पासवर्ड स्ट्रेंथ

पासवर्ड की शक्ति अनुमान लगाने या क्रूर-बल के आक्रमणों के विरुद्ध पासवर्ड की प्रभावशीलता का उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि आक्रमणकारी जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की शक्ति लंबाई, जटिलता और अप्रत्याशितता का कार्य है। स्ट्रांग पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र संकट को कम करता है, लेकिन कठोर पासवर्ड अन्य प्रभावी सुरक्षा नियंत्रण की आवश्यकता को प्रतिस्थापित नहीं करते हैं। किसी दिए गए शक्ति के पासवर्ड की प्रभावशीलता प्रमाणीकरण कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।

दर जिस पर आक्रमणकारी प्रणाली को अनुमानित पासवर्ड जमा कर सकता है, प्रणाली सुरक्षा का निर्धारण करने में महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य अशक्तियों के अभाव में, ऐसी प्रणाली को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। चूँकि, प्रणाली को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो प्रणाली सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड संकट में हो सकते हैं।

2019 में, यूनाइटेड किंगडम के राष्ट्रीय साइबर सुरक्षा केंद्र (यूनाइटेड किंगडम) ने उल्लंघन किए गए खातों के सार्वजनिक डेटाबेस का विश्लेषण किया, यह देखने के लिए कि लोग किन शब्दों, वाक्यांशों और स्ट्रिंग्स का उपयोग करते हैं। सूची में सबसे लोकप्रिय पासवर्ड 123456 था, जो 23 मिलियन से अधिक पासवर्ड में दिखाई दे रहा था। दूसरी सबसे लोकप्रिय स्ट्रिंग, 123456789, को क्रैक करना अधिक कठिन नहीं था, जबकि शीर्ष पांच में क्वर्टी, पासवर्ड और 1111111 सम्मिलित थे।

पासवर्ड निर्माण
पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाली स्थिति अधिक सामान्य है। जबकि क्रूर-बल आक्रमण के विरुद्ध विचित्र ढंग से चुने गए पासवर्ड की शक्ति की गणना स्पष्ट रूप से की जा सकती है, मानव-जनित स्ट्रांग पासवर्ड निर्धारण करना कठिन है।

कंप्यूटर प्रणाली या इंटरनेट वेबसाइट के लिए नया खाता बनाते समय सामान्यतः, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के सेट द्वारा प्रतिबंधित किया जाता है। शक्ति का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न सामान्यतः आक्रमणकारी की सहायता कर सकते हैं। इसके अतिरिक्त, सामान्यतः चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश सम्मिलित हैं, जिनका उल्लंघन किया गया है; अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से साधारण पाठ और क्रिप्टोग्राफिक_हैश_फलन पासवर्ड के डेटाबेस सम्मिलित हैं। ऐसी सूचियों में सभी आइटम अशक्त माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।

चूँकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना सरल है, वे सामान्यतः यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अधिकांशतः लोग अपना स्वयं का चयन करना पसंद करते हैं। चूँकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण सामान्यतः पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन सामाजिक मीडिया के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत सरल बना दिया है।

पासवर्ड अनुमान सत्यापन
प्रणाली जो प्रमाणीकरण के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए अंकित किए गए किसी भी पासवर्ड की जांच करने की कोई विधि होनी चाहिए। यदि मान्य पासवर्ड केवल प्रणाली फ़ाइल या डेटाबेस में संग्रहीत हैं, तो आक्रमणकारी जो प्रणाली तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे आक्रमणकारी को आक्रमण वाली प्रणाली पर सभी खातों और संभावित रूप से अन्य प्रणालीों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस संकट को कम करने की विधि यह है कि पासवर्ड के अतिरिक्त प्रत्येक पासवर्ड का केवल क्रिप्टोग्राफिक हैश स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (एसएचए) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए आक्रमणकारी जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। चूँकि, हैश मान का ज्ञान आक्रमणकारी को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। पासवर्ड क्रैकिंग प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।

