पासवर्ड स्ट्रेंथ

पासवर्ड की ताकत अनुमान लगाने या क्रूर-बल के हमलों के खिलाफ पासवर्ड की प्रभावशीलता का एक उपाय है। अपने सामान्य रूप में, यह अनुमान लगाता है कि एक हमलावर जिसके पास पासवर्ड तक सीधी पहुंच नहीं है, उसे औसतन कितने परीक्षणों की आवश्यकता होगी, इसका सही अनुमान लगाने के लिए। पासवर्ड की ताकत लंबाई, जटिलता और अप्रत्याशितता का एक कार्य है। मजबूत पासवर्ड का उपयोग सुरक्षा उल्लंघन के समग्र जोखिम को कम करता है, लेकिन मजबूत पासवर्ड अन्य प्रभावी सुरक्षा नियंत्रणों की आवश्यकता को प्रतिस्थापित नहीं करते हैं। किसी दिए गए ताकत के पासवर्ड की प्रभावशीलता प्रमाणीकरण #प्रमाणीकरण_कारकों (ज्ञान, स्वामित्व, विरासत) के डिजाइन और कार्यान्वयन द्वारा दृढ़ता से निर्धारित की जाती है। इस लेख में पहला कारक मुख्य फोकस है।

दर जिस पर एक हमलावर सिस्टम को अनुमानित पासवर्ड जमा कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं। अन्य कमजोरियों के अभाव में, ऐसे सिस्टम को अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित किया जा सकता है। हालाँकि, सिस्टम को किसी न किसी रूप में उपयोगकर्ता के पासवर्ड के बारे में जानकारी संग्रहीत करनी चाहिए और यदि वह जानकारी चोरी हो जाती है, तो सिस्टम सुरक्षा का उल्लंघन करके, उपयोगकर्ता के पासवर्ड जोखिम में हो सकते हैं।

2019 में, यूनाइटेड किंगडम के राष्ट्रीय साइबर सुरक्षा केंद्र (यूनाइटेड किंगडम) ने उल्लंघन किए गए खातों के सार्वजनिक डेटाबेस का विश्लेषण किया, यह देखने के लिए कि लोग किन शब्दों, वाक्यांशों और स्ट्रिंग्स का उपयोग करते हैं। सूची में सबसे लोकप्रिय पासवर्ड 123456 था, जो 23 मिलियन से अधिक पासवर्ड में दिखाई दे रहा था। दूसरी सबसे लोकप्रिय स्ट्रिंग, 123456789, को क्रैक करना ज्यादा मुश्किल नहीं था, जबकि शीर्ष पांच में Qwerty, पासवर्ड और 1111111 शामिल थे।

पासवर्ड निर्माण
पासवर्ड या तो स्वचालित रूप से (यादृच्छिक उपकरण का उपयोग करके) या मानव द्वारा बनाए जाते हैं; बाद वाला मामला अधिक सामान्य है। जबकि एक क्रूर-बल हमले के खिलाफ बेतरतीब ढंग से चुने गए पासवर्ड की ताकत की गणना सटीक रूप से की जा सकती है, मानव-जनित पासवर्ड की ताकत का निर्धारण करना मुश्किल है।

कंप्यूटर सिस्टम या इंटरनेट वेबसाइट के लिए एक नया खाता बनाते समय आम तौर पर, मनुष्यों को पासवर्ड चुनने के लिए कहा जाता है, कभी-कभी सुझावों द्वारा निर्देशित या नियमों के एक सेट द्वारा प्रतिबंधित किया जाता है। ताकत का केवल मोटा अनुमान ही संभव है क्योंकि मनुष्य ऐसे कार्यों में पैटर्न का पालन करते हैं, और वे पैटर्न आमतौर पर एक हमलावर की सहायता कर सकते हैं। इसके अलावा, आमतौर पर चुने गए पासवर्ड की सूची पासवर्ड अनुमान लगाने वाले कार्यक्रमों द्वारा उपयोग के लिए व्यापक रूप से उपलब्ध हैं। इस तरह की सूचियों में विभिन्न मानव भाषाओं के लिए कई ऑनलाइन शब्दकोश शामिल हैं, जिनका उल्लंघन किया गया है अन्य सामान्य पासवर्ड के साथ, विभिन्न ऑनलाइन व्यापार और सामाजिक खातों से सादे पाठ और क्रिप्टोग्राफिक_हैश_फंक्शन पासवर्ड के डेटाबेस। ऐसी सूचियों में सभी आइटम कमजोर माने जाते हैं, जैसे पासवर्ड हैं जो उनके सरल संशोधन हैं।

हालांकि आजकल रैंडम पासवर्ड जेनरेशन प्रोग्राम उपलब्ध हैं, जिनका उपयोग करना आसान है, वे आमतौर पर यादृच्छिक, याद रखने में कठिन पासवर्ड उत्पन्न करते हैं, जिसके परिणामस्वरूप अक्सर लोग अपना खुद का चयन करना पसंद करते हैं। हालांकि, यह स्वाभाविक रूप से असुरक्षित है क्योंकि व्यक्ति की जीवन शैली, मनोरंजन प्राथमिकताएं, और अन्य प्रमुख व्यक्तिवादी गुण आमतौर पर पासवर्ड की पसंद को प्रभावित करने के लिए आते हैं, जबकि ऑनलाइन सामाजिक मीडिया  के प्रसार ने लोगों के बारे में जानकारी प्राप्त करना बहुत आसान बना दिया है।

पासवर्ड अनुमान सत्यापन
सिस्टम जो प्रमाणीकरण के लिए पासवर्ड का उपयोग करते हैं, उनके पास पहुंच प्राप्त करने के लिए दर्ज किए गए किसी भी पासवर्ड की जांच करने का कोई तरीका होना चाहिए। यदि मान्य पासवर्ड केवल एक सिस्टम फ़ाइल या डेटाबेस में संग्रहीत हैं, तो एक हमलावर जो सिस्टम तक पर्याप्त पहुंच प्राप्त करता है, सभी उपयोगकर्ता पासवर्ड प्राप्त करेगा, जिससे हमलावर को हमले वाले सिस्टम पर सभी खातों और संभावित रूप से अन्य सिस्टमों तक पहुंच मिलती है जहां उपयोगकर्ता इसे नियोजित करते हैं या समान पासवर्ड। इस जोखिम को कम करने का एक तरीका यह है कि पासवर्ड के बजाय प्रत्येक पासवर्ड का केवल एक क्रिप्टोग्राफिक हैश स्टोर किया जाए। मानक क्रिप्टोग्राफ़िक हैश, जैसे कि सुरक्षित हैश एल्गोरिथम (बहुविकल्पी) (SHA) श्रृंखला, रिवर्स करना बहुत कठिन है, इसलिए एक हमलावर जो हैश मान को पकड़ लेता है, वह सीधे पासवर्ड को पुनर्प्राप्त नहीं कर सकता है। हालाँकि, हैश मान का ज्ञान हमलावर को ऑफ़लाइन अनुमानों का त्वरित परीक्षण करने देता है। पासवर्ड क्रैकिंग प्रोग्राम व्यापक रूप से उपलब्ध हैं जो चोरी किए गए क्रिप्टोग्राफ़िक हैश के विरुद्ध बड़ी संख्या में परीक्षण पासवर्ड का परीक्षण करेंगे।

