पासवर्ड

From Vigyanwiki

अन्य उपयोगों के लिए, पासवर्ड (बहुविकल्पी) देखें।

अपने विकिपीडिया पासवर्ड के संबंध में सहायता के लिए, सहायता देखें: पासवर्ड पुनः स्थापित करें।

"पासकोड" यहां पुनर्निर्देश करता है। जापानी मूर्ति समूह के लिए, पासकोड (समूह) देखें।

एक साइन इन फॉर्म में एक पासवर्ड फ़ील्ड।

पासवर्ड, जिसे कभी-कभी पासकोड कहा जाता है (उदाहरण के लिए एप्पल उपकरणों में),[1] गुप्त डेटा है, सामान्यतः वर्णों की एक स्ट्रिंग, सामान्यतः उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग की जाती है।[1] परंपरागत रूप से, पासवर्ड स्मरण रखने की अपेक्षा की जाती थी,[2] लेकिन बड़ी संख्या में पासवर्ड से सुरक्षित सेवाएं जो एक विशिष्ट व्यक्ति एक्सेस करता है, प्रत्येक सेवा के लिए अद्वितीय पासवर्ड को याद रखना अव्यावहारिक बना सकता है।[3] NIST डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए,[4] गुप्तता अधिकार प्रतिपादक नामक समर्थक द्वारा आयोजित किया जाता है जबकि अधिकार प्रतिपादक की पहचान की पुष्टि करने वाली समर्थक को प्रमाणक (verifier) कहा जाता है। जब अधिकार प्रतिपादक एक स्थापित प्रमाणीकरण प्रोटोकॉल के माध्यम से प्रमाणक को पासवर्ड का ज्ञान सफलतापूर्वक प्रदर्शित करता है,[5] प्रमाणक अधिकार प्रतिपादक की पहचान का अनुमान लगाने में सक्षम है।

सामान्य रूप से, एक पासवर्ड अक्षर, अंक, या अन्य प्रतीकों सहित वर्ण (कंप्यूटिंग) का यादृच्छिक स्ट्रिंग (कंप्यूटर विज्ञान) है। यदि अनुमेय वर्ण संख्यात्मक होने के लिए बाधित हैं, तो संबंधित गुप्तता को कभी-कभी व्यक्तिगत पहचान संख्या (PIN) कहा जाता है।

हांलाकि, इसके नाम को भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गुप्तता जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी पासफ्रेज कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।[6]

इतिहास

पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। पोलिबियस प्राचीन रोम की सेना में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:

जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें मणिपल (सैन्य इकाई) से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है, एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय ट्रिब्यून के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (टैबलेट) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और टैबलेट वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और सभी के माध्यम से उसके पास वापस आ गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत पूछताछ जाँच करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।[7]

सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिक दिनों में, यू.एस. 101वें विमानवाहित विभाग के पैराट्रूपर ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया-धमकी के साथ उत्तर दिया। प्रत्येक तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर ने पासवर्ड प्रणाली के स्थान पर D-दिवस पर "क्रिकेट" के रूप में एक उपकरण का उपयोग अस्थायी रूप से अभिनिर्धारण की अनन्य विधि के रूप में किया; पासवर्ड के बदले उपकरण द्वारा दिए गए एक धात्विक क्लिक को उत्तर में दो क्लिक से पूरा किया जाना था।[8]

कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के साथ पासवर्ड का उपयोग किया जाता रहा है। संगत समय-साझाकरण प्रणाली (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।[9][10] CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गुप्तता के साथ अपना पासवर्ड टाइप कर सके।[11] 1970 के दशक की प्रारंभ में, रॉबर्ट मॉरिस (क्रिप्टोग्राफर) ने यूनिक्स ऑपरेटिंग सिस्टम के भाग के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्‍तलेखन मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे कूटलेख (3) के रूप में जाना जाता है, ने 12-बिट तर्कशीलता (क्रिप्टोग्राफी) का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार डेटा एन्क्रिप्शन मानक (DES) एल्गोरिथम के एक संशोधित रूप को लागू किया।[12]

आधुनिक समय में, उपयोगकर्ता (कंप्यूटिंग) और पासवर्ड सामान्यतः लॉगिंग (कंप्यूटर सुरक्षा) प्रक्रिया के समय लोगों द्वारा उपयोग किए जाते हैं जो संरक्षित कंप्यूटर ऑपरेटिंग सिस्टम, मोबाइल फोन, केबल टीवी डिकोडर,स्वचालित टेलर मशीन (एटीएम), आदि तक अभिगम्य नियंत्रण करते हैं। एक विशिष्ट कंप्यूटर उपयोगकर्ता के पास कई उद्देश्यों के लिए पासवर्ड होते हैं: खातों में लॉग इन करना, ईमेल प्राप्त करना, एप्लिकेशन, डेटाबेस, नेटवर्क, वेब साइट्स तक पहुंचना और यहां तक ​​कि सुबह का अखबार ऑनलाइन पढ़ना।

एक सुरक्षित और स्मरणीय पासवर्ड चुनना

उपयोगकर्ता के लिए पासवर्ड याद रखना जितना आसान होता है सामान्यतः इसका अर्थ हैकर (कंप्यूटर सुरक्षा) के लिए अनुमान लगाना आसान होगा।[13] हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (a) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से संग्रहण करने की आवश्यकता हो सकती है, (b) उपयोगकर्ताओं को निरंतर पासवर्ड रीसेट (पुनः स्थापित) करने की आवश्यकता होगी और (c) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का पुनःउपयोग करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि बड़ा और छोटे अक्षरों और अंकों का संयुक्त रूप होता है या इसे मासिक रूप से बदले, उतना अधिक उपयोगकर्ता सिस्टम को नष्ट कर देगा।[14] दूसरों का तर्क है कि लंबे पासवर्ड वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में अधिक सुरक्षा प्रदान करते हैं (जैसे, एंट्रॉपी)।[15]

पासवर्ड की स्मरणीय और सुरक्षा में,[16] जेफ यान एट अल. पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही स्मरणीय होते हैं जितने कि सरलता से चुने गए पासवर्ड, और अव्यवस्थिततः से उत्पन्न पासवर्ड के रूप में (तोड़ना) क्रैक करना उतना ही कठिन है।

दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,[17] लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया एल्गोरिथम होना एक और अच्छा तरीका है।[18]

हालाँकि, उपयोगकर्ताओं को बड़े और छोटे वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करना केवल थोड़ा कठिन है (उदाहरण के लिए 7-अक्षर वाले पासवर्ड को क्रैक करना केवल 128 गुना कठिन है, यदि, उपयोगकर्ता केवल अक्षरों में से किसी एक को बड़ा करता है) तो उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो आक्षेपकों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना आक्षेपकों के लिए ज्ञात एक सामान्य ट्रिक है।[19]

2013 में, गूगल ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची प्रस्तुत की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):[20]

  • एक पालतू जानवर, बच्चे, परिवार के सदस्य या महत्वपूर्ण अन्य का नाम
  • वर्षगांठ दिनांक और जन्मदिन
  • जन्म स्थान
  • एक पसंदीदा छुट्टी का नाम
  • पसंदीदा खेल टीम से संबंधित कुछ
  • शब्द पासवर्ड

संस्मरण के विकल्प

पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।[3] पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक असुरक्षित प्रक्रिया है क्योंकि एक खाते में डेटा का विच्छेद अन्य खातों से आपस में मिल सकता है। कम जोखिम वाले विकल्पों में पासवर्ड प्रबंधक का उपयोग, एक साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल लेख सूची रखना सम्मिलित है।[21] इस तरह के प्रक्रिया पासवर्ड की संख्या को कम कर सकते हैं, जैसे कि पासवर्ड प्रबंधक का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में याद रखना चाहिए।

पासवर्ड प्रणाली की सुरक्षा के कारक

पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को कंप्यूटर वायरस, मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। भौतिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं, जिसमें शोल्डर सर्फिंग से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक जोखिम सम्मिलित हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी आक्षेपक के लिए उनका अनुमान लगाना कठिन हो और आक्षेपक के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए पासवर्ड क्षमता और कंप्यूटर सुरक्षा देखें।[22]

आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास उपस्थित लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस प्रक्रिया से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को असुरक्षित पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।[22]

प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक संकेत प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं।[23] बहुत कम उपायों में एक्सटॉर्शन, रबर होज़ क्रिप्टैनालिसिस और साइड चैनल आक्षेप सम्मिलित हैं।

कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चयन और संचालन करते समय विचार किया जाना चाहिए।

दर जिस पर एक आक्षेपक अनुमानित पासवर्ड का प्रयास कर सकता है

दर जिस पर एक आक्षेपक सिस्टम को अनुमानित पासवर्ड प्रस्तुत कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का समय-समापन लगाती हैं, जिसे उपरोध भी कहा जाता है।[4] : 63B Sec 5.2.2  अन्य असुरक्षितियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।[24]

कई प्रणालियाँ पासवर्ड के प्रच्छन्नालेखी हैश फंक्शन को संग्रहीत करती हैं। यदि किसी आक्षेपक को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैशमान के विरुद्ध पदान्वेषी पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन आक्षेपक केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन आक्षेपक (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर आक्षेप चल रहा है।

