पासवर्ड

एक पासवर्ड, जिसे कभी-कभी पासकोड कहा जाता है (उदाहरण के लिए Apple Inc. उपकरणों में), गुप्त डेटा है, आमतौर पर वर्णों की एक स्ट्रिंग, आमतौर पर उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग की जाती है। परंपरागत रूप से, पासवर्ड याद रखने की अपेक्षा की जाती थी, लेकिन बड़ी संख्या में पासवर्ड-सुरक्षित सेवाएँ, जिन्हें एक विशिष्ट व्यक्ति एक्सेस करता है, प्रत्येक सेवा के लिए अद्वितीय पासवर्ड को याद रखना अव्यावहारिक बना सकता है। एनआईएसटी डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए, रहस्य दावेदार नामक पार्टी द्वारा आयोजित किया जाता है जबकि दावेदार की पहचान की पुष्टि करने वाली पार्टी को सत्यापनकर्ता कहा जाता है। जब दावेदार एक स्थापित प्रमाणीकरण प्रोटोकॉल के माध्यम से सत्यापनकर्ता को पासवर्ड का ज्ञान सफलतापूर्वक प्रदर्शित करता है, सत्यापनकर्ता दावेदार की पहचान का अनुमान लगाने में सक्षम है।

सामान्य तौर पर, एक पासवर्ड अक्षर, अंक, या अन्य प्रतीकों सहित चरित्र (कंप्यूटिंग) का एक मनमाना स्ट्रिंग (कंप्यूटर विज्ञान) है। यदि अनुमेय वर्ण संख्यात्मक होने के लिए विवश हैं, तो संबंधित रहस्य को कभी-कभी व्यक्तिगत पहचान संख्या (पिन) कहा जाता है।

इसके नाम के बावजूद, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय संपत्ति है। एक याद रखा हुआ रहस्य जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य पाठ को कभी-कभी पदबंध कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व आमतौर पर अतिरिक्त सुरक्षा के लिए लंबा होता है।

इतिहास
पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संतरी एक पासवर्ड या वॉचवर्ड की आपूर्ति करने के लिए एक क्षेत्र में प्रवेश करने के इच्छुक लोगों को चुनौती देंगे, और केवल एक व्यक्ति या समूह को पास होने की अनुमति देंगे यदि वे पासवर्ड जानते हैं। पोलिबियस प्राचीन रोम की सेना में वॉचवर्ड्स के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:

जिस तरह से वे रात के लिए वाचवर्ड के पासिंग राउंड को सुरक्षित करते हैं, वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें मणिपल (सैन्य इकाई) से, वह मैनिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है, एक आदमी चुना जाता है जिसे गार्ड ड्यूटी से मुक्त किया जाता है, और वह हर दिन सूर्यास्त के समय ट्रिब्यून के तम्बू में उपस्थित होता है, और उससे वॉचवर्ड प्राप्त करता है - जो कि उस पर अंकित शब्द के साथ एक लकड़ी की गोली है - उसकी छुट्टी लेता है, और अपने क्वार्टर में लौटने पर अगले मैनिपिल के कमांडर को गवाहों से पहले वॉचवर्ड और टैबलेट पर गुजरता है, जो बदले में उसे उसके बगल में भेजता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले जोड़ तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये बाद वाले अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि जारी किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को वॉचवर्ड दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी गायब हो जाता है, तो वह तुरंत पूछताछ करता है, क्योंकि वह निशान से जानता है कि किस तिमाही से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए जिम्मेदार है वह सजा के योग्य है। 

सैन्य उपयोग में पासवर्ड न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड शामिल करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के शुरुआती दिनों में, यू.एस. 101वें एयरबोर्न डिवीजन के पैराट्रूपर्स ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक चुनौती के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया के साथ उत्तर दिया-थंडर। हर तीन दिनों में चुनौती और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर्स ने पहचान के अस्थायी रूप से अनूठे तरीके के रूप में पासवर्ड सिस्टम के स्थान पर डी-डे पर क्रिकेट के रूप में जाने जाने वाले एक उपकरण का भी प्रसिद्ध रूप से उपयोग किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक मैटेलिक क्लिक को जवाब में दो क्लिक से मिलना था। कंप्यूटिंग के शुरुआती दिनों से ही कंप्यूटर के साथ पासवर्ड का उपयोग किया जाता रहा है। संगत समय-साझाकरण प्रणाली (CTSS), 1961 में MIT में शुरू किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था। CTSS के पास एक LOGIN कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम प्रिंटिंग मैकेनिज्म को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके। 1970 के दशक की शुरुआत में, रॉबर्ट मॉरिस (क्रिप्टोग्राफर) ने यूनिक्स ऑपरेटिंग सिस्टम के हिस्से के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड स्टोर करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर क्रिप्टो मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे क्रिप्ट (यूनिक्स) | क्रिप्ट (3) के रूप में जाना जाता है, ने 12-बिट नमक (क्रिप्टोग्राफी) का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश हमलों के जोखिम को कम करने के लिए 25 बार डेटा एन्क्रिप्शन मानक एल्गोरिथम के एक संशोधित रूप को लागू किया। आधुनिक समय में, उपयोगकर्ता (कंप्यूटिंग) और पासवर्ड आमतौर पर लॉगिंग (कंप्यूटर सुरक्षा) प्रक्रिया के दौरान लोगों द्वारा उपयोग किए जाते हैं जो संरक्षित कंप्यूटर ऑपरेटिंग सिस्टम, चल दूरभाष, केबल टीवी डिकोडर, स्वचालित टेलर मशीन (एटीएम), आदि तक पहुंच नियंत्रण करते हैं। एक विशिष्ट कंप्यूटर उपयोगकर्ता के पास कई उद्देश्यों के लिए पासवर्ड होते हैं: खातों में लॉग इन करना, ईमेल प्राप्त करना, एप्लिकेशन, डेटाबेस, नेटवर्क, वेब साइट्स तक पहुंचना और यहां तक ​​कि सुबह का अखबार ऑनलाइन पढ़ना।

एक सुरक्षित और यादगार पासवर्ड चुनना
स्वामी के लिए पासवर्ड याद रखना जितना आसान होता है आम तौर पर इसका अर्थ हैकर (कंप्यूटर सुरक्षा) के लिए अनुमान लगाना आसान होगा। हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (ए) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से स्टोर करने की आवश्यकता हो सकती है, (बी) उपयोगकर्ताओं को लगातार पासवर्ड रीसेट करने की आवश्यकता होगी और (सी) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का दोबारा इस्तेमाल करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि अपरकेस और लोअरकेस अक्षरों और अंकों का मिश्रण होता है या इसे मासिक रूप से बदलता है, उपयोगकर्ता सिस्टम को जितना बड़ा कर देगा, उतना ही अधिक होगा। अन्य तर्क देते हैं कि लंबे पासवर्ड अधिक सुरक्षा प्रदान करते हैं (उदाहरण के लिए, एंट्रॉपी (सूचना सिद्धांत)) वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में।

पासवर्ड की यादगार और सुरक्षा में, जेफ यान एट अल। पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही यादगार होते हैं जितने कि भोले-भाले चुने गए पासवर्ड, और बेतरतीब ढंग से उत्पन्न पासवर्ड के रूप में क्रैक करना उतना ही कठिन।

दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है, लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया कलन विधि एक और अच्छा तरीका है। हालाँकि, उपयोगकर्ताओं को अपरकेस और लोअरकेस वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करने के लिए थोड़ा कठिन है (उदाहरण के लिए क्रैक करने के लिए केवल 128 गुना कठिन) 7-अक्षर वाले पासवर्ड, कम अगर उपयोगकर्ता केवल अक्षरों में से एक को बड़ा करता है)। उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से अक्सर 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो हमलावरों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना हमलावरों के लिए जाना जाने वाला एक सामान्य ट्रिक है। 2013 में, Google ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची जारी की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):
 * एक पालतू जानवर, बच्चे, परिवार के सदस्य या महत्वपूर्ण अन्य का नाम
 * वर्षगांठ दिनांक और जन्मदिन
 * जन्म स्थान
 * एक पसंदीदा छुट्टी का नाम
 * पसंदीदा खेल टीम से संबंधित कुछ
 * शब्द पासवर्ड

याद रखने के विकल्प
पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक चुनौती बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं। पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में पासवर्ड प्रबंधकों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना शामिल है। इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।

पासवर्ड प्रणाली की सुरक्षा के कारक
पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को कंप्यूटर वायरस, मैन-इन-द-मिडल हमलों और इस तरह के हमलों से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। शोल्डर सर्फिंग ([[कंप्यूटर सुरक्षा)]] से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक खतरों तक शारीरिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी हमलावर के लिए उनका अनुमान लगाना कठिन हो और हमलावर के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए पासवर्ड क्षमता और कंप्यूटर सुरक्षा देखें।

आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक आम बात है। इस उपाय का उद्देश्य आसपास खड़े लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस अभ्यास से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को कमजोर पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए। प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक टोकन प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं। कम चरम उपायों में ज़बरदस्ती वसूली, रबर की नली क्रिप्टैनालिसिस और साइड चैनल हमला शामिल हैं।

कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चुनते और संभालते समय विचार किया जाना चाहिए।

दर जिस पर एक हमलावर अनुमानित पासवर्ड का प्रयास कर सकता है
दर जिस पर एक हमलावर सिस्टम को अनुमानित पासवर्ड जमा कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं, जिसे थ्रॉटलिंग भी कहा जाता है। अन्य कमजोरियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है। कई प्रणालियाँ पासवर्ड के क्रिप्टोग्राफ़िक हैश फ़ंक्शन को संग्रहीत करती हैं। यदि किसी हमलावर को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैश मान के विरुद्ध उम्मीदवार पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन हमलावर केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन हमलावर (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर हमला चल रहा है।

पासवर्ड जो क्रिप्टोग्राफ़िक कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, डिस्क एन्क्रिप्शन या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड हमलों को बहुत ही कुशल बना सकते हैं। (पासवर्ड क्रैकिंग देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे हमलावर के लिए कम्प्यूटेशनल रूप से ऐसा हमला अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे काफ़ी अच्छी गोपनीयता और वाई-फाई संरक्षित पहुंच | वाई-फाई डब्ल्यूपीए, ऐसे हमलों को धीमा करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। कुंजी खींचना देखें।

पासवर्ड अनुमानों की संख्या की सीमा
जिस दर पर एक हमलावर पासवर्ड पर अनुमान लगा सकता है, उसे सीमित करने का एक विकल्प अनुमानों की कुल संख्या को सीमित करना है जो कि किए जा सकते हैं। पासवर्ड को अक्षम किया जा सकता है, जिसके लिए रीसेट की आवश्यकता होती है, लगातार खराब अनुमानों की एक छोटी संख्या के बाद (5 कहते हैं); और उपयोगकर्ता को खराब अनुमानों की एक बड़ी संचयी संख्या (मान लीजिए 30) के बाद पासवर्ड बदलने की आवश्यकता हो सकती है, ताकि हमलावर को वैध पासवर्ड स्वामी द्वारा किए गए अच्छे अनुमानों के बीच मनमाने ढंग से बड़ी संख्या में गलत अनुमान लगाने से रोका जा सके। इसके विपरीत, उपयोगकर्ता जानबूझकर उपयोगकर्ता को अपने डिवाइस से लॉक करके उपयोगकर्ता के खिलाफ सेवा से इनकार हमले को लागू करने के लिए इस शमन के ज्ञान का उपयोग कर सकते हैं; सेवा से इनकार करने से हमलावर के लिए सोशल इंजीनियरिंग (सुरक्षा) के माध्यम से अपने लाभ के लिए स्थिति में हेरफेर करने के लिए अन्य रास्ते खुल सकते हैं।

संग्रहीत पासवर्ड का रूप
कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को सादे पाठ के रूप में स्टोर करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई हमलावर ऐसे आंतरिक पासवर्ड स्टोर तक पहुँच प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समझौता कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समझौता किया जाएगा।

अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक पहुँच एक स्नूपर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक पहुँच प्राप्त करता है, जबकि उपयोगकर्ता पहुँच प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को स्टोर नहीं करते हैं, लेकिन एक तरफ़ा व्युत्पत्ति, जैसे बहुपद, मोडुलो ऑपरेशन, या एक उन्नत क्रिप्टोग्राफ़िक हैश फ़ंक्शन। रोजर नीधम ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को स्टोर करने के लिए अब-सामान्य दृष्टिकोण का आविष्कार किया। जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर क्रिप्टोग्राफ़िक हैश फ़ंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस की अनुमति है। हैश मान एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, नमक (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक नमक हमलावरों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच स्केल करने से रोकता है। MD5 और SHA1 अक्सर क्रिप्टोग्राफ़िक हैश फ़ंक्शंस का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि PBKDF2 के हिस्से के रूप में नहीं किया जाता है। संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड सत्यापनकर्ता या पासवर्ड हैश कहा जाता है - अक्सर मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में संग्रहीत किया जाता है, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में। पासवर्ड के लिए मुख्य भंडारण विधियाँ सादा पाठ, हैशेड, हैशेड और नमकीन, और प्रतिवर्ती रूप से एन्क्रिप्टेड हैं। यदि कोई हमलावर पासवर्ड फ़ाइल तक पहुँच प्राप्त करता है, तो यदि इसे सादे पाठ के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन नमकीन नहीं है तो यह इंद्रधनुष तालिका अटैक (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि हमलावर को फ़ाइल के साथ डिक्रिप्शन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को नमकीन और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।

यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक हमलावर पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि हमलावर को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के हर संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है। पासवर्ड क्रैकिंग टूल की मौजूदगी हमलावरों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की अनुमति देती है। विशेष रूप से, हमलावर छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं। डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था। क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट नमक मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फ़ंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले हमलों को विफल करना है। एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, लिनक्स या विभिन्न बीएसडी सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और लिखी हुई कहानी का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है। एक खराब डिज़ाइन किया गया हैश फ़ंक्शन हमलों को संभव बना सकता है, भले ही एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से तैनात और असुरक्षित उदाहरण के लिए एलएम हैश देखें।

पासवर्ड का सरल प्रसारण
प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (यानी, स्नूपिंग) के लिए कमजोर होते हैं। यदि पासवर्ड को उपयोगकर्ता पहुंच बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह टेलीफोन टैपिंग विधियों द्वारा स्नूपिंग के अधीन है। यदि इसे इंटरनेट पर पैकेट वाले डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले नेटवर्क पैकेट को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ स्नूप कर सकता है।

ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह आमतौर पर एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सादे पाठ के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी छिपकर सुनने वाले द्वारा परिवहन के दौरान बिना किसी प्रयास के पढ़ा जा सकता है। इसके अलावा, संदेश को कम से कम दो कंप्यूटरों पर सादे पाठ के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी यात्रा के दौरान इंटरमीडिएट सिस्टम से गुजरता है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर बैकअप, कैश (कंप्यूटिंग) या इतिहास फाइलों में कॉपी किया जा सकता है।

क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल हैंडलिंग सिस्टम सर्वर से क्लाइंट मशीन तक ट्रांसमिशन की रक्षा करेगा। ईमेल के पिछले या बाद के रिले को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर संग्रहीत किया जाएगा, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, अक्सर स्पष्ट पाठ में।

एन्क्रिप्टेड चैनलों के माध्यम से प्रसारण
क्रिप्टोग्राफी सुरक्षा का उपयोग करके, अन्य दृष्टिकोणों के साथ, इंटरनेट पर भेजे गए पासवर्डों के अवरोधन के जोखिम को कम किया जा सकता है। सबसे व्यापक रूप से उपयोग किया जाने वाला परिवहन परत सुरक्षा (TLS, जिसे पहले सुरक्षित सॉकेट लेयर कहा जाता था) फीचर सबसे मौजूदा इंटरनेट वेब ब्राउज़र में बनाया गया है। जब टीएलएस उपयोग में होता है, तो अधिकांश ब्राउज़र एक बंद लॉक आइकन, या कुछ अन्य संकेत प्रदर्शित करके सर्वर के साथ टीएलएस/एसएसएल-संरक्षित एक्सचेंज के उपयोगकर्ता को सचेत करते हैं। उपयोग में कई अन्य तकनीकें हैं; क्रिप्टोग्राफी देखें।

हैश-आधारित चुनौती-प्रतिक्रिया के तरीके
दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित चुनौती-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि साझा रहस्य (यानी, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा रहस्य प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा रहस्य आमतौर पर हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले हमलों के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब हैश का उपयोग एक साझा रहस्य के रूप में किया जाता है, तो हमलावर को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है।

जीरो शून्य-ज्ञान पासवर्ड प्रमाण
पासवर्ड ट्रांसमिट करने, या पासवर्ड के हैश को ट्रांसमिट करने के बजाय, पासवर्ड-प्रमाणित कुंजी अनुबंध सिस्टम एक शून्य-ज्ञान पासवर्ड प्रूफ का प्रदर्शन कर सकते हैं, जो पासवर्ड को उजागर किए बिना उसका ज्ञान साबित करता है।

एक कदम आगे बढ़ते हुए, पासवर्ड-प्रमाणित कुंजी समझौते के लिए संवर्धित सिस्टम (जैसे, यादगार पासवर्ड के माध्यम से प्रमाणीकरण और कुंजी समझौता, SPEKE|B-SPEKE, PAK-Z, सुरक्षित रिमोट पासवर्ड प्रोटोकॉल|SRP-6) के विरोध और सीमा दोनों से बचते हैं हैश-आधारित तरीके। एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान साबित करने की अनुमति देती है, जहां सर्वर केवल एक (बिल्कुल नहीं) हैश पासवर्ड जानता है, और जहां पहुंच प्राप्त करने के लिए अन-हैश पासवर्ड की आवश्यकता होती है।

पासवर्ड बदलने की प्रक्रियाएं
आमतौर पर, एक सिस्टम को पासवर्ड बदलने का एक तरीका प्रदान करना चाहिए, या तो उपयोगकर्ता का मानना ​​​​है कि वर्तमान पासवर्ड से समझौता किया गया है (या हो सकता है), या एहतियाती उपाय के रूप में। यदि एक नया पासवर्ड सिस्टम को अनएन्क्रिप्टेड रूप में पास किया जाता है, तो पासवर्ड डेटाबेस में नया पासवर्ड स्थापित करने से पहले ही सुरक्षा खो सकती है (उदाहरण के लिए, टेलीफोन टैपिंग के माध्यम से) और यदि नया पासवर्ड एक समझौता किए गए कर्मचारी को दिया जाता है, तो बहुत कम है प्राप्त किया। स्पष्ट रूप से बढ़ी हुई भेद्यता के साथ कुछ वेबसाइटों में एक सादे पाठ पुष्टिकरण ई-मेल संदेश में उपयोगकर्ता द्वारा चयनित पासवर्ड शामिल होता है।

खोए हुए पासवर्ड के लिए प्रतिस्थापन जारी करने को स्वचालित करने के लिए पहचान प्रबंधन प्रणालियों का तेजी से उपयोग किया जा रहा है, एक सुविधा जिसे स्वयं-सेवा पासवर्ड रीसेट कहा जाता है। उपयोगकर्ता की पहचान प्रश्न पूछकर और पहले से संग्रहीत उत्तरों की तुलना करके सत्यापित की जाती है (अर्थात, जब खाता खोला गया था)।

कुछ पासवर्ड रीसेट प्रश्न व्यक्तिगत जानकारी मांगते हैं जो सोशल मीडिया पर मिल सकती है, जैसे कि माता का विवाह पूर्व नाम। परिणामस्वरूप, कुछ सुरक्षा विशेषज्ञ सलाह देते हैं कि या तो स्वयं प्रश्न बनाएं या गलत उत्तर दें।

पासवर्ड दीर्घायु
पासवर्ड एजिंग कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए मजबूर करती है (जैसे, त्रैमासिक, मासिक या इससे भी अधिक बार)। इस तरह की नीतियां आमतौर पर उपयोगकर्ता के विरोध और सबसे अच्छे रूप में पैर खींचने और सबसे खराब शत्रुता को भड़काती हैं। अक्सर उन लोगों की संख्या में वृद्धि होती है जो पासवर्ड को नोट कर लेते हैं और उसे आसानी से मिलने वाली जगह पर छोड़ देते हैं, साथ ही भूले हुए पासवर्ड को रीसेट करने के लिए हेल्प डेस्क पर कॉल करते हैं। उपयोगकर्ता अपने पासवर्ड को यादगार बनाए रखने के लिए सरल पासवर्ड का उपयोग कर सकते हैं या एक संगत थीम पर विविधता पैटर्न विकसित कर सकते हैं। इन मुद्दों के कारण, इस बारे में कुछ बहस चल रही है कि पासवर्ड एजिंग प्रभावी है या नहीं। पासवर्ड बदलने से ज्यादातर मामलों में दुरुपयोग नहीं रुकेगा, क्योंकि दुरुपयोग अक्सर तुरंत ध्यान देने योग्य होगा। हालांकि, अगर किसी के पास किसी माध्यम से पासवर्ड तक पहुंच हो सकती है, जैसे कंप्यूटर साझा करना या किसी अलग साइट का उल्लंघन करना, पासवर्ड बदलने से दुरुपयोग के लिए विंडो सीमित हो जाती है।

