पासवर्ड स्ट्रेंथ: Difference between revisions

From Vigyanwiki
(Created page with "{{Short description|Resistance of a password to being guessed}} {{for|organizational rules on passwords|Password policy}} File:KeePass random password.png|thumb|400px|[[क...")
 
No edit summary
Line 1: Line 1:
{{Short description|Resistance of a password to being guessed}}
{{Short description|Resistance of a password to being guessed}}
{{for|organizational rules on passwords|Password policy}}
{{for|organizational rules on passwords|Password policy}}
[[File:KeePass random password.png|thumb|400px|[[कीपास]] में [[ यादृच्छिक पासवर्ड पीढ़ी ]] टूल का विकल्प मेनू। अधिक कैरेक्टर सबसेट को सक्षम करने से जनरेट किए गए पासवर्ड की ताकत थोड़ी मात्रा में बढ़ जाती है, जबकि उनकी लंबाई बढ़ने से ताकत बड़ी मात्रा में बढ़ जाती है।]][[पासवर्ड]] की ताकत अनुमान लगाने या क्रूर-बल के हमलों के खिलाफ पासवर्ड की प्रभावशीलता का एक उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि एक हमलावर जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की ताकत लंबाई, जटिलता और अप्रत्याशितता का एक कार्य है।<ref name=CERT>{{cite web | url = http://www.us-cert.gov/cas/tips/ST04-002.html | title = Cyber Security Tip ST04-002 | work = Choosing and Protecting Passwords | publisher = US CERT | access-date = June 20, 2009 | url-status = live | archive-url = https://web.archive.org/web/20090707141138/http://www.us-cert.gov/cas/tips/ST04-002.html | archive-date = July 7, 2009 }}</ref>
[[File:KeePass random password.png|thumb|400px|[[कीपास]] में [[ यादृच्छिक पासवर्ड पीढ़ी ]] टूल का विकल्प मेनू। अधिक कैरेक्टर सबसेट को सक्षम करने से जनरेट किए गए पासवर्ड की शक्ति थोड़ी मात्रा में बढ़ जाती है, जबकि उनकी लंबाई बढ़ने से शक्ति बड़ी मात्रा में बढ़ जाती है।]][[पासवर्ड]] की शक्ति अनुमान लगाने या क्रूर-बल के आक्रमणों के विरुद्ध पासवर्ड की प्रभावशीलता का एक उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि एक हमलावर जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की शक्ति लंबाई, जटिलता और अप्रत्याशितता का एक कार्य है।<ref name=CERT>{{cite web | url = http://www.us-cert.gov/cas/tips/ST04-002.html | title = Cyber Security Tip ST04-002 | work = Choosing and Protecting Passwords | publisher = US CERT | access-date = June 20, 2009 | url-status = live | archive-url = https://web.archive.org/web/20090707141138/http://www.us-cert.gov/cas/tips/ST04-002.html | archive-date = July 7, 2009 }}</ref>
मजबूत पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र [[जोखिम]] को कम करता है, लेकिन मजबूत पासवर्ड अन्य प्रभावी [[सुरक्षा नियंत्रण]]ों की आवश्यकता को प्रतिस्थापित नहीं करते हैं।<ref>{{Cite web|title=Why User Names and Passwords Are Not Enough {{!}} SecurityWeek.Com|url=https://www.securityweek.com/why-user-names-and-passwords-are-not-enough|access-date=2020-10-31|website=www.securityweek.com|date=31 January 2019 }}</ref> किसी दिए गए ताकत के पासवर्ड की प्रभावशीलता प्रमाणीकरण #प्रमाणीकरण_कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।
कठोर पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र [[जोखिम|संकट]] को कम करता है, लेकिन कठोर पासवर्ड अन्य प्रभावी [[सुरक्षा नियंत्रण]]ों की आवश्यकता को प्रतिस्थापित नहीं करते हैं।<ref>{{Cite web|title=Why User Names and Passwords Are Not Enough {{!}} SecurityWeek.Com|url=https://www.securityweek.com/why-user-names-and-passwords-are-not-enough|access-date=2020-10-31|website=www.securityweek.com|date=31 January 2019 }}</ref> किसी दिए गए शक्ति के पासवर्ड की प्रभावशीलता प्रमाणीकरण कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।


दर जिस पर एक हमलावर सिस्टम को अनुमानित पासवर्ड जमा कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य कमजोरियों के अभाव में, ऐसे सिस्टम को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। हालाँकि, सिस्टम को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो सिस्टम सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड जोखिम में हो सकते हैं।
दर जिस पर एक हमलावर प्रणाली को अनुमानित पासवर्ड जमा कर सकता है, प्रणाली सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य अशक्तियों के अभाव में, ऐसी प्रणाली को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। चूँकि, प्रणाली को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो प्रणाली सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड संकट में हो सकते हैं।


2019 में, यूनाइटेड किंगडम के [[राष्ट्रीय साइबर सुरक्षा केंद्र (यूनाइटेड किंगडम)]] ने उल्लंघन किए गए खातों के सार्वजनिक डेटाबेस का विश्लेषण किया, यह देखने के लिए कि लोग किन शब्दों, वाक्यांशों और स्ट्रिंग्स का उपयोग करते हैं। सूची में सबसे लोकप्रिय पासवर्ड 123456 था, जो 23 मिलियन से अधिक पासवर्ड में दिखाई दे रहा था। दूसरी सबसे लोकप्रिय स्ट्रिंग, 123456789, को क्रैक करना ज्यादा मुश्किल नहीं था, जबकि शीर्ष पांच में [[ Qwerty ]], पासवर्ड और 1111111 शामिल थे।<ref>{{Cite web|url=https://www.bbc.com/news/technology-47974583|title=Millions using 123456 as password, security study finds|date=21 April 2019|website=BBC News|access-date=24 April 2019}}</ref>
2019 में, यूनाइटेड किंगडम के [[राष्ट्रीय साइबर सुरक्षा केंद्र (यूनाइटेड किंगडम)]] ने उल्लंघन किए गए खातों के सार्वजनिक डेटाबेस का विश्लेषण किया, यह देखने के लिए कि लोग किन शब्दों, वाक्यांशों और स्ट्रिंग्स का उपयोग करते हैं। सूची में सबसे लोकप्रिय पासवर्ड 123456 था, जो 23 मिलियन से अधिक पासवर्ड में दिखाई दे रहा था। दूसरी सबसे लोकप्रिय स्ट्रिंग, 123456789, को क्रैक करना ज्यादा मुश्किल नहीं था, जबकि शीर्ष पांच में [[ Qwerty ]], पासवर्ड और 1111111 सम्मिलित थे।<ref>{{Cite web|url=https://www.bbc.com/news/technology-47974583|title=Millions using 123456 as password, security study finds|date=21 April 2019|website=BBC News|access-date=24 April 2019}}</ref>




== पासवर्ड निर्माण ==
== पासवर्ड निर्माण ==


पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाला मामला अधिक सामान्य है। जबकि एक क्रूर-बल हमले के खिलाफ बेतरतीब ढंग से चुने गए पासवर्ड की ताकत की गणना सटीक रूप से की जा सकती है, मानव-जनित पासवर्ड की ताकत का निर्धारण करना मुश्किल है।
पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाली स्थिति अधिक सामान्य है। जबकि एक क्रूर-बल आक्रमण के विरुद्ध विचित्र ढंग से चुने गए पासवर्ड की शक्ति की गणना स्पष्ट रूप से की जा सकती है, मानव-जनित पासवर्ड की शक्ति का निर्धारण करना मुश्किल है।


कंप्यूटर सिस्टम या इंटरनेट वेबसाइट के लिए एक नया खाता बनाते समय आम तौर पर, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के एक सेट द्वारा प्रतिबंधित किया जाता है। ताकत का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न आमतौर पर एक हमलावर की सहायता कर सकते हैं।<ref name=NIST />इसके अलावा, आमतौर पर चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश शामिल हैं, जिनका उल्लंघन किया गया है{{clarify|date=November 2021}} अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से [[सादे पाठ]] और क्रिप्टोग्राफिक_हैश_फंक्शन पासवर्ड के डेटाबेस। ऐसी सूचियों में सभी आइटम कमजोर माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।
कंप्यूटर प्रणाली या इंटरनेट वेबसाइट के लिए एक नया खाता बनाते समय सामान्यतः, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के एक सेट द्वारा प्रतिबंधित किया जाता है। शक्ति का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न सामान्यतः एक हमलावर की सहायता कर सकते हैं।<ref name=NIST /> इसके अतिरिक्त, सामान्यतः चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश सम्मिलित हैं, जिनका उल्लंघन किया गया है{{clarify|date=November 2021}} अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से [[सादे पाठ]] और क्रिप्टोग्राफिक_हैश_फंक्शन पासवर्ड के डेटाबेस। ऐसी सूचियों में सभी आइटम अशक्त माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।


हालांकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना आसान है, वे आमतौर पर यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अक्सर लोग अपना खुद का चयन करना पसंद करते हैं। हालांकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण आमतौर पर पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन [[ सामाजिक मीडिया ]] के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत आसान बना दिया है।
चूँकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना सरल है, वे सामान्यतः यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अधिकांशतः लोग अपना स्वयं का चयन करना पसंद करते हैं। चूँकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण सामान्यतः पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन [[ सामाजिक मीडिया ]] के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत सरल बना दिया है।


== पासवर्ड अनुमान सत्यापन ==
== पासवर्ड अनुमान सत्यापन ==
सिस्टम जो [[प्रमाणीकरण]] के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए दर्ज किए गए किसी भी पासवर्ड की जांच करने का कोई तरीका होना चाहिए। यदि मान्य पासवर्ड केवल एक सिस्टम फ़ाइल या डेटाबेस में संग्रहीत हैं, तो एक हमलावर जो सिस्टम तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे हमलावर को हमले वाले सिस्टम पर सभी खातों और संभावित रूप से अन्य सिस्टमों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस जोखिम को कम करने का एक तरीका यह है कि पासवर्ड के बजाय प्रत्येक पासवर्ड का केवल एक [[क्रिप्टोग्राफिक हैश]] स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (SHA) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए एक हमलावर जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। हालाँकि, हैश मान का ज्ञान हमलावर को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। [[पासवर्ड क्रैकिंग]] प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।
प्रणाली जो [[प्रमाणीकरण]] के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए दर्ज किए गए किसी भी पासवर्ड की जांच करने की कोई विधि होनी चाहिए। यदि मान्य पासवर्ड केवल एक प्रणाली फ़ाइल या डेटाबेस में संग्रहीत हैं, तो एक हमलावर जो प्रणाली तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे हमलावर को आक्रमण वाली प्रणाली पर सभी खातों और संभावित रूप से अन्य प्रणालीों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस संकट को कम करने का एक तरीका यह है कि पासवर्ड के अतिरिक्त प्रत्येक पासवर्ड का केवल एक [[क्रिप्टोग्राफिक हैश]] स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (SHA) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए एक हमलावर जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। चूँकि, हैश मान का ज्ञान हमलावर को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। [[पासवर्ड क्रैकिंग]] प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।


कंप्यूटिंग प्रौद्योगिकी में सुधार उस दर को बढ़ाता रहता है जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, [[जॉर्जिया टेक रिसर्च इंस्टीट्यूट]] ने बहुत तेजी से पासवर्ड क्रैक करने के लिए [[जीपीजीपीयू]] का उपयोग करने की एक विधि विकसित की।<ref name="gtri"/>[[Elcomsoft]] ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और जल्द ही अमेरिका में एक संबंधित पेटेंट दायर किया।<ref name="belenko">{{ cite patent | country=US | number=7929707 | status=patent | title=पासवर्ड पुनर्प्राप्ति के लिए समानांतर गणित सह-प्रोसेसर के रूप में ग्राफ़िक्स प्रोसेसर का उपयोग| assign1=Elcomsoft Co. Ltd. | inventor= Andrey V. Belenko | gdate=2011-04-19 }}</ref> 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए एक उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करके एक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता का दावा करते थे।<ref name=elcomsoft>[http://www.elcomsoft.com/eprb.html#gpu Elcomsoft.com] {{webarchive|url=https://web.archive.org/web/20061017173506/http://www.elcomsoft.com/eprb.html |date=2006-10-17 }}, [[ElcomSoft]] Password Recovery Speed table, [[NTLM]] passwords, [[Nvidia Tesla]] S1070 GPU, accessed 2011-02-01</ref> इस तरह की डिवाइस एक दिन में छह-अक्षर वाले सिंगल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। हालांकि [[कुंजी खींचना]] का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।
कंप्यूटिंग प्रौद्योगिकी में संशोधन उस दर को बढ़ाता रहता है जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, [[जॉर्जिया टेक रिसर्च इंस्टीट्यूट]] ने बहुत तेजी से पासवर्ड क्रैक करने के लिए [[जीपीजीपीयू]] का उपयोग करने की एक विधि विकसित की।<ref name="gtri"/> [[Elcomsoft]] ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और जल्द ही अमेरिका में एक संबंधित पेटेंट दायर किया।<ref name="belenko">{{ cite patent | country=US | number=7929707 | status=patent | title=पासवर्ड पुनर्प्राप्ति के लिए समानांतर गणित सह-प्रोसेसर के रूप में ग्राफ़िक्स प्रोसेसर का उपयोग| assign1=Elcomsoft Co. Ltd. | inventor= Andrey V. Belenko | gdate=2011-04-19 }}</ref> 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए एक उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करके एक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता को प्रमाण करते थे।<ref name=elcomsoft>[http://www.elcomsoft.com/eprb.html#gpu Elcomsoft.com] {{webarchive|url=https://web.archive.org/web/20061017173506/http://www.elcomsoft.com/eprb.html |date=2006-10-17 }}, [[ElcomSoft]] Password Recovery Speed table, [[NTLM]] passwords, [[Nvidia Tesla]] S1070 GPU, accessed 2011-02-01</ref> इस तरह की डिवाइस एक दिन में छह-अक्षर वाले एकल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। चूँकि [[कुंजी खींचना]] का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।


एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब [[क्रिप्टोग्राफ़िक कुंजी]] बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे मामलों में, एक हमलावर जल्दी से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं। उदाहरण के लिए, एक वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का दावा करता है।<ref>[http://www.elcomsoft.com/ewsa.html Elcomsoft Wireless Security Auditor, HD5970 GPU] {{webarchive|url=https://web.archive.org/web/20110219131825/http://www.elcomsoft.com/ewsa.html |date=2011-02-19 }} accessed 2011-02-11</ref>
एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब [[क्रिप्टोग्राफ़िक कुंजी]] बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे स्थितियों में, एक हमलावर जल्दी से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं करता है। उदाहरण के लिए, एक वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का प्रमाण करता है।<ref>[http://www.elcomsoft.com/ewsa.html Elcomsoft Wireless Security Auditor, HD5970 GPU] {{webarchive|url=https://web.archive.org/web/20110219131825/http://www.elcomsoft.com/ewsa.html |date=2011-02-19 }} accessed 2011-02-11</ref>
यदि कोई पासवर्ड सिस्टम केवल पासवर्ड के हैश को संग्रहीत करता है, तो एक हमलावर सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और एक निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तेजी से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। हमले के इस तरीके को हैश के साथ एक यादृच्छिक मूल्य, जिसे [[क्रिप्टोग्राफिक नमक]] कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले एक हमलावर को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, आम उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।
 
यदि कोई पासवर्ड प्रणाली केवल पासवर्ड के हैश को संग्रहीत करता है, तो एक हमलावर सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और एक निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तेजी से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। आक्रमण के इस तरीके को हैश के साथ एक यादृच्छिक मूल्य, जिसे [[क्रिप्टोग्राफिक नमक]] कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले एक हमलावर को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, आम उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।


===पासवर्ड शक्ति के माप के रूप में एंट्रॉपी===
===पासवर्ड शक्ति के माप के रूप में एंट्रॉपी===
कंप्यूटर उद्योग में [[सूचना एन्ट्रापी]] के संदर्भ में पासवर्ड की ताकत निर्दिष्ट करना सामान्य है, जिसे [[ अंश ]]्स में मापा जाता है और [[सूचना सिद्धांत]] से एक अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के बजाय, उस संख्या का [[बाइनरी लघुगणक]] | आधार -2 लघुगणक दिया जाता है, जिसे आमतौर पर पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, हालांकि यह बिल्कुल समान नहीं है सूचना एन्ट्रापी के रूप में मात्रा।<ref>{{cite conference |url=http://www.isiweb.ee.ethz.ch/archive/massey_pub/pdf/BI633.pdf |title=अनुमान और एन्ट्रापी|author=James Massey |year=1994 |publisher=IEEE |pages=204|book-title=Proceedings of 1994 IEEE International Symposium on Information Theory|author-link=James Massey }}</ref> इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की एक स्ट्रिंग के रूप में मजबूत होगा, उदाहरण के लिए एक उचित सिक्का टॉस द्वारा। दूसरा तरीका रखो, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 2 की आवश्यकता होगी<sup>42</sup> (4,398,046,511,104) एक [[क्रूर बल खोज]] के दौरान सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को एक बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे हमलावर का कार्य दोगुना कठिन हो जाता है। औसतन, एक हमलावर को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।<ref name=NIST />
कंप्यूटर उद्योग में [[सूचना एन्ट्रापी]] के संदर्भ में पासवर्ड की शक्ति निर्दिष्ट करना सामान्य है, जिसे [[ अंश ]]्स में मापा जाता है और [[सूचना सिद्धांत]] से एक अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के अतिरिक्त, उस संख्या का [[बाइनरी लघुगणक]] | आधार -2 लघुगणक दिया जाता है, जिसे सामान्यतः पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, चूँकि यह बिल्कुल समान नहीं है सूचना एन्ट्रापी के रूप में मात्रा।<ref>{{cite conference |url=http://www.isiweb.ee.ethz.ch/archive/massey_pub/pdf/BI633.pdf |title=अनुमान और एन्ट्रापी|author=James Massey |year=1994 |publisher=IEEE |pages=204|book-title=Proceedings of 1994 IEEE International Symposium on Information Theory|author-link=James Massey }}</ref> इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की एक स्ट्रिंग के रूप में कठोर होगा, उदाहरण के लिए एक उचित सिक्का टॉस द्वारा। दूसरा तरीका रखो, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 2 की आवश्यकता होगी<sup>42</sup> (4,398,046,511,104) एक [[क्रूर बल खोज]] के दौरान सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को एक बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे हमलावर का कार्य दोगुना कठिन हो जाता है। औसतन, एक हमलावर को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।<ref name=NIST />




