TED日本語 - ローリー・フェイス・クレイナー: あなたのpa$$w0rdのどこがいけないの?

TED日本語

TED Talks(英語 日本語字幕付き動画)

TED日本語 - ローリー・フェイス・クレイナー: あなたのpa$$w0rdのどこがいけないの?

TED Talks

あなたのpa$$w0rdのどこがいけないの?
What's wrong with your pa$$w0rd?
ローリー・フェイス・クレイナー
Lorrie Faith Cranor

内容

ローリー・フェイス・クレイナーは、ユーザー(そしてセキュリティーで保護されたウェブサイト)がよく犯してしまう、セキュリティを低下させる意外な誤ちを解明するため、数千もの実際のパスワードを調査しました。彼女はどのようにして実ユーザーのセキュリティを危険にさらすことなく、実際のパスワードを調査することができたのでしょうか?それ自体面白い話です。もしあなたのパスワードが123456であるなら、これは特に知る価値のある秘密の情報でしょう・・・。

Script

I am a computer science and engineering professor here at Carnegie Mellon, and my research focuses on usable privacy and security, and so my friends like to give me examples of their frustrations with computing systems, especially frustrations related to unusable privacy and security.

So passwords are something that I hear a lot about. A lot of people are frustrated with passwords, and it's bad enough when you have to have one really good password that you can remember but nobody else is going to be able to guess. But what do you do when you have accounts on a hundred different systems and you're supposed to have a unique password for each of these systems? It's tough.

At Carnegie Mellon, they used to make it actually pretty easy for us to remember our passwords. The password requirement up through 2009 was just that you had to have a password with at least one character. Pretty easy. But then they changed things, and at the end of 2009, they announced that we were going to have a new policy, and this new policy required passwords that were at least eight characters long, with an uppercase letter, lowercase letter, a digit, a symbol, you couldn't use the same character more than three times, and it wasn't allowed to be in a dictionary.

Now, when they implemented this new policy, a lot of people, my colleagues and friends, came up to me and they said, "Wow, now that's really unusable. Why are they doing this to us, and why didn't you stop them?"

And I said, "Well, you know what? They didn't ask me."

But I got curious, and I decided to go talk to the people in charge of our computer systems and find out what led them to introduce this new policy, and they said that the university had joined a consortium of universities, and one of the requirements of membership was that we had to have stronger passwords that complied with some new requirements, and these requirements were that our passwords had to have a lot of entropy. Now entropy is a complicated term, but basically it measures the strength of passwords. But the thing is, there isn't actually a standard measure of entropy. Now, the National Institute of Standards and Technology has a set of guidelines which have some rules of thumb for measuring entropy, but they don't have anything too specific, and the reason they only have rules of thumb is it turns out they don't actually have any good data on passwords. In fact, their report states, "Unfortunately, we do not have much data on the passwords users choose under particular rules. NIST would like to obtain more data on the passwords users actually choose, but system administrators are understandably reluctant to reveal password data to others."

So this is a problem, but our research group looked at it as an opportunity. We said, "Well, there's a need for good password data. Maybe we can collect some good password data and actually advance the state of the art here.

So the first thing we did is, we got a bag of candy bars and we walked around campus and talked to students, faculty and staff, and asked them for information about their passwords. Now we didn't say, "Give us your password." No, we just asked them about their password. How long is it? Does it have a digit? Does it have a symbol? And were you annoyed at having to create a new one last week? So we got results from 470 students, faculty and staff, and indeed we confirmed that the new policy was very annoying, but we also found that people said they felt more secure with these new passwords. We found that most people knew they were not supposed to write their password down, and only 13 percent of them did, but disturbingly,80 percent of people said they were reusing their password. Now, this is actually more dangerous than writing your password down, because it makes you much more susceptible to attackers. So if you have to, write your passwords down, but don't reuse them. We also found some interesting things about the symbols people use in passwords. So CMU allows 32 possible symbols, but as you can see, there's only a small number that most people are using, so we're not actually getting very much strength from the symbols in our passwords.