कंप्यूटिंग प्रौद्योगिकी में सुधार उस दर को बढ़ाता रहता है जिस पर अनुमानित पासवर्ड का परीक्षण किया जा सकता है। उदाहरण के लिए, 2010 में, जॉर्जिया टेक रिसर्च इंस्टीट्यूट ने बहुत तेजी से पासवर्ड क्रैक करने के लिए जीपीजीपीयू का उपयोग करने की एक विधि विकसित की। Elcomsoft ने अगस्त 2007 में त्वरित पासवर्ड पुनर्प्राप्ति के लिए सामान्य ग्राफ़िक कार्ड के उपयोग का आविष्कार किया और जल्द ही अमेरिका में एक संबंधित पेटेंट दायर किया। 2011 तक, वाणिज्यिक उत्पाद उपलब्ध थे जो उस समय के लिए एक उच्च अंत ग्राफिक्स प्रोसेसर का उपयोग करके एक मानक डेस्कटॉप कंप्यूटर पर प्रति सेकंड 112,000 पासवर्ड तक परीक्षण करने की क्षमता का दावा करते थे। इस तरह की डिवाइस एक दिन में छह-अक्षर वाले सिंगल-केस पासवर्ड को क्रैक कर देगी। ध्यान दें कि तुलनीय जीपीयू के साथ उपलब्ध कंप्यूटरों की संख्या के अनुपात में अतिरिक्त स्पीडअप के लिए काम को कई कंप्यूटरों पर वितरित किया जा सकता है। विशेष कुंजी स्ट्रेचिंग हैश उपलब्ध हैं जो गणना करने में अपेक्षाकृत लंबा समय लेते हैं, जिससे अनुमान लगाने की दर कम हो जाती है। हालांकि कुंजी खींचना का उपयोग करना सबसे अच्छा अभ्यास माना जाता है, कई सामान्य प्रणालियां ऐसा नहीं करती हैं।

एक और स्थिति जहां त्वरित अनुमान लगाना संभव है, वह है जब क्रिप्टोग्राफ़िक कुंजी बनाने के लिए पासवर्ड का उपयोग किया जाता है। ऐसे मामलों में, एक हमलावर जल्दी से यह देखने के लिए जांच कर सकता है कि अनुमानित पासवर्ड एन्क्रिप्टेड डेटा को सफलतापूर्वक डिकोड करता है या नहीं। उदाहरण के लिए, एक वाणिज्यिक उत्पाद प्रति सेकंड 103,000 वाई-फाई संरक्षित एक्सेस पीएसके पासवर्ड का परीक्षण करने का दावा करता है। यदि कोई पासवर्ड सिस्टम केवल पासवर्ड के हैश को संग्रहीत करता है, तो एक हमलावर सामान्य पासवर्ड वेरिएंट के लिए हैश मानों की पूर्व-गणना कर सकता है और एक निश्चित लंबाई से कम सभी पासवर्डों के लिए, पासवर्ड की बहुत तेजी से पुनर्प्राप्ति की अनुमति देता है, एक बार इसका हैश प्राप्त हो जाता है। प्री-कंप्यूटेड पासवर्ड हैश की बहुत लंबी सूची इंद्रधनुष तालिकाओं का उपयोग करके कुशलता से संग्रहीत की जा सकती है। हमले के इस तरीके को हैश के साथ एक यादृच्छिक मूल्य, जिसे क्रिप्टोग्राफिक नमक कहा जाता है, को संग्रहीत करके विफल किया जा सकता है। हैश की गणना करते समय नमक को पासवर्ड के साथ जोड़ दिया जाता है, इसलिए इंद्रधनुष तालिका को प्रीकंप्यूट करने वाले एक हमलावर को प्रत्येक पासवर्ड के लिए हर संभव नमक मूल्य के साथ अपने हैश को स्टोर करना होगा। यदि नमक की पर्याप्त सीमा है, तो 32-बिट संख्या कहें तो यह असंभव हो जाता है। दुर्भाग्य से, आम उपयोग में कई प्रमाणीकरण प्रणालियां लवण का उपयोग नहीं करती हैं और ऐसी कई प्रणालियों के लिए इंटरनेट पर इंद्रधनुष तालिकाएं उपलब्ध हैं।

पासवर्ड शक्ति के माप के रूप में एंट्रॉपी
कंप्यूटर उद्योग में सूचना एन्ट्रापी के संदर्भ में पासवर्ड की ताकत निर्दिष्ट करना सामान्य है, जिसे अंश ्स में मापा जाता है और सूचना सिद्धांत से एक अवधारणा है। पासवर्ड को निश्चित रूप से खोजने के लिए आवश्यक अनुमानों की संख्या के बजाय, उस संख्या का बाइनरी लघुगणक | आधार -2 लघुगणक दिया जाता है, जिसे आमतौर पर पासवर्ड में एन्ट्रापी बिट्स की संख्या के रूप में संदर्भित किया जाता है, हालांकि यह बिल्कुल समान नहीं है सूचना एन्ट्रापी के रूप में मात्रा। इस तरह से गणना की गई 42 बिट्स की एन्ट्रापी वाला पासवर्ड 42 बिट्स की एक स्ट्रिंग के रूप में मजबूत होगा, उदाहरण के लिए एक उचित सिक्का टॉस द्वारा। दूसरा तरीका रखो, 42 बिट्स के एंट्रॉपी वाले पासवर्ड के लिए 2 की आवश्यकता होगी42 (4,398,046,511,104) एक क्रूर बल खोज के दौरान सभी संभावनाओं को समाप्त करने का प्रयास करता है। इस प्रकार, पासवर्ड की एन्ट्रापी को एक बिट से बढ़ाने से आवश्यक अनुमानों की संख्या दोगुनी हो जाती है, जिससे हमलावर का कार्य दोगुना कठिन हो जाता है। औसतन, एक हमलावर को सही खोजने से पहले पासवर्ड की संभावित संख्या का आधा प्रयास करना होगा।

रैंडम पासवर्ड
रैंडम पासवर्ड में यादृच्छिक चयन प्रक्रिया का उपयोग करते हुए प्रतीकों के कुछ सेट से लिए गए निर्दिष्ट लंबाई के प्रतीकों की एक स्ट्रिंग होती है जिसमें प्रत्येक प्रतीक के चुने जाने की समान संभावना होती है। प्रतीक एक वर्ण सेट (जैसे, ASCII वर्ण सेट) से अलग-अलग वर्ण हो सकते हैं, उच्चारण योग्य पासवर्ड बनाने के लिए डिज़ाइन किए गए शब्दांश, या शब्द सूची से शब्द भी (इस प्रकार एक पदबंध बनाते हैं)।

यादृच्छिक पासवर्ड की ताकत अंतर्निहित संख्या जनरेटर की वास्तविक एन्ट्रॉपी पर निर्भर करती है; हालाँकि, ये अक्सर वास्तव में यादृच्छिक नहीं होते हैं, लेकिन छद्म यादृच्छिक होते हैं। कई सार्वजनिक रूप से उपलब्ध पासवर्ड जनरेटर प्रोग्रामिंग पुस्तकालयों में पाए जाने वाले यादृच्छिक संख्या जनरेटर का उपयोग करते हैं जो सीमित एन्ट्रॉपी प्रदान करते हैं। हालाँकि अधिकांश आधुनिक ऑपरेटिंग सिस्टम क्रिप्टोग्राफ़िक रूप से मजबूत यादृच्छिक संख्या जनरेटर प्रदान करते हैं जो पासवर्ड जनरेशन के लिए उपयुक्त हैं। यादृच्छिक पासवर्ड उत्पन्न करने के लिए साधारण पासा का उपयोग करना भी संभव है। रैंडम पासवर्ड जनरेटर#मजबूत तरीके देखें। रैंडम पासवर्ड प्रोग्राम में अक्सर यह सुनिश्चित करने की क्षमता होती है कि परिणामी पासवर्ड स्थानीय पासवर्ड नीति का अनुपालन करता है; उदाहरण के लिए, हमेशा अक्षरों, संख्याओं और विशेष वर्णों का मिश्रण बनाकर।

