Traduction en Espagnol

Je suis professeur d'informatique et
d'ing�ni�rie informatique

� Carnegie Mellon,

et mes recherches se concentrent sur
l'utilisabilit� de la vie priv�e

et de la s�curit�,

et mes amis aiment me donner des exemples

de leurs frustrations li�es
aux syst�mes informatiques,

particuli�rement des frustrations li�es �

une vie priv�e et une s�curit�
qui ne sont pas utilisables.

J'entends donc beaucoup parler
des mots de passe.

Beaucoup de gens sont irrit�s
par les mots de passe,

c'est d�j� assez compliqu�

d'avoir un tr�s bon mot de passe

dont vous pouvez vous souvenir

mais que personne d'autre ne peut deviner.

Mais que fait-on lorsqu'on a des comptes

sur une centaine de syst�mes diff�rents

et qu'on est sens� avoir
un mot de passe unique

pour chacun de ces syst�mes ?

C'est difficile.

A Carnegie Mellon, ils rendaient

la m�morisation de nos mots de passe
plut�t facile.

Jusqu'en 2009, l'exigence �tait

d'avoir un mot de passe

comportant au moins un caract�re.

Plut�t facile.
Et puis les choses ont chang�,

et fin 2009, ils ont annonc�

que nous allions avoir
une nouvelle politique,

et cette nouvelle politique exigeait

des mots de passe
d'au moins huit caract�res,

avec une majuscule, une minuscule,

un chiffre, un symbole,

vous ne pouviez pas utiliser
le m�me caract�re plus de trois fois,

et ce ne pouvait pas �tre
un mot du dictionnaire.

Quand ils ont mis en place
cette nouvelle politique,

beaucoup de gens,
mes coll�gues et amis,

sont venus me voir et ont dit :

� C'est vraiment inutilisable.

Pourquoi nous font-ils �a,

et pourquoi
ne les en as-tu pas emp�ch�s ? �

Et j'ai dit :
� Vous savez quoi ?

On ne m'a rien demand�. �

Mais �a a �veill� ma curiosit�,
et j'ai d�cid� d'aller parler

aux personnes en charge
des syst�mes informatiques

et de d�couvrir ce qui
les a amen�s � introduire

cette nouvelle politique,

et ils ont dit que l'universit�

avait rejoint un consortium d'universit�s,

et que l'une des exigences
pour devenir membre

�tait que nous devions avoir
des mots de passe plus compliqu�s

qui respectaient de nouvelles exigences,

et ces exigences �taient que
nos mots de passe

devaient avoir beaucoup d'entropie.

L'entropie est un terme compliqu�,

mais en fait �a mesure
la s�curit� des mots de passe.

Mais le fait est qu'en r�alit�,
il n'y a pas

de mesure standard de l'entropie.

L'Institut National des Standards
et de la Technologie (INST)

a fix� des r�gles,

qui sont bas�es sur le bon sens,

pour mesurer l'entropie,

mais elles n'ont rien de sp�cifique,

et la raison pour laquelle
il n'y a que des r�gles de bon sens

est qu'il n'y a pas vraiment
de bonne base de donn�es

sur les mots de passe.

En fait, dans leur rapport, ils d�clarent :

� Malheureusement, nous n'avons pas
beaucoup de donn�es

sur les mots de passe que les utilisateurs
choisissent selon les r�gles sp�cifiques.

L'INST aimerait obtenir plus de donn�es

sur les mots de passe
que les utilisateurs choisissent,

mais les administrateurs syst�mes sont,
on le comprend, r�ticents

� r�v�ler les mots de passe
� d'autres personnes. �

C'est donc un probl�me,
mais notre groupe de recherche

l'a envisag� comme une opportunit�.

Nous avons dit : � Il y a besoin de bonnes
donn�es sur les mots de passe.

Peut-�tre que nous pouvons collecter
de bonnes donn�es sur les mots de passe

et faire avancer l'�tat de l'art. �

La premi�re chose
que nous avons faite est

que nous avons pris un sac
plein de sucreries

et nous nous sommes promen�s
dans le campus,

nous avons parl� � des �tudiants,
des professeurs et au personnel,

et leur avons demand� des informations

sur leurs mots de passe.

Nous ne leur avons pas dit :
� Donnez-nous votre mot de passe. �

Non, nous leur avons simplement
pos� des questions sur leur mot de passe.

Est-il long ? Contient-il un chiffre ?

Contient-il un symbole ?

Avez-vous trouv� g�nant de devoir en cr�er

un nouveau la semaine derni�re ?

