EasyGuard: A Gamified App for Generating Strong and Memorable Passwords

Hugo L. Romão; Marcelo H. O. Henklain; Felipe L. Lobo; Eduardo L. Feitosa

doi:10.5753/jbcs.2026.5545

Authors

Hugo L. Romão Universidade Federal de Roraima https://orcid.org/0009-0002-4124-2893
Marcelo H. O. Henklain Universidade Federal de Roraima https://orcid.org/0000-0001-9884-8592
Felipe L. Lobo Universidade Federal de Roraima https://orcid.org/0000-0002-9716-9384
Eduardo L. Feitosa Universidade Federal do Amazonas https://orcid.org/0000-0001-6401-3992

DOI:

https://doi.org/10.5753/jbcs.2026.5545

Keywords:

Cybersecurity, Human factor, Password

Abstract

Although the use of online services has increased substantially over the past decade, the strength of user-created passwords has remained at concerning levels. This study aimed to develop and evaluate the efficiency of a gamified application in promoting the behavior of designing strong passwords. Two rounds of experiments were conducted, each lasting nine days. In the first experiment (n = 10), we evaluated the passwords generated based on user inputs compared to random passwords. Our findings showed that our app generated passwords with an improvement of 68.43 percentage points in the memorization test, 4.87 p.p. in the typing test, and 60.38 p.p. in the combined memorization and typing test. In the second experiment (n = 15), we incorporated a dictionary-based password generation policy into the evaluation and applied an automated tool for data collection. User input-based passwords outperformed random ones by 87.26 p.p. in the memorization test, 2.75 p.p. in the typing test, and 85.92 p.p. in the combined test. Meanwhile, dictionary-based passwords showed improvements of 54.32 p.p., 1.69 p.p., and 69.70 p.p., respectively. Our approach proved promising in promoting strong and memorable passwords. Nonetheless, EasyGuard requires further development and should be further investigated in future studies.

Downloads

Download data is not yet available.

Author Biographies

Marcelo H. O. Henklain, Universidade Federal de Roraima

Bacharel em Sistemas de Informação pela Estácio. Mestre e Doutor em Psicologia pela Universidade Federal de São Carlos (UFSCar). No mestrado investigou procedimento informatizado para reduzir dificuldades com a matemática e, no doutorado, trabalhou com psicometria na adaptação de instrumento para avaliação formativa de professores. Gerenciou departamento de RH de empresa privada de TI (2013-2015). Professor efetivo do curso de Ciência da Computação da Universidade Federal de Roraima (UFRR), colaborador do Instituto Nacional de Ciência e Tecnologia sobre Comportamento, Cognição e Ensino (INCT-ECCE) e membro do Grupo de Processamento Gráfico (GPG) da UFRR. Desenvolve pesquisas sobre Informática na Educação e Avaliação do Desempenho Acadêmico e Profissional.

Felipe L. Lobo, Universidade Federal de Roraima

Atualmente sou professor adjunto da Universidade Federal de Roraima. Possuo doutorado em Informática pela Universidade Federal do Amazonas (2020) com período de 12 meses de doutorado sanduíche na University of Ontario Institute of Technology (2018/2019) pelo programa PDSE - Programa de Doutorado Sanduíche no Exterior tendo a CAPES como instituição de fomento. Mestrado em Informática pela Universidade Federal do Amazonas (2012) e graduação em Matemática pela Universidade Federal do Amazonas (2007). Tenho experiência na área de Ciência da Computação, com ênfase em Redes, atuando principalmente nos seguintes temas: Redes Veiculares, Computação Móvel e Ubíqua, Sistemas de Localização, Fusão de Dados, Fog Computing, Redes de Sensores Sem fio e Aplicativos.