Line 34: Line 35:
रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की एक स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक एक वर्ण सेट (जैसे, [[ASCII]] वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार एक [[पदबंध]] बनाते हैं)।
रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की एक स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक एक वर्ण सेट (जैसे, [[ASCII]] वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार एक [[पदबंध]] बनाते हैं)।


यादृच्छिक पासवर्ड की ताकत अंतर्निहित संख्या जनरेटर की वास्तविक एन्ट्रॉपी पर निर्भर करती है; हालाँकि, ये अक्सर वास्तव में यादृच्छिक नहीं होते हैं, लेकिन छद्म यादृच्छिक होते हैं। कई सार्वजनिक रूप से उपलब्ध पासवर्ड जनरेटर प्रोग्रामिंग पुस्तकालयों में पाए जाने वाले यादृच्छिक संख्या जनरेटर का उपयोग करते हैं जो सीमित एन्ट्रॉपी प्रदान करते हैं। हालाँकि अधिकांश आधुनिक ऑपरेटिंग सिस्टम क्रिप्टोग्राफ़िक रूप से मजबूत यादृच्छिक संख्या जनरेटर प्रदान करते हैं जो पासवर्ड जनरेशन के लिए उपयुक्त हैं। यादृच्छिक पासवर्ड उत्पन्न करने के लिए साधारण [[पासा]] का उपयोग करना भी संभव है। रैंडम पासवर्ड जनरेटर#मजबूत तरीके देखें। रैंडम पासवर्ड प्रोग्राम में अक्सर यह सुनिश्चित करने की क्षमता होती है कि परिणामी पासवर्ड स्थानीय [[पासवर्ड नीति]] का अनुपालन करता है; उदाहरण के लिए, हमेशा अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण बनाकर।
यादृच्छिक पासवर्ड की शक्ति अंतर्निहित संख्या जनरेटर की वास्तविक एन्ट्रॉपी पर निर्भर करती है; चूँकि, ये अधिकांशतः वास्तव में यादृच्छिक नहीं होते हैं, लेकिन छद्म यादृच्छिक होते हैं। कई सार्वजनिक रूप से उपलब्ध पासवर्ड जनरेटर प्रोग्रामिंग पुस्तकालयों में पाए जाने वाले यादृच्छिक संख्या जनरेटर का उपयोग करते हैं जो सीमित एन्ट्रॉपी प्रदान करते हैं। चूँकि अधिकांश आधुनिक ऑपरेटिंग प्रणाली क्रिप्टोग्राफ़िक रूप से कठोर यादृच्छिक संख्या जनरेटर प्रदान करते हैं जो पासवर्ड जनरेशन के लिए उपयुक्त हैं। यादृच्छिक पासवर्ड उत्पन्न करने के लिए साधारण [[पासा]] का उपयोग करना भी संभव है। रैंडम पासवर्ड जनरेटर#कठोर तरीके देखें। रैंडम पासवर्ड प्रोग्राम में अधिकांशतः यह सुनिश्चित करने की क्षमता होती है कि परिणामी पासवर्ड स्थानीय [[पासवर्ड नीति]] का अनुपालन करता है; उदाहरण के लिए, हमेशा अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण बनाकर।


एक प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो एन संभावित प्रतीकों के एक सेट से यादृच्छिक रूप से लंबाई के प्रतीकों की एक स्ट्रिंग का चयन करता है, एल, संभव पासवर्ड की संख्या को प्रतीकों की संख्या बढ़ाकर एल, यानी एन<sup>एल</सुप>. L या N को बढ़ाने से उत्पन्न पासवर्ड मजबूत होगा। सूचना एन्ट्रापी द्वारा मापी गई एक यादृच्छिक पासवर्ड की ताकत सिर्फ द्विआधारी लघुगणक है। आधार -2 लघुगणक या लॉग<sub>2</sub> संभावित पासवर्डों की संख्या, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार एक यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:
एक प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो एन संभावित प्रतीकों के एक सेट से यादृच्छिक रूप से लंबाई के प्रतीकों की एक स्ट्रिंग का चयन करता है, एल, संभव पासवर्ड की संख्या को प्रतीकों की संख्या बढ़ाकर एल, यानी एनएल</सुप>. L या N को बढ़ाने से उत्पन्न पासवर्ड कठोर होगा। सूचना एन्ट्रापी द्वारा मापी गई एक यादृच्छिक पासवर्ड की शक्ति सिर्फ द्विआधारी लघुगणक है। आधार -2 लघुगणक या लॉग2 संभावित पासवर्डों की संख्या, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार एक यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:


{{align|center|
{{align|center|
Line 45: Line 46:


:{| class="wikitable" style="text-align: right;"
:{| class="wikitable" style="text-align: right;"
|+ Entropy per symbol for different symbol sets
|+ विभिन्न प्रतीक सेटों के लिए प्रति प्रतीक एंट्रॉपी
! Symbol set || Symbol count<br />''N'' || Entropy per symbol<br />''H''
! Symbol set || Symbol count<br />''N'' || Entropy per symbol<br />''H''
|-
|-
Line 72: Line 73:
| align=left|[[Diceware]] word list || 7776 || {{Rnd|12.924812503606|3}} bits per word
| align=left|[[Diceware]] word list || 7776 || {{Rnd|12.924812503606|3}} bits per word
|}
|}
एक [[ बाइनरी संख्या ]] [[बाइट]] आमतौर पर दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।
एक [[ बाइनरी संख्या ]] [[बाइट]] सामान्यतः दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।


लंबाई खोजने के लिए, एल, वांछित ताकत एच प्राप्त करने के लिए आवश्यक है, एन प्रतीकों के एक सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, एक गणना करता है:
लंबाई खोजने के लिए, एल, वांछित शक्ति एच प्राप्त करने के लिए आवश्यक है, एन प्रतीकों के एक सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, एक गणना करता है:


<math>L = {\left \lceil \frac {H}{\log_2 N} \right \rceil}</math>
<math>L = {\left \lceil \frac {H}{\log_2 N} \right \rceil}</math>
Line 82: Line 83:


{| class="wikitable"
{| class="wikitable"
|+ Lengths ''L'' of truly randomly generated passwords required to achieve a desired password entropy ''H'' for symbol sets containing ''N'' symbols
|+ '''''N''''' प्रतीकों वाले प्रतीक सेट के लिए वांछित पासवर्ड एंट्रॉपी ''H'' प्राप्त करने के लिए आवश्यक यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की लंबाई ''L''
|-
|-
! rowspan=2|Desired password<br />entropy ''H'' !!rowspan=2| [[Arabic numerals|Arabic<br />numerals]]!!rowspan=2| [[Hexadecimal]] !! colspan=2|[[Case sensitivity|Case insensitive]]  !! colspan=2|[[Case sensitivity|Case sensitive]]  !! All ASCII !! All [[Extended ASCII|Extended<br />ASCII]] !! rowspan=2|[[Diceware]]<br />word list
! rowspan=2|वांछित पासवर्ड
एंट्रॉपी ''H''
! rowspan="2" | [[Arabic numerals|अरबी]]
[[Arabic numerals|अंकों]]
! rowspan="2" | [[Hexadecimal|हेक्साडेसिमल]] !! colspan=2|[[Case sensitivity|असंवेदनशील स्थिति]]  !! colspan=2|[[Case sensitivity|संवेदनशील स्थिति]]  !! All ASCII !! All [[Extended ASCII|Extended<br />ASCII]] !! rowspan=2|[[Diceware]]<br />word list
|-
|-
!  [[Latin alphabet|Latin<br />alphabet]] !![[alphanumeric|alpha-<br />numeric]] !!  Latin<br />alphabet !! alpha-<br />numeric !!colspan=2|[[printable characters]]
!  [[Latin alphabet|Latin<br />alphabet]] !![[alphanumeric|alpha-<br />numeric]] !!  लैटिन
वर्णमाला
! alpha-<br />numeric !!colspan=2|[[printable characters]]
|-
|-
| 8 bits (1 byte) || 3 || 2 || 2 || 2 || 2 || 2 || 2 || 2 || 1 word
| 8 bits (1 byte) || 3 || 2 || 2 || 2 || 2 || 2 || 2 || 2 || 1 word
Line 113: Line 120:


=== मानव जनित पासवर्ड ===
=== मानव जनित पासवर्ड ===
संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को शामिल करने वाले एक अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था।<ref>{{cite journal|last1=Florencio|first1=Dinei|last2=Herley|first2=Cormac|title=वेब पासवर्ड की आदतों का बड़े पैमाने पर अध्ययन|journal=Proceeds of the International World Wide Web Conference Committee|date=May 8, 2007|page=657|doi=10.1145/1242572.1242661|isbn=9781595936547|s2cid=10648989|url=http://research.microsoft.com/pubs/74164/www2007.pdf|ref=ACM 978-1-59593-654-7/07/0005.|url-status=live|archive-url=https://web.archive.org/web/20150327031521/http://research.microsoft.com/pubs/74164/www2007.pdf|archive-date=March 27, 2015}}</ref>
संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को सम्मिलित करने वाले एक अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था।<ref>{{cite journal|last1=Florencio|first1=Dinei|last2=Herley|first2=Cormac|title=वेब पासवर्ड की आदतों का बड़े पैमाने पर अध्ययन|journal=Proceeds of the International World Wide Web Conference Committee|date=May 8, 2007|page=657|doi=10.1145/1242572.1242661|isbn=9781595936547|s2cid=10648989|url=http://research.microsoft.com/pubs/74164/www2007.pdf|ref=ACM 978-1-59593-654-7/07/0005.|url-status=live|archive-url=https://web.archive.org/web/20150327031521/http://research.microsoft.com/pubs/74164/www2007.pdf|archive-date=March 27, 2015}}</ref>
इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के एक विश्लेषण में, अक्षर e का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर f का उपयोग केवल 250,000 बार किया गया था। एक [[समान वितरण (असतत)]] में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।<ref name=perfect />
इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के एक विश्लेषण में, अक्षर e का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर f का उपयोग केवल 250,000 बार किया गया था। एक [[समान वितरण (असतत)]] में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।<ref name=perfect />


उपयोगकर्ता पासवर्ड बनाने में शायद ही कभी बड़े वर्ण सेट का पूर्ण उपयोग करते हैं। उदाहरण के लिए, 2006 में माइस्पेस फ़िशिंग योजना से प्राप्त हैकिंग परिणामों से 34,000 पासवर्ड का पता चला, जिनमें से केवल 8.3% ने मिश्रित केस, संख्याओं और प्रतीकों का उपयोग किया।<ref name=myspace-passwords>{{cite news | url = http://archive.wired.com/politics/security/commentary/securitymatters/2006/12/72300?currentPage=all | title = माइस्पेस पासवर्ड इतने मूर्ख नहीं हैं| author = Bruce Schneier | publisher = Wired Magazine | access-date = April 11, 2008 | date = December 14, 2006 | url-status = live | archive-url = https://web.archive.org/web/20140521031354/http://archive.wired.com/politics/security/commentary/securitymatters/2006/12/72300?currentPage=all | archive-date = May 21, 2014 }}</ref>
उपयोगकर्ता पासवर्ड बनाने में शायद ही कभी बड़े वर्ण सेट का पूर्ण उपयोग करते हैं। उदाहरण के लिए, 2006 में माइस्पेस फ़िशिंग योजना से प्राप्त हैकिंग परिणामों से 34,000 पासवर्ड का पता चला, जिनमें से केवल 8.3% ने मिश्रित केस, संख्याओं और प्रतीकों का उपयोग किया।<ref name=myspace-passwords>{{cite news | url = http://archive.wired.com/politics/security/commentary/securitymatters/2006/12/72300?currentPage=all | title = माइस्पेस पासवर्ड इतने मूर्ख नहीं हैं| author = Bruce Schneier | publisher = Wired Magazine | access-date = April 11, 2008 | date = December 14, 2006 | url-status = live | archive-url = https://web.archive.org/web/20140521031354/http://archive.wired.com/politics/security/commentary/securitymatters/2006/12/72300?currentPage=all | archive-date = May 21, 2014 }}</ref>
संपूर्ण ASCII वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी ताकत केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, शायद ऊपरी और निचले मामले के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में एक पैटर्न है और हमलावर के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की उम्मीद की जा सकती है। यह पासवर्ड की ताकत में कमी है। एक बेहतर आवश्यकता एक पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न शामिल न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य तरीकों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और एक विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि मामूली है।
संपूर्ण ASCII वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी शक्ति केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, शायद ऊपरी और निचले मामले के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में एक पैटर्न है और हमलावर के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की उम्मीद की जा सकती है। यह पासवर्ड की शक्ति में कमी है। एक बेहतर आवश्यकता एक पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न सम्मिलित न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य तरीकों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और एक विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि मामूली है।


==== [[एनआईएसटी]] विशेष प्रकाशन 800-63-2 ====
==== [[एनआईएसटी]] विशेष प्रकाशन 800-63-2 ====
Line 125: Line 132:


=== प्रयोज्यता और कार्यान्वयन विचार ===
=== प्रयोज्यता और कार्यान्वयन विचार ===
क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 ASCII प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है।<!-- The situation of assorted 7-bit ASCII character sets is long and sordid, quite indeterminate, and basically a dog's breakfast. The advent of Unicode / UCS has at least 'settled' what the lowest 128 characters are, though this is not exactly what most of the prior character sets had. --> यह एक अंतरराष्ट्रीय यात्री के लिए एक समस्या पेश कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट सिस्टम में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि [[टैबलेट कंप्यूटर]] और [[ स्मार्टफोन ]], विशेष वर्णों को दर्ज करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।
क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 ASCII प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है।<!-- The situation of assorted 7-bit ASCII character sets is long and sordid, quite indeterminate, and basically a dog's breakfast. The advent of Unicode / UCS has at least 'settled' what the lowest 128 characters are, though this is not exactly what most of the prior character sets had. --> यह एक अंतरराष्ट्रीय यात्री के लिए एक समस्या पेश कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट प्रणाली में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि [[टैबलेट कंप्यूटर]] और [[ स्मार्टफोन ]], विशेष वर्णों को दर्ज करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।


प्रमाणीकरण कार्यक्रम अलग-अलग होते हैं जिनमें वे पासवर्ड में वर्णों की अनुमति देते हैं। कुछ मामले के अंतर को नहीं पहचानते हैं (उदाहरण के लिए, अपर-केस ई को लोअर-केस ई के बराबर माना जाता है), अन्य कुछ अन्य प्रतीकों को प्रतिबंधित करते हैं। पिछले कुछ दशकों में, सिस्टम ने पासवर्ड में अधिक वर्णों की अनुमति दी है, लेकिन सीमाएँ अभी भी मौजूद हैं। अनुमत पासवर्ड की अधिकतम लंबाई में सिस्टम भी भिन्न होते हैं।
प्रमाणीकरण कार्यक्रम अलग-अलग होते हैं जिनमें वे पासवर्ड में वर्णों की अनुमति देते हैं। कुछ मामले के अंतर को नहीं पहचानते हैं (उदाहरण के लिए, अपर-केस ई को लोअर-केस ई के बराबर माना जाता है), अन्य कुछ अन्य प्रतीकों को प्रतिबंधित करते हैं। पिछले कुछ दशकों में, प्रणाली ने पासवर्ड में अधिक वर्णों की अनुमति दी है, लेकिन सीमाएँ अभी भी मौजूद हैं। अनुमत पासवर्ड की अधिकतम लंबाई में प्रणाली भी भिन्न होते हैं।


एक व्यावहारिक मामले के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त मजबूत होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत मुश्किल है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा जोखिम मानते हैं।<ref name=Gartner>{{cite web | url = http://www.indevis.de/dokumente/gartner_passwords_breakpoint.pdf | title = पासवर्ड ब्रेकिंग पॉइंट के पास हैं| publisher = Gartner | author = A. Allan | access-date = April 10, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20060427032938/http://www.indevis.de/dokumente/gartner_passwords_breakpoint.pdf | archive-date = April 27, 2006 }}</ref> इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए मजबूर करना केवल कमजोर पासवर्ड को समायोजित कर सकता है, और इस प्रकार एक बड़ा सुरक्षा जोखिम पैदा करता है। [[ब्रूस श्नेयर]] के अनुसार, ज्यादातर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए एक बेहतरीन जगह है।<ref name=Schneier-writedown>{{cite web | url = http://www.schneier.com/blog/archives/2005/06/write_down_your.html | title = सुरक्षा पर श्नाइयर| work = Write Down Your Password | author = Bruce Schneier | access-date = April 10, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080413032636/http://www.schneier.com/blog/archives/2005/06/write_down_your.html | archive-date = April 13, 2008 }}</ref>
एक व्यावहारिक मामले के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त कठोर होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत मुश्किल है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा संकट मानते हैं।<ref name=Gartner>{{cite web | url = http://www.indevis.de/dokumente/gartner_passwords_breakpoint.pdf | title = पासवर्ड ब्रेकिंग पॉइंट के पास हैं| publisher = Gartner | author = A. Allan | access-date = April 10, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20060427032938/http://www.indevis.de/dokumente/gartner_passwords_breakpoint.pdf | archive-date = April 27, 2006 }}</ref> इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए मजबूर करना केवल अशक्त पासवर्ड को समायोजित कर सकता है, और इस प्रकार एक बड़ा सुरक्षा संकट पैदा करता है। [[ब्रूस श्नेयर]] के अनुसार, ज्यादातर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए एक बेहतरीन जगह है।<ref name=Schneier-writedown>{{cite web | url = http://www.schneier.com/blog/archives/2005/06/write_down_your.html | title = सुरक्षा पर श्नाइयर| work = Write Down Your Password | author = Bruce Schneier | access-date = April 10, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080413032636/http://www.schneier.com/blog/archives/2005/06/write_down_your.html | archive-date = April 13, 2008 }}</ref>