एक प्रक्रिया द्वारा उत्पन्न पासवर्ड के लिए जो एन संभावित प्रतीकों के एक सेट से यादृच्छिक रूप से लंबाई के प्रतीकों की एक स्ट्रिंग का चयन करता है, एल, संभव पासवर्ड की संख्या को प्रतीकों की संख्या बढ़ाकर एल, यानी एन एल. L या N को बढ़ाने से उत्पन्न पासवर्ड मजबूत होगा। सूचना एन्ट्रापी द्वारा मापी गई एक यादृच्छिक पासवर्ड की ताकत सिर्फ द्विआधारी लघुगणक है। आधार -2 लघुगणक या लॉग2 संभावित पासवर्डों की संख्या, यह मानते हुए कि पासवर्ड में प्रत्येक प्रतीक स्वतंत्र रूप से निर्मित होता है। इस प्रकार एक यादृच्छिक पासवर्ड की सूचना एंट्रॉपी, एच, सूत्र द्वारा दी गई है:

$H = \log_2 N^L = L\log_2 N = L {\log N \over \log 2}$

जहाँ N संभव प्रतीकों की संख्या है और L पासवर्ड में प्रतीकों की संख्या है। H को बिट्स में मापा जाता है। अंतिम व्यंजक में, log किसी भी आधार (घातांक) का हो सकता है।


 * {| class="wikitable" style="text-align: right;"

! Symbol set || Symbol count N || Entropy per symbol H एक बाइनरी संख्या  बाइट आमतौर पर दो हेक्साडेसिमल वर्णों का उपयोग करके व्यक्त किया जाता है।
 * + Entropy per symbol for different symbol sets
 * align=left|Arabic numerals (0–9) (e.g. PIN) || 10 || 3.3219280948874 bits
 * align=left|Hexadecimal numerals (0–9, A–F) (e.g. WEP keys) || 16 || 4.000 bits
 * align=left|Case insensitive Latin alphabet (a–z or A–Z) || 26 || 4.7004397181411 bits
 * align=left|Case insensitive alphanumeric (a–z or A–Z, 0–9) || 36 || 5.1699250014423 bits
 * align=left|Case sensitive Latin alphabet (a–z, A–Z) || 52 || 5.7004397181411 bits
 * align=left|Case sensitive alphanumeric (a–z, A–Z, 0–9) || 62 || 5.9541963103869 bits
 * align=left|All ASCII printable characters except space || 94 || 6.55458885 bits
 * align=left|All Latin-1 Supplement characters || 94 || 6.55458885 bits
 * align=left|All ASCII printable characters || 95 || 6.5698556083309 bits
 * align=left|All extended ASCII printable characters || 218 || 7.7681843247769 bits
 * align=left|Binary (0–255 or 8 bits or 1 byte) || 256 || 8 bits
 * align=left|Diceware word list || 7776 || 12.924812503606 bits per word
 * }
 * align=left|All ASCII printable characters except space || 94 || 6.55458885 bits
 * align=left|All Latin-1 Supplement characters || 94 || 6.55458885 bits
 * align=left|All ASCII printable characters || 95 || 6.5698556083309 bits
 * align=left|All extended ASCII printable characters || 218 || 7.7681843247769 bits
 * align=left|Binary (0–255 or 8 bits or 1 byte) || 256 || 8 bits
 * align=left|Diceware word list || 7776 || 12.924812503606 bits per word
 * }
 * align=left|Binary (0–255 or 8 bits or 1 byte) || 256 || 8 bits
 * align=left|Diceware word list || 7776 || 12.924812503606 bits per word
 * }
 * align=left|Diceware word list || 7776 || 12.924812503606 bits per word
 * }

लंबाई खोजने के लिए, एल, वांछित ताकत एच प्राप्त करने के लिए आवश्यक है, एन प्रतीकों के एक सेट से यादृच्छिक रूप से तैयार किए गए पासवर्ड के साथ, एक गणना करता है:

$$L = {\left \lceil \frac {H}{\log_2 N} \right \rceil}$$ कहाँ $$ \left \lceil \ \right \rceil $$ अगली सबसे बड़ी प्राकृतिक संख्या तक राउंडिंग को दर्शाता है।

निम्न तालिका सामान्य प्रतीक सेटों के लिए वांछित पासवर्ड एंट्रॉपी प्राप्त करने के लिए वास्तव में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की आवश्यक लंबाई दिखाने के लिए इस सूत्र का उपयोग करती है:

मानव जनित पासवर्ड
संतोषजनक पासवर्ड बनाने के लिए पर्याप्त एन्ट्रापी प्राप्त करने में लोग कुख्यात हैं। आधे मिलियन उपयोगकर्ताओं को शामिल करने वाले एक अध्ययन के अनुसार, औसत पासवर्ड एंट्रॉपी का अनुमान 40.54 बिट्स था। इस प्रकार, 3 मिलियन से अधिक आठ-वर्ण वाले पासवर्ड के एक विश्लेषण में, अक्षर e का उपयोग 1.5 मिलियन से अधिक बार किया गया था, जबकि अक्षर f का उपयोग केवल 250,000 बार किया गया था। एक समान वितरण (असतत) में प्रत्येक वर्ण का लगभग 900,000 बार उपयोग किया गया होगा। उपयोग की जाने वाली सबसे सामान्य संख्या 1 है, जबकि सबसे सामान्य अक्षर a, e, o और r हैं।

उपयोगकर्ता पासवर्ड बनाने में शायद ही कभी बड़े वर्ण सेट का पूर्ण उपयोग करते हैं। उदाहरण के लिए, 2006 में माइस्पेस फ़िशिंग योजना से प्राप्त हैकिंग परिणामों से 34,000 पासवर्ड का पता चला, जिनमें से केवल 8.3% ने मिश्रित केस, संख्याओं और प्रतीकों का उपयोग किया। संपूर्ण ASCII वर्ण सेट (अंक, मिश्रित केस अक्षर और विशेष वर्ण) का उपयोग करने से जुड़ी पूरी ताकत केवल तभी प्राप्त की जाती है जब प्रत्येक संभावित पासवर्ड समान रूप से संभव हो। ऐसा प्रतीत होता है कि सभी पासवर्ड में कई वर्ण वर्गों में से प्रत्येक के वर्ण होने चाहिए, शायद ऊपरी और निचले मामले के अक्षर, संख्याएँ और गैर-अल्फ़ान्यूमेरिक वर्ण। वास्तव में, ऐसी आवश्यकता पासवर्ड पसंद में एक पैटर्न है और हमलावर के कार्य कारक (क्लाउड शैनन के शब्दों में) को कम करने की उम्मीद की जा सकती है। यह पासवर्ड की ताकत में कमी है। एक बेहतर आवश्यकता एक पासवर्ड की आवश्यकता होगी, जिसमें किसी ऑनलाइन शब्दकोष, या नामों की सूची, या किसी भी राज्य (अमेरिका में) या देश (यूरोपीय संघ के रूप में) से कोई लाइसेंस प्लेट पैटर्न शामिल न हो। यदि प्रतिरूपित विकल्पों की आवश्यकता होती है, तो मनुष्य उनका अनुमान लगाने योग्य तरीकों से उपयोग करने की संभावना रखते हैं, जैसे किसी अक्षर को बड़ा करना, एक या दो संख्याओं को जोड़ना, और एक विशेष वर्ण। इस पूर्वानुमेयता का अर्थ है कि यादृच्छिक पासवर्ड की तुलना में पासवर्ड की शक्ति में वृद्धि मामूली है।