कंप्यूटिंग प्रौद्योगिकी में संशोधन उस दर को बढ़ाता रहता है, जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, जॉर्जिया टेक रिसर्च इंस्टीट्यूट ने बहुत तीव्रता से पासवर्ड क्रैक करने के लिए जीपीजीपीयू का उपयोग करने की विधि विकसित की थी। एलकॉमसॉफ्ट ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और शीघ्र ही अमेरिका में संबंधित पेटेंट प्रस्तुत किया। 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता को प्रमाण करते थे। इस तरह की उपकरण एक दिन में छह-अक्षर वाले एकल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं; जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। चूँकि कुंजी खींचना का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।

एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब क्रिप्टोग्राफ़िक कुंजी बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे स्थितियों में, आक्रमणकारी शीघ्रता से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं करता है। उदाहरण के लिए, वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का प्रमाण करता है।

यदि कोई पासवर्ड प्रणाली केवल पासवर्ड के हैश को संग्रहीत करता है, तो आक्रमणकारी सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तीव्रता से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। आक्रमण की इस विधि को हैश के साथ यादृच्छिक मूल्य, जिसे क्रिप्टोग्राफिक नमक कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले आक्रमणकारी को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, सामान्य उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।

पासवर्ड शक्ति के माप के रूप में एंट्रॉपी
कंप्यूटर उद्योग में सूचना एन्ट्रापी के संदर्भ में पासवर्ड की शक्ति निर्दिष्ट करना सामान्य है, जिसे बिट्स में मापा जाता है और सूचना सिद्धांत से अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के अतिरिक्त, उस संख्या का आधार -2 लघुगणक दिया जाता है, जिसे सामान्यतः पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, चूँकि यह सूचना एन्ट्रापी के रूप में बिल्कुल समान मात्रा नहीं है। इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की स्ट्रिंग के रूप में कठोर होगा, उदाहरण के लिए उचित सिक्का टॉस द्वारा। दूसरी विधि, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 242 (4,398,046,511,104) की आवश्यकता होगी। क्रूर बल खोज के समय सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे आक्रमणकारी का कार्य दोगुना कठिन हो जाता है। औसतन, आक्रमणकारी को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।

रैंडम पासवर्ड
रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक वर्ण सेट (जैसे, एएससीआईआई वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार पदबंध बनाते हैं)।

यादृच्छिक पासवर्ड की शक्ति अंतर्निहित संख्या जनरेटर की वास्तविक एन्ट्रॉपी पर निर्भर करती है; चूँकि, ये अधिकांशतः वास्तव में यादृच्छिक नहीं होते हैं, लेकिन छद्म यादृच्छिक होते हैं। कई सार्वजनिक रूप से उपलब्ध पासवर्ड जनरेटर प्रोग्रामिंग पुस्तकालयों में पाए जाने वाले यादृच्छिक संख्या जनरेटर का उपयोग करते हैं जो सीमित एन्ट्रॉपी प्रदान करते हैं। चूँकि अधिकांश आधुनिक ऑपरेटिंग प्रणाली क्रिप्टोग्राफ़िक रूप से कठोर यादृच्छिक संख्या जनरेटर प्रदान करते हैं जो पासवर्ड जनरेशन के लिए उपयुक्त हैं। यादृच्छिक पासवर्ड उत्पन्न करने के लिए साधारण पासा का उपयोग करना भी संभव है। रैंडम पासवर्ड जनरेटर विधियाँ देखें। रैंडम पासवर्ड प्रोग्राम में अधिकांशतः यह सुनिश्चित करने की क्षमता होती है कि परिणामी पासवर्ड स्थानीय पासवर्ड नीति का अनुपालन करता है; उदाहरण के लिए, सदैव अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण बनाकर।

