Ferramentas do usuário

Ferramentas do site


dadoware:dadoware

Dadoware

Saiba como gerar senhas fortes e fáceis de lembrar usando dados ⚂ ⚃ ⚅ ⚅ ⚁ para sortear palavras e formar uma frase-senha (passphrase).

Se já sabe como usar, vá direto para a lista de palavras.

Para praticar a digitação da sua frase-senha com segurança no terminal do seu computador, use o passdrill.

Introdução

Dadoware é um método para gerar senhas mais seguras usando lápis, papel e dados para construir frases com palavras sorteadas.

Tem uma tirinha do XKCD (em inglês) que explica bem porque uma senha formada por várias palavras é melhor que uma senha tipo Tr0v4dor&3.

Você pode (e deve!) usar um gerenciador de senhas para criar e armazenar senhas fortes para todas as suas contas. Mas para proteger seu arquivo de senhas você o ideal é usar uma frase-senha (passphrase). Essa frase-senha funciona como uma espécie de “chave mestra” para você poder abrir o próprio gerenciador de senhas.

Uma frase-senha é formada por várias palavras, e é bem mais longa que uma senha comum. Se composta de palavras familiares, uma frase-senha pode ser mais fácil de lembrar que um monte de caracteres estranhos. E se todas as palavras forem escolhidas de forma aleatória, será bem difícil de quebrar.

O método original Diceware™ foi inventado por Arnold G. Reinhold, autor de livros sobre informática. A parte mais complicada é ter uma lista de palavras para sortear lançando 5 dados. A lista precisa ter exatamente 7.776 (65) palavras familiares. No site original do Diceware não há uma lista de palavras em português, então resolvemos criar esta, que chamamos de Dadoware para ficar mais fácil de explicar.

Como sortear uma frase senha

Você precisa jogar 5 dados para sortear cada palavra – ou pode jogar só um dado 5 vezes para cada palavra.

  • Os dois primeiros dados definem a página da lista de palavras. Por exemplo: ⚃ ⚀ é o prefixo 41.
  • Os dados restantes definem a palavra dentro do prefixo: 41 + ⚄ ⚅ ⚂ (563) é “joelho”. Confira.

Repita o processo para cada palavra da frase-senha.

Exemplo completo: frase-senha de 6 palavras

Jogue 5 dados 6 vezes, ou um dado 30 vezes, anotando os resultados de 5 em 5. Veja este exemplo completo:

dados prefixo palavra
⚂ ⚃ ⚅ ⚅ ⚁ 34 34662 galera
⚀ ⚁ ⚃ ⚅ ⚃ 12 12464 ama
⚂ ⚁ ⚃ ⚄ ⚃ 32 32454 excitar
⚃ ⚄ ⚄ ⚅ ⚃ 45 45564 muito
⚅ ⚁ ⚅ ⚄ ⚄ 62 62655 subir
⚁ ⚂ ⚄ ⚂ ⚁ 23 23532 comício

Frase-senha resultante:

galera ama excitar muito subir comício

Procedimento mais eficiente

O mais rápido é jogar os dados e ir anotando os números em grupos de cinco, para procurar as palavras depois. No exemplo anterior, você anotaria primeiro isso:

34 662 – 12 464 – 32 454 – 45 564 – 62 655 – 23 532

E depois procuraria as palavras, anotando assim:

galera – ama – excitar – muito – subir – comício

Para memorizar, imagine uma cena com as palavras. Por exemplo: “a galera ama exercitar muito e subir no comício”.

Perguntas frequentes

Quantas palavras deve ter uma frase-senha?

O criador do Diceware recomenda um mínimo de 6 palavras. Veja a tabela para entender como a força da senha1) aumenta de acordo com o número de palavras, considerando uma lista de 7.776 palavras e o número de combinações possíveis:

número de palavras número de combinações (p) entropia (log2p) caracteres base 64 exemplo de senha equivalente
5 7.7765 = 2,8 × 1019 64,6 11 Cp8p7VP46gk
6 7.7766 = 2,2 × 1023 77,5 13 0Jv0kmu/TQvPZ
7 7.7767 = 1,7 × 1027 90,5 16 4Pc529BjuW+NTrBx
8 7.7768 = 1,3 × 1031 103,4 18 yKlWDbbtcb/HzR8cYO

A última coluna mostra uma senha de força equivalente gerada a partir de 64 caracteres aleatórios. O que você acha mais fácil memorizar: seis palavras ou 0Jv0kmu/TQvPZ?

Devo usar acentos em frases-senhas?

Você decide. Mas nem sempre o teclado está configurado corretamente antes de fazermos login em um sistema, então é mais prático evitar acentos. No exemplo anterior, você usaria a palavra “comicio” assim, sem o acento.

E se eu precisar de maiúsculas, dígitos ou caracteres especiais?

Você pode jogar um dado para escolher uma palavra da sua frase-senha e outro dado para escolher uma letra para escrever em maiúscula dentro daquela palavra.

Para acrescentar caracteres especiais, use um dado para escolher uma palavra e mais dois dados para escolher uma linha e uma coluna da tabela abaixo:

! @ # $ % &
* ( ) - _ +
= { } [ ]
< > , . : ;
1 2 3 4 5 6
7 8 9 0 \ ?

Não seria mais seguro usar o dicionário inteiro?

Em tese, sim. Porém o método Diceware foi pensado para resolver dois problemas práticos:

  • Evitar o uso do computador para fazer o sorteio, pois um software que gera números pode estar com defeito ou comprometido. Dados são uma forma fácil de gerar números, mas seu uso exige uma lista de palavras numerada especialmente, para facilitar.
  • Produzir frases-senha que sejam razoavelmente fáceis de lembrar. Para isso selecionamos palavras comuns.

Se você tentar usar o dicionário Houaiss para criar suas frases-senha, vai descobrir que não é fácil sortear uma palavra de forma segura e realmente aleatória, sem usar o computador. Além disso, a maioria das palavras sorteadas provavelmente serão pouco familiares ou mesmo totalmente desconhecidas para você, tornando a memorização mais difícil.

Porque não usar um aplicativo para gerar senhas?

Na verdade, eu uso um aplicativo para gerar senhas: o gerenciador de senhas. Porém você precisa de uma senha para o gerenciador de senhas… Além disso, para ter máxima confiança em uma senha, eu prefiro não usar o computador na hora de criá-la – porque um software pode estar comprometido de várias formas.

É por isso inclusive que a lista de palavras está toda em uma página só: você pode imprimi-la, ou salvar o HTML para criar senhas mesmo sem uma conexão com a internet.

Sobre o Dadoware

O Dadoware foi criado pela ThoughtWorks em 2016 como um livreto de 40 páginas para ser distribuído na CryptoRave e em outros eventos. Eu escrevi o texto e fiz o lay-out do miolo do livreto, com a ajuda do Denis Costa. A designer Letícia Nunes, nossa colega na ThoughtWorks, fez a capa. Vários colegas da ThoughtWorks ajudaram a revisar a lista de palavras.

O livreto Dadoware foi publicado sob a licença CC BY-NC 3.0 BR (Creative Commons Atribuição-Não Comercial 3.0 Brasil).

Os arquivos que usamos para criar o Dadoware estão no Github.

1)
definição formal: entropia de Shannon
dadoware/dadoware.txt · Última modificação: 2018-01-02 14:36 por luciano