पासवर्ड स्ट्रेंथ: Difference between revisions

Latest revision as of 11:59, 8 September 2023

कीपास में यादृच्छिक पासवर्ड पीढ़ी टूल का विकल्प मेनू। अधिक कैरेक्टर सबसेट को सक्षम करने से जनरेट किए गए पासवर्ड की शक्ति थोड़ी मात्रा में बढ़ जाती है, जबकि उनकी लंबाई बढ़ने से शक्ति बड़ी मात्रा में बढ़ जाती है।

पासवर्ड की शक्ति अनुमान लगाने या क्रूर-बल के आक्रमणों के विरुद्ध पासवर्ड की प्रभावशीलता का उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि आक्रमणकारी जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की शक्ति लंबाई, जटिलता और अप्रत्याशितता का कार्य है।^[1]

स्ट्रांग पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र संकट को कम करता है, लेकिन कठोर पासवर्ड अन्य प्रभावी सुरक्षा नियंत्रण की आवश्यकता को प्रतिस्थापित नहीं करते हैं।^[2] किसी दिए गए शक्ति के पासवर्ड की प्रभावशीलता प्रमाणीकरण कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।

दर जिस पर आक्रमणकारी प्रणाली को अनुमानित पासवर्ड जमा कर सकता है, प्रणाली सुरक्षा का निर्धारण करने में महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य अशक्तियों के अभाव में, ऐसी प्रणाली को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। चूँकि, प्रणाली को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो प्रणाली सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड संकट में हो सकते हैं।

2019 में, यूनाइटेड किंगडम के राष्ट्रीय साइबर सुरक्षा केंद्र (यूनाइटेड किंगडम) ने उल्लंघन किए गए खातों के सार्वजनिक डेटाबेस का विश्लेषण किया, यह देखने के लिए कि लोग किन शब्दों, वाक्यांशों और स्ट्रिंग्स का उपयोग करते हैं। सूची में सबसे लोकप्रिय पासवर्ड 123456 था, जो 23 मिलियन से अधिक पासवर्ड में दिखाई दे रहा था। दूसरी सबसे लोकप्रिय स्ट्रिंग, 123456789, को क्रैक करना अधिक कठिन नहीं था, जबकि शीर्ष पांच में क्वर्टी, पासवर्ड और 1111111 सम्मिलित थे।^[3]

पासवर्ड निर्माण

पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाली स्थिति अधिक सामान्य है। जबकि क्रूर-बल आक्रमण के विरुद्ध विचित्र ढंग से चुने गए पासवर्ड की शक्ति की गणना स्पष्ट रूप से की जा सकती है, मानव-जनित स्ट्रांग पासवर्ड निर्धारण करना कठिन है।

कंप्यूटर प्रणाली या इंटरनेट वेबसाइट के लिए नया खाता बनाते समय सामान्यतः, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के सेट द्वारा प्रतिबंधित किया जाता है। शक्ति का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न सामान्यतः आक्रमणकारी की सहायता कर सकते हैं।^[4] इसके अतिरिक्त, सामान्यतः चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश सम्मिलित हैं, जिनका उल्लंघन किया गया है; अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से साधारण पाठ और क्रिप्टोग्राफिक_हैश_फलन पासवर्ड के डेटाबेस सम्मिलित हैं। ऐसी सूचियों में सभी आइटम अशक्त माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।

चूँकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना सरल है, वे सामान्यतः यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अधिकांशतः लोग अपना स्वयं का चयन करना पसंद करते हैं। चूँकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण सामान्यतः पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन सामाजिक मीडिया के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत सरल बना दिया है।

पासवर्ड अनुमान सत्यापन

प्रणाली जो प्रमाणीकरण के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए अंकित किए गए किसी भी पासवर्ड की जांच करने की कोई विधि होनी चाहिए। यदि मान्य पासवर्ड केवल प्रणाली फ़ाइल या डेटाबेस में संग्रहीत हैं, तो आक्रमणकारी जो प्रणाली तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे आक्रमणकारी को आक्रमण वाली प्रणाली पर सभी खातों और संभावित रूप से अन्य प्रणालीों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस संकट को कम करने की विधि यह है कि पासवर्ड के अतिरिक्त प्रत्येक पासवर्ड का केवल क्रिप्टोग्राफिक हैश स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (एसएचए) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए आक्रमणकारी जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। चूँकि, हैश मान का ज्ञान आक्रमणकारी को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। पासवर्ड क्रैकिंग प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।

कंप्यूटिंग प्रौद्योगिकी में संशोधन उस दर को बढ़ाता रहता है, जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, जॉर्जिया टेक रिसर्च इंस्टीट्यूट ने बहुत तीव्रता से पासवर्ड क्रैक करने के लिए जीपीजीपीयू का उपयोग करने की विधि विकसित की थी।^[5] एलकॉमसॉफ्ट ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और शीघ्र ही अमेरिका में संबंधित पेटेंट प्रस्तुत किया।^[6] 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता को प्रमाण करते थे।^[7] इस तरह की उपकरण एक दिन में छह-अक्षर वाले एकल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं; जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। चूँकि कुंजी खींचना का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।

एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब क्रिप्टोग्राफ़िक कुंजी बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे स्थितियों में, आक्रमणकारी शीघ्रता से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं करता है। उदाहरण के लिए, वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का प्रमाण करता है।^[8]

यदि कोई पासवर्ड प्रणाली केवल पासवर्ड के हैश को संग्रहीत करता है, तो आक्रमणकारी सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तीव्रता से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। आक्रमण की इस विधि को हैश के साथ यादृच्छिक मूल्य, जिसे क्रिप्टोग्राफिक नमक कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले आक्रमणकारी को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, सामान्य उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।

पासवर्ड शक्ति के माप के रूप में एंट्रॉपी

कंप्यूटर उद्योग में सूचना एन्ट्रापी के संदर्भ में पासवर्ड की शक्ति निर्दिष्ट करना सामान्य है, जिसे बिट्स में मापा जाता है और सूचना सिद्धांत से अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के अतिरिक्त, उस संख्या का आधार -2 लघुगणक दिया जाता है, जिसे सामान्यतः पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, चूँकि यह सूचना एन्ट्रापी के रूप में बिल्कुल समान मात्रा नहीं है।^[9] इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की स्ट्रिंग के रूप में कठोर होगा, उदाहरण के लिए उचित सिक्का टॉस द्वारा। दूसरी विधि, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 2⁴² (4,398,046,511,104) की आवश्यकता होगी। क्रूर बल खोज के समय सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे आक्रमणकारी का कार्य दोगुना कठिन हो जाता है। औसतन, आक्रमणकारी को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।^[4]

रैंडम पासवर्ड

रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक वर्ण सेट (जैसे, एएससीआईआई वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार पदबंध बनाते हैं)।

यादृच्छिक पासवर्ड की शक्ति अंतर्निहित संख्या जनरेटर की वास्तविक एन्ट्रॉपी पर निर्भर करती है; चूँकि, ये अधिकांशतः वास्तव में यादृच्छिक नहीं होते हैं, लेकिन छद्म यादृच्छिक होते हैं। कई सार्वजनिक रूप से उपलब्ध पासवर्ड जनरेटर प्रोग्रामिंग पुस्तकालयों में पाए जाने वाले यादृच्छिक संख्या जनरेटर का उपयोग करते हैं जो सीमित एन्ट्रॉपी प्रदान करते हैं। चूँकि अधिकांश आधुनिक ऑपरेटिंग प्रणाली क्रिप्टोग्राफ़िक रूप से कठोर यादृच्छिक संख्या जनरेटर प्रदान करते हैं जो पासवर्ड जनरेशन के लिए उपयुक्त हैं। यादृच्छिक पासवर्ड उत्पन्न करने के लिए साधारण पासा का उपयोग करना भी संभव है। रैंडम पासवर्ड जनरेटर विधियाँ देखें। रैंडम पासवर्ड प्रोग्राम में अधिकांशतः यह सुनिश्चित करने की क्षमता होती है कि परिणामी पासवर्ड स्थानीय पासवर्ड नीति का अनुपालन करता है; उदाहरण के लिए, सदैव अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण बनाकर।

प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो N संभावित प्रतीकों के सेट से लंबाई, L के प्रतीकों की स्ट्रिंग का विचित्र ढंग से चयन करता है, संभव पासवर्डों की संख्या प्रतीकों की संख्या को शक्ति L, अर्थात् N^L तक बढ़ाकर पाई जा सकती है। L या N को बढ़ाने से उत्पन्न पासवर्ड कठोर होगा। सूचना एन्ट्रापी द्वारा मापी गई यादृच्छिक पासवर्ड की शक्ति केवल आधार -2 लघुगणक या संभावित पासवर्ड की संख्या का log₂ है, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:

$H=\log _{2}N^{L}=L\log _{2}N=L{\log N \over \log 2}$

जहाँ N संभव प्रतीकों की संख्या है और L पासवर्ड में प्रतीकों की संख्या है। H को बिट्स में मापा जाता है।^[4]^[10] अंतिम व्यंजक में, log किसी भी आधार (घातांक) का हो सकता है।

विभिन्न प्रतीक सेटों के लिए प्रति प्रतीक एंट्रॉपी
प्रतीक सेट	प्रतीक संख्या N	एंट्रॉपी प्रति प्रतीक H
अरबी अंक (0–9) (जैसे पिन)	10	3.322 bits
हेक्साडेसिमल अंक (0–9, A–F) (जैसे डब्लूईपी कुंजियाँ)	16	4.000 bits
केस असंवेदनशील लैटिन वर्णमाला (a–z or A–Z)	26	4.700 bits
केस असंवेदनशील अक्षरांकीय (a–z or A–Z, 0–9)	36	5.170 bits
केस संवेदी लैटिन वर्णमाला (a–z, A–Z)	52	5.700 bits
केस संवेदी अक्षरांकीय (a–z, A–Z, 0–9)	62	5.954 bits
स्पेस को छोड़कर सभी एएससीआईआई प्रिंट करने योग्य कैरेक्टर	94	6.555 bits
सभी लैटिन-1 पूरक वर्ण	94	6.555 bits
सभी एएससीआईआई प्रिंट करने योग्य वर्ण	95	6.570 bits
सभी विस्तारित एएससीआईआई प्रिंट करने योग्य वर्ण	218	7.768 bits
बाइनरी (0–255 or 8 बिट or 1 बाइट)	256	8.000 bits
डाइक्वेयर शब्द सूची	7776	12.925 बिट प्रति शब्द

बाइनरी संख्या बाइट सामान्यतः दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।

लंबाई खोजने के लिए, L, वांछित शक्ति H प्राप्त करने के लिए आवश्यक है, N प्रतीकों के सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, गणना करता है:

$L={\left\lceil {\frac {H}{\log _{2}N}}\right\rceil }$

जहाँ $\left\lceil \ \right\rceil$ अगली सबसे बड़ी प्राकृतिक संख्या तक राउंडिंग को दर्शाता है।

निम्न तालिका सामान्य प्रतीक सेटों के लिए वांछित पासवर्ड एंट्रॉपी प्राप्त करने के लिए वास्तव में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की आवश्यक लंबाई दिखाने के लिए इस सूत्र का उपयोग करती है:

N प्रतीकों वाले प्रतीक सेट के लिए वांछित पासवर्ड एंट्रॉपी H प्राप्त करने के लिए आवश्यक यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की लंबाई L
वांछित पासवर्ड एंट्रॉपी H	अरबी अंकों	हेक्साडेसिमल	असंवेदनशील स्थिति		संवेदनशील स्थिति		सभी एएससीआईआई	सभी विस्तारित एएससीआईआई	डाइक्वेयर शब्द सूची
वांछित पासवर्ड एंट्रॉपी H	अरबी अंकों	हेक्साडेसिमल	लैटिन वर्णमाला	अल्फा संख्यात्मक	लैटिन वर्णमाला	अल्फा संख्यात्मक	प्रिंट करने योग्य वर्ण		डाइक्वेयर शब्द सूची
8 bits (1 byte)	3	2	2	2	2	2	2	2	1 शब्द
32 bits (4 bytes)	10	8	7	7	6	6	5	5	3 शब्द
40 bits (5 bytes)	13	10	9	8	8	7	7	6	4 शब्द
64 bits (8 bytes)	20	16	14	13	12	11	10	9	5 शब्द
80 bits (10 bytes)	25	20	18	16	15	14	13	11	7 शब्द
96 bits (12 bytes)	29	24	21	19	17	17	15	13	8 शब्द
128 bits (16 bytes)	39	32	28	25	23	22	20	17	10 शब्द
160 bits (20 bytes)	49	40	35	31	29	27	25	21	13 शब्द
192 bits (24 bytes)	58	48	41	38	34	33	30	25	15 शब्द
224 bits (28 bytes)	68	56	48	44	40	38	35	29	18 शब्द
256 bits (32 bytes)	78	64	55	50	45	43	39	33	20 शब्द

मानव जनित पासवर्ड

संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को सम्मिलित करने वाले अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था।^[11]

इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के विश्लेषण में, अक्षर e का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर f का उपयोग केवल 250,000 बार किया गया था। समान वितरण (असतत) में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।^[12]

उपयोगकर्ता पासवर्ड बनाने में संभवतया ही कभी बड़े वर्ण सेट का पूर्ण उपयोग करते हैं। उदाहरण के लिए, 2006 में माइस्पेस फ़िशिंग योजना से प्राप्त हैकिंग परिणामों से 34,000 पासवर्ड का पता चला, जिनमें से केवल 8.3% ने मिश्रित केस, संख्याओं और प्रतीकों का उपयोग किया।^[13]

संपूर्ण एएससीआईआई वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी शक्ति केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, संभवतया ऊपरी और निचले स्थिति के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण इत्यादि। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में पैटर्न है और आक्रमणकारी के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की आशा की जा सकती है। यह पासवर्ड की शक्ति में कमी है। उत्तम आवश्यकता पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न सम्मिलित न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य विधियों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि सामान्य है।

एनआईएसटी विशेष प्रकाशन 800-63-2

जून 2004 का एनआईएसटी विशेष प्रकाशन 800-63 (संशोधन दो) ने मानव जनित पासवर्डों की एंट्रॉपी को अनुमानित करने के लिए योजना का सुझाव दिया:^[4] इस योजना का उपयोग करते हुए, आठ-वर्ण मानव-चयनित पासवर्ड बिना अपरकेस वर्णों और गैर-अल्फाबेटिक वर्णों के साथ या दो वर्ण सेटों में से किसी एक के साथ एंट्रॉपी के अठारह बिट होने का अनुमान है। एनआईएसटी प्रकाशन स्वीकार करता है कि विकास के समय, पासवर्ड के वास्तविक विश्व चयन पर बहुत कम जानकारी उपलब्ध थी। बाद में नए उपलब्ध वास्तविक विश्व डेटा का उपयोग करके मानव-चयनित पासवर्ड एन्ट्रॉपी में शोध ने प्रदर्शित किया है कि एनआईएसटी योजना मानव-चयनित पासवर्ड के एंट्रॉपी अनुमान के लिए वैध मीट्रिक प्रदान नहीं करती है।^[14] एसपी 800-63 (संशोधन तीन) का जून 2017 संशोधन इस दृष्टिकोण को छोड़ देता है।^[15]

प्रयोज्यता और कार्यान्वयन विचार

क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 एएससीआईआई प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है। यह अंतरराष्ट्रीय यात्री के लिए समस्या प्रस्तुत कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट प्रणाली में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि टैबलेट कंप्यूटर और स्मार्टफोन , विशेष वर्णों को अंकित करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।

प्रमाणीकरण कार्यक्रम अलग-अलग होते हैं जिनमें वे पासवर्ड में वर्णों की अनुमति देते हैं। कुछ स्थितियों के अंतर को नहीं पहचानते हैं (उदाहरण के लिए, अपर-केस ई को लोअर-केस ई के बराबर माना जाता है), अन्य कुछ अन्य प्रतीकों को प्रतिबंधित करते हैं। पिछले कुछ दशकों में, प्रणाली ने पासवर्ड में अधिक वर्णों की अनुमति दी है, लेकिन सीमाएँ अभी भी उपलब्ध हैं। अनुमत पासवर्ड की अधिकतम लंबाई में प्रणाली भी भिन्न होते हैं।

व्यावहारिक स्थितियों के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त कठोर होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत कठिन है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा संकट मानते हैं।^[16] इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए विवश करना केवल अशक्त पासवर्ड को समायोजित कर सकता है, और इस प्रकार बड़ा सुरक्षा संकट उत्पन्न करता है। ब्रूस श्नेयर के अनुसार, अधिकतर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए उत्तमीन स्थान है।^[17]

एंट्रॉपी के आवश्यक बिट्स

पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए संकट के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। [rfc:4086 आरएफसी 4086], सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण संकट के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें।^[18] यदि केवल ऑनलाइन आक्रमणों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित 12-वर्ण यादृच्छिक पासवर्ड का पक्षसमर्थन किया गया था, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में किया गया था।^[5]^[19] ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन आक्रमणों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक बिट्स भी बढ़ने चाहिए।

ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, ईएफएफ डीईएस क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट डेटा एन्क्रिप्शन मानक एन्क्रिप्शन को तोड़ दिया था।^[20] 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया।^[21] 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे।^[22] मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई आशा नहीं है कि कोई भी डिजिटल कम्प्यूटर (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स आक्रमण के माध्यम से तोड़ने में सक्षम होगा।^[23] क्वांटम कंप्यूटर व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, चूँकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।^[24]

कठोर पासवर्ड के लिए दिशानिर्देश

सामान्य दिशानिर्देश

अच्छे पासवर्ड चुनने के दिशानिर्देश सामान्यतः बुद्धिमान अनुमान लगाकर पासवर्ड खोजने के लिए कठिन बनाने के लिए डिज़ाइन किए जाते हैं। सॉफ्टवेयर प्रणाली सुरक्षा के समर्थकों द्वारा समर्थित सामान्य दिशानिर्देशों में सम्मिलित हैं:^[25]^[26]^[27]^[28]^[29]

8 की न्यूनतम पासवर्ड लंबाई पर विचार करें^[30] सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और सरली से याद रखने वाले पासवर्ड की सलाह देते हैं।^[31]^[32]
जहाँ संभव हो, विचित्र ढंग से पासवर्ड उत्पन्न करें।
एक ही पासवर्ड का दो बार उपयोग करने से बचें (उदाहरण के लिए कई उपयोगकर्ता खातों और/या सॉफ़्टवेयर प्रणाली में)।
चरित्र दोहराव, कीबोर्ड पैटर्न, शब्दकोश शब्द, अक्षर या संख्या क्रम से बचें।
ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता या खाते से सार्वजनिक रूप से जुड़ी हो या हो सकती है, जैसे कि उपयोगकर्ता का नाम, पूर्वजों के नाम या दिनांक।
ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता के सहकर्मियों और/या परिचितों को उपयोगकर्ता से संबद्ध होने के बारे में पता हो, जैसे रिश्तेदारों या पालतू जानवरों के नाम, रोमांटिक लिंक (वर्तमान या अतीत) और जीवनी संबंधी जानकारी (जैसे आईडी नंबर, पूर्वजों के नाम या दिनांक)।
ऐसे पासवर्ड का उपयोग न करें जो उपरोक्त अशक्त घटकों के किसी भी सरल संयोजन से पूरी तरह से बने हों।