Eduardo L. Feitosa, Universidade Federal do Amazonas

Tem doutorado em Ciência da Computação pela Universidade Federal de Pernambuco (2010), mestrado em Ciência da Computação pela Universidade Federal do Rio Grande do Sul (2001) e graduação em Processamento de Dados pela UFAM (1998). É Professor Associado do Instituto de Computação (IComp) e Professor permanente do Programa de Pós-Graduação em Informática (PPGI) da Universidade Federal do Amazonas (UFAM). É um dos lideres do grupo de pesquisa em Tecnologias Emergentes e Segurança de Sistemas (ETSS). Atua em parceira com diversos grupos de pesquisa no país e no exterior e tem coordenado projetos com instituições nacionais e internacionais. É revisor de vários periódicos e membro de comitês das mais variadas conferências. É coordenador do Programa de Pós-Graduação em Informática (PPGI) da UFAM. Membro da Comissão Especial em Segurança da Informação e de Sistemas Computacionais (CESeg) da SBC.

References

bit Solutions (2016). Bitwarden open-source password manager. Available at:[link]. Accessed on: April 26, 2025.

Abdrabou, Y., Abdelrahman, Y., Khamis, M., and Alt, F. (2021). Think harder! investigating the effect of password strength on cognitive load during password creation. In Extended Abstracts of the 2021 CHI Conference on Human Factors in Computing Systems, CHI EA '21, New York, NY, USA. Association for Computing Machinery. DOI: 10.1145/3411763.3451636.

Arantes, A. K. L., Mello, E. L., and Domeniconi, C. (2012). Memória. Guanabara Koogan, Rio de Janeiro. Book.

Azlan, Z. H. Z. and Junaini, S. N. (2023). Erudite survivor: Usability testing of a gamification-based mobile app for disaster awareness among children. Journal of Advanced Research in Applied Sciences and Engineering Technology, 31(3):290298. Acesso em: 27 dez. 2024. DOI: 10.37934/araset.31.3.290298.

Azoubel, M. S. and Pergher, N. K. (2017). Levantamento sobre a utilização de jogos na análise do comportamento aplicada. Perspectivas em Análise do Comportamento, 8(2):215–225. DOI: 10.18761/PAC.2016.014.

Bai, S., Hew, K. F., and Huang, B. (2020). Does gamification improve student learning outcome? evidence from a meta-analysis and synthesis of qualitative data in educational contexts. Educational Research Review, 30:100322. DOI: 10.1016/j.edurev.2020.100322.

Balayogi, G. and Kuppusamy, K. (2024). Lingpass: An approach for multilingual passphrase generation by integrating english and tamil. Internet Technology Letters, page e580. DOI: 10.1002/itl2.580.

Bonk, C., Parish, Z., Thorpe, J., and Salehi-Abari, A. (2021). Long passphrases: Potentials and limits. In 2021 18th International Conference on Privacy, Security and Trust (PST), pages 1-7. DOI: 10.1109/PST52912.2021.9647800.

Bošnjak, L. and Brumen, B. (2019). Rejecting the death of passwords: Advice for the future. Computer Science and Information Systems, 16(1):313-332. DOI: 10.1007/s10207-019-00429-y.

Bošnjak, L., Sreš, J., and Brumen, B. (2018). Brute-force and dictionary attack on hashed real-world passwords. In 2018 41st International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO), pages 1161-1166. DOI: 10.23919/MIPRO.2018.8400211.

Carvalho, E., Reis, T., and Alves, F. (2017). Ensino de noções básicas de segurança da informação nas escolas brasileiras. In Anais do XXIII Workshop de Informática na Escola, pages 765-774, Porto Alegre, RS, Brasil. SBC. DOI: 10.5753/cbie.wie.2017.765.

Chatzoglou, E., Kampourakis, V., Tsiatsikas, Z., Karopoulos, G., and Kambourakis, G. (2024). Keep your memory dump shut: Unveiling data leaks in password managers. In Pitropakis, N., Katsikas, S., Furnell, S., and Markantonakis, K., editors, ICT Systems Security and Privacy Protection, pages 61-75, Cham. Springer Nature Switzerland. DOI: 10.1007/978-3-031-65175-5_5.