पासवर्ड जो प्रच्छन्नालेखी कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, डिस्क पुनःगुप्‍तलेखन या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड आक्षेप को बहुत ही कुशल बना सकते हैं। (पासवर्ड क्रैकिंग देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे आक्षेपक के लिए अभिकलनीय रूप से ऐसा आक्षेप अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे PGP और Wi-Fi WPA, ऐसे आक्षेप को निष्क्रिय करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। कुंजी विस्तृत देखें।

पासवर्ड अनुमानों की संख्या की सीमा

जिस दर पर एक आक्षेपक पासवर्ड पर अनुमान लगा सकता है, उसे सीमित करने का एक विकल्प अनुमानों की कुल संख्या को सीमित करना है जो कि किए जा सकते हैं। पासवर्ड को अक्षम किया जा सकता है, जिसके लिए पुनः स्थापित की आवश्यकता होती है, निरंतर खराब अनुमानों की एक छोटी संख्या के बाद (5 कहते है); और उपयोगकर्ता को खराब अनुमानों की एक बड़ी संचयी संख्या (मान लीजिए 30) के बाद पासवर्ड बदलने की आवश्यकता हो सकती है, ताकि आक्षेपक को वैध पासवर्ड उपयोगकर्ता द्वारा किए गए अच्छे अनुमानों के बीच अव्यवस्थित रूप से बड़ी संख्या में गलत अनुमान लगाने से रोका जा सके।[25] इसके विपरीत, उपयोगकर्ता अभिप्रायपूर्वक उपयोगकर्ता को अपने उपकरण से अभिबंधन करके उपयोगकर्ता के विरुद्ध सेवा से अस्वीकार आक्षेप को लागू करने के लिए कर सकते है; सेवा से अस्वीकार करने से आक्षेपक के लिए सोशल इंजीनियरिंग (सुरक्षा) के माध्यम से अपने लाभ के लिए स्थिति में कुशलतापूर्वक प्रयोग करने के लिए अन्य रास्ते खुल सकते हैं।

संग्रहीत पासवर्ड का रूप

कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को केवल पाठयांश के रूप में संग्रहण करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई आक्षेपक ऐसे आंतरिक पासवर्ड संग्रहण तक अभिगम्य प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समाधान कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समाधान किया जाएगा।

अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को प्रच्छन्नालेखी रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक अभिगम्य एक गुप्तचर के लिए अभी भी कठिन होगी जो सिस्टम में आंतरिक अभिगम्य प्राप्त करता है, जबकि उपयोगकर्ता अभिगम्य प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एकपक्षीय व्युत्पत्ति, जैसे बहुपद, मापांक, या एक विकसित हैश फंक्शन।[15] रोजर नीधम ने सरल टेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य पद्धति का आविष्कार किया।[26][27] जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर प्रच्छन्नालेखी हैश फंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस (अभिगम्य) की स्वीकृति है। हैश मान एक प्रच्छन्नालेखी हैश फंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, तर्कशीलता (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक तर्कशीलता आक्षेपकों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच प्रवर्धन करने से रोकता है।[28] MD5 और SHA1 प्रायः प्रच्छन्नालेखी हैश फंक्शन का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि PBKDF2 के भाग के रूप में नहीं किया जाता है।[29]

संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में संग्रहीत किया जाता है।[30]

पासवर्ड के लिए मुख्य भंडारण विधियाँ सरल टेक्स्ट, हैशेड, और तर्कशीलता, और प्रतिवर्ती रूप से गुप्तता हैं।[31] यदि कोई आक्षेपक पासवर्ड फ़ाइल तक अभिगम्य प्राप्त करता है, तो यदि इसे सरल टेक्स्ट के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन तर्कशीलताीन नहीं है तो यह रेनबो टेबल आक्षेप (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि आक्षेपक को फ़ाइल के साथ विकोडन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को तर्कशीलता और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।[31]

यदि एक प्रच्छन्नालेखी हैश फंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सरल टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को विपरीत करने के लिए अभिकलनीय रूप से संभव नहीं है। हालांकि, एक आक्षेपक पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध उपकरण का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि आक्षेपक को कोई प्रतिद्वंदी मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग उपकरण ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को उपयोगकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।[15] पासवर्ड क्रैकिंग उपकरण की सम्मिलित आक्षेपकों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, आक्षेपक छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।[32]

डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।[33] क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट तर्कशीलता मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फंक्शन को मंद करने के लिए DES एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।[33] एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, लिनक्स या विभिन्न BSD सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे PBKDF2,, बीक्रिप्ट, और एसक्रिप्ट का उपयोग करते हैं, जिनमें बड़े तर्कशीलता और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।[34] एक खराब डिज़ाइन किया गया हैश फंक्शन आक्षेप को संभव बना सकता है, यद्यपि एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से प्रसारित और असुरक्षित उदाहरण के लिए LM हैश देखें।[35]

नेटवर्क पर पासवर्ड सत्यापित करने के तरीके

पासवर्ड का सरल प्रसारण

प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, गुप्तचर) के लिए असुरक्षित होते हैं। यदि पासवर्ड को उपयोगकर्ता अभिगम्य बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह वायरटैपिंग विधियों द्वारा गुप्तचर के अधीन है। यदि इसे इंटरनेट पर पैकेट डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले पैकेट को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ गुप्तचर के रूप से काम कर सकता है।

ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सरल टेक्स्ट के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी प्रच्छन्नश्रावी द्वारा अभिगमन के समय बिना किसी प्रयास के पढ़ा जा सकता है। इसके अतिरिक्त, संदेश को कम से कम दो कंप्यूटरों पर सरल टेक्स्ट के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी संचारण के समय मध्यवर्ती सिस्टम से निकलता है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर बैकअप, कैश (कंप्यूटिंग) या विवरण फाइलों में कॉपी किया जा सकता है।

क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल सेवा सिस्टम सर्वर से क्लाइंट मशीन तक प्रसारण की सुरक्षा करेगा। ईमेल के पहले या बाद के प्रसारण को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट टेक्स्ट में संग्रहीत किया जाएगा।

एन्क्रिप्टेड चैनलों के माध्यम से प्रसारण

गुप्‍तलेख (क्रिप्टोग्राफी) सुरक्षा का उपयोग करके, अन्य पद्धति के साथ, इंटरनेट पर भेजे गए पासवर्डों के अवरोधन के जोखिम को कम किया जा सकता है। सबसे व्यापक रूप से उपयोग किया जाने वाला अभिगमन स्तर सुरक्षा (TLS, जिसे पहले SSL कहा जाता था) फीचर सबसे वर्तमान इंटरनेट वेब ब्राउज़र में बनाया गया है। जब TLS उपयोग में होता है, तो अधिकांश ब्राउज़र एक बंद लॉक आइकन, या कुछ अन्य संकेत प्रदर्शित करके सर्वर के साथ TLS/SSL-संरक्षित दूरभाष-केंद्र के उपयोगकर्ता को सतर्क करते हैं। उपयोग में कई अन्य तकनीकें हैं; क्रिप्टोग्राफी देखें।

हैश-आधारित निर्देशार्थ-प्रतिक्रिया के तरीके

दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; और बाद मे सर्वर को प्रमाणित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि साझा गुप्तता (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गुप्तता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गुप्तता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उद्भासन करने की मह्त्वपूर्ण परिसीमा होती है। इसके अतिरिक्त, जब हैश का उपयोग एक साझा गुप्तता के रूप में किया जाता है, तो आक्षेपक को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की आवश्यकता है।

शून्य-ज्ञान पासवर्ड प्रमाण

पासवर्ड संचरण करने, या पासवर्ड के हैश को संचरण करने के अतिरिक्त, पासवर्ड-प्रमाणित कुंजी अनुबंध सिस्टम एक शून्य-ज्ञान पासवर्ड प्रमाण का प्रदर्शन कर सकते हैं, जो पासवर्ड को प्रकट किए बिना ज्ञान प्रमाणित करता है।

एक स्टेप आगे बढ़ते हुए, पासवर्ड-प्रमाणीकृत कुंजी अनुबंध के लिए संवर्धित सिस्टम (जैसे, AMP, B-SPEKE, PAK-Z, SRP-6) हैश-आधारित तरीके के विरोध और सीमा दोनों से बचते हैं । एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान प्रमाणित करने की स्वीकृति देती है, जहां सर्वर केवल एक (सही नहीं) हैश पासवर्ड जानता है, और जहां अभिगम्य प्राप्त करने के लिए अनहैश पासवर्ड की आवश्यकता होती है।

पासवर्ड बदलने की प्रक्रियाएं

सामान्यतः, एक सिस्टम को पासवर्ड बदलने का एक तरीका प्रदान करना चाहिए, या तो उपयोगकर्ता का मानना ​​​​है कि वर्तमान पासवर्ड से, या पूर्वोपाय के रूप में समाधान किया गया है (या हो सकता है)। यदि एक नया पासवर्ड सिस्टम को एन्क्रिप्ट नहीं किए गए रूप में स्वीकृत किया जाता है, तो पासवर्ड डेटाबेस में नया पासवर्ड स्थापित करने से पहले ही सुरक्षा नष्ट हो सकती है (उदाहरण के लिए, टेलीफोन टैपिंग के माध्यम से) और यदि नया पासवर्ड संक्रमित नियुक्त किया जाता है, तो बहुत कम लाभ होता है। स्पष्ट रूप से बढ़ी हुई प्रवणता के साथ कुछ वेबसाइटों में एक सरल टेक्स्ट पुष्टिकरण ई-मेल संदेश में उपयोगकर्ता द्वारा चयनित पासवर्ड सम्मिलित होता है।