So this was a really interesting study, and now we had data from 470 people, but in the scheme of things, that's really not very much password data, and so we looked around to see where could we find additional password data? So it turns out there are a lot of people going around stealing passwords, and they often go and post these passwords on the Internet. So we were able to get access to some of these stolen password sets. This is still not really ideal for research, though, because it's not entirely clear where all of these passwords came from, or exactly what policies were in effect when people created these passwords. So we wanted to find some better source of data. So we decided that one thing we could do is we could do a study and have people actually create passwords for our study. So we used a service called Amazon Mechanical Turk, and this is a service where you can post a small job online that takes a minute, a few minutes, an hour, and pay people, a penny,ten cents, a few dollars, to do a task for you, and then you pay them through Amazon.com. So we paid people about 50 cents to create a password following our rules and answering a survey, and then we paid them again to come back two days later and log in using their password and answering another survey. So we did this, and we collected 5,000 passwords, and we gave people a bunch of different policies to create passwords with. So some people had a pretty easy policy, we call it Basic8, and here the only rule was that your password had to have at least eight characters. Then some people had a much harder policy, and this was very similar to the CMU policy, that it had to have eight characters including uppercase, lowercase, digit, symbol, and pass a dictionary check. And one of the other policies we tried, and there were a whole bunch more, but one of the ones we tried was called Basic16, and the only requirement here was that your password had to have at least 16 characters.

All right, so now we had 5,000 passwords, and so we had much more detailed information. Again we see that there's only a small number of symbols that people are actually using in their passwords. We also wanted to get an idea of how strong the passwords were that people were creating, but as you may recall, there isn't a good measure of password strength. So what we decided to do was to see how long it would take to crack these passwords using the best cracking tools that the bad guys are using, or that we could find information about in the research literature.

So to give you an idea of how bad guys go about cracking passwords, they will steal a password file that will have all of the passwords in kind of a scrambled form, called a hash, and so what they'll do is they'll make a guess as to what a password is, run it through a hashing function, and see whether it matches the passwords they have on their stolen password list. So a dumb attacker will try every password in order. They'll start with AAAAA and move on to AAAAB, and this is going to take a really long time before they get any passwords that people are really likely to actually have. A smart attacker, on the other hand, does something much more clever. They look at the passwords that are known to be popular from these stolen password sets, and they guess those first. So they're going to start by guessing "password," and then they'll guess "I love you," and "monkey," and "12345678," because these are the passwords that are most likely for people to have. In fact, some of you probably have these passwords. So what we found by running all of these 5,000 passwords we collected through these tests to see how strong they were, we found that the long passwords were actually pretty strong, and the complex passwords were pretty strong too. However, when we looked at the survey data, we saw that people were really frustrated by the very complex passwords, and the long passwords were a lot more usable, and in some cases, they were actually even stronger than the complex passwords. So this suggests that, instead of telling people that they need to put all these symbols and numbers and crazy things into their passwords, we might be better off just telling people to have long passwords. Now here's the problem, though: Some people had long passwords that actually weren't very strong. You can make long passwords that are still the sort of thing that an attacker could easily guess. So we need to do more than just say long passwords. There has to be some additional requirements, and some of our ongoing research is looking at what additional requirements we should add to make for stronger passwords that also are going to be easy for people to remember and type.

Another approach to getting people to have stronger passwords is to use a password meter. Here are some examples. You may have seen these on the Internet when you were creating passwords. We decided to do a study to find out whether these password meters actually work. Do they actually help people have stronger passwords, and if so, which ones are better? So we tested password meters that were different sizes, shapes, colors, different words next to them, and we even tested one that was a dancing bunny. As you type a better password, the bunny dances faster and faster. So this was pretty fun.

What we found was that password meters do work. (Laughter) Most of the password meters were actually effective, and the dancing bunny was very effective too, but the password meters that were the most effective were the ones that made you work harder before they gave you that thumbs up and said you were doing a good job, and in fact we found that most of the password meters on the Internet today are too soft. They tell you you're doing a good job too early, and if they would just wait a little bit before giving you that positive feedback, you probably would have better passwords.

Now another approach to better passwords, perhaps, is to use pass phrases instead of passwords. So this was an xkcd cartoon from a couple of years ago, and the cartoonist suggests that we should all use pass phrases, and if you look at the second row of this cartoon, you can see the cartoonist is suggesting that the pass phrase "correct horse battery staple" would be a very strong pass phrase and something really easy to remember. He says, in fact, you've already remembered it. And so we decided to do a research study to find out whether this was true or not. In fact, everybody who I talk to, who I mention I'm doing password research, they point out this cartoon. "Oh, have you seen it? That xkcd. Correct horse battery staple." So we did the research study to see what would actually happen.