प्रति पासवर्ड उपयोगकर्ताओं की संख्या
सिस्टम के प्रत्येक उपयोगकर्ता को अलग-अलग पासवर्ड आवंटित करना सिस्टम के वैध उपयोगकर्ताओं द्वारा साझा किए गए एकल पासवर्ड के लिए बेहतर है, निश्चित रूप से सुरक्षा के दृष्टिकोण से। यह आंशिक रूप से इसलिए है क्योंकि उपयोगकर्ता विशेष रूप से उनके उपयोग के लिए किसी अन्य व्यक्ति (जो अधिकृत नहीं हो सकते हैं) को एक साझा पासवर्ड बताने के लिए अधिक इच्छुक हैं। एकल पासवर्ड बदलने के लिए भी बहुत कम सुविधाजनक होते हैं क्योंकि एक ही समय में कई लोगों को बताने की आवश्यकता होती है, और वे किसी विशेष उपयोगकर्ता की पहुंच को और अधिक कठिन बना देते हैं, उदाहरण के लिए स्नातक या इस्तीफे पर। उत्तरदायित्व के लिए अलग लॉगिन का भी अक्सर उपयोग किया जाता है, उदाहरण के लिए यह जानने के लिए कि डेटा का एक टुकड़ा किसने बदला।

पासवर्ड सुरक्षा संरचना
पासवर्ड द्वारा संरक्षित कंप्यूटर सिस्टम की सुरक्षा में सुधार के लिए उपयोग की जाने वाली सामान्य तकनीकों में शामिल हैं:  सुरक्षा कम करना।)
 * डिस्प्ले स्क्रीन पर पासवर्ड प्रदर्शित नहीं करना क्योंकि यह दर्ज किया जा रहा है या इसे अस्पष्ट कर रहा है क्योंकि यह तारक (*) या गोलियों (•) का उपयोग करके टाइप किया गया है।
 * पर्याप्त लंबाई के पासवर्ड की अनुमति देना। (प्रारंभिक संस्करणों सहित कुछ विरासती तंत्र ऑपरेटिंग सिस्टम यूनिक्स और विंडोज के, अधिकतम 8 वर्णों तक सीमित पासवर्ड, दस विंडोज पासवर्ड मिथक : एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड
 * उपयोगकर्ताओं को निष्क्रियता की अवधि (एक अर्ध लॉग-ऑफ नीति) के बाद अपना पासवर्ड फिर से दर्ज करने की आवश्यकता होती है।
 * पासवर्ड शक्ति और सुरक्षा बढ़ाने के लिए पासवर्ड नीति लागू करना।
 * यादृच्छिक रूप से चुने गए पासवर्ड असाइन करना।
 * न्यूनतम पासवर्ड लंबाई पैरामीटर की आवश्यकता है। ** कुछ प्रणालियों को पासवर्ड में विभिन्न वर्ण वर्गों के वर्णों की आवश्यकता होती है—उदाहरण के लिए, कम से कम एक अपरकेस और कम से कम एक लोअरकेस अक्षर होना चाहिए। हालांकि, मिश्रित कैपिटलाइज़ेशन पासवर्ड की तुलना में सभी-लोअरकेस पासवर्ड प्रति कीस्ट्रोक अधिक सुरक्षित हैं।
 * कमजोर, आसानी से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए एक ब्लैकलिस्ट (कंप्यूटिंग) # उपयोगकर्ता नाम और पासवर्ड नियोजित करें
 * कीबोर्ड प्रविष्टि का विकल्प प्रदान करना (उदाहरण के लिए, बोले गए पासवर्ड या बॉयोमीट्रिक्स पहचानकर्ता)।
 * एक से अधिक प्रमाणीकरण प्रणाली की आवश्यकता होती है, जैसे दो-कारक प्रमाणीकरण (उपयोगकर्ता के पास कुछ है और उपयोगकर्ता कुछ जानता है)।
 * नेटवर्क हमलों के माध्यम से प्रेषित पासवर्ड तक पहुंच को रोकने के लिए एन्क्रिप्टेड टनल या पासवर्ड-प्रमाणित कुंजी समझौते का उपयोग करना
 * एक निश्चित समय अवधि के भीतर अनुमत विफलताओं की संख्या को सीमित करना (बार-बार पासवर्ड अनुमान लगाने से रोकने के लिए)। सीमा समाप्त होने के बाद, अगली समय अवधि के शुरू होने तक आगे के प्रयास विफल हो जाएंगे (सही पासवर्ड प्रयासों सहित)। हालांकि, यह एक प्रकार के डिनायल-ऑफ़-सर्विस हमले के लिए असुरक्षित है।
 * स्वचालित पासवर्ड अनुमान लगाने वाले कार्यक्रमों को धीमा करने के लिए पासवर्ड जमा करने के प्रयासों के बीच देरी का परिचय देना।

कुछ अधिक कड़े नीति प्रवर्तन उपाय उपयोगकर्ताओं को अलग-थलग करने का जोखिम पैदा कर सकते हैं, परिणामस्वरूप संभवतः सुरक्षा कम हो सकती है।

पासवर्ड पुन: उपयोग
कंप्यूटर उपयोगकर्ताओं के बीच एक ही पासवर्ड को कई साइटों पर पुन: उपयोग करना आम बात है। यह एक पर्याप्त सुरक्षा जोखिम प्रस्तुत करता है, क्योंकि एक हैकर (कंप्यूटर सुरक्षा) को पीड़ित द्वारा उपयोग की जाने वाली अन्य साइटों तक पहुंच प्राप्त करने के लिए केवल एक साइट से समझौता करने की आवश्यकता होती है। उपयोगकर्ता (कंप्यूटिंग) का पुन: उपयोग करने और ईमेल लॉगिन की आवश्यकता वाली वेबसाइटों द्वारा भी यह समस्या बढ़ जाती है, क्योंकि यह एक हमलावर के लिए एक ही उपयोगकर्ता को कई साइटों पर ट्रैक करना आसान बनाता है। स्मरणीय, #पासवर्ड को कागज़ पर लिखकर या पासवर्ड प्रबंधक का उपयोग करके पासवर्ड के पुन: उपयोग से बचा जा सकता है या कम किया जा सकता है। रेडमंड के शोधकर्ताओं दिनी फ्लोरेंशियो और कॉर्मैक हर्ली ने कार्लेटन विश्वविद्यालय, कनाडा के पॉल सी. वैन ओरशोट के साथ मिलकर यह तर्क दिया है कि पासवर्ड का पुन: उपयोग अपरिहार्य है, और यह कि उपयोगकर्ताओं को कम सुरक्षा वाली वेबसाइटों के लिए पासवर्ड का पुन: उपयोग करना चाहिए (जिसमें बहुत कम व्यक्तिगत डेटा होता है और कोई वित्तीय जानकारी नहीं, उदाहरण के लिए) और इसके बजाय बैंक खातों जैसे कुछ महत्वपूर्ण खातों के लिए लंबे, जटिल पासवर्ड याद रखने के अपने प्रयासों पर ध्यान केंद्रित करें। इसी तरह के तर्क फोर्ब्स द्वारा पासवर्ड नहीं बदलने के लिए दिए गए थे, जितनी बार कई विशेषज्ञ सलाह देते हैं, मानव स्मृति में समान सीमाओं के कारण।