नष्ट हुए पासवर्ड के लिए प्रतिस्थापन प्रस्तुत करने को स्वचालित करने के लिए पहचान प्रबंधन प्रणालियों का तेजी से उपयोग किया जा रहा है, एक सुविधा जिसे स्वयं-सेवा पासवर्ड पुनः स्थापित कहा जाता है। उपयोगकर्ता की पहचान प्रश्न पूछकर और पहले से संग्रहीत जबाबों की तुलना करके सत्यापित की जाती है (अर्थात, जब खाता खोला गया था)।

कुछ पासवर्ड पुनः स्थापित प्रश्न व्यक्तिगत जानकारी मांगते हैं जो सोशल मीडिया पर मिल सकती है, जैसे कि माता का विवाह पूर्व नाम। परिणामस्वरूप, कुछ सुरक्षा विशेषज्ञ सलाह देते हैं कि या तो स्वयं प्रश्न बनाएं या गलत उत्तर दें।[36]


पासवर्ड दीर्घता

पासवर्ड दीर्घता कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को बार-बार पासवर्ड परिवर्तित करने के लिए मजबूर करती है (जैसे, त्रैमासिक, मासिक या इससे भी अधिक बार)। इस तरह की युक्तियां सामान्यतः उपयोगकर्ता के विरोध और सबसे अच्छे रूप में आधार खींचने और सबसे खराब विरोध को उत्तेजित करती हैं। प्रायः उन लोगों की संख्या में वृद्धि होती है जो पासवर्ड को नोट कर लेते हैं और उसे आसानी से मिलने वाली जगह पर छोड़ देते हैं, साथ ही अस्मरणीय पासवर्ड को पुनः स्थापित करने के लिए हेल्प डेस्क पर कॉल करते हैं। उपयोगकर्ता अपने पासवर्ड को स्मरणीय बनाए रखने के लिए सरल पासवर्ड का उपयोग कर सकते हैं या एक संगत प्रकरण पर विविधता पैटर्न विकसित कर सकते हैं।[37] इन विषय के कारण, इस बारे में कुछ विचार-विमर्श हो रही है कि पासवर्ड दीर्घता प्रभावी है या नहीं।[38] पासवर्ड बदलने से अधिकतम स्थितियों में दुरुपयोग नहीं रुकेगा, क्योंकि दुरुपयोग प्रायः तुरंत ध्यान देने योग्य होगा। हालांकि, अगर किसी के पास किसी माध्यम से पासवर्ड तक पहुंच हो सकती है, जैसे कंप्यूटर साझा करना या किसी अलग साइट का उल्लंघन करना, पासवर्ड बदलने से दुरुपयोग के लिए विंडो सीमित हो जाती है।[39]

प्रति पासवर्ड उपयोगकर्ताओं की संख्या

सिस्टम के प्रत्येक उपयोगकर्ता को अलग-अलग पासवर्ड निर्धारित करना सिस्टम के वैध उपयोगकर्ताओं द्वारा साझा किए गए भिन्न पासवर्ड के लिए, निश्चित रूप से सुरक्षा के पद्धति से अधिमान्य है। यह आंशिक रूप से इसलिए है क्योंकि उपयोगकर्ता विशेष रूप से उनके उपयोग के लिए किसी अन्य व्यक्ति (जो अधिकृत नहीं हो सकते हैं) को एक साझा पासवर्ड बताने के लिए अधिक तत्पर हैं। एक पासवर्ड बदलने के लिए भी बहुत कम उपयुक्त होते हैं क्योंकि एक ही समय में कई लोगों को बताने की आवश्यकता होती है, और वे किसी विशेष उपयोगकर्ता की अभिगम्य को और अधिक कठिन बना देते हैं, उदाहरण के लिए स्नातक या इस्तीफे पर। अभिनिर्धारण के लिए अलग लॉगिन का भी प्रायः उपयोग किया जाता है, उदाहरण के लिए यह जानने के लिए कि डेटा का एक भाग किसने परिवर्तित किया।

पासवर्ड सुरक्षा संरचना

पासवर्ड द्वारा संरक्षित कंप्यूटर सिस्टम की सुरक्षा में सुधार के लिए उपयोग की जाने वाली सामान्य तकनीकों में सम्मिलित हैं:

  • डिस्प्ले स्क्रीन पर पासवर्ड प्रदर्शित नहीं करना क्योंकि यह प्रविष्ट किया जा रहा है या इसे अस्पष्ट कर रहा है क्योंकि यह तारे का चिन्ह (*) या बड़े निशान (•) का उपयोग करके टाइप किया गया है।
  • पर्याप्त लंबाई के पासवर्ड की स्वीकृति देना। (यूनिक्स और विंडोज के प्रारंभिक संस्करणों सहित कुछ लीगेसी ऑपरेटिंग सिस्टम[which?], अधिकतम 8 वर्णों तक सीमित पासवर्ड,[40][41] सुरक्षा कम करना।)
  • उपयोगकर्ताओं को निष्क्रियता की अवधि (एक अर्ध लॉग-ऑफ युक्ति ) के बाद अपना पासवर्ड पुनः प्रविष्ट करने की आवश्यकता होती है।
  • पासवर्ड शक्ति और सुरक्षा बढ़ाने के लिए पासवर्ड युक्ति लागू करना।
    • यादृच्छिक रूप से चुने गए पासवर्ड निरूपण करना।
    • न्यूनतम पासवर्ड लंबाई की आवश्यकता है।[29]
    • कुछ प्रणालियों को पासवर्ड में विभिन्न वर्ण वर्गों के वर्णों की आवश्यकता होती है—उदाहरण के लिए, कम से कम एक अपरकेस और कम से कम एक लोअरकेस अक्षर होना चाहिए। हालांकि, मिश्रित कैपिटलाइज़ेशन पासवर्ड की तुलना में सभी-लोअरकेस पासवर्ड प्रति कीस्ट्रोक अधिक सुरक्षित हैं।[42]
    • असुरक्षित, आसानी से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए एक ब्लैकलिस्ट (कंप्यूटिंग) उपयोगकर्ता नाम और पासवर्ड नियोजित करें
    • कीबोर्ड प्रविष्टि का विकल्प प्रदान करना (उदाहरण के लिए, बोले गए पासवर्ड या बॉयोमीट्रिक्स पहचानकर्ता)।
    • एक से अधिक प्रमाणीकरण प्रणाली की आवश्यकता होती है, जैसे दो-कारक प्रमाणीकरण (उपयोगकर्ता के पास कुछ है और उपयोगकर्ता कुछ जानता है)।
  • नेटवर्क आक्षेप के माध्यम से प्रेषित पासवर्ड तक अभिगम्य को रोकने के लिए एन्क्रिप्टेड टनल या पासवर्ड-प्रमाणित कुंजी अनुबंध का उपयोग करना
  • एक निश्चित समय अवधि के अंदर अनुमत विफलताओं की संख्या को सीमित करना (बार-बार पासवर्ड अनुमान लगाने से रोकने के लिए)। सीमा समाप्त होने के बाद, अगली समय अवधि के प्रारंभ होने तक आगे के प्रयास विफल हो जाएंगे (सही पासवर्ड प्रयासों सहित)। हालांकि, यह एक प्रकार के सेवा से निषेध आक्षेप के लिए असुरक्षित है।
  • स्वचालित पासवर्ड अनुमान लगाने वाले कार्यक्रमों को मंद करने के लिए पासवर्ड निवेदन करने के प्रयासों के बीच विलंब का परिचय देना।

कुछ अधिक दृढ़ युक्ति प्रवर्तन उपाय उपयोगकर्ताओं को हटाने का जोखिम उत्पन्न कर सकते हैं, परिणामस्वरूप संभवतः सुरक्षा कम हो सकती है।

पासवर्ड पुन: उपयोग

कंप्यूटर उपयोगकर्ताओं के बीच एक ही पासवर्ड को कई साइटों पर पुन: उपयोग करना सामान्य बात है। यह एक पर्याप्त सुरक्षा जोखिम प्रस्तुत करता है, क्योंकि एक हैकर (कंप्यूटर सुरक्षा) को पीड़ित द्वारा उपयोग की जाने वाली अन्य साइटों तक अभिगम्य प्राप्त करने के लिए केवल एक साइट से समाधान करने की आवश्यकता होती है। उपयोगकर्ता (कंप्यूटिंग) का पुन: उपयोग करने और ईमेल लॉगिन की आवश्यकता वाली वेबसाइटों द्वारा भी यह समस्या बढ़ जाती है, क्योंकि यह एक आक्षेपक के लिए एक ही उपयोगकर्ता को कई साइटों पर खोज निकालना आसान बनाता है। स्मरणीय,पासवर्ड को पेपर पर लिखकर या पासवर्ड प्रबंधक का उपयोग करके पासवर्ड के पुन: उपयोग से बचा जा सकता है या कम किया जा सकता है।[43]