So in our study, we used Mechanical Turk again, and we had the computer pick the random words in the pass phrase. Now the reason we did this is that humans are not very good at picking random words. If we asked a human to do it, they would pick things that were not very random. So we tried a few different conditions. In one condition, the computer picked from a dictionary of the very common words in the English language, and so you'd get pass phrases like "try there three come." And we looked at that, and we said, "Well, that doesn't really seem very memorable." So then we tried picking words that came from specific parts of speech, so how about noun-verb-adjective-noun. That comes up with something that's sort of sentence-like. So you can get a pass phrase like "plan builds sure power" or "end determines red drug." And these seemed a little bit more memorable, and maybe people would like those a little bit better. We wanted to compare them with passwords, and so we had the computer pick random passwords, and these were nice and short, but as you can see, they don't really look very memorable. And then we decided to try something called a pronounceable password. So here the computer picks random syllables and puts them together so you have something sort of pronounceable, like "tufritvi" and "vadasabi." That one kind of rolls off your tongue. So these were random passwords that were generated by our computer.

So what we found in this study was that, surprisingly, pass phrases were not actually all that good. People were not really better at remembering the pass phrases than these random passwords, and because the pass phrases are longer, they took longer to type and people made more errors while typing them in. So it's not really a clear win for pass phrases. Sorry, all of you xkcd fans. On the other hand, we did find that pronounceable passwords worked surprisingly well, and so we actually are doing some more research to see if we can make that approach work even better. So one of the problems with some of the studies that we've done is that because they're all done using Mechanical Turk, these are not people's real passwords. They're the passwords that they created or the computer created for them for our study. And we wanted to know whether people would actually behave the same way with their real passwords.

So we talked to the information security office at Carnegie Mellon and asked them if we could have everybody's real passwords. Not surprisingly, they were a little bit reluctant to share them with us, but we were actually able to work out a system with them where they put all of the real passwords for 25,000 CMU students, faculty and staff, into a locked computer in a locked room, not connected to the Internet, and they ran code on it that we wrote to analyze these passwords. They audited our code. They ran the code. And so we never actually saw anybody's password.

We got some interesting results, and those of you Tepper students in the back will be very interested in this. So we found that the passwords created by people affiliated with the school of computer science were actually 1.8 times stronger than those affiliated with the business school. We have lots of other really interesting demographic information as well. The other interesting thing that we found is that when we compared the Carnegie Mellon passwords to the Mechanical Turk-generated passwords, there was actually a lot of similarities, and so this helped validate our research method and show that actually, collecting passwords using these Mechanical Turk studies is actually a valid way to study passwords. So that was good news.

Okay, I want to close by talking about some insights I gained while on sabbatical last year in the Carnegie Mellon art school. One of the things that I did is I made a number of quilts, and I made this quilt here. It's called "Security Blanket." (Laughter) And this quilt has the 1,000 most frequent passwords stolen from the RockYou website. And the size of the passwords is proportional to how frequently they appeared in the stolen dataset. And what I did is I created this word cloud, and I went through all 1,000 words, and I categorized them into loose thematic categories. And it was, in some cases, it was kind of difficult to figure out what category they should be in, and then I color-coded them.

So here are some examples of the difficulty. So "justin." Is that the name of the user, their boyfriend, their son? Maybe they're a Justin Bieber fan. Or "princess." Is that a nickname? Are they Disney princess fans? Or maybe that's the name of their cat. "Iloveyou" appears many times in many different languages. There's a lot of love in these passwords. If you look carefully, you'll see there's also some profanity, but it was really interesting to me to see that there's a lot more love than hate in these passwords. And there are animals, a lot of animals, and "monkey" is the most common animal and the 14th most popular password overall. And this was really curious to me, and I wondered, "Why are monkeys so popular?" And so in our last password study, any time we detected somebody creating a password with the word "monkey" in it, we asked them why they had a monkey in their password. And what we found out -- we found 17 people so far, I think, who have the word "monkey" -- We found out about a third of them said they have a pet named "monkey" or a friend whose nickname is "monkey," and about a third of them said that they just like monkeys and monkeys are really cute. And that guy is really cute.