== एंट्रॉपी के आवश्यक बिट्स ==
== एंट्रॉपी के आवश्यक बिट्स ==
पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए खतरे के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। RFC 4086, सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण खतरे के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें।<ref>{{cite IETF | title = सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ| rfc = 4086}}</ref> यदि केवल ऑनलाइन हमलों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। लागू नहीं है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित एक 12-वर्ण यादृच्छिक पासवर्ड की सिफारिश की गई थी, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में।<ref name="gtri">{{cite web|url=http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System|title=Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System|publisher=[[Georgia Tech Research Institute]]|access-date=2010-11-07|url-status=live|archive-url=https://web.archive.org/web/20101230063449/http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System|archive-date=2010-12-30}}</ref><ref name="msnbc">{{cite news|url=http://www.nbcnews.com/id/38771772|title=Want to deter hackers? Make your password longer|publisher=[[NBC News]]|date=2010-08-19|access-date=2010-11-07}}</ref> ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन हमलों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक अंश भी बढ़ने चाहिए।
पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए खतरे के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। RFC 4086, सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण खतरे के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें।<ref>{{cite IETF | title = सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ| rfc = 4086}}</ref> यदि केवल ऑनलाइन आक्रमणों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। लागू नहीं है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित एक 12-वर्ण यादृच्छिक पासवर्ड की सिफारिश की गई थी, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में।<ref name="gtri">{{cite web|url=http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System|title=Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System|publisher=[[Georgia Tech Research Institute]]|access-date=2010-11-07|url-status=live|archive-url=https://web.archive.org/web/20101230063449/http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System|archive-date=2010-12-30}}</ref><ref name="msnbc">{{cite news|url=http://www.nbcnews.com/id/38771772|title=Want to deter hackers? Make your password longer|publisher=[[NBC News]]|date=2010-08-19|access-date=2010-11-07}}</ref> ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन आक्रमणों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक अंश भी बढ़ने चाहिए।


ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, EFF DES क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट [[डेटा एन्क्रिप्शन मानक]] एन्क्रिप्शन को तोड़ दिया।<ref name=EFF-deep-crack>{{cite web | url = http://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_descracker_pressrel.html | title = ईएफएफ डेस क्रैकर मशीन क्रिप्टो बहस में ईमानदारी लाती है| publisher = EFF | access-date = March 27, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20100101001853/http://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_descracker_pressrel.html | archive-date = January 1, 2010 }}</ref> 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया।<ref name=distributed>{{cite web | url = http://stats.distributed.net/projects.php?project_id=5 | title = 64-bit key project status | publisher = Distributed.net | access-date = March 27, 2008 | archive-url = https://web.archive.org/web/20130910051812/http://stats.distributed.net/projects.php?project_id=5 | archive-date = September 10, 2013 | url-status = dead }}</ref> 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे।<ref name=distributed-72>{{cite web | url = http://stats.distributed.net/projects.php?project_id=8 | title = 72-bit key project status | publisher = Distributed.net | access-date = October 12, 2011 }}</ref> मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई उम्मीद नहीं है कि कोई भी [[ डिजिटल कम्प्यूटर ]] (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स अटैक के माध्यम से तोड़ने में सक्षम होगा।<ref name=schneier-cyptogram>{{cite web | url = http://www.schneier.com/crypto-gram-9902.html | title = Snakeoil: Warning Sign #5: Ridiculous key lengths | author = Bruce Schneier | access-date = March 27, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080418225248/http://www.schneier.com/crypto-gram-9902.html | archive-date = April 18, 2008 }}</ref> [[क्वांटम कंप्यूटर]] व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, हालांकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।<ref>{{cite web |url=https://stackoverflow.com/questions/2768807/quantum-computing-and-encryption-breaking |title=क्वांटम कम्प्यूटिंग और एन्क्रिप्शन ब्रेकिंग|publisher=Stack Overflow |date=2011-05-27 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130521043721/http://stackoverflow.com/questions/2768807/quantum-computing-and-encryption-breaking |archive-date=2013-05-21 }}</ref>
ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, EFF DES क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट [[डेटा एन्क्रिप्शन मानक]] एन्क्रिप्शन को तोड़ दिया।<ref name=EFF-deep-crack>{{cite web | url = http://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_descracker_pressrel.html | title = ईएफएफ डेस क्रैकर मशीन क्रिप्टो बहस में ईमानदारी लाती है| publisher = EFF | access-date = March 27, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20100101001853/http://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_descracker_pressrel.html | archive-date = January 1, 2010 }}</ref> 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया।<ref name=distributed>{{cite web | url = http://stats.distributed.net/projects.php?project_id=5 | title = 64-bit key project status | publisher = Distributed.net | access-date = March 27, 2008 | archive-url = https://web.archive.org/web/20130910051812/http://stats.distributed.net/projects.php?project_id=5 | archive-date = September 10, 2013 | url-status = dead }}</ref> 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे।<ref name=distributed-72>{{cite web | url = http://stats.distributed.net/projects.php?project_id=8 | title = 72-bit key project status | publisher = Distributed.net | access-date = October 12, 2011 }}</ref> मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई उम्मीद नहीं है कि कोई भी [[ डिजिटल कम्प्यूटर ]] (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स अटैक के माध्यम से तोड़ने में सक्षम होगा।<ref name=schneier-cyptogram>{{cite web | url = http://www.schneier.com/crypto-gram-9902.html | title = Snakeoil: Warning Sign #5: Ridiculous key lengths | author = Bruce Schneier | access-date = March 27, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080418225248/http://www.schneier.com/crypto-gram-9902.html | archive-date = April 18, 2008 }}</ref> [[क्वांटम कंप्यूटर]] व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, चूँकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।<ref>{{cite web |url=https://stackoverflow.com/questions/2768807/quantum-computing-and-encryption-breaking |title=क्वांटम कम्प्यूटिंग और एन्क्रिप्शन ब्रेकिंग|publisher=Stack Overflow |date=2011-05-27 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130521043721/http://stackoverflow.com/questions/2768807/quantum-computing-and-encryption-breaking |archive-date=2013-05-21 }}</ref>




== मजबूत पासवर्ड के लिए दिशानिर्देश ==
== कठोर पासवर्ड के लिए दिशानिर्देश ==
{{how-to|date=January 2022}}
{{how-to|date=January 2022}}


=== सामान्य दिशानिर्देश ===
=== सामान्य दिशानिर्देश ===
अच्छे पासवर्ड चुनने के दिशानिर्देश आम तौर पर बुद्धिमान अनुमान लगाकर पासवर्ड खोजने के लिए कठिन बनाने के लिए डिज़ाइन किए जाते हैं। सॉफ्टवेयर सिस्टम सुरक्षा के समर्थकों द्वारा समर्थित सामान्य दिशानिर्देशों में शामिल हैं:<ref>Microsoft Corporation, [http://www.microsoft.com/protect/yourself/password/create.mspx Strong passwords: How to create and use them] {{webarchive|url=https://web.archive.org/web/20080101132156/http://www.microsoft.com/protect/yourself/password/create.mspx |date=2008-01-01 }}</ref><ref name="schneier07">Bruce Schneier, [http://www.schneier.com/blog/archives/2007/01/choosing_secure.html Choosing Secure Passwords] {{webarchive|url=https://web.archive.org/web/20080223002450/http://www.schneier.com/blog/archives/2007/01/choosing_secure.html |date=2008-02-23 }}</ref><ref>Google, Inc., [https://www.google.com/accounts/PasswordHelp How safe is your password?] {{webarchive|url=https://web.archive.org/web/20080222225549/https://www.google.com/accounts/PasswordHelp |date=2008-02-22 }}</ref><ref name="UMD01">University of Maryland, [http://www.cs.umd.edu/faq/Passwords.shtml Choosing a Good Password] {{webarchive|url=https://web.archive.org/web/20140614022254/http://www.cs.umd.edu/faq/Passwords.shtml |date=2014-06-14 }}</ref><ref name="Bidwell000">{{cite book
अच्छे पासवर्ड चुनने के दिशानिर्देश सामान्यतः बुद्धिमान अनुमान लगाकर पासवर्ड खोजने के लिए कठिन बनाने के लिए डिज़ाइन किए जाते हैं। सॉफ्टवेयर प्रणाली सुरक्षा के समर्थकों द्वारा समर्थित सामान्य दिशानिर्देशों में सम्मिलित हैं:<ref>Microsoft Corporation, [http://www.microsoft.com/protect/yourself/password/create.mspx Strong passwords: How to create and use them] {{webarchive|url=https://web.archive.org/web/20080101132156/http://www.microsoft.com/protect/yourself/password/create.mspx |date=2008-01-01 }}</ref><ref name="schneier07">Bruce Schneier, [http://www.schneier.com/blog/archives/2007/01/choosing_secure.html Choosing Secure Passwords] {{webarchive|url=https://web.archive.org/web/20080223002450/http://www.schneier.com/blog/archives/2007/01/choosing_secure.html |date=2008-02-23 }}</ref><ref>Google, Inc., [https://www.google.com/accounts/PasswordHelp How safe is your password?] {{webarchive|url=https://web.archive.org/web/20080222225549/https://www.google.com/accounts/PasswordHelp |date=2008-02-22 }}</ref><ref name="UMD01">University of Maryland, [http://www.cs.umd.edu/faq/Passwords.shtml Choosing a Good Password] {{webarchive|url=https://web.archive.org/web/20140614022254/http://www.cs.umd.edu/faq/Passwords.shtml |date=2014-06-14 }}</ref><ref name="Bidwell000">{{cite book
| first    = Teri
| first    = Teri
| last      = Bidwell
| last      = Bidwell
Line 152: Line 159:
| isbn      = 978-1-931836-51-7
| isbn      = 978-1-931836-51-7
}}</ref>
}}</ref>
* 8 की न्यूनतम पासवर्ड लंबाई पर विचार करें<ref>{{cite web |title=NIST PASSWORD GUIDELINES IN 2020 |date = 18 August 2020|url=https://stealthbits.com/blog/nist-password-guidelines/#:~:text=NIST%20now%20requires%20that%20all,characters%20as%20a%20maximum%20length. |publisher=Stealthbits |access-date=17 May 2021}}</ref> एक सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और आसानी से याद रखने वाले पासवर्ड की सलाह देते हैं।<ref>{{cite web|title=पासवर्ड नीति - अपने दृष्टिकोण को अपडेट करना|url=https://www.ncsc.gov.uk/collection/passwords/updating-your-approach|access-date=17 May 2021|publisher=UK National Cyber Security Centre}}</ref><ref>{{Cite web|title=Choosing and Protecting Passwords {{!}} CISA|url=https://www.cisa.gov/tips/st04-002|access-date=2022-01-12|website=www.cisa.gov}}</ref> * जहाँ संभव हो, बेतरतीब ढंग से पासवर्ड उत्पन्न करें।
* 8 की न्यूनतम पासवर्ड लंबाई पर विचार करें<ref>{{cite web |title=NIST PASSWORD GUIDELINES IN 2020 |date = 18 August 2020|url=https://stealthbits.com/blog/nist-password-guidelines/#:~:text=NIST%20now%20requires%20that%20all,characters%20as%20a%20maximum%20length. |publisher=Stealthbits |access-date=17 May 2021}}</ref> एक सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और सरली से याद रखने वाले पासवर्ड की सलाह देते हैं।<ref>{{cite web|title=पासवर्ड नीति - अपने दृष्टिकोण को अपडेट करना|url=https://www.ncsc.gov.uk/collection/passwords/updating-your-approach|access-date=17 May 2021|publisher=UK National Cyber Security Centre}}</ref><ref>{{Cite web|title=Choosing and Protecting Passwords {{!}} CISA|url=https://www.cisa.gov/tips/st04-002|access-date=2022-01-12|website=www.cisa.gov}}</ref> * जहाँ संभव हो, विचित्र ढंग से पासवर्ड उत्पन्न करें।
* एक ही पासवर्ड का दो बार उपयोग करने से बचें (उदाहरण के लिए कई उपयोगकर्ता खातों और/या सॉफ़्टवेयर सिस्टम में)।
* एक ही पासवर्ड का दो बार उपयोग करने से बचें (उदाहरण के लिए कई उपयोगकर्ता खातों और/या सॉफ़्टवेयर प्रणाली में)।
* चरित्र दोहराव, कीबोर्ड पैटर्न, शब्दकोश शब्द, अक्षर या संख्या क्रम से बचें।
* चरित्र दोहराव, कीबोर्ड पैटर्न, शब्दकोश शब्द, अक्षर या संख्या क्रम से बचें।
* ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता या खाते से सार्वजनिक रूप से जुड़ी हो या हो सकती है, जैसे कि उपयोगकर्ता का नाम, पूर्वजों के नाम या दिनांक।
* ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता या खाते से सार्वजनिक रूप से जुड़ी हो या हो सकती है, जैसे कि उपयोगकर्ता का नाम, पूर्वजों के नाम या दिनांक।
* ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता के सहकर्मियों और/या परिचितों को उपयोगकर्ता से संबद्ध होने के बारे में पता हो, जैसे रिश्तेदारों या पालतू जानवरों के नाम, रोमांटिक लिंक (वर्तमान या अतीत) और जीवनी संबंधी जानकारी (जैसे आईडी नंबर, पूर्वजों के नाम या दिनांक) .
* ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता के सहकर्मियों और/या परिचितों को उपयोगकर्ता से संबद्ध होने के बारे में पता हो, जैसे रिश्तेदारों या पालतू जानवरों के नाम, रोमांटिक लिंक (वर्तमान या अतीत) और जीवनी संबंधी जानकारी (जैसे आईडी नंबर, पूर्वजों के नाम या दिनांक) .
* ऐसे पासवर्ड का उपयोग न करें जो उपरोक्त कमजोर घटकों के किसी भी सरल संयोजन से पूरी तरह से बने हों।
* ऐसे पासवर्ड का उपयोग न करें जो उपरोक्त अशक्त घटकों के किसी भी सरल संयोजन से पूरी तरह से बने हों।


पासवर्ड में लोअरकेस, अपरकेस अक्षर वर्णों, संख्याओं और प्रतीकों को बाध्य करना सामान्य नीति थी, लेकिन वास्तव में इसे क्रैक करना आसान बनाकर सुरक्षा को कम करना पाया गया है। शोध से पता चला है कि ऐसे प्रतीकों का सामान्य उपयोग कितना अनुमानित है, और यू.एस.<ref>{{cite web |title=डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63b.html#a3-complexity |publisher=USA National Institute for Standards and Technology |access-date=17 May 2021}}</ref> यूके<ref>{{cite web |title=सिस्टम स्वामियों के लिए पासवर्ड प्रशासन|url=https://www.ncsc.gov.uk/collection/passwords/updating-your-approach |publisher=UK National Cyber Security Centre |access-date=17 May 2021}}</ref> सरकारी साइबर सुरक्षा विभाग उन्हें पासवर्ड नीति में शामिल करने के लिए बाध्य नहीं करने की सलाह देते हैं। जटिल प्रतीक भी पासवर्ड को याद रखना अधिक कठिन बनाते हैं, जो लिखने को बढ़ाता है, पासवर्ड रीसेट करता है और पासवर्ड का पुन: उपयोग करता है - ये सभी पासवर्ड सुरक्षा में सुधार करने के बजाय कम करते हैं। पासवर्ड जटिलता नियमों के मूल लेखक, बिल बूर ने माफी मांगी है और स्वीकार किया है कि वे वास्तव में सुरक्षा को कम करते हैं, जैसा कि शोध में पाया गया है; यह 2017 में मीडिया में व्यापक रूप से रिपोर्ट किया गया था।<ref name="tesla.tours">{{cite web |title=पासवर्ड नियम - पासवर्ड जटिलता के संस्थापक सॉरी कहते हैं!|url=https://www.tesla.tours/campaigns/password-rules#h.8jxqtu8i7po2 |access-date=17 May 2021}}</ref> ऑनलाइन सुरक्षा शोधकर्ता<ref>{{cite web |title=साइलैब प्रयोग करने योग्य गोपनीयता और सुरक्षा प्रयोगशाला (सीयूपीएस)|url=http://cups.cs.cmu.edu/passwords.html |publisher=Carnegie Mellon University (USA) |access-date=17 May 2021}}</ref> और सलाहकार भी परिवर्तन के समर्थक हैं<ref>{{cite web |last1=Bruce |first1=Schneier |title=पासवर्ड सर्वोत्तम प्रथाओं में परिवर्तन|url=https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html |publisher=Schneier on Security |access-date=17 May 2021}}</ref> पासवर्ड पर सर्वोत्तम अभ्यास सलाह में।
पासवर्ड में लोअरकेस, अपरकेस अक्षर वर्णों, संख्याओं और प्रतीकों को बाध्य करना सामान्य नीति थी, लेकिन वास्तव में इसे क्रैक करना सरल बनाकर सुरक्षा को कम करना पाया गया है। शोध से पता चला है कि ऐसे प्रतीकों का सामान्य उपयोग कितना अनुमानित है, और यू.एस.<ref>{{cite web |title=डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63b.html#a3-complexity |publisher=USA National Institute for Standards and Technology |access-date=17 May 2021}}</ref> यूके<ref>{{cite web |title=सिस्टम स्वामियों के लिए पासवर्ड प्रशासन|url=https://www.ncsc.gov.uk/collection/passwords/updating-your-approach |publisher=UK National Cyber Security Centre |access-date=17 May 2021}}</ref> सरकारी साइबर सुरक्षा विभाग उन्हें पासवर्ड नीति में सम्मिलित करने के लिए बाध्य नहीं करने की सलाह देते हैं। जटिल प्रतीक भी पासवर्ड को याद रखना अधिक कठिन बनाते हैं, जो लिखने को बढ़ाता है, पासवर्ड रीसेट करता है और पासवर्ड का पुन: उपयोग करता है - ये सभी पासवर्ड सुरक्षा में संशोधन करने के अतिरिक्त कम करते हैं। पासवर्ड जटिलता नियमों के मूल लेखक, बिल बूर ने माफी मांगी है और स्वीकार किया है कि वे वास्तव में सुरक्षा को कम करते हैं, जैसा कि शोध में पाया गया है; यह 2017 में मीडिया में व्यापक रूप से रिपोर्ट किया गया था।<ref name="tesla.tours">{{cite web |title=पासवर्ड नियम - पासवर्ड जटिलता के संस्थापक सॉरी कहते हैं!|url=https://www.tesla.tours/campaigns/password-rules#h.8jxqtu8i7po2 |access-date=17 May 2021}}</ref> ऑनलाइन सुरक्षा शोधकर्ता<ref>{{cite web |title=साइलैब प्रयोग करने योग्य गोपनीयता और सुरक्षा प्रयोगशाला (सीयूपीएस)|url=http://cups.cs.cmu.edu/passwords.html |publisher=Carnegie Mellon University (USA) |access-date=17 May 2021}}</ref> और सलाहकार भी परिवर्तन के समर्थक हैं<ref>{{cite web |last1=Bruce |first1=Schneier |title=पासवर्ड सर्वोत्तम प्रथाओं में परिवर्तन|url=https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html |publisher=Schneier on Security |access-date=17 May 2021}}</ref> पासवर्ड पर सर्वोत्तम अभ्यास सलाह में।


