पासवर्ड: Difference between revisions

Latest revision as of 17:43, 1 January 2023

अन्य उपयोगों के लिए, पासवर्ड (बहुविकल्पी) देखें।

अपने विकिपीडिया पासवर्ड के संबंध में सहायता के लिए, सहायता देखें: पासवर्ड पुनः स्थापित करें।

"पासकोड" यहां पुनर्निर्देश करता है। जापानी मूर्ति समूह के लिए, पासकोड (समूह) देखें।

एक साइन इन फॉर्म में एक पासवर्ड फ़ील्ड।

पासवर्ड, जिसे कभी-कभी पासकोड कहा जाता है (उदाहरण के लिए एप्पल उपकरणों में),^[1] गुप्त डेटा है, सामान्यतः वर्णों की एक स्ट्रिंग, सामान्यतः उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग की जाती है।^[1] परंपरागत रूप से, पासवर्ड स्मरण रखने की अपेक्षा की जाती थी,^[2] लेकिन बड़ी संख्या में पासवर्ड से सुरक्षित सेवाएं जो एक विशिष्ट व्यक्ति एक्सेस करता है, प्रत्येक सेवा के लिए अद्वितीय पासवर्ड को याद रखना अव्यावहारिक बना सकता है।^[3] NIST डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए,^[4] गुप्तता अधिकार प्रतिपादक नामक समर्थक द्वारा आयोजित किया जाता है जबकि अधिकार प्रतिपादक की पहचान की पुष्टि करने वाली समर्थक को प्रमाणक (verifier) कहा जाता है। जब अधिकार प्रतिपादक एक स्थापित प्रमाणीकरण प्रोटोकॉल के माध्यम से प्रमाणक को पासवर्ड का ज्ञान सफलतापूर्वक प्रदर्शित करता है,^[5] प्रमाणक अधिकार प्रतिपादक की पहचान का अनुमान लगाने में सक्षम है।

सामान्य रूप से, एक पासवर्ड अक्षर, अंक, या अन्य प्रतीकों सहित वर्ण (कंप्यूटिंग) का यादृच्छिक स्ट्रिंग (कंप्यूटर विज्ञान) है। यदि अनुमेय वर्ण संख्यात्मक होने के लिए बाधित हैं, तो संबंधित गुप्तता को कभी-कभी व्यक्तिगत पहचान संख्या (PIN) कहा जाता है।

हांलाकि, इसके नाम को भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गुप्तता जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी पासफ्रेज कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।^[6]

इतिहास

पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। पोलिबियस प्राचीन रोम की सेना में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:

जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें मणिपल (सैन्य इकाई) से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है, एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय ट्रिब्यून के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (टैबलेट) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और टैबलेट वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और सभी के माध्यम से उसके पास वापस आ गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत पूछताछ जाँच करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।^[7]

सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिक दिनों में, यू.एस. 101वें विमानवाहित विभाग के पैराट्रूपर ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया-धमकी के साथ उत्तर दिया। प्रत्येक तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर ने पासवर्ड प्रणाली के स्थान पर D-दिवस पर "क्रिकेट" के रूप में एक उपकरण का उपयोग अस्थायी रूप से अभिनिर्धारण की अनन्य विधि के रूप में किया; पासवर्ड के बदले उपकरण द्वारा दिए गए एक धात्विक क्लिक को उत्तर में दो क्लिक से पूरा किया जाना था।^[8]

कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के साथ पासवर्ड का उपयोग किया जाता रहा है। संगत समय-साझाकरण प्रणाली (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।^[9]^[10] CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गुप्तता के साथ अपना पासवर्ड टाइप कर सके।^[11] 1970 के दशक की प्रारंभ में, रॉबर्ट मॉरिस (क्रिप्टोग्राफर) ने यूनिक्स ऑपरेटिंग सिस्टम के भाग के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्‍तलेखन मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे कूटलेख (3) के रूप में जाना जाता है, ने 12-बिट तर्कशीलता (क्रिप्टोग्राफी) का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार डेटा एन्क्रिप्शन मानक (DES) एल्गोरिथम के एक संशोधित रूप को लागू किया।^[12]

आधुनिक समय में, उपयोगकर्ता (कंप्यूटिंग) और पासवर्ड सामान्यतः लॉगिंग (कंप्यूटर सुरक्षा) प्रक्रिया के समय लोगों द्वारा उपयोग किए जाते हैं जो संरक्षित कंप्यूटर ऑपरेटिंग सिस्टम, मोबाइल फोन, केबल टीवी डिकोडर,स्वचालित टेलर मशीन (एटीएम), आदि तक अभिगम्य नियंत्रण करते हैं। एक विशिष्ट कंप्यूटर उपयोगकर्ता के पास कई उद्देश्यों के लिए पासवर्ड होते हैं: खातों में लॉग इन करना, ईमेल प्राप्त करना, एप्लिकेशन, डेटाबेस, नेटवर्क, वेब साइट्स तक पहुंचना और यहां तक कि सुबह का अखबार ऑनलाइन पढ़ना।

एक सुरक्षित और स्मरणीय पासवर्ड चुनना

उपयोगकर्ता के लिए पासवर्ड याद रखना जितना आसान होता है सामान्यतः इसका अर्थ हैकर (कंप्यूटर सुरक्षा) के लिए अनुमान लगाना आसान होगा।^[13] हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (a) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से संग्रहण करने की आवश्यकता हो सकती है, (b) उपयोगकर्ताओं को निरंतर पासवर्ड रीसेट (पुनः स्थापित) करने की आवश्यकता होगी और (c) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का पुनःउपयोग करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि बड़ा और छोटे अक्षरों और अंकों का संयुक्त रूप होता है या इसे मासिक रूप से बदले, उतना अधिक उपयोगकर्ता सिस्टम को नष्ट कर देगा।^[14] दूसरों का तर्क है कि लंबे पासवर्ड वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में अधिक सुरक्षा प्रदान करते हैं (जैसे, एंट्रॉपी)।^[15]

पासवर्ड की स्मरणीय और सुरक्षा में,^[16] जेफ यान एट अल. पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही स्मरणीय होते हैं जितने कि सरलता से चुने गए पासवर्ड, और अव्यवस्थिततः से उत्पन्न पासवर्ड के रूप में (तोड़ना) क्रैक करना उतना ही कठिन है।

दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,^[17] लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया एल्गोरिथम होना एक और अच्छा तरीका है।^[18]

हालाँकि, उपयोगकर्ताओं को बड़े और छोटे वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करना केवल थोड़ा कठिन है (उदाहरण के लिए 7-अक्षर वाले पासवर्ड को क्रैक करना केवल 128 गुना कठिन है, यदि, उपयोगकर्ता केवल अक्षरों में से किसी एक को बड़ा करता है) तो उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो आक्षेपकों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना आक्षेपकों के लिए ज्ञात एक सामान्य ट्रिक है।^[19]

2013 में, गूगल ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची प्रस्तुत की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):^[20]

एक पालतू जानवर, बच्चे, परिवार के सदस्य या महत्वपूर्ण अन्य का नाम
वर्षगांठ दिनांक और जन्मदिन
जन्म स्थान
एक पसंदीदा छुट्टी का नाम
पसंदीदा खेल टीम से संबंधित कुछ
शब्द पासवर्ड

संस्मरण के विकल्प

पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।^[3] पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक असुरक्षित प्रक्रिया है क्योंकि एक खाते में डेटा का विच्छेद अन्य खातों से आपस में मिल सकता है। कम जोखिम वाले विकल्पों में पासवर्ड प्रबंधक का उपयोग, एक साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल लेख सूची रखना सम्मिलित है।^[21] इस तरह के प्रक्रिया पासवर्ड की संख्या को कम कर सकते हैं, जैसे कि पासवर्ड प्रबंधक का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में याद रखना चाहिए।

पासवर्ड प्रणाली की सुरक्षा के कारक

पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को कंप्यूटर वायरस, मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। भौतिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं, जिसमें शोल्डर सर्फिंग से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक जोखिम सम्मिलित हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी आक्षेपक के लिए उनका अनुमान लगाना कठिन हो और आक्षेपक के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए पासवर्ड क्षमता और कंप्यूटर सुरक्षा देखें।^[22]

आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास उपस्थित लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस प्रक्रिया से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को असुरक्षित पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।^[22]

प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक संकेत प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं।^[23] बहुत कम उपायों में एक्सटॉर्शन, रबर होज़ क्रिप्टैनालिसिस और साइड चैनल आक्षेप सम्मिलित हैं।

कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चयन और संचालन करते समय विचार किया जाना चाहिए।

दर जिस पर एक आक्षेपक अनुमानित पासवर्ड का प्रयास कर सकता है

दर जिस पर एक आक्षेपक सिस्टम को अनुमानित पासवर्ड प्रस्तुत कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का समय-समापन लगाती हैं, जिसे उपरोध भी कहा जाता है।^[4] ^{: 63B Sec 5.2.2} अन्य असुरक्षितियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।^[24]

कई प्रणालियाँ पासवर्ड के प्रच्छन्नालेखी हैश फंक्शन को संग्रहीत करती हैं। यदि किसी आक्षेपक को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैशमान के विरुद्ध पदान्वेषी पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन आक्षेपक केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन आक्षेपक (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर आक्षेप चल रहा है।

पासवर्ड जो प्रच्छन्नालेखी कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, डिस्क पुनःगुप्‍तलेखन या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड आक्षेप को बहुत ही कुशल बना सकते हैं। (पासवर्ड क्रैकिंग देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे आक्षेपक के लिए अभिकलनीय रूप से ऐसा आक्षेप अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे PGP और Wi-Fi WPA, ऐसे आक्षेप को निष्क्रिय करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। कुंजी विस्तृत देखें।