एनआईएसटी विशेष प्रकाशन 800-63-2
जून 2004 का एनआईएसटी विशेष प्रकाशन 800-63 (संशोधन दो) ने मानव जनित पासवर्डों की एंट्रॉपी को अनुमानित करने के लिए एक योजना का सुझाव दिया: इस योजना का उपयोग करते हुए, एक आठ-वर्ण मानव-चयनित पासवर्ड बिना अपरकेस वर्णों और गैर-अल्फाबेटिक वर्णों के साथ या दो वर्ण सेटों में से किसी एक के साथ एंट्रॉपी के अठारह बिट होने का अनुमान है। NIST प्रकाशन स्वीकार करता है कि विकास के समय, पासवर्ड के वास्तविक विश्व चयन पर बहुत कम जानकारी उपलब्ध थी। बाद में नए उपलब्ध वास्तविक विश्व डेटा का उपयोग करके मानव-चयनित पासवर्ड एन्ट्रॉपी में शोध ने प्रदर्शित किया है कि एनआईएसटी योजना मानव-चयनित पासवर्ड के एंट्रॉपी अनुमान के लिए वैध मीट्रिक प्रदान नहीं करती है। एसपी 800-63 (संशोधन तीन) का जून 2017 संशोधन इस दृष्टिकोण को छोड़ देता है।

प्रयोज्यता और कार्यान्वयन विचार
क्योंकि राष्ट्रीय कीबोर्ड कार्यान्वयन अलग-अलग होते हैं, सभी 94 ASCII प्रिंट करने योग्य वर्णों का हर जगह उपयोग नहीं किया जा सकता है। यह एक अंतरराष्ट्रीय यात्री के लिए एक समस्या पेश कर सकता है जो स्थानीय कंप्यूटर पर कीबोर्ड का उपयोग करके रिमोट सिस्टम में लॉग इन करना चाहता है। लैटिन-स्क्रिप्ट कीबोर्ड लेआउट की सूची देखें। कई हाथ से चलने वाले उपकरण, जैसे कि टैबलेट कंप्यूटर और स्मार्टफोन, विशेष वर्णों को दर्ज करने के लिए जटिल शिफ्ट अनुक्रम या कीबोर्ड एप स्वैपिंग की आवश्यकता होती है।

प्रमाणीकरण कार्यक्रम अलग-अलग होते हैं जिनमें वे पासवर्ड में वर्णों की अनुमति देते हैं। कुछ मामले के अंतर को नहीं पहचानते हैं (उदाहरण के लिए, अपर-केस ई को लोअर-केस ई के बराबर माना जाता है), अन्य कुछ अन्य प्रतीकों को प्रतिबंधित करते हैं। पिछले कुछ दशकों में, सिस्टम ने पासवर्ड में अधिक वर्णों की अनुमति दी है, लेकिन सीमाएँ अभी भी मौजूद हैं। अनुमत पासवर्ड की अधिकतम लंबाई में सिस्टम भी भिन्न होते हैं।

एक व्यावहारिक मामले के रूप में, पासवर्ड अंतिम उपयोगकर्ता के लिए उचित और कार्यात्मक होने के साथ-साथ इच्छित उद्देश्य के लिए पर्याप्त मजबूत होना चाहिए। ऐसे पासवर्ड जिन्हें याद रखना बहुत मुश्किल है, उन्हें भुला दिया जा सकता है और इसलिए उनके कागज़ पर लिखे जाने की संभावना अधिक होती है, जिसे कुछ लोग सुरक्षा जोखिम मानते हैं। इसके विपरीत, दूसरों का तर्क है कि उपयोगकर्ताओं को सहायता के बिना पासवर्ड याद रखने के लिए मजबूर करना केवल कमजोर पासवर्ड को समायोजित कर सकता है, और इस प्रकार एक बड़ा सुरक्षा जोखिम पैदा करता है। ब्रूस श्नेयर के अनुसार, ज्यादातर लोग अपने बटुए या पर्स को सुरक्षित रखने में अच्छे होते हैं, जो लिखित पासवर्ड को स्टोर करने के लिए एक बेहतरीन जगह है।

एंट्रॉपी के आवश्यक बिट्स
पासवर्ड के लिए आवश्यक एंट्रॉपी की न्यूनतम संख्या दिए गए एप्लिकेशन के लिए खतरे के मॉडल पर निर्भर करती है। यदि कुंजी खींचने का उपयोग नहीं किया जाता है, तो अधिक एंट्रॉपी वाले पासवर्ड की आवश्यकता होती है। RFC 4086, सुरक्षा के लिए यादृच्छिकता आवश्यकताएँ, जून 2005 में प्रकाशित, कुछ उदाहरण खतरे के मॉडल प्रस्तुत करता है और प्रत्येक के लिए वांछित एंट्रॉपी की गणना कैसे करें। यदि केवल ऑनलाइन हमलों की अपेक्षा की जाती है, तो उनके उत्तर 29 बिट एन्ट्रापी के बीच भिन्न होते हैं, और एन्क्रिप्शन जैसे अनुप्रयोगों में उपयोग की जाने वाली महत्वपूर्ण क्रिप्टोग्राफ़िक कुंजियों के लिए आवश्यक 96 बिट एन्ट्रापी तक, जहाँ पासवर्ड या कुंजी को लंबे समय तक सुरक्षित रखने और खींचने की आवश्यकता होती है। लागू नहीं है। 2010 के जॉर्जिया टेक रिसर्च इंस्टीट्यूट के अध्ययन में बिना खींची हुई कुंजियों पर आधारित एक 12-वर्ण यादृच्छिक पासवर्ड की सिफारिश की गई थी, लेकिन न्यूनतम लंबाई की आवश्यकता के रूप में। ध्यान रखें कि कंप्यूटिंग शक्ति बढ़ती रहती है, इसलिए ऑफ़लाइन हमलों को रोकने के लिए समय के साथ एन्ट्रापी के आवश्यक अंश भी बढ़ने चाहिए।

ऊपरी छोर एन्क्रिप्शन में उपयोग की जाने वाली कुंजियों को चुनने की कठोर आवश्यकताओं से संबंधित है। 1999 में, EFF DES क्रैकर ने विशेष रूप से डिज़ाइन किए गए हार्डवेयर का उपयोग करके एक दिन से भी कम समय में 56-बिट डेटा एन्क्रिप्शन मानक एन्क्रिप्शन को तोड़ दिया। 2002 में, डिस्ट्रीब्यूटेड.नेट ने 4 साल, 9 महीने और 23 दिनों में 64-बिट की को क्रैक किया। 12 अक्टूबर, 2011 तक, डिस्ट्रीब्यूटेड.नेट का अनुमान है कि वर्तमान हार्डवेयर का उपयोग करके 72-बिट कुंजी को क्रैक करने में लगभग 45,579 दिन या 124.8 वर्ष लगेंगे। मौलिक भौतिकी से वर्तमान में समझी जाने वाली सीमाओं के कारण, कोई उम्मीद नहीं है कि कोई भी डिजिटल कम्प्यूटर  (या संयोजन) 256-बिट एन्क्रिप्शन को ब्रूट-फोर्स अटैक के माध्यम से तोड़ने में सक्षम होगा। क्वांटम कंप्यूटर व्यवहार में ऐसा करने में सक्षम होंगे या नहीं यह अभी भी अज्ञात है, हालांकि सैद्धांतिक विश्लेषण ऐसी संभावनाओं का सुझाव देता है।

