पासवर्ड स्ट्रेंथ: Difference between revisions
No edit summary |
m (Sugatha moved page पासवर्ड की मजबूती to पासवर्ड स्ट्रेंथ) |
(No difference)
|
Revision as of 11:56, 8 September 2023
पासवर्ड की शक्ति अनुमान लगाने या क्रूर-बल के आक्रमणों के विरुद्ध पासवर्ड की प्रभावशीलता का उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि आक्रमणकारी जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की शक्ति लंबाई, जटिलता और अप्रत्याशितता का कार्य है।[1]
कठोर पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र संकट को कम करता है, लेकिन कठोर पासवर्ड अन्य प्रभावी सुरक्षा नियंत्रण की आवश्यकता को प्रतिस्थापित नहीं करते हैं।[2] किसी दिए गए शक्ति के पासवर्ड की प्रभावशीलता प्रमाणीकरण कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।
दर जिस पर आक्रमणकारी प्रणाली को अनुमानित पासवर्ड जमा कर सकता है, प्रणाली सुरक्षा का निर्धारण करने में महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य अशक्तियों के अभाव में, ऐसी प्रणाली को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। चूँकि, प्रणाली को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो प्रणाली सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड संकट में हो सकते हैं।
2019 में, यूनाइटेड किंगडम के राष्ट्रीय साइबर सुरक्षा केंद्र (यूनाइटेड किंगडम) ने उल्लंघन किए गए खातों के सार्वजनिक डेटाबेस का विश्लेषण किया, यह देखने के लिए कि लोग किन शब्दों, वाक्यांशों और स्ट्रिंग्स का उपयोग करते हैं। सूची में सबसे लोकप्रिय पासवर्ड 123456 था, जो 23 मिलियन से अधिक पासवर्ड में दिखाई दे रहा था। दूसरी सबसे लोकप्रिय स्ट्रिंग, 123456789, को क्रैक करना अधिक कठिन नहीं था, जबकि शीर्ष पांच में क्वर्टी, पासवर्ड और 1111111 सम्मिलित थे।[3]
पासवर्ड निर्माण
पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाली स्थिति अधिक सामान्य है। जबकि क्रूर-बल आक्रमण के विरुद्ध विचित्र ढंग से चुने गए पासवर्ड की शक्ति की गणना स्पष्ट रूप से की जा सकती है, मानव-जनित पासवर्ड की शक्ति का निर्धारण करना कठिन है।
कंप्यूटर प्रणाली या इंटरनेट वेबसाइट के लिए नया खाता बनाते समय सामान्यतः, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के सेट द्वारा प्रतिबंधित किया जाता है। शक्ति का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न सामान्यतः आक्रमणकारी की सहायता कर सकते हैं।[4] इसके अतिरिक्त, सामान्यतः चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश सम्मिलित हैं, जिनका उल्लंघन किया गया है; अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से साधारण पाठ और क्रिप्टोग्राफिक_हैश_फलन पासवर्ड के डेटाबेस सम्मिलित हैं। ऐसी सूचियों में सभी आइटम अशक्त माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।
चूँकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना सरल है, वे सामान्यतः यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अधिकांशतः लोग अपना स्वयं का चयन करना पसंद करते हैं। चूँकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण सामान्यतः पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन सामाजिक मीडिया के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत सरल बना दिया है।
पासवर्ड अनुमान सत्यापन
प्रणाली जो प्रमाणीकरण के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए अंकित किए गए किसी भी पासवर्ड की जांच करने की कोई विधि होनी चाहिए। यदि मान्य पासवर्ड केवल प्रणाली फ़ाइल या डेटाबेस में संग्रहीत हैं, तो आक्रमणकारी जो प्रणाली तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे आक्रमणकारी को आक्रमण वाली प्रणाली पर सभी खातों और संभावित रूप से अन्य प्रणालीों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस संकट को कम करने की विधि यह है कि पासवर्ड के अतिरिक्त प्रत्येक पासवर्ड का केवल क्रिप्टोग्राफिक हैश स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (एसएचए) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए आक्रमणकारी जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। चूँकि, हैश मान का ज्ञान आक्रमणकारी को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। पासवर्ड क्रैकिंग प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।
कंप्यूटिंग प्रौद्योगिकी में संशोधन उस दर को बढ़ाता रहता है, जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, जॉर्जिया टेक रिसर्च इंस्टीट्यूट ने बहुत तीव्रता से पासवर्ड क्रैक करने के लिए जीपीजीपीयू का उपयोग करने की विधि विकसित की थी।[5] एलकॉमसॉफ्ट ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और शीघ्र ही अमेरिका में संबंधित पेटेंट प्रस्तुत किया।[6] 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता को प्रमाण करते थे।[7] इस तरह की उपकरण एक दिन में छह-अक्षर वाले एकल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं; जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। चूँकि कुंजी खींचना का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।
एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब क्रिप्टोग्राफ़िक कुंजी बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे स्थितियों में, आक्रमणकारी शीघ्रता से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं करता है। उदाहरण के लिए, वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का प्रमाण करता है।[8]