पासवर्ड अनुमानों की संख्या की सीमा

जिस दर पर एक आक्षेपक पासवर्ड पर अनुमान लगा सकता है, उसे सीमित करने का एक विकल्प अनुमानों की कुल संख्या को सीमित करना है जो कि किए जा सकते हैं। पासवर्ड को अक्षम किया जा सकता है, जिसके लिए पुनः स्थापित की आवश्यकता होती है, निरंतर खराब अनुमानों की एक छोटी संख्या के बाद (5 कहते है); और उपयोगकर्ता को खराब अनुमानों की एक बड़ी संचयी संख्या (मान लीजिए 30) के बाद पासवर्ड बदलने की आवश्यकता हो सकती है, ताकि आक्षेपक को वैध पासवर्ड उपयोगकर्ता द्वारा किए गए अच्छे अनुमानों के बीच अव्यवस्थित रूप से बड़ी संख्या में गलत अनुमान लगाने से रोका जा सके।^[25] इसके विपरीत, उपयोगकर्ता अभिप्रायपूर्वक उपयोगकर्ता को अपने उपकरण से अभिबंधन करके उपयोगकर्ता के विरुद्ध सेवा से अस्वीकार आक्षेप को लागू करने के लिए कर सकते है; सेवा से अस्वीकार करने से आक्षेपक के लिए सोशल इंजीनियरिंग (सुरक्षा) के माध्यम से अपने लाभ के लिए स्थिति में कुशलतापूर्वक प्रयोग करने के लिए अन्य रास्ते खुल सकते हैं।

संग्रहीत पासवर्ड का रूप

कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को केवल पाठयांश के रूप में संग्रहण करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई आक्षेपक ऐसे आंतरिक पासवर्ड संग्रहण तक अभिगम्य प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समाधान कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समाधान किया जाएगा।

अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को प्रच्छन्नालेखी रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक अभिगम्य एक गुप्तचर के लिए अभी भी कठिन होगी जो सिस्टम में आंतरिक अभिगम्य प्राप्त करता है, जबकि उपयोगकर्ता अभिगम्य प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एकपक्षीय व्युत्पत्ति, जैसे बहुपद, मापांक, या एक विकसित हैश फंक्शन।^[15] रोजर नीधम ने सरल टेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य पद्धति का आविष्कार किया।^[26]^[27] जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर प्रच्छन्नालेखी हैश फंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस (अभिगम्य) की स्वीकृति है। हैश मान एक प्रच्छन्नालेखी हैश फंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, तर्कशीलता (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक तर्कशीलता आक्षेपकों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच प्रवर्धन करने से रोकता है।^[28] MD5 और SHA1 प्रायः प्रच्छन्नालेखी हैश फंक्शन का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि PBKDF2 के भाग के रूप में नहीं किया जाता है।^[29]

संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में संग्रहीत किया जाता है।^[30]

पासवर्ड के लिए मुख्य भंडारण विधियाँ सरल टेक्स्ट, हैशेड, और तर्कशीलता, और प्रतिवर्ती रूप से गुप्तता हैं।^[31] यदि कोई आक्षेपक पासवर्ड फ़ाइल तक अभिगम्य प्राप्त करता है, तो यदि इसे सरल टेक्स्ट के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन तर्कशीलताीन नहीं है तो यह रेनबो टेबल आक्षेप (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि आक्षेपक को फ़ाइल के साथ विकोडन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को तर्कशीलता और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।^[31]

यदि एक प्रच्छन्नालेखी हैश फंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सरल टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को विपरीत करने के लिए अभिकलनीय रूप से संभव नहीं है। हालांकि, एक आक्षेपक पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध उपकरण का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि आक्षेपक को कोई प्रतिद्वंदी मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग उपकरण ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को उपयोगकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।^[15] पासवर्ड क्रैकिंग उपकरण की सम्मिलित आक्षेपकों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, आक्षेपक छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।^[32]

डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।^[33] क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट तर्कशीलता मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फंक्शन को मंद करने के लिए DES एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।^[33] एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, लिनक्स या विभिन्न BSD सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे PBKDF2,, बीक्रिप्ट, और एसक्रिप्ट का उपयोग करते हैं, जिनमें बड़े तर्कशीलता और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।^[34] एक खराब डिज़ाइन किया गया हैश फंक्शन आक्षेप को संभव बना सकता है, यद्यपि एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से प्रसारित और असुरक्षित उदाहरण के लिए LM हैश देखें।^[35]

नेटवर्क पर पासवर्ड सत्यापित करने के तरीके

पासवर्ड का सरल प्रसारण

प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, गुप्तचर) के लिए असुरक्षित होते हैं। यदि पासवर्ड को उपयोगकर्ता अभिगम्य बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह वायरटैपिंग विधियों द्वारा गुप्तचर के अधीन है। यदि इसे इंटरनेट पर पैकेट डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले पैकेट को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ गुप्तचर के रूप से काम कर सकता है।

ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सरल टेक्स्ट के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी प्रच्छन्नश्रावी द्वारा अभिगमन के समय बिना किसी प्रयास के पढ़ा जा सकता है। इसके अतिरिक्त, संदेश को कम से कम दो कंप्यूटरों पर सरल टेक्स्ट के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी संचारण के समय मध्यवर्ती सिस्टम से निकलता है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर बैकअप, कैश (कंप्यूटिंग) या विवरण फाइलों में कॉपी किया जा सकता है।

क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल सेवा सिस्टम सर्वर से क्लाइंट मशीन तक प्रसारण की सुरक्षा करेगा। ईमेल के पहले या बाद के प्रसारण को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट टेक्स्ट में संग्रहीत किया जाएगा।

एन्क्रिप्टेड चैनलों के माध्यम से प्रसारण

गुप्‍तलेख (क्रिप्टोग्राफी) सुरक्षा का उपयोग करके, अन्य पद्धति के साथ, इंटरनेट पर भेजे गए पासवर्डों के अवरोधन के जोखिम को कम किया जा सकता है। सबसे व्यापक रूप से उपयोग किया जाने वाला अभिगमन स्तर सुरक्षा (TLS, जिसे पहले SSL कहा जाता था) फीचर सबसे वर्तमान इंटरनेट वेब ब्राउज़र में बनाया गया है। जब TLS उपयोग में होता है, तो अधिकांश ब्राउज़र एक बंद लॉक आइकन, या कुछ अन्य संकेत प्रदर्शित करके सर्वर के साथ TLS/SSL-संरक्षित दूरभाष-केंद्र के उपयोगकर्ता को सतर्क करते हैं। उपयोग में कई अन्य तकनीकें हैं; क्रिप्टोग्राफी देखें।

हैश-आधारित निर्देशार्थ-प्रतिक्रिया के तरीके

दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; और बाद मे सर्वर को प्रमाणित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि साझा गुप्तता (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गुप्तता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गुप्तता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उद्भासन करने की मह्त्वपूर्ण परिसीमा होती है। इसके अतिरिक्त, जब हैश का उपयोग एक साझा गुप्तता के रूप में किया जाता है, तो आक्षेपक को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की आवश्यकता है।

शून्य-ज्ञान पासवर्ड प्रमाण

पासवर्ड संचरण करने, या पासवर्ड के हैश को संचरण करने के अतिरिक्त, पासवर्ड-प्रमाणित कुंजी अनुबंध सिस्टम एक शून्य-ज्ञान पासवर्ड प्रमाण का प्रदर्शन कर सकते हैं, जो पासवर्ड को प्रकट किए बिना ज्ञान प्रमाणित करता है।

एक स्टेप आगे बढ़ते हुए, पासवर्ड-प्रमाणीकृत कुंजी अनुबंध के लिए संवर्धित सिस्टम (जैसे, AMP, B-SPEKE, PAK-Z, SRP-6) हैश-आधारित तरीके के विरोध और सीमा दोनों से बचते हैं । एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान प्रमाणित करने की स्वीकृति देती है, जहां सर्वर केवल एक (सही नहीं) हैश पासवर्ड जानता है, और जहां अभिगम्य प्राप्त करने के लिए अनहैश पासवर्ड की आवश्यकता होती है।

पासवर्ड बदलने की प्रक्रियाएं

सामान्यतः, एक सिस्टम को पासवर्ड बदलने का एक तरीका प्रदान करना चाहिए, या तो उपयोगकर्ता का मानना है कि वर्तमान पासवर्ड से, या पूर्वोपाय के रूप में समाधान किया गया है (या हो सकता है)। यदि एक नया पासवर्ड सिस्टम को एन्क्रिप्ट नहीं किए गए रूप में स्वीकृत किया जाता है, तो पासवर्ड डेटाबेस में नया पासवर्ड स्थापित करने से पहले ही सुरक्षा नष्ट हो सकती है (उदाहरण के लिए, टेलीफोन टैपिंग के माध्यम से) और यदि नया पासवर्ड संक्रमित नियुक्त किया जाता है, तो बहुत कम लाभ होता है। स्पष्ट रूप से बढ़ी हुई प्रवणता के साथ कुछ वेबसाइटों में एक सरल टेक्स्ट पुष्टिकरण ई-मेल संदेश में उपयोगकर्ता द्वारा चयनित पासवर्ड सम्मिलित होता है।

नष्ट हुए पासवर्ड के लिए प्रतिस्थापन प्रस्तुत करने को स्वचालित करने के लिए पहचान प्रबंधन प्रणालियों का तेजी से उपयोग किया जा रहा है, एक सुविधा जिसे स्वयं-सेवा पासवर्ड पुनः स्थापित कहा जाता है। उपयोगकर्ता की पहचान प्रश्न पूछकर और पहले से संग्रहीत जबाबों की तुलना करके सत्यापित की जाती है (अर्थात, जब खाता खोला गया था)।

कुछ पासवर्ड पुनः स्थापित प्रश्न व्यक्तिगत जानकारी मांगते हैं जो सोशल मीडिया पर मिल सकती है, जैसे कि माता का विवाह पूर्व नाम। परिणामस्वरूप, कुछ सुरक्षा विशेषज्ञ सलाह देते हैं कि या तो स्वयं प्रश्न बनाएं या गलत उत्तर दें।^[36]