पासवर्ड में लोअरकेस, अपरकेस अक्षर वर्णों, संख्याओं और प्रतीकों को बाध्य करना सामान्य नीति थी, लेकिन वास्तव में इसे क्रैक करना सरल बनाकर सुरक्षा को कम करना पाया गया है। शोध से पता चला है कि ऐसे प्रतीकों का सामान्य उपयोग कितना अनुमानित है, और यू.एस.^[33] यूके^[34] सरकारी साइबर सुरक्षा विभाग उन्हें पासवर्ड नीति में सम्मिलित करने के लिए बाध्य नहीं करने की सलाह देते हैं। जटिल प्रतीक भी पासवर्ड को याद रखना अधिक कठिन बनाते हैं, जो लिखने को बढ़ाता है, पासवर्ड रीसेट करता है और पासवर्ड का पुन: उपयोग करता है - ये सभी पासवर्ड सुरक्षा में संशोधन करने के अतिरिक्त कम करते हैं। पासवर्ड जटिलता नियमों के मूल लेखक, बिल बूर ने क्षमा मांगी है और स्वीकार किया है कि वे वास्तव में सुरक्षा को कम करते हैं, जैसा कि शोध में पाया गया है; यह 2017 में मीडिया में व्यापक रूप से रिपोर्ट किया गया था।^[35] पासवर्ड पर सर्वोत्तम अभ्यास सलाह में ऑनलाइन सुरक्षा शोधकर्ता^[36] और सलाहकार भी परिवर्तन के समर्थक हैं।^[37]

कुछ दिशानिर्देश पासवर्ड लिखने के विरुद्ध सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित प्रणाली को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को सुरक्षित स्थान पर रखा जाता है, मॉनिटर या डेस्क दराज अनलॉक में संलग्न नहीं होता है।^[38] एनसीएससी द्वारा पासवर्ड प्रबंधक के उपयोग का पक्षसमर्थन किया जाता है।^[39]

पासवर्ड के लिए निर्धारित संभावित कैरेक्टर को अलग-अलग वेब साइट्स या कीबोर्ड की उस रेंज द्वारा सीमित किया जा सकता है, जिस पर पासवर्ड अंकित किया जाना चाहिए।^[40]

अशक्त पासवर्ड के उदाहरण

जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में अशक्त हैं। उदाहरण के लिए, शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच शक्ति में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - सामान्य दृष्टिकोण) पासवर्ड क्रैकिंग उपकरण को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी शक्ति जोड़ता है। नीचे दिए गए उदाहरण अशक्त पासवर्ड बनाने के विभिन्न विधियों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।^[12]

डिफ़ॉल्ट पासवर्ड (जैसा कि प्रणाली विक्रेता द्वारा प्रदान किया गया है और स्थापना के समय बदला जाना है): पासवर्ड, डिफ़ॉल्ट, व्यवस्थापक, अतिथि, आदि। डिफ़ॉल्ट पासवर्ड की सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।
शब्दकोश शब्द: गिरगिट, रेडसॉक्स, सैंडबैग, बनीहॉप !, इंटेंस क्रैबट्री, आदि, गैर-अंग्रेजी शब्दकोशों में शब्दों सहित।
संलग्न संख्या वाले शब्द: पासवर्ड 1, डीयर 2000, जॉन 1234, आदि, थोड़े समय के साथ स्वचालित रूप से सरली से परीक्षण किए जा सकते हैं।
सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, डिजीनोटर आक्रमण में समझौता किया गया डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।^[41]
दोगुने शब्द: क्रैक्रैब, स्टॉपस्टॉप, ट्रीट्री, पासपास, आदि।
कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
सुप्रसिद्ध संख्याओं जैसे 911 पर आधारित सांख्यिक अनुक्रम ^{(9-1-1, 9/11)}, 314159... ^(pi), 27182... ^(e), 112 ^(1-1-2), आदि।
पहचानकर्ता: jsmith123, 1/1/1970, 555–1234, किसी का उपयोगकर्ता नाम, आदि।
गैर-अंग्रेज़ी भाषाओं में अशक्त पासवर्ड, जैसे कॉन्ट्रासेना (स्पेनिश) और ji32k7au4a83 (चीनी से बोपोमोफो कीबोर्ड एन्कोडिंग)^[42]
व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की साधारण जांच के बाद सरली से स्वचालित रूप से परीक्षण किया जा सकता है।
तिथियां: तिथियां पैटर्न का पालन करती हैं और आपके पासवर्ड को अशक्त बनाती हैं।
प्रसिद्ध स्थानों के नाम: न्यूयॉर्क, टेक्सास, चीन, लंदन, आदि।
ब्रांडों, मशहूर हस्तियों, खेल टीमों, संगीत समूहों, टीवी शो, फिल्मों आदि के नाम।

पासवर्ड अशक्त होने की और भी कई विधियाँ हो सकती हैं,^[43] विभिन्न आक्रमण योजनाओं की शक्ति के अनुरूप; मूल सिद्धांत यह है कि पासवर्ड में उच्च एन्ट्रापी (सामान्यतः यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा सरली से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अधिकांशतः रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे हैकर समझ सकता है और ऐसा करके पासवर्ड को बायपास कर सकता है। कठिन से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।^[44]

पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार

दिसंबर, 2012 में, विलियम चेसविक ने एसीएम पत्रिका में प्रकाशित लेख लिखा था जिसमें सामान्यतः अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना सरल या कठिन होगा, इसकी गणितीय संभावनाएं सम्मिलित थीं। अपने लेख में, विलियम ने दिखाया कि मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के आक्रमण का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास मल्टी-कोर प्रणाली का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (अर्थात् 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड सामान्य शब्द का उपयोग नहीं करता है कि शब्दकोश आक्रमण बहुत शीघ्र टूट सकता है। इस शक्ति के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे परिवर्तित करने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।^[45]^[46]

पासवर्ड नीति

पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए गाइड है। इसका विचार है:

कठोर पासवर्ड चुनने में उपयोगकर्ताओं की सहायता करें
सुनिश्चित करें कि पासवर्ड लक्ष्य जनसँख्या के अनुकूल हैं
उपयोगकर्ताओं को उनके पासवर्ड से निपटने के संबंध में पक्षसमर्थन प्रदान करें
किसी भी पासवर्ड को परिवर्तित करने का पक्षसमर्थन करें जो खो गया है या समझौता करने का संदेह है
अशक्त या सरली से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।

पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड सम्मिलित होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान कम सुरक्षित के रूप में मूल प्रेरक द्वारा^[47] इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा^[48]) यूएसए^[49] और यूके में रोक कर दिया गया है।^[50]^[51] प्रयुक्त प्रतीकों के पासवर्ड जटिलता नियम पहले गूगल जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे^[52] और फेसबुक,^[53] लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा संकट है, और प्रयुक्त जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में सहायता करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। विवश जटिलता नियम भी समर्थन व्यय, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।

पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे रोक दिया गया है^[35] सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने पासवर्ड समाप्ति की सुविधा हटा दिया है।^[54] पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी:^[55]

अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय आक्रमणकारी के लिए अपर्याप्त समय सुनिश्चित करने में सहायता कर सकता है।
यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से परिवर्तित करने की आवश्यकता आक्रमणकारी के लिए एक्सेस समय को सीमित कर सकती है।

चूँकि, पासवर्ड समाप्ति की अपनी कमियाँ हैं:^[56]^[57]

उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए कहना सरल, अशक्त पासवर्ड को प्रोत्साहित करता है।
अगर किसी के पास वास्तव में कठोर पासवर्ड है, तो उसे बदलने का कोई अर्थ नहीं है। पहले से ही कठोर पासवर्ड बदलने से नया पासवर्ड कम कठोर होने का संकट होता है।
किसी हैकर द्वारा पिछले दरवाजे (कंप्यूटिंग) को स्थापित करने के लिए अधिकांशतः विशेषाधिकार वृद्धि के माध्यम से समझौता किए गए कि पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में आक्रमणकारी की पहुंच को नहीं रोकेंगे।
किसी के पासवर्ड को कभी न परिवर्तित करने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड परिवर्तित करने की ओर बढ़ने से क्रूर बल के आक्रमण में पासवर्ड का अनुमान लगाने से पहले आक्रमणकारी को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड परिवर्तित करने की तुलना में केवल वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।

पासवर्ड बनाना और संभालना

किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के आक्रमणों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले आक्रमण (उच्च एन्ट्रापी के कारण)। चूँकि, ऐसे पासवर्ड सामान्यतः याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को प्रयुक्त करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के विरुद्ध सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा संकट बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की आशा है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने का पक्षसमर्थन किया:

सीधे शब्दों में, लोग अब पासवर्ड को पर्याप्त रूप से याद नहीं रख सकते हैं जिससे शब्दकोश के आक्रमणों से कठोरता से बचाव किया जा सके, और यदि वे याद रखने के लिए बहुत जटिल पासवर्ड चुनते हैं और फिर उसे लिख लेते हैं तो वे अधिक सुरक्षित होते हैं। हम कागज के छोटे टुकड़ों को प्राप्त करने में अच्छे हैं। मेरा सुझाव है कि लोग अपने पासवर्ड को कागज के एक छोटे से टुकड़े पर लिख लें, और इसे अपने अन्य मूल्यवान छोटे कागज़ के टुकड़ों के साथ अपने बटुए में रखें।^[38]

यदि सावधानी से उपयोग किया जाए तो निम्नलिखित उपायों से कठोर पासवर्ड आवश्यकताओं की स्वीकृति बढ़ सकती है:

प्रशिक्षण कार्यक्रम; साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)
दर को कम करके, या पासवर्ड परिवर्तन (पासवर्ड समाप्ति) की आवश्यकता को पूरी तरह से समाप्त करके कठोर पासवर्ड उपयोगकर्ताओं को पुरस्कृत करना। उपयोगकर्ता द्वारा चुने गए पासवर्ड की शक्ति का अनुमान स्वचालित प्रोग्राम द्वारा लगाया जा सकता है जो पासवर्ड सेट या बदलते समय प्रस्तावित पासवर्ड का निरीक्षण और मूल्यांकन करते हैं।
प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, समझौता किए गए पासवर्ड का सुझाव दे रहा है।
उपयोगकर्ताओं को स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। चूँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के सरली से अनुमान लगाए गए या शोध किए गए उत्तर कठोर पासवर्ड प्रणाली के लाभों को बायपास कर देते हैं।
यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की प्रस्तुति करता है।

मेमोरी तकनीक

पासवर्ड नीतियाँ कभी-कभी पासवर्ड याद रखने में सहायता के लिए स्मृति संशोधनों का सुझाव देती हैं:

स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या अधिक यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत सरल होते हैं। उदाहरण के लिए, स्मरणार्थ वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड शक्ति लगभग 3.7 बिट प्रति वर्ण है।^[58] मूर्ख लोग संभवतः अधिक स्मरणार्थ होते हैं।^[59] विचित्र ढंग से दिखने वाले पासवर्ड को और अधिक स्मरणार्थ बनाने की एक और विधि है विचित्र ढंग से चुने गए अक्षरों के अतिरिक्त यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, मेमोनिक का आविष्कार करें जो फिट बैठता है।^[60] यह उचित या समझदार नहीं होना चाहिए, केवल स्मरणार्थ होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
पासवर्ड का दृश्य प्रतिनिधित्व: पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदाहरण; अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है;^[61] इसके अतिरिक्त, ऐसे स्थानिक पैटर्न वाले पासवर्ड में संशोधन किया जा सकता है।^[62]^[63]
पासवर्ड पैटर्न: पासवर्ड में कोई भी पैटर्न अनुमान लगाना (स्वचालित या नहीं) सरल बनाता है और आक्रमणकारी के कार्य कारक को कम करता है।
- उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक स्मरणार्थ बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे पशुबल का आक्रमण पासवर्ड आक्रमण काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, यूनाइटेड किंगडम सरकार के विभाग के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।

पासवर्ड की सुरक्षा

कंप्यूटर उपयोगकर्ताओं को सामान्यतः सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें।^[64] चूँकि, सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अधिकांशतः छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (स्मरणार्थ) योजना के उपयोग को रोकती हैं, तो अधिकांशतः परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे।

2005 के सुरक्षा सम्मेलन में माइक्रोसॉफ्ट विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा प्रमाण है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ।^[65]

सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से कूटलेखन किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें।^[66] यहां तक कि उत्तम विधि यह है कि सामान्यतः उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ अशक्त पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें।^[67]

मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के पीडब्ल्यूडीहैश द्वारा इस दृष्टिकोण प्रिंसटन का पासवर्ड गुणक,^[68] और अन्य स्टेटलेस पासवर्ड प्रबंधक का उपयोग किया जाता है।^[69] इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।

पासवर्ड प्रबंधक

बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग प्रणाली में निर्मित प्रबंधक सम्मिलित हैं। पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की आवश्यकता नहीं है, यह एकल पासवर्ड कठोर और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित यादृच्छिक पासवर्ड जनरेटर का उपयोग करके स्वचालित रूप से कठोर पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। अच्छा पासवर्ड मैनेजर कुंजी लॉगिंग, क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे आक्रमणों के विरुद्ध प्रतिरोध प्रदान करेगा।