कुछ दिशानिर्देश पासवर्ड लिखने के खिलाफ सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित सिस्टम को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को एक सुरक्षित स्थान पर रखा जाता है, मॉनिटर या अनलॉक में संलग्न नहीं होता है डेस्क दराज।<ref name="schneier.com">{{cite web|url=http://www.schneier.com/blog/archives/2005/06/write_down_your.html|title=अपना पासवर्ड लिख लें - श्नेयर ऑन सिक्योरिटी|website=www.schneier.com|url-status=live|archive-url=https://web.archive.org/web/20080413032636/http://www.schneier.com/blog/archives/2005/06/write_down_your.html|archive-date=2008-04-13}}</ref> एनसीएससी द्वारा [[ पासवर्ड प्रबंधक ]] के उपयोग की सिफारिश की जाती है।<ref name="National Cyber Security Centre">{{cite web|url=https://www.ncsc.gov.uk/blog-post/what-does-ncsc-think-password-managers|title=What does the NCSC think of password managers?|website=www.ncsc.gov.uk|url-status=live|archive-url=https://web.archive.org/web/20190305053922/https://www.ncsc.gov.uk/blog-post/what-does-ncsc-think-password-managers|archive-date=2019-03-05}}</ref>
कुछ दिशानिर्देश पासवर्ड लिखने के विरुद्ध सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित प्रणाली को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को एक सुरक्षित स्थान पर रखा जाता है, मॉनिटर या अनलॉक में संलग्न नहीं होता है डेस्क दराज।<ref name="schneier.com">{{cite web|url=http://www.schneier.com/blog/archives/2005/06/write_down_your.html|title=अपना पासवर्ड लिख लें - श्नेयर ऑन सिक्योरिटी|website=www.schneier.com|url-status=live|archive-url=https://web.archive.org/web/20080413032636/http://www.schneier.com/blog/archives/2005/06/write_down_your.html|archive-date=2008-04-13}}</ref> एनसीएससी द्वारा [[ पासवर्ड प्रबंधक ]] के उपयोग की सिफारिश की जाती है।<ref name="National Cyber Security Centre">{{cite web|url=https://www.ncsc.gov.uk/blog-post/what-does-ncsc-think-password-managers|title=What does the NCSC think of password managers?|website=www.ncsc.gov.uk|url-status=live|archive-url=https://web.archive.org/web/20190305053922/https://www.ncsc.gov.uk/blog-post/what-does-ncsc-think-password-managers|archive-date=2019-03-05}}</ref>
पासवर्ड के लिए निर्धारित संभावित कैरेक्टर को अलग-अलग वेब साइट्स या कीबोर्ड की उस रेंज द्वारा सीमित किया जा सकता है, जिस पर पासवर्ड दर्ज किया जाना चाहिए।<ref>e.g. for a keyboard with only 17 nonalphanumeric characters, see one for a BlackBerry phone in [http://www.hardwaresecrets.com/fullimage.php?image=18705 an enlarged image]  {{webarchive|url=https://web.archive.org/web/20110406121058/http://www.hardwaresecrets.com/fullimage.php?image=18705 |date=2011-04-06 }} in support of [http://www.hardwaresecrets.com/article/795/2 Sandy Berger, ''BlackBerry Tour 9630 (Verizon) Cell Phone Review'', in Hardware Secrets (August 31, 2009)] {{webarchive|url=https://web.archive.org/web/20110406121111/http://www.hardwaresecrets.com/article/795/2 |date=April 6, 2011 }}, both as accessed January 19, 2010. That some websites don’t allow nonalphanumerics is indicated by [http://forums.theregister.co.uk/post/527230 Kanhef, ''Idiots, For Different Reasons'' (June 30, 2009) (topic post)] {{webarchive|url=https://web.archive.org/web/20110406121058/http://forums.theregister.co.uk/post/527230 |date=April 6, 2011 }}, as accessed January 20, 2010.</ref>
पासवर्ड के लिए निर्धारित संभावित कैरेक्टर को अलग-अलग वेब साइट्स या कीबोर्ड की उस रेंज द्वारा सीमित किया जा सकता है, जिस पर पासवर्ड दर्ज किया जाना चाहिए।<ref>e.g. for a keyboard with only 17 nonalphanumeric characters, see one for a BlackBerry phone in [http://www.hardwaresecrets.com/fullimage.php?image=18705 an enlarged image]  {{webarchive|url=https://web.archive.org/web/20110406121058/http://www.hardwaresecrets.com/fullimage.php?image=18705 |date=2011-04-06 }} in support of [http://www.hardwaresecrets.com/article/795/2 Sandy Berger, ''BlackBerry Tour 9630 (Verizon) Cell Phone Review'', in Hardware Secrets (August 31, 2009)] {{webarchive|url=https://web.archive.org/web/20110406121111/http://www.hardwaresecrets.com/article/795/2 |date=April 6, 2011 }}, both as accessed January 19, 2010. That some websites don’t allow nonalphanumerics is indicated by [http://forums.theregister.co.uk/post/527230 Kanhef, ''Idiots, For Different Reasons'' (June 30, 2009) (topic post)] {{webarchive|url=https://web.archive.org/web/20110406121058/http://forums.theregister.co.uk/post/527230 |date=April 6, 2011 }}, as accessed January 20, 2010.</ref>




=== कमजोर पासवर्ड के उदाहरण ===
=== अशक्त पासवर्ड के उदाहरण ===
{{See also|Password cracking|List of the most common passwords}}
{{See also|Password cracking|List of the most common passwords}}


जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में कमजोर हैं। उदाहरण के लिए, एक शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच ताकत में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - एक सामान्य दृष्टिकोण) एक पासवर्ड क्रैकिंग डिवाइस को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी ताकत जोड़ता है। नीचे दिए गए उदाहरण कमजोर पासवर्ड बनाने के विभिन्न तरीकों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।<ref name=perfect>{{cite book
जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में अशक्त हैं। उदाहरण के लिए, एक शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच शक्ति में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - एक सामान्य दृष्टिकोण) एक पासवर्ड क्रैकिंग डिवाइस को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी शक्ति जोड़ता है। नीचे दिए गए उदाहरण अशक्त पासवर्ड बनाने के विभिन्न तरीकों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।<ref name=perfect>{{cite book
   | last = Burnett
   | last = Burnett
   | first = Mark
   | first = Mark
Line 179: Line 186:
   | page = 181
   | page = 181
   | editor-link = Dave Kleiman }}</ref>
   | editor-link = Dave Kleiman }}</ref>
* [[डिफ़ॉल्ट पासवर्ड]] (जैसा कि सिस्टम विक्रेता द्वारा प्रदान किया गया है और स्थापना के समय बदला जाना है): पासवर्ड, डिफ़ॉल्ट, व्यवस्थापक, अतिथि, आदि। डिफ़ॉल्ट पासवर्ड की सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।
* [[डिफ़ॉल्ट पासवर्ड]] (जैसा कि प्रणाली विक्रेता द्वारा प्रदान किया गया है और स्थापना के समय बदला जाना है): पासवर्ड, डिफ़ॉल्ट, व्यवस्थापक, अतिथि, आदि। डिफ़ॉल्ट पासवर्ड की सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।
* शब्दकोश शब्द: गिरगिट, रेडसॉक्स, सैंडबैग, बनीहॉप !, इंटेंस क्रैबट्री, आदि, गैर-अंग्रेजी शब्दकोशों में शब्दों सहित।
* शब्दकोश शब्द: गिरगिट, रेडसॉक्स, सैंडबैग, बनीहॉप !, इंटेंस क्रैबट्री, आदि, गैर-अंग्रेजी शब्दकोशों में शब्दों सहित।
* संलग्न संख्या वाले शब्द: पासवर्ड 1, डीयर 2000, जॉन 1234, आदि, थोड़े समय के साथ स्वचालित रूप से आसानी से परीक्षण किए जा सकते हैं।
* संलग्न संख्या वाले शब्द: पासवर्ड 1, डीयर 2000, जॉन 1234, आदि, थोड़े समय के साथ स्वचालित रूप से सरली से परीक्षण किए जा सकते हैं।
* सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, [[DigiNotar]] हमले में समझौता किया गया एक डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।<ref>{{cite web |url=http://thehackernews.com/2011/09/comodohacker-responsible-for-diginotar.html |title=ComodoHacker responsible for DigiNotar Attack – Hacking News |publisher=Thehackernews.com |date=2011-09-06 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130517204022/http://thehackernews.com/2011/09/comodohacker-responsible-for-diginotar.html |archive-date=2013-05-17 }}</ref>
* सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, [[DigiNotar]] आक्रमण में समझौता किया गया एक डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।<ref>{{cite web |url=http://thehackernews.com/2011/09/comodohacker-responsible-for-diginotar.html |title=ComodoHacker responsible for DigiNotar Attack – Hacking News |publisher=Thehackernews.com |date=2011-09-06 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130517204022/http://thehackernews.com/2011/09/comodohacker-responsible-for-diginotar.html |archive-date=2013-05-17 }}</ref>
* दोगुने शब्द: क्रैक्रैब, स्टॉपस्टॉप, ट्रीट्री, पासपास, आदि।
* दोगुने शब्द: क्रैक्रैब, स्टॉपस्टॉप, ट्रीट्री, पासपास, आदि।
* एक कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
* एक कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
* सुप्रसिद्ध संख्याओं जैसे 911 पर आधारित सांख्यिक अनुक्रम <sup>([[9-1-1]], 11 सितंबर का हमला|9/11)</sup>, 314159... <sup>([[ अनुकरणीय ]]आई)</sup>, 27182... <sup>([[ई (गणितीय स्थिरांक)]])</sup>, 112 <sup>([[112 (आपातकालीन टेलीफोन नंबर)]]|1-1-2)</sup>, आदि।
* सुप्रसिद्ध संख्याओं जैसे 911 पर आधारित सांख्यिक अनुक्रम <sup>([[9-1-1]], 11 सितंबर का हमला|9/11)</sup>, 314159... <sup>([[ अनुकरणीय ]]आई)</sup>, 27182... <sup>([[ई (गणितीय स्थिरांक)]])</sup>, 112 <sup>([[112 (आपातकालीन टेलीफोन नंबर)]]|1-1-2)</sup>, आदि।
* पहचानकर्ता: jsmith123, 1/1/1970, 555–1234, किसी का उपयोगकर्ता नाम, आदि।
* पहचानकर्ता: jsmith123, 1/1/1970, 555–1234, किसी का उपयोगकर्ता नाम, आदि।
* गैर-अंग्रेज़ी भाषाओं में कमजोर पासवर्ड, जैसे कॉन्ट्रासेना (स्पेनिश) और ji32k7au4a83 (चीनी से बोपोमोफो कीबोर्ड एन्कोडिंग)<ref>{{cite news|url=https://www.iheart.com/content/2019-03-08-heres-why-ji32k7au4a83-is-a-surprisingly-common-password/|title=Here's Why 'ji32k7au4a83' Is A Surprisingly Common Password|access-date=25 March 2019|date=8 March 2019|author=Dave Basner}}</ref>
* गैर-अंग्रेज़ी भाषाओं में अशक्त पासवर्ड, जैसे कॉन्ट्रासेना (स्पेनिश) और ji32k7au4a83 (चीनी से बोपोमोफो कीबोर्ड एन्कोडिंग)<ref>{{cite news|url=https://www.iheart.com/content/2019-03-08-heres-why-ji32k7au4a83-is-a-surprisingly-common-password/|title=Here's Why 'ji32k7au4a83' Is A Surprisingly Common Password|access-date=25 March 2019|date=8 March 2019|author=Dave Basner}}</ref>
* व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की एक साधारण जांच के बाद आसानी से स्वचालित रूप से परीक्षण किया जा सकता है।
* व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की एक साधारण जांच के बाद सरली से स्वचालित रूप से परीक्षण किया जा सकता है।
* तिथियां: तिथियां एक पैटर्न का पालन करती हैं और आपके पासवर्ड को कमजोर बनाती हैं।
* तिथियां: तिथियां एक पैटर्न का पालन करती हैं और आपके पासवर्ड को अशक्त बनाती हैं।
* प्रसिद्ध स्थानों के नाम: न्यूयॉर्क, टेक्सास, चीन, लंदन, आदि।
* प्रसिद्ध स्थानों के नाम: न्यूयॉर्क, टेक्सास, चीन, लंदन, आदि।
* ब्रांडों, मशहूर हस्तियों, खेल टीमों, संगीत समूहों, टीवी शो, फिल्मों आदि के नाम।
* ब्रांडों, मशहूर हस्तियों, खेल टीमों, संगीत समूहों, टीवी शो, फिल्मों आदि के नाम।


पासवर्ड कमजोर होने के और भी कई तरीके हो सकते हैं,<ref>Bidwell, p. 87</ref> विभिन्न हमले योजनाओं की ताकत के अनुरूप; मूल सिद्धांत यह है कि एक पासवर्ड में उच्च एन्ट्रापी (आमतौर पर यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा आसानी से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अक्सर एक रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे एक हैकर समझ सकता है और ऐसा करके एक पासवर्ड को बायपास कर सकता है। मुश्किल से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।<ref>{{cite web |url=http://www.lockdown.co.uk/?pg=password_guide |title=एक अच्छा पासवर्ड चुनने के लिए दिशानिर्देश|publisher=Lockdown.co.uk |date=2009-07-10 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130326163635/http://www.lockdown.co.uk/?pg=password_guide |archive-date=2013-03-26 }}</ref>
पासवर्ड अशक्त होने के और भी कई तरीके हो सकते हैं,<ref>Bidwell, p. 87</ref> विभिन्न आक्रमण योजनाओं की शक्ति के अनुरूप; मूल सिद्धांत यह है कि एक पासवर्ड में उच्च एन्ट्रापी (सामान्यतः यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा सरली से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अधिकांशतः एक रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे एक हैकर समझ सकता है और ऐसा करके एक पासवर्ड को बायपास कर सकता है। मुश्किल से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।<ref>{{cite web |url=http://www.lockdown.co.uk/?pg=password_guide |title=एक अच्छा पासवर्ड चुनने के लिए दिशानिर्देश|publisher=Lockdown.co.uk |date=2009-07-10 |access-date=2013-03-17 |url-status=live |archive-url=https://web.archive.org/web/20130326163635/http://www.lockdown.co.uk/?pg=password_guide |archive-date=2013-03-26 }}</ref>




=== पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार ===
=== पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार ===
{{outdated section|reason="standards of today" and processor speeds have both changed significantly since 2012|date=September 2017}}
{{outdated section|reason="standards of today" and processor speeds have both changed significantly since 2012|date=September 2017}}
दिसंबर, 2012 में, [[विलियम चेसविक]] ने एसीएम पत्रिका में प्रकाशित एक लेख लिखा था जिसमें आमतौर पर अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना आसान या कठिन होगा, इसकी गणितीय संभावनाएं शामिल थीं। अपने लेख में, विलियम ने दिखाया कि एक मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के हमले का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास एक मल्टी-कोर सिस्टम का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (यानी 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड एक सामान्य शब्द का उपयोग नहीं करता है कि एक [[शब्दकोश हमला]] बहुत जल्दी टूट सकता है। इस ताकत के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे बदलने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।<ref>{{Cite web|url=https://queue.acm.org/detail.cfm?id=2422416|title=HTML संस्करण - पासवर्ड पर पुनर्विचार|last=William|first=Cheswick|date=2012-12-31|website=[[Association for Computing Machinery]] (ACM)|url-status=live|archive-url=https://archive.today/2019.11.03-172648/https://queue.acm.org/detail.cfm?id=2422416|archive-date=2019-11-03|access-date=2019-11-03}}</ref><ref>{{Cite journal|url=https://dl.acm.org/citation.cfm?doid=2405116.2422416|title=एसीएम डिजिटल लाइब्रेरी - पासवर्ड पर पुनर्विचार|last=William|first=Cheswick|date=2012-12-31|journal=Queue|volume=10|issue=12|pages=50–56|doi=10.1145/2405116.2422416|url-status=live|archive-url=https://archive.today/2019.11.03-173450/https://dl.acm.org/citation.cfm?doid=2405116.2422416|archive-date=2019-11-03|access-date=2019-11-03|doi-access=free}}</ref>
दिसंबर, 2012 में, [[विलियम चेसविक]] ने एसीएम पत्रिका में प्रकाशित एक लेख लिखा था जिसमें सामान्यतः अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना सरल या कठिन होगा, इसकी गणितीय संभावनाएं सम्मिलित थीं। अपने लेख में, विलियम ने दिखाया कि एक मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के आक्रमण का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास एक मल्टी-कोर प्रणाली का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (यानी 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड एक सामान्य शब्द का उपयोग नहीं करता है कि एक [[शब्दकोश हमला]] बहुत जल्दी टूट सकता है। इस शक्ति के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे बदलने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।<ref>{{Cite web|url=https://queue.acm.org/detail.cfm?id=2422416|title=HTML संस्करण - पासवर्ड पर पुनर्विचार|last=William|first=Cheswick|date=2012-12-31|website=[[Association for Computing Machinery]] (ACM)|url-status=live|archive-url=https://archive.today/2019.11.03-172648/https://queue.acm.org/detail.cfm?id=2422416|archive-date=2019-11-03|access-date=2019-11-03}}</ref><ref>{{Cite journal|url=https://dl.acm.org/citation.cfm?doid=2405116.2422416|title=एसीएम डिजिटल लाइब्रेरी - पासवर्ड पर पुनर्विचार|last=William|first=Cheswick|date=2012-12-31|journal=Queue|volume=10|issue=12|pages=50–56|doi=10.1145/2405116.2422416|url-status=live|archive-url=https://archive.today/2019.11.03-173450/https://dl.acm.org/citation.cfm?doid=2405116.2422416|archive-date=2019-11-03|access-date=2019-11-03|doi-access=free}}</ref>




Line 205: Line 212:


पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए एक गाइड है। इसका इरादा है:
पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए एक गाइड है। इसका इरादा है:
* मजबूत पासवर्ड चुनने में उपयोगकर्ताओं की सहायता करें
* कठोर पासवर्ड चुनने में उपयोगकर्ताओं की सहायता करें
* सुनिश्चित करें कि पासवर्ड लक्ष्य आबादी के अनुकूल हैं
* सुनिश्चित करें कि पासवर्ड लक्ष्य आबादी के अनुकूल हैं
* उपयोगकर्ताओं को उनके पासवर्ड से निपटने के संबंध में सिफारिशें प्रदान करें
* उपयोगकर्ताओं को उनके पासवर्ड से निपटने के संबंध में सिफारिशें प्रदान करें
* किसी भी पासवर्ड को बदलने की सिफारिश करें जो खो गया है या समझौता करने का संदेह है
* किसी भी पासवर्ड को बदलने की सिफारिश करें जो खो गया है या समझौता करने का संदेह है
* कमजोर या आसानी से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट (कंप्यूटिंग) # उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।
* अशक्त या सरली से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट (कंप्यूटिंग) # उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।


पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड शामिल होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान द्वारा कम सुरक्षित के रूप में खारिज कर दिया गया है,<ref>{{cite web |title=न्यूनतम शक्ति, न्यूनतम लंबाई, और ब्लॉकलिस्ट आवश्यकताओं को मिलाकर मजबूत, अधिक उपयोग करने योग्य पासवर्ड के लिए व्यावहारिक अनुशंसाएं|url=http://www.andrew.cmu.edu/user/nicolasc/publications/Tan-CCS20.pdf |publisher=Carnegie Mellon University |access-date=17 May 2021}}</ref> मूल प्रेरक द्वारा<ref>{{cite web |title=पासवर्ड जटिलता नियमों के संस्थापक बिल बूर कहते हैं सॉरी!|url=https://www.tesla.tours/campaigns/password-rules#h.8jxqtu8i7po2 |access-date=17 May 2021}}</ref> इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा<ref>{{cite web |title=ऑनलाइन सेवाओं में पासवर्ड|url=https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/security/passwords-in-online-services/#whatrequirementsshould |publisher=UK Information Commissioner's Office (ICO) |access-date=17 May 2021}}</ref>) यूएसए का<ref>{{cite web |title=डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63b.html#a3-complexity |publisher=USA National Institute of Standards and Technology |access-date=17 May 2021}}</ref> और यूके।<ref>{{cite web |title=पासवर्ड मार्गदर्शन|url=https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/458857/Password_guidance_-_simplifying_your_approach.pdf |publisher=Cyber Security, UK Government Communications Headquarters |access-date=17 May 2021}}</ref> लागू प्रतीकों के पासवर्ड जटिलता नियम पहले Google जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे<ref>{{cite web |title=एक मजबूत पासवर्ड बनाएँ|url=https://support.google.com/accounts/answer/32040?hl=en#:~:text=Meet%20password%20requirements,accented%20characters%20aren't%20supported. |publisher=Google Inc. |access-date=17 May 2021}}</ref> और फेसबुक,<ref>{{cite web |title=लॉगिन और पासवर्ड मदद|url=https://www.facebook.com/help/1573156092981768/ |publisher=FaceBook Inc |access-date=17 May 2021}}</ref> लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा जोखिम है, और लागू जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में मदद करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। मजबूर जटिलता नियम भी समर्थन लागत, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।
पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड सम्मिलित होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान द्वारा कम सुरक्षित के रूप में खारिज कर दिया गया है,<ref>{{cite web |title=न्यूनतम शक्ति, न्यूनतम लंबाई, और ब्लॉकलिस्ट आवश्यकताओं को मिलाकर मजबूत, अधिक उपयोग करने योग्य पासवर्ड के लिए व्यावहारिक अनुशंसाएं|url=http://www.andrew.cmu.edu/user/nicolasc/publications/Tan-CCS20.pdf |publisher=Carnegie Mellon University |access-date=17 May 2021}}</ref> मूल प्रेरक द्वारा<ref>{{cite web |title=पासवर्ड जटिलता नियमों के संस्थापक बिल बूर कहते हैं सॉरी!|url=https://www.tesla.tours/campaigns/password-rules#h.8jxqtu8i7po2 |access-date=17 May 2021}}</ref> इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा<ref>{{cite web |title=ऑनलाइन सेवाओं में पासवर्ड|url=https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/security/passwords-in-online-services/#whatrequirementsshould |publisher=UK Information Commissioner's Office (ICO) |access-date=17 May 2021}}</ref>) यूएसए का<ref>{{cite web |title=डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63b.html#a3-complexity |publisher=USA National Institute of Standards and Technology |access-date=17 May 2021}}</ref> और यूके।<ref>{{cite web |title=पासवर्ड मार्गदर्शन|url=https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/458857/Password_guidance_-_simplifying_your_approach.pdf |publisher=Cyber Security, UK Government Communications Headquarters |access-date=17 May 2021}}</ref> लागू प्रतीकों के पासवर्ड जटिलता नियम पहले Google जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे<ref>{{cite web |title=एक मजबूत पासवर्ड बनाएँ|url=https://support.google.com/accounts/answer/32040?hl=en#:~:text=Meet%20password%20requirements,accented%20characters%20aren't%20supported. |publisher=Google Inc. |access-date=17 May 2021}}</ref> और फेसबुक,<ref>{{cite web |title=लॉगिन और पासवर्ड मदद|url=https://www.facebook.com/help/1573156092981768/ |publisher=FaceBook Inc |access-date=17 May 2021}}</ref> लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा संकट है, और लागू जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में मदद करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। मजबूर जटिलता नियम भी समर्थन लागत, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।


पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे खारिज कर दिया गया है<ref name="tesla.tours"/>सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने हटा दिया है<ref>{{cite web |title=Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903 |url=https://docs.microsoft.com/en-au/archive/blogs/secguide/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903 |publisher=Microsoft |access-date=17 May 2021}}</ref> पासवर्ड समाप्ति सुविधा। पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी:<ref name=LOPSA>{{cite web | url = http://lopsa.org/node/295 | title = पासवर्ड समाप्ति के बचाव में| publisher = League of Professional Systems Administrators | access-date = April 14, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20081012063918/http://lopsa.org/node/295 | archive-date = October 12, 2008 }}</ref>
पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे खारिज कर दिया गया है<ref name="tesla.tours"/>सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने हटा दिया है<ref>{{cite web |title=Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903 |url=https://docs.microsoft.com/en-au/archive/blogs/secguide/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903 |publisher=Microsoft |access-date=17 May 2021}}</ref> पासवर्ड समाप्ति सुविधा। पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी:<ref name=LOPSA>{{cite web | url = http://lopsa.org/node/295 | title = पासवर्ड समाप्ति के बचाव में| publisher = League of Professional Systems Administrators | access-date = April 14, 2008 | url-status = dead | archive-url = https://web.archive.org/web/20081012063918/http://lopsa.org/node/295 | archive-date = October 12, 2008 }}</ref>
* अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय हमलावर के लिए अपर्याप्त समय सुनिश्चित करने में मदद कर सकता है।
* अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय हमलावर के लिए अपर्याप्त समय सुनिश्चित करने में मदद कर सकता है।
* यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से बदलने की आवश्यकता हमलावर के लिए एक्सेस समय को सीमित कर सकती है।
* यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से बदलने की आवश्यकता हमलावर के लिए एक्सेस समय को सीमित कर सकती है।
हालाँकि, पासवर्ड समाप्ति की अपनी कमियाँ हैं:<ref name=WEB>
चूँकि, पासवर्ड समाप्ति की अपनी कमियाँ हैं:<ref name=WEB>
{{cite web
{{cite web
  |url        = https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry
  |url        = https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry
Line 229: Line 236:
}}
}}
</ref><ref name=CERIAS>{{cite web | url = http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/ | title = सुरक्षा मिथक और पासवर्ड| publisher = The Center for Education and Research in Information Assurance and Security | author = Eugene Spafford | access-date = April 14, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080411123000/http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/ | archive-date = April 11, 2008 }}</ref>
</ref><ref name=CERIAS>{{cite web | url = http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/ | title = सुरक्षा मिथक और पासवर्ड| publisher = The Center for Education and Research in Information Assurance and Security | author = Eugene Spafford | access-date = April 14, 2008 | url-status = live | archive-url = https://web.archive.org/web/20080411123000/http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/ | archive-date = April 11, 2008 }}</ref>
* उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए कहना सरल, कमजोर पासवर्ड को प्रोत्साहित करता है।
* उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए कहना सरल, अशक्त पासवर्ड को प्रोत्साहित करता है।
* अगर किसी के पास वास्तव में मजबूत पासवर्ड है, तो उसे बदलने का कोई मतलब नहीं है। पहले से ही मजबूत पासवर्ड बदलने से नया पासवर्ड कम मजबूत होने का जोखिम होता है।
* अगर किसी के पास वास्तव में कठोर पासवर्ड है, तो उसे बदलने का कोई मतलब नहीं है। पहले से ही कठोर पासवर्ड बदलने से नया पासवर्ड कम कठोर होने का संकट होता है।
* किसी हैकर द्वारा [[पिछले दरवाजे (कंप्यूटिंग)]] को स्थापित करने के लिए अक्सर [[विशेषाधिकार वृद्धि]] के माध्यम से एक समझौता किए गए पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में हमलावर की पहुंच को नहीं रोकेंगे।
* किसी हैकर द्वारा [[पिछले दरवाजे (कंप्यूटिंग)]] को स्थापित करने के लिए अधिकांशतः [[विशेषाधिकार वृद्धि]] के माध्यम से एक समझौता किए गए पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में हमलावर की पहुंच को नहीं रोकेंगे।
* किसी के पासवर्ड को कभी न बदलने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड बदलने की ओर बढ़ने से क्रूर बल के हमले में पासवर्ड का अनुमान लगाने से पहले हमलावर को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड बदलने की तुलना में केवल एक वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।
* किसी के पासवर्ड को कभी न बदलने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड बदलने की ओर बढ़ने से क्रूर बल के आक्रमण में पासवर्ड का अनुमान लगाने से पहले हमलावर को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड बदलने की तुलना में केवल एक वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।


=== पासवर्ड बनाना और संभालना ===
=== पासवर्ड बनाना और संभालना ===
किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के हमलों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले हमले (उच्च एन्ट्रापी के कारण)। हालाँकि, ऐसे पासवर्ड आमतौर पर याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को लागू करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के खिलाफ सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा जोखिम बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की उम्मीद है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने की सिफारिश की:
किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के आक्रमणों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले आक्रमण (उच्च एन्ट्रापी के कारण)। चूँकि, ऐसे पासवर्ड सामान्यतः याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को लागू करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के विरुद्ध सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा संकट बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की उम्मीद है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने की सिफारिश की:


{{Blockquote|quote=Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down. We're all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet.<ref name="schneier.com"/>}}
{{Blockquote|quote=Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down. We're all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet.<ref name="schneier.com"/>}}


यदि सावधानी से उपयोग किया जाए तो निम्नलिखित उपायों से मजबूत पासवर्ड आवश्यकताओं की स्वीकृति बढ़ सकती है:
यदि सावधानी से उपयोग किया जाए तो निम्नलिखित उपायों से कठोर पासवर्ड आवश्यकताओं की स्वीकृति बढ़ सकती है:


* एक प्रशिक्षण कार्यक्रम। साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)।
* एक प्रशिक्षण कार्यक्रम। साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)।
* दर को कम करके, या पासवर्ड परिवर्तन (पासवर्ड समाप्ति) की आवश्यकता को पूरी तरह से समाप्त करके मजबूत पासवर्ड उपयोगकर्ताओं को पुरस्कृत करना। उपयोगकर्ता द्वारा चुने गए पासवर्ड की ताकत का अनुमान स्वचालित प्रोग्राम द्वारा लगाया जा सकता है जो पासवर्ड सेट या बदलते समय प्रस्तावित पासवर्ड का निरीक्षण और मूल्यांकन करते हैं।
* दर को कम करके, या पासवर्ड परिवर्तन (पासवर्ड समाप्ति) की आवश्यकता को पूरी तरह से समाप्त करके कठोर पासवर्ड उपयोगकर्ताओं को पुरस्कृत करना। उपयोगकर्ता द्वारा चुने गए पासवर्ड की शक्ति का अनुमान स्वचालित प्रोग्राम द्वारा लगाया जा सकता है जो पासवर्ड सेट या बदलते समय प्रस्तावित पासवर्ड का निरीक्षण और मूल्यांकन करते हैं।
* प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, एक समझौता किए गए पासवर्ड का सुझाव दे रहा है।
* प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, एक समझौता किए गए पासवर्ड का सुझाव दे रहा है।
* उपयोगकर्ताओं को एक स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। हालाँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के आसानी से अनुमान लगाए गए या शोध किए गए उत्तर एक मजबूत पासवर्ड सिस्टम के लाभों को दरकिनार कर देते हैं।
* उपयोगकर्ताओं को एक स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। चूँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के सरली से अनुमान लगाए गए या शोध किए गए उत्तर एक कठोर पासवर्ड प्रणाली के लाभों को दरकिनार कर देते हैं।
* यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम एक विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की पेशकश करता है।
* यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम एक विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की पेशकश करता है।


=== मेमोरी तकनीक ===
=== मेमोरी तकनीक ===


पासवर्ड नीतियाँ कभी-कभी पासवर्ड याद रखने में सहायता के लिए स्मृति सुधारों का सुझाव देती हैं:
पासवर्ड नीतियाँ कभी-कभी पासवर्ड याद रखने में सहायता के लिए स्मृति संशोधनों का सुझाव देती हैं:
* स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या ज्यादा यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत आसान होते हैं। उदाहरण के लिए, एक यादगार वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड ताकत लगभग 3.7 बिट प्रति वर्ण है।<ref>{{cite conference |url=https://www.internetsociety.org/sites/default/files/ndss2017_03A-4_Kiesel_paper.pdf |title=स्मरक पासवर्ड सलाह का एक बड़े पैमाने पर विश्लेषण|author=Johannes Kiesel |author2=Benno Stein |author3=Stefan Lucks |year=2017 |publisher=Internet Society |book-title=Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17) |url-status=dead |archive-url=https://web.archive.org/web/20170330174637/https://www.internetsociety.org/sites/default/files/ndss2017_03A-4_Kiesel_paper.pdf |archive-date=2017-03-30 |access-date=2017-03-30 }}</ref> मूर्ख लोग संभवतः अधिक यादगार होते हैं।<ref>[http://uc.iupui.edu/uploadedFiles/Learning_Center_Site/Mnemonic%20Devices.pdf ''Mnemonic Devices'' (Indianapolis, Ind.: Bepko Learning Ctr., University College)], as accessed January 19, 2010 {{webarchive |url=https://web.archive.org/web/20100610000727/http://uc.iupui.edu/uploadedFiles/Learning_Center_Site/Mnemonic%20Devices.pdf |date=June 10, 2010 }}</ref> बेतरतीब ढंग से दिखने वाले पासवर्ड को और अधिक यादगार बनाने का एक और तरीका है बेतरतीब ढंग से चुने गए अक्षरों के बजाय यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
* स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या ज्यादा यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत सरल होते हैं। उदाहरण के लिए, एक यादगार वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड शक्ति लगभग 3.7 बिट प्रति वर्ण है।<ref>{{cite conference |url=https://www.internetsociety.org/sites/default/files/ndss2017_03A-4_Kiesel_paper.pdf |title=स्मरक पासवर्ड सलाह का एक बड़े पैमाने पर विश्लेषण|author=Johannes Kiesel |author2=Benno Stein |author3=Stefan Lucks |year=2017 |publisher=Internet Society |book-title=Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17) |url-status=dead |archive-url=https://web.archive.org/web/20170330174637/https://www.internetsociety.org/sites/default/files/ndss2017_03A-4_Kiesel_paper.pdf |archive-date=2017-03-30 |access-date=2017-03-30 }}</ref> मूर्ख लोग संभवतः अधिक यादगार होते हैं।<ref>[http://uc.iupui.edu/uploadedFiles/Learning_Center_Site/Mnemonic%20Devices.pdf ''Mnemonic Devices'' (Indianapolis, Ind.: Bepko Learning Ctr., University College)], as accessed January 19, 2010 {{webarchive |url=https://web.archive.org/web/20100610000727/http://uc.iupui.edu/uploadedFiles/Learning_Center_Site/Mnemonic%20Devices.pdf |date=June 10, 2010 }}</ref> विचित्र ढंग से दिखने वाले पासवर्ड को और अधिक यादगार बनाने का एक और तरीका है विचित्र ढंग से चुने गए अक्षरों के अतिरिक्त यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
* आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, एक मेमोनिक का आविष्कार करें जो फिट बैठता है।<ref>[http://changingminds.org/techniques/memory/remembering_passwords.htm Remembering Passwords (ChangingMinds.org)] {{webarchive|url=http://archive.wikiwix.com/cache/20100121181700/http://changingminds.org/techniques/memory/remembering_passwords.htm |date=2010-01-21 }}, as accessed January 19, 2010</ref> यह उचित या समझदार नहीं होना चाहिए, केवल यादगार होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
* आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, एक मेमोनिक का आविष्कार करें जो फिट बैठता है।<ref>[http://changingminds.org/techniques/memory/remembering_passwords.htm Remembering Passwords (ChangingMinds.org)] {{webarchive|url=http://archive.wikiwix.com/cache/20100121181700/http://changingminds.org/techniques/memory/remembering_passwords.htm |date=2010-01-21 }}, as accessed January 19, 2010</ref> यह उचित या समझदार नहीं होना चाहिए, केवल यादगार होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
* पासवर्ड का दृश्य प्रतिनिधित्व: एक पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदा। एक अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर एक समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है;<ref name=":10">{{cite journal | last1 = Cipresso | first1 = P | last2 = Gaggioli | first2 = A | last3 = Serino | first3 = S | last4 = Cipresso | first4 = S | last5 = Riva | first5 = G | year = 2012 | title = यादगार और मजबूत पासवर्ड कैसे बनाएं| journal = J Med Internet Res | volume = 14 | issue = 1| page = e10 | doi = 10.2196/jmir.1906 | pmid = 22233980 | pmc=3846346}}</ref> इसके अलावा, ऐसे स्थानिक पैटर्न वाले पासवर्ड में सुधार किया जा सकता है।<ref>{{cite journal | pmc = 3742392 | pmid=23942458 | doi=10.2196/jmir.2366 | volume=15 | issue=8 | title=सुरक्षा विश्लेषण और साइकोपास पद्धति में सुधार।| year=2013 | journal=J Med Internet Res | page=e161 | last1 = Brumen | first1 = B | last2 = Heričko | first2 = M | last3 = Rozman | first3 = I | last4 = Hölbl | first4 = M}}</ref><ref>{{cite web|url=https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/|title=zxcvbn: realistic password strength estimation|website=Dropbox Tech Blog|url-status=live|archive-url=https://web.archive.org/web/20150405131234/https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/|archive-date=2015-04-05}}</ref>
* पासवर्ड का दृश्य प्रतिनिधित्व: एक पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदा। एक अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर एक समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है;<ref name=":10">{{cite journal | last1 = Cipresso | first1 = P | last2 = Gaggioli | first2 = A | last3 = Serino | first3 = S | last4 = Cipresso | first4 = S | last5 = Riva | first5 = G | year = 2012 | title = यादगार और मजबूत पासवर्ड कैसे बनाएं| journal = J Med Internet Res | volume = 14 | issue = 1| page = e10 | doi = 10.2196/jmir.1906 | pmid = 22233980 | pmc=3846346}}</ref> इसके अतिरिक्त, ऐसे स्थानिक पैटर्न वाले पासवर्ड में संशोधन किया जा सकता है।<ref>{{cite journal | pmc = 3742392 | pmid=23942458 | doi=10.2196/jmir.2366 | volume=15 | issue=8 | title=सुरक्षा विश्लेषण और साइकोपास पद्धति में सुधार।| year=2013 | journal=J Med Internet Res | page=e161 | last1 = Brumen | first1 = B | last2 = Heričko | first2 = M | last3 = Rozman | first3 = I | last4 = Hölbl | first4 = M}}</ref><ref>{{cite web|url=https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/|title=zxcvbn: realistic password strength estimation|website=Dropbox Tech Blog|url-status=live|archive-url=https://web.archive.org/web/20150405131234/https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/|archive-date=2015-04-05}}</ref>
* पासवर्ड पैटर्न: पासवर्ड में कोई भी पैटर्न अनुमान लगाना (स्वचालित या नहीं) आसान बनाता है और हमलावर के कार्य कारक को कम करता है।
* पासवर्ड पैटर्न: पासवर्ड में कोई भी पैटर्न अनुमान लगाना (स्वचालित या नहीं) सरल बनाता है और हमलावर के कार्य कारक को कम करता है।
** उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक यादगार बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे [[ पशुबल का आक्रमण ]] पासवर्ड अटैक काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, [[यूनाइटेड किंगडम सरकार के विभाग]]ों के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।{{Citation needed|date=January 2012}}
** उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक यादगार बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे [[ पशुबल का आक्रमण ]] पासवर्ड अटैक काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, [[यूनाइटेड किंगडम सरकार के विभाग]]ों के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।{{Citation needed|date=January 2012}}