So it seems that at the end of the day, when we make passwords, we either make something that's really easy to type, a common pattern, or things that remind us of the word password or the account that we've created the password for, or whatever. Or we think about things that make us happy, and we create our password based on things that make us happy. And while this makes typing and remembering your password more fun, it also makes it a lot easier to guess your password. So I know a lot of these TED Talks are inspirational and they make you think about nice, happy things, but when you're creating your password, try to think about something else.

Thank you.

(Applause)

私は カーネギーメロン大学の コンピュータ科学と工学の教授です ユーザビリティの高いプライバシー保護とセキュリティの研究をしています ですので 私の友人は コンピュータシステムでの フラストレーションの例を教えてくれます 特に うまく機能していない プライバシーとセキュリティーに関してです

パスワードの話題を良く耳にします 多くの人がパスワードの事にもどかしさを感じています 自分が覚えることの出来る それでいて 誰も思いつかない とても良いパスワードを ひとつ考えるだけでも十分大変なのに 百の異なるシステムのアカウントを持ち 各システムごとに 異なるパスワードを 持たなければならないと どうでしょう? 大変ですよね

カーネギーメロン大学では かつて簡単に パスワードを覚えれるようになっていました 2009年までの パスワードに必要な条件は 最低1文字を使った パスワードを持つことでした 簡単でしょ   でも大学はこれを変更し 2009年の終わりに 新しいポリシーになることを発表しました 新しいポリシーの条件は パスワードが最低8文字であること 大文字 小文字 を含むこと 数字 記号を含むこと 同じ文字を3回以上使用しないこと そして 辞書にある単語ではないことでした

さて この新しいポリシーが実施された時 私の同僚や友人 大勢の人々が 私の所にやってきて こう言いました 「これこそ本当に使えない 何故こんなことをするんだ 止められなかったのかい?」

そして 私は こう言いました 「あのね 尋ねてくれなかったの」

ただ 私は興味を持ったので コンピュータシステムの担当の方に なぜ この新しいポリシーを 導入することになったのか 聞きに行くことにしました そして 彼らは 大学がコンソーシアムに入り 加盟条件のひとつが 新しい条件を満たす パスワードの強化 だったと教えてくれました パスワードが大きなエントロピーを 有するという条件です さて エントロピーとは 分かりにくい単語ですね 基本的に パスワードのセキュリティーの 強さを測る単語です ですが 問題は エントロピーを測る 標準規格が無いことです 米国標準技術局 (NIST) には エントロピーを測定するための 経験則を使った 一連のガイドラインがあります ですが それらは 具体的ではありません ガイドラインが 経験側だけである理由は 彼らが パスワードの 十分な データを持っていないからです 実際 レポートには こう記されています 「残念ながら 特定の規則の下で選択された パスワードのデータを多く持っておりません NISTは ユーザーが実際選択した パスワードのデータをより多く取得したいのですが システム管理者は 当然の事ながら 他者にパスワードデータを公表するのに消極的です」

これが問題なのですが私たち研究グループは それを良い機会と捉えました 「なるほど 質の良いパスワード データが 必要とされている おそらく 私達でデータを集めて この分野の水準を高めることが出来るだろう」 と

そこで 私達が最初にしたことは チョコレート バーを買ってきて キャンパスを歩き回り 学生や教員たちと話をしたことでした そして 彼らのパスワードに関する 情報を尋ねました もちろん 「パスワードを教えて下さい」 とは言いません ただ パスワードについて質問したのです どの位の長さか?数字を含むか? 記号を含むか? 先週 新しいパスワードを 作らないといけないのを めんどくさいと思ったか? こうして 学生 教員 職員 470人から 結果を得ることができ 新しいポリシーは 実際うっとうしく 思われていること事を確認しました しかし同時に 新しいパスワード規定を より安全と感じたと 言った人もいることが分かりました 多くの人が パスワードを 書き残すべきではないと理解していて 調査対象の13%の人だけが そうしていていました しかしながら 不安なことに 80%の人が パスワードを使い回していると答えたのです 実は こちらの方が パスワードを 書き残すより 危険なのです なぜなら ハッカーの攻撃を受けやすく するからです ですので もし どうしても 必要なのであれば 書き残してください 使い回さないでください 私達は また面白い事を発見しました それは パスワードで使われる記号についてです CMUでは 32種類の記号が使用可能ですが ご覧の通り ほとんどの人が ごく限られた記号を使用しています ですので 実際は シンボルを使用することでの パスワードの強化は あまり得られません