यह भी देखें

संदर्भ

↑ "Cyber Security Tip ST04-002". Choosing and Protecting Passwords. US CERT. Archived from the original on July 7, 2009. Retrieved June 20, 2009.
↑ "Why User Names and Passwords Are Not Enough | SecurityWeek.Com". www.securityweek.com. 31 January 2019. Retrieved 2020-10-31.
↑ "Millions using 123456 as password, security study finds". BBC News. 21 April 2019. Retrieved 24 April 2019.
↑ ^4.0 ^4.1 ^4.2 ^4.3 "SP 800-63 – Electronic Authentication Guideline" (PDF). NIST. Archived from the original (PDF) on July 12, 2004. Retrieved April 20, 2014.
↑ ^5.0 ^5.1 "Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System". Georgia Tech Research Institute. Archived from the original on 2010-12-30. Retrieved 2010-11-07.
↑ US patent 7929707, Andrey V. Belenko, "पासवर्ड पुनर्प्राप्ति के लिए समानांतर गणित सह-प्रोसेसर के रूप में ग्राफ़िक्स प्रोसेसर का उपयोग", issued 2011-04-19, assigned to Elcomsoft Co. Ltd.
↑ Elcomsoft.com Archived 2006-10-17 at the Wayback Machine, ElcomSoft Password Recovery Speed table, NTLM passwords, Nvidia Tesla S1070 GPU, accessed 2011-02-01
↑ Elcomsoft Wireless Security Auditor, HD5970 GPU Archived 2011-02-19 at the Wayback Machine accessed 2011-02-11
↑ James Massey (1994). "अनुमान और एन्ट्रापी" (PDF). Proceedings of 1994 IEEE International Symposium on Information Theory. IEEE. p. 204.
↑ Schneier, B: Applied Cryptography, 2e, page 233 ff. John Wiley and Sons.
↑ Florencio, Dinei; Herley, Cormac (May 8, 2007). "वेब पासवर्ड की आदतों का बड़े पैमाने पर अध्ययन" (PDF). Proceeds of the International World Wide Web Conference Committee: 657. doi:10.1145/1242572.1242661. ISBN 9781595936547. S2CID 10648989. Archived (PDF) from the original on March 27, 2015.
↑ ^12.0 ^12.1 Burnett, Mark (2006). Kleiman, Dave (ed.). Perfect Passwords. Rockland, Massachusetts: Syngress Publishing. p. 181. ISBN 978-1-59749-041-2.
↑ Bruce Schneier (December 14, 2006). "माइस्पेस पासवर्ड इतने मूर्ख नहीं हैं". Wired Magazine. Archived from the original on May 21, 2014. Retrieved April 11, 2008.
↑ Matt Weir; Susdhir Aggarwal; Michael Collins; Henry Stern (7 October 2010). "प्रकट किए गए पासवर्डों के बड़े सेट पर हमला करके पासवर्ड निर्माण नीतियों के लिए मेट्रिक्स का परीक्षण करना" (PDF). Archived from the original on July 6, 2012. Retrieved March 21, 2012.
↑ "SP 800-63-3 – Digital Identity Guidelines" (PDF). NIST. June 2017. Archived from the original on August 6, 2017. Retrieved August 6, 2017.
↑ A. Allan. "पासवर्ड ब्रेकिंग पॉइंट के पास हैं" (PDF). Gartner. Archived from the original (PDF) on April 27, 2006. Retrieved April 10, 2008.
↑ Bruce Schneier. "सुरक्षा पर श्नाइयर". Write Down Your Password. Archived from the original on April 13, 2008. Retrieved April 10, 2008.
↑ सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ. doi:10.17487/RFC4086. RFC 4086.
↑ "Want to deter hackers? Make your password longer". NBC News. 2010-08-19. Retrieved 2010-11-07.
↑ "ईएफएफ डेस क्रैकर मशीन क्रिप्टो बहस में ईमानदारी लाती है". EFF. Archived from the original on January 1, 2010. Retrieved March 27, 2008.
↑ "64-bit key project status". Distributed.net. Archived from the original on September 10, 2013. Retrieved March 27, 2008.
↑ "72-bit key project status". Distributed.net. Retrieved October 12, 2011.
↑ Bruce Schneier. "Snakeoil: Warning Sign #5: Ridiculous key lengths". Archived from the original on April 18, 2008. Retrieved March 27, 2008.
↑ "क्वांटम कम्प्यूटिंग और एन्क्रिप्शन ब्रेकिंग". Stack Overflow. 2011-05-27. Archived from the original on 2013-05-21. Retrieved 2013-03-17.
↑ Microsoft Corporation, Strong passwords: How to create and use them Archived 2008-01-01 at the Wayback Machine
↑ Bruce Schneier, Choosing Secure Passwords Archived 2008-02-23 at the Wayback Machine
↑ Google, Inc., How safe is your password? Archived 2008-02-22 at the Wayback Machine
↑ University of Maryland, Choosing a Good Password Archived 2014-06-14 at the Wayback Machine
↑ Bidwell, Teri (2002). Hack Proofing Your Identity in the Information Age. Syngress Publishing. ISBN 978-1-931836-51-7.
↑ "NIST PASSWORD GUIDELINES IN 2020". Stealthbits. 18 August 2020. Retrieved 17 May 2021.
↑ "पासवर्ड नीति - अपने दृष्टिकोण को अपडेट करना". UK National Cyber Security Centre. Retrieved 17 May 2021.
↑ "Choosing and Protecting Passwords | CISA". www.cisa.gov. Retrieved 2022-01-12.
↑ "डिजिटल पहचान दिशानिर्देश". USA National Institute for Standards and Technology. Retrieved 17 May 2021.
↑ "सिस्टम स्वामियों के लिए पासवर्ड प्रशासन". UK National Cyber Security Centre. Retrieved 17 May 2021.
↑ ^35.0 ^35.1 "पासवर्ड नियम - पासवर्ड जटिलता के संस्थापक सॉरी कहते हैं!". Retrieved 17 May 2021.
↑ "साइलैब प्रयोग करने योग्य गोपनीयता और सुरक्षा प्रयोगशाला (सीयूपीएस)". Carnegie Mellon University (USA). Retrieved 17 May 2021.
↑ Bruce, Schneier. "पासवर्ड सर्वोत्तम प्रथाओं में परिवर्तन". Schneier on Security. Retrieved 17 May 2021.
↑ ^38.0 ^38.1 "अपना पासवर्ड लिख लें - श्नेयर ऑन सिक्योरिटी". www.schneier.com. Archived from the original on 2008-04-13.
↑ "What does the NCSC think of password managers?". www.ncsc.gov.uk. Archived from the original on 2019-03-05.
↑ e.g. for a keyboard with only 17 nonalphanumeric characters, see one for a BlackBerry phone in an enlarged image Archived 2011-04-06 at the Wayback Machine in support of Sandy Berger, BlackBerry Tour 9630 (Verizon) Cell Phone Review, in Hardware Secrets (August 31, 2009) Archived April 6, 2011, at the Wayback Machine, both as accessed January 19, 2010. That some websites don’t allow nonalphanumerics is indicated by Kanhef, Idiots, For Different Reasons (June 30, 2009) (topic post) Archived April 6, 2011, at the Wayback Machine, as accessed January 20, 2010.
↑ "ComodoHacker responsible for DigiNotar Attack – Hacking News". Thehackernews.com. 2011-09-06. Archived from the original on 2013-05-17. Retrieved 2013-03-17.
↑ Dave Basner (8 March 2019). "Here's Why 'ji32k7au4a83' Is A Surprisingly Common Password". Retrieved 25 March 2019.
↑ Bidwell, p. 87
↑ "एक अच्छा पासवर्ड चुनने के लिए दिशानिर्देश". Lockdown.co.uk. 2009-07-10. Archived from the original on 2013-03-26. Retrieved 2013-03-17.
↑ William, Cheswick (2012-12-31). "HTML संस्करण - पासवर्ड पर पुनर्विचार". Association for Computing Machinery (ACM). Archived from the original on 2019-11-03. Retrieved 2019-11-03.
↑ William, Cheswick (2012-12-31). "एसीएम डिजिटल लाइब्रेरी - पासवर्ड पर पुनर्विचार". Queue. 10 (12): 50–56. doi:10.1145/2405116.2422416. Archived from the original on 2019-11-03. Retrieved 2019-11-03.
↑ "पासवर्ड जटिलता नियमों के संस्थापक बिल बूर कहते हैं सॉरी!". Retrieved 17 May 2021.
↑ "ऑनलाइन सेवाओं में पासवर्ड". UK Information Commissioner's Office (ICO). Retrieved 17 May 2021.
↑ "डिजिटल पहचान दिशानिर्देश". USA National Institute of Standards and Technology. Retrieved 17 May 2021.
↑ "न्यूनतम शक्ति, न्यूनतम लंबाई, और ब्लॉकलिस्ट आवश्यकताओं को मिलाकर मजबूत, अधिक उपयोग करने योग्य पासवर्ड के लिए व्यावहारिक अनुशंसाएं" (PDF). Carnegie Mellon University. Retrieved 17 May 2021.
↑ "पासवर्ड मार्गदर्शन" (PDF). Cyber Security, UK Government Communications Headquarters. Retrieved 17 May 2021.
↑ "एक मजबूत पासवर्ड बनाएँ". Google Inc. Retrieved 17 May 2021.
↑ "लॉगिन और पासवर्ड मदद". FaceBook Inc. Retrieved 17 May 2021.
↑ "Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903". Microsoft. Retrieved 17 May 2021.
↑ "पासवर्ड समाप्ति के बचाव में". League of Professional Systems Administrators. Archived from the original on October 12, 2008. Retrieved April 14, 2008.
↑ "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.
↑ Eugene Spafford. "सुरक्षा मिथक और पासवर्ड". The Center for Education and Research in Information Assurance and Security. Archived from the original on April 11, 2008. Retrieved April 14, 2008.
↑ Johannes Kiesel; Benno Stein; Stefan Lucks (2017). "स्मरक पासवर्ड सलाह का एक बड़े पैमाने पर विश्लेषण" (PDF). Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17). Internet Society. Archived from the original (PDF) on 2017-03-30. Retrieved 2017-03-30.
↑ Mnemonic Devices (Indianapolis, Ind.: Bepko Learning Ctr., University College), as accessed January 19, 2010 Archived June 10, 2010, at the Wayback Machine
↑ Remembering Passwords (ChangingMinds.org) Archived 2010-01-21 at Wikiwix, as accessed January 19, 2010
↑ Cipresso, P; Gaggioli, A; Serino, S; Cipresso, S; Riva, G (2012). "यादगार और मजबूत पासवर्ड कैसे बनाएं". J Med Internet Res. 14 (1): e10. doi:10.2196/jmir.1906. PMC 3846346. PMID 22233980.
↑ Brumen, B; Heričko, M; Rozman, I; Hölbl, M (2013). "सुरक्षा विश्लेषण और साइकोपास पद्धति में सुधार।". J Med Internet Res. 15 (8): e161. doi:10.2196/jmir.2366. PMC 3742392. PMID 23942458.
↑ "zxcvbn: realistic password strength estimation". Dropbox Tech Blog. Archived from the original on 2015-04-05.
↑ Morley, Katie (2016-02-10). "Use the same password for everything? You're fuelling a surge in current account fraud". Telegraph.co.uk (in English). Archived from the original on 2017-05-13. Retrieved 2017-05-22.
↑ Microsoft security guru: Jot down your passwords Archived 2016-02-05 at the Wayback Machine, c\net Retrieved on 2016-02-02
↑ Simple methods (e.g., ROT13 and some other old ciphers) may suffice; for more sophisticated hand-methods see Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2) Archived November 13, 2015, at the Wayback Machine, as accessed January 19, 2010, and Sam Siewert, Big Iron Lessons, Part 5: Introduction to Cryptography, From Egypt Through Enigma (IBM, July 26, 2005) Archived August 3, 2010, at the Wayback Machine, as accessed January 19, 2010.
↑ "Safer Password For Web, Email And Desktop/Mobile Apps". bizpages.org. Retrieved 2020-09-14.
↑ J. Alex Halderman; Brent Waters; Edward W. Felten (2005). पासवर्ड सुरक्षित रूप से प्रबंधित करने के लिए एक सुविधाजनक तरीका (PDF). ACM. pp. 1–9. Archived (PDF) from the original on 2016-01-15.
↑ Blake Ross; Collin Jackson; Nicholas Miyake; Dan Boneh; John C. Mitchell (2005). "ब्राउज़र एक्सटेंशन का उपयोग कर मजबूत पासवर्ड प्रमाणीकरण" (PDF). Proceedings of the 14th Usenix Security Symposium. USENIX. pp. 17–32. Archived (PDF) from the original on 2012-04-29.

बाहरी संबंध

[CERT-1] "Cyber Security Tip ST04-002". Choosing and Protecting Passwords. US CERT. Archived from the original on July 7, 2009. Retrieved June 20, 2009.

[2] "Why User Names and Passwords Are Not Enough | SecurityWeek.Com". www.securityweek.com. 31 January 2019. Retrieved 2020-10-31.

[3] "Millions using 123456 as password, security study finds". BBC News. 21 April 2019. Retrieved 24 April 2019.

[NIST-4] 4.0 ^4.1 ^4.2 ^4.3 "SP 800-63 – Electronic Authentication Guideline" (PDF). NIST. Archived from the original (PDF) on July 12, 2004. Retrieved April 20, 2014.

[gtri-5] 5.0 ^5.1 "Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System". Georgia Tech Research Institute. Archived from the original on 2010-12-30. Retrieved 2010-11-07.

[belenko-6] US patent 7929707, Andrey V. Belenko, "पासवर्ड पुनर्प्राप्ति के लिए समानांतर गणित सह-प्रोसेसर के रूप में ग्राफ़िक्स प्रोसेसर का उपयोग", issued 2011-04-19, assigned to Elcomsoft Co. Ltd.

[elcomsoft-7] Elcomsoft.com Archived 2006-10-17 at the Wayback Machine, ElcomSoft Password Recovery Speed table, NTLM passwords, Nvidia Tesla S1070 GPU, accessed 2011-02-01

[8] Elcomsoft Wireless Security Auditor, HD5970 GPU Archived 2011-02-19 at the Wayback Machine accessed 2011-02-11

[9] James Massey (1994). "अनुमान और एन्ट्रापी" (PDF). Proceedings of 1994 IEEE International Symposium on Information Theory. IEEE. p. 204.

[10] Schneier, B: Applied Cryptography, 2e, page 233 ff. John Wiley and Sons.

[11] Florencio, Dinei; Herley, Cormac (May 8, 2007). "वेब पासवर्ड की आदतों का बड़े पैमाने पर अध्ययन" (PDF). Proceeds of the International World Wide Web Conference Committee: 657. doi:10.1145/1242572.1242661. ISBN 9781595936547. S2CID 10648989. Archived (PDF) from the original on March 27, 2015.

[perfect-12] 12.0 ^12.1 Burnett, Mark (2006). Kleiman, Dave (ed.). Perfect Passwords. Rockland, Massachusetts: Syngress Publishing. p. 181. ISBN 978-1-59749-041-2.

[myspace-passwords-13] Bruce Schneier (December 14, 2006). "माइस्पेस पासवर्ड इतने मूर्ख नहीं हैं". Wired Magazine. Archived from the original on May 21, 2014. Retrieved April 11, 2008.

[WeirEtAl-14] Matt Weir; Susdhir Aggarwal; Michael Collins; Henry Stern (7 October 2010). "प्रकट किए गए पासवर्डों के बड़े सेट पर हमला करके पासवर्ड निर्माण नीतियों के लिए मेट्रिक्स का परीक्षण करना" (PDF). Archived from the original on July 6, 2012. Retrieved March 21, 2012.

[15] "SP 800-63-3 – Digital Identity Guidelines" (PDF). NIST. June 2017. Archived from the original on August 6, 2017. Retrieved August 6, 2017.

[Gartner-16] A. Allan. "पासवर्ड ब्रेकिंग पॉइंट के पास हैं" (PDF). Gartner. Archived from the original (PDF) on April 27, 2006. Retrieved April 10, 2008.

[Schneier-writedown-17] Bruce Schneier. "सुरक्षा पर श्नाइयर". Write Down Your Password. Archived from the original on April 13, 2008. Retrieved April 10, 2008.

[18] सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ. doi:10.17487/RFC4086. RFC 4086.

[msnbc-19] "Want to deter hackers? Make your password longer". NBC News. 2010-08-19. Retrieved 2010-11-07.

[EFF-deep-crack-20] "ईएफएफ डेस क्रैकर मशीन क्रिप्टो बहस में ईमानदारी लाती है". EFF. Archived from the original on January 1, 2010. Retrieved March 27, 2008.

[distributed-21] "64-bit key project status". Distributed.net. Archived from the original on September 10, 2013. Retrieved March 27, 2008.

[distributed-72-22] "72-bit key project status". Distributed.net. Retrieved October 12, 2011.

[schneier-cyptogram-23] Bruce Schneier. "Snakeoil: Warning Sign #5: Ridiculous key lengths". Archived from the original on April 18, 2008. Retrieved March 27, 2008.

[24] "क्वांटम कम्प्यूटिंग और एन्क्रिप्शन ब्रेकिंग". Stack Overflow. 2011-05-27. Archived from the original on 2013-05-21. Retrieved 2013-03-17.

[25] Microsoft Corporation, Strong passwords: How to create and use them Archived 2008-01-01 at the Wayback Machine

[schneier07-26] Bruce Schneier, Choosing Secure Passwords Archived 2008-02-23 at the Wayback Machine

[27] Google, Inc., How safe is your password? Archived 2008-02-22 at the Wayback Machine

[UMD01-28] University of Maryland, Choosing a Good Password Archived 2014-06-14 at the Wayback Machine

[Bidwell000-29] Bidwell, Teri (2002). Hack Proofing Your Identity in the Information Age. Syngress Publishing. ISBN 978-1-931836-51-7.

[30] "NIST PASSWORD GUIDELINES IN 2020". Stealthbits. 18 August 2020. Retrieved 17 May 2021.

[31] "पासवर्ड नीति - अपने दृष्टिकोण को अपडेट करना". UK National Cyber Security Centre. Retrieved 17 May 2021.

[32] "Choosing and Protecting Passwords | CISA". www.cisa.gov. Retrieved 2022-01-12.

[33] "डिजिटल पहचान दिशानिर्देश". USA National Institute for Standards and Technology. Retrieved 17 May 2021.

[34] "सिस्टम स्वामियों के लिए पासवर्ड प्रशासन". UK National Cyber Security Centre. Retrieved 17 May 2021.

[tesla.tours-35] 35.0 ^35.1 "पासवर्ड नियम - पासवर्ड जटिलता के संस्थापक सॉरी कहते हैं!". Retrieved 17 May 2021.

[36] "साइलैब प्रयोग करने योग्य गोपनीयता और सुरक्षा प्रयोगशाला (सीयूपीएस)". Carnegie Mellon University (USA). Retrieved 17 May 2021.

[37] Bruce, Schneier. "पासवर्ड सर्वोत्तम प्रथाओं में परिवर्तन". Schneier on Security. Retrieved 17 May 2021.

[schneier.com-38] 38.0 ^38.1 "अपना पासवर्ड लिख लें - श्नेयर ऑन सिक्योरिटी". www.schneier.com. Archived from the original on 2008-04-13.

[National_Cyber_Security_Centre-39] "What does the NCSC think of password managers?". www.ncsc.gov.uk. Archived from the original on 2019-03-05.

[40] .g. for a keyboard with only 17 nonalphanumeric characters, see one for a BlackBerry phone in an enlarged image Archived 2011-04-06 at the Wayback Machine in support of Sandy Berger, BlackBerry Tour 9630 (Verizon) Cell Phone Review, in Hardware Secrets (August 31, 2009) Archived April 6, 2011, at the Wayback Machine, both as accessed January 19, 2010. That some websites don’t allow nonalphanumerics is indicated by Kanhef, Idiots, For Different Reasons (June 30, 2009) (topic post) Archived April 6, 2011, at the Wayback Machine, as accessed January 20, 2010.

[41] "ComodoHacker responsible for DigiNotar Attack – Hacking News". Thehackernews.com. 2011-09-06. Archived from the original on 2013-05-17. Retrieved 2013-03-17.

[42] Dave Basner (8 March 2019). "Here's Why 'ji32k7au4a83' Is A Surprisingly Common Password". Retrieved 25 March 2019.

[43] Bidwell, p. 87

[44] "एक अच्छा पासवर्ड चुनने के लिए दिशानिर्देश". Lockdown.co.uk. 2009-07-10. Archived from the original on 2013-03-26. Retrieved 2013-03-17.

[45] William, Cheswick (2012-12-31). "HTML संस्करण - पासवर्ड पर पुनर्विचार". Association for Computing Machinery (ACM). Archived from the original on 2019-11-03. Retrieved 2019-11-03.

[46] William, Cheswick (2012-12-31). "एसीएम डिजिटल लाइब्रेरी - पासवर्ड पर पुनर्विचार". Queue. 10 (12): 50–56. doi:10.1145/2405116.2422416. Archived from the original on 2019-11-03. Retrieved 2019-11-03.

[47] "पासवर्ड जटिलता नियमों के संस्थापक बिल बूर कहते हैं सॉरी!". Retrieved 17 May 2021.

[48] "ऑनलाइन सेवाओं में पासवर्ड". UK Information Commissioner's Office (ICO). Retrieved 17 May 2021.

[49] "डिजिटल पहचान दिशानिर्देश". USA National Institute of Standards and Technology. Retrieved 17 May 2021.

[50] "न्यूनतम शक्ति, न्यूनतम लंबाई, और ब्लॉकलिस्ट आवश्यकताओं को मिलाकर मजबूत, अधिक उपयोग करने योग्य पासवर्ड के लिए व्यावहारिक अनुशंसाएं" (PDF). Carnegie Mellon University. Retrieved 17 May 2021.

[51] "पासवर्ड मार्गदर्शन" (PDF). Cyber Security, UK Government Communications Headquarters. Retrieved 17 May 2021.

[52] "एक मजबूत पासवर्ड बनाएँ". Google Inc. Retrieved 17 May 2021.

[53] "लॉगिन और पासवर्ड मदद". FaceBook Inc. Retrieved 17 May 2021.

[54] "Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903". Microsoft. Retrieved 17 May 2021.

[LOPSA-55] "पासवर्ड समाप्ति के बचाव में". League of Professional Systems Administrators. Archived from the original on October 12, 2008. Retrieved April 14, 2008.

[WEB-56] "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.

[CERIAS-57] Eugene Spafford. "सुरक्षा मिथक और पासवर्ड". The Center for Education and Research in Information Assurance and Security. Archived from the original on April 11, 2008. Retrieved April 14, 2008.

[58] Johannes Kiesel; Benno Stein; Stefan Lucks (2017). "स्मरक पासवर्ड सलाह का एक बड़े पैमाने पर विश्लेषण" (PDF). Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17). Internet Society. Archived from the original (PDF) on 2017-03-30. Retrieved 2017-03-30.

[59] Mnemonic Devices (Indianapolis, Ind.: Bepko Learning Ctr., University College), as accessed January 19, 2010 Archived June 10, 2010, at the Wayback Machine

[60] Remembering Passwords (ChangingMinds.org) Archived 2010-01-21 at Wikiwix, as accessed January 19, 2010

[:10-61] Cipresso, P; Gaggioli, A; Serino, S; Cipresso, S; Riva, G (2012). "यादगार और मजबूत पासवर्ड कैसे बनाएं". J Med Internet Res. 14 (1): e10. doi:10.2196/jmir.1906. PMC 3846346. PMID 22233980.

[62] Brumen, B; Heričko, M; Rozman, I; Hölbl, M (2013). "सुरक्षा विश्लेषण और साइकोपास पद्धति में सुधार।". J Med Internet Res. 15 (8): e161. doi:10.2196/jmir.2366. PMC 3742392. PMID 23942458.