=== पासवर्ड की सुरक्षा ===
=== पासवर्ड की सुरक्षा ===
{{how-to|date=March 2013}}
{{how-to|date=March 2013}}
कंप्यूटर उपयोगकर्ताओं को आमतौर पर सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें।<ref>{{Cite news|url=https://www.telegraph.co.uk/finance/personalfinance/bank-accounts/12149022/Use-the-same-password-for-everything-Youre-fuelling-a-surge-in-current-account-fraud.html|title=Use the same password for everything? You're fuelling a surge in current account fraud|last=Morley|first=Katie|date=2016-02-10|work=Telegraph.co.uk|access-date=2017-05-22|language=en|url-status=live|archive-url=https://web.archive.org/web/20170513044756/http://www.telegraph.co.uk/finance/personalfinance/bank-accounts/12149022/Use-the-same-password-for-everything-Youre-fuelling-a-surge-in-current-account-fraud.html|archive-date=2017-05-13}}</ref> हालाँकि, एक सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अक्सर छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (यादगार) योजना के उपयोग को रोकती हैं, तो अक्सर परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे।
कंप्यूटर उपयोगकर्ताओं को सामान्यतः सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें।<ref>{{Cite news|url=https://www.telegraph.co.uk/finance/personalfinance/bank-accounts/12149022/Use-the-same-password-for-everything-Youre-fuelling-a-surge-in-current-account-fraud.html|title=Use the same password for everything? You're fuelling a surge in current account fraud|last=Morley|first=Katie|date=2016-02-10|work=Telegraph.co.uk|access-date=2017-05-22|language=en|url-status=live|archive-url=https://web.archive.org/web/20170513044756/http://www.telegraph.co.uk/finance/personalfinance/bank-accounts/12149022/Use-the-same-password-for-everything-Youre-fuelling-a-surge-in-current-account-fraud.html|archive-date=2017-05-13}}</ref> चूँकि, एक सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अधिकांशतः छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (यादगार) योजना के उपयोग को रोकती हैं, तो अधिकांशतः परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे।
2005 के एक सुरक्षा सम्मेलन में एक [[Microsoft]] विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा दावा है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ।<ref>[http://www.cnet.com/news/microsoft-security-guru-jot-down-your-passwords/ Microsoft security guru: Jot down your passwords] {{webarchive|url=https://web.archive.org/web/20160205211730/http://www.cnet.com/news/microsoft-security-guru-jot-down-your-passwords/ |date=2016-02-05 }}, ''c\net'' Retrieved on 2016-02-02</ref>
 
सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से [[ कूटलेखन ]] किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें।<ref>Simple methods (e.g., [[Rot13|ROT13]] and [[Cipher#Historical ciphers|some other old ciphers]]) may suffice; for more sophisticated hand-methods see [http://www.schneier.com/solitaire.html Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2)] {{webarchive|url=https://web.archive.org/web/20151113061059/https://www.schneier.com/solitaire.html |date=November 13, 2015 }}, as accessed January 19, 2010, and [http://mercury.pr.erau.edu/%7Esiewerts/extra/papers/IBM-Out-of-print/big-iron-5.pdf Sam Siewert, ''Big Iron Lessons, Part 5: Introduction to Cryptography, From Egypt Through Enigma'' (IBM, July 26, 2005)] {{webarchive|url=https://web.archive.org/web/20100803202847/http://www.ibm.com/developerworks/power/library/pa-bigiron5/ |date=August 3, 2010 }}, as accessed January 19, 2010.</ref> यहां तक ​​कि एक बेहतर तरीका यह है कि आमतौर पर उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ एक कमजोर पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें।<ref>{{Cite web|title=Safer Password For Web, Email And Desktop/Mobile Apps|url=https://bizpages.org/en/safer-password|access-date=2020-09-14|website=bizpages.org}}</ref>
2005 के एक सुरक्षा सम्मेलन में एक [[Microsoft|माइक्रोसॉफ्ट]] विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा प्रमाण है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ।<ref>[http://www.cnet.com/news/microsoft-security-guru-jot-down-your-passwords/ Microsoft security guru: Jot down your passwords] {{webarchive|url=https://web.archive.org/web/20160205211730/http://www.cnet.com/news/microsoft-security-guru-jot-down-your-passwords/ |date=2016-02-05 }}, ''c\net'' Retrieved on 2016-02-02</ref>
 
सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से [[ कूटलेखन | कूटलेखन]] किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें।<ref>Simple methods (e.g., [[Rot13|ROT13]] and [[Cipher#Historical ciphers|some other old ciphers]]) may suffice; for more sophisticated hand-methods see [http://www.schneier.com/solitaire.html Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2)] {{webarchive|url=https://web.archive.org/web/20151113061059/https://www.schneier.com/solitaire.html |date=November 13, 2015 }}, as accessed January 19, 2010, and [http://mercury.pr.erau.edu/%7Esiewerts/extra/papers/IBM-Out-of-print/big-iron-5.pdf Sam Siewert, ''Big Iron Lessons, Part 5: Introduction to Cryptography, From Egypt Through Enigma'' (IBM, July 26, 2005)] {{webarchive|url=https://web.archive.org/web/20100803202847/http://www.ibm.com/developerworks/power/library/pa-bigiron5/ |date=August 3, 2010 }}, as accessed January 19, 2010.</ref> यहां तक ​​कि एक बेहतर तरीका यह है कि सामान्यतः उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ एक अशक्त पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें।<ref>{{Cite web|title=Safer Password For Web, Email And Desktop/Mobile Apps|url=https://bizpages.org/en/safer-password|access-date=2020-09-14|website=bizpages.org}}</ref>
 
मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए एक नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ एक मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के PwdHash द्वारा इस दृष्टिकोण का उपयोग किया जाता है,<ref>{{cite conference |url=http://crypto.stanford.edu/PwdHash/pwdhash.pdf |title=ब्राउज़र एक्सटेंशन का उपयोग कर मजबूत पासवर्ड प्रमाणीकरण|author=Blake Ross |author2=Collin Jackson |author3=Nicholas Miyake |author4=Dan Boneh |author5=John C. Mitchell |year=2005 |publisher=USENIX |book-title=Proceedings of the 14th Usenix Security Symposium |pages=17–32 |url-status=live |archive-url=http://archive.wikiwix.com/cache/20120429031741/http://crypto.stanford.edu/PwdHash/pwdhash.pdf |archive-date=2012-04-29 }}</ref> प्रिंसटन का पासवर्ड गुणक,<ref>{{cite conference |url=http://www.cs.utexas.edu/~bwaters/publications/papers/www2005.pdf |title=पासवर्ड सुरक्षित रूप से प्रबंधित करने के लिए एक सुविधाजनक तरीका|author=J. Alex Halderman |author2=Brent Waters |author3=Edward W. Felten |year=2005 |publisher=ACM |pages=1–9 |url-status=live |archive-url=https://web.archive.org/web/20160115062049/http://www.cs.utexas.edu/~bwaters/publications/papers/www2005.pdf |archive-date=2016-01-15 |author-link=J. Alex Halderman }}</ref> और अन्य स्टेटलेस पासवर्ड प्रबंधक। इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।
मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए एक नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ एक मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के PwdHash द्वारा इस दृष्टिकोण का उपयोग किया जाता है,<ref>{{cite conference |url=http://crypto.stanford.edu/PwdHash/pwdhash.pdf |title=ब्राउज़र एक्सटेंशन का उपयोग कर मजबूत पासवर्ड प्रमाणीकरण|author=Blake Ross |author2=Collin Jackson |author3=Nicholas Miyake |author4=Dan Boneh |author5=John C. Mitchell |year=2005 |publisher=USENIX |book-title=Proceedings of the 14th Usenix Security Symposium |pages=17–32 |url-status=live |archive-url=http://archive.wikiwix.com/cache/20120429031741/http://crypto.stanford.edu/PwdHash/pwdhash.pdf |archive-date=2012-04-29 }}</ref> प्रिंसटन का पासवर्ड गुणक,<ref>{{cite conference |url=http://www.cs.utexas.edu/~bwaters/publications/papers/www2005.pdf |title=पासवर्ड सुरक्षित रूप से प्रबंधित करने के लिए एक सुविधाजनक तरीका|author=J. Alex Halderman |author2=Brent Waters |author3=Edward W. Felten |year=2005 |publisher=ACM |pages=1–9 |url-status=live |archive-url=https://web.archive.org/web/20160115062049/http://www.cs.utexas.edu/~bwaters/publications/papers/www2005.pdf |archive-date=2016-01-15 |author-link=J. Alex Halderman }}</ref> और अन्य स्टेटलेस पासवर्ड प्रबंधक। इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।


== पासवर्ड प्रबंधक ==
== पासवर्ड प्रबंधक ==
{{Main|Password manager}}
{{Main|पासवर्ड प्रबंधक}}
बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग सिस्टम में निर्मित प्रबंधक शामिल हैं। एक पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल एक पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की जरूरत नहीं है, यह एकल पासवर्ड मजबूत और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित [[ यादृच्छिक पासवर्ड जनरेटर ]] का उपयोग करके स्वचालित रूप से मजबूत पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। एक अच्छा पासवर्ड मैनेजर [[कुंजी लॉगिंग]], क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे हमलों के खिलाफ प्रतिरोध प्रदान करेगा।
 
बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग प्रणाली में निर्मित प्रबंधक सम्मिलित हैं। एक पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल एक पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की जरूरत नहीं है, यह एकल पासवर्ड कठोर और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित [[ यादृच्छिक पासवर्ड जनरेटर ]] का उपयोग करके स्वचालित रूप से कठोर पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। एक अच्छा पासवर्ड मैनेजर [[कुंजी लॉगिंग]], क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे आक्रमणों के विरुद्ध प्रतिरोध प्रदान करेगा।


== यह भी देखें ==
== यह भी देखें ==

Revision as of 01:09, 20 May 2023

कीपास में यादृच्छिक पासवर्ड पीढ़ी टूल का विकल्प मेनू। अधिक कैरेक्टर सबसेट को सक्षम करने से जनरेट किए गए पासवर्ड की शक्ति थोड़ी मात्रा में बढ़ जाती है, जबकि उनकी लंबाई बढ़ने से शक्ति बड़ी मात्रा में बढ़ जाती है।

पासवर्ड की शक्ति अनुमान लगाने या क्रूर-बल के आक्रमणों के विरुद्ध पासवर्ड की प्रभावशीलता का एक उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि एक हमलावर जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की शक्ति लंबाई, जटिलता और अप्रत्याशितता का एक कार्य है।[1]

कठोर पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र संकट को कम करता है, लेकिन कठोर पासवर्ड अन्य प्रभावी सुरक्षा नियंत्रणों की आवश्यकता को प्रतिस्थापित नहीं करते हैं।[2] किसी दिए गए शक्ति के पासवर्ड की प्रभावशीलता प्रमाणीकरण कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।

दर जिस पर एक हमलावर प्रणाली को अनुमानित पासवर्ड जमा कर सकता है, प्रणाली सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य अशक्तियों के अभाव में, ऐसी प्रणाली को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। चूँकि, प्रणाली को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो प्रणाली सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड संकट में हो सकते हैं।

2019 में, यूनाइटेड किंगडम के राष्ट्रीय साइबर सुरक्षा केंद्र (यूनाइटेड किंगडम) ने उल्लंघन किए गए खातों के सार्वजनिक डेटाबेस का विश्लेषण किया, यह देखने के लिए कि लोग किन शब्दों, वाक्यांशों और स्ट्रिंग्स का उपयोग करते हैं। सूची में सबसे लोकप्रिय पासवर्ड 123456 था, जो 23 मिलियन से अधिक पासवर्ड में दिखाई दे रहा था। दूसरी सबसे लोकप्रिय स्ट्रिंग, 123456789, को क्रैक करना ज्यादा मुश्किल नहीं था, जबकि शीर्ष पांच में Qwerty , पासवर्ड और 1111111 सम्मिलित थे।[3]


पासवर्ड निर्माण

पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाली स्थिति अधिक सामान्य है। जबकि एक क्रूर-बल आक्रमण के विरुद्ध विचित्र ढंग से चुने गए पासवर्ड की शक्ति की गणना स्पष्ट रूप से की जा सकती है, मानव-जनित पासवर्ड की शक्ति का निर्धारण करना मुश्किल है।

कंप्यूटर प्रणाली या इंटरनेट वेबसाइट के लिए एक नया खाता बनाते समय सामान्यतः, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के एक सेट द्वारा प्रतिबंधित किया जाता है। शक्ति का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न सामान्यतः एक हमलावर की सहायता कर सकते हैं।[4] इसके अतिरिक्त, सामान्यतः चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश सम्मिलित हैं, जिनका उल्लंघन किया गया है[clarification needed] अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से सादे पाठ और क्रिप्टोग्राफिक_हैश_फंक्शन पासवर्ड के डेटाबेस। ऐसी सूचियों में सभी आइटम अशक्त माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।

चूँकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना सरल है, वे सामान्यतः यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अधिकांशतः लोग अपना स्वयं का चयन करना पसंद करते हैं। चूँकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण सामान्यतः पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन सामाजिक मीडिया के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत सरल बना दिया है।

पासवर्ड अनुमान सत्यापन

प्रणाली जो प्रमाणीकरण के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए दर्ज किए गए किसी भी पासवर्ड की जांच करने की कोई विधि होनी चाहिए। यदि मान्य पासवर्ड केवल एक प्रणाली फ़ाइल या डेटाबेस में संग्रहीत हैं, तो एक हमलावर जो प्रणाली तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे हमलावर को आक्रमण वाली प्रणाली पर सभी खातों और संभावित रूप से अन्य प्रणालीों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस संकट को कम करने का एक तरीका यह है कि पासवर्ड के अतिरिक्त प्रत्येक पासवर्ड का केवल एक क्रिप्टोग्राफिक हैश स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (SHA) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए एक हमलावर जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। चूँकि, हैश मान का ज्ञान हमलावर को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। पासवर्ड क्रैकिंग प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।

कंप्यूटिंग प्रौद्योगिकी में संशोधन उस दर को बढ़ाता रहता है जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, जॉर्जिया टेक रिसर्च इंस्टीट्यूट ने बहुत तेजी से पासवर्ड क्रैक करने के लिए जीपीजीपीयू का उपयोग करने की एक विधि विकसित की।[5] Elcomsoft ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और जल्द ही अमेरिका में एक संबंधित पेटेंट दायर किया।[6] 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए एक उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करके एक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता को प्रमाण करते थे।[7] इस तरह की डिवाइस एक दिन में छह-अक्षर वाले एकल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। चूँकि कुंजी खींचना का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।

एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब क्रिप्टोग्राफ़िक कुंजी बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे स्थितियों में, एक हमलावर जल्दी से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं करता है। उदाहरण के लिए, एक वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का प्रमाण करता है।[8]

यदि कोई पासवर्ड प्रणाली केवल पासवर्ड के हैश को संग्रहीत करता है, तो एक हमलावर सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और एक निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तेजी से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। आक्रमण के इस तरीके को हैश के साथ एक यादृच्छिक मूल्य, जिसे क्रिप्टोग्राफिक नमक कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले एक हमलावर को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, आम उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।

पासवर्ड शक्ति के माप के रूप में एंट्रॉपी

कंप्यूटर उद्योग में सूचना एन्ट्रापी के संदर्भ में पासवर्ड की शक्ति निर्दिष्ट करना सामान्य है, जिसे अंश ्स में मापा जाता है और सूचना सिद्धांत से एक अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के अतिरिक्त, उस संख्या का बाइनरी लघुगणक | आधार -2 लघुगणक दिया जाता है, जिसे सामान्यतः पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, चूँकि यह बिल्कुल समान नहीं है सूचना एन्ट्रापी के रूप में मात्रा।[9] इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की एक स्ट्रिंग के रूप में कठोर होगा, उदाहरण के लिए एक उचित सिक्का टॉस द्वारा। दूसरा तरीका रखो, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 2 की आवश्यकता होगी42 (4,398,046,511,104) एक क्रूर बल खोज के दौरान सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को एक बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे हमलावर का कार्य दोगुना कठिन हो जाता है। औसतन, एक हमलावर को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।[4]


रैंडम पासवर्ड

रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की एक स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक एक वर्ण सेट (जैसे, ASCII वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार एक पदबंध बनाते हैं)।