कागज पर पासवर्ड लिखना
ऐतिहासिक रूप से, कई सुरक्षा विशेषज्ञों ने लोगों से अपने पासवर्ड याद रखने के लिए कहा: कभी भी पासवर्ड न लिखें। अभी हाल ही में, कई सुरक्षा विशेषज्ञ जैसे कि ब्रूस श्नेयर लोगों को सलाह देते हैं कि लोग ऐसे पासवर्ड का उपयोग करें जो याद रखने के लिए बहुत जटिल हैं, उन्हें कागज पर लिख लें, और उन्हें एक बटुए में रखें। दस विंडोज पासवर्ड मिथक : मिथक #7। आपको अपना पासवर्ड कभी नहीं लिखना चाहिए  पासवर्ड प्रबंधक सॉफ्टवेयर एकल मास्टर पासवर्ड के साथ सील की गई एन्क्रिप्टेड फ़ाइल में पासवर्ड को अपेक्षाकृत सुरक्षित रूप से संग्रहीत कर सकता है।

मृत्यु के बाद
लंदन विश्वविद्यालय के एक सर्वेक्षण के अनुसार, दस में से एक व्यक्ति अब मरने पर इस महत्वपूर्ण जानकारी को पास करने के लिए अपनी वसीयत में अपना पासवर्ड छोड़ रहा है। सर्वेक्षण के अनुसार, एक-तिहाई लोग इस बात से सहमत हैं कि उनका पासवर्ड-सुरक्षित डेटा उनकी वसीयत में पारित करने के लिए पर्याप्त महत्वपूर्ण है।

बहु-कारक प्रमाणीकरण
बहु-कारक प्रमाणीकरण योजनाएँ प्रमाणीकरण के एक या अधिक अन्य साधनों के साथ पासवर्ड (ज्ञान कारकों के रूप में) को जोड़ती हैं, ताकि प्रमाणीकरण को अधिक सुरक्षित और समझौता किए गए पासवर्ड के लिए कम असुरक्षित बनाया जा सके। उदाहरण के लिए, एक साधारण दो-कारक लॉगिन एक पाठ संदेश, ई-मेल, स्वचालित फोन कॉल या इसी तरह की चेतावनी भेज सकता है जब भी कोई लॉगिन प्रयास किया जाता है, संभवतः एक कोड की आपूर्ति करता है जिसे पासवर्ड के अतिरिक्त दर्ज किया जाना चाहिए। अधिक परिष्कृत कारकों में हार्डवेयर टोकन और बायोमेट्रिक सुरक्षा जैसी चीज़ें शामिल हैं।

पासवर्ड नियम
अधिकांश संगठन एक पासवर्ड नीति निर्दिष्ट करते हैं जो पासवर्ड की संरचना और उपयोग के लिए आवश्यकताओं को निर्धारित करती है, आमतौर पर न्यूनतम लंबाई, आवश्यक श्रेणियां (जैसे, ऊपरी और निचले मामले, संख्याएं और विशेष वर्ण), निषिद्ध तत्व (जैसे, किसी के अपने नाम का उपयोग, जन्म तिथि, पता, टेलीफोन नंबर)। कुछ सरकारों के पास राष्ट्रीय प्रमाणीकरण ढाँचे होते हैं जो पासवर्ड के लिए आवश्यकताओं सहित सरकारी सेवाओं के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकताओं को परिभाषित करता है।

कई वेबसाइट न्यूनतम और अधिकतम लंबाई जैसे मानक नियम लागू करती हैं, लेकिन अक्सर कम से कम एक कैपिटल लेटर और कम से कम एक नंबर/प्रतीक जैसे रचना नियम भी शामिल करती हैं। ये बाद वाले, अधिक विशिष्ट नियम काफी हद तक राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) की 2003 की एक रिपोर्ट पर आधारित थे, जिसे बिल बूर ने लिखा था। इसने मूल रूप से संख्याओं, अस्पष्ट वर्णों और बड़े अक्षरों का उपयोग करने और नियमित रूप से अद्यतन करने का अभ्यास प्रस्तावित किया। 2017 वॉल स्ट्रीट जर्नल के एक लेख में, बूर ने बताया कि उन्हें इन प्रस्तावों पर पछतावा है और जब उन्होंने उनकी सिफारिश की तो उन्होंने गलती की। इस एनआईएसटी रिपोर्ट के 2017 के पुनर्लेखन के अनुसार, कई वेबसाइटों के नियम हैं जो वास्तव में उनके उपयोगकर्ताओं की सुरक्षा पर विपरीत प्रभाव डालते हैं। इसमें जटिल संरचना नियमों के साथ-साथ निश्चित अवधि के बाद जबरन पासवर्ड परिवर्तन शामिल हैं। जबकि ये नियम लंबे समय से व्यापक हैं, उन्हें उपयोगकर्ताओं और साइबर सुरक्षा विशेषज्ञों दोनों द्वारा लंबे समय से कष्टप्रद और अप्रभावी के रूप में देखा गया है। एनआईएसटी अनुशंसा करता है कि लोग पासवर्ड के रूप में लंबे वाक्यांशों का उपयोग करें (और वेबसाइटों को अधिकतम पासवर्ड लंबाई बढ़ाने की सलाह देते हैं) न कि याद रखने में मुश्किल पासवर्ड जैसे कि pA55w+rd। एक उपयोगकर्ता को पासवर्ड पासवर्ड का उपयोग करने से रोका गया है, यदि आवश्यक हो तो संख्या और अपरकेस अक्षर शामिल करने के लिए बस पासवर्ड 1 चुन सकते हैं। जबरन समय-समय पर पासवर्ड बदलने के साथ संयुक्त, इससे ऐसे पासवर्ड बन सकते हैं जिन्हें याद रखना मुश्किल है लेकिन क्रैक करना आसान है।

2017 एनआईएसटी रिपोर्ट के लेखकों में से एक पॉल ग्रासी ने आगे विस्तार से बताया: हर कोई जानता है कि एक विस्मयादिबोधक बिंदु एक 1, या एक I, या एक पासवर्ड का अंतिम वर्ण है। $ एक S या 5 है। यदि हम इन प्रसिद्ध तरकीबों का उपयोग करते हैं, तो हम किसी भी विरोधी को मूर्ख नहीं बना रहे हैं। हम केवल उस डेटाबेस को मूर्ख बना रहे हैं जो उपयोगकर्ता को कुछ अच्छा करने के लिए पासवर्ड संग्रहीत करता है।

Pieris Tsokkis और Eliana Stavrou अपने शोध और पासवर्ड जनरेटर टूल के विकास के माध्यम से कुछ खराब पासवर्ड निर्माण रणनीतियों की पहचान करने में सक्षम थे। वे उजागर पासवर्ड सूचियों, पासवर्ड क्रैकिंग टूल और सबसे अधिक उपयोग किए जाने वाले पासवर्ड का हवाला देते हुए ऑनलाइन रिपोर्ट के आधार पर पासवर्ड निर्माण रणनीतियों की आठ श्रेणियों के साथ आए। इन श्रेणियों में उपयोगकर्ता से संबंधित जानकारी, कीबोर्ड संयोजन और पैटर्न, प्लेसमेंट रणनीति, वर्ड प्रोसेसिंग, प्रतिस्थापन, पूंजीकरण, संलग्न तिथियां और पिछली श्रेणियों का संयोजन शामिल है।

पासवर्ड क्रैकिंग
समय और धन की अनुमति के रूप में कई संभावनाओं का प्रयास करके पासवर्ड क्रैक करने का प्रयास करना एक क्रूर बल का हमला है। एक संबंधित विधि, ज्यादातर मामलों में अधिक कुशल, एक शब्दकोश हमला है। डिक्शनरी अटैक में, एक या अधिक डिक्शनरी के सभी शब्दों का परीक्षण किया जाता है। सामान्य पासवर्ड की सूची का भी आमतौर पर परीक्षण किया जाता है।