सामान्य दिशानिर्देश
अच्छे पासवर्ड चुनने के दिशानिर्देश आम तौर पर बुद्धिमान अनुमान लगाकर पासवर्ड खोजने के लिए कठिन बनाने के लिए डिज़ाइन किए जाते हैं। सॉफ्टवेयर सिस्टम सुरक्षा के समर्थकों द्वारा समर्थित सामान्य दिशानिर्देशों में शामिल हैं:
 * 8 की न्यूनतम पासवर्ड लंबाई पर विचार करें एक सामान्य मार्गदर्शक के रूप में वर्ण। अमेरिका और ब्रिटेन दोनों के साइबर सुरक्षा विभाग छोटे जटिल पासवर्ड की जगह लंबे और आसानी से याद रखने वाले पासवर्ड की सलाह देते हैं। * जहाँ संभव हो, बेतरतीब ढंग से पासवर्ड उत्पन्न करें।
 * एक ही पासवर्ड का दो बार उपयोग करने से बचें (उदाहरण के लिए कई उपयोगकर्ता खातों और/या सॉफ़्टवेयर सिस्टम में)।
 * चरित्र दोहराव, कीबोर्ड पैटर्न, शब्दकोश शब्द, अक्षर या संख्या क्रम से बचें।
 * ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता या खाते से सार्वजनिक रूप से जुड़ी हो या हो सकती है, जैसे कि उपयोगकर्ता का नाम, पूर्वजों के नाम या दिनांक।
 * ऐसी जानकारी का उपयोग करने से बचें जो उपयोगकर्ता के सहकर्मियों और/या परिचितों को उपयोगकर्ता से संबद्ध होने के बारे में पता हो, जैसे रिश्तेदारों या पालतू जानवरों के नाम, रोमांटिक लिंक (वर्तमान या अतीत) और जीवनी संबंधी जानकारी (जैसे आईडी नंबर, पूर्वजों के नाम या दिनांक).
 * ऐसे पासवर्ड का उपयोग न करें जो उपरोक्त कमजोर घटकों के किसी भी सरल संयोजन से पूरी तरह से बने हों।

पासवर्ड में लोअरकेस, अपरकेस अक्षर वर्णों, संख्याओं और प्रतीकों को बाध्य करना सामान्य नीति थी, लेकिन वास्तव में इसे क्रैक करना आसान बनाकर सुरक्षा को कम करना पाया गया है। शोध से पता चला है कि ऐसे प्रतीकों का सामान्य उपयोग कितना अनुमानित है, और यू.एस. यूके सरकारी साइबर सुरक्षा विभाग उन्हें पासवर्ड नीति में शामिल करने के लिए बाध्य नहीं करने की सलाह देते हैं। जटिल प्रतीक भी पासवर्ड को याद रखना अधिक कठिन बनाते हैं, जो लिखने को बढ़ाता है, पासवर्ड रीसेट करता है और पासवर्ड का पुन: उपयोग करता है - ये सभी पासवर्ड सुरक्षा में सुधार करने के बजाय कम करते हैं। पासवर्ड जटिलता नियमों के मूल लेखक, बिल बूर ने माफी मांगी है और स्वीकार किया है कि वे वास्तव में सुरक्षा को कम करते हैं, जैसा कि शोध में पाया गया है; यह 2017 में मीडिया में व्यापक रूप से रिपोर्ट किया गया था। ऑनलाइन सुरक्षा शोधकर्ता और सलाहकार भी परिवर्तन के समर्थक हैं पासवर्ड पर सर्वोत्तम अभ्यास सलाह में।

कुछ दिशानिर्देश पासवर्ड लिखने के खिलाफ सलाह देते हैं, जबकि अन्य, बड़ी संख्या में पासवर्ड संरक्षित सिस्टम को ध्यान में रखते हुए उपयोगकर्ताओं को एक्सेस करना चाहिए, पासवर्ड लिखने के लिए प्रोत्साहित करें जब तक कि लिखित पासवर्ड सूचियों को एक सुरक्षित स्थान पर रखा जाता है, मॉनिटर या अनलॉक में संलग्न नहीं होता है डेस्क दराज। एनसीएससी द्वारा पासवर्ड प्रबंधक  के उपयोग की सिफारिश की जाती है। पासवर्ड के लिए निर्धारित संभावित कैरेक्टर को अलग-अलग वेब साइट्स या कीबोर्ड की उस रेंज द्वारा सीमित किया जा सकता है, जिस पर पासवर्ड दर्ज किया जाना चाहिए।

कमजोर पासवर्ड के उदाहरण
जैसा कि किसी भी सुरक्षा उपाय के साथ होता है, पासवर्ड शक्ति में भिन्न होते हैं; कुछ दूसरों की तुलना में कमजोर हैं। उदाहरण के लिए, एक शब्दकोश शब्द और अस्पष्टता वाले शब्द के बीच ताकत में अंतर (जैसे पासवर्ड में अक्षरों को संख्याओं द्वारा प्रतिस्थापित किया जाता है - एक सामान्य दृष्टिकोण) एक पासवर्ड क्रैकिंग डिवाइस को कुछ और सेकंड खर्च कर सकता है; यह थोड़ी ताकत जोड़ता है। नीचे दिए गए उदाहरण कमजोर पासवर्ड बनाने के विभिन्न तरीकों का वर्णन करते हैं, जिनमें से सभी सरल पैटर्न पर आधारित होते हैं, जिसके परिणामस्वरूप बेहद कम एन्ट्रापी होती है, जिससे उन्हें उच्च गति पर स्वचालित रूप से परीक्षण करने की अनुमति मिलती है।
 * डिफ़ॉल्ट पासवर्ड (जैसा कि सिस्टम विक्रेता द्वारा प्रदान किया गया है और स्थापना के समय बदला जाना है): पासवर्ड, डिफ़ॉल्ट, व्यवस्थापक, अतिथि, आदि। डिफ़ॉल्ट पासवर्ड की सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।
 * शब्दकोश शब्द: गिरगिट, रेडसॉक्स, सैंडबैग, बनीहॉप !, इंटेंस क्रैबट्री, आदि, गैर-अंग्रेजी शब्दकोशों में शब्दों सहित।
 * संलग्न संख्या वाले शब्द: पासवर्ड 1, डीयर 2000, जॉन 1234, आदि, थोड़े समय के साथ स्वचालित रूप से आसानी से परीक्षण किए जा सकते हैं।
 * सरल अस्पष्टता वाले शब्द: p@ssw0rd, l33th4x0r, g0ldf1sh, आदि, थोड़े अतिरिक्त प्रयास के साथ स्वचालित रूप से जांचे जा सकते हैं। उदाहरण के लिए, DigiNotar हमले में समझौता किया गया एक डोमेन व्यवस्थापक पासवर्ड कथित तौर पर Pr0d@dm1n था।
 * दोगुने शब्द: क्रैक्रैब, स्टॉपस्टॉप, ट्रीट्री, पासपास, आदि।
 * एक कीबोर्ड पंक्ति से सामान्य क्रम: क्वर्टी, 123456, asdfgh, आदि।
 * सुप्रसिद्ध संख्याओं जैसे 911 पर आधारित सांख्यिक अनुक्रम (9-1-1, 11 सितंबर का हमला, 314159... ( अनुकरणीय आई), 27182... (ई (गणितीय स्थिरांक)), 112 (112 (आपातकालीन टेलीफोन नंबर), आदि।
 * पहचानकर्ता: jsmith123, 1/1/1970, 555–1234, किसी का उपयोगकर्ता नाम, आदि।
 * गैर-अंग्रेज़ी भाषाओं में कमजोर पासवर्ड, जैसे कॉन्ट्रासेना (स्पेनिश) और ji32k7au4a83 (चीनी से बोपोमोफो कीबोर्ड एन्कोडिंग)
 * व्यक्तिगत रूप से किसी व्यक्ति से संबंधित कुछ भी: लाइसेंस प्लेट नंबर, सामाजिक सुरक्षा नंबर, वर्तमान या पिछले टेलीफोन नंबर, छात्र आईडी, वर्तमान पता, पिछले पते, जन्मदिन, खेल टीम, रिश्तेदार या पालतू जानवरों के नाम/उपनाम/जन्मदिन/आद्याक्षर, आदि। किसी व्यक्ति के विवरण की एक साधारण जांच के बाद आसानी से स्वचालित रूप से परीक्षण किया जा सकता है।
 * तिथियां: तिथियां एक पैटर्न का पालन करती हैं और आपके पासवर्ड को कमजोर बनाती हैं।
 * प्रसिद्ध स्थानों के नाम: न्यूयॉर्क, टेक्सास, चीन, लंदन, आदि।
 * ब्रांडों, मशहूर हस्तियों, खेल टीमों, संगीत समूहों, टीवी शो, फिल्मों आदि के नाम।