प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो N संभावित प्रतीकों के सेट से लंबाई, L के प्रतीकों की स्ट्रिंग का विचित्र ढंग से चयन करता है, संभव पासवर्डों की संख्या प्रतीकों की संख्या को शक्ति L, अर्थात् NL तक बढ़ाकर पाई जा सकती है। L या N को बढ़ाने से उत्पन्न पासवर्ड कठोर होगा। सूचना एन्ट्रापी द्वारा मापी गई यादृच्छिक पासवर्ड की शक्ति केवल आधार -2 लघुगणक या संभावित पासवर्ड की संख्या का log2 है, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:

$H = \log_2 N^L = L\log_2 N = L {\log N \over \log 2}$

जहाँ N संभव प्रतीकों की संख्या है और L पासवर्ड में प्रतीकों की संख्या है। H को बिट्स में मापा जाता है। अंतिम व्यंजक में, log किसी भी आधार (घातांक) का हो सकता है।


 * {| class="wikitable" style="text-align: right;"

! प्रतीक सेट || प्रतीक संख्या N || एंट्रॉपी प्रति प्रतीक H बाइनरी संख्या बाइट सामान्यतः दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।
 * + विभिन्न प्रतीक सेटों के लिए प्रति प्रतीक एंट्रॉपी
 * align=left|अरबी अंक (0–9) (जैसे पिन) || 10 || 3.3219280948874 bits
 * align=left|हेक्साडेसिमल अंक (0–9, A–F) (जैसे डब्लूईपी कुंजियाँ) || 16 || 4.000 bits
 * align=left|केस असंवेदनशील लैटिन वर्णमाला (a–z or A–Z) || 26 || 4.7004397181411 bits
 * align=left|केस असंवेदनशील अक्षरांकीय (a–z or A–Z, 0–9) || 36 || 5.1699250014423 bits
 * align=left|केस संवेदी लैटिन वर्णमाला (a–z, A–Z) || 52 || 5.7004397181411 bits
 * align=left|केस संवेदी अक्षरांकीय (a–z, A–Z, 0–9) || 62 || 5.9541963103869 bits
 * align=left|स्पेस को छोड़कर सभी एएससीआईआई प्रिंट करने योग्य कैरेक्टर|| 94 || 6.55458885 bits
 * align=left|सभी लैटिन-1 पूरक वर्ण|| 94 || 6.55458885 bits
 * align=left|सभी एएससीआईआई प्रिंट करने योग्य वर्ण|| 95 || 6.5698556083309 bits
 * align=left|सभी विस्तारित एएससीआईआई प्रिंट करने योग्य वर्ण|| 218 || 7.7681843247769 bits
 * align=left|बाइनरी (0–255 or 8 बिट or 1 बाइट) || 256 || 8 bits
 * align=left|डाइक्वेयर शब्द सूची || 7776 || 12.924812503606 बिट प्रति शब्द
 * }
 * align=left|स्पेस को छोड़कर सभी एएससीआईआई प्रिंट करने योग्य कैरेक्टर|| 94 || 6.55458885 bits
 * align=left|सभी लैटिन-1 पूरक वर्ण|| 94 || 6.55458885 bits
 * align=left|सभी एएससीआईआई प्रिंट करने योग्य वर्ण|| 95 || 6.5698556083309 bits
 * align=left|सभी विस्तारित एएससीआईआई प्रिंट करने योग्य वर्ण|| 218 || 7.7681843247769 bits
 * align=left|बाइनरी (0–255 or 8 बिट or 1 बाइट) || 256 || 8 bits
 * align=left|डाइक्वेयर शब्द सूची || 7776 || 12.924812503606 बिट प्रति शब्द
 * }
 * align=left|बाइनरी (0–255 or 8 बिट or 1 बाइट) || 256 || 8 bits
 * align=left|डाइक्वेयर शब्द सूची || 7776 || 12.924812503606 बिट प्रति शब्द
 * }
 * align=left|डाइक्वेयर शब्द सूची || 7776 || 12.924812503606 बिट प्रति शब्द
 * }

