पासवर्ड स्ट्रेंथ

From Vigyanwiki
कीपास में यादृच्छिक पासवर्ड पीढ़ी टूल का विकल्प मेनू। अधिक कैरेक्टर सबसेट को सक्षम करने से जनरेट किए गए पासवर्ड की शक्ति थोड़ी मात्रा में बढ़ जाती है, जबकि उनकी लंबाई बढ़ने से शक्ति बड़ी मात्रा में बढ़ जाती है।

पासवर्ड की शक्ति अनुमान लगाने या क्रूर-बल के आक्रमणों के विरुद्ध पासवर्ड की प्रभावशीलता का एक उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि एक हमलावर जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की शक्ति लंबाई, जटिलता और अप्रत्याशितता का एक कार्य है।[1]

कठोर पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र संकट को कम करता है, लेकिन कठोर पासवर्ड अन्य प्रभावी सुरक्षा नियंत्रणों की आवश्यकता को प्रतिस्थापित नहीं करते हैं।[2] किसी दिए गए शक्ति के पासवर्ड की प्रभावशीलता प्रमाणीकरण कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।

दर जिस पर एक हमलावर प्रणाली को अनुमानित पासवर्ड जमा कर सकता है, प्रणाली सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य अशक्तियों के अभाव में, ऐसी प्रणाली को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। चूँकि, प्रणाली को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो प्रणाली सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड संकट में हो सकते हैं।

2019 में, यूनाइटेड किंगडम के राष्ट्रीय साइबर सुरक्षा केंद्र (यूनाइटेड किंगडम) ने उल्लंघन किए गए खातों के सार्वजनिक डेटाबेस का विश्लेषण किया, यह देखने के लिए कि लोग किन शब्दों, वाक्यांशों और स्ट्रिंग्स का उपयोग करते हैं। सूची में सबसे लोकप्रिय पासवर्ड 123456 था, जो 23 मिलियन से अधिक पासवर्ड में दिखाई दे रहा था। दूसरी सबसे लोकप्रिय स्ट्रिंग, 123456789, को क्रैक करना ज्यादा मुश्किल नहीं था, जबकि शीर्ष पांच में Qwerty , पासवर्ड और 1111111 सम्मिलित थे।[3]


पासवर्ड निर्माण

पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाली स्थिति अधिक सामान्य है। जबकि एक क्रूर-बल आक्रमण के विरुद्ध विचित्र ढंग से चुने गए पासवर्ड की शक्ति की गणना स्पष्ट रूप से की जा सकती है, मानव-जनित पासवर्ड की शक्ति का निर्धारण करना मुश्किल है।

कंप्यूटर प्रणाली या इंटरनेट वेबसाइट के लिए एक नया खाता बनाते समय सामान्यतः, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के एक सेट द्वारा प्रतिबंधित किया जाता है। शक्ति का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न सामान्यतः एक हमलावर की सहायता कर सकते हैं।[4] इसके अतिरिक्त, सामान्यतः चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश सम्मिलित हैं, जिनका उल्लंघन किया गया है[clarification needed] अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से सादे पाठ और क्रिप्टोग्राफिक_हैश_फंक्शन पासवर्ड के डेटाबेस। ऐसी सूचियों में सभी आइटम अशक्त माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।

चूँकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना सरल है, वे सामान्यतः यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अधिकांशतः लोग अपना स्वयं का चयन करना पसंद करते हैं। चूँकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण सामान्यतः पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन सामाजिक मीडिया के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत सरल बना दिया है।

पासवर्ड अनुमान सत्यापन

प्रणाली जो प्रमाणीकरण के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए दर्ज किए गए किसी भी पासवर्ड की जांच करने की कोई विधि होनी चाहिए। यदि मान्य पासवर्ड केवल एक प्रणाली फ़ाइल या डेटाबेस में संग्रहीत हैं, तो एक हमलावर जो प्रणाली तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे हमलावर को आक्रमण वाली प्रणाली पर सभी खातों और संभावित रूप से अन्य प्रणालीों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस संकट को कम करने का एक तरीका यह है कि पासवर्ड के अतिरिक्त प्रत्येक पासवर्ड का केवल एक क्रिप्टोग्राफिक हैश स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (SHA) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए एक हमलावर जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। चूँकि, हैश मान का ज्ञान हमलावर को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। पासवर्ड क्रैकिंग प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।

कंप्यूटिंग प्रौद्योगिकी में संशोधन उस दर को बढ़ाता रहता है जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, जॉर्जिया टेक रिसर्च इंस्टीट्यूट ने बहुत तेजी से पासवर्ड क्रैक करने के लिए जीपीजीपीयू का उपयोग करने की एक विधि विकसित की।[5] Elcomsoft ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और जल्द ही अमेरिका में एक संबंधित पेटेंट दायर किया।[6] 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए एक उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करके एक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता को प्रमाण करते थे।[7] इस तरह की डिवाइस एक दिन में छह-अक्षर वाले एकल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। चूँकि कुंजी खींचना का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।

एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब क्रिप्टोग्राफ़िक कुंजी बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे स्थितियों में, एक हमलावर जल्दी से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं करता है। उदाहरण के लिए, एक वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का प्रमाण करता है।[8]

यदि कोई पासवर्ड प्रणाली केवल पासवर्ड के हैश को संग्रहीत करता है, तो एक हमलावर सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और एक निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तेजी से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। आक्रमण के इस तरीके को हैश के साथ एक यादृच्छिक मूल्य, जिसे क्रिप्टोग्राफिक नमक कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले एक हमलावर को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, आम उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।