रेडमंड के शोधकर्ताओं डिनेई फ्लोरेंशियो और कॉर्मैक हर्ली ने कार्लेटन विश्वविद्यालय, कनाडा के पॉल सी. वैन ओरशोट के साथ मिलकर यह तर्क दिया है कि पासवर्ड का पुन: उपयोग अपरिहार्य है, और यह कि उपयोगकर्ताओं को कम सुरक्षा वाली वेबसाइटों के लिए पासवर्ड का पुन: उपयोग करना चाहिए (उदाहरण के लिए, जिसमें बहुत कम व्यक्तिगत डेटा होता है और कोई वित्तीय जानकारी नहीं, ) और इसके अतिरिक्त बैंक खातों जैसे कुछ महत्वपूर्ण खातों के लिए लंबे, जटिल पासवर्ड याद रखने के अपने प्रयासों पर ध्यान केंद्रित करें।[44] मानव स्मृति में समान सीमाओं के कारण फोर्ब्स द्वारा पासवर्ड न बदलने के समान तर्क दिए गए थे, जितनी बार "विशेषज्ञ" सलाह देते हैं।।[37]

पेपर पर पासवर्ड लिखना

ऐतिहासिक रूप से, कई सुरक्षा विशेषज्ञों ने लोगों से अपने पासवर्ड याद रखने के लिए कहा: कभी भी पासवर्ड न लिखें। अभी हाल ही में, कई सुरक्षा विशेषज्ञ जैसे कि ब्रूस श्नेयर लोगों को सलाह देते हैं कि लोग ऐसे पासवर्ड का उपयोग करें जो याद रखने के लिए बहुत जटिल हैं, उन्हें पेपर पर लिख लें, और उन्हें एक पर्स में रखें।[45][46][47][48][49][50]

पासवर्ड प्रबंधक सॉफ्टवेयर एक मास्टर पासवर्ड के साथ सील की गई एन्क्रिप्टेड फ़ाइल में पासवर्ड को अपेक्षाकृत सुरक्षित रूप से संग्रहीत कर सकता है।

मृत्यु के बाद

लंदन विश्वविद्यालय के एक सर्वेक्षण के अनुसार, दस में से एक व्यक्ति अब मरने पर इस महत्वपूर्ण जानकारी को पास करने के लिए अपनी वसीयत में अपना पासवर्ड छोड़ रहा है। सर्वेक्षण के अनुसार, एक-तिहाई लोग इस बात से सहमत हैं कि उनका पासवर्ड-सुरक्षित डेटा उनकी वसीयत में पारित करने के लिए पर्याप्त महत्वपूर्ण है।[51]

बहु-कारक प्रमाणीकरण

बहु-कारक प्रमाणीकरण योजनाएँ प्रमाणीकरण के एक या अधिक अन्य साधनों के साथ पासवर्ड (ज्ञान कारकों के रूप में) को जोड़ती हैं, ताकि प्रमाणीकरण को अधिक सुरक्षित और समाधान किए गए पासवर्ड के लिए कम असुरक्षित बनाया जा सके। उदाहरण के लिए, साधारण दो-कारक लॉगिन एक टेक्स्ट संदेश, ई-मेल, स्वचालित फोन कॉल या इसी तरह की चेतावनी भेज सकता है जब भी कोई लॉगिन प्रयास किया जाता है, संभवतः एक कोड की आपूर्ति करता है जिसे पासवर्ड के अतिरिक्त प्रविष्ट किया जाना चाहिए।[52] अधिक परिष्कृत कारकों में हार्डवेयर टोकन और बायोमेट्रिक सुरक्षा जैसी वस्तुए सम्मिलित हैं।

पासवर्ड नियम

अधिकांश संगठन एक पासवर्ड युक्ति निर्दिष्ट करते हैं जो पासवर्ड की संरचना और उपयोग के लिए आवश्यकताओं को निर्धारित करती है, सामान्यतः न्यूनतम लंबाई, आवश्यक श्रेणियां (जैसे, ऊपरी और निचले स्थिति, संख्याएं और विशेष वर्ण), निषिद्ध तत्व (जैसे, किसी के अपने नाम का उपयोग, जन्म तिथि, पता, टेलीफोन नंबर)। कुछ सरकारों के पास राष्ट्रीय प्रमाणीकरण रूपरेखा होते हैं[53] जो पासवर्ड के लिए आवश्यकताओं सहित सरकारी सेवाओं के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकताओं को परिभाषित करता है।

कई वेबसाइट न्यूनतम और अधिकतम लंबाई जैसे मानक नियम लागू करती हैं, लेकिन प्रायः कम से कम एक बड़ा अक्षर और कम से कम एक नंबर/प्रतीक जैसे रचना नियम भी सम्मिलित करती हैं। ये बाद वाले, अधिक विशिष्ट नियम अधिकतम राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) की 2003 की एक रिपोर्ट पर आधारित थे, जिसे बिल बूर ने लिखा था।[54] इसने मूल रूप से संख्याओं, अस्पष्ट वर्णों और बड़े अक्षरों का उपयोग करने और नियमित रूप से अद्यतन करने का प्रक्रिया प्रस्तावित किया। 2017 वॉल स्ट्रीट जर्नल के एक लेख में, बूर ने बताया कि उन्हें इन प्रस्तावों पर खेद है और जब उन्होंने उनकी सिफारिश की तो उन्होंने गलती की।[55]

इस NIST रिपोर्ट के 2017 के पुनर्लेखन के अनुसार, कई वेबसाइट के नियम हैं जो वास्तव में उनके उपयोगकर्ताओं की सुरक्षा पर विपरीत प्रभाव डालते हैं। इसमें जटिल संरचना नियमों के साथ-साथ निश्चित अवधि के बाद बलपूर्वक पासवर्ड परिवर्तन सम्मिलित हैं। जबकि ये नियम लंबे समय से व्यापक हैं, उन्हें उपयोगकर्ताओं और साइबर सुरक्षा विशेषज्ञों दोनों द्वारा लंबे समय से कष्टप्रद और अप्रभावी के रूप में देखा गया है।[56] NIST अनुशंसा करता है कि लोग पासवर्ड के रूप में लंबे वाक्यांशों का उपयोग करें (और वेबसाइटों को अधिकतम पासवर्ड लंबाई बढ़ाने की सलाह देते हैं) न कि याद रखने में कठिन पासवर्ड जैसे कि pA55w+rd।[57] एक उपयोगकर्ता को पासवर्ड का उपयोग करने से रोका गया है, यदि आवश्यक हो तो संख्या और अपरकेस अक्षर सम्मिलित करने के लिए बस पासवर्ड 1 चुन सकते हैं। अनिवार्य रूप से समय-समय पर पासवर्ड बदलने के साथ संयुक्त, इससे ऐसे पासवर्ड बन सकते हैं जिन्हें याद रखना कठिन है लेकिन क्रैक करना आसान है।[54]

2017 NIST रिपोर्ट के लेखकों में से एक पॉल ग्रासी ने आगे विस्तार से बताया: सभी जानते है कि एक विस्मयादिबोधक बिंदु एक 1, या एक I, या एक पासवर्ड का अंतिम वर्ण है। $ एक S या 5 है। यदि हम इन प्रसिद्ध विधियों का उपयोग करते हैं, तो हम किसी भी विरोधी को मूर्ख नहीं बना रहे हैं। हम केवल उस डेटाबेस को मूर्ख बना रहे हैं जो उपयोगकर्ता को कुछ अच्छा करने के लिए पासवर्ड संग्रहीत करता है।[56]

पियरिस सोक्किस और इलियाना स्टावरो अपने शोध और पासवर्ड जनित्र उपकरण के विकास के माध्यम से कुछ खराब पासवर्ड निर्माण रणनीतियों की पहचान करने में सक्षम थे। वे निरावरण पासवर्ड सूचियों, पासवर्ड क्रैकिंग उपकरण और सबसे अधिक उपयोग किए जाने वाले पासवर्ड का उल्लेख करते हुए ऑनलाइन रिपोर्ट के आधार पर पासवर्ड निर्माण रणनीतियों की आठ श्रेणियों के साथ आए। इन श्रेणियों में उपयोगकर्ता से संबंधित जानकारी, कीबोर्ड संयोजन और पैटर्न, स्थानन रणनीति, शब्द प्रक्रमण, प्रतिस्थापन, पूंजीकरण, संलग्न तिथियां और पूर्व श्रेणियों का संयोजन सम्मिलित है।[58]

पासवर्ड क्रैकिंग

समय और धन की स्वीकृति के रूप में कई संभावनाओं का प्रयास करके पासवर्ड क्रैक करने का प्रयास करना एक कठोर बल का आक्षेप है। एक संबंधित विधि, अधिकतम स्थितियों में अधिक कुशल, एक शब्दकोश आक्षेप है। शब्दकोश आक्षेप में, एक या अधिक शब्दावली के सभी शब्दों का परीक्षण किया जाता है। सामान्य पासवर्ड की सूची का भी सामान्यतः परीक्षण किया जाता है।

पासवर्ड की सामर्थ्य संभावना है कि एक पासवर्ड का अनुमान या अभिनिश्चित नहीं किया जा सकता है, और उपयोग किए गए आक्षेप एल्गोरिदम के साथ भिन्न होता है। क्रिप्टोलॉजिस्ट और कंप्यूटर वैज्ञानिक प्रायः एंट्रॉपी (सूचना सिद्धांत) के संदर्भ में सामर्थ्य या 'कठोरता' का उल्लेख करते हैं।[15]