यदि कोई पासवर्ड प्रणाली केवल पासवर्ड के हैश को संग्रहीत करता है, तो आक्रमणकारी सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तीव्रता से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। आक्रमण की इस विधि को हैश के साथ यादृच्छिक मूल्य, जिसे क्रिप्टोग्राफिक नमक कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले आक्रमणकारी को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, सामान्य उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।
पासवर्ड शक्ति के माप के रूप में एंट्रॉपी
कंप्यूटर उद्योग में सूचना एन्ट्रापी के संदर्भ में पासवर्ड की शक्ति निर्दिष्ट करना सामान्य है, जिसे बिट्स में मापा जाता है और सूचना सिद्धांत से अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के अतिरिक्त, उस संख्या का आधार -2 लघुगणक दिया जाता है, जिसे सामान्यतः पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, चूँकि यह सूचना एन्ट्रापी के रूप में बिल्कुल समान मात्रा नहीं है।[9] इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की स्ट्रिंग के रूप में कठोर होगा, उदाहरण के लिए उचित सिक्का टॉस द्वारा। दूसरी विधि, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 242 (4,398,046,511,104) की आवश्यकता होगी। क्रूर बल खोज के समय सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे आक्रमणकारी का कार्य दोगुना कठिन हो जाता है। औसतन, आक्रमणकारी को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।[4]
रैंडम पासवर्ड
रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक वर्ण सेट (जैसे, एएससीआईआई वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार पदबंध बनाते हैं)।
यादृच्छिक पासवर्ड की शक्ति अंतर्निहित संख्या जनरेटर की वास्तविक एन्ट्रॉपी पर निर्भर करती है; चूँकि, ये अधिकांशतः वास्तव में यादृच्छिक नहीं होते हैं, लेकिन छद्म यादृच्छिक होते हैं। कई सार्वजनिक रूप से उपलब्ध पासवर्ड जनरेटर प्रोग्रामिंग पुस्तकालयों में पाए जाने वाले यादृच्छिक संख्या जनरेटर का उपयोग करते हैं जो सीमित एन्ट्रॉपी प्रदान करते हैं। चूँकि अधिकांश आधुनिक ऑपरेटिंग प्रणाली क्रिप्टोग्राफ़िक रूप से कठोर यादृच्छिक संख्या जनरेटर प्रदान करते हैं जो पासवर्ड जनरेशन के लिए उपयुक्त हैं। यादृच्छिक पासवर्ड उत्पन्न करने के लिए साधारण पासा का उपयोग करना भी संभव है। रैंडम पासवर्ड जनरेटर विधियाँ देखें। रैंडम पासवर्ड प्रोग्राम में अधिकांशतः यह सुनिश्चित करने की क्षमता होती है कि परिणामी पासवर्ड स्थानीय पासवर्ड नीति का अनुपालन करता है; उदाहरण के लिए, सदैव अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण बनाकर।
प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो N संभावित प्रतीकों के सेट से लंबाई, L के प्रतीकों की स्ट्रिंग का विचित्र ढंग से चयन करता है, संभव पासवर्डों की संख्या प्रतीकों की संख्या को शक्ति L, अर्थात् NL तक बढ़ाकर पाई जा सकती है। L या N को बढ़ाने से उत्पन्न पासवर्ड कठोर होगा। सूचना एन्ट्रापी द्वारा मापी गई यादृच्छिक पासवर्ड की शक्ति केवल आधार -2 लघुगणक या संभावित पासवर्ड की संख्या का log2 है, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:
जहाँ N संभव प्रतीकों की संख्या है और L पासवर्ड में प्रतीकों की संख्या है। H को बिट्स में मापा जाता है।[4][10] अंतिम व्यंजक में, log किसी भी आधार (घातांक) का हो सकता है।
विभिन्न प्रतीक सेटों के लिए प्रति प्रतीक एंट्रॉपी प्रतीक सेट प्रतीक संख्या
Nएंट्रॉपी प्रति प्रतीक
Hअरबी अंक (0–9) (जैसे पिन) 10 3.322 bits हेक्साडेसिमल अंक (0–9, A–F) (जैसे डब्लूईपी कुंजियाँ) 16 4.000 bits केस असंवेदनशील लैटिन वर्णमाला (a–z or A–Z) 26 4.700 bits केस असंवेदनशील अक्षरांकीय (a–z or A–Z, 0–9) 36 5.170 bits केस संवेदी लैटिन वर्णमाला (a–z, A–Z) 52 5.700 bits केस संवेदी अक्षरांकीय (a–z, A–Z, 0–9) 62 5.954 bits स्पेस को छोड़कर सभी एएससीआईआई प्रिंट करने योग्य कैरेक्टर 94 6.555 bits सभी लैटिन-1 पूरक वर्ण 94 6.555 bits सभी एएससीआईआई प्रिंट करने योग्य वर्ण 95 6.570 bits सभी विस्तारित एएससीआईआई प्रिंट करने योग्य वर्ण 218 7.768 bits बाइनरी (0–255 or 8 बिट or 1 बाइट) 256 8.000 bits डाइक्वेयर शब्द सूची 7776 12.925 बिट प्रति शब्द
बाइनरी संख्या बाइट सामान्यतः दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।
लंबाई खोजने के लिए, L, वांछित शक्ति H प्राप्त करने के लिए आवश्यक है, N प्रतीकों के सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, गणना करता है:
जहाँ अगली सबसे बड़ी प्राकृतिक संख्या तक राउंडिंग को दर्शाता है।
निम्न तालिका सामान्य प्रतीक सेटों के लिए वांछित पासवर्ड एंट्रॉपी प्राप्त करने के लिए वास्तव में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की आवश्यक लंबाई दिखाने के लिए इस सूत्र का उपयोग करती है:
वांछित पासवर्ड
एंट्रॉपी H |
अरबी | हेक्साडेसिमल | असंवेदनशील स्थिति | संवेदनशील स्थिति | सभी एएससीआईआई | सभी विस्तारित | डाइक्वेयर शब्द सूची | ||
---|---|---|---|---|---|---|---|---|---|
लैटिन | अल्फा | लैटिन
वर्णमाला |
अल्फा
संख्यात्मक |
प्रिंट करने योग्य वर्ण | |||||
8 bits (1 byte) | 3 | 2 | 2 | 2 | 2 | 2 | 2 | 2 | 1 शब्द |
32 bits (4 bytes) | 10 | 8 | 7 | 7 | 6 | 6 | 5 | 5 | 3 शब्द |
40 bits (5 bytes) | 13 | 10 | 9 | 8 | 8 | 7 | 7 | 6 | 4 शब्द |
64 bits (8 bytes) | 20 | 16 | 14 | 13 | 12 | 11 | 10 | 9 | 5 शब्द |
80 bits (10 bytes) | 25 | 20 | 18 | 16 | 15 | 14 | 13 | 11 | 7 शब्द |
96 bits (12 bytes) | 29 | 24 | 21 | 19 | 17 | 17 | 15 | 13 | 8 शब्द |
128 bits (16 bytes) | 39 | 32 | 28 | 25 | 23 | 22 | 20 | 17 | 10 शब्द |
160 bits (20 bytes) | 49 | 40 | 35 | 31 | 29 | 27 | 25 | 21 | 13 शब्द |