पासवर्ड कमजोर होने के और भी कई तरीके हो सकते हैं, विभिन्न हमले योजनाओं की ताकत के अनुरूप; मूल सिद्धांत यह है कि एक पासवर्ड में उच्च एन्ट्रापी (आमतौर पर यादृच्छिकता के बराबर लिया जाता है) होना चाहिए और किसी भी चतुर पैटर्न द्वारा आसानी से व्युत्पन्न नहीं होना चाहिए, न ही पासवर्ड को उपयोगकर्ता की पहचान करने वाली जानकारी के साथ मिलाया जाना चाहिए। ऑन-लाइन सेवाएं अक्सर एक रिस्टोर पासवर्ड फ़ंक्शन प्रदान करती हैं जिसे एक हैकर समझ सकता है और ऐसा करके एक पासवर्ड को बायपास कर सकता है। मुश्किल से अनुमान लगाने वाले रीस्टोर पासवर्ड प्रश्नों को चुनना पासवर्ड को और सुरक्षित कर सकता है।

पासवर्ड बदलने के दिशानिर्देशों पर पुनर्विचार
दिसंबर, 2012 में, विलियम चेसविक ने एसीएम पत्रिका में प्रकाशित एक लेख लिखा था जिसमें आमतौर पर अनुशंसित, और कभी-कभी पालन किए जाने वाले, आज के मानकों का उपयोग करके बनाए गए पासवर्ड को तोड़ना कितना आसान या कठिन होगा, इसकी गणितीय संभावनाएं शामिल थीं। अपने लेख में, विलियम ने दिखाया कि एक मानक आठ वर्ण अल्फा-न्यूमेरिक पासवर्ड प्रति सेकंड दस मिलियन प्रयासों के क्रूर बल के हमले का सामना कर सकता है, और 252 दिनों तक अखंड रहता है। प्रत्येक सेकेंड दस लाख प्रयास एक मल्टी-कोर सिस्टम का उपयोग करने के प्रयासों की स्वीकार्य दर है जो कि अधिकांश उपयोगकर्ताओं के पास पहुंच होगी। आधुनिक जीपीयू का उपयोग करते समय 7 बिलियन प्रति सेकंड की दर से बहुत अधिक प्रयासों को भी प्राप्त किया जा सकता है। इस दर पर, लगभग 0.36 दिनों (यानी 9 घंटे) में वही 8 वर्ण पूर्ण अल्फा-न्यूमेरिक पासवर्ड तोड़ा जा सकता है। पासवर्ड की जटिलता को 13 वर्णों के पूर्ण अल्फ़ा-न्यूमेरिक पासवर्ड तक बढ़ाने से इसे 900,000 से अधिक वर्षों तक क्रैक करने के लिए आवश्यक समय प्रति सेकंड 7 बिलियन प्रयासों में बढ़ जाता है। यह, निश्चित रूप से, यह मानते हुए कि पासवर्ड एक सामान्य शब्द का उपयोग नहीं करता है कि एक शब्दकोश हमला बहुत जल्दी टूट सकता है। इस ताकत के पासवर्ड का उपयोग करने से अमेरिकी सरकार सहित कई संगठनों को जितनी बार आवश्यकता हो, इसे बदलने की बाध्यता कम हो जाती है, क्योंकि इतने कम समय में इसे यथोचित रूप से तोड़ा नहीं जा सकता।

पासवर्ड नीति
पासवर्ड नीति संतोषजनक पासवर्ड चुनने के लिए एक गाइड है। इसका इरादा है:
 * मजबूत पासवर्ड चुनने में उपयोगकर्ताओं की सहायता करें
 * सुनिश्चित करें कि पासवर्ड लक्ष्य आबादी के अनुकूल हैं
 * उपयोगकर्ताओं को उनके पासवर्ड से निपटने के संबंध में सिफारिशें प्रदान करें
 * किसी भी पासवर्ड को बदलने की सिफारिश करें जो खो गया है या समझौता करने का संदेह है
 * कमजोर या आसानी से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए ब्लैकलिस्ट (कंप्यूटिंग) # उपयोगकर्ता नाम और पासवर्ड का उपयोग करें।

पिछली पासवर्ड नीतियाँ उन वर्णों को निर्धारित करने के लिए उपयोग की जाती हैं जिनमें पासवर्ड शामिल होने चाहिए, जैसे संख्याएँ, चिह्न या अपर/लोअर केस। जबकि यह अभी भी उपयोग में है, इसे विश्वविद्यालय अनुसंधान द्वारा कम सुरक्षित के रूप में खारिज कर दिया गया है, मूल प्रेरक द्वारा इस नीति के, और साइबर सुरक्षा विभागों (और अन्य संबंधित सरकारी सुरक्षा निकायों द्वारा ) यूएसए का और यूके। लागू प्रतीकों के पासवर्ड जटिलता नियम पहले Google जैसे प्रमुख प्लेटफॉर्म द्वारा उपयोग किए जाते थे और फेसबुक, लेकिन उन्होंने इस खोज के बाद आवश्यकता को हटा दिया है कि उन्होंने वास्तव में सुरक्षा कम कर दी है। ऐसा इसलिए है क्योंकि मानव तत्व क्रैकिंग की तुलना में कहीं अधिक बड़ा जोखिम है, और लागू जटिलता अधिकांश उपयोगकर्ताओं को अत्यधिक अनुमानित पैटर्न (अंत में संख्या, ई के लिए स्वैप 3 आदि) की ओर ले जाती है जो वास्तव में पासवर्ड को क्रैक करने में मदद करती है। इसलिए पासवर्ड सरलता और लंबाई (पासफ़्रेज़) नए सर्वोत्तम अभ्यास हैं और जटिलता को हतोत्साहित किया जाता है। मजबूर जटिलता नियम भी समर्थन लागत, उपयोगकर्ता घर्षण और उपयोगकर्ता साइनअप को हतोत्साहित करते हैं।