पासवर्ड की ताकत संभावना है कि एक पासवर्ड का अनुमान या खोज नहीं किया जा सकता है, और इस्तेमाल किए गए हमले एल्गोरिदम के साथ भिन्न होता है। क्रिप्टोलॉजिस्ट और कंप्यूटर वैज्ञानिक अक्सर एंट्रॉपी (सूचना सिद्धांत) के संदर्भ में ताकत या 'कठोरता' का उल्लेख करते हैं।

आसानी से खोजे जाने वाले पासवर्ड को कमजोर या कमजोर करार दिया जाता है; बहुत कठिन या असंभव पासवर्ड को मजबूत माना जाता है। पासवर्ड हमले के लिए कई प्रोग्राम उपलब्ध हैं (या यहां तक ​​कि सिस्टम कर्मियों द्वारा ऑडिटिंग और रिकवरी) जैसे कि L0phtCrack, जॉन द रिपर, और कैन (सॉफ्टवेयर); जिनमें से कुछ दक्षता बढ़ाने के लिए पासवर्ड डिज़ाइन भेद्यता (जैसा कि Microsoft LANManager सिस्टम में पाया जाता है) का उपयोग करते हैं। इन कार्यक्रमों का उपयोग कभी-कभी सिस्टम प्रशासकों द्वारा उपयोगकर्ताओं द्वारा प्रस्तावित कमजोर पासवर्ड का पता लगाने के लिए किया जाता है।

प्रोडक्शन कंप्यूटर सिस्टम के अध्ययन ने लगातार दिखाया है कि सभी उपयोगकर्ता द्वारा चुने गए पासवर्ड का एक बड़ा अंश आसानी से स्वचालित रूप से अनुमान लगाया जाता है। उदाहरण के लिए, कोलंबिया विश्वविद्यालय ने पाया कि 22% उपयोगकर्ता पासवर्ड थोड़े प्रयास से पुनर्प्राप्त किए जा सकते हैं। 2006 के फ़िशिंग हमले से डेटा की जांच करने वाले ब्रूस श्नेयर के अनुसार, 2006 में प्रति सेकंड 200,000 पासवर्ड का परीक्षण करने में सक्षम व्यावसायिक रूप से उपलब्ध पासवर्ड रिकवरी टूलकिट का उपयोग करके मेरी जगह पासवर्ड का 55% 8 घंटे में क्रैक करने योग्य होगा। उन्होंने यह भी बताया कि सबसे आम पासवर्ड पासवर्ड1 था, जो फिर से उपयोगकर्ताओं के बीच पासवर्ड चुनने में सूचित देखभाल की सामान्य कमी की पुष्टि करता है। (उन्होंने फिर भी इन आंकड़ों के आधार पर बनाए रखा, कि पिछले कुछ वर्षों में पासवर्ड की सामान्य गुणवत्ता में सुधार हुआ है - उदाहरण के लिए, औसत लंबाई पिछले सर्वेक्षणों में सात से कम आठ वर्णों तक थी, और 4% से कम शब्दकोश शब्द थे। )

घटनाएं

 * 16 जुलाई, 1998 को सीईआरटी समन्वय केंद्र ने एक ऐसी घटना की सूचना दी जिसमें हमलावर को 186,126 एन्क्रिप्टेड पासवर्ड मिले थे। हमलावर की खोज के समय, 47,642 पासवर्ड पहले ही क्रैक किए जा चुके थे।
 * सितंबर 2001 में, 11 सितंबर के हमलों में न्यूयॉर्क के 960 कर्मचारियों की मृत्यु के बाद, वित्तीय सेवा फर्म कैंटर फिट्जगेराल्ड ने Microsoft के माध्यम से मृत कर्मचारियों के पासवर्ड तोड़ दिए ताकि क्लाइंट खातों की सर्विसिंग के लिए आवश्यक फाइलों तक पहुंच प्राप्त हो सके। तकनीशियनों ने क्रूर बल के हमलों का इस्तेमाल किया, और साक्षात्कारकर्ताओं ने व्यक्तिगत जानकारी इकट्ठा करने के लिए परिवारों से संपर्क किया जो कमजोर पासवर्ड के लिए खोज समय को कम कर सकता है।
 * दिसंबर 2009 में, RockYou|Rockyou.com वेबसाइट का एक बड़ा पासवर्ड उल्लंघन हुआ जिसके कारण 32 मिलियन पासवर्ड जारी किए गए। इसके बाद हैकर ने 3.2 करोड़ पासवर्ड की पूरी सूची इंटरनेट पर लीक कर दी। पासवर्ड डेटाबेस में क्लीयरटेक्स्ट में संग्रहीत किए गए थे और SQL इंजेक्शन भेद्यता के माध्यम से निकाले गए थे। इंपर्वा एप्लिकेशन डिफेंस सेंटर (ADC) ने पासवर्ड की ताकत पर एक विश्लेषण किया।
 * जून 2011 में, NATO (नॉर्थ अटलांटिक ट्रीटी ऑर्गनाइजेशन) ने एक सुरक्षा उल्लंघन का अनुभव किया, जिसके कारण उनके ई-बुकशॉप के 11,000 से अधिक पंजीकृत उपयोगकर्ताओं के लिए पहले और अंतिम नाम, उपयोगकर्ता नाम और पासवर्ड सार्वजनिक रूप से जारी किए गए। डेटा को ऑपरेशन एंटीसेक के हिस्से के रूप में लीक किया गया था, एक आंदोलन जिसमें बेनामी (समूह), LulzSec, साथ ही अन्य हैकिंग समूह और व्यक्ति शामिल हैं। एंटीसेक का उद्देश्य किसी भी आवश्यक माध्यम का उपयोग करके व्यक्तिगत, संवेदनशील और प्रतिबंधित जानकारी को दुनिया के सामने उजागर करना है।
 * 11 जुलाई, 2011 को पेंटागन के लिए काम करने वाली कंसल्टिंग फर्म बूज एलन हैमिल्टन के सर्वर को एनोनिमस (समूह) ने हैक कर लिया और उसी दिन लीक कर दिया। लीक, जिसे 'मिलिट्री मेल्टडाउन मंडे' कहा जाता है, में सैन्य कर्मियों के 90,000 लॉगिन शामिल हैं - जिनमें संयुक्त राज्य मध्य कमान, यूनाइटेड स्टेट्स स्पेशल ऑपरेशंस कमांड, संयुक्त राज्य अमेरिका मरीन कोरपोरेशन, विभिन्न संयुक्त राज्य वायु सेना सुविधाएं, होमलैंड सुरक्षा, संयुक्त राज्य अमेरिका के राज्य विभाग कर्मी शामिल हैं। विभाग के कर्मचारी, और निजी क्षेत्र के ठेकेदार क्या दिखते हैं। ये लीक हुए पासवर्ड SHA1 में हैश किए जा रहे हैं, और बाद में इम्पर्वा में ADC टीम द्वारा डिक्रिप्ट और विश्लेषण किए गए, जिससे पता चलता है कि सैन्य कर्मी भी शॉर्टकट और पासवर्ड आवश्यकताओं के आसपास के तरीकों की तलाश करते हैं।