これは本当に興味深い調査でした 私達は 470人のデータを得たわけですが 世の中全体から見ると そんなに多くのデータではありません ですので どこで追加の パスワードデータを見つける事が出来るか 探し始めました そして 世の中には パスワードを盗む人達が大勢いて 彼らは 盗んだパスワードをよくインターネット上に 公開している事が分かりました そこから 私たちは 盗まれたパスワードにアクセスすることが出来ました ただ これらは研究には 理想的ではありません なぜなら これらのパスワードが どこから来たのか また どの様なポリシーの下に 作られたのか 分からないからです ですので 私達はもっと出所のはっきりした データが欲しかったのです そこで 私達が出来るのは 研究用に 人々にパスワードを作ってもらうことでした そこで アマゾン メカニカル タークという サービスを使いました これは 一分から数分 一時間 単位で 出来る小さな仕事を投稿し 1¢10¢ 数$ を支払い タスクを実行してもらう サービスです 報酬は アマゾンを経由して支払います 私達は ルールに従ったパスワードを作って 調査に答えてもらうのに 50¢ほど支払いました そして またお金を払って2日後戻ってきてもらい 作ったパスワードでログインし 他の調査に答えてもらいました これで 5千個のパスワードを集めました また いくつかの異なるポリシーの下で パスワードを作って貰いました 人によっては ベーシック8 と呼ばれる とてもやさしいポリシーで 最低8文字のパスワードを作ることが ルールというものでした ある人は とても難解なポリシーを与えられました これは CMUのポリシーととても似ていて 最低8文字でなければならず 大文字 小文字 数字 そして記号を含み 辞書の検査に 通らなければなりません 非常に多くの調査の中 試みたポリシーを一つ上げると ベーシック16と呼ばれるもので 満たさなければならない条件は 最低16文字であるというだけです

こうして 5千のパスワードを獲得し はるかに詳細な情報を得ることができました 再び 私達は パスワードに ほんの少しの種類の記号しか 使われていない事を知りました また 私達は 作られたパスワードの セキュリティーの高さを 知りたかったのですが ご存知の通り パスワードの性能を測る 良い基準がありません ですので ハッカーが使うクラッキングツールを使い 又は 研究資料から得られる情報 を使い どの程度の時間で パスワードを解読できるかを 測定の基準にすることにしました

さて ハッカーがどのようにパスワードを解読するか 少しお教えしましょう 彼らは 全てのパスワードが暗号化された ハッシュと呼ばれる パスワードファイルを盗み パスワードを推測し それに対して ハッシュ関数を実行し その結果が 彼らが盗んだ パスワード リストのハッシュと 一致するか調べるのです 馬鹿なハッカーは 全てのパスワードを 順番に試していきます AAAAA から始まり AAAABを次に試すように この作業は 実際誰かが使っていそうな パスワードに辿り着くまでに すごい時間を費やします 一方 賢いハッカーは もっと賢い方法をとります 彼らは 盗んだパスワードの一覧から よく使われているとされている パスワードを調べます 最初にそれらを推測するのです "password" を推測することから始め "I love you" や "monkey"や "12345678" などを推測するわけです なぜなら 皆が使っている 可能性が高いパスワードがあるからです 実際に あなた方のうち何人かは これらのパスワードを使っているでしょう さて ご説明したテストを 収集した5千のパスワードで実行して セキュリティーの強度をチェックしたところ 長いパスワードは 実際 安全性が高いこと そして 複雑なパスワードも 安全性が高いことが分かりました しかしながら 調査データを見ると 人々は複雑なパスワードに 苛立ちを感じていることがわかりました そして 長いパスワードの方が より使いやすく 場合によっては 複雑なパスワードより 安全性が高い事がわかりました これは パスワードに 記号や数字を入れたり 複雑な事をお願いするよりも ただ 長いパスワードを作るように お願いした方が良いかもしれないという事を 意味しています ただ ここで問題があります 人によっては そんなに安全性の高くない 長いパスワードを使っていた事です ハッカーが 簡単に推測できる 長いパスワードを作ることもできてしまうので 長いというだけではダメなのです 何か 追加の条件が必要なのです 現在 私達が継続している研究のひとつは どのような追加条件を付け加えると 簡単に覚えられて タイプできる 安全性の高いパスワードを 作れるかです