पासवर्ड शक्ति के माप के रूप में एंट्रॉपी

कंप्यूटर उद्योग में सूचना एन्ट्रापी के संदर्भ में पासवर्ड की शक्ति निर्दिष्ट करना सामान्य है, जिसे अंश ्स में मापा जाता है और सूचना सिद्धांत से एक अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के अतिरिक्त, उस संख्या का बाइनरी लघुगणक | आधार -2 लघुगणक दिया जाता है, जिसे सामान्यतः पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, चूँकि यह बिल्कुल समान नहीं है सूचना एन्ट्रापी के रूप में मात्रा।[9] इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की एक स्ट्रिंग के रूप में कठोर होगा, उदाहरण के लिए एक उचित सिक्का टॉस द्वारा। दूसरा तरीका रखो, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 2 की आवश्यकता होगी42 (4,398,046,511,104) एक क्रूर बल खोज के दौरान सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को एक बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे हमलावर का कार्य दोगुना कठिन हो जाता है। औसतन, एक हमलावर को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।[4]


रैंडम पासवर्ड

रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की एक स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक एक वर्ण सेट (जैसे, ASCII वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार एक पदबंध बनाते हैं)।

यादृच्छिक पासवर्ड की शक्ति अंतर्निहित संख्या जनरेटर की वास्तविक एन्ट्रॉपी पर निर्भर करती है; चूँकि, ये अधिकांशतः वास्तव में यादृच्छिक नहीं होते हैं, लेकिन छद्म यादृच्छिक होते हैं। कई सार्वजनिक रूप से उपलब्ध पासवर्ड जनरेटर प्रोग्रामिंग पुस्तकालयों में पाए जाने वाले यादृच्छिक संख्या जनरेटर का उपयोग करते हैं जो सीमित एन्ट्रॉपी प्रदान करते हैं। चूँकि अधिकांश आधुनिक ऑपरेटिंग प्रणाली क्रिप्टोग्राफ़िक रूप से कठोर यादृच्छिक संख्या जनरेटर प्रदान करते हैं जो पासवर्ड जनरेशन के लिए उपयुक्त हैं। यादृच्छिक पासवर्ड उत्पन्न करने के लिए साधारण पासा का उपयोग करना भी संभव है। रैंडम पासवर्ड जनरेटर#कठोर तरीके देखें। रैंडम पासवर्ड प्रोग्राम में अधिकांशतः यह सुनिश्चित करने की क्षमता होती है कि परिणामी पासवर्ड स्थानीय पासवर्ड नीति का अनुपालन करता है; उदाहरण के लिए, हमेशा अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण बनाकर।

एक प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो एन संभावित प्रतीकों के एक सेट से यादृच्छिक रूप से लंबाई के प्रतीकों की एक स्ट्रिंग का चयन करता है, एल, संभव पासवर्ड की संख्या को प्रतीकों की संख्या बढ़ाकर एल, यानी एनएल</सुप>. L या N को बढ़ाने से उत्पन्न पासवर्ड कठोर होगा। सूचना एन्ट्रापी द्वारा मापी गई एक यादृच्छिक पासवर्ड की शक्ति सिर्फ द्विआधारी लघुगणक है। आधार -2 लघुगणक या लॉग2 संभावित पासवर्डों की संख्या, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार एक यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:

जहाँ N संभव प्रतीकों की संख्या है और L पासवर्ड में प्रतीकों की संख्या है। H को बिट्स में मापा जाता है।[4][10] अंतिम व्यंजक में, log किसी भी आधार (घातांक) का हो सकता है।

विभिन्न प्रतीक सेटों के लिए प्रति प्रतीक एंट्रॉपी
Symbol set Symbol count
N
Entropy per symbol
H
Arabic numerals (0–9) (e.g. PIN) 10 3.322 bits
Hexadecimal numerals (0–9, A–F) (e.g. WEP keys) 16 4.000 bits
Case insensitive Latin alphabet (a–z or A–Z) 26 4.700 bits
Case insensitive alphanumeric (a–z or A–Z, 0–9) 36 5.170 bits
Case sensitive Latin alphabet (a–z, A–Z) 52 5.700 bits
Case sensitive alphanumeric (a–z, A–Z, 0–9) 62 5.954 bits
All ASCII printable characters except space 94 6.555 bits
All Latin-1 Supplement characters 94 6.555 bits
All ASCII printable characters 95 6.570 bits
All extended ASCII printable characters 218 7.768 bits
Binary (0–255 or 8 bits or 1 byte) 256 8.000 bits
Diceware word list 7776 12.925 bits per word

एक बाइनरी संख्या बाइट सामान्यतः दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।

लंबाई खोजने के लिए, एल, वांछित शक्ति एच प्राप्त करने के लिए आवश्यक है, एन प्रतीकों के एक सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, एक गणना करता है:

कहाँ अगली सबसे बड़ी प्राकृतिक संख्या तक राउंडिंग को दर्शाता है।

निम्न तालिका सामान्य प्रतीक सेटों के लिए वांछित पासवर्ड एंट्रॉपी प्राप्त करने के लिए वास्तव में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की आवश्यक लंबाई दिखाने के लिए इस सूत्र का उपयोग करती है:

N प्रतीकों वाले प्रतीक सेट के लिए वांछित पासवर्ड एंट्रॉपी H प्राप्त करने के लिए आवश्यक यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की लंबाई L
वांछित पासवर्ड

एंट्रॉपी H

अरबी

अंकों

हेक्साडेसिमल असंवेदनशील स्थिति संवेदनशील स्थिति All ASCII All Extended
ASCII
Diceware
word list
Latin
alphabet
alpha-
numeric
लैटिन

