Universidade Estadual de Campinas

Instituto de Computao

Projeto de Iniciao Cientfica

Aprimoramento do Mtodo Diceware para gerao de

senhas seguras

Aluno: Leandro Augusto Fernandes de Magalhes

Orientador: Diego de Freitas Aranha

Campinas, 2016
 Resumo

O advento da computao nas ltimas dcadas tornou possvel o armazenamento

de uma grande quantidade de dados de qualquer natureza (documentos, fotos, etc)
em um dispositivo eletrnico. O fato destes dados serem muitas vezes secretos
tornou necessria a criao de mtodos de autenticao para garantir a
confidencialidade dos mesmos.

As senhas (passwords e passphrases) surgiram como um meio de autenticao

simples, eficiente e flexvel, no entanto, de segurana questionvel. Uma vez que
so na maioria das vezes escolhidas pelos prprios usurios, estes tendem muitas
vezes a optar por palavras-passe facilmente memorizveis e, por conseguinte,
facilmente dedutveis (por serem, muitas vezes, relacionadas ao usurio - como
datas de nascimento, nmeros de telefone, nomes de familiares, etc),
comprometendo a integridade de seus dados. Um dos principais problemas dos
pesquisadores da rea de segurana computacional desenvolver um mtodo de
autenticao que seja, ao mesmo tempo, seguro e amigvel ao usurio, isto ,
facilmente utilizvel de maneira segura pelo mesmo.

Este trabalho se prope a estudar o Diceware [1], um mtodo de gerao de

passphrases seguras e fceis de se lembrar criado por Arnold Reinhold, e propor
aprimoramentos ao adapt-lo ao idioma Portugus Brasileiro. Os aprimoramentos
planejados esto ligados produo de um dicionrio conveniente e que produz
senhas de fcil memorizao com altssima probabilidade.

2
 Sumrio
1. INTRODUO 4
2. JUSTIFICATIVA 6
3. PROPOSTA DE PESQUISA 7
4. REVISO BIBLIOGRFICA 8
5. PERFIL DO CANDIDATO 10
6. CRONOGRAMA 11
7. CONCLUSO 13
8. REFERNCIAS 14

3
 Introduo
Cada vez mais os computadores so utilizados para o armazenamento dos dados de
um determinado usurio, como documentos, fotos, vdeos, etc. Quando estes dados
so confidenciais, torna-se clara a necessidade de um meio de torn-los visveis
apenas a um seleto grupo de pessoas, sendo necessrio, portanto, um jeito de
autenticar, isto , comprovar a procedncia de quem tenta acess-los.

As senhas (passwords e passphrases) constituem o mtodo mais comum de

autenticao h pelo menos 5 dcadas [2]. Para acessar determinados dados, o
usurio deve inserir um conjunto de caracteres alfanumricos que, teoricamente, s
ele conhece para provar para o computador sua autenticidade. Muitas vezes os
dados fornecidos pelo usurio so valiosos (nmero de cartes de crditos, por
exemplo). Da surgem os atacantes, agentes que tentam, com o auxlio ou no de
softwares especializados, descobrir a senha de determinado usurio para roubar
seus dados importantes.

dever da rea de segurana computacional oferecer instrues para os usurios

de como se protegerem dos atacantes, como por exemplo instrues de como
escolher uma senha segura. O mtodo Diceware [1] foi criado como uma tentativa
de resolver o problema de se criar um mtodo de autenticao seguro e amigvel
ao usurio. Ele depende de um dado no-viciado de 6 faces e um dicionrio
contendo 7776 conjuntos de caracteres (podendo ser palavras, nmeros, etc). Cada
uma dessas locues possui uma sequncia correspondente de 5 nmeros, de 1 a 6
(a sequncia 16655 corresponde palavra "clause", a sequncia 16656, palavra
"claws", e assim por diante). O usurio que deseja obter uma palavra para a
composio de sua passphrase dever jogar o dado 5 vezes e anotar os nmeros
encontrados. Com a sequncia obtida, ele ir at o dicionrio verificar qual a
palavra correspondente, e esta compor sua senha.