安全性の高いパスワードを作る事のできる 他の手段として パスワードメーターがあります ここにいくつかの例を上げます パスワードを作成するとき インターネットでこれらを 見たことがあるかもしれません 私達は これらのパスワードメーターが 実際 機能しているか調査することにしました メーターは安全性の高い パスワードを作るのを助けているのか そうであれば どのメーターが良いのか? 私達は色々なパスワードメーターをテストしました 異なる大きさ 形 色 メーターの横の言葉が違うもの ウサギが踊る メーターさえも テストしました 良いパスワードであればあるほど ウサギのダンスが早くなります これは結構面白かったかったですよ

調査の結果 パスワードメータは 機能しているという事が分かりました (笑) ほとんどのパスワードメーターは 有効です ウサギが踊るメータも効果的でした しかし 最も効果的なパスワードメーターは メーターがOKをだすまで パスワードを考える努力を強制するというものでした 今日インターネット上にある パスワードメーターのほとんどは優しすぎるのです メーターは OKを 早く出しすぎているので OKサインを出す前に もう少し待つように設定されていたら より良いパスワードになっていたことでしょう

良いパスワードを作るもうひとつの方法は パス’ワード’の変わりにパス’フレーズ’を使うことです これは 2年前の xkcd の漫画です この漫画家は パスフレーズを使うことを推薦しています そして2行目を見ていただくと 漫画家はこう言っています 「correct horse battery staple」 は (正解 馬 バッテリー ホッチキス) とても安全性の高いパスフレーズで そしてとても覚えやすいものだと 実際 あなたはすでに覚えたでしょう と 彼は言っています そこで 私達はこれが本当かどうか 研究することにしました 実際 私がパスワードの研究をしていると話した人 皆が この漫画の事を指摘しました 「おー xkcdの漫画 見たことある? 正解 馬 バッテリー ホッチキス」 そこで 実際どうなのか 調査しました

調査には 再びメカニカル タークを使い コンピュータに パスフレーズのランダムな単語を 選択させました こうした理由は 人間はランダムに単語を選ぶのが 苦手だからです 人に これをお願いすると そんなにランダムではない単語を選んでしまうのです 私達はいくつか違う条件を試しました ひとつは コンピュータに 辞書の中から良く使われる英単語を 選択させるようにしました この様なフレーズです "try there three come" 私達は これを見て こう言いました 「うむ これはあまり覚えやすそうにないな」 と そこで 私達は スピーチの特定の部分の 単語を使うことを試みました すなわち 名詞‐動詞‐形容詞‐名詞 というような 何か 文章のようなもので 以下の様なパスフレーズです "plan builds sure power" や "end determines red drug" です これらは 覚えやすそうで 人々に もう少し 好まれそうに見えました 私達は これらをパスワードと比較したかったので コンピュータに ランダムな パスワードを選択させました これらは とても短いですが ご覧の通り 覚えやすそうには見えません 次に 私達は 発音できるパスワード というものを試すことにしました コンピュータがランダムな音節を選択し それを 発音可能になるように組み立てます "tufritive" や "vadasabi"ように 発音しやすいようなものにするのです これらが コンピュータによって作られた ランダムなパスワードです

この研究で発見したことは 驚いたことに パスフレーズは そんなに良いものではないということでした 人々は ランダムなパスワードよりも パスフレーズを 覚えることに関して そんなに長けてはいなかったのです なぜなら パスフレーズは長く 入力に時間が掛かるので タイプする時に間違ってしまうからです ですので パスフレーズの 圧勝というわけにはいきませんでした xkcd ファンの皆さん ごめんなさい 一方 私達は 発音可能なパスワードが 驚くほど 上手く機能していることが 分かったので 意外に 上手く機能していることが 分かったので この方法を さらに機能的にすることが出来るか もう少し研究をすることにしました 私達が行なった いくつかの研究の中での 問題のひとつは これら研究全てで メカニカル タークが使われていて 実際のパスワードではないことです メカニカルタークで作ったものか コンピュータが研究用に作った物なのです 私達は 一般の方々が実際 本当のパスワードで 同じような行動を取るか知りたいと思いました