Nous avons eu les r�sultats
concernant 470 �tudiants,

professeurs et membres du personnel,

et avons confirm� que la nouvelle politque

�tait tr�s emb�tante,

mais nous avons aussi remarqu�
que les gens disaient

qu'ils se sentaient plus en s�curit�
avec ces nouveaux mots de passe.

Nous avons constat�
que la plupart des gens savait

qu'ils n'�taient pas sens�s
�crire leur mot de passe sur un papier,

et que seulement 13%
d'entre eux le faisaient,

mais, de fa�on d�rangeante,
80% des gens

disaient qu'ils r�utilisaient
leur mot de passe.

C'est en fait plus dangereux

que d'�crire votre mot de passe
sur un papier,

parce que �a vous rend
plus expos�s aux attaques.

Donc, si vous en avez besoin,
�crivez vos mots de passe sur un papier,

mais ne les r�utilisez pas.

Nous avons �galement constat�
des choses int�ressantes

concernant les symboles utilis�s
dans les mots de passe.

La CMU autorise 32 symboles possibles,

mais comme vous pouvez le voir,
seul un petit nombre

est utilis� par la majorit� des gens,

donc nos mots de passe ne sont pas
vraiment beaucoup plus s�rs

si on y met des symboles.

C'�tait une �tude tr�s int�ressante,

et nous avons maintenant les donn�es
de 470 personnes,

mais dans la situation actuelle,

�a ne repr�sente pas beaucoup
de donn�es sur les mots de passe,

nous avons donc regard� autour de nous :

o� pouvions-nous trouver des donn�es
additionnelles sur les mots de passe ?

Il s'av�re que beaucoup de personnes

volent des mots de passe,

et souvent postent ces mots de passe

sur internet.

Nous avons donc eu acc�s

� certains de ces ensembles
de mots de passe vol�s.

Cependant, ce n'est pas id�al
pour la recherche

parce que la provenance
de ces mots de passe

n'est pas totalement claire,

ni quelles politiques �taient en place

quand les gens ont cr�� ces mots de passe.

Nous voulions trouver
une meilleure source de donn�es.

Nous avons d�cid� qu'une chose
que nous pouvions faire

�tait de faire une �tude
et de demander aux gens

de cr�er des mots de passe
pour notre �tude.

Nous avons utilis� un service du nom de
Amazon Mechanical Turk,

c'est un service o� vous pouvez poster

un petit job en ligne
qui prend une minute,

quelques minutes, une heure,

et payer les gens, un penny,
dix centimes, quelques dollars,

pour accomplir une tache pour vous

et ensuite vous les payez via Amazon.com.

Nous avons pay� les gens
environ 50 centimes

pour cr�er un mot de passe
suivant nos r�gles

et r�pondre � un sondage,

et ensuite nous les payions pour revenir

deux jours plus tard se connecter

en utilisant leur mot de passe
pour r�pondre � un autre sondage.

Nous avons fait �a et nous avons
collect� 5000 mots de passe,

et nous avons soumis les gens
� diff�rentes r�glementations

pour cr�er ces mots de passe.

Certaines personnes avaient
une r�glementation plut�t simple,

nous appelons �a Basic8,

et la seule r�gle �tait
que votre mot de passe

devait faire au moins
8 caract�res de long.

Et puis d'autres personnes avaient
une r�glementation bien plus difficile,

et qui �tait tr�s similaire
� la politique du CMU,

ils devaient avoir 8 caract�res

dont une majuscule, une minuscule,
un chiffre, un symbole,

et ne pas �tre dans le dictionnaire.

Et l'une des autres r�glementations
que nous avons essay�es,

et il y en avait plein d'autres,

mais l'une que nous avons essay�e
s'appelait Basic16,

et la seule exigence �tait

d'avoir un mot de passe
d'au moins 16 caract�res.

Nous avions donc 5000 mots de passe,

et donc nous avions des informations
beaucoup plus d�taill�es.

Encore une fois, nous voyons
que seul un petit nombre

de symboles est utilis�

dans les mots de passe.

Nous voulions aussi avoir une id�e
de la difficult�

des mots de passe
que les gens cr�aient,

mais comme vous vous souvenez peut-�tre,
il n'y a pas de bonne mesure

de la difficult� d'un mot de passe.

Nous avons donc d�cid� de regarder

le temps qu'il faudrait pour craquer
ces mots de passe

en utilisant les meilleurs outils

que les voyous utilisent,

ou sur lesquels nous pouvions
trouver des informations

dans la litt�rature de recherche.