प्रमाणीकरण के लिए पासवर्ड के विकल्प
कई तरीकों से स्थायी या अर्ध-स्थायी पासवर्ड से समझौता किया जा सकता है, जिसने अन्य तकनीकों के विकास को प्रेरित किया है। दुर्भाग्य से, कुछ अभ्यास में अपर्याप्त हैं, और किसी भी मामले में कुछ अधिक सुरक्षित विकल्प चाहने वाले उपयोगकर्ताओं के लिए सार्वभौमिक रूप से उपलब्ध हो गए हैं। 2012 का एक पेपर जांच करता है कि पासवर्ड बदलने के लिए इतना कठिन क्यों साबित हुआ है (कई भविष्यवाणियों के बावजूद कि वे जल्द ही अतीत की बात बन जाएंगे ); सुरक्षा, प्रयोज्यता और परिनियोजन के संबंध में तीस प्रतिनिधि प्रस्तावित प्रतिस्थापनों की जांच में वे निष्कर्ष निकालते हैं कि कोई भी उन लाभों के पूर्ण सेट को बरकरार नहीं रखता है जो विरासती पासवर्ड पहले से ही प्रदान करते हैं।
 * एक बारी पासवर्ड | सिंगल-यूज़ पासवर्ड। केवल एक बार मान्य पासवर्ड होने से कई संभावित हमले अप्रभावी हो जाते हैं। अधिकांश उपयोगकर्ताओं को एकल-उपयोग पासवर्ड अत्यंत असुविधाजनक लगता है। हालाँकि, उन्हें व्यक्तिगत [[टैन (बैंकिंग)]] में व्यापक रूप से लागू किया गया है, जहाँ उन्हें TAN (बैंकिंग) (TAN) के रूप में जाना जाता है। चूंकि अधिकांश घरेलू उपयोगकर्ता प्रत्येक सप्ताह केवल कुछ ही लेन-देन करते हैं, इसलिए एकल-उपयोग समस्या के कारण इस मामले में असहनीय ग्राहक असंतोष नहीं हुआ है।
 * टाइम-सिंक्रोनाइज़्ड वन-टाइम पासवर्ड कुछ मायनों में सिंगल-यूज़ पासवर्ड के समान हैं, लेकिन दर्ज किया जाने वाला मान एक छोटे (आमतौर पर पॉकेटेबल) आइटम पर प्रदर्शित होता है और हर मिनट में बदलता है।
 * पासविंडो वन-टाइम पासवर्ड का उपयोग एकल-उपयोग पासवर्ड के रूप में किया जाता है, लेकिन दर्ज किए जाने वाले डायनामिक वर्ण केवल तभी दिखाई देते हैं जब उपयोगकर्ता उपयोगकर्ता की स्क्रीन पर दिखाई गई सर्वर-जनित चुनौती छवि पर एक अद्वितीय मुद्रित दृश्य कुंजी को सुपरइम्पोज़ करता है।
 * सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी पर आधारित अभिगम नियंत्रण उदा. सुरक्षित खोल। आवश्यक कुंजियाँ आमतौर पर याद रखने के लिए बहुत बड़ी होती हैं (लेकिन प्रस्ताव Passmaze देखें) और एक स्थानीय कंप्यूटर, सुरक्षा टोकन या पोर्टेबल मेमोरी डिवाइस, जैसे यूएसबी फ्लैश ड्राइव या फ्लॉपी डिस्क पर संग्रहीत होना चाहिए। निजी कुंजी को क्लाउड सेवा प्रदाता पर संग्रहीत किया जा सकता है, और पासवर्ड या दो-कारक प्रमाणीकरण के उपयोग से सक्रिय किया जा सकता है।
 * बॉयोमीट्रिक विधि अपरिवर्तनीय व्यक्तिगत विशेषताओं के आधार पर प्रमाणीकरण का वादा करती है, लेकिन वर्तमान में (2008) में उच्च त्रुटि दर है और स्कैन करने के लिए अतिरिक्त हार्डवेयर की आवश्यकता होती है, उदाहरण के लिए, उंगलियों के निशान, आइरिस (शरीर रचना), आदि। व्यावसायिक रूप से उपलब्ध प्रणालियों का परीक्षण करने वाली कुछ प्रसिद्ध घटनाओं में उनकी नकल करना आसान साबित हुआ है, उदाहरण के लिए, गम्मी अंगुली की छाप स्पूफ प्रदर्शन, और, क्योंकि ये विशेषताएँ अपरिवर्तनीय हैं, समझौता किए जाने पर इन्हें बदला नहीं जा सकता है; एक्सेस कंट्रोल में यह एक अत्यधिक महत्वपूर्ण विचार है क्योंकि एक समझौता एक्सेस टोकन आवश्यक रूप से असुरक्षित है।
 * एकल साइन-ऑन तकनीक का दावा किया जाता है कि यह कई पासवर्ड रखने की आवश्यकता को समाप्त कर देती है। ऐसी योजनाएँ उपयोगकर्ताओं और प्रशासकों को उचित एकल पासवर्ड चुनने से राहत नहीं देती हैं, न ही सिस्टम डिज़ाइनर या प्रशासकों को यह सुनिश्चित करने से राहत मिलती है कि एकल साइन-ऑन को सक्षम करने वाली प्रणालियों के बीच पारित निजी अभिगम नियंत्रण जानकारी हमले से सुरक्षित है। अभी तक, कोई संतोषजनक मानक विकसित नहीं किया गया है।
 * एन्वॉल्टिंग तकनीक USB फ्लैश ड्राइव जैसे रिमूवेबल स्टोरेज डिवाइस पर डेटा सुरक्षित करने का एक पासवर्ड-मुक्त तरीका है। उपयोगकर्ता पासवर्ड के बजाय, अभिगम नियंत्रण नेटवर्क संसाधन तक उपयोगकर्ता की पहुंच पर आधारित होता है।
 * गैर-पाठ-आधारित पासवर्ड, जैसे ग्राफिकल पासवर्ड या माउस-मूवमेंट आधारित पासवर्ड। ग्राफिकल पासवर्ड पारंपरिक पासवर्ड के स्थान पर लॉग-इन के लिए प्रमाणीकरण का एक वैकल्पिक साधन है; वे अक्षर (वर्णमाला), संख्यात्मक अंक या विशेष वर्णों के बजाय छवियों, ग्राफिक्स या रंगों का उपयोग करते हैं। एक प्रणाली के लिए उपयोगकर्ताओं को पासवर्ड के रूप में चेहरों की एक श्रृंखला का चयन करने की आवश्यकता होती है, जिससे मानव मस्तिष्क की आसानी से धारणा का सामना करने की क्षमता का उपयोग होता है। कुछ कार्यान्वयनों में उपयोगकर्ता को पहुँच प्राप्त करने के लिए सही क्रम में छवियों की एक श्रृंखला से चुनने की आवश्यकता होती है। एक अन्य ग्राफिकल पासवर्ड समाधान छवियों के एक बेतरतीब ढंग से उत्पन्न ग्रिड का उपयोग करके एक बार का पासवर्ड बनाता है। हर बार उपयोगकर्ता को प्रमाणित करने की आवश्यकता होती है, वे उन छवियों की तलाश करते हैं जो उनकी पूर्व-चयनित श्रेणियों में फिट होती हैं और यादृच्छिक रूप से उत्पन्न अल्फ़ान्यूमेरिक वर्ण दर्ज करती हैं जो एक-बार पासवर्ड बनाने के लिए छवि में दिखाई देती हैं। अब तक, ग्राफिकल पासवर्ड आशाजनक हैं, लेकिन व्यापक रूप से उपयोग नहीं किए जाते हैं। वास्तविक दुनिया में इसकी उपयोगिता निर्धारित करने के लिए इस विषय पर अध्ययन किए गए हैं। जबकि कुछ का मानना ​​है कि ग्राफिकल पासवर्ड पासवर्ड क्रैकिंग के लिए कठिन होंगे, दूसरों का सुझाव है कि लोग सामान्य छवियों या अनुक्रमों को चुनने की उतनी ही संभावना रखते हैं जितनी कि वे सामान्य पासवर्ड चुनते हैं।
 * 2D कुंजी (2-आयामी कुंजी) MePKC (यादगार सार्वजनिक-कुंजी क्रिप्टोग्राफी) का एहसास करने के लिए 128 बिट्स से परे बड़ा पासवर्ड/कुंजी बनाने के लिए वैकल्पिक टेक्स्ट सिमेंटिक शोर के साथ मल्टीलाइन पासफ्रेज, क्रॉसवर्ड, एएससीआईआई/यूनिकोड कला की प्रमुख शैलियों वाली एक 2डी मैट्रिक्स जैसी कुंजी इनपुट विधि है। एन्क्रिप्टेड निजी कुंजी, विभाजित निजी कुंजी और रोमिंग निजी कुंजी जैसी वर्तमान निजी कुंजी प्रबंधन तकनीकों पर पूरी तरह से याद रखने योग्य निजी कुंजी का उपयोग करना।
 * संज्ञानात्मक पासवर्ड पहचान सत्यापित करने के लिए प्रश्न और उत्तर क्यू/प्रतिक्रिया जोड़े का उपयोग करते हैं।