पासवर्ड दीर्घता

पासवर्ड दीर्घता कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को बार-बार पासवर्ड परिवर्तित करने के लिए मजबूर करती है (जैसे, त्रैमासिक, मासिक या इससे भी अधिक बार)। इस तरह की युक्तियां सामान्यतः उपयोगकर्ता के विरोध और सबसे अच्छे रूप में आधार खींचने और सबसे खराब विरोध को उत्तेजित करती हैं। प्रायः उन लोगों की संख्या में वृद्धि होती है जो पासवर्ड को नोट कर लेते हैं और उसे आसानी से मिलने वाली जगह पर छोड़ देते हैं, साथ ही अस्मरणीय पासवर्ड को पुनः स्थापित करने के लिए हेल्प डेस्क पर कॉल करते हैं। उपयोगकर्ता अपने पासवर्ड को स्मरणीय बनाए रखने के लिए सरल पासवर्ड का उपयोग कर सकते हैं या एक संगत प्रकरण पर विविधता पैटर्न विकसित कर सकते हैं।^[37] इन विषय के कारण, इस बारे में कुछ विचार-विमर्श हो रही है कि पासवर्ड दीर्घता प्रभावी है या नहीं।^[38] पासवर्ड बदलने से अधिकतम स्थितियों में दुरुपयोग नहीं रुकेगा, क्योंकि दुरुपयोग प्रायः तुरंत ध्यान देने योग्य होगा। हालांकि, अगर किसी के पास किसी माध्यम से पासवर्ड तक पहुंच हो सकती है, जैसे कंप्यूटर साझा करना या किसी अलग साइट का उल्लंघन करना, पासवर्ड बदलने से दुरुपयोग के लिए विंडो सीमित हो जाती है।^[39]

प्रति पासवर्ड उपयोगकर्ताओं की संख्या

सिस्टम के प्रत्येक उपयोगकर्ता को अलग-अलग पासवर्ड निर्धारित करना सिस्टम के वैध उपयोगकर्ताओं द्वारा साझा किए गए भिन्न पासवर्ड के लिए, निश्चित रूप से सुरक्षा के पद्धति से अधिमान्य है। यह आंशिक रूप से इसलिए है क्योंकि उपयोगकर्ता विशेष रूप से उनके उपयोग के लिए किसी अन्य व्यक्ति (जो अधिकृत नहीं हो सकते हैं) को एक साझा पासवर्ड बताने के लिए अधिक तत्पर हैं। एक पासवर्ड बदलने के लिए भी बहुत कम उपयुक्त होते हैं क्योंकि एक ही समय में कई लोगों को बताने की आवश्यकता होती है, और वे किसी विशेष उपयोगकर्ता की अभिगम्य को और अधिक कठिन बना देते हैं, उदाहरण के लिए स्नातक या इस्तीफे पर। अभिनिर्धारण के लिए अलग लॉगिन का भी प्रायः उपयोग किया जाता है, उदाहरण के लिए यह जानने के लिए कि डेटा का एक भाग किसने परिवर्तित किया।

पासवर्ड सुरक्षा संरचना

पासवर्ड द्वारा संरक्षित कंप्यूटर सिस्टम की सुरक्षा में सुधार के लिए उपयोग की जाने वाली सामान्य तकनीकों में सम्मिलित हैं:

डिस्प्ले स्क्रीन पर पासवर्ड प्रदर्शित नहीं करना क्योंकि यह प्रविष्ट किया जा रहा है या इसे अस्पष्ट कर रहा है क्योंकि यह तारे का चिन्ह (*) या बड़े निशान (•) का उपयोग करके टाइप किया गया है।
पर्याप्त लंबाई के पासवर्ड की स्वीकृति देना। (यूनिक्स और विंडोज के प्रारंभिक संस्करणों सहित कुछ लीगेसी ऑपरेटिंग सिस्टम^[which?], अधिकतम 8 वर्णों तक सीमित पासवर्ड,^[40]^[41] सुरक्षा कम करना।)
उपयोगकर्ताओं को निष्क्रियता की अवधि (एक अर्ध लॉग-ऑफ युक्ति ) के बाद अपना पासवर्ड पुनः प्रविष्ट करने की आवश्यकता होती है।
पासवर्ड शक्ति और सुरक्षा बढ़ाने के लिए पासवर्ड युक्ति लागू करना।
- यादृच्छिक रूप से चुने गए पासवर्ड निरूपण करना।
- न्यूनतम पासवर्ड लंबाई की आवश्यकता है।^[29]
- कुछ प्रणालियों को पासवर्ड में विभिन्न वर्ण वर्गों के वर्णों की आवश्यकता होती है—उदाहरण के लिए, कम से कम एक अपरकेस और कम से कम एक लोअरकेस अक्षर होना चाहिए। हालांकि, मिश्रित कैपिटलाइज़ेशन पासवर्ड की तुलना में सभी-लोअरकेस पासवर्ड प्रति कीस्ट्रोक अधिक सुरक्षित हैं।^[42]
- असुरक्षित, आसानी से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए एक ब्लैकलिस्ट (कंप्यूटिंग) उपयोगकर्ता नाम और पासवर्ड नियोजित करें
- कीबोर्ड प्रविष्टि का विकल्प प्रदान करना (उदाहरण के लिए, बोले गए पासवर्ड या बॉयोमीट्रिक्स पहचानकर्ता)।
- एक से अधिक प्रमाणीकरण प्रणाली की आवश्यकता होती है, जैसे दो-कारक प्रमाणीकरण (उपयोगकर्ता के पास कुछ है और उपयोगकर्ता कुछ जानता है)।
नेटवर्क आक्षेप के माध्यम से प्रेषित पासवर्ड तक अभिगम्य को रोकने के लिए एन्क्रिप्टेड टनल या पासवर्ड-प्रमाणित कुंजी अनुबंध का उपयोग करना
एक निश्चित समय अवधि के अंदर अनुमत विफलताओं की संख्या को सीमित करना (बार-बार पासवर्ड अनुमान लगाने से रोकने के लिए)। सीमा समाप्त होने के बाद, अगली समय अवधि के प्रारंभ होने तक आगे के प्रयास विफल हो जाएंगे (सही पासवर्ड प्रयासों सहित)। हालांकि, यह एक प्रकार के सेवा से निषेध आक्षेप के लिए असुरक्षित है।
स्वचालित पासवर्ड अनुमान लगाने वाले कार्यक्रमों को मंद करने के लिए पासवर्ड निवेदन करने के प्रयासों के बीच विलंब का परिचय देना।

कुछ अधिक दृढ़ युक्ति प्रवर्तन उपाय उपयोगकर्ताओं को हटाने का जोखिम उत्पन्न कर सकते हैं, परिणामस्वरूप संभवतः सुरक्षा कम हो सकती है।

पासवर्ड पुन: उपयोग

कंप्यूटर उपयोगकर्ताओं के बीच एक ही पासवर्ड को कई साइटों पर पुन: उपयोग करना सामान्य बात है। यह एक पर्याप्त सुरक्षा जोखिम प्रस्तुत करता है, क्योंकि एक हैकर (कंप्यूटर सुरक्षा) को पीड़ित द्वारा उपयोग की जाने वाली अन्य साइटों तक अभिगम्य प्राप्त करने के लिए केवल एक साइट से समाधान करने की आवश्यकता होती है। उपयोगकर्ता (कंप्यूटिंग) का पुन: उपयोग करने और ईमेल लॉगिन की आवश्यकता वाली वेबसाइटों द्वारा भी यह समस्या बढ़ जाती है, क्योंकि यह एक आक्षेपक के लिए एक ही उपयोगकर्ता को कई साइटों पर खोज निकालना आसान बनाता है। स्मरणीय,पा सवर्ड को पेपर पर लिखकर या पासवर्ड प्रबंधक का उपयोग करके पासवर्ड के पुन: उपयोग से बचा जा सकता है या कम किया जा सकता है।^[43]

रेडमंड के शोधकर्ताओं डिनेई फ्लोरेंशियो और कॉर्मैक हर्ली ने कार्लेटन विश्वविद्यालय, कनाडा के पॉल सी. वैन ओरशोट के साथ मिलकर यह तर्क दिया है कि पासवर्ड का पुन: उपयोग अपरिहार्य है, और यह कि उपयोगकर्ताओं को कम सुरक्षा वाली वेबसाइटों के लिए पासवर्ड का पुन: उपयोग करना चाहिए (उदाहरण के लिए, जिसमें बहुत कम व्यक्तिगत डेटा होता है और कोई वित्तीय जानकारी नहीं, ) और इसके अतिरिक्त बैंक खातों जैसे कुछ महत्वपूर्ण खातों के लिए लंबे, जटिल पासवर्ड याद रखने के अपने प्रयासों पर ध्यान केंद्रित करें।^[44] मानव स्मृति में समान सीमाओं के कारण फोर्ब्स द्वारा पासवर्ड न बदलने के समान तर्क दिए गए थे, जितनी बार "विशेषज्ञ" सलाह देते हैं।।^[37]

पेपर पर पासवर्ड लिखना

ऐतिहासिक रूप से, कई सुरक्षा विशेषज्ञों ने लोगों से अपने पासवर्ड याद रखने के लिए कहा: कभी भी पासवर्ड न लिखें। अभी हाल ही में, कई सुरक्षा विशेषज्ञ जैसे कि ब्रूस श्नेयर लोगों को सलाह देते हैं कि लोग ऐसे पासवर्ड का उपयोग करें जो याद रखने के लिए बहुत जटिल हैं, उन्हें पेपर पर लिख लें, और उन्हें एक पर्स में रखें।^[45]^[46]^[47]^[48]^[49]^[50]

पासवर्ड प्रबंधक सॉफ्टवेयर एक मास्टर पासवर्ड के साथ सील की गई एन्क्रिप्टेड फ़ाइल में पासवर्ड को अपेक्षाकृत सुरक्षित रूप से संग्रहीत कर सकता है।