वर्णमाला

alpha-
numeric
printable characters
8 bits (1 byte) 3 2 2 2 2 2 2 2 1 word
32 bits (4 bytes) 10 8 7 7 6 6 5 5 3 words
40 bits (5 bytes) 13 10 9 8 8 7 7 6 4 words
64 bits (8 bytes) 20 16 14 13 12 11 10 9 5 words
80 bits (10 bytes) 25 20 18 16 15 14 13 11 7 words
96 bits (12 bytes) 29 24 21 19 17 17 15 13 8 words
128 bits (16 bytes) 39 32 28 25 23 22 20 17 10 words
160 bits (20 bytes) 49 40 35 31 29 27 25 21 13 words
192 bits (24 bytes) 58 48 41 38 34 33 30 25 15 words
224 bits (28 bytes) 68 56 48 44 40 38 35 29 18 words
256 bits (32 bytes) 78 64 55 50 45 43 39 33 20 words


मानव जनित पासवर्ड

संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को सम्मिलित करने वाले एक अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था।[11] इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के एक विश्लेषण में, अक्षर e का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर f का उपयोग केवल 250,000 बार किया गया था। एक समान वितरण (असतत) में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।[12]

उपयोगकर्ता पासवर्ड बनाने में शायद ही कभी बड़े वर्ण सेट का पूर्ण उपयोग करते हैं। उदाहरण के लिए, 2006 में माइस्पेस फ़िशिंग योजना से प्राप्त हैकिंग परिणामों से 34,000 पासवर्ड का पता चला, जिनमें से केवल 8.3% ने मिश्रित केस, संख्याओं और प्रतीकों का उपयोग किया।[13] संपूर्ण ASCII वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी शक्ति केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, शायद ऊपरी और निचले मामले के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में एक पैटर्न है और हमलावर के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की उम्मीद की जा सकती है। यह पासवर्ड की शक्ति में कमी है। एक बेहतर आवश्यकता एक पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न सम्मिलित न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य तरीकों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और एक विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि मामूली है।

एनआईएसटी विशेष प्रकाशन 800-63-2

जून 2004 का एनआईएसटी विशेष प्रकाशन 800-63 (संशोधन दो) ने मानव जनित पासवर्डों की एंट्रॉपी को अनुमानित करने के लिए एक योजना का सुझाव दिया:[4] इस योजना का उपयोग करते हुए, एक आठ-वर्ण मानव-चयनित पासवर्ड बिना अपरकेस वर्णों और गैर-अल्फाबेटिक वर्णों के साथ या दो वर्ण सेटों में से किसी एक के साथ एंट्रॉपी के अठारह बिट होने का अनुमान है। NIST प्रकाशन स्वीकार करता है कि विकास के समय, पासवर्ड के वास्तविक विश्व चयन पर बहुत कम जानकारी उपलब्ध थी। बाद में नए उपलब्ध वास्तविक विश्व डेटा का उपयोग करके मानव-चयनित पासवर्ड एन्ट्रॉपी में शोध ने प्रदर्शित किया है कि एनआईएसटी योजना मानव-चयनित पासवर्ड के एंट्रॉपी अनुमान के लिए वैध मीट्रिक प्रदान नहीं करती है।[14] एसपी 800-63 (संशोधन तीन) का जून 2017 संशोधन इस दृष्टिकोण को छोड़ देता है।[15]


प्रयोज्यता और कार्यान्वयन विचार

क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 ASCII प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है। यह एक अंतरराष्ट्रीय यात्री के लिए एक समस्या पेश कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट प्रणाली में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि टैबलेट कंप्यूटर और स्मार्टफोन , विशेष वर्णों को दर्ज करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।

प्रमाणीकरण कार्यक्रम अलग-अलग होते हैं जिनमें वे पासवर्ड में वर्णों की अनुमति देते हैं। कुछ मामले के अंतर को नहीं पहचानते हैं (उदाहरण के लिए, अपर-केस ई को लोअर-केस ई के बराबर माना जाता है), अन्य कुछ अन्य प्रतीकों को प्रतिबंधित करते हैं। पिछले कुछ दशकों में, प्रणाली ने पासवर्ड में अधिक वर्णों की अनुमति दी है, लेकिन सीमाएँ अभी भी मौजूद हैं। अनुमत पासवर्ड की अधिकतम लंबाई में प्रणाली भी भिन्न होते हैं।

एक व्यावहारिक मामले के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त कठोर होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत मुश्किल है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा संकट मानते हैं।[16] इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए मजबूर करना केवल अशक्त पासवर्ड को समायोजित कर सकता है, और इस प्रकार एक बड़ा सुरक्षा संकट पैदा करता है। ब्रूस श्नेयर के अनुसार, ज्यादातर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए एक बेहतरीन जगह है।[17]


एंट्रॉपी के आवश्यक बिट्स

पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए खतरे के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। RFC 4086, सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण खतरे के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें।[18] यदि केवल ऑनलाइन आक्रमणों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। लागू नहीं है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित एक 12-वर्ण यादृच्छिक पासवर्ड की सिफारिश की गई थी, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में।[5][19] ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन आक्रमणों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक अंश भी बढ़ने चाहिए।

ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, EFF DES क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट डेटा एन्क्रिप्शन मानक एन्क्रिप्शन को तोड़ दिया।[20] 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया।[21] 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे।[22] मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई उम्मीद नहीं है कि कोई भी डिजिटल कम्प्यूटर (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स अटैक के माध्यम से तोड़ने में सक्षम होगा।[23] क्वांटम कंप्यूटर व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, चूँकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।[24]