आसानी से खोजे जाने वाले पासवर्ड को असुरक्षित घोषित दिया जाता है; अधिक कठिन या असंभव पासवर्ड को मजबूत माना जाता है। पासवर्ड आक्षेप के लिए कई प्रोग्राम उपलब्ध हैं (या यहां तक ​​कि सिस्टम उपयोगकर्ता द्वारा अंकेक्षण और पुनः प्राप्ति) जैसे कि L0phtCrack, जॉन द रिपर, और कैन (सॉफ्टवेयर); जिनमें से कुछ दक्षता बढ़ाने के लिए पासवर्ड डिज़ाइन अतिसंवेदनशीलता (जैसा कि माइक्रोसॉफ्ट LAN-प्रबंधक सिस्टम में पाया जाता है) का उपयोग करते हैं। इन कार्यक्रमों का उपयोग कभी-कभी सिस्टम प्रशासकों द्वारा उपयोगकर्ताओं द्वारा प्रस्तावित असुरक्षित पासवर्ड का पता लगाने के लिए किया जाता है।

प्रस्तुतिकरण कंप्यूटर सिस्टम के अध्ययन ने निरंतर दिखाया है कि सभी उपयोगकर्ता द्वारा चुने गए पासवर्ड का एक बड़ा अंश आसानी से स्वचालित रूप से अनुमान लगाया जाता है। उदाहरण के लिए, कोलंबिया विश्वविद्यालय ने पाया कि 22% उपयोगकर्ता पासवर्ड कम प्रयास से पुनर्प्राप्त किए जा सकते हैं।[59] 2006 के जालसाजी आक्षेप से डेटा की जांच करने वाले ब्रूस श्नेयर के अनुसार, 2006 में प्रति सेकंड 200,000 पासवर्ड का परीक्षण करने में सक्षम व्यावसायिक रूप से उपलब्ध पासवर्ड पुनः प्राप्ति उपकरण किट का उपयोग करके माइस्पेस पासवर्ड का 55% 8 घंटे में क्रैक करने योग्य होगा।[60] उन्होंने यह भी बताया कि सबसे सामान्य पासवर्ड पासवर्ड1 था, जो पुनः उपयोगकर्ताओं के बीच पासवर्ड चुनने में सूचित सुरक्षा की सामान्य कमी की पुष्टि करता है। (उन्होंने तब भी इन आंकड़ों के आधार पर बनाए रखा, कि पिछले कुछ वर्षों में पासवर्ड की सामान्य गुणवत्ता में सुधार हुआ है - उदाहरण के लिए, औसत लंबाई पिछले सर्वेक्षणों में सात से कम आठ वर्णों तक थी, और 4% से कम शब्दकोश शब्द थे।[61])

घटनाएं

  • 16 जुलाई, 1998 को CERT समन्वय केंद्र ने एक ऐसी घटना की सूचना दी जिसमें आक्षेपक को 186,126 एन्क्रिप्टेड पासवर्ड मिले थे। आक्षेपक की खोज के समय, 47,642 पासवर्ड पहले ही क्रैक किए जा चुके थे।[62]
  • सितंबर 2001 में, 11 सितंबर के आक्षेप में न्यूयॉर्क के 960 कर्मचारियों की मृत्यु के बाद, वित्तीय सेवा फर्म कैंटर उपयुक्त्जगेराल्ड ने माइक्रोसॉफ्ट के माध्यम से मृत कर्मचारियों के पासवर्ड तोड़ दिए ताकि क्लाइंट खातों की सेवा के लिए आवश्यक फाइलों तक पहुंच प्राप्त हो सके।[63] प्रविधिज्ञ ने हिंसक बल के आक्षेप का उपयोग किया, और साक्षात्कारकर्ताओं ने व्यक्तिगत जानकारी एकत्र करने के लिए परिवारों से संपर्क किया जो असुरक्षित पासवर्ड के लिए खोज समय को कम कर सकता है।[63]
  • दिसंबर 2009 में, Rockyou.com वेबसाइट का एक बड़ा पासवर्ड उल्लंघन हुआ जिसके कारण 32 मिलियन पासवर्ड प्रस्तुत किए गए। इसके बाद हैकर ने 3.2 करोड़ पासवर्ड की पूरी सूची इंटरनेट पर लीक कर दी। पासवर्ड डेटाबेस में स्पष्ट टेक्स्ट में संग्रहीत किए गए थे और SQL अंत:क्षेपण अतिसंवेदनशीलता के माध्यम से निकाले गए थे। इंपर्वा ADC ने पासवर्ड की शक्ति पर एक विश्लेषण किया।[64]
  • जून 2011 में, NATO ने एक सुरक्षा उल्लंघन का अनुभव किया, जिसके कारण उनके ई-बुकशॉप के 11,000 से अधिक पंजीकृत उपयोगकर्ताओं के लिए पहले और अंतिम नाम, उपयोगकर्ता नाम और पासवर्ड सार्वजनिक रूप से प्रस्तुत किए गए। डेटा को कार्यान्वित एंटीसेक के भाग के रूप में लीक किया गया था, एक संचलन जिसमें अज्ञात, लूलजसेक, साथ ही अन्य हैकिंग समूह और व्यक्ति सम्मिलित हैं। एंटीसेक का उद्देश्य किसी भी आवश्यक माध्यम का उपयोग करके व्यक्तिगत, संवेदनशील और प्रतिबंधित जानकारी को दुनिया के सामने प्रकट करना है।[65]
  • 11 जुलाई, 2011 को पेंटागन के लिए काम करने वाली परामर्शी संघ बूज एलन हैमिल्टन के सर्वर को अस्पष्ट (समूह) ने हैक कर लिया और उसी दिन लीक कर दिया। लीक, जिसे 'मिलिट्री मेल्टडाउन मंडे' कहा जाता है, में सैन्य उपयोगकर्ता के 90,000 लॉगिन सम्मिलित हैं - जिनमें संयुक्त राज्य मध्य कमान, यूनाइटेड स्टेट्स स्पेशल ऑपरेशंस कमांड (USCENTCOM), संयुक्त राज्य अमेरिका मरीन कोरपोरेशन (SOCOM), विभिन्न संयुक्त राज्य वायु सेना सुविधाएं, होमलैंड सुरक्षा, संयुक्त राज्य अमेरिका के राज्य विभाग कर्मी सम्मिलित हैं। विभाग के कर्मचारी, और निजी क्षेत्र के संकोचक दिखते हैं।[66] ये लीक हुए पासवर्ड SHA1 में हैश किए जा रहे हैं, और बाद में इम्पर्वा में ADC टीम द्वारा डिक्रिप्ट और विश्लेषण किए गए, जिससे पता चलता है कि सैन्य कर्मी भी संक्षिप्त रूप मे और पासवर्ड आवश्यकताओं के आसपास के तरीकों को प्रकाशित करते हैं।[67]

प्रमाणीकरण के लिए पासवर्ड के विकल्प

कई तरीकों से स्थायी या अर्ध-स्थायी पासवर्ड से समाधान किया जा सकता है, जिसने अन्य तकनीकों के विकास को प्रेरित किया है। दुर्भाग्य से, कुछ प्रक्रिया में अपर्याप्त हैं, और किसी भी स्थिति में कुछ अधिक सुरक्षित विकल्प चाहने वाले उपयोगकर्ताओं के लिए सार्वभौमिक रूप से उपलब्ध हो गए हैं।[68] 2012 का एक पेपर[69] जांच करता है कि पासवर्ड बदलने के लिए इतना कठिन क्यों प्रमाणित हुआ है (कई पूर्वानुमान के होने पर भी कि वे जल्द ही अतीत की बात बन जाएंगे[70]); सुरक्षा, प्रयोज्यता और परिनियोजन के संबंध में तीस प्रतिनिधि प्रस्तावित प्रतिस्थापनों की जांच में वे निष्कर्ष निकालते हैं कि कोई भी उन लाभों के पूर्ण सेट को घोषित नहीं रखता है जो लेगसी पासवर्ड पहले से ही प्रदान करते हैं।