192 bits (24 bytes) | 58 | 48 | 41 | 38 | 34 | 33 | 30 | 25 | 15 शब्द |
224 bits (28 bytes) | 68 | 56 | 48 | 44 | 40 | 38 | 35 | 29 | 18 शब्द |
256 bits (32 bytes) | 78 | 64 | 55 | 50 | 45 | 43 | 39 | 33 | 20 शब्द |
मानव जनित पासवर्ड
संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को सम्मिलित करने वाले अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था।[11]
इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के विश्लेषण में, अक्षर e का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर f का उपयोग केवल 250,000 बार किया गया था। समान वितरण (असतत) में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।[12]
उपयोगकर्ता पासवर्ड बनाने में संभवतया ही कभी बड़े वर्ण सेट का पूर्ण उपयोग करते हैं। उदाहरण के लिए, 2006 में माइस्पेस फ़िशिंग योजना से प्राप्त हैकिंग परिणामों से 34,000 पासवर्ड का पता चला, जिनमें से केवल 8.3% ने मिश्रित केस, संख्याओं और प्रतीकों का उपयोग किया।[13]
संपूर्ण एएससीआईआई वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी शक्ति केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, संभवतया ऊपरी और निचले स्थिति के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण इत्यादि। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में पैटर्न है और आक्रमणकारी के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की आशा की जा सकती है। यह पासवर्ड की शक्ति में कमी है। उत्तम आवश्यकता पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न सम्मिलित न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य विधियों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि सामान्य है।
एनआईएसटी विशेष प्रकाशन 800-63-2
जून 2004 का एनआईएसटी विशेष प्रकाशन 800-63 (संशोधन दो) ने मानव जनित पासवर्डों की एंट्रॉपी को अनुमानित करने के लिए योजना का सुझाव दिया:[4] इस योजना का उपयोग करते हुए, आठ-वर्ण मानव-चयनित पासवर्ड बिना अपरकेस वर्णों और गैर-अल्फाबेटिक वर्णों के साथ या दो वर्ण सेटों में से किसी एक के साथ एंट्रॉपी के अठारह बिट होने का अनुमान है। एनआईएसटी प्रकाशन स्वीकार करता है कि विकास के समय, पासवर्ड के वास्तविक विश्व चयन पर बहुत कम जानकारी उपलब्ध थी। बाद में नए उपलब्ध वास्तविक विश्व डेटा का उपयोग करके मानव-चयनित पासवर्ड एन्ट्रॉपी में शोध ने प्रदर्शित किया है कि एनआईएसटी योजना मानव-चयनित पासवर्ड के एंट्रॉपी अनुमान के लिए वैध मीट्रिक प्रदान नहीं करती है।[14] एसपी 800-63 (संशोधन तीन) का जून 2017 संशोधन इस दृष्टिकोण को छोड़ देता है।[15]
प्रयोज्यता और कार्यान्वयन विचार
क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 एएससीआईआई प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है। यह अंतरराष्ट्रीय यात्री के लिए समस्या प्रस्तुत कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट प्रणाली में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि टैबलेट कंप्यूटर और स्मार्टफोन , विशेष वर्णों को अंकित करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।
प्रमाणीकरण कार्यक्रम अलग-अलग होते हैं जिनमें वे पासवर्ड में वर्णों की अनुमति देते हैं। कुछ स्थितियों के अंतर को नहीं पहचानते हैं (उदाहरण के लिए, अपर-केस ई को लोअर-केस ई के बराबर माना जाता है), अन्य कुछ अन्य प्रतीकों को प्रतिबंधित करते हैं। पिछले कुछ दशकों में, प्रणाली ने पासवर्ड में अधिक वर्णों की अनुमति दी है, लेकिन सीमाएँ अभी भी उपलब्ध हैं। अनुमत पासवर्ड की अधिकतम लंबाई में प्रणाली भी भिन्न होते हैं।
व्यावहारिक स्थितियों के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त कठोर होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत कठिन है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा संकट मानते हैं।[16] इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए विवश करना केवल अशक्त पासवर्ड को समायोजित कर सकता है, और इस प्रकार बड़ा सुरक्षा संकट उत्पन्न करता है। ब्रूस श्नेयर के अनुसार, अधिकतर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए उत्तमीन स्थान है।[17]
एंट्रॉपी के आवश्यक बिट्स
पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए संकट के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। [rfc:4086 आरएफसी 4086], सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण संकट के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें।[18] यदि केवल ऑनलाइन आक्रमणों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित 12-वर्ण यादृच्छिक पासवर्ड का पक्षसमर्थन किया गया था, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में किया गया था।[5][19] ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन आक्रमणों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक बिट्स भी बढ़ने चाहिए।
ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, ईएफएफ डीईएस क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट डेटा एन्क्रिप्शन मानक एन्क्रिप्शन को तोड़ दिया था।[20] 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया।[21] 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे।[22] मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई आशा नहीं है कि कोई भी डिजिटल कम्प्यूटर (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स आक्रमण के माध्यम से तोड़ने में सक्षम होगा।[23] क्वांटम कंप्यूटर व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, चूँकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।[24]