Pour vous donner une id�e
de comment les voyous

craquent les mots de passe,

ils volent un fichier de mots de passe

qui contiendra tous les mots de passe

sous une forme brouill�e,
appel�e hachage,

et ce qu'ils vont faire
c'est faire une supposition

sur ce qu'un mot de passe peut �tre,

le passer dans une fonction de hachage,

et regarder si �a correspond

aux mots de passe qu'ils ont
sur la liste vol�e.

Un attaquant idiot prendra
tous les mots de passe dans l'ordre.

Il commencera par AAAAA et ensuite AAAAB,

et �a va prendre beaucoup de temps

avant qu'il n'obtienne un mot de passe

que les gens pourraient avoir.

Un attaquant intelligent, d'un autre c�t�,

fait quelque chose de beaucoup plus malin.

Il regarde les mots de passe

qui sont r�put�s populaires

dans ces listes de mots de passe vol�s,

et il suppose quels sont les premiers.

Il va donc commencer par penser
� � mot de passe �,

puis � � je t'aime � et � singe �,

et � 12345678 �

parce que ce sont les mots de passe

que les gens ont
le plus de chance d'avoir.

En fait, certains d'entre vous
ont probablement ces mots de passe.

Ce que nous avons constat�

en testant ces 5000
mots de passe collect�s

pour conna�tre leur difficult�,

nous avons constat� que
les longs mots de passe

�taient en fait plut�t difficiles,

et que les mots de passe compliqu�s
r�sistaient aussi plut�t bien.

Cependant, quand on regarde les sondages,

on remarque que les gens
�taient vraiment frustr�s

par les mots de passe compliqu�s,

et les mots de passe longs
�taient beaucoup plus utilisables,

et dans certains cas,
ils �taient en fait

plus difficiles que
les mots de passe complexes.

Cela sugg�re que

au lieu de dire aux gens qu'ils ont besoin

de mettre tous ces symboles et nombres

et ces choses un peu folles
dans leurs mots de passe,

nous ferions mieux de dire aux gens

d'avoir des mots de passe longs.

Cependant, il reste un probl�me :

certaines personnes ont
de longs mots de passe

qui ne sont pas tr�s difficiles.

On peut faire de longs mots de passe

qui sont quand m�me

facilement devinables par un attaquant.

Nous devons faire plus que
demander des mots de passe longs.

Il doit y avoir d'autres exigences,

et parmi nos recherches en cours,
nous recherchons

quelles exigences suppl�mentaires
nous devrions avoir

pour faire des mots de passe
plus difficiles

qui seront �galement faciles

� retenir et � taper.

Une autre approche pour
pousser les gens � avoir

des mots de passe plus difficiles est
d'utiliser une mesure de mots de passe.

Voici quelques exemples.

Vous avez les peut-�tre
vu sur internet

quand vous cr�iez des mots de passe.

Nous avons d�cid� de lancer
une �tude pour voir si

ces mesures de mots de passe
fonctionnaient ou non.

Aident-elles les gens

� avoir des mots de passe
plus difficiles ?

Et si oui,
lesquelles sont les meilleures ?

Nous avons test� des mesures
de mots de passe qui �taient

de diff�rentes tailles,
formes et couleurs,

ayant des mots diff�rents associ�s,

et nous avons m�me test� un lapin dansant.

Quand vous tapez
un meilleur mot de passe,

le lapin dance plus vite.

C'�tait plut�t amusant.

Ce que nous avons remarqu�

�tait que les mesures de
mots de passe fonctionnent.

(Rires)

La plupart de ces mesures de
mots de passe �taient efficaces,

et le lapin dansant �tait �galement
tr�s efficace,

mais les mesures de mots de passe
qui �taient les plus efficaces

�taient celles qui vous faisaient
travailler plus dur

avant de vous donner le feu vert
et de dire que

vous faissiez un bon travail,

et en fait nous avons remarqu�
que la plupart

des mesures de mots de passe
actuellement sur internet

�taient trop indulgentes.

Elles vous disent trop t�t
que vous faites du bon travail,

et si elles attendaient juste un petit peu

avant de vous donner un retour positif,

vous auriez probablement
de meilleurs mots de passe.

Maintenant, une autre approche pour,
peut-�tre, de meilleurs mots de passe,

est d'utiliser des phrases de passe
� la place des mots de passe.

C'�tait un dessin anim� de la xfcd
d'il y a quelques ann�es,

et le dessinateur sugg�re

que nous devrions tous nous servir
d'expressions de passe,

et si vous regardez � l'arri�re plan
de ce dessin anim�,

vous pouvez voir que
le dessinateur sugg�re

que l'expression de passe
� correct cheval batterie agrafe �

serait une phrase de passe
tr�s difficile

et tr�s facile � retenir.