Chigada, J. and Madzinga, R. (2021). Cyberattacks and threats during covid-19: A systematic literature review. South African Journal of Information Management, 23(1):11. DOI: 10.4102/sajim.v23i1.1277.

Cianca, B. C., Panosso, M. G., and Kienen, N. (2020). Programação de condições para desenvolvimento de comportamentos: Caracterização da produção científica brasileira de 1998-2017. Perspectivas em Análise do Comportamento, 11(2):114–136. DOI: 10.18761/PAC.2020.v11.n2.01.

Farias, F., Medeiros, N., Rocha, S., Medeiros, D., Nóbrega, E., Burlamaqui, A., and Madeira, C. (2019). Self protect: Um jogo para auxílio no ensino de conceitos relacionados a segurança na internet para crianças e adolescentes. In Anais do XXV Workshop de Informática na Escola, pages 246-255, Porto Alegre, RS, Brasil. SBC. DOI: 10.5753/cbie.wie.2019.246.

Feldmann, A., Gasser, O., Lichtblau, F., Pujol, E., Poese, I., Dietzel, C., Wagner, D., Wichtlhuber, M., Tapiador, J., Vallina-Rodriguez, N., Hohlfeld, O., and Smaragdakis, G. (2021). A year in lockdown: how the waves of covid-19 impact internet traffic. Commun. ACM, 64(7):101–108. DOI: 10.1145/3465212.

Glory, F. Z., Ul Aftab, A., Tremblay-Savard, O., and Mohammed, N. (2019). Strong password generation based on user inputs. In 2019 IEEE 10th Annual Information Technology, Electronics and Mobile Communication Conference (IEMCON), pages 0416-0423. DOI: 10.1109/IEMCON.2019.8936178.

Groening, C. and Binnewies, C. (2019). “achievement unlocked!” - the impact of digital achievements as a gamification element on motivation and performance. Computers in Human Behavior, 97:151-166. DOI: 10.1016/j.chb.2019.02.026.

Han, W., Xu, M., Zhang, J., Wang, C., Zhang, K., and Wang, X. S. (2021). Transpcfg: Transferring the grammars from short passwords to guess long passwords effectively. IEEE Transactions on Information Forensics and Security, 16:451-465. DOI: 10.1109/TIFS.2020.3003696.

Haydu, V. B., Omote, L. C. F., Vicente, P., Ággio, N. M., and De Paula, J. B. C. (2009). Efeitos do tamanho da classe na manutenção de relações de equivalência em um delineamento intragrupo. Interação em Psicologia, 13:179-193. DOI: 10.1590/S0102-79722008000200009.

Hejlsberg, A. and Microsoft (2012). Typescript. Available at:[link]. Accessed on: April 26, 2025.

Ji, S., Yang, S., Hu, X., Han, W., Li, Z., and Beyah, R. (2017). Zero-sum password cracking game: A large-scale empirical study on the crackability, correlation, and security of passwords. IEEE Transactions on Dependable and Secure Computing, 14(5):550-564. DOI: 10.1109/TDSC.2015.2481884.

Kienen, N., Panosso, M. G., Nery, A. G. S., Waku, I., and Carmo, J. d. S. (2022). Contextualização sobre a programação de condições para desenvolvimento de comportamentos (pcdc): Uma experiência brasileira. Perspectivas em Análise do Comportamento, 12(2):360–390. DOI: doi.org/10.18761/PAC.2021.jul110.

Levenshtein, V. I. (1966). Binary codes capable of correcting deletions, insertions and reversals. Soviet Physics Doklady, 10:707-710. Available at:[link].

Lewis, J. R., Rieman, J. A., and Wharton, C. (1990). Integrated office software benchmarks: A case study. In Proceedings of the CHI '90 Conference on Human Factors in Computing Systems. ACM. Available at:[link].

Moreira, B. M. and Medeiros, A. C. (2018). Princípios básicos de análise do comportamento. Artmed, Porto Alegre. Book.