कठोर पासवर्ड के लिए दिशानिर्देश
सामान्य दिशानिर्देश
अच्छे पासवर्ड चुनने के दिशानिर्देश सामान्यतः बुद्धिमान अनुमान लगाकर पासवर्ड खोजने के लिए कठिन बनाने के लिए डिज़ाइन किए जाते हैं। सॉफ्टवेयर प्रणाली सुरक्षा के समर्थकों द्वारा समर्थित सामान्य दिशानिर्देशों में सम्मिलित हैं:[25][26][27][28][29]
- 8 की न्यूनतम पासवर्ड लंबाई पर विचार करें[30] सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और सरली से याद रखने वाले पासवर्ड की सलाह देते हैं।[31][32]
- जहाँ संभव हो, विचित्र ढंग से पासवर्ड उत्पन्न करें।
- एक ही पासवर्ड का दो बार उपयोग करने से बचें (उदाहरण के लिए कई उपयोगकर्ता खातों और/या सॉफ़्टवेयर प्रणाली में)।
- चरित्र दोहराव, कीबोर्ड पैटर्न, शब्दकोश शब्द, अक्षर या संख्या क्रम से बचें।
- ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता या खाते से सार्वजनिक रूप से जुड़ी हो या हो सकती है, जैसे कि उपयोगकर्ता का नाम, पूर्वजों के नाम या दिनांक।
- ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता के सहकर्मियों और/या परिचितों को उपयोगकर्ता से संबद्ध होने के बारे में पता हो, जैसे रिश्तेदारों या पालतू जानवरों के नाम, रोमांटिक लिंक (वर्तमान या अतीत) और जीवनी संबंधी जानकारी (जैसे आईडी नंबर, पूर्वजों के नाम या दिनांक)।
- ऐसे पासवर्ड का उपयोग न करें जो उपरोक्त अशक्त घटकों के किसी भी सरल संयोजन से पूरी तरह से बने हों।
पासवर्ड में लोअरकेस, अपरकेस अक्षर वर्णों, संख्याओं और प्रतीकों को बाध्य करना सामान्य नीति थी, लेकिन वास्तव में इसे क्रैक करना सरल बनाकर सुरक्षा को कम करना पाया गया है। शोध से पता चला है कि ऐसे प्रतीकों का सामान्य उपयोग कितना अनुमानित है, और यू.एस.[33] यूके[34] सरकारी साइबर सुरक्षा विभाग उन्हें पासवर्ड नीति में सम्मिलित करने के लिए बाध्य नहीं करने की सलाह देते हैं। जटिल प्रतीक भी पासवर्ड को याद रखना अधिक कठिन बनाते हैं, जो लिखने को बढ़ाता है, पासवर्ड रीसेट करता है और पासवर्ड का पुन: उपयोग करता है - ये सभी पासवर्ड सुरक्षा में संशोधन करने के अतिरिक्त कम करते हैं। पासवर्ड जटिलता नियमों के मूल लेखक, बिल बूर ने क्षमा मांगी है और स्वीकार किया है कि वे वास्तव में सुरक्षा को कम करते हैं, जैसा कि शोध में पाया गया है; यह 2017 में मीडिया में व्यापक रूप से रिपोर्ट किया गया था।[35] पासवर्ड पर सर्वोत्तम अभ्यास सलाह में ऑनलाइन सुरक्षा शोधकर्ता[36] और सलाहकार भी परिवर्तन के समर्थक हैं।[37]
कुछ दिशानिर्देश पासवर्ड लिखने के विरुद्ध सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित प्रणाली को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को सुरक्षित स्थान पर रखा जाता है, मॉनिटर या डेस्क दराज अनलॉक में संलग्न नहीं होता है।[38] एनसीएससी द्वारा पासवर्ड प्रबंधक के उपयोग का पक्षसमर्थन किया जाता है।[39]
पासवर्ड के लिए निर्धारित संभावित कैरेक्टर को अलग-अलग वेब साइट्स या कीबोर्ड की उस रेंज द्वारा सीमित किया जा सकता है, जिस पर पासवर्ड अंकित किया जाना चाहिए।[40]
अशक्त पासवर्ड के उदाहरण
जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में अशक्त हैं। उदाहरण के लिए, शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच शक्ति में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - सामान्य दृष्टिकोण) पासवर्ड क्रैकिंग उपकरण को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी शक्ति जोड़ता है। नीचे दिए गए उदाहरण अशक्त पासवर्ड बनाने के विभिन्न विधियों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।[12]
- डिफ़ॉल्ट पासवर्ड (जैसा कि प्रणाली विक्रेता द्वारा प्रदान किया गया है और स्थापना के समय बदला जाना है): पासवर्ड, डिफ़ॉल्ट, व्यवस्थापक, अतिथि, आदि। डिफ़ॉल्ट पासवर्ड की सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।
- शब्दकोश शब्द: गिरगिट, रेडसॉक्स, सैंडबैग, बनीहॉप !, इंटेंस क्रैबट्री, आदि, गैर-अंग्रेजी शब्दकोशों में शब्दों सहित।
- संलग्न संख्या वाले शब्द: पासवर्ड 1, डीयर 2000, जॉन 1234, आदि, थोड़े समय के साथ स्वचालित रूप से सरली से परीक्षण किए जा सकते हैं।
- सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, डिजीनोटर आक्रमण में समझौता किया गया डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।[41]
- दोगुने शब्द: क्रैक्रैब, स्टॉपस्टॉप, ट्रीट्री, पासपास, आदि।
- कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
- सुप्रसिद्ध संख्याओं जैसे 911 पर आधारित सांख्यिक अनुक्रम (9-1-1, 9/11), 314159... (pi), 27182... (e), 112 (1-1-2), आदि।
- पहचानकर्ता: jsmith123, 1/1/1970, 555–1234, किसी का उपयोगकर्ता नाम, आदि।
- गैर-अंग्रेज़ी भाषाओं में अशक्त पासवर्ड, जैसे कॉन्ट्रासेना (स्पेनिश) और ji32k7au4a83 (चीनी से बोपोमोफो कीबोर्ड एन्कोडिंग)[42]
- व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की साधारण जांच के बाद सरली से स्वचालित रूप से परीक्षण किया जा सकता है।
- तिथियां: तिथियां पैटर्न का पालन करती हैं और आपके पासवर्ड को अशक्त बनाती हैं।
- प्रसिद्ध स्थानों के नाम: न्यूयॉर्क, टेक्सास, चीन, लंदन, आदि।
- ब्रांडों, मशहूर हस्तियों, खेल टीमों, संगीत समूहों, टीवी शो, फिल्मों आदि के नाम।
पासवर्ड अशक्त होने की और भी कई विधियाँ हो सकती हैं,[43] विभिन्न आक्रमण योजनाओं की शक्ति के अनुरूप; मूल सिद्धांत यह है कि पासवर्ड में उच्च एन्ट्रापी (सामान्यतः यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा सरली से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अधिकांशतः रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे हैकर समझ सकता है और ऐसा करके पासवर्ड को बायपास कर सकता है। कठिन से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।[44]
पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार
दिसंबर, 2012 में, विलियम चेसविक ने एसीएम पत्रिका में प्रकाशित लेख लिखा था जिसमें सामान्यतः अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना सरल या कठिन होगा, इसकी गणितीय संभावनाएं सम्मिलित थीं। अपने लेख में, विलियम ने दिखाया कि मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के आक्रमण का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास मल्टी-कोर प्रणाली का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (अर्थात् 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड सामान्य शब्द का उपयोग नहीं करता है कि शब्दकोश आक्रमण बहुत शीघ्र टूट सकता है। इस शक्ति के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे परिवर्तित करने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।[45][46]
पासवर्ड नीति
पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए गाइड है। इसका विचार है:
- कठोर पासवर्ड चुनने में उपयोगकर्ताओं की सहायता करें
- सुनिश्चित करें कि पासवर्ड लक्ष्य जनसँख्या के अनुकूल हैं
- उपयोगकर्ताओं को उनके पासवर्ड से निपटने के संबंध में पक्षसमर्थन प्रदान करें
- किसी भी पासवर्ड को परिवर्तित करने का पक्षसमर्थन करें जो खो गया है या समझौता करने का संदेह है
- अशक्त या सरली से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।
पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड सम्मिलित होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान कम सुरक्षित के रूप में मूल प्रेरक द्वारा[47] इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा[48]) यूएसए[49] और यूके में रोक कर दिया गया है।[50][51] प्रयुक्त प्रतीकों के पासवर्ड जटिलता नियम पहले गूगल जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे[52] और फेसबुक,[53] लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा संकट है, और प्रयुक्त जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में सहायता करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। विवश जटिलता नियम भी समर्थन व्यय, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।
पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे रोक दिया गया है[35] सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने पासवर्ड समाप्ति की सुविधा हटा दिया है।[54] पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी:[55]
- अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय आक्रमणकारी के लिए अपर्याप्त समय सुनिश्चित करने में सहायता कर सकता है।
- यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से परिवर्तित करने की आवश्यकता आक्रमणकारी के लिए एक्सेस समय को सीमित कर सकती है।
चूँकि, पासवर्ड समाप्ति की अपनी कमियाँ हैं:[56][57]
- उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए कहना सरल, अशक्त पासवर्ड को प्रोत्साहित करता है।
- अगर किसी के पास वास्तव में कठोर पासवर्ड है, तो उसे बदलने का कोई अर्थ नहीं है। पहले से ही कठोर पासवर्ड बदलने से नया पासवर्ड कम कठोर होने का संकट होता है।
- किसी हैकर द्वारा पिछले दरवाजे (कंप्यूटिंग) को स्थापित करने के लिए अधिकांशतः विशेषाधिकार वृद्धि के माध्यम से समझौता किए गए कि पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में आक्रमणकारी की पहुंच को नहीं रोकेंगे।
- किसी के पासवर्ड को कभी न परिवर्तित करने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड परिवर्तित करने की ओर बढ़ने से क्रूर बल के आक्रमण में पासवर्ड का अनुमान लगाने से पहले आक्रमणकारी को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड परिवर्तित करने की तुलना में केवल वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।
पासवर्ड बनाना और संभालना
किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के आक्रमणों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले आक्रमण (उच्च एन्ट्रापी के कारण)। चूँकि, ऐसे पासवर्ड सामान्यतः याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को प्रयुक्त करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के विरुद्ध सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा संकट बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की आशा है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने का पक्षसमर्थन किया:
सीधे शब्दों में, लोग अब पासवर्ड को पर्याप्त रूप से याद नहीं रख सकते हैं जिससे शब्दकोश के आक्रमणों से कठोरता से बचाव किया जा सके, और यदि वे याद रखने के लिए बहुत जटिल पासवर्ड चुनते हैं और फिर उसे लिख लेते हैं तो वे अधिक सुरक्षित होते हैं। हम कागज के छोटे टुकड़ों को प्राप्त करने में अच्छे हैं। मेरा सुझाव है कि लोग अपने पासवर्ड को कागज के एक छोटे से टुकड़े पर लिख लें, और इसे अपने अन्य मूल्यवान छोटे कागज़ के टुकड़ों के साथ अपने बटुए में रखें।[38]
यदि सावधानी से उपयोग किया जाए तो निम्नलिखित उपायों से कठोर पासवर्ड आवश्यकताओं की स्वीकृति बढ़ सकती है:
- प्रशिक्षण कार्यक्रम; साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)
- दर को कम करके, या पासवर्ड परिवर्तन (पासवर्ड समाप्ति) की आवश्यकता को पूरी तरह से समाप्त करके कठोर पासवर्ड उपयोगकर्ताओं को पुरस्कृत करना। उपयोगकर्ता द्वारा चुने गए पासवर्ड की शक्ति का अनुमान स्वचालित प्रोग्राम द्वारा लगाया जा सकता है जो पासवर्ड सेट या बदलते समय प्रस्तावित पासवर्ड का निरीक्षण और मूल्यांकन करते हैं।