कठोर पासवर्ड के लिए दिशानिर्देश

सामान्य दिशानिर्देश

अच्छे पासवर्ड चुनने के दिशानिर्देश सामान्यतः बुद्धिमान अनुमान लगाकर पासवर्ड खोजने के लिए कठिन बनाने के लिए डिज़ाइन किए जाते हैं। सॉफ्टवेयर प्रणाली सुरक्षा के समर्थकों द्वारा समर्थित सामान्य दिशानिर्देशों में सम्मिलित हैं:[25][26][27][28][29]

  • 8 की न्यूनतम पासवर्ड लंबाई पर विचार करें[30] एक सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और सरली से याद रखने वाले पासवर्ड की सलाह देते हैं।[31][32] * जहाँ संभव हो, विचित्र ढंग से पासवर्ड उत्पन्न करें।
  • एक ही पासवर्ड का दो बार उपयोग करने से बचें (उदाहरण के लिए कई उपयोगकर्ता खातों और/या सॉफ़्टवेयर प्रणाली में)।
  • चरित्र दोहराव, कीबोर्ड पैटर्न, शब्दकोश शब्द, अक्षर या संख्या क्रम से बचें।
  • ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता या खाते से सार्वजनिक रूप से जुड़ी हो या हो सकती है, जैसे कि उपयोगकर्ता का नाम, पूर्वजों के नाम या दिनांक।
  • ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता के सहकर्मियों और/या परिचितों को उपयोगकर्ता से संबद्ध होने के बारे में पता हो, जैसे रिश्तेदारों या पालतू जानवरों के नाम, रोमांटिक लिंक (वर्तमान या अतीत) और जीवनी संबंधी जानकारी (जैसे आईडी नंबर, पूर्वजों के नाम या दिनांक) .
  • ऐसे पासवर्ड का उपयोग न करें जो उपरोक्त अशक्त घटकों के किसी भी सरल संयोजन से पूरी तरह से बने हों।

पासवर्ड में लोअरकेस, अपरकेस अक्षर वर्णों, संख्याओं और प्रतीकों को बाध्य करना सामान्य नीति थी, लेकिन वास्तव में इसे क्रैक करना सरल बनाकर सुरक्षा को कम करना पाया गया है। शोध से पता चला है कि ऐसे प्रतीकों का सामान्य उपयोग कितना अनुमानित है, और यू.एस.[33] यूके[34] सरकारी साइबर सुरक्षा विभाग उन्हें पासवर्ड नीति में सम्मिलित करने के लिए बाध्य नहीं करने की सलाह देते हैं। जटिल प्रतीक भी पासवर्ड को याद रखना अधिक कठिन बनाते हैं, जो लिखने को बढ़ाता है, पासवर्ड रीसेट करता है और पासवर्ड का पुन: उपयोग करता है - ये सभी पासवर्ड सुरक्षा में संशोधन करने के अतिरिक्त कम करते हैं। पासवर्ड जटिलता नियमों के मूल लेखक, बिल बूर ने माफी मांगी है और स्वीकार किया है कि वे वास्तव में सुरक्षा को कम करते हैं, जैसा कि शोध में पाया गया है; यह 2017 में मीडिया में व्यापक रूप से रिपोर्ट किया गया था।[35] ऑनलाइन सुरक्षा शोधकर्ता[36] और सलाहकार भी परिवर्तन के समर्थक हैं[37] पासवर्ड पर सर्वोत्तम अभ्यास सलाह में।

कुछ दिशानिर्देश पासवर्ड लिखने के विरुद्ध सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित प्रणाली को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को एक सुरक्षित स्थान पर रखा जाता है, मॉनिटर या अनलॉक में संलग्न नहीं होता है डेस्क दराज।[38] एनसीएससी द्वारा पासवर्ड प्रबंधक के उपयोग की सिफारिश की जाती है।[39] पासवर्ड के लिए निर्धारित संभावित कैरेक्टर को अलग-अलग वेब साइट्स या कीबोर्ड की उस रेंज द्वारा सीमित किया जा सकता है, जिस पर पासवर्ड दर्ज किया जाना चाहिए।[40]


अशक्त पासवर्ड के उदाहरण

जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में अशक्त हैं। उदाहरण के लिए, एक शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच शक्ति में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - एक सामान्य दृष्टिकोण) एक पासवर्ड क्रैकिंग डिवाइस को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी शक्ति जोड़ता है। नीचे दिए गए उदाहरण अशक्त पासवर्ड बनाने के विभिन्न तरीकों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।[12]