Mukherjee, A., Murali, K., Jha, S. K., Ganguly, N., Chatterjee, R., and Mondal, M. (2023). Mascara: Systematically generating memorable and secure passphrases. In Proceedings of the 2023 ACM Asia Conference on Computer and Communications Security, ASIA CCS '23, page 524–538, New York, NY, USA. Association for Computing Machinery. DOI: 10.1145/3579856.3582839.

Neutkens, T. and Vercel (2016). Next.js. Available at: [link]. Accessed on: April 26, 2025.

Paudel, R. and Al-Ameen, M. N. (2024). Priming through persuasion: Towards secure password behavior. Proc. ACM Hum.-Comput. Interact., 8(CSCW1). DOI: 10.1145/3637387.

Romão, H., Henklain, M., Lobo, F., and Feitosa, E. (2024). Construção e teste de app gamificado gerador de senhas fortes e memoráveis: Um estudo exploratório em cibersegurança. In Anais Estendidos do XXIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais, pages 256-269, Porto Alegre, RS, Brasil. SBC. DOI: 10.5753/sbseg_estendido.2024.243316.

Sauro, J. and Lewis, R. J. (2012). Quantifying the user experience: Practical statistics for user research. Elsevier, Waltham. Book.

Shay, R., Komanduri, S., Durity, A. L., Huh, P. S., Mazurek, M. L., Segreti, S. M., Ur, B., Bauer, L., Christin, N., and Cranor, L. F. (2014). Can long passwords be secure and usable? In Proceedings of the SIGCHI Conference on Human Factors in Computing Systems, CHI '14, page 2927–2936, New York, NY, USA. Association for Computing Machinery. DOI: 10.1145/2556288.2557377.

Sidman, M. (1995). Coerção e suas implicações. Editorial Psy, Campinas. Book.

Skinner, B. F. (1981). Ciência e comportamento humano. Martins Fontes, São Paulo. Book.

Tian, X. (2024). Unraveling the dynamics of password manager adoption: a deeper dive into critical factors. Information and Computer Security, ahead-of-print(ahead-of-print). Published on 16 July 2024. DOI: 10.1108/ICS-09-2023-0156.

Troy Hunt, Charlotte Hunt, S. J. S. (2013). Have i been pwned. Available at: [link]. Accessed on: April 26, 2025.

Vlachogianni, P. and Tselios, N. (2023). Perceived usability evaluation of educational technology using the post-study system usability questionnaire (pssuq): A systematic review. Sustainability, 15(17). DOI: 10.3390/su151712954.

Švábenský, V., Vykopal, J., and Čeleda, P. (2020). What are cybersecurity education papers about? a systematic literature review of sigcse and iticse conferences. In Proceedings of the 51st ACM Technical Symposium on Computer Science Education, SIGCSE '20, page 2–8, New York, NY, USA. Association for Computing Machinery. DOI: 10.1145/3328778.3366816.

Walke, J. and Facebook (2013). Reactjs. Available at: [link]. Accessed on: April 26, 2025.

Wells, J., Scheibein, F., Pais, L., dos Santos, N. R., Dalluege, C.-A., Czakert, J. P., and Berger, R. (2023). A systematic review of the impact of remote working referenced to the concept of work–life flow on physical and psychological health. Workplace Health & Safety, 71(11):507-521. PMID: 37387511. DOI: 10.1177/21650799231176397.

Wu, X., Munyendo, C. W., Cosic, E., Flynn, G. A., Legault, O., and Aviv, A. J. (2022). User perceptions of five-word passwords. In Proceedings of the 38th Annual Computer Security Applications Conference, ACSAC '22, page 605–618, New York, NY, USA. Association for Computing Machinery. DOI: 10.1145/3564625.3567981.

Yıldırım, M. and Mackie, I. (2019). Encouraging users to improve password security and memorability. International Journal of Information Security, 18(6):741-759. DOI: 10.1007/s10207-019-00429-y.