- प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, समझौता किए गए पासवर्ड का सुझाव दे रहा है।
- उपयोगकर्ताओं को स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। चूँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के सरली से अनुमान लगाए गए या शोध किए गए उत्तर कठोर पासवर्ड प्रणाली के लाभों को बायपास कर देते हैं।
- यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की प्रस्तुति करता है।
मेमोरी तकनीक
पासवर्ड नीतियाँ कभी-कभी पासवर्ड याद रखने में सहायता के लिए स्मृति संशोधनों का सुझाव देती हैं:
- स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या अधिक यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत सरल होते हैं। उदाहरण के लिए, स्मरणार्थ वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड शक्ति लगभग 3.7 बिट प्रति वर्ण है।[58] मूर्ख लोग संभवतः अधिक स्मरणार्थ होते हैं।[59] विचित्र ढंग से दिखने वाले पासवर्ड को और अधिक स्मरणार्थ बनाने की एक और विधि है विचित्र ढंग से चुने गए अक्षरों के अतिरिक्त यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
- आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, मेमोनिक का आविष्कार करें जो फिट बैठता है।[60] यह उचित या समझदार नहीं होना चाहिए, केवल स्मरणार्थ होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
- पासवर्ड का दृश्य प्रतिनिधित्व: पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदाहरण; अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है;[61] इसके अतिरिक्त, ऐसे स्थानिक पैटर्न वाले पासवर्ड में संशोधन किया जा सकता है।[62][63]
- पासवर्ड पैटर्न: पासवर्ड में कोई भी पैटर्न अनुमान लगाना (स्वचालित या नहीं) सरल बनाता है और आक्रमणकारी के कार्य कारक को कम करता है।
- उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक स्मरणार्थ बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे पशुबल का आक्रमण पासवर्ड आक्रमण काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, यूनाइटेड किंगडम सरकार के विभाग के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।
पासवर्ड की सुरक्षा
कंप्यूटर उपयोगकर्ताओं को सामान्यतः सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें।[64] चूँकि, सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अधिकांशतः छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (स्मरणार्थ) योजना के उपयोग को रोकती हैं, तो अधिकांशतः परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे।
2005 के सुरक्षा सम्मेलन में माइक्रोसॉफ्ट विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा प्रमाण है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ।[65]
सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से कूटलेखन किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें।[66] यहां तक कि उत्तम विधि यह है कि सामान्यतः उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ अशक्त पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें।[67]
मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के पीडब्ल्यूडीहैश द्वारा इस दृष्टिकोण प्रिंसटन का पासवर्ड गुणक,[68] और अन्य स्टेटलेस पासवर्ड प्रबंधक का उपयोग किया जाता है।[69] इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।
पासवर्ड प्रबंधक
बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग प्रणाली में निर्मित प्रबंधक सम्मिलित हैं। पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की आवश्यकता नहीं है, यह एकल पासवर्ड कठोर और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित यादृच्छिक पासवर्ड जनरेटर का उपयोग करके स्वचालित रूप से कठोर पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। अच्छा पासवर्ड मैनेजर कुंजी लॉगिंग, क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे आक्रमणों के विरुद्ध प्रतिरोध प्रदान करेगा।
यह भी देखें
- कीस्ट्रोक लॉगिंग
- पासफ़्रेज़
- फ़िशिंग
- भेद्यता (कंप्यूटिंग)
संदर्भ
- ↑ "Cyber Security Tip ST04-002". Choosing and Protecting Passwords. US CERT. Archived from the original on July 7, 2009. Retrieved June 20, 2009.
- ↑ "Why User Names and Passwords Are Not Enough | SecurityWeek.Com". www.securityweek.com. 31 January 2019. Retrieved 2020-10-31.
- ↑ "Millions using 123456 as password, security study finds". BBC News. 21 April 2019. Retrieved 24 April 2019.
- ↑ 4.0 4.1 4.2 4.3 "SP 800-63 – Electronic Authentication Guideline" (PDF). NIST. Archived from the original (PDF) on July 12, 2004. Retrieved April 20, 2014.
- ↑ 5.0 5.1 "Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System". Georgia Tech Research Institute. Archived from the original on 2010-12-30. Retrieved 2010-11-07.
- ↑ US patent 7929707, Andrey V. Belenko, "पासवर्ड पुनर्प्राप्ति के लिए समानांतर गणित सह-प्रोसेसर के रूप में ग्राफ़िक्स प्रोसेसर का उपयोग", issued 2011-04-19, assigned to Elcomsoft Co. Ltd.
- ↑ Elcomsoft.com Archived 2006-10-17 at the Wayback Machine, ElcomSoft Password Recovery Speed table, NTLM passwords, Nvidia Tesla S1070 GPU, accessed 2011-02-01
- ↑ Elcomsoft Wireless Security Auditor, HD5970 GPU Archived 2011-02-19 at the Wayback Machine accessed 2011-02-11
- ↑ James Massey (1994). "अनुमान और एन्ट्रापी" (PDF). Proceedings of 1994 IEEE International Symposium on Information Theory. IEEE. p. 204.