  • डिफ़ॉल्ट पासवर्ड (जैसा कि प्रणाली विक्रेता द्वारा प्रदान किया गया है और स्थापना के समय बदला जाना है): पासवर्ड, डिफ़ॉल्ट, व्यवस्थापक, अतिथि, आदि। डिफ़ॉल्ट पासवर्ड की सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।
  • शब्दकोश शब्द: गिरगिट, रेडसॉक्स, सैंडबैग, बनीहॉप !, इंटेंस क्रैबट्री, आदि, गैर-अंग्रेजी शब्दकोशों में शब्दों सहित।
  • संलग्न संख्या वाले शब्द: पासवर्ड 1, डीयर 2000, जॉन 1234, आदि, थोड़े समय के साथ स्वचालित रूप से सरली से परीक्षण किए जा सकते हैं।
  • सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, DigiNotar आक्रमण में समझौता किया गया एक डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।[41]
  • दोगुने शब्द: क्रैक्रैब, स्टॉपस्टॉप, ट्रीट्री, पासपास, आदि।
  • एक कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
  • सुप्रसिद्ध संख्याओं जैसे 911 पर आधारित सांख्यिक अनुक्रम (9-1-1, 11 सितंबर का हमला|9/11), 314159... (अनुकरणीय आई), 27182... (ई (गणितीय स्थिरांक)), 112 (112 (आपातकालीन टेलीफोन नंबर)|1-1-2), आदि।
  • पहचानकर्ता: jsmith123, 1/1/1970, 555–1234, किसी का उपयोगकर्ता नाम, आदि।
  • गैर-अंग्रेज़ी भाषाओं में अशक्त पासवर्ड, जैसे कॉन्ट्रासेना (स्पेनिश) और ji32k7au4a83 (चीनी से बोपोमोफो कीबोर्ड एन्कोडिंग)[42]
  • व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की एक साधारण जांच के बाद सरली से स्वचालित रूप से परीक्षण किया जा सकता है।
  • तिथियां: तिथियां एक पैटर्न का पालन करती हैं और आपके पासवर्ड को अशक्त बनाती हैं।
  • प्रसिद्ध स्थानों के नाम: न्यूयॉर्क, टेक्सास, चीन, लंदन, आदि।
  • ब्रांडों, मशहूर हस्तियों, खेल टीमों, संगीत समूहों, टीवी शो, फिल्मों आदि के नाम।

पासवर्ड अशक्त होने के और भी कई तरीके हो सकते हैं,[43] विभिन्न आक्रमण योजनाओं की शक्ति के अनुरूप; मूल सिद्धांत यह है कि एक पासवर्ड में उच्च एन्ट्रापी (सामान्यतः यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा सरली से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अधिकांशतः एक रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे एक हैकर समझ सकता है और ऐसा करके एक पासवर्ड को बायपास कर सकता है। मुश्किल से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।[44]


पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार

Template:Outdated section दिसंबर, 2012 में, विलियम चेसविक ने एसीएम पत्रिका में प्रकाशित एक लेख लिखा था जिसमें सामान्यतः अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना सरल या कठिन होगा, इसकी गणितीय संभावनाएं सम्मिलित थीं। अपने लेख में, विलियम ने दिखाया कि एक मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के आक्रमण का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास एक मल्टी-कोर प्रणाली का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (यानी 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड एक सामान्य शब्द का उपयोग नहीं करता है कि एक शब्दकोश हमला बहुत जल्दी टूट सकता है। इस शक्ति के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे बदलने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।[45][46]


पासवर्ड नीति

पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए एक गाइड है। इसका इरादा है:

  • कठोर पासवर्ड चुनने में उपयोगकर्ताओं की सहायता करें
  • सुनिश्चित करें कि पासवर्ड लक्ष्य आबादी के अनुकूल हैं
  • उपयोगकर्ताओं को उनके पासवर्ड से निपटने के संबंध में सिफारिशें प्रदान करें
  • किसी भी पासवर्ड को बदलने की सिफारिश करें जो खो गया है या समझौता करने का संदेह है
  • अशक्त या सरली से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट (कंप्यूटिंग) # उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।

पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड सम्मिलित होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान द्वारा कम सुरक्षित के रूप में खारिज कर दिया गया है,[47] मूल प्रेरक द्वारा[48] इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा[49]) यूएसए का[50] और यूके।[51] लागू प्रतीकों के पासवर्ड जटिलता नियम पहले Google जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे[52] और फेसबुक,[53] लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा संकट है, और लागू जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में मदद करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। मजबूर जटिलता नियम भी समर्थन लागत, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।

पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे खारिज कर दिया गया है[35]सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने हटा दिया है[54] पासवर्ड समाप्ति सुविधा। पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी:[55]

  • अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय हमलावर के लिए अपर्याप्त समय सुनिश्चित करने में मदद कर सकता है।
  • यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से बदलने की आवश्यकता हमलावर के लिए एक्सेस समय को सीमित कर सकती है।

चूँकि, पासवर्ड समाप्ति की अपनी कमियाँ हैं:[56][57]

  • उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए कहना सरल, अशक्त पासवर्ड को प्रोत्साहित करता है।
  • अगर किसी के पास वास्तव में कठोर पासवर्ड है, तो उसे बदलने का कोई मतलब नहीं है। पहले से ही कठोर पासवर्ड बदलने से नया पासवर्ड कम कठोर होने का संकट होता है।
  • किसी हैकर द्वारा पिछले दरवाजे (कंप्यूटिंग) को स्थापित करने के लिए अधिकांशतः विशेषाधिकार वृद्धि के माध्यम से एक समझौता किए गए पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में हमलावर की पहुंच को नहीं रोकेंगे।
  • किसी के पासवर्ड को कभी न बदलने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड बदलने की ओर बढ़ने से क्रूर बल के आक्रमण में पासवर्ड का अनुमान लगाने से पहले हमलावर को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड बदलने की तुलना में केवल एक वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।

पासवर्ड बनाना और संभालना

किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के आक्रमणों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले आक्रमण (उच्च एन्ट्रापी के कारण)। चूँकि, ऐसे पासवर्ड सामान्यतः याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को लागू करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के विरुद्ध सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा संकट बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की उम्मीद है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने की सिफारिश की:

Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down. We're all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet.[38]

यदि सावधानी से उपयोग किया जाए तो निम्नलिखित उपायों से कठोर पासवर्ड आवश्यकताओं की स्वीकृति बढ़ सकती है:

  • एक प्रशिक्षण कार्यक्रम। साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)।
  • दर को कम करके, या पासवर्ड परिवर्तन (पासवर्ड समाप्ति) की आवश्यकता को पूरी तरह से समाप्त करके कठोर पासवर्ड उपयोगकर्ताओं को पुरस्कृत करना। उपयोगकर्ता द्वारा चुने गए पासवर्ड की शक्ति का अनुमान स्वचालित प्रोग्राम द्वारा लगाया जा सकता है जो पासवर्ड सेट या बदलते समय प्रस्तावित पासवर्ड का निरीक्षण और मूल्यांकन करते हैं।
  • प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, एक समझौता किए गए पासवर्ड का सुझाव दे रहा है।
  • उपयोगकर्ताओं को एक स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। चूँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के सरली से अनुमान लगाए गए या शोध किए गए उत्तर एक कठोर पासवर्ड प्रणाली के लाभों को दरकिनार कर देते हैं।
  • यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम एक विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की पेशकश करता है।

मेमोरी तकनीक

पासवर्ड नीतियाँ कभी-कभी पासवर्ड याद रखने में सहायता के लिए स्मृति संशोधनों का सुझाव देती हैं:

  • स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या ज्यादा यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत सरल होते हैं। उदाहरण के लिए, एक यादगार वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड शक्ति लगभग 3.7 बिट प्रति वर्ण है।[58] मूर्ख लोग संभवतः अधिक यादगार होते हैं।[59] विचित्र ढंग से दिखने वाले पासवर्ड को और अधिक यादगार बनाने का एक और तरीका है विचित्र ढंग से चुने गए अक्षरों के अतिरिक्त यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
  • आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, एक मेमोनिक का आविष्कार करें जो फिट बैठता है।[60] यह उचित या समझदार नहीं होना चाहिए, केवल यादगार होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
  • पासवर्ड का दृश्य प्रतिनिधित्व: एक पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदा। एक अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर एक समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है;[61] इसके अतिरिक्त, ऐसे स्थानिक पैटर्न वाले पासवर्ड में संशोधन किया जा सकता है।[62][63]
  • पासवर्ड पैटर्न: पासवर्ड में कोई भी पैटर्न अनुमान लगाना (स्वचालित या नहीं) सरल बनाता है और हमलावर के कार्य कारक को कम करता है।
    • उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक यादगार बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे पशुबल का आक्रमण पासवर्ड अटैक काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, यूनाइटेड किंगडम सरकार के विभागों के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।[citation needed]

पासवर्ड की सुरक्षा

कंप्यूटर उपयोगकर्ताओं को सामान्यतः सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें।[64] चूँकि, एक सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अधिकांशतः छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (यादगार) योजना के उपयोग को रोकती हैं, तो अधिकांशतः परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे।

2005 के एक सुरक्षा सम्मेलन में एक माइक्रोसॉफ्ट विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा प्रमाण है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ।[65]

सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से कूटलेखन किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें।[66] यहां तक ​​कि एक बेहतर तरीका यह है कि सामान्यतः उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ एक अशक्त पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें।[67]

मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए एक नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ एक मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के PwdHash द्वारा इस दृष्टिकोण का उपयोग किया जाता है,[68] प्रिंसटन का पासवर्ड गुणक,[69] और अन्य स्टेटलेस पासवर्ड प्रबंधक। इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।

पासवर्ड प्रबंधक

बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग प्रणाली में निर्मित प्रबंधक सम्मिलित हैं। एक पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल एक पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की जरूरत नहीं है, यह एकल पासवर्ड कठोर और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित यादृच्छिक पासवर्ड जनरेटर का उपयोग करके स्वचालित रूप से कठोर पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। एक अच्छा पासवर्ड मैनेजर कुंजी लॉगिंग, क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे आक्रमणों के विरुद्ध प्रतिरोध प्रदान करेगा।