4
A ideia do Diceware oferecer um mtodo que gera senhas totalmente aleatrias,
de modo que um atacante que conhea particularidades de um usurio no consiga
adivinhar nenhum componente da senha com base nessa informao.

5
 Justificativa
Os mtodos de autenticao se dividem em trs casos: a autenticao por aquilo
que o usurio (impresso digital, sequncia de DNA, padro de voz, etc); por
aquilo que o usurio tem (carto de identificao, etc); e por aquilo que o usurio
conhece (senha, PIN, etc).

Os mtodos de autenticao por aquilo que o usurio conhece, cujas principais

representantes so as senhas, so os mais utilizados, uma vez que oferecem vrias
vantagens como a flexibilidade ( fcil mudar sua senha caso a anterior seja
comprometida, diferente do que ocorre com a autenticao por aquilo que o
usurio tem), a diversidade (o usurio pode escolher senhas diferentes para
plataformas diferentes), o baixo custo (uma vez que no sero necessrios outros
tipos de hardware, como geralmente ocorre para a autenticao por aquilo que o
usurio ), dentre outras.

No entanto, a escolha da palavra passe por parte do usurio acaba se tornando um

problema. A lista das 25 senhas mais utilizadas por usurios em 2014 [9] feita pela
empresa de segurana computacional Splash Data apresenta sequncias como
123456, password, qwerty, etc. o que leva a concluso de que o usurio muitas
vezes opta por senhas facilmente memorizveis, mas que apresentam baixa
segurana. Este trabalho prope cumprir a funo de apresentar um mtodo
simples para o usurio, mas que gera senhas suficientemente seguras.

6
 Proposta de Pesquisa
O trabalho tem como objetivo principal aprimorar o mtodo Diceware e traduzi-lo
para o portugus. Alm disso, pretende-se implementar um software para o sistema
Linux que ajudar os usurios a memorizarem suas passphrases mais facilmente.
Para obter-se os objetivos desejados, o projeto ser dividido em trs grandes
etapas: o estudo de maneiras para aprimorar o Diceware juntamente com o estudo
quanto a facilidade de memorizao de palavras da lngua portuguesa, a elaborao
do dicionrio em Portugus Brasileiro e a implementao do software para auxiliar
os usurios com a memorizao da passphrase obtida.

Para a parte relacionada a Lingustica, ser realizada uma reviso bibliogrfica

desta rea, na direo de caracterizar e detectar palavras de fcil memorizao.
Caso no sejam encontrados artigos o suficiente relacionados ao tema, ser
conduzido um estudo prprio envolvendo voluntrios para a coleta de dados
quanto facilidade de memorizao de palavras de diferentes tipos.

Utilizando os dados obtidos na primeira parte, na segunda ser elaborado o

dicionrio de palavras para formar as passphrases. Este ser composto por 1296
delas, o equivalente a 6^4 (ou 6*6*6*6) - que remete ao nmero de sequncias
possveis obtidas aps jogar-se um dado no viciado de 6 faces 4 vezes. Na terceira
parte ser desenvolvido um software para Linux similar ao sdb [8], que armazenar
as passphrases criadas pelos usurios e oferecer diversos testes para, atravs de
tentativa e erro, o usurio decor-las mais facilmente.

7
 Reviso Bibliogrfica
Diversos estudos j ressaltaram a dificuldade dos pesquisadores da rea de
segurana computacional em criar um mtodo de autenticao que seja, ao mesmo
tempo, seguro e facilmente aderido por usurios. Alguns trabalhos [4,5] costumam
se focar mais em hbitos dos usurios na escolha e no uso de suas senhas com o
objetivo de descobrir o que funciona melhor com eles e, baseado nisso, criar um
mtodo definitivo.

Um estudo de Joseph Bonneau et al. [4] analisou senhas de diversos websites

roubadas por fraudadores e verificou que 43% dos usurios utilizavam a mesma
senha em duas ou mais plataformas diferentes, deixando claro a dificuldade deles
em criar senhas diferentes - assim que encontram uma senha aparentemente boa,
utilizam-na em vrias de suas contas. Uma pesquisa feita pela Microsoft [5] atravs
da web, tambm analisando senhas de mais de 500,000 pessoas, verificou que um
usurio tem em mdia 6.5 senhas diferentes, no entanto, utilizam em mdia 25
plataformas que necessitam desse mtodo de autenticao, o que resulta em
aproximadamente uma senha para cada 4 sites.