लंबाई खोजने के लिए, L, वांछित शक्ति H प्राप्त करने के लिए आवश्यक है, N प्रतीकों के सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, गणना करता है:

$$L = {\left \lceil \frac {H}{\log_2 N} \right \rceil}$$

जहाँ $$ \left \lceil \ \right \rceil $$ अगली सबसे बड़ी प्राकृतिक संख्या तक राउंडिंग को दर्शाता है।

निम्न तालिका सामान्य प्रतीक सेटों के लिए वांछित पासवर्ड एंट्रॉपी प्राप्त करने के लिए वास्तव में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की आवश्यक लंबाई दिखाने के लिए इस सूत्र का उपयोग करती है:

मानव जनित पासवर्ड
संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को सम्मिलित करने वाले अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था।

इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के विश्लेषण में, अक्षर e का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर f का उपयोग केवल 250,000 बार किया गया था। समान वितरण (असतत) में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।

उपयोगकर्ता पासवर्ड बनाने में संभवतया ही कभी बड़े वर्ण सेट का पूर्ण उपयोग करते हैं। उदाहरण के लिए, 2006 में माइस्पेस फ़िशिंग योजना से प्राप्त हैकिंग परिणामों से 34,000 पासवर्ड का पता चला, जिनमें से केवल 8.3% ने मिश्रित केस, संख्याओं और प्रतीकों का उपयोग किया।

संपूर्ण एएससीआईआई वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी शक्ति केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, संभवतया ऊपरी और निचले स्थिति के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण इत्यादि। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में पैटर्न है और आक्रमणकारी के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की आशा की जा सकती है। यह पासवर्ड की शक्ति में कमी है। उत्तम आवश्यकता पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न सम्मिलित न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य विधियों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि सामान्य है।

एनआईएसटी विशेष प्रकाशन 800-63-2
जून 2004 का एनआईएसटी विशेष प्रकाशन 800-63 (संशोधन दो) ने मानव जनित पासवर्डों की एंट्रॉपी को अनुमानित करने के लिए योजना का सुझाव दिया: इस योजना का उपयोग करते हुए, आठ-वर्ण मानव-चयनित पासवर्ड बिना अपरकेस वर्णों और गैर-अल्फाबेटिक वर्णों के साथ या दो वर्ण सेटों में से किसी एक के साथ एंट्रॉपी के अठारह बिट होने का अनुमान है। एनआईएसटी प्रकाशन स्वीकार करता है कि विकास के समय, पासवर्ड के वास्तविक विश्व चयन पर बहुत कम जानकारी उपलब्ध थी। बाद में नए उपलब्ध वास्तविक विश्व डेटा का उपयोग करके मानव-चयनित पासवर्ड एन्ट्रॉपी में शोध ने प्रदर्शित किया है कि एनआईएसटी योजना मानव-चयनित पासवर्ड के एंट्रॉपी अनुमान के लिए वैध मीट्रिक प्रदान नहीं करती है। एसपी 800-63 (संशोधन तीन) का जून 2017 संशोधन इस दृष्टिकोण को छोड़ देता है।

प्रयोज्यता और कार्यान्वयन विचार
क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 एएससीआईआई प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है। यह अंतरराष्ट्रीय यात्री के लिए समस्या प्रस्तुत कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट प्रणाली में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि टैबलेट कंप्यूटर और स्मार्टफोन, विशेष वर्णों को अंकित करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।

प्रमाणीकरण कार्यक्रम अलग-अलग होते हैं जिनमें वे पासवर्ड में वर्णों की अनुमति देते हैं। कुछ स्थितियों के अंतर को नहीं पहचानते हैं (उदाहरण के लिए, अपर-केस ई को लोअर-केस ई के बराबर माना जाता है), अन्य कुछ अन्य प्रतीकों को प्रतिबंधित करते हैं। पिछले कुछ दशकों में, प्रणाली ने पासवर्ड में अधिक वर्णों की अनुमति दी है, लेकिन सीमाएँ अभी भी उपलब्ध हैं। अनुमत पासवर्ड की अधिकतम लंबाई में प्रणाली भी भिन्न होते हैं।