यह भी देखें

संदर्भ

  1. "Cyber Security Tip ST04-002". Choosing and Protecting Passwords. US CERT. Archived from the original on July 7, 2009. Retrieved June 20, 2009.
  2. "Why User Names and Passwords Are Not Enough | SecurityWeek.Com". www.securityweek.com. 31 January 2019. Retrieved 2020-10-31.
  3. "Millions using 123456 as password, security study finds". BBC News. 21 April 2019. Retrieved 24 April 2019.
  4. 4.0 4.1 4.2 4.3 "SP 800-63 – Electronic Authentication Guideline" (PDF). NIST. Archived from the original (PDF) on July 12, 2004. Retrieved April 20, 2014.
  5. 5.0 5.1 "Teraflop Troubles: The Power of Graphics Processing Units May Threaten the World's Password Security System". Georgia Tech Research Institute. Archived from the original on 2010-12-30. Retrieved 2010-11-07.
  6. US patent 7929707, Andrey V. Belenko, "पासवर्ड पुनर्प्राप्ति के लिए समानांतर गणित सह-प्रोसेसर के रूप में ग्राफ़िक्स प्रोसेसर का उपयोग", issued 2011-04-19, assigned to Elcomsoft Co. Ltd. 
  7. Elcomsoft.com Archived 2006-10-17 at the Wayback Machine, ElcomSoft Password Recovery Speed table, NTLM passwords, Nvidia Tesla S1070 GPU, accessed 2011-02-01
  8. Elcomsoft Wireless Security Auditor, HD5970 GPU Archived 2011-02-19 at the Wayback Machine accessed 2011-02-11
  9. James Massey (1994). "अनुमान और एन्ट्रापी" (PDF). Proceedings of 1994 IEEE International Symposium on Information Theory. IEEE. p. 204.
  10. Schneier, B: Applied Cryptography, 2e, page 233 ff. John Wiley and Sons.
  11. Florencio, Dinei; Herley, Cormac (May 8, 2007). "वेब पासवर्ड की आदतों का बड़े पैमाने पर अध्ययन" (PDF). Proceeds of the International World Wide Web Conference Committee: 657. doi:10.1145/1242572.1242661. ISBN 9781595936547. S2CID 10648989. Archived (PDF) from the original on March 27, 2015.
  12. 12.0 12.1 Burnett, Mark (2006). Kleiman, Dave (ed.). Perfect Passwords. Rockland, Massachusetts: Syngress Publishing. p. 181. ISBN 978-1-59749-041-2.
  13. Bruce Schneier (December 14, 2006). "माइस्पेस पासवर्ड इतने मूर्ख नहीं हैं". Wired Magazine. Archived from the original on May 21, 2014. Retrieved April 11, 2008.
  14. Matt Weir; Susdhir Aggarwal; Michael Collins; Henry Stern (7 October 2010). "प्रकट किए गए पासवर्डों के बड़े सेट पर हमला करके पासवर्ड निर्माण नीतियों के लिए मेट्रिक्स का परीक्षण करना" (PDF). Archived from the original on July 6, 2012. Retrieved March 21, 2012.
  15. "SP 800-63-3 – Digital Identity Guidelines" (PDF). NIST. June 2017. Archived from the original on August 6, 2017. Retrieved August 6, 2017.
  16. A. Allan. "पासवर्ड ब्रेकिंग पॉइंट के पास हैं" (PDF). Gartner. Archived from the original (PDF) on April 27, 2006. Retrieved April 10, 2008.
  17. Bruce Schneier. "सुरक्षा पर श्नाइयर". Write Down Your Password. Archived from the original on April 13, 2008. Retrieved April 10, 2008.
  18. सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ. doi:10.17487/RFC4086. RFC 4086.
  19. "Want to deter hackers? Make your password longer". NBC News. 2010-08-19. Retrieved 2010-11-07.
  20. "ईएफएफ डेस क्रैकर मशीन क्रिप्टो बहस में ईमानदारी लाती है". EFF. Archived from the original on January 1, 2010. Retrieved March 27, 2008.
  21. "64-bit key project status". Distributed.net. Archived from the original on September 10, 2013. Retrieved March 27, 2008.
  22. "72-bit key project status". Distributed.net. Retrieved October 12, 2011.
  23. Bruce Schneier. "Snakeoil: Warning Sign #5: Ridiculous key lengths". Archived from the original on April 18, 2008. Retrieved March 27, 2008.
  24. "क्वांटम कम्प्यूटिंग और एन्क्रिप्शन ब्रेकिंग". Stack Overflow. 2011-05-27. Archived from the original on 2013-05-21. Retrieved 2013-03-17.
  25. Microsoft Corporation, Strong passwords: How to create and use them Archived 2008-01-01 at the Wayback Machine
  26. Bruce Schneier, Choosing Secure Passwords Archived 2008-02-23 at the Wayback Machine
  27. Google, Inc., How safe is your password? Archived 2008-02-22 at the Wayback Machine
  28. University of Maryland, Choosing a Good Password Archived 2014-06-14 at the Wayback Machine
  29. Bidwell, Teri (2002). Hack Proofing Your Identity in the Information Age. Syngress Publishing. ISBN 978-1-931836-51-7.
  30. "NIST PASSWORD GUIDELINES IN 2020". Stealthbits. 18 August 2020. Retrieved 17 May 2021.
  31. "पासवर्ड नीति - अपने दृष्टिकोण को अपडेट करना". UK National Cyber Security Centre. Retrieved 17 May 2021.
  32. "Choosing and Protecting Passwords | CISA". www.cisa.gov. Retrieved 2022-01-12.
  33. "डिजिटल पहचान दिशानिर्देश". USA National Institute for Standards and Technology. Retrieved 17 May 2021.
  34. "सिस्टम स्वामियों के लिए पासवर्ड प्रशासन". UK National Cyber Security Centre. Retrieved 17 May 2021.
  35. 35.0 35.1 "पासवर्ड नियम - पासवर्ड जटिलता के संस्थापक सॉरी कहते हैं!". Retrieved 17 May 2021.
  36. "साइलैब प्रयोग करने योग्य गोपनीयता और सुरक्षा प्रयोगशाला (सीयूपीएस)". Carnegie Mellon University (USA). Retrieved 17 May 2021.
  37. Bruce, Schneier. "पासवर्ड सर्वोत्तम प्रथाओं में परिवर्तन". Schneier on Security. Retrieved 17 May 2021.
  38. 38.0 38.1 "अपना पासवर्ड लिख लें - श्नेयर ऑन सिक्योरिटी". www.schneier.com. Archived from the original on 2008-04-13.