Il dit, en fait, que vous devriez
dej� l'avoir retenue.

Nous avons donc d�cid� de lancer une �tude

pour d�couvrir si c'�tait vrai ou pas.

Toutes les personnes
auxquelles j'ai parl�,

auxquelles j'ai mentionn� que je faisais
de la recherche sur les mots de passe,

toutes m'ont parl� de ce dessin anim�.

� L'avez-vous vu ? Ce xkcd.

Correct cheval batterie agrafe. �

Nous avons donc fait l'�tude pour voir

ce qu'il se passerait.

Dans cette �tude, nous avons � nouveau
utilis� Mechanical Turk,

l'ordinateur prenait des mots au hasard

pour former la phrase de passe.

La raison pour laquelle
nous avons fait �a

est que les humains ne sont pas tr�s bons

quand il s'agit de choisir
des mots au hasard.

Si nous demandions
� des humains de le faire,

ils choisiraient des choses
pas vraiment au hasard.

Nous avons essay� plusieurs conditions.

Dans une des conditions,
l'ordinateur choisissait

dans un dictionnaire de mots
tr�s communs

de la langue anglaise,

et donc vous obteniez
des expressions de passe comme :

� essayer l� trois venir �.

Nous avons regard� �a
et nous avons dit :

� �a ne semble pas tr�s m�morisable. �

Alors ensuite nous avons essay�
de choisir les mots

issus de parties sp�cifiques du langage,

qu'en est-il de nom-verbe-nom-adjectif.

Il en ressort quelque chose
qui ressemble � une phrase.

Vous pouvez obtenir
une expression de passe comme :

� Projet construit pouvoir s�r �

ou � Fin d�termine drogue rouge �.

Celles-ci semblaient
un peu plus m�morisables,

et peut-�tre que
les gens les pr�f�reraient.

Nous voulions les comparer
avec les mots de passe,

l'ordinateur choisissait donc
des mots de passe au hasard,

qui �taient sympas et courts,
mais comme vous pouvez le voir,

ils n'ont pas l'air tr�s m�morisables.

Nous avons ensuite d�cid� d'essayer
quelque chose qui s'appelle

un mot de passe pronon�able.

L'ordinateur choisit
des syllables au hasard

et les r�unit

pour avoir quelque chose
de pronon�able

comme � tufritvi � et � vadasabi �.

Ce genre de choses
qui se prononcent plut�t bien.

C'�taient des mots de passe qui �taient

g�n�r�s au hasard par notre ordinateur.

Ce que nous avons remarqu�
dans cette �tude est que, �tonamment,

les expressions de passe n'�taient en fait
pas si bonnes que �a.

Les gens ne retenaient pas mieux

les phrases de passe que
ces mots de passe al�atoires,

et parce que les phrases de passe
sont plus longues,

il fallait plus de temps pour les taper

et les gens faisaient plus d'erreurs
en les tapant.

Ce n'est donc pas une victoire nette
pour les phrases de passe.

D�sol�e pour tous les fans de xkcd.

D'un autre c�t�, nous avons remarqu�

que les mots de passe pronon�ables

fonctionnaient �tonnamment bien,

et nous faisons donc
de la recherche additionnelle

pour voir si nous pouvons faire
fonctionner cette approche encore mieux.

Un des probl�mes

avec certaines des �tudes
que nous avons faites

est que parce qu'elles sont toutes faites

via Mechanical Turk,

ce ne sont pas de vrais
mots de passe.

Ce sont des mots de passe
qu'ils ont cr��s

ou que l'ordinateur a cr��s
pour notre �tude.

Et nous voulions savoir
est-ce que les gens

se comporteraient de la m�me fa�on

avec leurs vrais mots de passe.

Nous nous sommes donc adress�s au bureau
de la s�curit� des informations de la CMU

et leur avons demand� si nous pouvions
avoir les vrais mots de passe

de tout le monde.

Ce n'est pas �tonnant qu'ils aient �t�
un peu r�ticents � les partager avec nous,

mais nous avons �t� capables
de mettre au point

un syst�me avec eux

o� ils ont mis tous les vrais
mots de passe

pour 25 000 �tudiants, professeurs
et membres du personnel de la CMU,

sur un ordinateur verrouill�
dans une pi�ce verrouill�e,

pas connect� � internet,

et ils ont lanc� un programme
que nous avions cod�

pour analyser ces mots de passe.

Ils ont v�rifi� le programme.

Ils ont lanc� le programme.

Nous n'avons jamais vraiment vu

aucun mot de passe.