व्यावहारिक स्थितियों के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त कठोर होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत कठिन है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा संकट मानते हैं। इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए विवश करना केवल अशक्त पासवर्ड को समायोजित कर सकता है, और इस प्रकार बड़ा सुरक्षा संकट उत्पन्न करता है। ब्रूस श्नेयर के अनुसार, अधिकतर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए उत्तमीन स्थान है।

एंट्रॉपी के आवश्यक बिट्स
पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए संकट के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। [rfc:4086 आरएफसी 4086], सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण संकट के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें। यदि केवल ऑनलाइन आक्रमणों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित 12-वर्ण यादृच्छिक पासवर्ड का पक्षसमर्थन किया गया था, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में किया गया था। ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन आक्रमणों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक बिट्स भी बढ़ने चाहिए।

ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, ईएफएफ डीईएस क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट डेटा एन्क्रिप्शन मानक एन्क्रिप्शन को तोड़ दिया था। 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया। 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे। मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई आशा नहीं है कि कोई भी डिजिटल कम्प्यूटर (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स आक्रमण के माध्यम से तोड़ने में सक्षम होगा। क्वांटम कंप्यूटर व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, चूँकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।

सामान्य दिशानिर्देश
अच्छे पासवर्ड चुनने के दिशानिर्देश सामान्यतः बुद्धिमान अनुमान लगाकर पासवर्ड खोजने के लिए कठिन बनाने के लिए डिज़ाइन किए जाते हैं। सॉफ्टवेयर प्रणाली सुरक्षा के समर्थकों द्वारा समर्थित सामान्य दिशानिर्देशों में सम्मिलित हैं:
 * 8 की न्यूनतम पासवर्ड लंबाई पर विचार करें सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और सरली से याद रखने वाले पासवर्ड की सलाह देते हैं।
 * जहाँ संभव हो, विचित्र ढंग से पासवर्ड उत्पन्न करें।
 * एक ही पासवर्ड का दो बार उपयोग करने से बचें (उदाहरण के लिए कई उपयोगकर्ता खातों और/या सॉफ़्टवेयर प्रणाली में)।
 * चरित्र दोहराव, कीबोर्ड पैटर्न, शब्दकोश शब्द, अक्षर या संख्या क्रम से बचें।
 * ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता या खाते से सार्वजनिक रूप से जुड़ी हो या हो सकती है, जैसे कि उपयोगकर्ता का नाम, पूर्वजों के नाम या दिनांक।
 * ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता के सहकर्मियों और/या परिचितों को उपयोगकर्ता से संबद्ध होने के बारे में पता हो, जैसे रिश्तेदारों या पालतू जानवरों के नाम, रोमांटिक लिंक (वर्तमान या अतीत) और जीवनी संबंधी जानकारी (जैसे आईडी नंबर, पूर्वजों के नाम या दिनांक)।
 * ऐसे पासवर्ड का उपयोग न करें जो उपरोक्त अशक्त घटकों के किसी भी सरल संयोजन से पूरी तरह से बने हों।

पासवर्ड में लोअरकेस, अपरकेस अक्षर वर्णों, संख्याओं और प्रतीकों को बाध्य करना सामान्य नीति थी, लेकिन वास्तव में इसे क्रैक करना सरल बनाकर सुरक्षा को कम करना पाया गया है। शोध से पता चला है कि ऐसे प्रतीकों का सामान्य उपयोग कितना अनुमानित है, और यू.एस. यूके सरकारी साइबर सुरक्षा विभाग उन्हें पासवर्ड नीति में सम्मिलित करने के लिए बाध्य नहीं करने की सलाह देते हैं। जटिल प्रतीक भी पासवर्ड को याद रखना अधिक कठिन बनाते हैं, जो लिखने को बढ़ाता है, पासवर्ड रीसेट करता है और पासवर्ड का पुन: उपयोग करता है - ये सभी पासवर्ड सुरक्षा में संशोधन करने के अतिरिक्त कम करते हैं। पासवर्ड जटिलता नियमों के मूल लेखक, बिल बूर ने क्षमा मांगी है और स्वीकार किया है कि वे वास्तव में सुरक्षा को कम करते हैं, जैसा कि शोध में पाया गया है; यह 2017 में मीडिया में व्यापक रूप से रिपोर्ट किया गया था। पासवर्ड पर सर्वोत्तम अभ्यास सलाह में ऑनलाइन सुरक्षा शोधकर्ता और सलाहकार भी परिवर्तन के समर्थक हैं।