पासवर्ड समाप्ति कुछ पुरानी पासवर्ड नीतियों में थी लेकिन इसे खारिज कर दिया गया है सर्वोत्तम अभ्यास के रूप में और यूएसए या यूके सरकारों द्वारा समर्थित नहीं है, या माइक्रोसॉफ्ट ने हटा दिया है पासवर्ड समाप्ति सुविधा। पासवर्ड समाप्ति पहले दो उद्देश्यों को पूरा करने का प्रयास कर रही थी: हालाँकि, पासवर्ड समाप्ति की अपनी कमियाँ हैं:
 * अगर किसी पासवर्ड को क्रैक करने में लगने वाला समय 100 दिनों का है, तो 100 दिनों से कम का पासवर्ड समाप्ति समय हमलावर के लिए अपर्याप्त समय सुनिश्चित करने में मदद कर सकता है।
 * यदि किसी पासवर्ड से समझौता किया गया है, तो इसे नियमित रूप से बदलने की आवश्यकता हमलावर के लिए एक्सेस समय को सीमित कर सकती है।
 * उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए कहना सरल, कमजोर पासवर्ड को प्रोत्साहित करता है।
 * अगर किसी के पास वास्तव में मजबूत पासवर्ड है, तो उसे बदलने का कोई मतलब नहीं है। पहले से ही मजबूत पासवर्ड बदलने से नया पासवर्ड कम मजबूत होने का जोखिम होता है।
 * किसी हैकर द्वारा पिछले दरवाजे (कंप्यूटिंग) को स्थापित करने के लिए अक्सर विशेषाधिकार वृद्धि के माध्यम से एक समझौता किए गए पासवर्ड का तुरंत उपयोग किए जाने की संभावना होती है। एक बार यह पूरा हो जाने के बाद, पासवर्ड परिवर्तन भविष्य में हमलावर की पहुंच को नहीं रोकेंगे।
 * किसी के पासवर्ड को कभी न बदलने से लेकर हर प्रमाणित प्रयास (उत्तीर्ण या असफल प्रयासों) पर पासवर्ड बदलने की ओर बढ़ने से क्रूर बल के हमले में पासवर्ड का अनुमान लगाने से पहले हमलावर को औसतन किए जाने वाले प्रयासों की संख्या दोगुनी हो जाती है। प्रत्येक उपयोग पर पासवर्ड बदलने की तुलना में केवल एक वर्ण द्वारा पासवर्ड की लंबाई बढ़ाने से अधिक सुरक्षा प्राप्त होती है।

पासवर्ड बनाना और संभालना
किसी दी गई लंबाई और कैरेक्टर सेट के लिए क्रैक करने के लिए सबसे कठिन पासवर्ड, रैंडम कैरेक्टर स्ट्रिंग्स हैं; यदि लंबे समय तक वे क्रूर बल के हमलों का विरोध करते हैं (क्योंकि कई वर्ण हैं) और अनुमान लगाने वाले हमले (उच्च एन्ट्रापी के कारण)। हालाँकि, ऐसे पासवर्ड आमतौर पर याद रखने में सबसे कठिन होते हैं। पासवर्ड नीति में ऐसे पासवर्ड की आवश्यकता को लागू करने से उपयोगकर्ताओं को उन्हें लिखने, उन्हें मोबाइल उपकरणों में संग्रहीत करने, या स्मृति विफलता के खिलाफ सुरक्षा के रूप में दूसरों के साथ साझा करने के लिए प्रोत्साहित किया जा सकता है। जबकि कुछ लोग इन उपयोगकर्ता रिसॉर्ट्स में से प्रत्येक को सुरक्षा जोखिम बढ़ाने के लिए मानते हैं, दूसरों का सुझाव है कि उपयोगकर्ताओं को उनके द्वारा उपयोग किए जाने वाले दर्जनों खातों में से प्रत्येक के लिए अलग-अलग जटिल पासवर्ड याद रखने की उम्मीद है। उदाहरण के लिए, 2005 में, सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने अपना पासवर्ड लिखने की सिफारिश की:

""

यदि सावधानी से उपयोग किया जाए तो निम्नलिखित उपायों से मजबूत पासवर्ड आवश्यकताओं की स्वीकृति बढ़ सकती है:


 * एक प्रशिक्षण कार्यक्रम। साथ ही, पासवर्ड नीति का पालन करने में विफल रहने वालों के लिए अद्यतन प्रशिक्षण (खोया पासवर्ड, अपर्याप्त पासवर्ड, आदि)।
 * दर को कम करके, या पासवर्ड परिवर्तन (पासवर्ड समाप्ति) की आवश्यकता को पूरी तरह से समाप्त करके मजबूत पासवर्ड उपयोगकर्ताओं को पुरस्कृत करना। उपयोगकर्ता द्वारा चुने गए पासवर्ड की ताकत का अनुमान स्वचालित प्रोग्राम द्वारा लगाया जा सकता है जो पासवर्ड सेट या बदलते समय प्रस्तावित पासवर्ड का निरीक्षण और मूल्यांकन करते हैं।
 * प्रत्येक उपयोगकर्ता को अंतिम लॉगिन दिनांक और समय इस उम्मीद में प्रदर्शित करना कि उपयोगकर्ता अनधिकृत पहुँच को नोटिस कर सकता है, एक समझौता किए गए पासवर्ड का सुझाव दे रहा है।
 * उपयोगकर्ताओं को एक स्वचालित प्रणाली के माध्यम से अपना पासवर्ड रीसेट करने की अनुमति देना, जिससे हेल्प डेस्क कॉल की मात्रा कम हो जाती है। हालाँकि, कुछ प्रणालियाँ स्वयं असुरक्षित हैं; उदाहरण के लिए, पासवर्ड रीसेट प्रश्नों के आसानी से अनुमान लगाए गए या शोध किए गए उत्तर एक मजबूत पासवर्ड सिस्टम के लाभों को दरकिनार कर देते हैं।
 * यादृच्छिक रूप से जेनरेट किए गए पासवर्ड का उपयोग करना जो उपयोगकर्ताओं को अपना पासवर्ड चुनने की अनुमति नहीं देता है, या कम से कम एक विकल्प के रूप में यादृच्छिक रूप से जेनरेट किए गए पासवर्ड की पेशकश करता है।