- ↑ Schneier, B: Applied Cryptography, 2e, page 233 ff. John Wiley and Sons.
- ↑ Florencio, Dinei; Herley, Cormac (May 8, 2007). "वेब पासवर्ड की आदतों का बड़े पैमाने पर अध्ययन" (PDF). Proceeds of the International World Wide Web Conference Committee: 657. doi:10.1145/1242572.1242661. ISBN 9781595936547. S2CID 10648989. Archived (PDF) from the original on March 27, 2015.
- ↑ 12.0 12.1 Burnett, Mark (2006). Kleiman, Dave (ed.). Perfect Passwords. Rockland, Massachusetts: Syngress Publishing. p. 181. ISBN 978-1-59749-041-2.
- ↑ Bruce Schneier (December 14, 2006). "माइस्पेस पासवर्ड इतने मूर्ख नहीं हैं". Wired Magazine. Archived from the original on May 21, 2014. Retrieved April 11, 2008.
- ↑ Matt Weir; Susdhir Aggarwal; Michael Collins; Henry Stern (7 October 2010). "प्रकट किए गए पासवर्डों के बड़े सेट पर हमला करके पासवर्ड निर्माण नीतियों के लिए मेट्रिक्स का परीक्षण करना" (PDF). Archived from the original on July 6, 2012. Retrieved March 21, 2012.
- ↑ "SP 800-63-3 – Digital Identity Guidelines" (PDF). NIST. June 2017. Archived from the original on August 6, 2017. Retrieved August 6, 2017.
- ↑ A. Allan. "पासवर्ड ब्रेकिंग पॉइंट के पास हैं" (PDF). Gartner. Archived from the original (PDF) on April 27, 2006. Retrieved April 10, 2008.
- ↑ Bruce Schneier. "सुरक्षा पर श्नाइयर". Write Down Your Password. Archived from the original on April 13, 2008. Retrieved April 10, 2008.
- ↑ सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ. doi:10.17487/RFC4086. RFC 4086.
- ↑ "Want to deter hackers? Make your password longer". NBC News. 2010-08-19. Retrieved 2010-11-07.
- ↑ "ईएफएफ डेस क्रैकर मशीन क्रिप्टो बहस में ईमानदारी लाती है". EFF. Archived from the original on January 1, 2010. Retrieved March 27, 2008.
- ↑ "64-bit key project status". Distributed.net. Archived from the original on September 10, 2013. Retrieved March 27, 2008.
- ↑ "72-bit key project status". Distributed.net. Retrieved October 12, 2011.
- ↑ Bruce Schneier. "Snakeoil: Warning Sign #5: Ridiculous key lengths". Archived from the original on April 18, 2008. Retrieved March 27, 2008.
- ↑ "क्वांटम कम्प्यूटिंग और एन्क्रिप्शन ब्रेकिंग". Stack Overflow. 2011-05-27. Archived from the original on 2013-05-21. Retrieved 2013-03-17.
- ↑ Microsoft Corporation, Strong passwords: How to create and use them Archived 2008-01-01 at the Wayback Machine
- ↑ Bruce Schneier, Choosing Secure Passwords Archived 2008-02-23 at the Wayback Machine
- ↑ Google, Inc., How safe is your password? Archived 2008-02-22 at the Wayback Machine
- ↑ University of Maryland, Choosing a Good Password Archived 2014-06-14 at the Wayback Machine
- ↑ Bidwell, Teri (2002). Hack Proofing Your Identity in the Information Age. Syngress Publishing. ISBN 978-1-931836-51-7.
- ↑ "NIST PASSWORD GUIDELINES IN 2020". Stealthbits. 18 August 2020. Retrieved 17 May 2021.
- ↑ "पासवर्ड नीति - अपने दृष्टिकोण को अपडेट करना". UK National Cyber Security Centre. Retrieved 17 May 2021.
- ↑ "Choosing and Protecting Passwords | CISA". www.cisa.gov. Retrieved 2022-01-12.
- ↑ "डिजिटल पहचान दिशानिर्देश". USA National Institute for Standards and Technology. Retrieved 17 May 2021.
- ↑ "सिस्टम स्वामियों के लिए पासवर्ड प्रशासन". UK National Cyber Security Centre. Retrieved 17 May 2021.
- ↑ 35.0 35.1 "पासवर्ड नियम - पासवर्ड जटिलता के संस्थापक सॉरी कहते हैं!". Retrieved 17 May 2021.
- ↑ "साइलैब प्रयोग करने योग्य गोपनीयता और सुरक्षा प्रयोगशाला (सीयूपीएस)". Carnegie Mellon University (USA). Retrieved 17 May 2021.
- ↑ Bruce, Schneier. "पासवर्ड सर्वोत्तम प्रथाओं में परिवर्तन". Schneier on Security. Retrieved 17 May 2021.
- ↑ 38.0 38.1 "अपना पासवर्ड लिख लें - श्नेयर ऑन सिक्योरिटी". www.schneier.com. Archived from the original on 2008-04-13.
- ↑ "What does the NCSC think of password managers?". www.ncsc.gov.uk. Archived from the original on 2019-03-05.
- ↑ e.g. for a keyboard with only 17 nonalphanumeric characters, see one for a BlackBerry phone in an enlarged image Archived 2011-04-06 at the Wayback Machine in support of Sandy Berger, BlackBerry Tour 9630 (Verizon) Cell Phone Review, in Hardware Secrets (August 31, 2009) Archived April 6, 2011, at the Wayback Machine, both as accessed January 19, 2010. That some websites don’t allow nonalphanumerics is indicated by Kanhef, Idiots, For Different Reasons (June 30, 2009) (topic post) Archived April 6, 2011, at the Wayback Machine, as accessed January 20, 2010.