पासवर्ड मर चुका है
पासवर्ड मर चुका है कंप्यूटर सुरक्षा में एक आवर्ती विचार है। दिए गए कारणों में अक्सर पासवर्ड की उपयोगिता के साथ-साथ सुरक्षा समस्याओं का संदर्भ शामिल होता है। यह अक्सर तर्कों के साथ आता है कि प्रमाणीकरण के अधिक सुरक्षित माध्यम से पासवर्ड का प्रतिस्थापन आवश्यक और आसन्न दोनों है। यह दावा कम से कम 2004 से कई लोगों द्वारा किया गया है। पासवर्ड के विकल्पों में बायोमेट्रिक्स, दो तरीकों से प्रमाणीकरण या सिंगल साइन-ऑन, माइक्रोसॉफ्ट का कार्डस्पेस, हिगिंस परियोजना, लिबर्टी एलायंस, एनएसटीआईसी, एफआईडीओ एलायंस और विभिन्न आइडेंटिटी 2.0 प्रस्ताव शामिल हैं। हालाँकि, इन भविष्यवाणियों और उन्हें बदलने के प्रयासों के बावजूद पासवर्ड अभी भी वेब पर प्रमाणीकरण का प्रमुख रूप है। पासवर्ड की दृढ़ता में, कॉर्मैक हर्ले और पॉल वैन ओरशोट सुझाव देते हैं कि शानदार गलत धारणा को समाप्त करने के लिए हर संभव प्रयास किया जाना चाहिए कि पासवर्ड मर चुके हैं। उनका तर्क है कि कोई भी अन्य एकल तकनीक लागत, तात्कालिकता और सुविधा के उनके संयोजन से मेल नहीं खाती है और यह कि पासवर्ड स्वयं उन कई परिदृश्यों के लिए सबसे उपयुक्त हैं जिनमें वे वर्तमान में उपयोग किए जा रहे हैं।

इसके बाद, बॉनौ एट अल। उपयोगिता, परिनियोजन और सुरक्षा के संदर्भ में व्यवस्थित रूप से वेब पासवर्ड की तुलना 35 प्रतिस्पर्धी प्रमाणीकरण योजनाओं से की गई है। उनके विश्लेषण से पता चलता है कि अधिकांश योजनाएँ सुरक्षा पर पासवर्ड से बेहतर करती हैं, कुछ योजनाएँ उपयोगिता के संबंध में बेहतर और कुछ खराब होती हैं, जबकि हर योजना तैनाती पर पासवर्ड से भी बदतर होती है। लेखक निम्नलिखित अवलोकन के साथ निष्कर्ष निकालते हैं: महत्वपूर्ण संक्रमण लागतों को दूर करने के लिए आवश्यक सक्रियण ऊर्जा तक पहुंचने के लिए सीमांत लाभ अक्सर पर्याप्त नहीं होते हैं, जो इस बात का सबसे अच्छा स्पष्टीकरण प्रदान कर सकता है कि पासवर्ड के लिए अंतिम संस्कार के जुलूस को देखने से पहले हमारे लंबे समय तक जीवित रहने की संभावना क्यों है। कब्रिस्तान।

यह भी देखें

 * एक्सेस कोड (बहुविकल्पी)
 * प्रमाणीकरण
 * कॅप्चा
 * संज्ञात्मक विज्ञान
 * संयोजन ताला
 * डाइसवेयर
 * इलेक्ट्रॉनिक लॉक
 * करबरोस (प्रोटोकॉल)
 * कीफाइल
 * पदबंध
 * पासवर्ड क्रैकिंग
 * पासवर्ड थकान
 * पासवर्ड लंबाई पैरामीटर
 * पासवर्ड मैनेजर
 * पासवर्ड अधिसूचना ई-मेल
 * पासवर्ड नीति
 * पासवर्ड मनोविज्ञान
 * पासवर्ड क्षमता
 * पासवर्ड तुल्यकालन
 * पासवर्ड-प्रमाणित कुंजी समझौता
 * व्यक्तिगत पहचान संख्या
 * गुप्त कुंजी
 * इंद्रधनुष तालिका
 * यादृच्छिक पासवर्ड जनरेटर
 * सुरक्षित पासवर्ड शेयरिंग
 * स्वयं सेवा पासवर्ड रीसेट
 * किसी समूह का चिह्न
 * वेब प्रमाणीकरण प्रणाली की उपयोगिता

इस पेज में लापता आंतरिक लिंक की सूची

 * नॉरमैंडी पर आक्रमण
 * शब्दकोश हमला
 * पहुँच नियंत्रण
 * एक बार दर्ज करना
 * मैन-इन-द-बीच हमला
 * और में
 * सर्विस अटैक से इनकार
 * bcrypt
 * पासवर्ड-प्रमाणित कुंजी समझौता
 * स्वयं सेवा पासवर्ड रीसेट
 * स्मृति सहायक
 * मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 * पशु बल का आक्रमण
 * 11 सितंबर के हमले
 * अनाम (समूह)
 * सार्वजनिक कुंजी क्रिप्टोग्राफी
 * परितारिका (शरीर रचना)
 * पत्र (वर्णमाला)
 * रंग की
 * चेहरा
 * चेहरा धारणा
 * 2डी कुंजी
 * प्रयोज्य
 * FIDO एलायंस
 * केर्बरोस (प्रोटोकॉल)

बाहरी संबंध

 * Graphical Passwords: A Survey
 * Large list of commonly used passwords
 * Large collection of statistics about passwords
 * Research Papers on Password-based Cryptography
 * The international passwords conference
 * Procedural Advice for Organisations and Administrators (PDF)
 * Centre for Security, Communications and Network Research, University of Plymouth (PDF)
 * 2017 draft update to NIST password standards for the U.S. federal government