मृत्यु के बाद

लंदन विश्वविद्यालय के एक सर्वेक्षण के अनुसार, दस में से एक व्यक्ति अब मरने पर इस महत्वपूर्ण जानकारी को पास करने के लिए अपनी वसीयत में अपना पासवर्ड छोड़ रहा है। सर्वेक्षण के अनुसार, एक-तिहाई लोग इस बात से सहमत हैं कि उनका पासवर्ड-सुरक्षित डेटा उनकी वसीयत में पारित करने के लिए पर्याप्त महत्वपूर्ण है।^[51]

बहु-कारक प्रमाणीकरण

बहु-कारक प्रमाणीकरण योजनाएँ प्रमाणीकरण के एक या अधिक अन्य साधनों के साथ पासवर्ड (ज्ञान कारकों के रूप में) को जोड़ती हैं, ताकि प्रमाणीकरण को अधिक सुरक्षित और समाधान किए गए पासवर्ड के लिए कम असुरक्षित बनाया जा सके। उदाहरण के लिए, साधारण दो-कारक लॉगिन एक टेक्स्ट संदेश, ई-मेल, स्वचालित फोन कॉल या इसी तरह की चेतावनी भेज सकता है जब भी कोई लॉगिन प्रयास किया जाता है, संभवतः एक कोड की आपूर्ति करता है जिसे पासवर्ड के अतिरिक्त प्रविष्ट किया जाना चाहिए।^[52] अधिक परिष्कृत कारकों में हार्डवेयर टोकन और बायोमेट्रिक सुरक्षा जैसी वस्तुए सम्मिलित हैं।

पासवर्ड नियम

अधिकांश संगठन एक पासवर्ड युक्ति निर्दिष्ट करते हैं जो पासवर्ड की संरचना और उपयोग के लिए आवश्यकताओं को निर्धारित करती है, सामान्यतः न्यूनतम लंबाई, आवश्यक श्रेणियां (जैसे, ऊपरी और निचले स्थिति, संख्याएं और विशेष वर्ण), निषिद्ध तत्व (जैसे, किसी के अपने नाम का उपयोग, जन्म तिथि, पता, टेलीफोन नंबर)। कुछ सरकारों के पास राष्ट्रीय प्रमाणीकरण रूपरेखा होते हैं^[53] जो पासवर्ड के लिए आवश्यकताओं सहित सरकारी सेवाओं के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकताओं को परिभाषित करता है।

कई वेबसाइट न्यूनतम और अधिकतम लंबाई जैसे मानक नियम लागू करती हैं, लेकिन प्रायः कम से कम एक बड़ा अक्षर और कम से कम एक नंबर/प्रतीक जैसे रचना नियम भी सम्मिलित करती हैं। ये बाद वाले, अधिक विशिष्ट नियम अधिकतम राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) की 2003 की एक रिपोर्ट पर आधारित थे, जिसे बिल बूर ने लिखा था।^[54] इसने मूल रूप से संख्याओं, अस्पष्ट वर्णों और बड़े अक्षरों का उपयोग करने और नियमित रूप से अद्यतन करने का प्रक्रिया प्रस्तावित किया। 2017 वॉल स्ट्रीट जर्नल के एक लेख में, बूर ने बताया कि उन्हें इन प्रस्तावों पर खेद है और जब उन्होंने उनकी सिफारिश की तो उन्होंने गलती की।^[55]

इस NIST रिपोर्ट के 2017 के पुनर्लेखन के अनुसार, कई वेबसाइट के नियम हैं जो वास्तव में उनके उपयोगकर्ताओं की सुरक्षा पर विपरीत प्रभाव डालते हैं। इसमें जटिल संरचना नियमों के साथ-साथ निश्चित अवधि के बाद बलपूर्वक पासवर्ड परिवर्तन सम्मिलित हैं। जबकि ये नियम लंबे समय से व्यापक हैं, उन्हें उपयोगकर्ताओं और साइबर सुरक्षा विशेषज्ञों दोनों द्वारा लंबे समय से कष्टप्रद और अप्रभावी के रूप में देखा गया है।^[56] NIST अनुशंसा करता है कि लोग पासवर्ड के रूप में लंबे वाक्यांशों का उपयोग करें (और वेबसाइटों को अधिकतम पासवर्ड लंबाई बढ़ाने की सलाह देते हैं) न कि याद रखने में कठिन पासवर्ड जैसे कि pA55w+rd।^[57] एक उपयोगकर्ता को पासवर्ड का उपयोग करने से रोका गया है, यदि आवश्यक हो तो संख्या और अपरकेस अक्षर सम्मिलित करने के लिए बस पासवर्ड 1 चुन सकते हैं। अनिवार्य रूप से समय-समय पर पासवर्ड बदलने के साथ संयुक्त, इससे ऐसे पासवर्ड बन सकते हैं जिन्हें याद रखना कठिन है लेकिन क्रैक करना आसान है।^[54]

2017 NIST रिपोर्ट के लेखकों में से एक पॉल ग्रासी ने आगे विस्तार से बताया: सभी जानते है कि एक विस्मयादिबोधक बिंदु एक 1, या एक I, या एक पासवर्ड का अंतिम वर्ण है। $ एक S या 5 है। यदि हम इन प्रसिद्ध विधियों का उपयोग करते हैं, तो हम किसी भी विरोधी को मूर्ख नहीं बना रहे हैं। हम केवल उस डेटाबेस को मूर्ख बना रहे हैं जो उपयोगकर्ता को कुछ अच्छा करने के लिए पासवर्ड संग्रहीत करता है।^[56]

पियरिस सोक्किस और इलियाना स्टावरो अपने शोध और पासवर्ड जनित्र उपकरण के विकास के माध्यम से कुछ खराब पासवर्ड निर्माण रणनीतियों की पहचान करने में सक्षम थे। वे निरावरण पासवर्ड सूचियों, पासवर्ड क्रैकिंग उपकरण और सबसे अधिक उपयोग किए जाने वाले पासवर्ड का उल्लेख करते हुए ऑनलाइन रिपोर्ट के आधार पर पासवर्ड निर्माण रणनीतियों की आठ श्रेणियों के साथ आए। इन श्रेणियों में उपयोगकर्ता से संबंधित जानकारी, कीबोर्ड संयोजन और पैटर्न, स्थानन रणनीति, शब्द प्रक्रमण, प्रतिस्थापन, पूंजीकरण, संलग्न तिथियां और पूर्व श्रेणियों का संयोजन सम्मिलित है।^[58]

पासवर्ड क्रैकिंग

समय और धन की स्वीकृति के रूप में कई संभावनाओं का प्रयास करके पासवर्ड क्रैक करने का प्रयास करना एक कठोर बल का आक्षेप है। एक संबंधित विधि, अधिकतम स्थितियों में अधिक कुशल, एक शब्दकोश आक्षेप है। शब्दकोश आक्षेप में, एक या अधिक शब्दावली के सभी शब्दों का परीक्षण किया जाता है। सामान्य पासवर्ड की सूची का भी सामान्यतः परीक्षण किया जाता है।

पासवर्ड की सामर्थ्य संभावना है कि एक पासवर्ड का अनुमान या अभिनिश्चित नहीं किया जा सकता है, और उपयोग किए गए आक्षेप एल्गोरिदम के साथ भिन्न होता है। क्रिप्टोलॉजिस्ट और कंप्यूटर वैज्ञानिक प्रायः एंट्रॉपी (सूचना सिद्धांत) के संदर्भ में सामर्थ्य या 'कठोरता' का उल्लेख करते हैं।^[15]

आसानी से खोजे जाने वाले पासवर्ड को असुरक्षित घोषित दिया जाता है; अधिक कठिन या असंभव पासवर्ड को मजबूत माना जाता है। पासवर्ड आक्षेप के लिए कई प्रोग्राम उपलब्ध हैं (या यहां तक कि सिस्टम उपयोगकर्ता द्वारा अंकेक्षण और पुनः प्राप्ति) जैसे कि L0phtCrack, जॉन द रिपर, और कैन (सॉफ्टवेयर); जिनमें से कुछ दक्षता बढ़ाने के लिए पासवर्ड डिज़ाइन अतिसंवेदनशीलता (जैसा कि माइक्रोसॉफ्ट LAN-प्रबंधक सिस्टम में पाया जाता है) का उपयोग करते हैं। इन कार्यक्रमों का उपयोग कभी-कभी सिस्टम प्रशासकों द्वारा उपयोगकर्ताओं द्वारा प्रस्तावित असुरक्षित पासवर्ड का पता लगाने के लिए किया जाता है।

प्रस्तुतिकरण कंप्यूटर सिस्टम के अध्ययन ने निरंतर दिखाया है कि सभी उपयोगकर्ता द्वारा चुने गए पासवर्ड का एक बड़ा अंश आसानी से स्वचालित रूप से अनुमान लगाया जाता है। उदाहरण के लिए, कोलंबिया विश्वविद्यालय ने पाया कि 22% उपयोगकर्ता पासवर्ड कम प्रयास से पुनर्प्राप्त किए जा सकते हैं।^[59] 2006 के जालसाजी आक्षेप से डेटा की जांच करने वाले ब्रूस श्नेयर के अनुसार, 2006 में प्रति सेकंड 200,000 पासवर्ड का परीक्षण करने में सक्षम व्यावसायिक रूप से उपलब्ध पासवर्ड पुनः प्राप्ति उपकरण किट का उपयोग करके माइस्पेस पासवर्ड का 55% 8 घंटे में क्रैक करने योग्य होगा।^[60] उन्होंने यह भी बताया कि सबसे सामान्य पासवर्ड पासवर्ड1 था, जो पुनः उपयोगकर्ताओं के बीच पासवर्ड चुनने में सूचित सुरक्षा की सामान्य कमी की पुष्टि करता है। (उन्होंने तब भी इन आंकड़ों के आधार पर बनाए रखा, कि पिछले कुछ वर्षों में पासवर्ड की सामान्य गुणवत्ता में सुधार हुआ है - उदाहरण के लिए, औसत लंबाई पिछले सर्वेक्षणों में सात से कम आठ वर्णों तक थी, और 4% से कम शब्दकोश शब्द थे।^[61])