  • एक बार उपयोग करने योग्य पासवर्ड- केवल एक बार मान्य पासवर्ड होने से कई संभावित आक्षेप अप्रभावी हो जाते हैं। अधिकांश उपयोगकर्ताओं को एकल-उपयोग पासवर्ड अत्यंत उपयुक्त लगता है। हालाँकि, उन्हें व्यक्तिगत ऑनलाइन बैंकिंग में व्यापक रूप से लागू किया गया है, जहाँ उन्हें लेनदेन प्रमाणीकरण संख्या (TAN) के रूप में जाना जाता है।, चूंकि अधिकांश घरेलू उपयोगकर्ता प्रत्येक सप्ताह केवल कुछ ही लेन-देन करते हैं, इसलिए एकल-उपयोग समस्या के कारण इस स्थिति में असह्म ग्राहक विरक्ति नहीं हुआ है।
  • टाइम-सिंक्रोनाइज़्ड वन-टाइम पासवर्ड कुछ तरीकों में एक बार उपयोग योग्य पासवर्ड के समान हैं, लेकिन प्रविष्ट किया जाने वाला मान एक छोटे ( सामान्यतः रखने योग्य ) विषय पर प्रदर्शित होता है और प्रत्येक मिनट में बदलता है।
  • पासविंडो वन-टाइम पासवर्ड का उपयोग एकल-उपयोग पासवर्ड के रूप में किया जाता है, लेकिन प्रविष्ट किए जाने वाले गतिशील वर्ण केवल तभी दिखाई देते हैं जब उपयोगकर्ता एक अद्वितीय मुद्रित दृश्य कुंजी को उपयोगकर्ता की स्क्रीन पर दिखाई गई सर्वर-जनित आक्षेप छवि पर आरोपित करता है।
  • सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी पर आधारित अभिगम नियंत्रण उदा. ssh आवश्यक कुंजियाँ सामान्यतः याद रखने के लिए बहुत बड़ी होती हैं (लेकिन प्रस्ताव पासमेज़ देखें)[71] और एक स्थानीय कंप्यूटर, सुरक्षा टोकन या पोर्टेबल मेमोरी उपकरण, जैसे USB फ्लैश ड्राइव या फ्लॉपी डिस्क पर संग्रहीत होना चाहिए। निजी कुंजी को क्लाउड सेवा प्रदाता पर संग्रहीत किया जा सकता है, और पासवर्ड या दो-कारक प्रमाणीकरण के उपयोग से सक्रिय किया जा सकता है।
  • बॉयोमीट्रिक विधि अपरिवर्तनीय व्यक्तिगत विशेषताओं के आधार पर प्रमाणीकरण का वादा करती है, लेकिन वर्तमान में (2008) में उच्च त्रुटि दर है और अवलोकन करने के लिए अतिरिक्त हार्डवेयर की आवश्यकता होती है,[needs update] उदाहरण के लिए, फिंगरप्रिन्ट, आइरिस, आदि। व्यावसायिक रूप से उपलब्ध प्रणालियों का परीक्षण करने वाली कुछ प्रसिद्ध घटनाओं में उनकी नकल करना आसान प्रमाणित हुआ है, उदाहरण के लिए, गम्मी फिंगरप्रिन्ट स्पूफ प्रदर्शन,[72] और, क्योंकि ये विशेषताएँ अपरिवर्तनीय हैं, समाधान किए जाने पर इन्हें बदला नहीं जा सकता है; अभिगम नियंत्रण में यह एक अत्यधिक महत्वपूर्ण विचार है क्योंकि एक समाधान अभिगम टोकन आवश्यक रूप से असुरक्षित है।
  • सिंगलसाइन-ऑन तकनीक का अनुरोध किया जाता है कि यह कई पासवर्ड रखने की आवश्यकता को समाप्त कर देती है। ऐसी योजनाएँ उपयोगकर्ताओं और प्रशासकों को उपयुक्त एक पासवर्ड चयन करने से सेवा से मुक्त नहीं करती हैं, न ही सिस्टम डिज़ाइनर या प्रशासकों को यह सुनिश्चित करने से रोकते है कि एकल साइन-ऑन को सक्षम करने वाली प्रणालियों के बीच पारित निजी अभिगम नियंत्रण जानकारी आक्षेप से सुरक्षित है। अभी तक, कोई समाधानकारी मानक विकसित नहीं किया गया है।
  • एन्वॉल्टिंग तकनीक USB फ्लैश ड्राइव जैसे हटाने योग्य भंडारण उपकरण पर डेटा सुरक्षित करने का एक पासवर्ड-मुक्त तरीका है। उपयोगकर्ता पासवर्ड के अतिरिक्त, अभिगम नियंत्रण नेटवर्क संसाधन तक उपयोगकर्ता की पहुंच पर आधारित होता है।
  • गैर-टेक्स्ट-आधारित पासवर्ड, जैसे ग्राफिकल पासवर्ड या माउस-संचलन आधारित पासवर्ड।[73] ग्राफिकल पासवर्ड पारंपरिक पासवर्ड के स्थान पर लॉग-इन के लिए प्रमाणीकरण का एक वैकल्पिक साधन है; वे अक्षर (वर्णमाला), संख्यात्मक अंक या विशेष वर्ण के अतिरिक्त छवियों, ग्राफिक्स या रंगों का उपयोग करते हैं। एक प्रणाली के लिए उपयोगकर्ताओं को पासवर्ड के रूप में चेहरे (FACE) की श्रृंखला का चयन करने की आवश्यकता होती है, जिससे मानव मस्तिष्क की आसानी से धारणा का सामना करने की क्षमता का उपयोग होता है।[74] कुछ कार्यान्वयनों में उपयोगकर्ता को अभिगम प्राप्त करने के लिए सही क्रम में छवियों की श्रृंखला से चुनने की आवश्यकता होती है।[75] एक अन्य ग्राफिकल पासवर्ड उपाय छवियों के एक अव्यवस्थिततः से उत्पन्न ग्रिड का उपयोग करके एक बार का पासवर्ड बनाता है। प्रत्येक बार उपयोगकर्ता को प्रमाणित करने की आवश्यकता होती है, वे उन छवियों का अवलोकन करते हैं जो उनकी पूर्व-चयनित श्रेणियों में उपयुक्त होती हैं और यादृच्छिक रूप से उत्पन्न अक्षरांकीय वर्ण प्रविष्ट करती हैं जो एक-बार पासवर्ड बनाने के लिए छवि में दिखाई देती हैं।[76][77] अब तक, ग्राफिकल पासवर्ड आशाजनक हैं, लेकिन व्यापक रूप से उपयोग नहीं किए जाते हैं। वास्तविक दुनिया में इसकी उपयोगिता निर्धारित करने के लिए इस विषय पर अध्ययन किए गए हैं। जबकि कुछ का मानना ​​है कि ग्राफिकल पासवर्ड, पासवर्ड क्रैकिंग के लिए कठिन होंगे, दूसरों का सुझाव है कि लोग सामान्य छवियों या अनुक्रमों को चयन की उतनी ही संभावना रखते हैं जितनी कि वे सामान्य पासवर्ड चुनते हैं।[citation needed]
  • 2D कुंजी (2-द्वि-आयामी द्विविम कुंजी)[78] MePKC (स्मरणीय सार्वजनिक-कुंजी क्रिप्टोग्राफी) का अनुभव करने के लिए 128 बिट्स से अधिक बड़ा पासवर्ड/कुंजी बनाने के लिए वैकल्पिक शाब्दिक शब्दार्थ अनभिप्रेत संकेत के साथ मल्टीलाइन पासफ्रेज, क्रॉसवर्ड,ASCII/यूनिकोड कला की प्रमुख शैलियों वाली एक 2D मैट्रिक्स जैसी कुंजी इनपुट विधि है।[79] एन्क्रिप्टेड निजी कुंजी, विभाजित निजी कुंजी और रोमिंग निजी कुंजी जैसी वर्तमान निजी कुंजी प्रबंधन तकनीकों पर पूरी तरह से याद रखने योग्य निजी कुंजी का उपयोग करना।
  • संज्ञानात्मक पासवर्ड पहचान सत्यापित करने के लिए प्रश्न और उत्तर संकेत/प्रतिक्रिया युग्म का उपयोग करते हैं।

"निष्क्रिय पासवर्ड''

निष्क्रिय पासवर्ड कंप्यूटर सुरक्षा में एक आवर्ती विचार है। दिए गए कारणों में प्रायः पासवर्ड की उपयोगिता के साथ-साथ सुरक्षा समस्याओं का संदर्भ सम्मिलित होता है। यह प्रायः तर्कों के साथ आता है कि प्रमाणीकरण के अधिक सुरक्षित माध्यम से पासवर्ड का प्रतिस्थापन आवश्यक और आसन्न दोनों है। यह दावा कम से कम 2004 से कई लोगों द्वारा किया गया है।[70][80][81][82][83][84][85][86]

पासवर्ड के विकल्पों में बायोमेट्रिक्स, दो तरीकों से प्रमाणीकरण या सिर्फ साइन-ऑन, माइक्रोसॉफ्ट का कार्डस्पेस, हिगिंस परियोजना, लिबर्टी एलायंस, NSTIC, FIDO एलायंस और विभिन्न पहचान 2.0 प्रस्ताव सम्मिलित हैं।[87][88]

हालाँकि, इन पूर्वानुमान और उन्हें परिवर्तनों के प्रयासों के होने पर भी पासवर्ड अभी भी वेब पर प्रमाणीकरण का प्रमुख रूप है। पासवर्ड की दृढ़ता में, कॉर्मैक हर्ले और पॉल वैन ओरशोट सुझाव देते हैं कि असाधारण रूप से गलत धारणा को समाप्त करने के लिए प्रत्येक संभव प्रयास किया जाना चाहिए कि पासवर्ड निष्क्रिय हैं।[89]

उनका तर्क है कि कोई भी अन्य सिर्फ एक तकनीक कीमत, तात्कालिक और सुविधा के उनके संयोजन से अनुरूप नहीं होती है और यह कि पासवर्ड स्वयं उन कई परिदृश्यों के लिए सबसे उपयुक्त हैं जिनमें वे वर्तमान में उपयोग किए जा रहे हैं।