そこで 私達は カーネギーメロンの 情報セキュリティー オフィスに 学校 皆のパスワードを調査できないか尋ねました 予想通り 彼らは私達に見せることを 少し躊躇していましたが 何とか 彼らと共に あるシステムを 成立させました 大学の生徒 教員 職員 2万5千個のパスワードを 鍵をかけた部屋にある ロックされたコンピュータに入れ インターネットから遮断した上で パスワードを解析する為に私達が書いた コードを彼らに実行してもらいました 彼らは 私達のコードを検閲し コードを実行しました ですので 私達は実際に 誰のパスワードも見ていません

研究から 面白い結果を得ました 後ろにいる テッパーの学生には とても興味深いものだと思います コンピュータサイエンス学部に属している 学生が作ったパスワードは 経営学部の学生のものより 1.8倍安全性が高いことが分かりました 私達は また とても興味深い 人口学的情報も たくさん得ることができました 他に 発見した興味深いことは メカニカルタークで作成されたパスワードと カーネギーメロンのパスワードを比較したとき それらはとても似ていたことです これは 研究方法を実証する助けとなり メカニカルタークを使ってパスワードを集める事は 研究に正当な方法である ことを示していました これは 良いニュースでした

さて 去年 私が大学の芸術学部で 長期有給休暇を取った時の事を お話して終わりにしたいと思います 私がやった事のひとつは たくさんのキルトを作った事です ここにあるキルトも作りました 「セキュリティー ブランケット」といいます (笑) このキルトにはRockYou サイトから 盗まれたパスワードのうち最も頻度の高い 千個のパスワードが縫いこまれています そして パスワードの大きさは 盗まれたデータセットの中に 現れる頻度に比例しています 私は これらの単語のワードクラウドを作り 千個全ての単語を見直し 大体のテーマ別のカテゴリーに 分類しました 時として どのカテゴリーに属すか 判断するのが 難しい物もありました そして 私は それらを色分けしました

これらが 難しかった例のいくつかです 例えば "justin" これは ユーザーの名前でしょうか 彼氏 又は息子の名前でしょうか? ジャスティン ビーバーのファンかもしれません あるいは "princess" ニックネームでしょうか? ディズニー プリンセスのファンでしょうか? ひょっとしたら 猫の名前かもしれません 「Iloveyou」 は 色々な言語で よく見受けられました パスワードには愛が込められているのです 注意深く見ていると みだらな言葉が 使われているのも見受けられます でも 憎しみよりも はるかに多くの 愛の言葉が パスワードに使われていることは とても興味深いことです そして 動物 多くの動物の名前が使われています 「monkey」 (サル)は最もよく使われる動物で 全体の人気パスワードの中でも14位に入ります 私はこれをとても興味深く思い 「なぜ サルがこんなにも人気なのか?」 と疑問に思いました ですので 最後の研究に "monkey" と パスワードに入れた人を探し なぜ サルをパスワードに入れたのか 尋ねることにしました そして分かったことは -今のところ 「サル」の単語を使ったと思われる 人を17人を見つけました- 約1/3の人はペットに“サル"と名付けた 又は “サル" というあだ名の友達がいる ということでした そして 他の約1/3は サルが好きで 可愛いいと 思っている言っていました 彼は 本当に可愛いですね

結局のところ 私達はパスワードを作るとき 入力するのがとても簡単なもの ありがちなパターン "password"という単語や あるいはアカウント名を連想するもの など脆弱なものを選んでしまうのです もしくは 私達を幸せにしてくれるものを思い浮かべ それをもとに パスワードを作ります こういったパスワードは 覚えやすくて入力するのも楽しいのですが 同時に簡単に破られてしまいます ですので TED Talksの多くは とても感動的で 私達に 素敵で 幸せな事を考えさせてくれますが パスワードを作るときは 他の事を考えて作るようにしてください

ありがとうございました

(拍手)

― もっと見る ―
― 折りたたむ ―

品詞分類

  • 主語
  • 動詞
  • 助動詞
  • 準動詞
  • 関係詞等

関連動画