- ↑ "ComodoHacker responsible for DigiNotar Attack – Hacking News". Thehackernews.com. 2011-09-06. Archived from the original on 2013-05-17. Retrieved 2013-03-17.
- ↑ Dave Basner (8 March 2019). "Here's Why 'ji32k7au4a83' Is A Surprisingly Common Password". Retrieved 25 March 2019.
- ↑ Bidwell, p. 87
- ↑ "एक अच्छा पासवर्ड चुनने के लिए दिशानिर्देश". Lockdown.co.uk. 2009-07-10. Archived from the original on 2013-03-26. Retrieved 2013-03-17.
- ↑ William, Cheswick (2012-12-31). "HTML संस्करण - पासवर्ड पर पुनर्विचार". Association for Computing Machinery (ACM). Archived from the original on 2019-11-03. Retrieved 2019-11-03.
- ↑ William, Cheswick (2012-12-31). "एसीएम डिजिटल लाइब्रेरी - पासवर्ड पर पुनर्विचार". Queue. 10 (12): 50–56. doi:10.1145/2405116.2422416. Archived from the original on 2019-11-03. Retrieved 2019-11-03.
- ↑ "पासवर्ड जटिलता नियमों के संस्थापक बिल बूर कहते हैं सॉरी!". Retrieved 17 May 2021.
- ↑ "ऑनलाइन सेवाओं में पासवर्ड". UK Information Commissioner's Office (ICO). Retrieved 17 May 2021.
- ↑ "डिजिटल पहचान दिशानिर्देश". USA National Institute of Standards and Technology. Retrieved 17 May 2021.
- ↑ "न्यूनतम शक्ति, न्यूनतम लंबाई, और ब्लॉकलिस्ट आवश्यकताओं को मिलाकर मजबूत, अधिक उपयोग करने योग्य पासवर्ड के लिए व्यावहारिक अनुशंसाएं" (PDF). Carnegie Mellon University. Retrieved 17 May 2021.
- ↑ "पासवर्ड मार्गदर्शन" (PDF). Cyber Security, UK Government Communications Headquarters. Retrieved 17 May 2021.
- ↑ "एक मजबूत पासवर्ड बनाएँ". Google Inc. Retrieved 17 May 2021.
- ↑ "लॉगिन और पासवर्ड मदद". FaceBook Inc. Retrieved 17 May 2021.
- ↑ "Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903". Microsoft. Retrieved 17 May 2021.
- ↑ "पासवर्ड समाप्ति के बचाव में". League of Professional Systems Administrators. Archived from the original on October 12, 2008. Retrieved April 14, 2008.
- ↑ "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.
- ↑ Eugene Spafford. "सुरक्षा मिथक और पासवर्ड". The Center for Education and Research in Information Assurance and Security. Archived from the original on April 11, 2008. Retrieved April 14, 2008.
- ↑ Johannes Kiesel; Benno Stein; Stefan Lucks (2017). "स्मरक पासवर्ड सलाह का एक बड़े पैमाने पर विश्लेषण" (PDF). Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17). Internet Society. Archived from the original (PDF) on 2017-03-30. Retrieved 2017-03-30.
- ↑ Mnemonic Devices (Indianapolis, Ind.: Bepko Learning Ctr., University College), as accessed January 19, 2010 Archived June 10, 2010, at the Wayback Machine
- ↑ Remembering Passwords (ChangingMinds.org) Archived 2010-01-21 at Wikiwix, as accessed January 19, 2010
- ↑ Cipresso, P; Gaggioli, A; Serino, S; Cipresso, S; Riva, G (2012). "यादगार और मजबूत पासवर्ड कैसे बनाएं". J Med Internet Res. 14 (1): e10. doi:10.2196/jmir.1906. PMC 3846346. PMID 22233980.
- ↑ Brumen, B; Heričko, M; Rozman, I; Hölbl, M (2013). "सुरक्षा विश्लेषण और साइकोपास पद्धति में सुधार।". J Med Internet Res. 15 (8): e161. doi:10.2196/jmir.2366. PMC 3742392. PMID 23942458.
- ↑ "zxcvbn: realistic password strength estimation". Dropbox Tech Blog. Archived from the original on 2015-04-05.
- ↑ Morley, Katie (2016-02-10). "Use the same password for everything? You're fuelling a surge in current account fraud". Telegraph.co.uk (in English). Archived from the original on 2017-05-13. Retrieved 2017-05-22.
- ↑ Microsoft security guru: Jot down your passwords Archived 2016-02-05 at the Wayback Machine, c\net Retrieved on 2016-02-02
- ↑ Simple methods (e.g., ROT13 and some other old ciphers) may suffice; for more sophisticated hand-methods see Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2) Archived November 13, 2015, at the Wayback Machine, as accessed January 19, 2010, and Sam Siewert, Big Iron Lessons, Part 5: Introduction to Cryptography, From Egypt Through Enigma (IBM, July 26, 2005) Archived August 3, 2010, at the Wayback Machine, as accessed January 19, 2010.
- ↑ "Safer Password For Web, Email And Desktop/Mobile Apps". bizpages.org. Retrieved 2020-09-14.
- ↑ J. Alex Halderman; Brent Waters; Edward W. Felten (2005). पासवर्ड सुरक्षित रूप से प्रबंधित करने के लिए एक सुविधाजनक तरीका (PDF). ACM. pp. 1–9. Archived (PDF) from the original on 2016-01-15.
- ↑ Blake Ross; Collin Jackson; Nicholas Miyake; Dan Boneh; John C. Mitchell (2005). "ब्राउज़र एक्सटेंशन का उपयोग कर मजबूत पासवर्ड प्रमाणीकरण" (PDF). Proceedings of the 14th Usenix Security Symposium. USENIX. pp. 17–32. Archived (PDF) from the original on 2012-04-29.