Nous avons obtenu
des r�sultats int�ressants,

et les �tudiants de Tepper dans le fond,

ceci va vous int�resser.

Nous avons constat� que
les mots de passe cr��s

par des personnes affili�es
� l'�cole d'informatique

�taient en fait 1,8 fois plus difficiles

que ceux des personnes affili�es
� l'�cole de commerce.

Nous avons �galement beaucoup d'autres

informations d�mographiques
tr�s int�ressantes.

L'autre chose tr�s int�ressante
que nous avons constat�e

est que lorsque nous avons compar�
les mots de passe de Carnegie Mellon

avec ceux g�n�r�s par Mechanical Turk,

il y avait beaucoup de similitudes,

et �a a contribu� � valider
notre m�thode de recherche

et montre qu'en fait,
collecter des mots de passe

en utilisant les �tudes
de Mechanical Turk

est une fa�on valide d'�tudier
les mots de passe.

C'�taient donc de bonnes nouvelles.

OK, pour finir je voudrais parler de

d'aper�us que j'ai eu
alors que j'�tais en ann�e sabbatique

l'ann�e derni�re � l'�cole d'art
de Carnegie Mellon.

Une des choses que j'ai faites

est que j'ai fait nombre de couettes,

et j'ai fait cette couette-ci.

Elle s'appelle la
� couverture de s�curit� �.

(Rires)

Et sur cette couette il y a les 1 000

mots de passe les plus fr�quemment vol�s

du site RockYou.

Et la taille des mots de passe
est proportionnelle

� leur fr�quence d'apparition

dans la base de donn�es des vols.

Ce que j'ai fait c'est que
j'ai cr�� ce nuage de mots

et j'ai parcouru ces 1 000 mots

et je les ai class�s

en cat�gories th�matiques.

Et, dans certains cas,

il a �t� assez difficile de d�terminer

dans quelle cat�gorie ils devraient �tre,

et ensuite j'ai cr�� un code couleur.

Voici des exemples de la difficult�.

� Justin �.

Est-ce le nom de l'utilisateur,

de son copain, de son fils ?

Peut-�tre que c'est juste
un fan de Justin Bieber.

Ou � princesse �.

Est-ce un surnom ?

Est-ce un fan des princesses de Disney ?

Ou peut-�tre que
c'est le nom de leur chat.

� Jetaime � appara�t de nombreuses fois

dans de nombreuses langues.

Il y a beaucoup d'amour
dans ces mots de passe.

Si vous regardez attentivement,
vous verrez �galement

quelques obsc�nit�s,

mais pour moi il �tait
tr�s int�ressant de voir

qu'il y a beaucoup plus
d'amour que de haine

dans ces mots de passe.

Il y a des animaux,

beaucoup d'animaux,

et � singe � est l'animal le plus commun

et le 14�me mot de passe
le plus populaire de tous.

Et cela m'a paru curieux,

et je me suis demand� : � Pourquoi
les singes sont-il si populaires ? �

Donc dans notre derni�re �tude
sur les mots de passe,

� chaque fois que
nous d�tections quelqu'un

qui cr�ait un mot de passe
contenant le mot � singe �,

nous leur demandions pourquoi ils avaient
� singe � dans leur mot de passe.

Et nous avons constat� --

jusqu'ici nous avons trouv�
17 personnes, je crois,

qui ont le mot � singe � --

Nous avons remarqu� qu'environ
un tiers d'entre eux disait

qu'ils avaient un animal de compagnie
qui s'appelait � singe �

ou un ami surnomm� � singe �,

et environ un tiers d'entre eux disait

que c'�tait juste
qu'ils aimaient les singes

et que les singes sont tr�s mignons.

Et celui-ci est vraiment mignon.

Il semble qu'en fin de compte,

quand nous cr�ons nos mots de passe,

nous faisons soit
quelque chose de tr�s simple

� taper, un sch�ma familier,

ou quelque chose qui nous rappelle
l'expression � mot de passe �

ou le compte pour lequel nous avons
cr�� le mot de passe,

ou quoi que ce soit.

Ou nous pensons � des choses
qui nous rendent heureux,

et nous cr�ons notre mot de passe

� partir de choses
qui nous rendent heureux.

Et, alors que �a rend
plus amusant le fait de taper

et de se souvenir de notre mot de passe,

�a rend aussi nos mots de passe

plus facilement devinables.

Je sais que beaucoup
de ces expos�s de TED

sont source d'inspiration

et qu'ils vont font penser �
des choses sympas et heureuses,

mais quand vous cr�ez votre mot de passe,

essayez de penser � quelque chose d'autre.

Merci.

(Applaudissements)