इसके बाद, बॉनौ एट अल. उपयोगिता, परिनियोजन और सुरक्षा के संदर्भ में व्यवस्थित रूप से वेब पासवर्ड की तुलना 35 प्रतिस्पर्धी प्रमाणीकरण योजनाओं से की गई है।[90][91] उनके विश्लेषण से पता चलता है कि अधिकांश योजनाएँ सुरक्षा पर पासवर्ड से अधिमान्य करती हैं, कुछ योजनाएँ उपयोगिता के संबंध में अधिमान्य और कुछ खराब होती हैं, जबकि प्रत्येक योजना डेपलॉयबिलिटी पर पासवर्ड से भी अधिक खराब होती है। लेखक निम्नलिखित अवलोकन के साथ निष्कर्ष निकालते हैं: महत्वपूर्ण संक्रमण कीमतों को दूर करने के लिए आवश्यक सक्रियण ऊर्जा तक पहुंचने के लिए सीमांत लाभ प्रायः पर्याप्त नहीं होते हैं, जो इस बात का सबसे अच्छा स्पष्टीकरण प्रदान कर सकता है कि सिमेट्री पासवर्ड के लिए फ्यूनरल के आगे बढ़ने को देखने से पहले हमारे लंबे समय तक गतिशील रहने की संभावना क्यों है।