[63] "zxcvbn: realistic password strength estimation". Dropbox Tech Blog. Archived from the original on 2015-04-05.

[64] Morley, Katie (2016-02-10). "Use the same password for everything? You're fuelling a surge in current account fraud". Telegraph.co.uk (in English). Archived from the original on 2017-05-13. Retrieved 2017-05-22.

[65] Microsoft security guru: Jot down your passwords Archived 2016-02-05 at the Wayback Machine, c\net Retrieved on 2016-02-02

[66] Simple methods (e.g., ROT13 and some other old ciphers) may suffice; for more sophisticated hand-methods see Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2) Archived November 13, 2015, at the Wayback Machine, as accessed January 19, 2010, and Sam Siewert, Big Iron Lessons, Part 5: Introduction to Cryptography, From Egypt Through Enigma (IBM, July 26, 2005) Archived August 3, 2010, at the Wayback Machine, as accessed January 19, 2010.

[67] "Safer Password For Web, Email And Desktop/Mobile Apps". bizpages.org. Retrieved 2020-09-14.

[68] J. Alex Halderman; Brent Waters; Edward W. Felten (2005). पासवर्ड सुरक्षित रूप से प्रबंधित करने के लिए एक सुविधाजनक तरीका (PDF). ACM. pp. 1–9. Archived (PDF) from the original on 2016-01-15.

[69] Blake Ross; Collin Jackson; Nicholas Miyake; Dan Boneh; John C. Mitchell (2005). "ब्राउज़र एक्सटेंशन का उपयोग कर मजबूत पासवर्ड प्रमाणीकरण" (PDF). Proceedings of the 14th Usenix Security Symposium. USENIX. pp. 17–32. Archived (PDF) from the original on 2012-04-29.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