घटनाएं

16 जुलाई, 1998 को CERT समन्वय केंद्र ने एक ऐसी घटना की सूचना दी जिसमें आक्षेपक को 186,126 एन्क्रिप्टेड पासवर्ड मिले थे। आक्षेपक की खोज के समय, 47,642 पासवर्ड पहले ही क्रैक किए जा चुके थे।^[62]
सितंबर 2001 में, 11 सितंबर के आक्षेप में न्यूयॉर्क के 960 कर्मचारियों की मृत्यु के बाद, वित्तीय सेवा फर्म कैंटर उपयुक्त्जगेराल्ड ने माइक्रोसॉफ्ट के माध्यम से मृत कर्मचारियों के पासवर्ड तोड़ दिए ताकि क्लाइंट खातों की सेवा के लिए आवश्यक फाइलों तक पहुंच प्राप्त हो सके।^[63] प्रविधिज्ञ ने हिंसक बल के आक्षेप का उपयोग किया, और साक्षात्कारकर्ताओं ने व्यक्तिगत जानकारी एकत्र करने के लिए परिवारों से संपर्क किया जो असुरक्षित पासवर्ड के लिए खोज समय को कम कर सकता है।^[63]
दिसंबर 2009 में, Rockyou.com वेबसाइट का एक बड़ा पासवर्ड उल्लंघन हुआ जिसके कारण 32 मिलियन पासवर्ड प्रस्तुत किए गए। इसके बाद हैकर ने 3.2 करोड़ पासवर्ड की पूरी सूची इंटरनेट पर लीक कर दी। पासवर्ड डेटाबेस में स्पष्ट टेक्स्ट में संग्रहीत किए गए थे और SQL अंत:क्षेपण अतिसंवेदनशीलता के माध्यम से निकाले गए थे। इंपर्वा ADC ने पासवर्ड की शक्ति पर एक विश्लेषण किया।^[64]
जून 2011 में, NATO ने एक सुरक्षा उल्लंघन का अनुभव किया, जिसके कारण उनके ई-बुकशॉप के 11,000 से अधिक पंजीकृत उपयोगकर्ताओं के लिए पहले और अंतिम नाम, उपयोगकर्ता नाम और पासवर्ड सार्वजनिक रूप से प्रस्तुत किए गए। डेटा को कार्यान्वित एंटीसेक के भाग के रूप में लीक किया गया था, एक संचलन जिसमें अज्ञात, लूलजसेक, साथ ही अन्य हैकिंग समूह और व्यक्ति सम्मिलित हैं। एंटीसेक का उद्देश्य किसी भी आवश्यक माध्यम का उपयोग करके व्यक्तिगत, संवेदनशील और प्रतिबंधित जानकारी को दुनिया के सामने प्रकट करना है।^[65]
11 जुलाई, 2011 को पेंटागन के लिए काम करने वाली परामर्शी संघ बूज एलन हैमिल्टन के सर्वर को अस्पष्ट (समूह) ने हैक कर लिया और उसी दिन लीक कर दिया। लीक, जिसे 'मिलिट्री मेल्टडाउन मंडे' कहा जाता है, में सैन्य उपयोगकर्ता के 90,000 लॉगिन सम्मिलित हैं - जिनमें संयुक्त राज्य मध्य कमान, यूनाइटेड स्टेट्स स्पेशल ऑपरेशंस कमांड (USCENTCOM), संयुक्त राज्य अमेरिका मरीन कोरपोरेशन (SOCOM), विभिन्न संयुक्त राज्य वायु सेना सुविधाएं, होमलैंड सुरक्षा, संयुक्त राज्य अमेरिका के राज्य विभाग कर्मी सम्मिलित हैं। विभाग के कर्मचारी, और निजी क्षेत्र के संकोचक दिखते हैं।^[66] ये लीक हुए पासवर्ड SHA1 में हैश किए जा रहे हैं, और बाद में इम्पर्वा में ADC टीम द्वारा डिक्रिप्ट और विश्लेषण किए गए, जिससे पता चलता है कि सैन्य कर्मी भी संक्षिप्त रूप मे और पासवर्ड आवश्यकताओं के आसपास के तरीकों को प्रकाशित करते हैं।^[67]

प्रमाणीकरण के लिए पासवर्ड के विकल्प

कई तरीकों से स्थायी या अर्ध-स्थायी पासवर्ड से समाधान किया जा सकता है, जिसने अन्य तकनीकों के विकास को प्रेरित किया है। दुर्भाग्य से, कुछ प्रक्रिया में अपर्याप्त हैं, और किसी भी स्थिति में कुछ अधिक सुरक्षित विकल्प चाहने वाले उपयोगकर्ताओं के लिए सार्वभौमिक रूप से उपलब्ध हो गए हैं।^[68] 2012 का एक पेपर^[69] जांच करता है कि पासवर्ड बदलने के लिए इतना कठिन क्यों प्रमाणित हुआ है (कई पूर्वानुमान के होने पर भी कि वे जल्द ही अतीत की बात बन जाएंगे^[70]); सुरक्षा, प्रयोज्यता और परिनियोजन के संबंध में तीस प्रतिनिधि प्रस्तावित प्रतिस्थापनों की जांच में वे निष्कर्ष निकालते हैं कि कोई भी उन लाभों के पूर्ण सेट को घोषित नहीं रखता है जो लेगसी पासवर्ड पहले से ही प्रदान करते हैं।

एक बार उपयोग करने योग्य पासवर्ड- केवल एक बार मान्य पासवर्ड होने से कई संभावित आक्षेप अप्रभावी हो जाते हैं। अधिकांश उपयोगकर्ताओं को एकल-उपयोग पासवर्ड अत्यंत उपयुक्त लगता है। हालाँकि, उन्हें व्यक्तिगत ऑनलाइन बैंकिंग में व्यापक रूप से लागू किया गया है, जहाँ उन्हें लेनदेन प्रमाणीकरण संख्या (TAN) के रूप में जाना जाता है।, चूंकि अधिकांश घरेलू उपयोगकर्ता प्रत्येक सप्ताह केवल कुछ ही लेन-देन करते हैं, इसलिए एकल-उपयोग समस्या के कारण इस स्थिति में असह्म ग्राहक विरक्ति नहीं हुआ है।
टाइम-सिंक्रोनाइज़्ड वन-टाइम पासवर्ड कुछ तरीकों में एक बार उपयोग योग्य पासवर्ड के समान हैं, लेकिन प्रविष्ट किया जाने वाला मान एक छोटे ( सामान्यतः रखने योग्य ) विषय पर प्रदर्शित होता है और प्रत्येक मिनट में बदलता है।
पासविंडो वन-टाइम पासवर्ड का उपयोग एकल-उपयोग पासवर्ड के रूप में किया जाता है, लेकिन प्रविष्ट किए जाने वाले गतिशील वर्ण केवल तभी दिखाई देते हैं जब उपयोगकर्ता एक अद्वितीय मुद्रित दृश्य कुंजी को उपयोगकर्ता की स्क्रीन पर दिखाई गई सर्वर-जनित आक्षेप छवि पर आरोपित करता है।
सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी पर आधारित अभिगम नियंत्रण उदा. ssh आवश्यक कुंजियाँ सामान्यतः याद रखने के लिए बहुत बड़ी होती हैं (लेकिन प्रस्ताव पासमेज़ देखें)^[71] और एक स्थानीय कंप्यूटर, सुरक्षा टोकन या पोर्टेबल मेमोरी उपकरण, जैसे USB फ्लैश ड्राइव या फ्लॉपी डिस्क पर संग्रहीत होना चाहिए। निजी कुंजी को क्लाउड सेवा प्रदाता पर संग्रहीत किया जा सकता है, और पासवर्ड या दो-कारक प्रमाणीकरण के उपयोग से सक्रिय किया जा सकता है।
बॉयोमीट्रिक विधि अपरिवर्तनीय व्यक्तिगत विशेषताओं के आधार पर प्रमाणीकरण का वादा करती है, लेकिन वर्तमान में (2008) में उच्च त्रुटि दर है और अवलोकन करने के लिए अतिरिक्त हार्डवेयर की आवश्यकता होती है,^{[needs update]} उदाहरण के लिए, फिंगरप्रिन्ट, आइरिस, आदि। व्यावसायिक रूप से उपलब्ध प्रणालियों का परीक्षण करने वाली कुछ प्रसिद्ध घटनाओं में उनकी नकल करना आसान प्रमाणित हुआ है, उदाहरण के लिए, गम्मी फिंगरप्रिन्ट स्पूफ प्रदर्शन,^[72] और, क्योंकि ये विशेषताएँ अपरिवर्तनीय हैं, समाधान किए जाने पर इन्हें बदला नहीं जा सकता है; अभिगम नियंत्रण में यह एक अत्यधिक महत्वपूर्ण विचार है क्योंकि एक समाधान अभिगम टोकन आवश्यक रूप से असुरक्षित है।
सिंगलसाइन-ऑन तकनीक का अनुरोध किया जाता है कि यह कई पासवर्ड रखने की आवश्यकता को समाप्त कर देती है। ऐसी योजनाएँ उपयोगकर्ताओं और प्रशासकों को उपयुक्त एक पासवर्ड चयन करने से सेवा से मुक्त नहीं करती हैं, न ही सिस्टम डिज़ाइनर या प्रशासकों को यह सुनिश्चित करने से रोकते है कि एकल साइन-ऑन को सक्षम करने वाली प्रणालियों के बीच पारित निजी अभिगम नियंत्रण जानकारी आक्षेप से सुरक्षित है। अभी तक, कोई समाधानकारी मानक विकसित नहीं किया गया है।
एन्वॉल्टिंग तकनीक USB फ्लैश ड्राइव जैसे हटाने योग्य भंडारण उपकरण पर डेटा सुरक्षित करने का एक पासवर्ड-मुक्त तरीका है। उपयोगकर्ता पासवर्ड के अतिरिक्त, अभिगम नियंत्रण नेटवर्क संसाधन तक उपयोगकर्ता की पहुंच पर आधारित होता है।
गैर-टेक्स्ट-आधारित पासवर्ड, जैसे ग्राफिकल पासवर्ड या माउस-संचलन आधारित पासवर्ड।^[73] ग्राफिकल पासवर्ड पारंपरिक पासवर्ड के स्थान पर लॉग-इन के लिए प्रमाणीकरण का एक वैकल्पिक साधन है; वे अक्षर (वर्णमाला), संख्यात्मक अंक या विशेष वर्ण के अतिरिक्त छवियों, ग्राफिक्स या रंगों का उपयोग करते हैं। एक प्रणाली के लिए उपयोगकर्ताओं को पासवर्ड के रूप में चेहरे (FACE) की श्रृंखला का चयन करने की आवश्यकता होती है, जिससे मानव मस्तिष्क की आसानी से धारणा का सामना करने की क्षमता का उपयोग होता है।^[74] कुछ कार्यान्वयनों में उपयोगकर्ता को अभिगम प्राप्त करने के लिए सही क्रम में छवियों की श्रृंखला से चुनने की आवश्यकता होती है।^[75] एक अन्य ग्राफिकल पासवर्ड उपाय छवियों के एक अव्यवस्थिततः से उत्पन्न ग्रिड का उपयोग करके एक बार का पासवर्ड बनाता है। प्रत्येक बार उपयोगकर्ता को प्रमाणित करने की आवश्यकता होती है, वे उन छवियों का अवलोकन करते हैं जो उनकी पूर्व-चयनित श्रेणियों में उपयुक्त होती हैं और यादृच्छिक रूप से उत्पन्न अक्षरांकीय वर्ण प्रविष्ट करती हैं जो एक-बार पासवर्ड बनाने के लिए छवि में दिखाई देती हैं।^[76]^[77] अब तक, ग्राफिकल पासवर्ड आशाजनक हैं, लेकिन व्यापक रूप से उपयोग नहीं किए जाते हैं। वास्तविक दुनिया में इसकी उपयोगिता निर्धारित करने के लिए इस विषय पर अध्ययन किए गए हैं। जबकि कुछ का मानना है कि ग्राफिकल पासवर्ड, पासवर्ड क्रैकिंग के लिए कठिन होंगे, दूसरों का सुझाव है कि लोग सामान्य छवियों या अनुक्रमों को चयन की उतनी ही संभावना रखते हैं जितनी कि वे सामान्य पासवर्ड चुनते हैं।^{[citation needed]}
2D कुंजी (2-द्वि-आयामी द्विविम कुंजी)^[78] MePKC (स्मरणीय सार्वजनिक-कुंजी क्रिप्टोग्राफी) का अनुभव करने के लिए 128 बिट्स से अधिक बड़ा पासवर्ड/कुंजी बनाने के लिए वैकल्पिक शाब्दिक शब्दार्थ अनभिप्रेत संकेत के साथ मल्टीलाइन पासफ्रेज, क्रॉसवर्ड,ASCII/यूनिकोड कला की प्रमुख शैलियों वाली एक 2D मैट्रिक्स जैसी कुंजी इनपुट विधि है।^[79] एन्क्रिप्टेड निजी कुंजी, विभाजित निजी कुंजी और रोमिंग निजी कुंजी जैसी वर्तमान निजी कुंजी प्रबंधन तकनीकों पर पूरी तरह से याद रखने योग्य निजी कुंजी का उपयोग करना।
संज्ञानात्मक पासवर्ड पहचान सत्यापित करने के लिए प्रश्न और उत्तर संकेत/प्रतिक्रिया युग्म का उपयोग करते हैं।