Ambos estudos deixam claro a necessidade de um mtodo de gerao de senhas,

dada a necessidade dos usurios em possuir vrias delas. O Diceware [1] um
desses mtodos, apresentando um passo a passo bem simples de ser seguido
(amigvel ao usurio) e uma alta segurana. No entanto, ele possui algumas falhas
e pode ser otimizado. Sero analisados, durante o trabalho, artigos cientficos j
publicados que sugerem boas melhorias ao mtodo [3], como diminuio do
nmero de palavras no dicionrio (evitando a necessidade de inserir neste
sequncias numricas) e utilizar palavras de tamanho fixo (eliminando a
possibilidade de gerar senhas que, mesmo possuindo 5 palavras, apresentam um
baixo nmero de caracteres). Estas sugestes sero levadas em considerao no
projeto, e serviro como bases para a pesquisa de outras mudanas.

8
Juntamente com o estudo de melhorias ao mtodo, sero analisados tambm
estudos [6,7] feitos tambm com usurios para estudar a capacidade destes de
decorar senhas de composies mais complexas que o comum utilizado por eles.
Estes estudos podero ajudar no desenvolvimento dos exerccios e testes a serem
disponibilizados em software para ajudar os usurios na memorizao das
passphrases geradas.

Durante a CryptoRave [11], evento destinado para a "difuso dos conceitos

fundamentais de privacidade e liberdade na Internet e o uso de ferramentas de
segurana", foi apresentado o Dadoware [12], uma traduo do mtodo Diceware
para o Portugus. O Dadoware composto por 7776 palavras, assim como os
dicionrios de outras lnguas. No entanto, os critrios de escolha das palavras do
dicionrio no esto claros e alguns problemas do dicionrio original Diceware
persistem. Quando comparada ao Dadoware, nossa abordagem pretende utilizar
palavras de fcil memorizao e controlar a qualidade do dicionrio do ponto de
vista de segurana (comprimento mnimo, por exemplo).

9
 Perfil do Candidato
O candidato nativo de Campinas-SP, bero de grandes polos tecnolgicos e
instituies de ensino com fora na rea de computao. Desde criana, se
interessou pela computao e principalmente pela rea de segurana
computacional, quando fazia diversas pesquisas sobre invasores e fraudadores de
redes e sistemas de computao. Foi em uma visita sede da multinacional IBM
no Brasil que o candidato descobriu que gostaria de estudar Engenharia de
Computao na Universidade Estadual de Campinas. Estudou bastante e ingressou
no curso desejado em 2015, com 17 anos.

Dentro da Universidade ingressou na Conpec, empresa jnior de Computao,

onde, em seu primeiro ano, trabalhou como Assessor de Projetos, e,
posteriormente, foi promovido a Gerente de Projetos, trabalhando no
desenvolvimento de sites, sistemas de gesto e aplicativos. Se interessou pelo meio
acadmico aps procurar conhecer o trabalho de seus professores e de diversos
nomes no cenrio mundial de pesquisas na rea de computao.

Possui coeficiente de rendimento 0.8003, o que o coloca na posio 17 dentre 95

alunos. No apresenta nenhum exame ou reprovao no seu currculo. O projeto
no requer conhecimentos que necessitam de disciplinas especficas na rea de
segurana computacional. O candidato poder realizar todas as atividades
planejadas com o conhecimento obtido por meio de pesquisa da literatura cientfica
e apoio do orientador.

