี้ ดิฉันอยากรู้จริงๆ
16:17
and I wondered, "Why are monkeys so popular?"
427
965910
2523
และสงสัยว่า "ทำไมลิงจึงเป็นที่นิยมมากนัก?"
16:20
And so in our last password study,
428
968433
3352
ดังนั้นในการวิจัยรหัสผ่านสุดท้ายของเรา
16:23
any time we detected somebody
429
971785
1686
ครั้งใดที่เราตรวจจับได้ว่า คนบางคน
16:25
creating a password with the word "monkey" in it,
430
973471
2649
กำลังสร้างรหัสผ่านมีคำ "monkey" ในนั้น
16:28
we asked them why they had
a monkey in their password.
a monkey in their password.
431
976120
3030
เราก็ถามเขาว่า ทำไมจึงมี monkey ในรหัสผ่าน
16:31
And what we found out --
432
979150
1910
และสิ่งที่เราค้นพบ
16:33
we found 17 people so far, I think,
433
981060
2103
คิดว่าน่าจะประมาณ 17 คน
16:35
who have the word "monkey" --
434
983163
1283
ที่มีคำว่า "monkey"
16:36
We found out about a third of them said
435
984446
1812
เราพบว่า หนึ่งในสามของพวกเขา บอกว่า
16:38
they have a pet named "monkey"
436
986258
1740
พวกเขามีสัตว์เลี้ยงชื่อ "monkey"
16:39
or a friend whose nickname is "monkey,"
437
987998
2291
หรือมีเพื่อนชื่อเล่นว่า "monkey"
16:42
and about a third of them said
438
990289
1660
และราวหนึ่งในสามของพวกเขา บอกว่า
16:43
that they just like monkeys
439
991949
1533
พวกเขาแค่ชอบลิง
16:45
and monkeys are really cute.
440
993482
1638
และลิงนั้นก็แสนจะน่ารัก
16:47
And that guy is really cute.
441
995120
3639
และเจ้าหนุ่มนั่นก็น่ารักจริงๆด้วย
16:50
So it seems that at the end of the day,
442
998759
3408
จึงดูเหมือนกับว่า ในตอนใกล้จะสิ้นสุดของวัน
16:54
when we make passwords,
443
1002167
1783
เมื่อเราสร้างรหัสผ่านนั้น
16:55
we either make something that's really easy
444
1003950
1974
เราจะสร้างรหัสที่ง่ายต่อการพิมพ์
16:57
to type, a common pattern,
445
1005924
3009
ที่มีรูปแบบที่ธรรมดาๆ
17:00
or things that remind us of the word password
446
1008933
2486
หรือสิ่งที่ทำให้เราจำรหัสนั้นได้
17:03
or the account that we've created the password for,
447
1011419
3312
หรือบัญชีเข้าใช้ ที่เราได้สร้างรหัสไว้
17:06
or whatever.
448
1014731
2617
หรือคำว่า "whatever"
17:09
Or we think about things that make us happy,
449
1017348
2642
หรือเราคิดถึง สิ่งที่ทำให้เรามีความสุข
17:11
and we create our password
450
1019990
1304
แล้วเราก็สร้างรหัสผ่านขึ้น
17:13
based on things that make us happy.
451
1021294
2238
โดยส่วนใหญ่เป็นสิ่งที่ทำให้เรามีความสุข
17:15
And while this makes typing
452
1023532
2863
และขณะที่กำลังสนุกกับการพิมพ์
17:18
and remembering your password more fun,
453
1026395
2870
และการจดจำรหัสผ่านของคุณ
17:21
it also makes it a lot easier
454
1029265
1807
คุณอาจจะทำให้มันง่ายขึ้นอีกมาก
17:23
to guess your password.
455
1031072
1506
ที่จะเดารหัสผ่านของคุณ
17:24
So I know a lot of these TED Talks
456
1032578
1748
ค่ะ ฉันรู้ว่า TED Talks จำนวนมากนั้น
17:26
are inspirational
457
1034326
1634
เป็นแรงบันดาลใจ
17:27
and they make you think about nice, happy things,
458
1035960
2461
ทำให้คิดถึง สิ่งดีๆ มีความสุข
17:30
but when you're creating your password,
459
1038421
1897
แต่ขณะที่คุณกำลังสร้างรหัสผ่าน
17:32
try to think about something else.
460
1040318
1991
พยายามคิดถึงอย่างอื่นบ้างนะคะ
17:34
Thank you.
461
1042309
1107
ขอบคุณค่ะ
17:35
(Applause)
462
1043416
553
(เสียงปรบมือ)
ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcherAt Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.
Why you should listen
Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.
Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.
Lorrie Faith Cranor | Speaker | TED.com