  39. "What does the NCSC think of password managers?". www.ncsc.gov.uk. Archived from the original on 2019-03-05.
  40. e.g. for a keyboard with only 17 nonalphanumeric characters, see one for a BlackBerry phone in an enlarged image Archived 2011-04-06 at the Wayback Machine in support of Sandy Berger, BlackBerry Tour 9630 (Verizon) Cell Phone Review, in Hardware Secrets (August 31, 2009) Archived April 6, 2011, at the Wayback Machine, both as accessed January 19, 2010. That some websites don’t allow nonalphanumerics is indicated by Kanhef, Idiots, For Different Reasons (June 30, 2009) (topic post) Archived April 6, 2011, at the Wayback Machine, as accessed January 20, 2010.
  41. "ComodoHacker responsible for DigiNotar Attack – Hacking News". Thehackernews.com. 2011-09-06. Archived from the original on 2013-05-17. Retrieved 2013-03-17.
  42. Dave Basner (8 March 2019). "Here's Why 'ji32k7au4a83' Is A Surprisingly Common Password". Retrieved 25 March 2019.
  43. Bidwell, p. 87
  44. "एक अच्छा पासवर्ड चुनने के लिए दिशानिर्देश". Lockdown.co.uk. 2009-07-10. Archived from the original on 2013-03-26. Retrieved 2013-03-17.
  45. William, Cheswick (2012-12-31). "HTML संस्करण - पासवर्ड पर पुनर्विचार". Association for Computing Machinery (ACM). Archived from the original on 2019-11-03. Retrieved 2019-11-03.
  46. William, Cheswick (2012-12-31). "एसीएम डिजिटल लाइब्रेरी - पासवर्ड पर पुनर्विचार". Queue. 10 (12): 50–56. doi:10.1145/2405116.2422416. Archived from the original on 2019-11-03. Retrieved 2019-11-03.
  47. "न्यूनतम शक्ति, न्यूनतम लंबाई, और ब्लॉकलिस्ट आवश्यकताओं को मिलाकर मजबूत, अधिक उपयोग करने योग्य पासवर्ड के लिए व्यावहारिक अनुशंसाएं" (PDF). Carnegie Mellon University. Retrieved 17 May 2021.
  48. "पासवर्ड जटिलता नियमों के संस्थापक बिल बूर कहते हैं सॉरी!". Retrieved 17 May 2021.
  49. "ऑनलाइन सेवाओं में पासवर्ड". UK Information Commissioner's Office (ICO). Retrieved 17 May 2021.
  50. "डिजिटल पहचान दिशानिर्देश". USA National Institute of Standards and Technology. Retrieved 17 May 2021.
  51. "पासवर्ड मार्गदर्शन" (PDF). Cyber Security, UK Government Communications Headquarters. Retrieved 17 May 2021.
  52. "एक मजबूत पासवर्ड बनाएँ". Google Inc. Retrieved 17 May 2021.
  53. "लॉगिन और पासवर्ड मदद". FaceBook Inc. Retrieved 17 May 2021.
  54. "Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903". Microsoft. Retrieved 17 May 2021.
  55. "पासवर्ड समाप्ति के बचाव में". League of Professional Systems Administrators. Archived from the original on October 12, 2008. Retrieved April 14, 2008.
  56. "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.
  57. Eugene Spafford. "सुरक्षा मिथक और पासवर्ड". The Center for Education and Research in Information Assurance and Security. Archived from the original on April 11, 2008. Retrieved April 14, 2008.
  58. Johannes Kiesel; Benno Stein; Stefan Lucks (2017). "स्मरक पासवर्ड सलाह का एक बड़े पैमाने पर विश्लेषण" (PDF). Proceedings of the 24th Annual Network and Distributed System Security Symposium (NDSS 17). Internet Society. Archived from the original (PDF) on 2017-03-30. Retrieved 2017-03-30.
  59. Mnemonic Devices (Indianapolis, Ind.: Bepko Learning Ctr., University College), as accessed January 19, 2010 Archived June 10, 2010, at the Wayback Machine
  60. Remembering Passwords (ChangingMinds.org) Archived 2010-01-21 at Wikiwix, as accessed January 19, 2010
  61. Cipresso, P; Gaggioli, A; Serino, S; Cipresso, S; Riva, G (2012). "यादगार और मजबूत पासवर्ड कैसे बनाएं". J Med Internet Res. 14 (1): e10. doi:10.2196/jmir.1906. PMC 3846346. PMID 22233980.
  62. Brumen, B; Heričko, M; Rozman, I; Hölbl, M (2013). "सुरक्षा विश्लेषण और साइकोपास पद्धति में सुधार।". J Med Internet Res. 15 (8): e161. doi:10.2196/jmir.2366. PMC 3742392. PMID 23942458.
  63. "zxcvbn: realistic password strength estimation". Dropbox Tech Blog. Archived from the original on 2015-04-05.
  64. Morley, Katie (2016-02-10). "Use the same password for everything? You're fuelling a surge in current account fraud". Telegraph.co.uk (in English). Archived from the original on 2017-05-13. Retrieved 2017-05-22.
  65. Microsoft security guru: Jot down your passwords Archived 2016-02-05 at the Wayback Machine, c\net Retrieved on 2016-02-02
  66. Simple methods (e.g., ROT13 and some other old ciphers) may suffice; for more sophisticated hand-methods see Bruce Schneier, The Solitaire Encryption Algorithm (May 26, 1999) (ver. 1.2) Archived November 13, 2015, at the Wayback Machine, as accessed January 19, 2010, and Sam Siewert, Big Iron Lessons, Part 5: Introduction to Cryptography, From Egypt Through Enigma (IBM, July 26, 2005) Archived August 3, 2010, at the Wayback Machine, as accessed January 19, 2010.
  67. "Safer Password For Web, Email And Desktop/Mobile Apps". bizpages.org. Retrieved 2020-09-14.
  68. Blake Ross; Collin Jackson; Nicholas Miyake; Dan Boneh; John C. Mitchell (2005). "ब्राउज़र एक्सटेंशन का उपयोग कर मजबूत पासवर्ड प्रमाणीकरण" (PDF). Proceedings of the 14th Usenix Security Symposium. USENIX. pp. 17–32. Archived (PDF) from the original on 2012-04-29.
  69. J. Alex Halderman; Brent Waters; Edward W. Felten (2005). पासवर्ड सुरक्षित रूप से प्रबंधित करने के लिए एक सुविधाजनक तरीका (PDF). ACM. pp. 1–9. Archived (PDF) from the original on 2016-01-15.


बाहरी संबंध