Anonymous

Search

पासवर्ड स्ट्रेंथ: Difference between revisions

Namespaces

More

Page actions

Latest revision as of 11:59, 8 September 2023

Contents

पासवर्ड निर्माण

पासवर्ड अनुमान सत्यापन

पासवर्ड शक्ति के माप के रूप में एंट्रॉपी

रैंडम पासवर्ड

मानव जनित पासवर्ड

एनआईएसटी विशेष प्रकाशन 800-63-2

प्रयोज्यता और कार्यान्वयन विचार

एंट्रॉपी के आवश्यक बिट्स

कठोर पासवर्ड के लिए दिशानिर्देश

सामान्य दिशानिर्देश

अशक्त पासवर्ड के उदाहरण

पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार

पासवर्ड नीति

पासवर्ड बनाना और संभालना

मेमोरी तकनीक

पासवर्ड की सुरक्षा

पासवर्ड प्रबंधक

यह भी देखें

संदर्भ

बाहरी संबंध

Navigation

Navigation

Wiki tools

Wiki tools

@@ Line 1: / Line 1: @@
-{{Short description|Resistance of a password to being guessed}}
 {{for|पासवर्ड पर संगठनात्मक नियम|पासवर्ड नीति}}
-[[File:KeePass random password.png|thumb|400px|[[कीपास]] में [[ यादृच्छिक पासवर्ड पीढ़ी ]] टूल का विकल्प मेनू। अधिक कैरेक्टर सबसेट को सक्षम करने से जनरेट किए गए पासवर्ड की शक्ति थोड़ी मात्रा में बढ़ जाती है, जबकि उनकी लंबाई बढ़ने से शक्ति बड़ी मात्रा में बढ़ जाती है।]][[पासवर्ड]] की शक्ति अनुमान लगाने या क्रूर-बल के आक्रमणों के विरुद्ध पासवर्ड की प्रभावशीलता का एक उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि एक आक्रमणकारी जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की शक्ति लंबाई, जटिलता और अप्रत्याशितता का एक कार्य है।<ref name=CERT>{{cite web | url = http://www.us-cert.gov/cas/tips/ST04-002.html | title = Cyber Security Tip ST04-002 | work = Choosing and Protecting Passwords | publisher = US CERT | access-date = June 20, 2009 | url-status = live | archive-url = https://web.archive.org/web/20090707141138/http://www.us-cert.gov/cas/tips/ST04-002.html | archive-date = July 7, 2009 }}</ref>
+[[File:KeePass random password.png|thumb|400px|[[कीपास]] में [[ यादृच्छिक पासवर्ड पीढ़ी |यादृच्छिक पासवर्ड पीढ़ी]] टूल का विकल्प मेनू। अधिक कैरेक्टर सबसेट को सक्षम करने से जनरेट किए गए पासवर्ड की शक्ति थोड़ी मात्रा में बढ़ जाती है, जबकि उनकी लंबाई बढ़ने से शक्ति बड़ी मात्रा में बढ़ जाती है।]][[पासवर्ड]] की शक्ति अनुमान लगाने या क्रूर-बल के आक्रमणों के विरुद्ध पासवर्ड की प्रभावशीलता का उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि आक्रमणकारी जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की शक्ति लंबाई, जटिलता और अप्रत्याशितता का कार्य है।<ref name=CERT>{{cite web | url = http://www.us-cert.gov/cas/tips/ST04-002.html | title = Cyber Security Tip ST04-002 | work = Choosing and Protecting Passwords | publisher = US CERT | access-date = June 20, 2009 | url-status = live | archive-url = https://web.archive.org/web/20090707141138/http://www.us-cert.gov/cas/tips/ST04-002.html | archive-date = July 7, 2009 }}</ref>
-कठोर पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र [[जोखिम|संकट]] को कम करता है, लेकिन कठोर पासवर्ड अन्य प्रभावी [[सुरक्षा नियंत्रण]] की आवश्यकता को प्रतिस्थापित नहीं करते हैं।<ref>{{Cite web|title=Why User Names and Passwords Are Not Enough {{!}} SecurityWeek.Com|url=https://www.securityweek.com/why-user-names-and-passwords-are-not-enough|access-date=2020-10-31|website=www.securityweek.com|date=31 January 2019 }}</ref> किसी दिए गए शक्ति के पासवर्ड की प्रभावशीलता प्रमाणीकरण कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।
+स्ट्रांग पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र [[जोखिम|संकट]] को कम करता है, लेकिन कठोर पासवर्ड अन्य प्रभावी [[सुरक्षा नियंत्रण]] की आवश्यकता को प्रतिस्थापित नहीं करते हैं।<ref>{{Cite web|title=Why User Names and Passwords Are Not Enough {{!}} SecurityWeek.Com|url=https://www.securityweek.com/why-user-names-and-passwords-are-not-enough|access-date=2020-10-31|website=www.securityweek.com|date=31 January 2019 }}</ref> किसी दिए गए शक्ति के पासवर्ड की प्रभावशीलता प्रमाणीकरण कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।
-दर जिस पर एक आक्रमणकारी प्रणाली को अनुमानित पासवर्ड जमा कर सकता है, प्रणाली सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य अशक्तियों के अभाव में, ऐसी प्रणाली को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। चूँकि, प्रणाली को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो प्रणाली सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड संकट में हो सकते हैं।
+दर जिस पर आक्रमणकारी प्रणाली को अनुमानित पासवर्ड जमा कर सकता है, प्रणाली सुरक्षा का निर्धारण करने में महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य अशक्तियों के अभाव में, ऐसी प्रणाली को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। चूँकि, प्रणाली को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो प्रणाली सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड संकट में हो सकते हैं।
 में, यूनाइटेड किंगडम के [[राष्ट्रीय साइबर सुरक्षा केंद्र (यूनाइटेड किंगडम)]] ने उल्लंघन किए गए खातों के सार्वजनिक डेटाबेस का विश्लेषण किया, यह देखने के लिए कि लोग किन शब्दों, वाक्यांशों और स्ट्रिंग्स का उपयोग करते हैं। सूची में सबसे लोकप्रिय पासवर्ड 123456 था, जो 23 मिलियन से अधिक पासवर्ड में दिखाई दे रहा था। दूसरी सबसे लोकप्रिय स्ट्रिंग, 123456789, को क्रैक करना अधिक कठिन नहीं था, जबकि शीर्ष पांच में [[ Qwerty |क्वर्टी]], पासवर्ड और 1111111 सम्मिलित थे।<ref>{{Cite web|url=https://www.bbc.com/news/technology-47974583|title=Millions using 123456 as password, security study finds|date=21 April 2019|website=BBC News|access-date=24 April 2019}}</ref>
@@ Line 11: / Line 10: @@
 == पासवर्ड निर्माण ==
-पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाली स्थिति अधिक सामान्य है। जबकि एक क्रूर-बल आक्रमण के विरुद्ध विचित्र ढंग से चुने गए पासवर्ड की शक्ति की गणना स्पष्ट रूप से की जा सकती है, मानव-जनित पासवर्ड की शक्ति का निर्धारण करना कठिन है।
+पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाली स्थिति अधिक सामान्य है। जबकि क्रूर-बल आक्रमण के विरुद्ध विचित्र ढंग से चुने गए पासवर्ड की शक्ति की गणना स्पष्ट रूप से की जा सकती है, मानव-जनित स्ट्रांग पासवर्ड निर्धारण करना कठिन है।
-कंप्यूटर प्रणाली या इंटरनेट वेबसाइट के लिए एक नया खाता बनाते समय सामान्यतः, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के एक सेट द्वारा प्रतिबंधित किया जाता है। शक्ति का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न सामान्यतः एक आक्रमणकारी की सहायता कर सकते हैं।<ref name=NIST /> इसके अतिरिक्त, सामान्यतः चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश सम्मिलित हैं, जिनका उल्लंघन किया गया है; अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से [[सादे पाठ|साधारण पाठ]] और क्रिप्टोग्राफिक_हैश_फंक्शन पासवर्ड के डेटाबेस सम्मिलित हैं। ऐसी सूचियों में सभी आइटम अशक्त माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।
+कंप्यूटर प्रणाली या इंटरनेट वेबसाइट के लिए नया खाता बनाते समय सामान्यतः, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के सेट द्वारा प्रतिबंधित किया जाता है। शक्ति का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न सामान्यतः आक्रमणकारी की सहायता कर सकते हैं।<ref name=NIST /> इसके अतिरिक्त, सामान्यतः चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश सम्मिलित हैं, जिनका उल्लंघन किया गया है; अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से [[सादे पाठ|साधारण पाठ]] और क्रिप्टोग्राफिक_हैश_फलन पासवर्ड के डेटाबेस सम्मिलित हैं। ऐसी सूचियों में सभी आइटम अशक्त माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।
-चूँकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना सरल है, वे सामान्यतः यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अधिकांशतः लोग अपना स्वयं का चयन करना पसंद करते हैं। चूँकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण सामान्यतः पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन [[ सामाजिक मीडिया ]] के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत सरल बना दिया है।
+चूँकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना सरल है, वे सामान्यतः यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अधिकांशतः लोग अपना स्वयं का चयन करना पसंद करते हैं। चूँकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण सामान्यतः पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन [[ सामाजिक मीडिया |सामाजिक मीडिया]] के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत सरल बना दिया है।
 == पासवर्ड अनुमान सत्यापन ==
-प्रणाली जो [[प्रमाणीकरण]] के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए अंकित किए गए किसी भी पासवर्ड की जांच करने की कोई विधि होनी चाहिए। यदि मान्य पासवर्ड केवल एक प्रणाली फ़ाइल या डेटाबेस में संग्रहीत हैं, तो एक आक्रमणकारी जो प्रणाली तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे आक्रमणकारी को आक्रमण वाली प्रणाली पर सभी खातों और संभावित रूप से अन्य प्रणालीों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस संकट को कम करने की एक विधि यह है कि पासवर्ड के अतिरिक्त प्रत्येक पासवर्ड का केवल एक [[क्रिप्टोग्राफिक हैश]] स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (एसएचए) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए एक आक्रमणकारी जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। चूँकि, हैश मान का ज्ञान आक्रमणकारी को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। [[पासवर्ड क्रैकिंग]] प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।
+प्रणाली जो [[प्रमाणीकरण]] के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए अंकित किए गए किसी भी पासवर्ड की जांच करने की कोई विधि होनी चाहिए। यदि मान्य पासवर्ड केवल प्रणाली फ़ाइल या डेटाबेस में संग्रहीत हैं, तो आक्रमणकारी जो प्रणाली तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे आक्रमणकारी को आक्रमण वाली प्रणाली पर सभी खातों और संभावित रूप से अन्य प्रणालीों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस संकट को कम करने की विधि यह है कि पासवर्ड के अतिरिक्त प्रत्येक पासवर्ड का केवल [[क्रिप्टोग्राफिक हैश]] स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (एसएचए) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए आक्रमणकारी जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। चूँकि, हैश मान का ज्ञान आक्रमणकारी को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। [[पासवर्ड क्रैकिंग]] प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।
-कंप्यूटिंग प्रौद्योगिकी में संशोधन उस दर को बढ़ाता रहता है, जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, [[जॉर्जिया टेक रिसर्च इंस्टीट्यूट]] ने बहुत तीव्रता से पासवर्ड क्रैक करने के लिए [[जीपीजीपीयू]] का उपयोग करने की एक विधि विकसित की।<ref name="gtri"/> [[Elcomsoft|एलकॉमसॉफ्ट]] ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और शीघ्र ही अमेरिका में एक संबंधित पेटेंट प्रस्तुत किया।<ref name="belenko">{{ cite patent | country=US | number=7929707 | status=patent | title=पासवर्ड पुनर्प्राप्ति के लिए समानांतर गणित सह-प्रोसेसर के रूप में ग्राफ़िक्स प्रोसेसर का उपयोग| assign1=Elcomsoft Co. Ltd. | inventor= Andrey V. Belenko | gdate=2011-04-19 }}</ref> 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए एक उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करके एक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता को प्रमाण करते थे।<ref name=elcomsoft>[http://www.elcomsoft.com/eprb.html#gpu Elcomsoft.com] {{webarchive|url=https://web.archive.org/web/20061017173506/http://www.elcomsoft.com/eprb.html |date=2006-10-17 }}, [[ElcomSoft]] Password Recovery Speed table, [[NTLM]] passwords, [[Nvidia Tesla]] S1070 GPU, accessed 2011-02-01</ref> इस तरह की उपकरण एक दिन में छह-अक्षर वाले एकल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं; जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। चूँकि [[कुंजी खींचना]] का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।
+कंप्यूटिंग प्रौद्योगिकी में संशोधन उस दर को बढ़ाता रहता है, जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, [[जॉर्जिया टेक रिसर्च इंस्टीट्यूट]] ने बहुत तीव्रता से पासवर्ड क्रैक करने के लिए [[जीपीजीपीयू]] का उपयोग करने की विधि विकसित की थी।<ref name="gtri"/> [[Elcomsoft|एलकॉमसॉफ्ट]] ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और शीघ्र ही अमेरिका में संबंधित पेटेंट प्रस्तुत किया।<ref name="belenko">{{ cite patent | country=US | number=7929707 | status=patent | title=पासवर्ड पुनर्प्राप्ति के लिए समानांतर गणित सह-प्रोसेसर के रूप में ग्राफ़िक्स प्रोसेसर का उपयोग| assign1=Elcomsoft Co. Ltd. | inventor= Andrey V. Belenko | gdate=2011-04-19 }}</ref> 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता को प्रमाण करते थे।<ref name=elcomsoft>[http://www.elcomsoft.com/eprb.html#gpu Elcomsoft.com] {{webarchive|url=https://web.archive.org/web/20061017173506/http://www.elcomsoft.com/eprb.html |date=2006-10-17 }}, [[ElcomSoft]] Password Recovery Speed table, [[NTLM]] passwords, [[Nvidia Tesla]] S1070 GPU, accessed 2011-02-01</ref> इस तरह की उपकरण एक दिन में छह-अक्षर वाले एकल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं; जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। चूँकि [[कुंजी खींचना]] का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।
-एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब [[क्रिप्टोग्राफ़िक कुंजी]] बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे स्थितियों में, एक आक्रमणकारी शीघ्रता से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं करता है। उदाहरण के लिए, एक वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का प्रमाण करता है।<ref>[http://www.elcomsoft.com/ewsa.html Elcomsoft Wireless Security Auditor, HD5970 GPU] {{webarchive|url=https://web.archive.org/web/20110219131825/http://www.elcomsoft.com/ewsa.html |date=2011-02-19 }} accessed 2011-02-11</ref>
+एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब [[क्रिप्टोग्राफ़िक कुंजी]] बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे स्थितियों में, आक्रमणकारी शीघ्रता से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं करता है। उदाहरण के लिए, वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का प्रमाण करता है।<ref>[http://www.elcomsoft.com/ewsa.html Elcomsoft Wireless Security Auditor, HD5970 GPU] {{webarchive|url=https://web.archive.org/web/20110219131825/http://www.elcomsoft.com/ewsa.html |date=2011-02-19 }} accessed 2011-02-11</ref>
-यदि कोई पासवर्ड प्रणाली केवल पासवर्ड के हैश को संग्रहीत करता है, तो एक आक्रमणकारी सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और एक निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तीव्रता से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। आक्रमण की इस विधि को हैश के साथ एक यादृच्छिक मूल्य, जिसे [[क्रिप्टोग्राफिक नमक]] कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले एक आक्रमणकारी को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, सामान्य उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।
+यदि कोई पासवर्ड प्रणाली केवल पासवर्ड के हैश को संग्रहीत करता है, तो आक्रमणकारी सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तीव्रता से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। आक्रमण की इस विधि को हैश के साथ यादृच्छिक मूल्य, जिसे [[क्रिप्टोग्राफिक नमक]] कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले आक्रमणकारी को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, सामान्य उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।
 ===पासवर्ड शक्ति के माप के रूप में एंट्रॉपी===
-कंप्यूटर उद्योग में [[सूचना एन्ट्रापी]] के संदर्भ में पासवर्ड की शक्ति निर्दिष्ट करना सामान्य है, जिसे [[ अंश | बिट्स]] में मापा जाता है और [[सूचना सिद्धांत]] से एक अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के अतिरिक्त, उस संख्या का [[बाइनरी लघुगणक|आधार -2 लघुगणक]]  दिया जाता है, जिसे सामान्यतः पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, चूँकि यह  सूचना एन्ट्रापी के रूप में बिल्कुल समान मात्रा नहीं है।<ref>{{cite conference |url=http://www.isiweb.ee.ethz.ch/archive/massey_pub/pdf/BI633.pdf |title=अनुमान और एन्ट्रापी|author=James Massey |year=1994 |publisher=IEEE |pages=204|book-title=Proceedings of 1994 IEEE International Symposium on Information Theory|author-link=James Massey }}</ref> इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की एक स्ट्रिंग के रूप में कठोर होगा, उदाहरण के लिए एक उचित सिक्का टॉस द्वारा। दूसरी विधि, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 2<sup>42</sup> (4,398,046,511,104) की आवश्यकता होगी। एक [[क्रूर बल खोज]] के समय सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को एक बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे आक्रमणकारी का कार्य दोगुना कठिन हो जाता है। औसतन, एक आक्रमणकारी को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।<ref name=NIST />
+कंप्यूटर उद्योग में [[सूचना एन्ट्रापी]] के संदर्भ में पासवर्ड की शक्ति निर्दिष्ट करना सामान्य है, जिसे [[ अंश |बिट्स]] में मापा जाता है और [[सूचना सिद्धांत]] से अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के अतिरिक्त, उस संख्या का [[बाइनरी लघुगणक|आधार -2 लघुगणक]] दिया जाता है, जिसे सामान्यतः पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, चूँकि यह सूचना एन्ट्रापी के रूप में बिल्कुल समान मात्रा नहीं है।<ref>{{cite conference |url=http://www.isiweb.ee.ethz.ch/archive/massey_pub/pdf/BI633.pdf |title=अनुमान और एन्ट्रापी|author=James Massey |year=1994 |publisher=IEEE |pages=204|book-title=Proceedings of 1994 IEEE International Symposium on Information Theory|author-link=James Massey }}</ref> इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की स्ट्रिंग के रूप में कठोर होगा, उदाहरण के लिए उचित सिक्का टॉस द्वारा। दूसरी विधि, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 2<sup>42</sup> (4,398,046,511,104) की आवश्यकता होगी। [[क्रूर बल खोज]] के समय सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे आक्रमणकारी का कार्य दोगुना कठिन हो जाता है। औसतन, आक्रमणकारी को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।<ref name=NIST />
@@ Line 33: / Line 32: @@
 {{Main|यादृच्छिक पासवर्ड जनरेटर}}
-रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की एक स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक एक वर्ण सेट (जैसे, [[ASCII|एएससीआईआई]] वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार एक [[पदबंध]] बनाते हैं)।
+रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक वर्ण सेट (जैसे, [[ASCII|एएससीआईआई]] वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार [[पदबंध]] बनाते हैं)।
 यादृच्छिक पासवर्ड की शक्ति अंतर्निहित संख्या जनरेटर की वास्तविक एन्ट्रॉपी पर निर्भर करती है; चूँकि, ये अधिकांशतः वास्तव में यादृच्छिक नहीं होते हैं, लेकिन छद्म यादृच्छिक होते हैं। कई सार्वजनिक रूप से उपलब्ध पासवर्ड जनरेटर प्रोग्रामिंग पुस्तकालयों में पाए जाने वाले यादृच्छिक संख्या जनरेटर का उपयोग करते हैं जो सीमित एन्ट्रॉपी प्रदान करते हैं। चूँकि अधिकांश आधुनिक ऑपरेटिंग प्रणाली क्रिप्टोग्राफ़िक रूप से कठोर यादृच्छिक संख्या जनरेटर प्रदान करते हैं जो पासवर्ड जनरेशन के लिए उपयुक्त हैं। यादृच्छिक पासवर्ड उत्पन्न करने के लिए साधारण [[पासा]] का उपयोग करना भी संभव है। रैंडम पासवर्ड जनरेटर विधियाँ देखें। रैंडम पासवर्ड प्रोग्राम में अधिकांशतः यह सुनिश्चित करने की क्षमता होती है कि परिणामी पासवर्ड स्थानीय [[पासवर्ड नीति]] का अनुपालन करता है; उदाहरण के लिए, सदैव अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण बनाकर।
-एक प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो ''N'' संभावित प्रतीकों के एक सेट से लंबाई, ''L'' के प्रतीकों की एक स्ट्रिंग का विचित्र ढंग से चयन करता है, संभव पासवर्डों की संख्या प्रतीकों की संख्या को शक्ति ''L'', अर्थात् ''N<sup>L</sup>'' तक बढ़ाकर पाई जा सकती है। ''L'' या ''N'' को बढ़ाने से उत्पन्न पासवर्ड कठोर होगा। सूचना एन्ट्रापी द्वारा मापी गई एक यादृच्छिक पासवर्ड की शक्ति केवल आधार -2 लघुगणक या संभावित पासवर्ड की संख्या का log<sub>2</sub> है, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार एक यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:
+प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो ''N'' संभावित प्रतीकों के सेट से लंबाई, ''L'' के प्रतीकों की स्ट्रिंग का विचित्र ढंग से चयन करता है, संभव पासवर्डों की संख्या प्रतीकों की संख्या को शक्ति ''L'', अर्थात् ''N<sup>L</sup>'' तक बढ़ाकर पाई जा सकती है। ''L'' या ''N'' को बढ़ाने से उत्पन्न पासवर्ड कठोर होगा। सूचना एन्ट्रापी द्वारा मापी गई यादृच्छिक पासवर्ड की शक्ति केवल आधार -2 लघुगणक या संभावित पासवर्ड की संख्या का log<sub>2</sub> है, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:
 {{align|center|
@@ Line 73: / Line 72: @@
 | align=left|[[Diceware|डाइक्वेयर]] शब्द सूची || 7776 || {{Rnd|12.924812503606|3}} बिट प्रति शब्द
 |}
-एक [[ बाइनरी संख्या ]] [[बाइट]] सामान्यतः दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।
+[[ बाइनरी संख्या |बाइनरी संख्या]] [[बाइट]] सामान्यतः दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।
-लंबाई खोजने के लिए, ''L'', वांछित शक्ति ''H'' प्राप्त करने के लिए आवश्यक है, ''N'' प्रतीकों के एक सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, एक गणना करता है:
+लंबाई खोजने के लिए, ''L'', वांछित शक्ति ''H'' प्राप्त करने के लिए आवश्यक है, ''N'' प्रतीकों के सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, गणना करता है:
 <math>L = {\left \lceil \frac {H}{\log_2 N} \right \rceil}</math>
@@ Line 129: / Line 128: @@
 === मानव जनित पासवर्ड ===
-संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को सम्मिलित करने वाले एक अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था।<ref>{{cite journal|last1=Florencio|first1=Dinei|last2=Herley|first2=Cormac|title=वेब पासवर्ड की आदतों का बड़े पैमाने पर अध्ययन|journal=Proceeds of the International World Wide Web Conference Committee|date=May 8, 2007|page=657|doi=10.1145/1242572.1242661|isbn=9781595936547|s2cid=10648989|url=http://research.microsoft.com/pubs/74164/www2007.pdf|ref=ACM 978-1-59593-654-7/07/0005.|url-status=live|archive-url=https://web.archive.org/web/20150327031521/http://research.microsoft.com/pubs/74164/www2007.pdf|archive-date=March 27, 2015}}</ref>
+संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को सम्मिलित करने वाले अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था।<ref>{{cite journal|last1=Florencio|first1=Dinei|last2=Herley|first2=Cormac|title=वेब पासवर्ड की आदतों का बड़े पैमाने पर अध्ययन|journal=Proceeds of the International World Wide Web Conference Committee|date=May 8, 2007|page=657|doi=10.1145/1242572.1242661|isbn=9781595936547|s2cid=10648989|url=http://research.microsoft.com/pubs/74164/www2007.pdf|ref=ACM 978-1-59593-654-7/07/0005.|url-status=live|archive-url=https://web.archive.org/web/20150327031521/http://research.microsoft.com/pubs/74164/www2007.pdf|archive-date=March 27, 2015}}</ref>
-इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के एक विश्लेषण में, अक्षर ''e'' का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर ''f'' का उपयोग केवल 250,000 बार किया गया था। एक [[समान वितरण (असतत)]] में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।<ref name="perfect" />
+इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के विश्लेषण में, अक्षर ''e'' का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर ''f'' का उपयोग केवल 250,000 बार किया गया था। [[समान वितरण (असतत)]] में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।<ref name="perfect" />
 उपयोगकर्ता पासवर्ड बनाने में संभवतया ही कभी बड़े वर्ण सेट का पूर्ण उपयोग करते हैं। उदाहरण के लिए, 2006 में माइस्पेस फ़िशिंग योजना से प्राप्त हैकिंग परिणामों से 34,000 पासवर्ड का पता चला, जिनमें से केवल 8.3% ने मिश्रित केस, संख्याओं और प्रतीकों का उपयोग किया।<ref name="myspace-passwords">{{cite news | url = http://archive.wired.com/politics/security/commentary/securitymatters/2006/12/72300?currentPage=all | title = माइस्पेस पासवर्ड इतने मूर्ख नहीं हैं| author = Bruce Schneier | publisher = Wired Magazine | access-date = April 11, 2008 | date = December 14, 2006 | url-status = live | archive-url = https://web.archive.org/web/20140521031354/http://archive.wired.com/politics/security/commentary/securitymatters/2006/12/72300?currentPage=all | archive-date = May 21, 2014 }}</ref>
-संपूर्ण एएससीआईआई वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी शक्ति केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, संभवतया ऊपरी और निचले स्थिति के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण इत्यादि। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में एक पैटर्न है और आक्रमणकारी के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की आशा की जा सकती है। यह पासवर्ड की शक्ति में कमी है। एक उत्तम आवश्यकता एक पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न सम्मिलित न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य विधियों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और एक विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि सामान्य है।
+संपूर्ण एएससीआईआई वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी शक्ति केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, संभवतया ऊपरी और निचले स्थिति के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण इत्यादि। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में पैटर्न है और आक्रमणकारी के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की आशा की जा सकती है। यह पासवर्ड की शक्ति में कमी है। उत्तम आवश्यकता पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न सम्मिलित न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य विधियों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि सामान्य है।
 ==== [[एनआईएसटी]] विशेष प्रकाशन 800-63-2 ====
-जून 2004 का एनआईएसटी विशेष प्रकाशन 800-63 (संशोधन दो) ने मानव जनित पासवर्डों की एंट्रॉपी को अनुमानित करने के लिए एक योजना का सुझाव दिया:<ref name=NIST>{{cite web | url = http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63v6_3_3.pdf | title = SP 800-63 – Electronic Authentication Guideline | publisher = NIST | access-date = April 20, 2014 | url-status = dead | archive-url = https://web.archive.org/web/20040712152833/http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63v6_3_3.pdf | archive-date = July 12, 2004 }}</ref> इस योजना का उपयोग करते हुए, एक आठ-वर्ण मानव-चयनित पासवर्ड बिना अपरकेस वर्णों और गैर-अल्फाबेटिक वर्णों के साथ या दो वर्ण सेटों में से किसी एक के साथ एंट्रॉपी के अठारह बिट होने का अनुमान है। एनआईएसटी प्रकाशन स्वीकार करता है कि विकास के समय, पासवर्ड के वास्तविक विश्व चयन पर बहुत कम जानकारी उपलब्ध थी। बाद में नए उपलब्ध वास्तविक विश्व डेटा का उपयोग करके मानव-चयनित पासवर्ड एन्ट्रॉपी में शोध ने प्रदर्शित किया है कि एनआईएसटी योजना मानव-चयनित पासवर्ड के एंट्रॉपी अनुमान के लिए वैध मीट्रिक प्रदान नहीं करती है।<ref name=WeirEtAl>{{cite web | url = http://reusablesec.blogspot.com/2010/10/new-paper-on-password-security-metrics.html | title = प्रकट किए गए पासवर्डों के बड़े सेट पर हमला करके पासवर्ड निर्माण नीतियों के लिए मेट्रिक्स का परीक्षण करना| format = PDF | author1 = Matt Weir | author2 = Susdhir Aggarwal | author3 = Michael Collins | author4 = Henry Stern | date = 7 October 2010 | access-date = March 21, 2012 | url-status = live | archive-url = https://web.archive.org/web/20120706124704/http://reusablesec.blogspot.com/2010/10/new-paper-on-password-security-metrics.html | archive-date = July 6, 2012 }}</ref> एसपी 800-63 (संशोधन तीन) का जून 2017 संशोधन इस दृष्टिकोण को छोड़ देता है।<ref>{{cite web | url = https://pages.nist.gov/800-63-3 | title = SP 800-63-3 – Digital Identity Guidelines | format = PDF | publisher = NIST | date = June 2017 | access-date = August 6, 2017 | url-status = live | archive-url = https://web.archive.org/web/20170806142240/https://pages.nist.gov/800-63-3/ | archive-date = August 6, 2017 }}</ref>
+जून 2004 का एनआईएसटी विशेष प्रकाशन 800-63 (संशोधन दो) ने मानव जनित पासवर्डों की एंट्रॉपी को अनुमानित करने के लिए योजना का सुझाव दिया:<ref name=NIST>{{cite web | url = http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63v6_3_3.pdf | title = SP 800-63 – Electronic Authentication Guideline | publisher = NIST | access-date = April 20, 2014 | url-status = dead | archive-url = https://web.archive.org/web/20040712152833/http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63v6_3_3.pdf | archive-date = July 12, 2004 }}</ref> इस योजना का उपयोग करते हुए, आठ-वर्ण मानव-चयनित पासवर्ड बिना अपरकेस वर्णों और गैर-अल्फाबेटिक वर्णों के साथ या दो वर्ण सेटों में से किसी एक के साथ एंट्रॉपी के अठारह बिट होने का अनुमान है। एनआईएसटी प्रकाशन स्वीकार करता है कि विकास के समय, पासवर्ड के वास्तविक विश्व चयन पर बहुत कम जानकारी उपलब्ध थी। बाद में नए उपलब्ध वास्तविक विश्व डेटा का उपयोग करके मानव-चयनित पासवर्ड एन्ट्रॉपी में शोध ने प्रदर्शित किया है कि एनआईएसटी योजना मानव-चयनित पासवर्ड के एंट्रॉपी अनुमान के लिए वैध मीट्रिक प्रदान नहीं करती है।<ref name=WeirEtAl>{{cite web | url = http://reusablesec.blogspot.com/2010/10/new-paper-on-password-security-metrics.html | title = प्रकट किए गए पासवर्डों के बड़े सेट पर हमला करके पासवर्ड निर्माण नीतियों के लिए मेट्रिक्स का परीक्षण करना| format = PDF | author1 = Matt Weir | author2 = Susdhir Aggarwal | author3 = Michael Collins | author4 = Henry Stern | date = 7 October 2010 | access-date = March 21, 2012 | url-status = live | archive-url = https://web.archive.org/web/20120706124704/http://reusablesec.blogspot.com/2010/10/new-paper-on-password-security-metrics.html | archive-date = July 6, 2012 }}</ref> एसपी 800-63 (संशोधन तीन) का जून 2017 संशोधन इस दृष्टिकोण को छोड़ देता है।<ref>{{cite web | url = https://pages.nist.gov/800-63-3 | title = SP 800-63-3 – Digital Identity Guidelines | format = PDF | publisher = NIST | date = June 2017 | access-date = August 6, 2017 | url-status = live | archive-url = https://web.archive.org/web/20170806142240/https://pages.nist.gov/800-63-3/ | archive-date = August 6, 2017 }}</ref>
 === प्रयोज्यता और कार्यान्वयन विचार ===
-क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 एएससीआईआई प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है। यह एक अंतरराष्ट्रीय यात्री के लिए एक समस्या प्रस्तुत कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट प्रणाली में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि [[टैबलेट कंप्यूटर]] और [[ स्मार्टफोन ]], विशेष वर्णों को अंकित करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।
+क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 एएससीआईआई प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है। यह अंतरराष्ट्रीय यात्री के लिए समस्या प्रस्तुत कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट प्रणाली में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि [[टैबलेट कंप्यूटर]] और [[ स्मार्टफोन |स्मार्टफोन]] , विशेष वर्णों को अंकित करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।
 प्रमाणीकरण कार्यक्रम अलग-अलग होते हैं जिनमें वे पासवर्ड में वर्णों की अनुमति देते हैं। कुछ स्थितियों के अंतर को नहीं पहचानते हैं (उदाहरण के लिए, अपर-केस ई को लोअर-केस ई के बराबर माना जाता है), अन्य कुछ अन्य प्रतीकों को प्रतिबंधित करते हैं। पिछले कुछ दशकों में, प्रणाली ने पासवर्ड में अधिक वर्णों की अनुमति दी है, लेकिन सीमाएँ अभी भी उपलब्ध हैं। अनुमत पासवर्ड की अधिकतम लंबाई में प्रणाली भी भिन्न होते हैं।
-एक व्यावहारिक स्थितियों के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त कठोर होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत कठिन है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा संकट मानते हैं।<ref name=Gartner>{{cite web | url = http://www.indevis.de/dokumente/gartner_passwords_breakpoint.pdf | title = पासवर्ड ब्रेकिंग पॉइंट के पास हैं| publisher = Gartner | author = A. Allan | access-date = April 10, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20060427032938/http://www.indevis.de/dokumente/gartner_passwords_breakpoint.pdf | archive-date = April 27, 2006 }}</ref> इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए विवश करना केवल अशक्त पासवर्ड को समायोजित कर सकता है, और इस प्रकार एक बड़ा सुरक्षा संकट उत्पन्न करता है। [[ब्रूस श्नेयर]] के अनुसार, अधिकतर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए एक उत्तमीन जगह है।<ref name=Schneier-writedown>{{cite web | url = http://www.schneier.com/blog/archives/2005/06/write_down_your.html | title = सुरक्षा पर श्नाइयर| work = Write Down Your Password | author = Bruce Schneier | access-date = April 10, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080413032636/http://www.schneier.com/blog/archives/2005/06/write_down_your.html | archive-date = April 13, 2008 }}</ref>
+व्यावहारिक स्थितियों के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त कठोर होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत कठिन है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा संकट मानते हैं।<ref name=Gartner>{{cite web | url = http://www.indevis.de/dokumente/gartner_passwords_breakpoint.pdf | title = पासवर्ड ब्रेकिंग पॉइंट के पास हैं| publisher = Gartner | author = A. Allan | access-date = April 10, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20060427032938/http://www.indevis.de/dokumente/gartner_passwords_breakpoint.pdf | archive-date = April 27, 2006 }}</ref> इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए विवश करना केवल अशक्त पासवर्ड को समायोजित कर सकता है, और इस प्रकार बड़ा सुरक्षा संकट उत्पन्न करता है। [[ब्रूस श्नेयर]] के अनुसार, अधिकतर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए उत्तमीन स्थान है।<ref name=Schneier-writedown>{{cite web | url = http://www.schneier.com/blog/archives/2005/06/write_down_your.html | title = सुरक्षा पर श्नाइयर| work = Write Down Your Password | author = Bruce Schneier | access-date = April 10, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080413032636/http://www.schneier.com/blog/archives/2005/06/write_down_your.html | archive-date = April 13, 2008 }}</ref>
 == एंट्रॉपी के आवश्यक बिट्स ==
-पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए संकट के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। [rfc:4086 आरएफसी 4086], सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण संकट के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें।<ref>{{cite IETF | title = सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ| rfc = 4086}}</ref> यदि केवल ऑनलाइन आक्रमणों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित एक 12-वर्ण यादृच्छिक पासवर्ड का पक्षसमर्थन किया  गया  था, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में किया गया था।<ref name="gtri">{{cite web|url=http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System|title=Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System|publisher=[[Georgia Tech Research Institute]]|access-date=2010-11-07|url-status=live|archive-url=https://web.archive.org/web/20101230063449/http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System|archive-date=2010-12-30}}</ref><ref name="msnbc">{{cite news|url=http://www.nbcnews.com/id/38771772|title=Want to deter hackers? Make your password longer|publisher=[[NBC News]]|date=2010-08-19|access-date=2010-11-07}}</ref> ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन आक्रमणों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक बिट्स भी बढ़ने चाहिए।
+पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए संकट के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। [rfc:4086 आरएफसी 4086], सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण संकट के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें।<ref>{{cite IETF | title = सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ| rfc = 4086}}</ref> यदि केवल ऑनलाइन आक्रमणों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित 12-वर्ण यादृच्छिक पासवर्ड का पक्षसमर्थन किया गया था, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में किया गया था।<ref name="gtri">{{cite web|url=http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System|title=Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System|publisher=[[Georgia Tech Research Institute]]|access-date=2010-11-07|url-status=live|archive-url=https://web.archive.org/web/20101230063449/http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System|archive-date=2010-12-30}}</ref><ref name="msnbc">{{cite news|url=http://www.nbcnews.com/id/38771772|title=Want to deter hackers? Make your password longer|publisher=[[NBC News]]|date=2010-08-19|access-date=2010-11-07}}</ref> ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन आक्रमणों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक बिट्स भी बढ़ने चाहिए।
-ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, ईएफएफ डीईएस क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट [[डेटा एन्क्रिप्शन मानक]] एन्क्रिप्शन को तोड़ दिया था।<ref name=EFF-deep-crack>{{cite web | url = http://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_descracker_pressrel.html | title = ईएफएफ डेस क्रैकर मशीन क्रिप्टो बहस में ईमानदारी लाती है| publisher = EFF | access-date = March 27, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20100101001853/http://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_descracker_pressrel.html | archive-date = January 1, 2010 }}</ref> 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया।<ref name=distributed>{{cite web | url = http://stats.distributed.net/projects.php?project_id=5 | title = 64-bit key project status | publisher = Distributed.net | access-date = March 27, 2008 | archive-url = https://web.archive.org/web/20130910051812/http://stats.distributed.net/projects.php?project_id=5 | archive-date = September 10, 2013 | url-status = dead }}</ref> 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे।<ref name=distributed-72>{{cite web | url = http://stats.distributed.net/projects.php?project_id=8 | title = 72-bit key project status | publisher = Distributed.net | access-date = October 12, 2011 }}</ref> मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई आशा नहीं है कि कोई भी [[ डिजिटल कम्प्यूटर ]] (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स आक्रमण के माध्यम से तोड़ने में सक्षम होगा।<ref name=schneier-cyptogram>{{cite web | url = http://www.schneier.com/crypto-gram-9902.html | title = Snakeoil: Warning Sign #5: Ridiculous key lengths | author = Bruce Schneier | access-date = March 27, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080418225248/http://www.schneier.com/crypto-gram-9902.html | archive-date = April 18, 2008 }}</ref> [[क्वांटम कंप्यूटर]] व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, चूँकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।<ref>{{cite web |url=https://stackoverflow.com/questions/2768807/quantum-computing-and-encryption-breaking |title=क्वांटम कम्प्यूटिंग और एन्क्रिप्शन ब्रेकिंग|publisher=Stack Overflow |date=2011-05-27 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130521043721/http://stackoverflow.com/questions/2768807/quantum-computing-and-encryption-breaking |archive-date=2013-05-21 }}</ref>
+ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, ईएफएफ डीईएस क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट [[डेटा एन्क्रिप्शन मानक]] एन्क्रिप्शन को तोड़ दिया था।<ref name=EFF-deep-crack>{{cite web | url = http://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_descracker_pressrel.html | title = ईएफएफ डेस क्रैकर मशीन क्रिप्टो बहस में ईमानदारी लाती है| publisher = EFF | access-date = March 27, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20100101001853/http://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_descracker_pressrel.html | archive-date = January 1, 2010 }}</ref> 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया।<ref name=distributed>{{cite web | url = http://stats.distributed.net/projects.php?project_id=5 | title = 64-bit key project status | publisher = Distributed.net | access-date = March 27, 2008 | archive-url = https://web.archive.org/web/20130910051812/http://stats.distributed.net/projects.php?project_id=5 | archive-date = September 10, 2013 | url-status = dead }}</ref> 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे।<ref name=distributed-72>{{cite web | url = http://stats.distributed.net/projects.php?project_id=8 | title = 72-bit key project status | publisher = Distributed.net | access-date = October 12, 2011 }}</ref> मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई आशा नहीं है कि कोई भी [[ डिजिटल कम्प्यूटर |डिजिटल कम्प्यूटर]] (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स आक्रमण के माध्यम से तोड़ने में सक्षम होगा।<ref name=schneier-cyptogram>{{cite web | url = http://www.schneier.com/crypto-gram-9902.html | title = Snakeoil: Warning Sign #5: Ridiculous key lengths | author = Bruce Schneier | access-date = March 27, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080418225248/http://www.schneier.com/crypto-gram-9902.html | archive-date = April 18, 2008 }}</ref> [[क्वांटम कंप्यूटर]] व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, चूँकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।<ref>{{cite web |url=https://stackoverflow.com/questions/2768807/quantum-computing-and-encryption-breaking |title=क्वांटम कम्प्यूटिंग और एन्क्रिप्शन ब्रेकिंग|publisher=Stack Overflow |date=2011-05-27 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130521043721/http://stackoverflow.com/questions/2768807/quantum-computing-and-encryption-breaking |archive-date=2013-05-21 }}</ref>
@@ Line 167: / Line 166: @@
 | isbn      = 978-1-931836-51-7
 }}</ref>
-* 8 की न्यूनतम पासवर्ड लंबाई पर विचार करें<ref>{{cite web |title=NIST PASSWORD GUIDELINES IN 2020 |date = 18 August 2020|url=https://stealthbits.com/blog/nist-password-guidelines/#:~:text=NIST%20now%20requires%20that%20all,characters%20as%20a%20maximum%20length. |publisher=Stealthbits |access-date=17 May 2021}}</ref> एक सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और सरली से याद रखने वाले पासवर्ड की सलाह देते हैं।<ref>{{cite web|title=पासवर्ड नीति - अपने दृष्टिकोण को अपडेट करना|url=https://www.ncsc.gov.uk/collection/passwords/updating-your-approach|access-date=17 May 2021|publisher=UK National Cyber Security Centre}}</ref><ref>{{Cite web|title=Choosing and Protecting Passwords {{!}} CISA|url=https://www.cisa.gov/tips/st04-002|access-date=2022-01-12|website=www.cisa.gov}}</ref>
+* 8 की न्यूनतम पासवर्ड लंबाई पर विचार करें<ref>{{cite web |title=NIST PASSWORD GUIDELINES IN 2020 |date = 18 August 2020|url=https://stealthbits.com/blog/nist-password-guidelines/#:~:text=NIST%20now%20requires%20that%20all,characters%20as%20a%20maximum%20length. |publisher=Stealthbits |access-date=17 May 2021}}</ref> सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और सरली से याद रखने वाले पासवर्ड की सलाह देते हैं।<ref>{{cite web|title=पासवर्ड नीति - अपने दृष्टिकोण को अपडेट करना|url=https://www.ncsc.gov.uk/collection/passwords/updating-your-approach|access-date=17 May 2021|publisher=UK National Cyber Security Centre}}</ref><ref>{{Cite web|title=Choosing and Protecting Passwords {{!}} CISA|url=https://www.cisa.gov/tips/st04-002|access-date=2022-01-12|website=www.cisa.gov}}</ref>
 *जहाँ संभव हो, विचित्र ढंग से पासवर्ड उत्पन्न करें।
 * एक ही पासवर्ड का दो बार उपयोग करने से बचें (उदाहरण के लिए कई उपयोगकर्ता खातों और/या सॉफ़्टवेयर प्रणाली में)।
@@ Line 177: / Line 176: @@
 पासवर्ड में लोअरकेस, अपरकेस अक्षर वर्णों, संख्याओं और प्रतीकों को बाध्य करना सामान्य नीति थी, लेकिन वास्तव में इसे क्रैक करना सरल बनाकर सुरक्षा को कम करना पाया गया है। शोध से पता चला है कि ऐसे प्रतीकों का सामान्य उपयोग कितना अनुमानित है, और यू.एस.<ref>{{cite web |title=डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63b.html#a3-complexity |publisher=USA National Institute for Standards and Technology |access-date=17 May 2021}}</ref> यूके<ref>{{cite web |title=सिस्टम स्वामियों के लिए पासवर्ड प्रशासन|url=https://www.ncsc.gov.uk/collection/passwords/updating-your-approach |publisher=UK National Cyber Security Centre |access-date=17 May 2021}}</ref> सरकारी साइबर सुरक्षा विभाग उन्हें पासवर्ड नीति में सम्मिलित करने के लिए बाध्य नहीं करने की सलाह देते हैं। जटिल प्रतीक भी पासवर्ड को याद रखना अधिक कठिन बनाते हैं, जो लिखने को बढ़ाता है, पासवर्ड रीसेट करता है और पासवर्ड का पुन: उपयोग करता है - ये सभी पासवर्ड सुरक्षा में संशोधन करने के अतिरिक्त कम करते हैं। पासवर्ड जटिलता नियमों के मूल लेखक, बिल बूर ने क्षमा मांगी है और स्वीकार किया है कि वे वास्तव में सुरक्षा को कम करते हैं, जैसा कि शोध में पाया गया है; यह 2017 में मीडिया में व्यापक रूप से रिपोर्ट किया गया था।<ref name="tesla.tours">{{cite web |title=पासवर्ड नियम - पासवर्ड जटिलता के संस्थापक सॉरी कहते हैं!|url=https://www.tesla.tours/campaigns/password-rules#h.8jxqtu8i7po2 |access-date=17 May 2021}}</ref> पासवर्ड पर सर्वोत्तम अभ्यास सलाह में ऑनलाइन सुरक्षा शोधकर्ता<ref>{{cite web |title=साइलैब प्रयोग करने योग्य गोपनीयता और सुरक्षा प्रयोगशाला (सीयूपीएस)|url=http://cups.cs.cmu.edu/passwords.html |publisher=Carnegie Mellon University (USA) |access-date=17 May 2021}}</ref> और सलाहकार भी परिवर्तन के समर्थक हैं।<ref>{{cite web |last1=Bruce |first1=Schneier |title=पासवर्ड सर्वोत्तम प्रथाओं में परिवर्तन|url=https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html |publisher=Schneier on Security |access-date=17 May 2021}}</ref>