"निष्क्रिय पासवर्ड''

निष्क्रिय पासवर्ड कंप्यूटर सुरक्षा में एक आवर्ती विचार है। दिए गए कारणों में प्रायः पासवर्ड की उपयोगिता के साथ-साथ सुरक्षा समस्याओं का संदर्भ सम्मिलित होता है। यह प्रायः तर्कों के साथ आता है कि प्रमाणीकरण के अधिक सुरक्षित माध्यम से पासवर्ड का प्रतिस्थापन आवश्यक और आसन्न दोनों है। यह दावा कम से कम 2004 से कई लोगों द्वारा किया गया है।^[70]^[80]^[81]^[82]^[83]^[84]^[85]^[86]

पासवर्ड के विकल्पों में बायोमेट्रिक्स, दो तरीकों से प्रमाणीकरण या सिर्फ साइन-ऑन, माइक्रोसॉफ्ट का कार्डस्पेस, हिगिंस परियोजना, लिबर्टी एलायंस, NSTIC, FIDO एलायंस और विभिन्न पहचान 2.0 प्रस्ताव सम्मिलित हैं।^[87]^[88]

हालाँकि, इन पूर्वानुमान और उन्हें परिवर्तनों के प्रयासों के होने पर भी पासवर्ड अभी भी वेब पर प्रमाणीकरण का प्रमुख रूप है। पासवर्ड की दृढ़ता में, कॉर्मैक हर्ले और पॉल वैन ओरशोट सुझाव देते हैं कि असाधारण रूप से गलत धारणा को समाप्त करने के लिए प्रत्येक संभव प्रयास किया जाना चाहिए कि पासवर्ड निष्क्रिय हैं।^[89]

उनका तर्क है कि कोई भी अन्य सिर्फ एक तकनीक कीमत, तात्कालिक और सुविधा के उनके संयोजन से अनुरूप नहीं होती है और यह कि पासवर्ड स्वयं उन कई परिदृश्यों के लिए सबसे उपयुक्त हैं जिनमें वे वर्तमान में उपयोग किए जा रहे हैं।

इसके बाद, बॉनौ एट अल. उपयोगिता, परिनियोजन और सुरक्षा के संदर्भ में व्यवस्थित रूप से वेब पासवर्ड की तुलना 35 प्रतिस्पर्धी प्रमाणीकरण योजनाओं से की गई है।^[90]^[91] उनके विश्लेषण से पता चलता है कि अधिकांश योजनाएँ सुरक्षा पर पासवर्ड से अधिमान्य करती हैं, कुछ योजनाएँ उपयोगिता के संबंध में अधिमान्य और कुछ खराब होती हैं, जबकि प्रत्येक योजना डेपलॉयबिलिटी पर पासवर्ड से भी अधिक खराब होती है। लेखक निम्नलिखित अवलोकन के साथ निष्कर्ष निकालते हैं: महत्वपूर्ण संक्रमण कीमतों को दूर करने के लिए आवश्यक सक्रियण ऊर्जा तक पहुंचने के लिए सीमांत लाभ प्रायः पर्याप्त नहीं होते हैं, जो इस बात का सबसे अच्छा स्पष्टीकरण प्रदान कर सकता है कि सिमेट्री पासवर्ड के लिए फ्यूनरल के आगे बढ़ने को देखने से पहले हमारे लंबे समय तक गतिशील रहने की संभावना क्यों है।

यह भी देखें

एक्सेस कोड (बहुविकल्पी)
प्रमाणीकरण
कॅप्चा
संज्ञात्मक विज्ञान
संयोजन ताला
डाइसवेयर
इलेक्ट्रॉनिक लॉक
करबरोस (प्रोटोकॉल)
कीफाइल
पदबंध
पासवर्ड क्रैकिंग
पासवर्ड फटीग
पासवर्ड लंबाई पैरामीटर
पासवर्ड मैनेजर
पासवर्ड अधिसूचना ई-मेल
पासवर्ड नीति
पासवर्ड मनोविज्ञान
पासवर्ड क्षमता
पासवर्ड तुल्यकालन
पासवर्ड-प्रमाणित कुंजी समझौता
व्यक्तिगत पहचान संख्या
गुप्त कुंजी
इंद्रधनुष तालिका
यादृच्छिक पासवर्ड जनरेटर
सुरक्षित पासवर्ड शेयरिंग
स्वयं सेवा पासवर्ड रीसेट
किसी समूह का चिह्न
वेब प्रमाणीकरण प्रणाली की उपयोगिता