मेमोरी तकनीक
पासवर्ड नीतियाँ कभी-कभी पासवर्ड याद रखने में सहायता के लिए स्मृति सुधारों का सुझाव देती हैं:
 * स्मरक पासवर्ड: कुछ उपयोगकर्ता स्मरक वाक्यांश विकसित करते हैं और उनका उपयोग कम या ज्यादा यादृच्छिक पासवर्ड उत्पन्न करने के लिए करते हैं जो उपयोगकर्ता के लिए याद रखने में अपेक्षाकृत आसान होते हैं। उदाहरण के लिए, एक यादगार वाक्यांश में प्रत्येक शब्द का पहला अक्षर। अनुसंधान का अनुमान है कि एएससीआईआई प्रिंट करने योग्य पात्रों से यादृच्छिक पासवर्ड के लिए 6.6 बिट की तुलना में ऐसे पासवर्ड की पासवर्ड ताकत लगभग 3.7 बिट प्रति वर्ण है। मूर्ख लोग संभवतः अधिक यादगार होते हैं। बेतरतीब ढंग से दिखने वाले पासवर्ड को और अधिक यादगार बनाने का एक और तरीका है बेतरतीब ढंग से चुने गए अक्षरों के बजाय यादृच्छिक शब्दों (डिकवेयर देखें) या सिलेबल्स का उपयोग करना।
 * आफ्टर-द-फैक्ट मेमोनिक्स: पासवर्ड स्थापित होने के बाद, एक मेमोनिक का आविष्कार करें जो फिट बैठता है। यह उचित या समझदार नहीं होना चाहिए, केवल यादगार होना चाहिए। यह पासवर्ड को यादृच्छिक होने की अनुमति देता है।
 * पासवर्ड का दृश्य प्रतिनिधित्व: एक पासवर्ड को दबाए गए कुंजियों के अनुक्रम के आधार पर याद किया जाता है, न कि स्वयं कुंजियों के मान के आधार पर, उदा। एक अनुक्रम !qAsdE#2 यूएस कीबोर्ड पर एक समचतुर्भुज का प्रतिनिधित्व करता है। ऐसे पासवर्ड बनाने की विधि को साइकोपास कहा जाता है; इसके अलावा, ऐसे स्थानिक पैटर्न वाले पासवर्ड में सुधार किया जा सकता है।
 * पासवर्ड पैटर्न: पासवर्ड में कोई भी पैटर्न अनुमान लगाना (स्वचालित या नहीं) आसान बनाता है और हमलावर के कार्य कारक को कम करता है।
 * उदाहरण के लिए, निम्न केस-असंवेदनशील रूप के पासवर्ड: व्यंजन, स्वर, व्यंजन, व्यंजन, स्वर, व्यंजन, संख्या, संख्या (उदाहरण के लिए pinray45) पर्यावरण पासवर्ड कहलाते हैं। वैकल्पिक स्वर और व्यंजन वर्णों के पैटर्न का उद्देश्य पासवर्ड को उच्चारण करने योग्य और इस प्रकार अधिक यादगार बनाना था। दुर्भाग्य से, इस तरह के पैटर्न पासवर्ड की सूचना एंट्रोपी को गंभीर रूप से कम कर देते हैं, जिससे पशुबल का आक्रमण  पासवर्ड अटैक काफी अधिक कुशल हो जाता है। यूके में अक्टूबर 2005 में, यूनाइटेड किंगडम सरकार के विभागों के कर्मचारियों को इस रूप में पासवर्ड का उपयोग करने की सलाह दी गई थी।

पासवर्ड की सुरक्षा
कंप्यूटर उपयोगकर्ताओं को आमतौर पर सलाह दी जाती है कि वे कभी भी कहीं भी पासवर्ड न लिखें, चाहे कुछ भी हो और कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें। हालाँकि, एक सामान्य कंप्यूटर उपयोगकर्ता के पास दर्जनों पासवर्ड-सुरक्षित खाते हो सकते हैं। कई खातों वाले उपयोगकर्ताओं को पासवर्ड की आवश्यकता होती है, वे अक्सर छोड़ देते हैं और प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग करते हैं। जब विभिन्न पासवर्ड जटिलता आवश्यकताएँ उच्च-शक्ति वाले पासवर्ड बनाने के लिए समान (यादगार) योजना के उपयोग को रोकती हैं, तो अक्सर परेशान करने वाले और परस्पर विरोधी पासवर्ड आवश्यकताओं को पूरा करने के लिए ओवरसिम्प्लीफाइड पासवर्ड बनाए जाएंगे। 2005 के एक सुरक्षा सम्मेलन में एक Microsoft विशेषज्ञ को यह कहते हुए उद्धृत किया गया था: मेरा दावा है कि पासवर्ड नीति को यह कहना चाहिए कि आपको अपना पासवर्ड लिख लेना चाहिए। मेरे पास 68 अलग-अलग पासवर्ड हैं। यदि मुझे इनमें से किसी को भी लिखने की अनुमति नहीं है, तो अंदाज़ा लगाइए कि मैं क्या करने जा रहा हूँ? मैं उनमें से हर एक पर एक ही पासवर्ड का उपयोग करने जा रहा हूँ। सॉफ्टवेयर लोकप्रिय हैंड-हेल्ड कंप्यूटरों के लिए उपलब्ध है जो एन्क्रिप्टेड रूप में कई खातों के पासवर्ड स्टोर कर सकते हैं। पासवर्ड कागज पर हाथ से कूटलेखन  किया जा सकता है और एन्क्रिप्शन विधि और कुंजी याद रखें। यहां तक ​​कि एक बेहतर तरीका यह है कि आमतौर पर उपलब्ध और परीक्षण किए गए क्रिप्टोग्राफिक एल्गोरिदम या हैशिंग कार्यों में से एक के साथ एक कमजोर पासवर्ड को एन्क्रिप्ट करें और सिफर को अपने पासवर्ड के रूप में उपयोग करें। मास्टर पासवर्ड और एप्लिकेशन के नाम के आधार पर प्रत्येक एप्लिकेशन के लिए एक नया पासवर्ड बनाने के लिए सॉफ़्टवेयर के साथ एक मास्टर पासवर्ड का उपयोग किया जा सकता है। स्टैनफोर्ड के PwdHash द्वारा इस दृष्टिकोण का उपयोग किया जाता है, प्रिंसटन का पासवर्ड गुणक, और अन्य स्टेटलेस पासवर्ड प्रबंधक। इस दृष्टिकोण में, मास्टर पासवर्ड की सुरक्षा आवश्यक है, क्योंकि मास्टर पासवर्ड प्रकट होने पर सभी पासवर्ड समझौता हो जाते हैं, और मास्टर पासवर्ड भूल जाने या खो जाने पर खो जाते हैं।

पासवर्ड प्रबंधक
बड़ी संख्या में पासवर्ड का उपयोग करने के लिए एक उचित समझौता उन्हें पासवर्ड मैनेजर प्रोग्राम में रिकॉर्ड करना है, जिसमें स्टैंड-अलोन एप्लिकेशन, वेब ब्राउज़र एक्सटेंशन या ऑपरेटिंग सिस्टम में निर्मित प्रबंधक शामिल हैं। एक पासवर्ड मैनेजर उपयोगकर्ता को सैकड़ों अलग-अलग पासवर्ड का उपयोग करने की अनुमति देता है, और केवल एक पासवर्ड याद रखना होता है, जो एन्क्रिप्टेड पासवर्ड डेटाबेस को खोलता है। कहने की जरूरत नहीं है, यह एकल पासवर्ड मजबूत और अच्छी तरह से सुरक्षित होना चाहिए (कहीं भी रिकॉर्ड नहीं किया गया)। अधिकांश पासवर्ड मैनेजर क्रिप्टोग्राफिक रूप से सुरक्षित यादृच्छिक पासवर्ड जनरेटर  का उपयोग करके स्वचालित रूप से मजबूत पासवर्ड बना सकते हैं, साथ ही जनरेट किए गए पासवर्ड की एन्ट्रापी की गणना भी कर सकते हैं। एक अच्छा पासवर्ड मैनेजर कुंजी लॉगिंग, क्लिपबोर्ड लॉगिंग और कई अन्य मेमोरी स्पाईंग तकनीकों जैसे हमलों के खिलाफ प्रतिरोध प्रदान करेगा।

यह भी देखें

 * कीस्ट्रोक लॉगिंग
 * पदबंध
 * फ़िशिंग
 * भेद्यता (कंप्यूटिंग)

बाहरी संबंध

 * RFC 4086: Randomness Requirements for Security
 * Password Patterns:The next generation dictionary attacks