कुछ दिशानिर्देश पासवर्ड लिखने के विरुद्ध सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित प्रणाली को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को सुरक्षित स्थान पर रखा जाता है, मॉनिटर या डेस्क दराज अनलॉक में संलग्न नहीं होता है। एनसीएससी द्वारा पासवर्ड प्रबंधक के उपयोग का पक्षसमर्थन किया जाता है।

पासवर्ड के लिए निर्धारित संभावित कैरेक्टर को अलग-अलग वेब साइट्स या कीबोर्ड की उस रेंज द्वारा सीमित किया जा सकता है, जिस पर पासवर्ड अंकित किया जाना चाहिए।

अशक्त पासवर्ड के उदाहरण
जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में अशक्त हैं। उदाहरण के लिए, शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच शक्ति में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - सामान्य दृष्टिकोण) पासवर्ड क्रैकिंग उपकरण को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी शक्ति जोड़ता है। नीचे दिए गए उदाहरण अशक्त पासवर्ड बनाने के विभिन्न विधियों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।
 * डिफ़ॉल्ट पासवर्ड (जैसा कि प्रणाली विक्रेता द्वारा प्रदान किया गया है और स्थापना के समय बदला जाना है): पासवर्ड, डिफ़ॉल्ट, व्यवस्थापक, अतिथि, आदि। डिफ़ॉल्ट पासवर्ड की सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।
 * शब्दकोश शब्द: गिरगिट, रेडसॉक्स, सैंडबैग, बनीहॉप !, इंटेंस क्रैबट्री, आदि, गैर-अंग्रेजी शब्दकोशों में शब्दों सहित।
 * संलग्न संख्या वाले शब्द: पासवर्ड 1, डीयर 2000, जॉन 1234, आदि, थोड़े समय के साथ स्वचालित रूप से सरली से परीक्षण किए जा सकते हैं।
 * सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, डिजीनोटर आक्रमण में समझौता किया गया डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।
 * दोगुने शब्द: क्रैक्रैब, स्टॉपस्टॉप, ट्रीट्री, पासपास, आदि।
 * कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
 * सुप्रसिद्ध संख्याओं जैसे 911 पर आधारित सांख्यिक अनुक्रम (9-1-1, 9/11), 314159... (pi), 27182... (e), 112 (1-1-2), आदि।
 * पहचानकर्ता: jsmith123, 1/1/1970, 555–1234, किसी का उपयोगकर्ता नाम, आदि।
 * गैर-अंग्रेज़ी भाषाओं में अशक्त पासवर्ड, जैसे कॉन्ट्रासेना (स्पेनिश) और ji32k7au4a83 (चीनी से बोपोमोफो कीबोर्ड एन्कोडिंग)
 * व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की साधारण जांच के बाद सरली से स्वचालित रूप से परीक्षण किया जा सकता है।
 * तिथियां: तिथियां पैटर्न का पालन करती हैं और आपके पासवर्ड को अशक्त बनाती हैं।
 * प्रसिद्ध स्थानों के नाम: न्यूयॉर्क, टेक्सास, चीन, लंदन, आदि।
 * ब्रांडों, मशहूर हस्तियों, खेल टीमों, संगीत समूहों, टीवी शो, फिल्मों आदि के नाम।

पासवर्ड अशक्त होने की और भी कई विधियाँ हो सकती हैं, विभिन्न आक्रमण योजनाओं की शक्ति के अनुरूप; मूल सिद्धांत यह है कि पासवर्ड में उच्च एन्ट्रापी (सामान्यतः यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा सरली से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अधिकांशतः रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे हैकर समझ सकता है और ऐसा करके पासवर्ड को बायपास कर सकता है। कठिन से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।

पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार
दिसंबर, 2012 में, विलियम चेसविक ने एसीएम पत्रिका में प्रकाशित लेख लिखा था जिसमें सामान्यतः अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना सरल या कठिन होगा, इसकी गणितीय संभावनाएं सम्मिलित थीं। अपने लेख में, विलियम ने दिखाया कि मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के आक्रमण का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास मल्टी-कोर प्रणाली का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (अर्थात् 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड सामान्य शब्द का उपयोग नहीं करता है कि शब्दकोश आक्रमण बहुत शीघ्र टूट सकता है। इस शक्ति के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे परिवर्तित करने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।

पासवर्ड नीति
पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए गाइड है। इसका विचार है:
 * कठोर पासवर्ड चुनने में उपयोगकर्ताओं की सहायता करें
 * सुनिश्चित करें कि पासवर्ड लक्ष्य जनसँख्या के अनुकूल हैं
 * उपयोगकर्ताओं को उनके पासवर्ड से निपटने के संबंध में पक्षसमर्थन प्रदान करें
 * किसी भी पासवर्ड को परिवर्तित करने का पक्षसमर्थन करें जो खो गया है या समझौता करने का संदेह है
 * अशक्त या सरली से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।

पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड सम्मिलित होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान कम सुरक्षित के रूप में मूल प्रेरक द्वारा इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा ) यूएसए और यूके में रोक कर दिया गया है। प्रयुक्त प्रतीकों के पासवर्ड जटिलता नियम पहले गूगल जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे और फेसबुक, लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा संकट है, और प्रयुक्त जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में सहायता करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। विवश जटिलता नियम भी समर्थन व्यय, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।

पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे रोक दिया गया है सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने पासवर्ड समाप्ति की सुविधा हटा दिया है। पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी: चूँकि, पासवर्ड समाप्ति की अपनी कमियाँ हैं:
 * अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय आक्रमणकारी के लिए अपर्याप्त समय सुनिश्चित करने में सहायता कर सकता है।
 * यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से परिवर्तित करने की आवश्यकता आक्रमणकारी के लिए एक्सेस समय को सीमित कर सकती है।
 * उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए कहना सरल, अशक्त पासवर्ड को प्रोत्साहित करता है।
 * अगर किसी के पास वास्तव में कठोर पासवर्ड है, तो उसे बदलने का कोई अर्थ नहीं है। पहले से ही कठोर पासवर्ड बदलने से नया पासवर्ड कम कठोर होने का संकट होता है।
 * किसी हैकर द्वारा पिछले दरवाजे (कंप्यूटिंग) को स्थापित करने के लिए अधिकांशतः विशेषाधिकार वृद्धि के माध्यम से समझौता किए गए कि पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में आक्रमणकारी की पहुंच को नहीं रोकेंगे।
 * किसी के पासवर्ड को कभी न परिवर्तित करने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड परिवर्तित करने की ओर बढ़ने से क्रूर बल के आक्रमण में पासवर्ड का अनुमान लगाने से पहले आक्रमणकारी को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड परिवर्तित करने की तुलना में केवल वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।

पासवर्ड बनाना और संभालना
किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के आक्रमणों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले आक्रमण (उच्च एन्ट्रापी के कारण)। चूँकि, ऐसे पासवर्ड सामान्यतः याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को प्रयुक्त करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के विरुद्ध सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा संकट बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की आशा है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने का पक्षसमर्थन किया:

""

यदि सावधानी से उपयोग किया जाए तो निम्नलिखित उपायों से कठोर पासवर्ड आवश्यकताओं की स्वीकृति बढ़ सकती है:


 * प्रशिक्षण कार्यक्रम; साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)
 * दर को कम करके, या पासवर्ड परिवर्तन (पासवर्ड समाप्ति) की आवश्यकता को पूरी तरह से समाप्त करके कठोर पासवर्ड उपयोगकर्ताओं को पुरस्कृत करना। उपयोगकर्ता द्वारा चुने गए पासवर्ड की शक्ति का अनुमान स्वचालित प्रोग्राम द्वारा लगाया जा सकता है जो पासवर्ड सेट या बदलते समय प्रस्तावित पासवर्ड का निरीक्षण और मूल्यांकन करते हैं।
 * प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, समझौता किए गए पासवर्ड का सुझाव दे रहा है।
 * उपयोगकर्ताओं को स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। चूँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के सरली से अनुमान लगाए गए या शोध किए गए उत्तर कठोर पासवर्ड प्रणाली के लाभों को बायपास कर देते हैं।
 * यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की प्रस्तुति करता है।

मेमोरी तकनीक
पासवर्ड नीतियाँ कभी-कभी पासवर्ड याद रखने में सहायता के लिए स्मृति संशोधनों का सुझाव देती हैं:
 * स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या अधिक यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत सरल होते हैं। उदाहरण के लिए, स्मरणार्थ वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड शक्ति लगभग 3.7 बिट प्रति वर्ण है। मूर्ख लोग संभवतः अधिक स्मरणार्थ होते हैं। विचित्र ढंग से दिखने वाले पासवर्ड को और अधिक स्मरणार्थ बनाने की एक और विधि है विचित्र ढंग से चुने गए अक्षरों के अतिरिक्त यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
 * आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, मेमोनिक का आविष्कार करें जो फिट बैठता है। यह उचित या समझदार नहीं होना चाहिए, केवल स्मरणार्थ होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
 * पासवर्ड का दृश्य प्रतिनिधित्व: पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदाहरण; अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है; इसके अतिरिक्त, ऐसे स्थानिक पैटर्न वाले पासवर्ड में संशोधन किया जा सकता है।
 * पासवर्ड पैटर्न: पासवर्ड में कोई भी पैटर्न अनुमान लगाना (स्वचालित या नहीं) सरल बनाता है और आक्रमणकारी के कार्य कारक को कम करता है।
 * उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक स्मरणार्थ बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे पशुबल का आक्रमण पासवर्ड आक्रमण काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, यूनाइटेड किंगडम सरकार के विभाग के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।

पासवर्ड की सुरक्षा
कंप्यूटर उपयोगकर्ताओं को सामान्यतः सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें। चूँकि, सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अधिकांशतः छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (स्मरणार्थ) योजना के उपयोग को रोकती हैं, तो अधिकांशतः परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे।

2005 के सुरक्षा सम्मेलन में माइक्रोसॉफ्ट विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा प्रमाण है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ।

सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से कूटलेखन किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें। यहां तक ​​कि उत्तम विधि यह है कि सामान्यतः उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ अशक्त पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें।

मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के पीडब्ल्यूडीहैश द्वारा इस दृष्टिकोण प्रिंसटन का पासवर्ड गुणक, और अन्य स्टेटलेस पासवर्ड प्रबंधक का उपयोग किया जाता है। इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।

पासवर्ड प्रबंधक
बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग प्रणाली में निर्मित प्रबंधक सम्मिलित हैं। पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की आवश्यकता नहीं है, यह एकल पासवर्ड कठोर और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित यादृच्छिक पासवर्ड जनरेटर का उपयोग करके स्वचालित रूप से कठोर पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। अच्छा पासवर्ड मैनेजर कुंजी लॉगिंग, क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे आक्रमणों के विरुद्ध प्रतिरोध प्रदान करेगा।

यह भी देखें

 * कीस्ट्रोक लॉगिंग
 * पासफ़्रेज़
 * फ़िशिंग
 * भेद्यता (कंप्यूटिंग)

बाहरी संबंध

 * RFC 4086: Randomness Requirements for Security
 * Password Patterns:The next generation dictionary attacks