यादृच्छिक पासवर्ड की शक्ति अंतर्निहित संख्या जनरेटर की वास्तविक एन्ट्रॉपी पर निर्भर करती है; चूँकि, ये अधिकांशतः वास्तव में यादृच्छिक नहीं होते हैं, लेकिन छद्म यादृच्छिक होते हैं। कई सार्वजनिक रूप से उपलब्ध पासवर्ड जनरेटर प्रोग्रामिंग पुस्तकालयों में पाए जाने वाले यादृच्छिक संख्या जनरेटर का उपयोग करते हैं जो सीमित एन्ट्रॉपी प्रदान करते हैं। चूँकि अधिकांश आधुनिक ऑपरेटिंग प्रणाली क्रिप्टोग्राफ़िक रूप से कठोर यादृच्छिक संख्या जनरेटर प्रदान करते हैं जो पासवर्ड जनरेशन के लिए उपयुक्त हैं। यादृच्छिक पासवर्ड उत्पन्न करने के लिए साधारण पासा का उपयोग करना भी संभव है। रैंडम पासवर्ड जनरेटर#कठोर तरीके देखें। रैंडम पासवर्ड प्रोग्राम में अधिकांशतः यह सुनिश्चित करने की क्षमता होती है कि परिणामी पासवर्ड स्थानीय पासवर्ड नीति का अनुपालन करता है; उदाहरण के लिए, हमेशा अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण बनाकर।

एक प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो एन संभावित प्रतीकों के एक सेट से यादृच्छिक रूप से लंबाई के प्रतीकों की एक स्ट्रिंग का चयन करता है, एल, संभव पासवर्ड की संख्या को प्रतीकों की संख्या बढ़ाकर एल, यानी एनएल</सुप>. L या N को बढ़ाने से उत्पन्न पासवर्ड कठोर होगा। सूचना एन्ट्रापी द्वारा मापी गई एक यादृच्छिक पासवर्ड की शक्ति सिर्फ द्विआधारी लघुगणक है। आधार -2 लघुगणक या लॉग2 संभावित पासवर्डों की संख्या, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार एक यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:

जहाँ N संभव प्रतीकों की संख्या है और L पासवर्ड में प्रतीकों की संख्या है। H को बिट्स में मापा जाता है।[4][10] अंतिम व्यंजक में, log किसी भी आधार (घातांक) का हो सकता है।

विभिन्न प्रतीक सेटों के लिए प्रति प्रतीक एंट्रॉपी
Symbol set Symbol count
N
Entropy per symbol
H
Arabic numerals (0–9) (e.g. PIN) 10 3.322 bits
Hexadecimal numerals (0–9, A–F) (e.g. WEP keys) 16 4.000 bits
Case insensitive Latin alphabet (a–z or A–Z) 26 4.700 bits
Case insensitive alphanumeric (a–z or A–Z, 0–9) 36 5.170 bits
Case sensitive Latin alphabet (a–z, A–Z) 52 5.700 bits
Case sensitive alphanumeric (a–z, A–Z, 0–9) 62 5.954 bits
All ASCII printable characters except space 94 6.555 bits
All Latin-1 Supplement characters 94 6.555 bits
All ASCII printable characters 95 6.570 bits
All extended ASCII printable characters 218 7.768 bits
Binary (0–255 or 8 bits or 1 byte) 256 8.000 bits
Diceware word list 7776 12.925 bits per word

एक बाइनरी संख्या बाइट सामान्यतः दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।

लंबाई खोजने के लिए, एल, वांछित शक्ति एच प्राप्त करने के लिए आवश्यक है, एन प्रतीकों के एक सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, एक गणना करता है:

कहाँ अगली सबसे बड़ी प्राकृतिक संख्या तक राउंडिंग को दर्शाता है।

निम्न तालिका सामान्य प्रतीक सेटों के लिए वांछित पासवर्ड एंट्रॉपी प्राप्त करने के लिए वास्तव में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की आवश्यक लंबाई दिखाने के लिए इस सूत्र का उपयोग करती है:

N प्रतीकों वाले प्रतीक सेट के लिए वांछित पासवर्ड एंट्रॉपी H प्राप्त करने के लिए आवश्यक यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की लंबाई L
वांछित पासवर्ड

एंट्रॉपी H

अरबी

अंकों

हेक्साडेसिमल असंवेदनशील स्थिति संवेदनशील स्थिति All ASCII All Extended
ASCII
Diceware
word list
Latin
alphabet
alpha-
numeric
लैटिन

वर्णमाला

alpha-
numeric
printable characters
8 bits (1 byte) 3 2 2 2 2 2 2 2 1 word
32 bits (4 bytes) 10 8 7 7 6 6 5 5 3 words
40 bits (5 bytes) 13 10 9 8 8 7 7 6 4 words
64 bits (8 bytes) 20 16 14 13 12 11 10 9 5 words
80 bits (10 bytes) 25 20 18 16 15 14 13 11 7 words
96 bits (12 bytes) 29 24 21 19 17 17 15 13 8 words
128 bits (16 bytes) 39 32 28 25 23 22 20 17 10 words
160 bits (20 bytes) 49 40 35 31 29 27 25 21 13 words
192 bits (24 bytes) 58 48 41 38 34 33 30 25 15 words
224 bits (28 bytes) 68 56 48 44 40 38 35 29 18 words
256 bits (32 bytes) 78 64 55 50 45 43 39 33 20 words


मानव जनित पासवर्ड

संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को सम्मिलित करने वाले एक अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था।[11] इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के एक विश्लेषण में, अक्षर e का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर f का उपयोग केवल 250,000 बार किया गया था। एक समान वितरण (असतत) में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।[12]

उपयोगकर्ता पासवर्ड बनाने में शायद ही कभी बड़े वर्ण सेट का पूर्ण उपयोग करते हैं। उदाहरण के लिए, 2006 में माइस्पेस फ़िशिंग योजना से प्राप्त हैकिंग परिणामों से 34,000 पासवर्ड का पता चला, जिनमें से केवल 8.3% ने मिश्रित केस, संख्याओं और प्रतीकों का उपयोग किया।[13] संपूर्ण ASCII वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी शक्ति केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, शायद ऊपरी और निचले मामले के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में एक पैटर्न है और हमलावर के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की उम्मीद की जा सकती है। यह पासवर्ड की शक्ति में कमी है। एक बेहतर आवश्यकता एक पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न सम्मिलित न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य तरीकों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और एक विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि मामूली है।

एनआईएसटी विशेष प्रकाशन 800-63-2

जून 2004 का एनआईएसटी विशेष प्रकाशन 800-63 (संशोधन दो) ने मानव जनित पासवर्डों की एंट्रॉपी को अनुमानित करने के लिए एक योजना का सुझाव दिया:[4] इस योजना का उपयोग करते हुए, एक आठ-वर्ण मानव-चयनित पासवर्ड बिना अपरकेस वर्णों और गैर-अल्फाबेटिक वर्णों के साथ या दो वर्ण सेटों में से किसी एक के साथ एंट्रॉपी के अठारह बिट होने का अनुमान है। NIST प्रकाशन स्वीकार करता है कि विकास के समय, पासवर्ड के वास्तविक विश्व चयन पर बहुत कम जानकारी उपलब्ध थी। बाद में नए उपलब्ध वास्तविक विश्व डेटा का उपयोग करके मानव-चयनित पासवर्ड एन्ट्रॉपी में शोध ने प्रदर्शित किया है कि एनआईएसटी योजना मानव-चयनित पासवर्ड के एंट्रॉपी अनुमान के लिए वैध मीट्रिक प्रदान नहीं करती है।[14] एसपी 800-63 (संशोधन तीन) का जून 2017 संशोधन इस दृष्टिकोण को छोड़ देता है।[15]


प्रयोज्यता और कार्यान्वयन विचार

क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 ASCII प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है। यह एक अंतरराष्ट्रीय यात्री के लिए एक समस्या पेश कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट प्रणाली में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि टैबलेट कंप्यूटर और स्मार्टफोन , विशेष वर्णों को दर्ज करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।

प्रमाणीकरण कार्यक्रम अलग-अलग होते हैं जिनमें वे पासवर्ड में वर्णों की अनुमति देते हैं। कुछ मामले के अंतर को नहीं पहचानते हैं (उदाहरण के लिए, अपर-केस ई को लोअर-केस ई के बराबर माना जाता है), अन्य कुछ अन्य प्रतीकों को प्रतिबंधित करते हैं। पिछले कुछ दशकों में, प्रणाली ने पासवर्ड में अधिक वर्णों की अनुमति दी है, लेकिन सीमाएँ अभी भी मौजूद हैं। अनुमत पासवर्ड की अधिकतम लंबाई में प्रणाली भी भिन्न होते हैं।

एक व्यावहारिक मामले के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त कठोर होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत मुश्किल है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा संकट मानते हैं।[16] इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए मजबूर करना केवल अशक्त पासवर्ड को समायोजित कर सकता है, और इस प्रकार एक बड़ा सुरक्षा संकट पैदा करता है। ब्रूस श्नेयर के अनुसार, ज्यादातर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए एक बेहतरीन जगह है।[17]


एंट्रॉपी के आवश्यक बिट्स

पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए खतरे के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। RFC 4086, सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण खतरे के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें।[18] यदि केवल ऑनलाइन आक्रमणों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। लागू नहीं है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित एक 12-वर्ण यादृच्छिक पासवर्ड की सिफारिश की गई थी, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में।[5][19] ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन आक्रमणों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक अंश भी बढ़ने चाहिए।

ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, EFF DES क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट डेटा एन्क्रिप्शन मानक एन्क्रिप्शन को तोड़ दिया।[20] 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया।[21] 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे।[22] मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई उम्मीद नहीं है कि कोई भी डिजिटल कम्प्यूटर (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स अटैक के माध्यम से तोड़ने में सक्षम होगा।[23] क्वांटम कंप्यूटर व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, चूँकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।[24]


कठोर पासवर्ड के लिए दिशानिर्देश

सामान्य दिशानिर्देश

अच्छे पासवर्ड चुनने के दिशानिर्देश सामान्यतः बुद्धिमान अनुमान लगाकर पासवर्ड खोजने के लिए कठिन बनाने के लिए डिज़ाइन किए जाते हैं। सॉफ्टवेयर प्रणाली सुरक्षा के समर्थकों द्वारा समर्थित सामान्य दिशानिर्देशों में सम्मिलित हैं:[25][26][27][28][29]

  • 8 की न्यूनतम पासवर्ड लंबाई पर विचार करें[30] एक सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और सरली से याद रखने वाले पासवर्ड की सलाह देते हैं।[31][32] * जहाँ संभव हो, विचित्र ढंग से पासवर्ड उत्पन्न करें।
  • एक ही पासवर्ड का दो बार उपयोग करने से बचें (उदाहरण के लिए कई उपयोगकर्ता खातों और/या सॉफ़्टवेयर प्रणाली में)।
  • चरित्र दोहराव, कीबोर्ड पैटर्न, शब्दकोश शब्द, अक्षर या संख्या क्रम से बचें।
  • ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता या खाते से सार्वजनिक रूप से जुड़ी हो या हो सकती है, जैसे कि उपयोगकर्ता का नाम, पूर्वजों के नाम या दिनांक।
  • ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता के सहकर्मियों और/या परिचितों को उपयोगकर्ता से संबद्ध होने के बारे में पता हो, जैसे रिश्तेदारों या पालतू जानवरों के नाम, रोमांटिक लिंक (वर्तमान या अतीत) और जीवनी संबंधी जानकारी (जैसे आईडी नंबर, पूर्वजों के नाम या दिनांक) .
  • ऐसे पासवर्ड का उपयोग न करें जो उपरोक्त अशक्त घटकों के किसी भी सरल संयोजन से पूरी तरह से बने हों।

पासवर्ड में लोअरकेस, अपरकेस अक्षर वर्णों, संख्याओं और प्रतीकों को बाध्य करना सामान्य नीति थी, लेकिन वास्तव में इसे क्रैक करना सरल बनाकर सुरक्षा को कम करना पाया गया है। शोध से पता चला है कि ऐसे प्रतीकों का सामान्य उपयोग कितना अनुमानित है, और यू.एस.[33] यूके[34] सरकारी साइबर सुरक्षा विभाग उन्हें पासवर्ड नीति में सम्मिलित करने के लिए बाध्य नहीं करने की सलाह देते हैं। जटिल प्रतीक भी पासवर्ड को याद रखना अधिक कठिन बनाते हैं, जो लिखने को बढ़ाता है, पासवर्ड रीसेट करता है और पासवर्ड का पुन: उपयोग करता है - ये सभी पासवर्ड सुरक्षा में संशोधन करने के अतिरिक्त कम करते हैं। पासवर्ड जटिलता नियमों के मूल लेखक, बिल बूर ने माफी मांगी है और स्वीकार किया है कि वे वास्तव में सुरक्षा को कम करते हैं, जैसा कि शोध में पाया गया है; यह 2017 में मीडिया में व्यापक रूप से रिपोर्ट किया गया था।[35] ऑनलाइन सुरक्षा शोधकर्ता[36] और सलाहकार भी परिवर्तन के समर्थक हैं[37] पासवर्ड पर सर्वोत्तम अभ्यास सलाह में।

कुछ दिशानिर्देश पासवर्ड लिखने के विरुद्ध सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित प्रणाली को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को एक सुरक्षित स्थान पर रखा जाता है, मॉनिटर या अनलॉक में संलग्न नहीं होता है डेस्क दराज।[38] एनसीएससी द्वारा पासवर्ड प्रबंधक के उपयोग की सिफारिश की जाती है।[39] पासवर्ड के लिए निर्धारित संभावित कैरेक्टर को अलग-अलग वेब साइट्स या कीबोर्ड की उस रेंज द्वारा सीमित किया जा सकता है, जिस पर पासवर्ड दर्ज किया जाना चाहिए।[40]


अशक्त पासवर्ड के उदाहरण

जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में अशक्त हैं। उदाहरण के लिए, एक शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच शक्ति में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - एक सामान्य दृष्टिकोण) एक पासवर्ड क्रैकिंग डिवाइस को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी शक्ति जोड़ता है। नीचे दिए गए उदाहरण अशक्त पासवर्ड बनाने के विभिन्न तरीकों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।[12]

  • डिफ़ॉल्ट पासवर्ड (जैसा कि प्रणाली विक्रेता द्वारा प्रदान किया गया है और स्थापना के समय बदला जाना है): पासवर्ड, डिफ़ॉल्ट, व्यवस्थापक, अतिथि, आदि। डिफ़ॉल्ट पासवर्ड की सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।
  • शब्दकोश शब्द: गिरगिट, रेडसॉक्स, सैंडबैग, बनीहॉप !, इंटेंस क्रैबट्री, आदि, गैर-अंग्रेजी शब्दकोशों में शब्दों सहित।
  • संलग्न संख्या वाले शब्द: पासवर्ड 1, डीयर 2000, जॉन 1234, आदि, थोड़े समय के साथ स्वचालित रूप से सरली से परीक्षण किए जा सकते हैं।
  • सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, DigiNotar आक्रमण में समझौता किया गया एक डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।[41]
  • दोगुने शब्द: क्रैक्रैब, स्टॉपस्टॉप, ट्रीट्री, पासपास, आदि।
  • एक कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
  • सुप्रसिद्ध संख्याओं जैसे 911 पर आधारित सांख्यिक अनुक्रम (9-1-1, 11 सितंबर का हमला|9/11), 314159... (अनुकरणीय आई), 27182... (ई (गणितीय स्थिरांक)), 112 (112 (आपातकालीन टेलीफोन नंबर)|1-1-2), आदि।
  • पहचानकर्ता: jsmith123, 1/1/1970, 555–1234, किसी का उपयोगकर्ता नाम, आदि।
  • गैर-अंग्रेज़ी भाषाओं में अशक्त पासवर्ड, जैसे कॉन्ट्रासेना (स्पेनिश) और ji32k7au4a83 (चीनी से बोपोमोफो कीबोर्ड एन्कोडिंग)[42]
  • व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की एक साधारण जांच के बाद सरली से स्वचालित रूप से परीक्षण किया जा सकता है।
  • तिथियां: तिथियां एक पैटर्न का पालन करती हैं और आपके पासवर्ड को अशक्त बनाती हैं।
  • प्रसिद्ध स्थानों के नाम: न्यूयॉर्क, टेक्सास, चीन, लंदन, आदि।
  • ब्रांडों, मशहूर हस्तियों, खेल टीमों, संगीत समूहों, टीवी शो, फिल्मों आदि के नाम।

पासवर्ड अशक्त होने के और भी कई तरीके हो सकते हैं,[43] विभिन्न आक्रमण योजनाओं की शक्ति के अनुरूप; मूल सिद्धांत यह है कि एक पासवर्ड में उच्च एन्ट्रापी (सामान्यतः यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा सरली से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अधिकांशतः एक रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे एक हैकर समझ सकता है और ऐसा करके एक पासवर्ड को बायपास कर सकता है। मुश्किल से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।[44]


पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार

Template:Outdated section दिसंबर, 2012 में, विलियम चेसविक ने एसीएम पत्रिका में प्रकाशित एक लेख लिखा था जिसमें सामान्यतः अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना सरल या कठिन होगा, इसकी गणितीय संभावनाएं सम्मिलित थीं। अपने लेख में, विलियम ने दिखाया कि एक मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के आक्रमण का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास एक मल्टी-कोर प्रणाली का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (यानी 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड एक सामान्य शब्द का उपयोग नहीं करता है कि एक शब्दकोश हमला बहुत जल्दी टूट सकता है। इस शक्ति के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे बदलने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।[45][46]


पासवर्ड नीति

पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए एक गाइड है। इसका इरादा है:

  • कठोर पासवर्ड चुनने में उपयोगकर्ताओं की सहायता करें
  • सुनिश्चित करें कि पासवर्ड लक्ष्य आबादी के अनुकूल हैं
  • उपयोगकर्ताओं को उनके पासवर्ड से निपटने के संबंध में सिफारिशें प्रदान करें
  • किसी भी पासवर्ड को बदलने की सिफारिश करें जो खो गया है या समझौता करने का संदेह है
  • अशक्त या सरली से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट (कंप्यूटिंग) # उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।

पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड सम्मिलित होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान द्वारा कम सुरक्षित के रूप में खारिज कर दिया गया है,[47] मूल प्रेरक द्वारा[48] इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा[49]) यूएसए का[50] और यूके।[51] लागू प्रतीकों के पासवर्ड जटिलता नियम पहले Google जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे[52] और फेसबुक,[53] लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा संकट है, और लागू जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में मदद करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। मजबूर जटिलता नियम भी समर्थन लागत, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।

पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे खारिज कर दिया गया है[35]सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने हटा दिया है[54] पासवर्ड समाप्ति सुविधा। पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी:[55]

  • अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय हमलावर के लिए अपर्याप्त समय सुनिश्चित करने में मदद कर सकता है।
  • यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से बदलने की आवश्यकता हमलावर के लिए एक्सेस समय को सीमित कर सकती है।

चूँकि, पासवर्ड समाप्ति की अपनी कमियाँ हैं:[56][57]

  • उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए कहना सरल, अशक्त पासवर्ड को प्रोत्साहित करता है।
  • अगर किसी के पास वास्तव में कठोर पासवर्ड है, तो उसे बदलने का कोई मतलब नहीं है। पहले से ही कठोर पासवर्ड बदलने से नया पासवर्ड कम कठोर होने का संकट होता है।
  • किसी हैकर द्वारा पिछले दरवाजे (कंप्यूटिंग) को स्थापित करने के लिए अधिकांशतः विशेषाधिकार वृद्धि के माध्यम से एक समझौता किए गए पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में हमलावर की पहुंच को नहीं रोकेंगे।
  • किसी के पासवर्ड को कभी न बदलने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड बदलने की ओर बढ़ने से क्रूर बल के आक्रमण में पासवर्ड का अनुमान लगाने से पहले हमलावर को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड बदलने की तुलना में केवल एक वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।

पासवर्ड बनाना और संभालना

किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के आक्रमणों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले आक्रमण (उच्च एन्ट्रापी के कारण)। चूँकि, ऐसे पासवर्ड सामान्यतः याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को लागू करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के विरुद्ध सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा संकट बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की उम्मीद है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने की सिफारिश की:

Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down. We're all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet.[38]

यदि सावधानी से उपयोग किया जाए तो निम्नलिखित उपायों से कठोर पासवर्ड आवश्यकताओं की स्वीकृति बढ़ सकती है:

  • एक प्रशिक्षण कार्यक्रम। साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)।
  • दर को कम करके, या पासवर्ड परिवर्तन (पासवर्ड समाप्ति) की आवश्यकता को पूरी तरह से समाप्त करके कठोर पासवर्ड उपयोगकर्ताओं को पुरस्कृत करना। उपयोगकर्ता द्वारा चुने गए पासवर्ड की शक्ति का अनुमान स्वचालित प्रोग्राम द्वारा लगाया जा सकता है जो पासवर्ड सेट या बदलते समय प्रस्तावित पासवर्ड का निरीक्षण और मूल्यांकन करते हैं।
  • प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, एक समझौता किए गए पासवर्ड का सुझाव दे रहा है।
  • उपयोगकर्ताओं को एक स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। चूँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के सरली से अनुमान लगाए गए या शोध किए गए उत्तर एक कठोर पासवर्ड प्रणाली के लाभों को दरकिनार कर देते हैं।
  • यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम एक विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की पेशकश करता है।

मेमोरी तकनीक

पासवर्ड नीतियाँ कभी-कभी पासवर्ड याद रखने में सहायता के लिए स्मृति संशोधनों का सुझाव देती हैं:

  • स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या ज्यादा यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत सरल होते हैं। उदाहरण के लिए, एक यादगार वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड शक्ति लगभग 3.7 बिट प्रति वर्ण है।[58] मूर्ख लोग संभवतः अधिक यादगार होते हैं।[59] विचित्र ढंग से दिखने वाले पासवर्ड को और अधिक यादगार बनाने का एक और तरीका है विचित्र ढंग से चुने गए अक्षरों के अतिरिक्त यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
  • आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, एक मेमोनिक का आविष्कार करें जो फिट बैठता है।[60] यह उचित या समझदार नहीं होना चाहिए, केवल यादगार होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
  • पासवर्ड का दृश्य प्रतिनिधित्व: एक पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदा। एक अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर एक समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है;[61] इसके अतिरिक्त, ऐसे स्थानिक पैटर्न वाले पासवर्ड में संशोधन किया जा सकता है।[62][63]
  • पासवर्ड पैटर्न: पासवर्ड में कोई भी पैटर्न अनुमान लगाना (स्वचालित या नहीं) सरल बनाता है और हमलावर के कार्य कारक को कम करता है।
    • उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक यादगार बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे पशुबल का आक्रमण पासवर्ड अटैक काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, यूनाइटेड किंगडम सरकार के विभागों के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।[citation needed]

पासवर्ड की सुरक्षा

कंप्यूटर उपयोगकर्ताओं को सामान्यतः सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें।[64] चूँकि, एक सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अधिकांशतः छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (यादगार) योजना के उपयोग को रोकती हैं, तो अधिकांशतः परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे।

2005 के एक सुरक्षा सम्मेलन में एक माइक्रोसॉफ्ट विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा प्रमाण है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ।[65]

सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से कूटलेखन किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें।[66] यहां तक ​​कि एक बेहतर तरीका यह है कि सामान्यतः उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ एक अशक्त पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें।[67]

मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए एक नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ एक मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के PwdHash द्वारा इस दृष्टिकोण का उपयोग किया जाता है,[68] प्रिंसटन का पासवर्ड गुणक,[69] और अन्य स्टेटलेस पासवर्ड प्रबंधक। इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।

पासवर्ड प्रबंधक

बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग प्रणाली में निर्मित प्रबंधक सम्मिलित हैं। एक पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल एक पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की जरूरत नहीं है, यह एकल पासवर्ड कठोर और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित यादृच्छिक पासवर्ड जनरेटर का उपयोग करके स्वचालित रूप से कठोर पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। एक अच्छा पासवर्ड मैनेजर कुंजी लॉगिंग, क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे आक्रमणों के विरुद्ध प्रतिरोध प्रदान करेगा।

यह भी देखें

संदर्भ

  1. "Cyber Security Tip ST04-002". Choosing and Protecting Passwords. US CERT. Archived from the original on July 7, 2009. Retrieved June 20, 2009.
  2. "Why User Names and Passwords Are Not Enough | SecurityWeek.Com". www.securityweek.com. 31 January 2019. Retrieved 2020-10-31.
  3. "Millions using 123456 as password, security study finds". BBC News. 21 April 2019. Retrieved 24 April 2019.
  4. 4.0 4.1 4.2 4.3 "SP 800-63 – Electronic Authentication Guideline" (PDF). NIST. Archived from the original (PDF) on July 12, 2004. Retrieved April 20, 2014.
  5. 5.0 5.1 "Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System". Georgia Tech Research Institute. Archived from the original on 2010-12-30. Retrieved 2010-11-07.
  6. US patent 7929707, Andrey V. Belenko, "पासवर्ड पुनर्प्राप्ति के लिए समानांतर गणित सह-प्रोसेसर के रूप में ग्राफ़िक्स प्रोसेसर का उपयोग", issued 2011-04-19, assigned to Elcomsoft Co. Ltd. 
  7. Elcomsoft.com Archived 2006-10-17 at the Wayback Machine, ElcomSoft Password Recovery Speed table, NTLM passwords, Nvidia Tesla S1070 GPU, accessed 2011-02-01
  8. Elcomsoft Wireless Security Auditor, HD5970 GPU Archived 2011-02-19 at the Wayback Machine accessed 2011-02-11
  9. James Massey (1994). "अनुमान और एन्ट्रापी" (PDF). Proceedings of 1994 IEEE International Symposium on Information Theory. IEEE. p. 204.
  10. Schneier, B: Applied Cryptography, 2e, page 233 ff. John Wiley and Sons.
  11. Florencio, Dinei; Herley, Cormac (May 8, 2007). "वेब पासवर्ड की आदतों का बड़े पैमाने पर अध्ययन" (PDF). Proceeds of the International World Wide Web Conference Committee: 657. doi:10.1145/1242572.1242661. ISBN 9781595936547. S2CID 10648989. Archived (PDF) from the original on March 27, 2015.
  12. 12.0 12.1 Burnett, Mark (2006). Kleiman, Dave (ed.). Perfect Passwords. Rockland, Massachusetts: Syngress Publishing. p. 181. ISBN 978-1-59749-041-2.
  13. Bruce Schneier (December 14, 2006). "माइस्पेस पासवर्ड इतने मूर्ख नहीं हैं". Wired Magazine. Archived from the original on May 21, 2014. Retrieved April 11, 2008.
  14. Matt Weir; Susdhir Aggarwal; Michael Collins; Henry Stern (7 October 2010). "प्रकट किए गए पासवर्डों के बड़े सेट पर हमला करके पासवर्ड निर्माण नीतियों के लिए मेट्रिक्स का परीक्षण करना" (PDF). Archived from the original on July 6, 2012. Retrieved March 21, 2012.
  15. "SP 800-63-3 – Digital Identity Guidelines" (PDF). NIST. June 2017. Archived from the original on August 6, 2017. Retrieved August 6, 2017.
  16. A. Allan. "पासवर्ड ब्रेकिंग पॉइंट के पास हैं" (PDF). Gartner. Archived from the original (PDF) on April 27, 2006. Retrieved April 10, 2008.
  17. Bruce Schneier. "सुरक्षा पर श्नाइयर". Write Down Your Password. Archived from the original on April 13, 2008. Retrieved April 10, 2008.
  18. सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ. doi:10.17487/RFC4086. RFC 4086.
  19. "Want to deter hackers? Make your password longer". NBC News. 2010-08-19. Retrieved 2010-11-07.
  20. "ईएफएफ डेस क्रैकर मशीन क्रिप्टो बहस में ईमानदारी लाती है". EFF. Archived from the original on January 1, 2010. Retrieved March 27, 2008.
  21. "64-bit key project status". Distributed.net. Archived from the original on September 10, 2013. Retrieved March 27, 2008.
  22. "72-bit key project status". Distributed.net. Retrieved October 12, 2011.
  23. Bruce Schneier. "Snakeoil: Warning Sign #5: Ridiculous key lengths". Archived from the original on April 18, 2008. Retrieved March 27, 2008.
  24. "क्वांटम कम्प्यूटिंग और एन्क्रिप्शन ब्रेकिंग". Stack Overflow. 2011-05-27. Archived from the original on 2013-05-21. Retrieved 2013-03-17.
  25. Microsoft Corporation, Strong passwords: How to create and use them Archived 2008-01-01 at the Wayback Machine
  26. Bruce Schneier, Choosing Secure Passwords Archived 2008-02-23 at the Wayback Machine
  27. Google, Inc., How safe is your password? Archived 2008-02-22 at the Wayback Machine
  28. University of Maryland, Choosing a Good Password Archived 2014-06-14 at the Wayback Machine
  29. Bidwell, Teri (2002). Hack Proofing Your Identity in the Information Age. Syngress Publishing. ISBN 978-1-931836-51-7.
  30. "NIST PASSWORD GUIDELINES IN 2020". Stealthbits. 18 August 2020. Retrieved 17 May 2021.
  31. "पासवर्ड नीति - अपने दृष्टिकोण को अपडेट करना". UK National Cyber Security Centre. Retrieved 17 May 2021.
  32. "Choosing and Protecting Passwords | CISA". www.cisa.gov. Retrieved 2022-01-12.
  33. "डिजिटल पहचान दिशानिर्देश". USA National Institute for Standards and Technology. Retrieved 17 May 2021.
  34. "सिस्टम स्वामियों के लिए पासवर्ड प्रशासन". UK National Cyber Security Centre. Retrieved 17 May 2021.
  35. 35.0 35.1 "पासवर्ड नियम - पासवर्ड जटिलता के संस्थापक सॉरी कहते हैं!". Retrieved 17 May 2021.
  36. "साइलैब प्रयोग करने योग्य गोपनीयता और सुरक्षा प्रयोगशाला (सीयूपीएस)". Carnegie Mellon University (USA). Retrieved 17 May 2021.
  37. Bruce, Schneier. "पासवर्ड सर्वोत्तम प्रथाओं में परिवर्तन". Schneier on Security. Retrieved 17 May 2021.
  38. 38.0 38.1 "अपना पासवर्ड लिख लें - श्नेयर ऑन सिक्योरिटी". www.schneier.com. Archived from the original on 2008-04-13.
  39. "What does the NCSC think of password managers?". www.ncsc.gov.uk. Archived from the original on 2019-03-05.
  40. e.g. for a keyboard with only 17 nonalphanumeric characters, see one for a BlackBerry phone in an enlarged image Archived 2011-04-06 at the Wayback Machine in support of Sandy Berger, BlackBerry Tour 9630 (Verizon) Cell Phone Review, in Hardware Secrets (August 31, 2009) Archived April 6, 2011, at the Wayback Machine, both as accessed January 19, 2010. That some websites don’t allow nonalphanumerics is indicated by Kanhef, Idiots, For Different Reasons (June 30, 2009) (topic post) Archived April 6, 2011, at the Wayback Machine, as accessed January 20, 2010.
  41. "ComodoHacker responsible for DigiNotar Attack – Hacking News". Thehackernews.com. 2011-09-06. Archived from the original on 2013-05-17. Retrieved 2013-03-17.
  42. Dave Basner (8 March 2019). "Here's Why 'ji32k7au4a83' Is A Surprisingly Common Password". Retrieved 25 March 2019.
  43. Bidwell, p. 87
  44. "एक अच्छा पासवर्ड चुनने के लिए दिशानिर्देश". Lockdown.co.uk. 2009-07-10. Archived from the original on 2013-03-26. Retrieved 2013-03-17.
  45. William, Cheswick (2012-12-31). "HTML संस्करण - पासवर्ड पर पुनर्विचार". Association for Computing Machinery (ACM). Archived from the original on 2019-11-03. Retrieved 2019-11-03.
  46. William, Cheswick (2012-12-31). "एसीएम डिजिटल लाइब्रेरी - पासवर्ड पर पुनर्विचार". Queue. 10 (12): 50–56. doi:10.1145/2405116.2422416. Archived from the original on 2019-11-03. Retrieved 2019-11-03.
  47. "न्यूनतम शक्ति, न्यूनतम लंबाई, और ब्लॉकलिस्ट आवश्यकताओं को मिलाकर मजबूत, अधिक उपयोग करने योग्य पासवर्ड के लिए व्यावहारिक अनुशंसाएं" (PDF). Carnegie Mellon University. Retrieved 17 May 2021.
  48. "पासवर्ड जटिलता नियमों के संस्थापक बिल बूर कहते हैं सॉरी!". Retrieved 17 May 2021.
  49. "ऑनलाइन सेवाओं में पासवर्ड". UK Information Commissioner's Office (ICO). Retrieved 17 May 2021.
  50. "डिजिटल पहचान दिशानिर्देश". USA National Institute of Standards and Technology. Retrieved 17 May 2021.
  51. "पासवर्ड मार्गदर्शन" (PDF). Cyber Security, UK Government Communications Headquarters. Retrieved 17 May 2021.
  52. "एक मजबूत पासवर्ड बनाएँ". Google Inc. Retrieved 17 May 2021.
  53. "लॉगिन और पासवर्ड मदद". FaceBook Inc. Retrieved 17 May 2021.
  54. "Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903". Microsoft. Retrieved 17 May 2021.
  55. "पासवर्ड समाप्ति के बचाव में". League of Professional Systems Administrators. Archived from the original on October 12, 2008. Retrieved April 14, 2008.
  56. "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.
  57. Eugene Spafford. "सुरक्षा मिथक और पासवर्ड". The Center for Education and Research in Information Assurance and Security. Archived from the original on April 11, 2008. Retrieved April 14, 2008.
  58. Johannes Kiesel; Benno Stein; Stefan Lucks (2017). "स्मरक पासवर्ड सलाह का एक बड़े पैमाने पर विश्लेषण" (PDF). Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17). Internet Society. Archived from the original (PDF) on 2017-03-30. Retrieved 2017-03-30.
  59. Mnemonic Devices (Indianapolis, Ind.: Bepko Learning Ctr., University College), as accessed January 19, 2010 Archived June 10, 2010, at the Wayback Machine
  60. Remembering Passwords (ChangingMinds.org) Archived 2010-01-21 at Wikiwix, as accessed January 19, 2010
  61. Cipresso, P; Gaggioli, A; Serino, S; Cipresso, S; Riva, G (2012). "यादगार और मजबूत पासवर्ड कैसे बनाएं". J Med Internet Res. 14 (1): e10. doi:10.2196/jmir.1906. PMC 3846346. PMID 22233980.
  62. Brumen, B; Heričko, M; Rozman, I; Hölbl, M (2013). "सुरक्षा विश्लेषण और साइकोपास पद्धति में सुधार।". J Med Internet Res. 15 (8): e161. doi:10.2196/jmir.2366. PMC 3742392. PMID 23942458.
  63. "zxcvbn: realistic password strength estimation". Dropbox Tech Blog. Archived from the original on 2015-04-05.
  64. Morley, Katie (2016-02-10). "Use the same password for everything? You're fuelling a surge in current account fraud". Telegraph.co.uk (in English). Archived from the original on 2017-05-13. Retrieved 2017-05-22.
  65. Microsoft security guru: Jot down your passwords Archived 2016-02-05 at the Wayback Machine, c\net Retrieved on 2016-02-02
  66. Simple methods (e.g., ROT13 and some other old ciphers) may suffice; for more sophisticated hand-methods see Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2) Archived November 13, 2015, at the Wayback Machine, as accessed January 19, 2010, and Sam Siewert, Big Iron Lessons, Part 5: Introduction to Cryptography, From Egypt Through Enigma (IBM, July 26, 2005) Archived August 3, 2010, at the Wayback Machine, as accessed January 19, 2010.
  67. "Safer Password For Web, Email And Desktop/Mobile Apps". bizpages.org. Retrieved 2020-09-14.
  68. Blake Ross; Collin Jackson; Nicholas Miyake; Dan Boneh; John C. Mitchell (2005). "ब्राउज़र एक्सटेंशन का उपयोग कर मजबूत पासवर्ड प्रमाणीकरण" (PDF). Proceedings of the 14th Usenix Security Symposium. USENIX. pp. 17–32. Archived (PDF) from the original on 2012-04-29.
  69. J. Alex Halderman; Brent Waters; Edward W. Felten (2005). पासवर्ड सुरक्षित रूप से प्रबंधित करने के लिए एक सुविधाजनक तरीका (PDF). ACM. pp. 1–9. Archived (PDF) from the original on 2016-01-15.


बाहरी संबंध