10
 Cronograma
Planeja-se seguir os seguintes passos:
Aprofundamento bibliogrfico: estudar maneiras de se aprimorar o mtodo
Diceware, aspectos lingusticos que tornam uma palavra facilmente memorizvel e
exerccios para os usurios memorizarem mais rapidamente as passphrases
obtidas, que sero implementadas na terceira parte do projeto.
Pesquisa de campo (opcional): caso no se encontre literatura quanto aos aspectos
lingusticos procurados ser conduzido um estudo com voluntrios para coletar
dados estatsticos quanto a facilidade de memorizao de palavras com base em
sua composio. importante relatar que esta parte s ser realizada aps
aprovao do Conselho de tica da Unicamp, portanto, enquanto a aprovao no
sancionada, outras partes do projeto sero adiantadas.
Compilao de dados: os dados obtidos sero compilados e analisados. Alm
disso, ser elaborado um mtodo semi-automtico (software) para a criao do
dicionrio.
Criao do dicionrio: sero escolhidas as palavras que comporo os dicionrio
com o auxlio do software desenvolvido na parte anterior.
Etapa de validao: haver a validao do dicionrio.
Desenvolvimento do software principal: o programa que armazenar as
passphrases e ajudar o usurio a memoriz-las ser desenvolvido e
disponibilizado em um repositrio.
Confeco do relatrio final.

11
 Tarefas 1 2 3 4 5 6 7 8 9 10 11 12
Aprofundamento
bibliogrfico
Pesquisa de campo
Compilao de dados
Criao do dicionrio
Etapa de validao
Desenvolvimento do
software principal
Confeco do relatrio
final

12
 Concluso
Pelo fato da busca de um mtodo de autenticao seguro e amigvel ao usurio ser
um problema at hoje no resolvido [2] na rea de segurana computacional,
conclui-se que este trabalho pode ter um impacto significativo uma vez que
apresentaria uma alternativa vivel ao dilema. Alm disso, a crescente atuao de
fraudadores no Brasil [10] torna necessrio que medidas quanto segurana sejam
tomadas. A traduo do dicionrio do Diceware para o portugus seria uma boa
providncia a ser tomada, uma vez que uma senha segura o suficiente pode repelir
efetivamente os atacantes.

13
 Referncias
[1] REINHOLD, Arnold: The Diceware Passphrase Home Page, Cambridge,
Massachusetts, USA. Disponvel em: http://world.std.com/~reinhold/diceware.html
[2] BONNEAU, Joseph, et al.: Passwords and the Evolution of Imperfect
Authentication, Communications of the ACM vol. 58 no. 7, July 2015. Disponvel
em: http://www.jbonneau.com/doc/BHOS15-CACM-imperfect_authentication.pdf
[3] CARNUT, Marco Antnio, HORA, Evandro Curvelo: Improving the Diceware
Memorable Passphrase Generation System. Disponvel em:
http://www.postcogito.org/PublicationsInEnglish/improving-diceware-v100-
final.pdf
[4] BONNEAU, Joseph et al.: The Tangled Web of Password Reuse, Princeton
University, USA. Disponvel em: http://www.jbonneau.com/doc/DBCBW14-
NDSS-tangled_web.pdf
[5] FLORNCIO, Dinei, HERLEY, Cormac: A Large-Scale Study of Web
Passwords Habits. Microsoft Research, One Microsoft Way, Redmond, WA.
Disponvel em: http://research.microsoft.com/pubs/74164/www2007.pdf
[6] BONNEAU, Joseph, SCHECHTER, Stuart: Towards reliable storage of 56-
bits secrets in human memory, Princeton University, USA. Disponvel em:
http://www.jbonneau.com/doc/BS14-USENIX-
towards_memorizing_random_passwords.pdf
[7] SHAY, Richard et al.: Correct horse battery staple: Exploring the usability of
system-assigned passphrases, Carnegie Mellon University, Pittsburgh, PA.
Disponvel em: https://cups.cs.cmu.edu/soups/2012/proceedings/a7_Shay.pdf
[8] WAHL, Gavin. SDB. Disponvel em: https://github.com/gavinwahl/sdb
[9] 25 most commonly used and worst passwords of 2014, Network World, USA,
20 Jan. 2015. Acessado em 31 Jan. 2016.
[10] Onda de crimes praticados por hackers cresceu 197% no Brasil em um ano, O
Globo, Brasil, 16 Ago. 2015. Acessado em 18 Jan. 2016.
[11] Disponvel em: https://cryptorave.org/

14
[12] RAMALHO, Luciano. Dadoware. Disponvel em:
https://github.com/thoughtworks/dadoware

15