-कुछ दिशानिर्देश पासवर्ड लिखने के विरुद्ध सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित प्रणाली को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को एक सुरक्षित स्थान पर रखा जाता है, मॉनिटर या  डेस्क दराज अनलॉक में संलग्न नहीं होता है।<ref name="schneier.com">{{cite web|url=http://www.schneier.com/blog/archives/2005/06/write_down_your.html|title=अपना पासवर्ड लिख लें - श्नेयर ऑन सिक्योरिटी|website=www.schneier.com|url-status=live|archive-url=https://web.archive.org/web/20080413032636/http://www.schneier.com/blog/archives/2005/06/write_down_your.html|archive-date=2008-04-13}}</ref> एनसीएससी द्वारा [[ पासवर्ड प्रबंधक ]] के उपयोग का पक्षसमर्थन किया जाता है।<ref name="National Cyber Security Centre">{{cite web|url=https://www.ncsc.gov.uk/blog-post/what-does-ncsc-think-password-managers|title=What does the NCSC think of password managers?|website=www.ncsc.gov.uk|url-status=live|archive-url=https://web.archive.org/web/20190305053922/https://www.ncsc.gov.uk/blog-post/what-does-ncsc-think-password-managers|archive-date=2019-03-05}}</ref>
+कुछ दिशानिर्देश पासवर्ड लिखने के विरुद्ध सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित प्रणाली को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को सुरक्षित स्थान पर रखा जाता है, मॉनिटर या डेस्क दराज अनलॉक में संलग्न नहीं होता है।<ref name="schneier.com">{{cite web|url=http://www.schneier.com/blog/archives/2005/06/write_down_your.html|title=अपना पासवर्ड लिख लें - श्नेयर ऑन सिक्योरिटी|website=www.schneier.com|url-status=live|archive-url=https://web.archive.org/web/20080413032636/http://www.schneier.com/blog/archives/2005/06/write_down_your.html|archive-date=2008-04-13}}</ref> एनसीएससी द्वारा [[ पासवर्ड प्रबंधक |पासवर्ड प्रबंधक]] के उपयोग का पक्षसमर्थन किया जाता है।<ref name="National Cyber Security Centre">{{cite web|url=https://www.ncsc.gov.uk/blog-post/what-does-ncsc-think-password-managers|title=What does the NCSC think of password managers?|website=www.ncsc.gov.uk|url-status=live|archive-url=https://web.archive.org/web/20190305053922/https://www.ncsc.gov.uk/blog-post/what-does-ncsc-think-password-managers|archive-date=2019-03-05}}</ref>
 पासवर्ड के लिए निर्धारित संभावित कैरेक्टर को अलग-अलग वेब साइट्स या कीबोर्ड की उस रेंज द्वारा सीमित किया जा सकता है, जिस पर पासवर्ड अंकित किया जाना चाहिए।<ref>e.g. for a keyboard with only 17 nonalphanumeric characters, see one for a BlackBerry phone in [http://www.hardwaresecrets.com/fullimage.php?image=18705 an enlarged image]  {{webarchive|url=https://web.archive.org/web/20110406121058/http://www.hardwaresecrets.com/fullimage.php?image=18705 |date=2011-04-06 }} in support of [http://www.hardwaresecrets.com/article/795/2 Sandy Berger, ''BlackBerry Tour 9630 (Verizon) Cell Phone Review'', in Hardware Secrets (August 31, 2009)] {{webarchive|url=https://web.archive.org/web/20110406121111/http://www.hardwaresecrets.com/article/795/2 |date=April 6, 2011 }}, both as accessed January 19, 2010. That some websites don’t allow nonalphanumerics is indicated by [http://forums.theregister.co.uk/post/527230 Kanhef, ''Idiots, For Different Reasons'' (June 30, 2009) (topic post)] {{webarchive|url=https://web.archive.org/web/20110406121058/http://forums.theregister.co.uk/post/527230 |date=April 6, 2011 }}, as accessed January 20, 2010.</ref>
@@ Line 186: / Line 185: @@
 {{See also|पासवर्ड क्रैकिंग|सबसे सामान्य पासवर्ड की सूची}}
-जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में अशक्त हैं। उदाहरण के लिए, एक शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच शक्ति में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - एक सामान्य दृष्टिकोण) एक पासवर्ड क्रैकिंग उपकरण को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी शक्ति जोड़ता है। नीचे दिए गए उदाहरण अशक्त पासवर्ड बनाने के विभिन्न विधियों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।<ref name=perfect>{{cite book
+जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में अशक्त हैं। उदाहरण के लिए, शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच शक्ति में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - सामान्य दृष्टिकोण) पासवर्ड क्रैकिंग उपकरण को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी शक्ति जोड़ता है। नीचे दिए गए उदाहरण अशक्त पासवर्ड बनाने के विभिन्न विधियों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।<ref name=perfect>{{cite book
    | last = Burnett
    | first = Mark
@@ Line 200: / Line 199: @@
 * शब्दकोश शब्द: गिरगिट, रेडसॉक्स, सैंडबैग, बनीहॉप !, इंटेंस क्रैबट्री, आदि, गैर-अंग्रेजी शब्दकोशों में शब्दों सहित।
 * संलग्न संख्या वाले शब्द: पासवर्ड 1, डीयर 2000, जॉन 1234, आदि, थोड़े समय के साथ स्वचालित रूप से सरली से परीक्षण किए जा सकते हैं।
-* सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, [[DigiNotar|डिजीनोटर]] आक्रमण में समझौता किया गया एक डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।<ref>{{cite web |url=http://thehackernews.com/2011/09/comodohacker-responsible-for-diginotar.html |title=ComodoHacker responsible for DigiNotar Attack – Hacking News |publisher=Thehackernews.com |date=2011-09-06 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130517204022/http://thehackernews.com/2011/09/comodohacker-responsible-for-diginotar.html |archive-date=2013-05-17 }}</ref>
+* सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, [[DigiNotar|डिजीनोटर]] आक्रमण में समझौता किया गया डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।<ref>{{cite web |url=http://thehackernews.com/2011/09/comodohacker-responsible-for-diginotar.html |title=ComodoHacker responsible for DigiNotar Attack – Hacking News |publisher=Thehackernews.com |date=2011-09-06 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130517204022/http://thehackernews.com/2011/09/comodohacker-responsible-for-diginotar.html |archive-date=2013-05-17 }}</ref>
 * दोगुने शब्द: क्रैक्रैब, स्टॉपस्टॉप, ट्रीट्री, पासपास, आदि।
-* एक कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
+* कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
 * सुप्रसिद्ध संख्याओं जैसे 911 पर आधारित सांख्यिक अनुक्रम <sup>([[9-1-1]], 9/11)</sup>, 314159... <sup>([[ अनुकरणीय |pi]])</sup>, 27182... <sup>(e)</sup>, 112 <sup>([[112 (आपातकालीन टेलीफोन नंबर)|1-1-2]])</sup>, आदि।
 * पहचानकर्ता: jsmith123, 1/1/1970, 555–1234, किसी का उपयोगकर्ता नाम, आदि।
 * गैर-अंग्रेज़ी भाषाओं में अशक्त पासवर्ड, जैसे कॉन्ट्रासेना (स्पेनिश) और ji32k7au4a83 (चीनी से बोपोमोफो कीबोर्ड एन्कोडिंग)<ref>{{cite news|url=https://www.iheart.com/content/2019-03-08-heres-why-ji32k7au4a83-is-a-surprisingly-common-password/|title=Here's Why 'ji32k7au4a83' Is A Surprisingly Common Password|access-date=25 March 2019|date=8 March 2019|author=Dave Basner}}</ref>
-* व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की एक साधारण जांच के बाद सरली से स्वचालित रूप से परीक्षण किया जा सकता है।
+* व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की साधारण जांच के बाद सरली से स्वचालित रूप से परीक्षण किया जा सकता है।
-* तिथियां: तिथियां एक पैटर्न का पालन करती हैं और आपके पासवर्ड को अशक्त बनाती हैं।
+* तिथियां: तिथियां पैटर्न का पालन करती हैं और आपके पासवर्ड को अशक्त बनाती हैं।
 * प्रसिद्ध स्थानों के नाम: न्यूयॉर्क, टेक्सास, चीन, लंदन, आदि।
 * ब्रांडों, मशहूर हस्तियों, खेल टीमों, संगीत समूहों, टीवी शो, फिल्मों आदि के नाम।
-पासवर्ड अशक्त होने की और भी कई विधियाँ हो सकती हैं,<ref>Bidwell, p. 87</ref> विभिन्न आक्रमण योजनाओं की शक्ति के अनुरूप; मूल सिद्धांत यह है कि एक पासवर्ड में उच्च एन्ट्रापी (सामान्यतः यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा सरली से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अधिकांशतः एक रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे एक हैकर समझ सकता है और ऐसा करके एक पासवर्ड को बायपास कर सकता है। कठिन से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।<ref>{{cite web |url=http://www.lockdown.co.uk/?pg=password_guide |title=एक अच्छा पासवर्ड चुनने के लिए दिशानिर्देश|publisher=Lockdown.co.uk |date=2009-07-10 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130326163635/http://www.lockdown.co.uk/?pg=password_guide |archive-date=2013-03-26 }}</ref>
+पासवर्ड अशक्त होने की और भी कई विधियाँ हो सकती हैं,<ref>Bidwell, p. 87</ref> विभिन्न आक्रमण योजनाओं की शक्ति के अनुरूप; मूल सिद्धांत यह है कि पासवर्ड में उच्च एन्ट्रापी (सामान्यतः यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा सरली से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अधिकांशतः रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे हैकर समझ सकता है और ऐसा करके पासवर्ड को बायपास कर सकता है। कठिन से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।<ref>{{cite web |url=http://www.lockdown.co.uk/?pg=password_guide |title=एक अच्छा पासवर्ड चुनने के लिए दिशानिर्देश|publisher=Lockdown.co.uk |date=2009-07-10 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130326163635/http://www.lockdown.co.uk/?pg=password_guide |archive-date=2013-03-26 }}</ref>
 === पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार ===
-दिसंबर, 2012 में, [[विलियम चेसविक]] ने एसीएम पत्रिका में प्रकाशित एक लेख लिखा था जिसमें सामान्यतः अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना सरल या कठिन होगा, इसकी गणितीय संभावनाएं सम्मिलित थीं। अपने लेख में, विलियम ने दिखाया कि एक मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के आक्रमण का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास एक मल्टी-कोर प्रणाली का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (अर्थात् 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड एक सामान्य शब्द का उपयोग नहीं करता है कि एक [[शब्दकोश हमला|शब्दकोश आक्रमण]] बहुत शीघ्र टूट सकता है। इस शक्ति के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे परिवर्तित करने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।<ref>{{Cite web|url=https://queue.acm.org/detail.cfm?id=2422416|title=HTML संस्करण - पासवर्ड पर पुनर्विचार|last=William|first=Cheswick|date=2012-12-31|website=[[Association for Computing Machinery]] (ACM)|url-status=live|archive-url=https://archive.today/2019.11.03-172648/https://queue.acm.org/detail.cfm?id=2422416|archive-date=2019-11-03|access-date=2019-11-03}}</ref><ref>{{Cite journal|url=https://dl.acm.org/citation.cfm?doid=2405116.2422416|title=एसीएम डिजिटल लाइब्रेरी - पासवर्ड पर पुनर्विचार|last=William|first=Cheswick|date=2012-12-31|journal=Queue|volume=10|issue=12|pages=50–56|doi=10.1145/2405116.2422416|url-status=live|archive-url=https://archive.today/2019.11.03-173450/https://dl.acm.org/citation.cfm?doid=2405116.2422416|archive-date=2019-11-03|access-date=2019-11-03|doi-access=free}}</ref>
+दिसंबर, 2012 में, [[विलियम चेसविक]] ने एसीएम पत्रिका में प्रकाशित लेख लिखा था जिसमें सामान्यतः अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना सरल या कठिन होगा, इसकी गणितीय संभावनाएं सम्मिलित थीं। अपने लेख में, विलियम ने दिखाया कि मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के आक्रमण का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास मल्टी-कोर प्रणाली का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (अर्थात् 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड सामान्य शब्द का उपयोग नहीं करता है कि [[शब्दकोश हमला|शब्दकोश आक्रमण]] बहुत शीघ्र टूट सकता है। इस शक्ति के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे परिवर्तित करने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।<ref>{{Cite web|url=https://queue.acm.org/detail.cfm?id=2422416|title=HTML संस्करण - पासवर्ड पर पुनर्विचार|last=William|first=Cheswick|date=2012-12-31|website=[[Association for Computing Machinery]] (ACM)|url-status=live|archive-url=https://archive.today/2019.11.03-172648/https://queue.acm.org/detail.cfm?id=2422416|archive-date=2019-11-03|access-date=2019-11-03}}</ref><ref>{{Cite journal|url=https://dl.acm.org/citation.cfm?doid=2405116.2422416|title=एसीएम डिजिटल लाइब्रेरी - पासवर्ड पर पुनर्विचार|last=William|first=Cheswick|date=2012-12-31|journal=Queue|volume=10|issue=12|pages=50–56|doi=10.1145/2405116.2422416|url-status=live|archive-url=https://archive.today/2019.11.03-173450/https://dl.acm.org/citation.cfm?doid=2405116.2422416|archive-date=2019-11-03|access-date=2019-11-03|doi-access=free}}</ref>
@@ Line 221: / Line 220: @@
 {{Main|पासवर्ड नीति}}
-पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए एक गाइड है। इसका इरादा है:
+पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए गाइड है। इसका विचार है:
 * कठोर पासवर्ड चुनने में उपयोगकर्ताओं की सहायता करें
 * सुनिश्चित करें कि पासवर्ड लक्ष्य जनसँख्या के अनुकूल हैं
 * उपयोगकर्ताओं को उनके पासवर्ड से निपटने के संबंध में पक्षसमर्थन प्रदान करें
 * किसी भी पासवर्ड को परिवर्तित करने का पक्षसमर्थन करें जो खो गया है या समझौता करने का संदेह है
-* अशक्त या सरली से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट (कंप्यूटिंग) # उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।
+* अशक्त या सरली से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।
-पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड सम्मिलित होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान द्वारा कम सुरक्षित के रूप में खारिज कर दिया गया है,<ref>{{cite web |title=न्यूनतम शक्ति, न्यूनतम लंबाई, और ब्लॉकलिस्ट आवश्यकताओं को मिलाकर मजबूत, अधिक उपयोग करने योग्य पासवर्ड के लिए व्यावहारिक अनुशंसाएं|url=http://www.andrew.cmu.edu/user/nicolasc/publications/Tan-CCS20.pdf |publisher=Carnegie Mellon University |access-date=17 May 2021}}</ref> मूल प्रेरक द्वारा<ref>{{cite web |title=पासवर्ड जटिलता नियमों के संस्थापक बिल बूर कहते हैं सॉरी!|url=https://www.tesla.tours/campaigns/password-rules#h.8jxqtu8i7po2 |access-date=17 May 2021}}</ref> इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा<ref>{{cite web |title=ऑनलाइन सेवाओं में पासवर्ड|url=https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/security/passwords-in-online-services/#whatrequirementsshould |publisher=UK Information Commissioner's Office (ICO) |access-date=17 May 2021}}</ref>) यूएसए का<ref>{{cite web |title=डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63b.html#a3-complexity |publisher=USA National Institute of Standards and Technology |access-date=17 May 2021}}</ref> और यूके।<ref>{{cite web |title=पासवर्ड मार्गदर्शन|url=https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/458857/Password_guidance_-_simplifying_your_approach.pdf |publisher=Cyber Security, UK Government Communications Headquarters |access-date=17 May 2021}}</ref> लागू प्रतीकों के पासवर्ड जटिलता नियम पहले गूगल जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे<ref>{{cite web |title=एक मजबूत पासवर्ड बनाएँ|url=https://support.google.com/accounts/answer/32040?hl=en#:~:text=Meet%20password%20requirements,accented%20characters%20aren't%20supported. |publisher=Google Inc. |access-date=17 May 2021}}</ref> और फेसबुक,<ref>{{cite web |title=लॉगिन और पासवर्ड मदद|url=https://www.facebook.com/help/1573156092981768/ |publisher=FaceBook Inc |access-date=17 May 2021}}</ref> लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा संकट है, और लागू जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में मदद करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। विवश जटिलता नियम भी समर्थन लागत, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।
+पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड सम्मिलित होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान कम सुरक्षित के रूप में मूल प्रेरक द्वारा<ref>{{cite web |title=पासवर्ड जटिलता नियमों के संस्थापक बिल बूर कहते हैं सॉरी!|url=https://www.tesla.tours/campaigns/password-rules#h.8jxqtu8i7po2 |access-date=17 May 2021}}</ref> इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा<ref>{{cite web |title=ऑनलाइन सेवाओं में पासवर्ड|url=https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/security/passwords-in-online-services/#whatrequirementsshould |publisher=UK Information Commissioner's Office (ICO) |access-date=17 May 2021}}</ref>) यूएसए<ref>{{cite web |title=डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63b.html#a3-complexity |publisher=USA National Institute of Standards and Technology |access-date=17 May 2021}}</ref> और यूके में रोक कर दिया गया है।<ref>{{cite web |title=न्यूनतम शक्ति, न्यूनतम लंबाई, और ब्लॉकलिस्ट आवश्यकताओं को मिलाकर मजबूत, अधिक उपयोग करने योग्य पासवर्ड के लिए व्यावहारिक अनुशंसाएं|url=http://www.andrew.cmu.edu/user/nicolasc/publications/Tan-CCS20.pdf |publisher=Carnegie Mellon University |access-date=17 May 2021}}</ref><ref>{{cite web |title=पासवर्ड मार्गदर्शन|url=https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/458857/Password_guidance_-_simplifying_your_approach.pdf |publisher=Cyber Security, UK Government Communications Headquarters |access-date=17 May 2021}}</ref> प्रयुक्त प्रतीकों के पासवर्ड जटिलता नियम पहले गूगल जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे<ref>{{cite web |title=एक मजबूत पासवर्ड बनाएँ|url=https://support.google.com/accounts/answer/32040?hl=en#:~:text=Meet%20password%20requirements,accented%20characters%20aren't%20supported. |publisher=Google Inc. |access-date=17 May 2021}}</ref> और फेसबुक,<ref>{{cite web |title=लॉगिन और पासवर्ड मदद|url=https://www.facebook.com/help/1573156092981768/ |publisher=FaceBook Inc |access-date=17 May 2021}}</ref> लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा संकट है, और प्रयुक्त जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में सहायता करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। विवश जटिलता नियम भी समर्थन व्यय, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।
-पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे खारिज कर दिया गया है<ref name="tesla.tours"/> सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने हटा दिया है<ref>{{cite web |title=Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903 |url=https://docs.microsoft.com/en-au/archive/blogs/secguide/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903 |publisher=Microsoft |access-date=17 May 2021}}</ref> पासवर्ड समाप्ति सुविधा। पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी:<ref name=LOPSA>{{cite web | url = http://lopsa.org/node/295 | title = पासवर्ड समाप्ति के बचाव में| publisher = League of Professional Systems Administrators | access-date = April 14, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20081012063918/http://lopsa.org/node/295 | archive-date = October 12, 2008 }}</ref>
+पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे रोक दिया गया है<ref name="tesla.tours"/> सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने पासवर्ड समाप्ति की सुविधा हटा दिया है।<ref>{{cite web |title=Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903 |url=https://docs.microsoft.com/en-au/archive/blogs/secguide/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903 |publisher=Microsoft |access-date=17 May 2021}}</ref> पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी:<ref name=LOPSA>{{cite web | url = http://lopsa.org/node/295 | title = पासवर्ड समाप्ति के बचाव में| publisher = League of Professional Systems Administrators | access-date = April 14, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20081012063918/http://lopsa.org/node/295 | archive-date = October 12, 2008 }}</ref>
-* अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय आक्रमणकारी के लिए अपर्याप्त समय सुनिश्चित करने में मदद कर सकता है।
+* अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय आक्रमणकारी के लिए अपर्याप्त समय सुनिश्चित करने में सहायता कर सकता है।
-* यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से बदलने की आवश्यकता आक्रमणकारी के लिए एक्सेस समय को सीमित कर सकती है।
+* यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से परिवर्तित करने की आवश्यकता आक्रमणकारी के लिए एक्सेस समय को सीमित कर सकती है।
 चूँकि, पासवर्ड समाप्ति की अपनी कमियाँ हैं:<ref name=WEB>
 {{cite web
@@ Line 247: / Line 246: @@
 </ref><ref name=CERIAS>{{cite web | url = http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/ | title = सुरक्षा मिथक और पासवर्ड| publisher = The Center for Education and Research in Information Assurance and Security | author = Eugene Spafford | access-date = April 14, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080411123000/http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/ | archive-date = April 11, 2008 }}</ref>
 * उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए कहना सरल, अशक्त पासवर्ड को प्रोत्साहित करता है।
-* अगर किसी के पास वास्तव में कठोर पासवर्ड है, तो उसे बदलने का कोई मतलब नहीं है। पहले से ही कठोर पासवर्ड बदलने से नया पासवर्ड कम कठोर होने का संकट होता है।
+* अगर किसी के पास वास्तव में कठोर पासवर्ड है, तो उसे बदलने का कोई अर्थ नहीं है। पहले से ही कठोर पासवर्ड बदलने से नया पासवर्ड कम कठोर होने का संकट होता है।
-* किसी हैकर द्वारा [[पिछले दरवाजे (कंप्यूटिंग)]] को स्थापित करने के लिए अधिकांशतः [[विशेषाधिकार वृद्धि]] के माध्यम से एक समझौता किए गए पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में आक्रमणकारी की पहुंच को नहीं रोकेंगे।
+* किसी हैकर द्वारा [[पिछले दरवाजे (कंप्यूटिंग)]] को स्थापित करने के लिए अधिकांशतः [[विशेषाधिकार वृद्धि]] के माध्यम से समझौता किए गए कि पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में आक्रमणकारी की पहुंच को नहीं रोकेंगे।
-* किसी के पासवर्ड को कभी न बदलने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड बदलने की ओर बढ़ने से क्रूर बल के आक्रमण में पासवर्ड का अनुमान लगाने से पहले आक्रमणकारी को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड बदलने की तुलना में केवल एक वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।
+* किसी के पासवर्ड को कभी न परिवर्तित करने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड परिवर्तित करने की ओर बढ़ने से क्रूर बल के आक्रमण में पासवर्ड का अनुमान लगाने से पहले आक्रमणकारी को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड परिवर्तित करने की तुलना में केवल वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।
 === पासवर्ड बनाना और संभालना ===
-किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के आक्रमणों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले आक्रमण (उच्च एन्ट्रापी के कारण)। चूँकि, ऐसे पासवर्ड सामान्यतः याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को लागू करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के विरुद्ध सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा संकट बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की उम्मीद है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने का पक्षसमर्थन किया:
+किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के आक्रमणों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले आक्रमण (उच्च एन्ट्रापी के कारण)। चूँकि, ऐसे पासवर्ड सामान्यतः याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को प्रयुक्त करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के विरुद्ध सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा संकट बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की आशा है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने का पक्षसमर्थन किया:
-{{Blockquote|quote=Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down. We're all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet.<ref name="schneier.com"/>}}
+{{Blockquote|quote=सीधे शब्दों में, लोग अब पासवर्ड को पर्याप्त रूप से याद नहीं रख सकते हैं जिससे शब्दकोश के आक्रमणों से कठोरता से बचाव किया जा सके, और यदि वे याद रखने के लिए बहुत जटिल पासवर्ड चुनते हैं और फिर उसे लिख लेते हैं तो वे अधिक सुरक्षित होते हैं। हम कागज के छोटे टुकड़ों को प्राप्त करने में अच्छे हैं। मेरा सुझाव है कि लोग अपने पासवर्ड को कागज के एक छोटे से टुकड़े पर लिख लें, और इसे अपने अन्य मूल्यवान छोटे कागज़ के टुकड़ों के साथ अपने बटुए में रखें।<ref name="schneier.com"/>}}
 यदि सावधानी से उपयोग किया जाए तो निम्नलिखित उपायों से कठोर पासवर्ड आवश्यकताओं की स्वीकृति बढ़ सकती है:
-* एक प्रशिक्षण कार्यक्रम। साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)।
+* प्रशिक्षण कार्यक्रम; साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)
 * दर को कम करके, या पासवर्ड परिवर्तन (पासवर्ड समाप्ति) की आवश्यकता को पूरी तरह से समाप्त करके कठोर पासवर्ड उपयोगकर्ताओं को पुरस्कृत करना। उपयोगकर्ता द्वारा चुने गए पासवर्ड की शक्ति का अनुमान स्वचालित प्रोग्राम द्वारा लगाया जा सकता है जो पासवर्ड सेट या बदलते समय प्रस्तावित पासवर्ड का निरीक्षण और मूल्यांकन करते हैं।
-* प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, एक समझौता किए गए पासवर्ड का सुझाव दे रहा है।
+* प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, समझौता किए गए पासवर्ड का सुझाव दे रहा है।
-* उपयोगकर्ताओं को एक स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। चूँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के सरली से अनुमान लगाए गए या शोध किए गए उत्तर एक कठोर पासवर्ड प्रणाली के लाभों को दरकिनार कर देते हैं।
+* उपयोगकर्ताओं को स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। चूँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के सरली से अनुमान लगाए गए या शोध किए गए उत्तर कठोर पासवर्ड प्रणाली के लाभों को बायपास कर देते हैं।
-* यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम एक विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की प्रस्तुति करता है।
+* यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की प्रस्तुति करता है।
 === मेमोरी तकनीक ===
 पासवर्ड नीतियाँ कभी-कभी पासवर्ड याद रखने में सहायता के लिए स्मृति संशोधनों का सुझाव देती हैं:
-* स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या अधिक यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत सरल होते हैं। उदाहरण के लिए, एक यादगार वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड शक्ति लगभग 3.7 बिट प्रति वर्ण है।<ref>{{cite conference |url=https://www.internetsociety.org/sites/default/files/ndss2017_03A-4_Kiesel_paper.pdf |title=स्मरक पासवर्ड सलाह का एक बड़े पैमाने पर विश्लेषण|author=Johannes Kiesel |author2=Benno Stein |author3=Stefan Lucks |year=2017 |publisher=Internet Society |book-title=Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17) |url-status=dead |archive-url=https://web.archive.org/web/20170330174637/https://www.internetsociety.org/sites/default/files/ndss2017_03A-4_Kiesel_paper.pdf |archive-date=2017-03-30 |access-date=2017-03-30 }}</ref> मूर्ख लोग संभवतः अधिक यादगार होते हैं।<ref>[http://uc.iupui.edu/uploadedFiles/Learning_Center_Site/Mnemonic%20Devices.pdf ''Mnemonic Devices'' (Indianapolis, Ind.: Bepko Learning Ctr., University College)], as accessed January 19, 2010 {{webarchive |url=https://web.archive.org/web/20100610000727/http://uc.iupui.edu/uploadedFiles/Learning_Center_Site/Mnemonic%20Devices.pdf |date=June 10, 2010 }}</ref> विचित्र ढंग से दिखने वाले पासवर्ड को और अधिक यादगार बनाने का एक और तरीका है विचित्र ढंग से चुने गए अक्षरों के अतिरिक्त यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
+* स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या अधिक यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत सरल होते हैं। उदाहरण के लिए, स्मरणार्थ वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड शक्ति लगभग 3.7 बिट प्रति वर्ण है।<ref>{{cite conference |url=https://www.internetsociety.org/sites/default/files/ndss2017_03A-4_Kiesel_paper.pdf |title=स्मरक पासवर्ड सलाह का एक बड़े पैमाने पर विश्लेषण|author=Johannes Kiesel |author2=Benno Stein |author3=Stefan Lucks |year=2017 |publisher=Internet Society |book-title=Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17) |url-status=dead |archive-url=https://web.archive.org/web/20170330174637/https://www.internetsociety.org/sites/default/files/ndss2017_03A-4_Kiesel_paper.pdf |archive-date=2017-03-30 |access-date=2017-03-30 }}</ref> मूर्ख लोग संभवतः अधिक स्मरणार्थ होते हैं।<ref>[http://uc.iupui.edu/uploadedFiles/Learning_Center_Site/Mnemonic%20Devices.pdf ''Mnemonic Devices'' (Indianapolis, Ind.: Bepko Learning Ctr., University College)], as accessed January 19, 2010 {{webarchive |url=https://web.archive.org/web/20100610000727/http://uc.iupui.edu/uploadedFiles/Learning_Center_Site/Mnemonic%20Devices.pdf |date=June 10, 2010 }}</ref> विचित्र ढंग से दिखने वाले पासवर्ड को और अधिक स्मरणार्थ बनाने की एक और विधि है विचित्र ढंग से चुने गए अक्षरों के अतिरिक्त यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
-* आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, एक मेमोनिक का आविष्कार करें जो फिट बैठता है।<ref>[http://changingminds.org/techniques/memory/remembering_passwords.htm Remembering Passwords (ChangingMinds.org)] {{webarchive|url=http://archive.wikiwix.com/cache/20100121181700/http://changingminds.org/techniques/memory/remembering_passwords.htm |date=2010-01-21 }}, as accessed January 19, 2010</ref> यह उचित या समझदार नहीं होना चाहिए, केवल यादगार होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
+* आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, मेमोनिक का आविष्कार करें जो फिट बैठता है।<ref>[http://changingminds.org/techniques/memory/remembering_passwords.htm Remembering Passwords (ChangingMinds.org)] {{webarchive|url=http://archive.wikiwix.com/cache/20100121181700/http://changingminds.org/techniques/memory/remembering_passwords.htm |date=2010-01-21 }}, as accessed January 19, 2010</ref> यह उचित या समझदार नहीं होना चाहिए, केवल स्मरणार्थ होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
-* पासवर्ड का दृश्य प्रतिनिधित्व: एक पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदा। एक अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर एक समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है;<ref name=":10">{{cite journal | last1 = Cipresso | first1 = P | last2 = Gaggioli | first2 = A | last3 = Serino | first3 = S | last4 = Cipresso | first4 = S | last5 = Riva | first5 = G | year = 2012 | title = यादगार और मजबूत पासवर्ड कैसे बनाएं| journal = J Med Internet Res | volume = 14 | issue = 1| page = e10 | doi = 10.2196/jmir.1906 | pmid = 22233980 | pmc=3846346}}</ref> इसके अतिरिक्त, ऐसे स्थानिक पैटर्न वाले पासवर्ड में संशोधन किया जा सकता है।<ref>{{cite journal | pmc = 3742392 | pmid=23942458 | doi=10.2196/jmir.2366 | volume=15 | issue=8 | title=सुरक्षा विश्लेषण और साइकोपास पद्धति में सुधार।| year=2013 | journal=J Med Internet Res | page=e161 | last1 = Brumen | first1 = B | last2 = Heričko | first2 = M | last3 = Rozman | first3 = I | last4 = Hölbl | first4 = M}}</ref><ref>{{cite web|url=https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/|title=zxcvbn: realistic password strength estimation|website=Dropbox Tech Blog|url-status=live|archive-url=https://web.archive.org/web/20150405131234/https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/|archive-date=2015-04-05}}</ref>
+* पासवर्ड का दृश्य प्रतिनिधित्व: पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदाहरण; अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है;<ref name=":10">{{cite journal | last1 = Cipresso | first1 = P | last2 = Gaggioli | first2 = A | last3 = Serino | first3 = S | last4 = Cipresso | first4 = S | last5 = Riva | first5 = G | year = 2012 | title = यादगार और मजबूत पासवर्ड कैसे बनाएं| journal = J Med Internet Res | volume = 14 | issue = 1| page = e10 | doi = 10.2196/jmir.1906 | pmid = 22233980 | pmc=3846346}}</ref> इसके अतिरिक्त, ऐसे स्थानिक पैटर्न वाले पासवर्ड में संशोधन किया जा सकता है।<ref>{{cite journal | pmc = 3742392 | pmid=23942458 | doi=10.2196/jmir.2366 | volume=15 | issue=8 | title=सुरक्षा विश्लेषण और साइकोपास पद्धति में सुधार।| year=2013 | journal=J Med Internet Res | page=e161 | last1 = Brumen | first1 = B | last2 = Heričko | first2 = M | last3 = Rozman | first3 = I | last4 = Hölbl | first4 = M}}</ref><ref>{{cite web|url=https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/|title=zxcvbn: realistic password strength estimation|website=Dropbox Tech Blog|url-status=live|archive-url=https://web.archive.org/web/20150405131234/https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/|archive-date=2015-04-05}}</ref>
 * पासवर्ड पैटर्न: पासवर्ड में कोई भी पैटर्न अनुमान लगाना (स्वचालित या नहीं) सरल बनाता है और आक्रमणकारी के कार्य कारक को कम करता है।
-** उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक यादगार बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे [[ पशुबल का आक्रमण ]] पासवर्ड आक्रमण काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, [[यूनाइटेड किंगडम सरकार के विभाग]]ों के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।{{Citation needed|date=January 2012}}
+** उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक स्मरणार्थ बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे [[ पशुबल का आक्रमण |पशुबल का आक्रमण]] पासवर्ड आक्रमण काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, [[यूनाइटेड किंगडम सरकार के विभाग]] के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।
 === पासवर्ड की सुरक्षा ===
-{{how-to|date=March 2013}}
+कंप्यूटर उपयोगकर्ताओं को सामान्यतः सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें।<ref>{{Cite news|url=https://www.telegraph.co.uk/finance/personalfinance/bank-accounts/12149022/Use-the-same-password-for-everything-Youre-fuelling-a-surge-in-current-account-fraud.html|title=Use the same password for everything? You're fuelling a surge in current account fraud|last=Morley|first=Katie|date=2016-02-10|work=Telegraph.co.uk|access-date=2017-05-22|language=en|url-status=live|archive-url=https://web.archive.org/web/20170513044756/http://www.telegraph.co.uk/finance/personalfinance/bank-accounts/12149022/Use-the-same-password-for-everything-Youre-fuelling-a-surge-in-current-account-fraud.html|archive-date=2017-05-13}}</ref> चूँकि, सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अधिकांशतः छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (स्मरणार्थ) योजना के उपयोग को रोकती हैं, तो अधिकांशतः परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे।
-कंप्यूटर उपयोगकर्ताओं को सामान्यतः सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें।<ref>{{Cite news|url=https://www.telegraph.co.uk/finance/personalfinance/bank-accounts/12149022/Use-the-same-password-for-everything-Youre-fuelling-a-surge-in-current-account-fraud.html|title=Use the same password for everything? You're fuelling a surge in current account fraud|last=Morley|first=Katie|date=2016-02-10|work=Telegraph.co.uk|access-date=2017-05-22|language=en|url-status=live|archive-url=https://web.archive.org/web/20170513044756/http://www.telegraph.co.uk/finance/personalfinance/bank-accounts/12149022/Use-the-same-password-for-everything-Youre-fuelling-a-surge-in-current-account-fraud.html|archive-date=2017-05-13}}</ref> चूँकि, एक सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अधिकांशतः छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (यादगार) योजना के उपयोग को रोकती हैं, तो अधिकांशतः परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे।
-के एक सुरक्षा सम्मेलन में एक [[Microsoft|माइक्रोसॉफ्ट]] विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा प्रमाण है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ।<ref>[http://www.cnet.com/news/microsoft-security-guru-jot-down-your-passwords/ Microsoft security guru: Jot down your passwords] {{webarchive|url=https://web.archive.org/web/20160205211730/http://www.cnet.com/news/microsoft-security-guru-jot-down-your-passwords/ |date=2016-02-05 }}, ''c\net'' Retrieved on 2016-02-02</ref>
+के सुरक्षा सम्मेलन में [[Microsoft|माइक्रोसॉफ्ट]] विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा प्रमाण है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ।<ref>[http://www.cnet.com/news/microsoft-security-guru-jot-down-your-passwords/ Microsoft security guru: Jot down your passwords] {{webarchive|url=https://web.archive.org/web/20160205211730/http://www.cnet.com/news/microsoft-security-guru-jot-down-your-passwords/ |date=2016-02-05 }}, ''c\net'' Retrieved on 2016-02-02</ref>
-सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से [[ कूटलेखन | कूटलेखन]] किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें।<ref>Simple methods (e.g., [[Rot13|ROT13]] and [[Cipher#Historical ciphers|some other old ciphers]]) may suffice; for more sophisticated hand-methods see [http://www.schneier.com/solitaire.html Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2)] {{webarchive|url=https://web.archive.org/web/20151113061059/https://www.schneier.com/solitaire.html |date=November 13, 2015 }}, as accessed January 19, 2010, and [http://mercury.pr.erau.edu/%7Esiewerts/extra/papers/IBM-Out-of-print/big-iron-5.pdf Sam Siewert, ''Big Iron Lessons, Part 5: Introduction to Cryptography, From Egypt Through Enigma'' (IBM, July 26, 2005)] {{webarchive|url=https://web.archive.org/web/20100803202847/http://www.ibm.com/developerworks/power/library/pa-bigiron5/ |date=August 3, 2010 }}, as accessed January 19, 2010.</ref> यहां तक कि एक उत्तम तरीका यह है कि सामान्यतः उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ एक अशक्त पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें।<ref>{{Cite web|title=Safer Password For Web, Email And Desktop/Mobile Apps|url=https://bizpages.org/en/safer-password|access-date=2020-09-14|website=bizpages.org}}</ref>
+सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से [[ कूटलेखन |कूटलेखन]] किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें।<ref>Simple methods (e.g., [[Rot13|ROT13]] and [[Cipher#Historical ciphers|some other old ciphers]]) may suffice; for more sophisticated hand-methods see [http://www.schneier.com/solitaire.html Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2)] {{webarchive|url=https://web.archive.org/web/20151113061059/https://www.schneier.com/solitaire.html |date=November 13, 2015 }}, as accessed January 19, 2010, and [http://mercury.pr.erau.edu/%7Esiewerts/extra/papers/IBM-Out-of-print/big-iron-5.pdf Sam Siewert, ''Big Iron Lessons, Part 5: Introduction to Cryptography, From Egypt Through Enigma'' (IBM, July 26, 2005)] {{webarchive|url=https://web.archive.org/web/20100803202847/http://www.ibm.com/developerworks/power/library/pa-bigiron5/ |date=August 3, 2010 }}, as accessed January 19, 2010.</ref> यहां तक कि उत्तम विधि यह है कि सामान्यतः उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ अशक्त पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें।<ref>{{Cite web|title=Safer Password For Web, Email And Desktop/Mobile Apps|url=https://bizpages.org/en/safer-password|access-date=2020-09-14|website=bizpages.org}}</ref>
-मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए एक नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ एक मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के PwdHash द्वारा इस दृष्टिकोण का उपयोग किया जाता है,<ref>{{cite conference |url=http://crypto.stanford.edu/PwdHash/pwdhash.pdf |title=ब्राउज़र एक्सटेंशन का उपयोग कर मजबूत पासवर्ड प्रमाणीकरण|author=Blake Ross |author2=Collin Jackson |author3=Nicholas Miyake |author4=Dan Boneh |author5=John C. Mitchell |year=2005 |publisher=USENIX |book-title=Proceedings of the 14th Usenix Security Symposium |pages=17–32 |url-status=live |archive-url=http://archive.wikiwix.com/cache/20120429031741/http://crypto.stanford.edu/PwdHash/pwdhash.pdf |archive-date=2012-04-29 }}</ref> प्रिंसटन का पासवर्ड गुणक,<ref>{{cite conference |url=http://www.cs.utexas.edu/~bwaters/publications/papers/www2005.pdf |title=पासवर्ड सुरक्षित रूप से प्रबंधित करने के लिए एक सुविधाजनक तरीका|author=J. Alex Halderman |author2=Brent Waters |author3=Edward W. Felten |year=2005 |publisher=ACM |pages=1–9 |url-status=live |archive-url=https://web.archive.org/web/20160115062049/http://www.cs.utexas.edu/~bwaters/publications/papers/www2005.pdf |archive-date=2016-01-15 |author-link=J. Alex Halderman }}</ref> और अन्य स्टेटलेस पासवर्ड प्रबंधक। इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।
+मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के पीडब्ल्यूडीहैश द्वारा इस दृष्टिकोण प्रिंसटन का पासवर्ड गुणक,<ref>{{cite conference |url=http://www.cs.utexas.edu/~bwaters/publications/papers/www2005.pdf |title=पासवर्ड सुरक्षित रूप से प्रबंधित करने के लिए एक सुविधाजनक तरीका|author=J. Alex Halderman |author2=Brent Waters |author3=Edward W. Felten |year=2005 |publisher=ACM |pages=1–9 |url-status=live |archive-url=https://web.archive.org/web/20160115062049/http://www.cs.utexas.edu/~bwaters/publications/papers/www2005.pdf |archive-date=2016-01-15 |author-link=J. Alex Halderman }}</ref> और अन्य स्टेटलेस पासवर्ड प्रबंधक का उपयोग किया जाता है।<ref>{{cite conference |url=http://crypto.stanford.edu/PwdHash/pwdhash.pdf |title=ब्राउज़र एक्सटेंशन का उपयोग कर मजबूत पासवर्ड प्रमाणीकरण|author=Blake Ross |author2=Collin Jackson |author3=Nicholas Miyake |author4=Dan Boneh |author5=John C. Mitchell |year=2005 |publisher=USENIX |book-title=Proceedings of the 14th Usenix Security Symposium |pages=17–32 |url-status=live |archive-url=http://archive.wikiwix.com/cache/20120429031741/http://crypto.stanford.edu/PwdHash/pwdhash.pdf |archive-date=2012-04-29 }}</ref> इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।
 == पासवर्ड प्रबंधक ==
 {{Main|पासवर्ड प्रबंधक}}
-बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग प्रणाली में निर्मित प्रबंधक सम्मिलित हैं। एक पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल एक पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की जरूरत नहीं है, यह एकल पासवर्ड कठोर और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित [[ यादृच्छिक पासवर्ड जनरेटर ]] का उपयोग करके स्वचालित रूप से कठोर पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। एक अच्छा पासवर्ड मैनेजर [[कुंजी लॉगिंग]], क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे आक्रमणों के विरुद्ध प्रतिरोध प्रदान करेगा।
+बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग प्रणाली में निर्मित प्रबंधक सम्मिलित हैं। पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की आवश्यकता नहीं है, यह एकल पासवर्ड कठोर और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित [[ यादृच्छिक पासवर्ड जनरेटर |यादृच्छिक पासवर्ड जनरेटर]] का उपयोग करके स्वचालित रूप से कठोर पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। अच्छा पासवर्ड मैनेजर [[कुंजी लॉगिंग]], क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे आक्रमणों के विरुद्ध प्रतिरोध प्रदान करेगा।
 == यह भी देखें ==
 * [[कीस्ट्रोक लॉगिंग]]
-* पदबंध
+* पासफ़्रेज़
 * [[फ़िशिंग]]
 * [[भेद्यता (कंप्यूटिंग)]]
@@ Line 303: / Line 301: @@
 * [https://web.archive.org/web/20160416035311/http://www.architectingsecurity.com/2010/09/11/password-patterns/ Password Patterns:The next generation dictionary attacks]
-{{DEFAULTSORT:Password Strength}}[[Category: क्रिप्टोग्राफी]] [[Category: पासवर्ड प्रमाणीकरण]]
+{{DEFAULTSORT:Password Strength}}
+[[Category:Articles with hatnote templates targeting a nonexistent page|Password Strength]]
+[[Category:CS1 English-language sources (en)]]
-[[Category: Machine Translated Page]]
+[[Category:Created On 11/05/2023|Password Strength]]
-[[Category:Created On 11/05/2023]]
+[[Category:Lua-based templates|Password Strength]]
+[[Category:Machine Translated Page|Password Strength]]
+[[Category:Pages with script errors|Password Strength]]
+[[Category:Templates Vigyan Ready|Password Strength]]
+[[Category:Templates that add a tracking category|Password Strength]]
+[[Category:Templates that generate short descriptions|Password Strength]]
+[[Category:Templates using TemplateData|Password Strength]]
+[[Category:Webarchive template other archives]]
+[[Category:Webarchive template wayback links]]
+[[Category:क्रिप्टोग्राफी|Password Strength]]
+[[Category:पासवर्ड प्रमाणीकरण|Password Strength]]

Anonymous

Search

पासवर्ड स्ट्रेंथ: Difference between revisions

Latest revision as of 11:59, 8 September 2023

पासवर्ड निर्माण

पासवर्ड अनुमान सत्यापन

पासवर्ड शक्ति के माप के रूप में एंट्रॉपी

रैंडम पासवर्ड

मानव जनित पासवर्ड

एनआईएसटी विशेष प्रकाशन 800-63-2

प्रयोज्यता और कार्यान्वयन विचार

एंट्रॉपी के आवश्यक बिट्स

कठोर पासवर्ड के लिए दिशानिर्देश

सामान्य दिशानिर्देश

अशक्त पासवर्ड के उदाहरण

पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार

पासवर्ड नीति

पासवर्ड बनाना और संभालना

मेमोरी तकनीक

पासवर्ड की सुरक्षा

पासवर्ड प्रबंधक

यह भी देखें

संदर्भ

बाहरी संबंध

Navigation

Wiki tools

Page tools

Other projects

Categories