यह भी देखें


संदर्भ

  1. 1.0 1.1 "पासकोड". YourDictionary. Retrieved 17 May 2019.
  2. Ranjan, Pratik; Om, Hari (2016-05-06). "राबिन के क्रिप्टोसिस्टम पर आधारित एक कुशल रिमोट यूजर पासवर्ड ऑथेंटिकेशन स्कीम". Wireless Personal Communications (in English). 90 (1): 217–244. doi:10.1007/s11277-016-3342-5. ISSN 0929-6212. S2CID 21912076.
  3. 3.0 3.1 Williams, Shannon (21 Oct 2020). "औसत व्यक्ति के पास 100 पासवर्ड होते हैं - अध्ययन करें". NordPass. Retrieved April 28, 2021.
  4. 4.0 4.1 Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (June 2017). "NIST विशेष प्रकाशन 800-63-3: डिजिटल पहचान दिशानिर्देश". National Institute of Standards and Technology (NIST). doi:10.6028/NIST.SP.800-63-3. Retrieved 17 May 2019. {{cite journal}}: Cite journal requires |journal= (help)
  5. "प्रमाणीकरण प्रोटोकॉल". Computer Security Resource Center (NIST). Archived from the original on 17 May 2019. Retrieved 17 May 2019.
  6. "पदबंध". Computer Security Resource Center (NIST). Retrieved 17 May 2019.
  7. Polybius on the Roman Military Archived 2008-02-07 at the Wayback Machine. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.
  8. Mark Bando (2007). 101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II. Mbi Publishing Company. ISBN 978-0-7603-2984-9. Archived from the original on 2 June 2013. Retrieved 20 May 2012.
  9. McMillan, Robert (27 January 2012). "दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था". Wired magazine. Retrieved 22 March 2019.
  10. Hunt, Troy (26 July 2017). "विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन". Retrieved 22 March 2019.
  11. CTSS Programmers Guide, 2nd Ed., MIT Press, 1965
  12. Morris, Robert; Thompson, Ken (1978-04-03). "Password Security: A Case History". Bell Laboratories. CiteSeerX 10.1.1.128.1635.
  13. Vance, Ashlee (2010-01-10). "अगर आपका पासवर्ड 123456 है, तो इसे हैकमी बना लें". The New York Times. Archived from the original on 2017-02-11.
  14. "नेटवर्क सुरक्षा का प्रबंधन". Archived from the original on March 2, 2008. Retrieved 2009-03-31.{{cite web}}: CS1 maint: bot: original URL status unknown (link). Fred Cohen and Associates. All.net. Retrieved on 2012-05-20.
  15. 15.0 15.1 15.2 15.3 Lundin, Leigh (2013-08-11). "पिन और पासवर्ड, भाग 2". Passwords. Orlando: SleuthSayers.
  16. The Memorability and Security of Passwords Archived 2012-04-14 at the Wayback Machine (pdf). ncl.ac.uk. Retrieved on 2012-05-20.
  17. Michael E. Whitman; Herbert J. Mattord (2014). सूचना सुरक्षा के सिद्धांत. Cengage Learning. p. 162. ISBN 978-1-305-17673-7.
  18. "रैंडम पासवर्ड जेनरेटर कैसे बनाएं". PCMAG (in English). Retrieved 2021-09-05.
  19. Lewis, Dave (2011). Ctrl-Alt-हटाना. p. 17. ISBN 978-1471019111. Retrieved 10 July 2015.
  20. Techlicious / Fox Van Allen @techlicious (2013-08-08). "Google ने 10 सबसे खराब पासवर्ड आइडिया का खुलासा किया". Techland.time.com. Archived from the original on 2013-10-22. Retrieved 2013-10-16. {{cite news}}: Text "टाइम डॉट कॉम" ignored (help)
  21. Fleishman, Glenn (November 24, 2015). "सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।". MacWorld. Retrieved April 28, 2021.
  22. 22.0 22.1 Lyquix Blog: Do We Need to Hide Passwords? Archived 2012-04-25 at the Wayback Machine. Lyquix.com. Retrieved on 2012-05-20.
  23. Jonathan Kent Malaysia car thieves steal finger Archived 2010-11-20 at the Wayback Machine. BBC (2005-03-31)
  24. Stuart Brown "Top ten passwords used in the United Kingdom". Archived from the original on November 8, 2006. Retrieved 2007-08-14.. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.
  25. US patent 8046827 
  26. Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).
  27. Schofield, Jack (10 March 2003). "रोजर नीधम". The Guardian.
  28. The Bug Charmer: Passwords Matter Archived 2013-11-02 at the Wayback Machine. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.
  29. 29.0 29.1 Alexander, Steven. (2012-06-20) The Bug Charmer: How long should passwords be? Archived 2012-09-20 at the Wayback Machine. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.
  30. "passlib.hash - Password Hashing Schemes" Archived 2013-07-21 at the Wayback Machine.
  31. 31.0 31.1 Florencio et al., An Administrator's Guide to Internet Password Research Archived 2015-02-14 at the Wayback Machine. (pdf) Retrieved on 2015-03-14.
  32. Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g Archived 2012-08-30 at the Wayback Machine. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.
  33. 33.0 33.1 Morris, Robert & Thompson, Ken (1979). "पासवर्ड सुरक्षा: एक केस हिस्ट्री". Communications of the ACM. 22 (11): 594–597. CiteSeerX 10.1.1.135.2097. doi:10.1145/359168.359172. S2CID 207656012. Archived from the original on 2003-03-22.
  34. Password Protection for Modern Operating Systems Archived 2016-03-11 at the Wayback Machine (pdf). Usenix.org. Retrieved on 2012-05-20.
  35. How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases Archived 2006-05-09 at the Wayback Machine. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.
  36. "पासवर्ड सुरक्षा प्रश्न सेट करते समय आपको झूठ क्यों बोलना चाहिए". Techlicious. 2013-03-08. Archived from the original on 2013-10-23. Retrieved 2013-10-16.
  37. 37.0 37.1 Joseph Steinberg (12 November 2014). "फोर्ब्स: आपको पासवर्ड चुनने के बारे में जो कुछ भी बताया गया है, उसे क्यों नज़रअंदाज़ करना चाहिए". Forbes. Archived from the original on 12 November 2014. Retrieved 12 November 2014.
  38. "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.
  39. Schneier on Security discussion on changing passwords Archived 2010-12-30 at the Wayback Machine. Schneier.com. Retrieved on 2012-05-20.
  40. Seltzer, Larry. (2010-02-09) "American Express: Strong Credit, Weak Passwords" Archived 2017-07-12 at the Wayback Machine. Pcmag.com. Retrieved on 2012-05-20.
  41. दस विंडोज पासवर्ड मिथक Archived 2016-01-28 at the Wayback Machine: एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड </रेफरी><ref>"You must provide a password between 1 and 8 characters in length". Jira.codehaus.org. Retrieved on 2012-05-20. Archived May 21, 2015, at the Wayback Machine
  42. "To Capitalize or Not to Capitalize?" Archived 2009-02-17 at the Wayback Machine. World.std.com. Retrieved on 2012-05-20.
  43. Thomas, Keir (February 10, 2011). "पासवर्ड का पुन: उपयोग बहुत आम है, अनुसंधान दिखाता है". PC World. Archived from the original on August 12, 2014. Retrieved August 10, 2014.
  44. Pauli, Darren (16 July 2014). "माइक्रोसॉफ्ट: आपको खराब पासवर्ड की जरूरत है और आपको उन्हें दोबारा इस्तेमाल करना चाहिए". The Register. Archived from the original on 12 August 2014. Retrieved 10 August 2014.
  45. Bruce Schneier : Crypto-Gram Newsletter Archived 2011-11-15 at the Wayback Machine May 15, 2001
  46. दस विंडोज पासवर्ड मिथक Archived 2016-01-28 at the Wayback Machine: मिथक #7। आपको अपना पासवर्ड कभी नहीं लिखना चाहिए </रेफरी><ref>Kotadia, Munir (2005-05-23) Microsoft security guru: Jot down your passwords. News.cnet.com. Retrieved on 2012-05-20.
  47. "The Strong Password Dilemma" Archived 2010-07-18 at the Wayback Machine by Richard E. Smith: "we can summarize classical password selection rules as follows: The password must be impossible to remember and never written down."
  48. Bob Jenkins (2013-01-11). "रैंडम पासवर्ड चुनना". Archived from the original on 2010-09-18.
  49. "The Memorability and Security of Passwords – Some Empirical Results" Archived 2011-02-19 at the Wayback Machine (pdf)
    "your password ... in a secure place, such as the back of your wallet or purse."
  50. "Should I write down my passphrase?" Archived 2009-02-17 at the Wayback Machine. World.std.com. Retrieved on 2012-05-20.
  51. Jaffery, Saman M. (17 October 2011). "सर्वे: ब्रिटेन के 11% लोग वसीयत में इंटरनेट पासवर्ड शामिल करते हैं". Hull & Hull LLP. Archived from the original on 25 December 2011. Retrieved 16 July 2012.
  52. Two-factor authentication Archived 2016-06-18 at the Wayback Machine
  53. Improving Usability of Password Management with Standardized Password Policies Archived 2013-06-20 at the Wayback Machine (pdf). Retrieved on 2012-10-12.
  54. 54.0 54.1 Hate silly password rules? So does the guy who created them Archived 2018-03-29 at the Wayback Machine, ZDNet
  55. The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d! Archived 2017-08-09 at the Wayback Machine, Wall Street Journal
  56. 56.0 56.1 Experts Say We Can Finally Ditch Those Stupid Password Rules Archived 2018-06-28 at the Wayback Machine, Fortune
  57. NIST’s new password rules – what you need to know Archived 2018-06-28 at the Wayback Machine, Naked Security
  58. P. Tsokkis and E. Stavrou, "A password generator tool to increase users' awareness on bad password construction strategies," 2018 International Symposium on Networks, Computers and Communications (ISNCC), Rome, 2018, pp. 1-5, doi:10.1109/ISNCC.2018.8531061.
  59. "पासवर्ड". Archived from the original on April 23, 2007. Retrieved 2012-05-20.{{cite web}}: CS1 maint: bot: original URL status unknown (link). cs.columbia.edu
  60. Schneier, Real-World Passwords Archived 2008-09-23 at the Wayback Machine. Schneier.com. Retrieved on 2012-05-20.
  61. MySpace Passwords Aren't So Dumb Archived 2014-03-29 at the Wayback Machine. Wired.com (2006-10-27). Retrieved on 2012-05-20.
  62. "सीईआरटी आईएन-98.03". 1998-07-16. Retrieved 2009-09-09.
  63. 63.0 63.1 Urbina, Ian; Davis, Leslye (November 23, 2014). "पासवर्ड का गुप्त जीवन". The New York Times. Archived from the original on November 28, 2014.
  64. "उपभोक्ता पासवर्ड सबसे खराब व्यवहार (पीडीएफ)" (PDF). Archived (PDF) from the original on 2011-07-28.
  65. "नाटो साइट हैक हो गई". The Register. 2011-06-24. Archived from the original on June 29, 2011. Retrieved July 24, 2011.
  66. "नवीनतम एंटीसेक हमले में बेनामी ने 90,000 सैन्य ईमेल खातों को लीक किया". 2011-07-11. Archived from the original on 2017-07-14.
  67. "सैन्य पासवर्ड विश्लेषण". 2011-07-12. Archived from the original on 2011-07-15.
  68. "हैकर्स द्वारा उपयोग की जाने वाली शीर्ष 12 पासवर्ड-क्रैकिंग तकनीकें". IT PRO (in English). Retrieved 2022-07-18.
  69. "पासवर्ड बदलने की खोज (पीडीएफ)" (PDF). IEEE. 2012-05-15. Archived (PDF) from the original on 2015-03-19. Retrieved 2015-03-11.
  70. 70.0 70.1 "गेट्स पासवर्ड की मौत की भविष्यवाणी करता है". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
  71. Cryptology ePrint Archive: Report 2005/434 Archived 2006-06-14 at the Wayback Machine. eprint.iacr.org. Retrieved on 2012-05-20.
  72. T Matsumoto. H Matsumotot; K Yamada & S Hoshino (2002). "फ़िंगरप्रिंट सिस्टम पर कृत्रिम 'गमी' उंगलियों का प्रभाव". Proc SPIE. Optical Security and Counterfeit Deterrence Techniques IV. 4677: 275. Bibcode:2002SPIE.4677..275M. doi:10.1117/12.462719. S2CID 16897825.
  73. Using AJAX for Image Passwords – AJAX Security Part 1 of 3 Archived 2006-06-16 at the Wayback Machine. waelchatila.com (2005-09-18). Retrieved on 2012-05-20.
  74. Butler, Rick A. (2004-12-21) Face in the Crowd Archived 2006-06-27 at the Wayback Machine. mcpmag.com. Retrieved on 2012-05-20.
  75. graphical password or graphical user authentication (GUA) Archived 2009-02-21 at the Wayback Machine. searchsecurity.techtarget.com. Retrieved on 2012-05-20.
  76. Ericka Chickowski (2010-11-03). "छवियां प्रमाणीकरण चित्र को बदल सकती हैं". Dark Reading. Archived from the original on 2010-11-10.
  77. "कॉन्फिडेंट टेक्नोलॉजीज सार्वजनिक-सामना करने वाली वेबसाइटों पर पासवर्ड को मजबूत करने के लिए छवि-आधारित, बहु-कारक प्रमाणीकरण प्रदान करती है". 2010-10-28. Archived from the original on 2010-11-07.
  78. User Manual for 2-Dimensional Key (2D Key) Input Method and System Archived 2011-07-18 at the Wayback Machine. xpreeli.com. (2008-09-08) . Retrieved on 2012-05-20.
  79. Kok-Wah Lee "Methods and Systems to Create Big Memorizable Secrets and Their Applications" Patent US20110055585 Archived 2015-04-13 at the Wayback Machine, WO2010010430. Filing date: December 18, 2008
  80. Kotadia, Munir (25 February 2004). "गेट्स पासवर्ड की मौत की भविष्यवाणी करता है". ZDNet. Retrieved 8 May 2019.
  81. "आईबीएम ने पांच नवाचारों का खुलासा किया जो पांच साल के भीतर हमारे जीवन को बदल देंगे". IBM. 2011-12-19. Archived from the original on 2015-03-17. Retrieved 2015-03-14.
  82. Honan, Mat (2012-05-15). "पासवर्ड को समाप्त करें: वर्णों का एक समूह अब हमारी रक्षा क्यों नहीं कर सकता". Wired. Archived from the original on 2015-03-16. Retrieved 2015-03-14.
  83. "Google सुरक्षा कार्यकारी: 'पासवर्ड मर चुके हैं'". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
  84. "पैमाने पर प्रमाणीकरण". IEEE. 2013-01-25. Archived from the original on 2015-04-02. Retrieved 2015-03-12.
  85. Mims, Christopher (2014-07-14). "पासवर्ड अंत में मर रहा है। ये मेरा". Wall Street Journal. Archived from the original on 2015-03-13. Retrieved 2015-03-14.
  86. "रूसी क्रेडेंशियल चोरी से पता चलता है कि पासवर्ड मृत क्यों है". Computer World. 2014-08-14. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
  87. "NSTIC के प्रमुख जेरेमी ग्रांट पासवर्ड को खत्म करना चाहते हैं". Fedscoop. 2014-09-14. Archived from the original on 2015-03-18. Retrieved 2015-03-14.
  88. "निर्दिष्टीकरण अवलोकन". FIDO Alliance. 2014-02-25. Archived from the original on 2015-03-15. Retrieved 2015-03-15.
  89. "पासवर्ड की दृढ़ता को स्वीकार करते हुए एक शोध एजेंडा". IEEE Security&Privacy. Jan 2012. Archived from the original on 2015-06-20. Retrieved 2015-06-20.
  90. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "पासवर्ड बदलने की खोज: वेब प्रमाणीकरण योजनाओं के तुलनात्मक मूल्यांकन के लिए एक रूपरेखा". Technical Report - University of Cambridge. Computer Laboratory. Cambridge, UK: University of Cambridge Computer Laboratory. doi:10.48456/tr-817. ISSN 1476-2986. Retrieved 22 March 2019.
  91. Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". सुरक्षा और गोपनीयता पर 2012 IEEE संगोष्ठी. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44. ISBN 978-1-4673-1244-8.


इस पेज में लापता आंतरिक लिंक की सूची

  • नॉरमैंडी पर आक्रमण
  • शब्दकोश हमला
  • पहुँच नियंत्रण
  • एक बार प्रविष्ट करना
  • मैन-इन-द-बीच हमला
  • और में
  • सर्विस आक्षेप से इनकार
  • bcrypt
  • पासवर्ड-प्रमाणित कुंजी समाधान
  • स्वयं सेवा पासवर्ड पुनः स्थापित
  • स्मृति सहायक
  • मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
  • पशु बल का आक्रमण
  • 11 सितंबर के आक्षेप
  • अनाम (समूह)
  • सार्वजनिक कुंजी क्रिप्टोग्राफी
  • परितारिका (शरीर रचना)
  • पत्र (वर्णमाला)
  • रंग की
  • चेहरा
  • चेहरा धारणा
  • 2डी कुंजी
  • प्रयोज्य
  • FIDO एलायंस
  • केर्बरोस (प्रोटोकॉल)

बाहरी संबंध


Research, University of Plymouth (PDF)