संदर्भ

↑ ^1.0 ^1.1 "पासकोड". YourDictionary. Retrieved 17 May 2019.
↑ Ranjan, Pratik; Om, Hari (2016-05-06). "राबिन के क्रिप्टोसिस्टम पर आधारित एक कुशल रिमोट यूजर पासवर्ड ऑथेंटिकेशन स्कीम". Wireless Personal Communications (in English). 90 (1): 217–244. doi:10.1007/s11277-016-3342-5. ISSN 0929-6212. S2CID 21912076.
↑ ^3.0 ^3.1 Williams, Shannon (21 Oct 2020). "औसत व्यक्ति के पास 100 पासवर्ड होते हैं - अध्ययन करें". NordPass. Retrieved April 28, 2021.
↑ ^4.0 ^4.1 Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (June 2017). "NIST विशेष प्रकाशन 800-63-3: डिजिटल पहचान दिशानिर्देश". National Institute of Standards and Technology (NIST). doi:10.6028/NIST.SP.800-63-3. Retrieved 17 May 2019. {{cite journal}}: Cite journal requires |journal= (help)
↑ "प्रमाणीकरण प्रोटोकॉल". Computer Security Resource Center (NIST). Archived from the original on 17 May 2019. Retrieved 17 May 2019.
↑ "पदबंध". Computer Security Resource Center (NIST). Retrieved 17 May 2019.
↑ Polybius on the Roman Military Archived 2008-02-07 at the Wayback Machine. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.
↑ Mark Bando (2007). 101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II. Mbi Publishing Company. ISBN 978-0-7603-2984-9. Archived from the original on 2 June 2013. Retrieved 20 May 2012.
↑ McMillan, Robert (27 January 2012). "दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था". Wired magazine. Retrieved 22 March 2019.
↑ Hunt, Troy (26 July 2017). "विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन". Retrieved 22 March 2019.
↑ CTSS Programmers Guide, 2nd Ed., MIT Press, 1965
↑ Morris, Robert; Thompson, Ken (1978-04-03). "Password Security: A Case History". Bell Laboratories. CiteSeerX 10.1.1.128.1635.
↑ Vance, Ashlee (2010-01-10). "अगर आपका पासवर्ड 123456 है, तो इसे हैकमी बना लें". The New York Times. Archived from the original on 2017-02-11.
↑ "नेटवर्क सुरक्षा का प्रबंधन". Archived from the original on March 2, 2008. Retrieved 2009-03-31.{{cite web}}: CS1 maint: bot: original URL status unknown (link). Fred Cohen and Associates. All.net. Retrieved on 2012-05-20.
↑ ^15.0 ^15.1 ^15.2 ^15.3 Lundin, Leigh (2013-08-11). "पिन और पासवर्ड, भाग 2". Passwords. Orlando: SleuthSayers.
↑ The Memorability and Security of Passwords Archived 2012-04-14 at the Wayback Machine (pdf). ncl.ac.uk. Retrieved on 2012-05-20.
↑ Michael E. Whitman; Herbert J. Mattord (2014). सूचना सुरक्षा के सिद्धांत. Cengage Learning. p. 162. ISBN 978-1-305-17673-7.
↑ "रैंडम पासवर्ड जेनरेटर कैसे बनाएं". PCMAG (in English). Retrieved 2021-09-05.
↑ Lewis, Dave (2011). Ctrl-Alt-हटाना. p. 17. ISBN 978-1471019111. Retrieved 10 July 2015.
↑ Techlicious / Fox Van Allen @techlicious (2013-08-08). "Google ने 10 सबसे खराब पासवर्ड आइडिया का खुलासा किया". Techland.time.com. Archived from the original on 2013-10-22. Retrieved 2013-10-16. {{cite news}}: Text "टाइम डॉट कॉम" ignored (help)
↑ Fleishman, Glenn (November 24, 2015). "सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।". MacWorld. Retrieved April 28, 2021.
↑ ^22.0 ^22.1 Lyquix Blog: Do We Need to Hide Passwords? Archived 2012-04-25 at the Wayback Machine. Lyquix.com. Retrieved on 2012-05-20.
↑ Jonathan Kent Malaysia car thieves steal finger Archived 2010-11-20 at the Wayback Machine. BBC (2005-03-31)
↑ Stuart Brown "Top ten passwords used in the United Kingdom". Archived from the original on November 8, 2006. Retrieved 2007-08-14.. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.
↑ US patent 8046827
↑ Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).
↑ Schofield, Jack (10 March 2003). "रोजर नीधम". The Guardian.
↑ The Bug Charmer: Passwords Matter Archived 2013-11-02 at the Wayback Machine. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.
↑ ^29.0 ^29.1 Alexander, Steven. (2012-06-20) The Bug Charmer: How long should passwords be? Archived 2012-09-20 at the Wayback Machine. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.
↑ "passlib.hash - Password Hashing Schemes" Archived 2013-07-21 at the Wayback Machine.
↑ ^31.0 ^31.1 Florencio et al., An Administrator's Guide to Internet Password Research Archived 2015-02-14 at the Wayback Machine. (pdf) Retrieved on 2015-03-14.
↑ Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g Archived 2012-08-30 at the Wayback Machine. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.
↑ ^33.0 ^33.1 Morris, Robert & Thompson, Ken (1979). "पासवर्ड सुरक्षा: एक केस हिस्ट्री". Communications of the ACM. 22 (11): 594–597. CiteSeerX 10.1.1.135.2097. doi:10.1145/359168.359172. S2CID 207656012. Archived from the original on 2003-03-22.
↑ Password Protection for Modern Operating Systems Archived 2016-03-11 at the Wayback Machine (pdf). Usenix.org. Retrieved on 2012-05-20.
↑ How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases Archived 2006-05-09 at the Wayback Machine. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.
↑ "पासवर्ड सुरक्षा प्रश्न सेट करते समय आपको झूठ क्यों बोलना चाहिए". Techlicious. 2013-03-08. Archived from the original on 2013-10-23. Retrieved 2013-10-16.
↑ ^37.0 ^37.1 Joseph Steinberg (12 November 2014). "फोर्ब्स: आपको पासवर्ड चुनने के बारे में जो कुछ भी बताया गया है, उसे क्यों नज़रअंदाज़ करना चाहिए". Forbes. Archived from the original on 12 November 2014. Retrieved 12 November 2014.
↑ "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.
↑ Schneier on Security discussion on changing passwords Archived 2010-12-30 at the Wayback Machine. Schneier.com. Retrieved on 2012-05-20.
↑ Seltzer, Larry. (2010-02-09) "American Express: Strong Credit, Weak Passwords" Archived 2017-07-12 at the Wayback Machine. Pcmag.com. Retrieved on 2012-05-20.
↑ दस विंडोज पासवर्ड मिथक Archived 2016-01-28 at the Wayback Machine: एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड </रेफरी><ref>"You must provide a password between 1 and 8 characters in length". Jira.codehaus.org. Retrieved on 2012-05-20. Archived May 21, 2015, at the Wayback Machine
↑ "To Capitalize or Not to Capitalize?" Archived 2009-02-17 at the Wayback Machine. World.std.com. Retrieved on 2012-05-20.
↑ Thomas, Keir (February 10, 2011). "पासवर्ड का पुन: उपयोग बहुत आम है, अनुसंधान दिखाता है". PC World. Archived from the original on August 12, 2014. Retrieved August 10, 2014.
↑ Pauli, Darren (16 July 2014). "माइक्रोसॉफ्ट: आपको खराब पासवर्ड की जरूरत है और आपको उन्हें दोबारा इस्तेमाल करना चाहिए". The Register. Archived from the original on 12 August 2014. Retrieved 10 August 2014.
↑ Bruce Schneier : Crypto-Gram Newsletter Archived 2011-11-15 at the Wayback Machine May 15, 2001
↑ दस विंडोज पासवर्ड मिथक Archived 2016-01-28 at the Wayback Machine: मिथक #7। आपको अपना पासवर्ड कभी नहीं लिखना चाहिए </रेफरी><ref>Kotadia, Munir (2005-05-23) Microsoft security guru: Jot down your passwords. News.cnet.com. Retrieved on 2012-05-20.
↑ "The Strong Password Dilemma" Archived 2010-07-18 at the Wayback Machine by Richard E. Smith: "we can summarize classical password selection rules as follows: The password must be impossible to remember and never written down."
↑ Bob Jenkins (2013-01-11). "रैंडम पासवर्ड चुनना". Archived from the original on 2010-09-18.
↑ "The Memorability and Security of Passwords – Some Empirical Results" Archived 2011-02-19 at the Wayback Machine (pdf)
"your password ... in a secure place, such as the back of your wallet or purse."
↑ "Should I write down my passphrase?" Archived 2009-02-17 at the Wayback Machine. World.std.com. Retrieved on 2012-05-20.
↑ Jaffery, Saman M. (17 October 2011). "सर्वे: ब्रिटेन के 11% लोग वसीयत में इंटरनेट पासवर्ड शामिल करते हैं". Hull & Hull LLP. Archived from the original on 25 December 2011. Retrieved 16 July 2012.
↑ Two-factor authentication Archived 2016-06-18 at the Wayback Machine
↑ Improving Usability of Password Management with Standardized Password Policies Archived 2013-06-20 at the Wayback Machine (pdf). Retrieved on 2012-10-12.
↑ ^54.0 ^54.1 Hate silly password rules? So does the guy who created them Archived 2018-03-29 at the Wayback Machine, ZDNet
↑ The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d! Archived 2017-08-09 at the Wayback Machine, Wall Street Journal
↑ ^56.0 ^56.1 Experts Say We Can Finally Ditch Those Stupid Password Rules Archived 2018-06-28 at the Wayback Machine, Fortune
↑ NIST’s new password rules – what you need to know Archived 2018-06-28 at the Wayback Machine, Naked Security
↑ P. Tsokkis and E. Stavrou, "A password generator tool to increase users' awareness on bad password construction strategies," 2018 International Symposium on Networks, Computers and Communications (ISNCC), Rome, 2018, pp. 1-5, doi:10.1109/ISNCC.2018.8531061.
↑ "पासवर्ड". Archived from the original on April 23, 2007. Retrieved 2012-05-20.{{cite web}}: CS1 maint: bot: original URL status unknown (link). cs.columbia.edu
↑ Schneier, Real-World Passwords Archived 2008-09-23 at the Wayback Machine. Schneier.com. Retrieved on 2012-05-20.
↑ MySpace Passwords Aren't So Dumb Archived 2014-03-29 at the Wayback Machine. Wired.com (2006-10-27). Retrieved on 2012-05-20.
↑ "सीईआरटी आईएन-98.03". 1998-07-16. Retrieved 2009-09-09.
↑ ^63.0 ^63.1 Urbina, Ian; Davis, Leslye (November 23, 2014). "पासवर्ड का गुप्त जीवन". The New York Times. Archived from the original on November 28, 2014.
↑ "उपभोक्ता पासवर्ड सबसे खराब व्यवहार (पीडीएफ)" (PDF). Archived (PDF) from the original on 2011-07-28.
↑ "नाटो साइट हैक हो गई". The Register. 2011-06-24. Archived from the original on June 29, 2011. Retrieved July 24, 2011.
↑ "नवीनतम एंटीसेक हमले में बेनामी ने 90,000 सैन्य ईमेल खातों को लीक किया". 2011-07-11. Archived from the original on 2017-07-14.
↑ "सैन्य पासवर्ड विश्लेषण". 2011-07-12. Archived from the original on 2011-07-15.
↑ "हैकर्स द्वारा उपयोग की जाने वाली शीर्ष 12 पासवर्ड-क्रैकिंग तकनीकें". IT PRO (in English). Retrieved 2022-07-18.
↑ "पासवर्ड बदलने की खोज (पीडीएफ)" (PDF). IEEE. 2012-05-15. Archived (PDF) from the original on 2015-03-19. Retrieved 2015-03-11.
↑ ^70.0 ^70.1 "गेट्स पासवर्ड की मौत की भविष्यवाणी करता है". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
↑ Cryptology ePrint Archive: Report 2005/434 Archived 2006-06-14 at the Wayback Machine. eprint.iacr.org. Retrieved on 2012-05-20.
↑ T Matsumoto. H Matsumotot; K Yamada & S Hoshino (2002). "फ़िंगरप्रिंट सिस्टम पर कृत्रिम 'गमी' उंगलियों का प्रभाव". Proc SPIE. Optical Security and Counterfeit Deterrence Techniques IV. 4677: 275. Bibcode:2002SPIE.4677..275M. doi:10.1117/12.462719. S2CID 16897825.
↑ Using AJAX for Image Passwords – AJAX Security Part 1 of 3 Archived 2006-06-16 at the Wayback Machine. waelchatila.com (2005-09-18). Retrieved on 2012-05-20.
↑ Butler, Rick A. (2004-12-21) Face in the Crowd Archived 2006-06-27 at the Wayback Machine. mcpmag.com. Retrieved on 2012-05-20.
↑ graphical password or graphical user authentication (GUA) Archived 2009-02-21 at the Wayback Machine. searchsecurity.techtarget.com. Retrieved on 2012-05-20.
↑ Ericka Chickowski (2010-11-03). "छवियां प्रमाणीकरण चित्र को बदल सकती हैं". Dark Reading. Archived from the original on 2010-11-10.
↑ "कॉन्फिडेंट टेक्नोलॉजीज सार्वजनिक-सामना करने वाली वेबसाइटों पर पासवर्ड को मजबूत करने के लिए छवि-आधारित, बहु-कारक प्रमाणीकरण प्रदान करती है". 2010-10-28. Archived from the original on 2010-11-07.
↑ User Manual for 2-Dimensional Key (2D Key) Input Method and System Archived 2011-07-18 at the Wayback Machine. xpreeli.com. (2008-09-08) . Retrieved on 2012-05-20.
↑ Kok-Wah Lee "Methods and Systems to Create Big Memorizable Secrets and Their Applications" Patent US20110055585 Archived 2015-04-13 at the Wayback Machine, WO2010010430. Filing date: December 18, 2008
↑ Kotadia, Munir (25 February 2004). "गेट्स पासवर्ड की मौत की भविष्यवाणी करता है". ZDNet. Retrieved 8 May 2019.
↑ "आईबीएम ने पांच नवाचारों का खुलासा किया जो पांच साल के भीतर हमारे जीवन को बदल देंगे". IBM. 2011-12-19. Archived from the original on 2015-03-17. Retrieved 2015-03-14.
↑ Honan, Mat (2012-05-15). "पासवर्ड को समाप्त करें: वर्णों का एक समूह अब हमारी रक्षा क्यों नहीं कर सकता". Wired. Archived from the original on 2015-03-16. Retrieved 2015-03-14.
↑ "Google सुरक्षा कार्यकारी: 'पासवर्ड मर चुके हैं'". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
↑ "पैमाने पर प्रमाणीकरण". IEEE. 2013-01-25. Archived from the original on 2015-04-02. Retrieved 2015-03-12.
↑ Mims, Christopher (2014-07-14). "पासवर्ड अंत में मर रहा है। ये मेरा". Wall Street Journal. Archived from the original on 2015-03-13. Retrieved 2015-03-14.
↑ "रूसी क्रेडेंशियल चोरी से पता चलता है कि पासवर्ड मृत क्यों है". Computer World. 2014-08-14. Archived from the original on 2015-04-02. Retrieved 2015-03-14.
↑ "NSTIC के प्रमुख जेरेमी ग्रांट पासवर्ड को खत्म करना चाहते हैं". Fedscoop. 2014-09-14. Archived from the original on 2015-03-18. Retrieved 2015-03-14.
↑ "निर्दिष्टीकरण अवलोकन". FIDO Alliance. 2014-02-25. Archived from the original on 2015-03-15. Retrieved 2015-03-15.
↑ "पासवर्ड की दृढ़ता को स्वीकार करते हुए एक शोध एजेंडा". IEEE Security&Privacy. Jan 2012. Archived from the original on 2015-06-20. Retrieved 2015-06-20.
↑ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "पासवर्ड बदलने की खोज: वेब प्रमाणीकरण योजनाओं के तुलनात्मक मूल्यांकन के लिए एक रूपरेखा". Technical Report - University of Cambridge. Computer Laboratory. Cambridge, UK: University of Cambridge Computer Laboratory. doi:10.48456/tr-817. ISSN 1476-2986. Retrieved 22 March 2019.
↑ Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". सुरक्षा और गोपनीयता पर 2012 IEEE संगोष्ठी. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44. ISBN 978-1-4673-1244-8.

इस पेज में लापता आंतरिक लिंक की सूची

नॉरमैंडी पर आक्रमण
शब्दकोश हमला
पहुँच नियंत्रण
एक बार प्रविष्ट करना
मैन-इन-द-बीच हमला
और में
सर्विस आक्षेप से इनकार
bcrypt
पासवर्ड-प्रमाणित कुंजी समाधान
स्वयं सेवा पासवर्ड पुनः स्थापित
स्मृति सहायक
मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
पशु बल का आक्रमण
11 सितंबर के आक्षेप
अनाम (समूह)
सार्वजनिक कुंजी क्रिप्टोग्राफी
परितारिका (शरीर रचना)
पत्र (वर्णमाला)
रंग की
चेहरा
चेहरा धारणा
2डी कुंजी
प्रयोज्य
FIDO एलायंस
केर्बरोस (प्रोटोकॉल)

बाहरी संबंध

Research, University of Plymouth (PDF)

2017 draft update to NIST password standards for the U.S. federal government

[:0-1] 1.0 ^1.1 "पासकोड". YourDictionary. Retrieved 17 May 2019.

[2] Ranjan, Pratik; Om, Hari (2016-05-06). "राबिन के क्रिप्टोसिस्टम पर आधारित एक कुशल रिमोट यूजर पासवर्ड ऑथेंटिकेशन स्कीम". Wireless Personal Communications (in English). 90 (1): 217–244. doi:10.1007/s11277-016-3342-5. ISSN 0929-6212. S2CID 21912076.

[nordpass100-3] 3.0 ^3.1 Williams, Shannon (21 Oct 2020). "औसत व्यक्ति के पास 100 पासवर्ड होते हैं - अध्ययन करें". NordPass. Retrieved April 28, 2021.

[NIST-SP-800-63-3-4] 4.0 ^4.1 Grassi, Paul A.; Garcia, Michael E.; Fenton, James L. (June 2017). "NIST विशेष प्रकाशन 800-63-3: डिजिटल पहचान दिशानिर्देश". National Institute of Standards and Technology (NIST). doi:10.6028/NIST.SP.800-63-3. Retrieved 17 May 2019. {{cite journal}}: Cite journal requires |journal= (help)

[5] "प्रमाणीकरण प्रोटोकॉल". Computer Security Resource Center (NIST). Archived from the original on 17 May 2019. Retrieved 17 May 2019.

[6] "पदबंध". Computer Security Resource Center (NIST). Retrieved 17 May 2019.

[7] Polybius on the Roman Military Archived 2008-02-07 at the Wayback Machine. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.

[8] Mark Bando (2007). 101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II. Mbi Publishing Company. ISBN 978-0-7603-2984-9. Archived from the original on 2 June 2013. Retrieved 20 May 2012.

[9] McMillan, Robert (27 January 2012). "दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था". Wired magazine. Retrieved 22 March 2019.

[10] Hunt, Troy (26 July 2017). "विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन". Retrieved 22 March 2019.

[11] CTSS Programmers Guide, 2nd Ed., MIT Press, 1965

[12] Morris, Robert; Thompson, Ken (1978-04-03). "Password Security: A Case History". Bell Laboratories. CiteSeerX 10.1.1.128.1635.

[13] Vance, Ashlee (2010-01-10). "अगर आपका पासवर्ड 123456 है, तो इसे हैकमी बना लें". The New York Times. Archived from the original on 2017-02-11.

[14] "नेटवर्क सुरक्षा का प्रबंधन". Archived from the original on March 2, 2008. Retrieved 2009-03-31.{{cite web}}: CS1 maint: bot: original URL status unknown (link). Fred Cohen and Associates. All.net. Retrieved on 2012-05-20.

[SS1-15] 15.0 ^15.1 ^15.2 ^15.3 Lundin, Leigh (2013-08-11). "पिन और पासवर्ड, भाग 2". Passwords. Orlando: SleuthSayers.

[16] The Memorability and Security of Passwords Archived 2012-04-14 at the Wayback Machine (pdf). ncl.ac.uk. Retrieved on 2012-05-20.

[17] Michael E. Whitman; Herbert J. Mattord (2014). सूचना सुरक्षा के सिद्धांत. Cengage Learning. p. 162. ISBN 978-1-305-17673-7.

[18] "रैंडम पासवर्ड जेनरेटर कैसे बनाएं". PCMAG (in English). Retrieved 2021-09-05.

[19] Lewis, Dave (2011). Ctrl-Alt-हटाना. p. 17. ISBN 978-1471019111. Retrieved 10 July 2015.

[20] Techlicious / Fox Van Allen @techlicious (2013-08-08). "Google ने 10 सबसे खराब पासवर्ड आइडिया का खुलासा किया". Techland.time.com. Archived from the original on 2013-10-22. Retrieved 2013-10-16. {{cite news}}: Text "टाइम डॉट कॉम" ignored (help)

[21] Fleishman, Glenn (November 24, 2015). "सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।". MacWorld. Retrieved April 28, 2021.

[:1-22] 22.0 ^22.1 Lyquix Blog: Do We Need to Hide Passwords? Archived 2012-04-25 at the Wayback Machine. Lyquix.com. Retrieved on 2012-05-20.

[23] Jonathan Kent Malaysia car thieves steal finger Archived 2010-11-20 at the Wayback Machine. BBC (2005-03-31)

[24] Stuart Brown "Top ten passwords used in the United Kingdom". Archived from the original on November 8, 2006. Retrieved 2007-08-14.. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.

[25] US patent 8046827

[26] Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).

[guardian-27] Schofield, Jack (10 March 2003). "रोजर नीधम". The Guardian.

[28] The Bug Charmer: Passwords Matter Archived 2013-11-02 at the Wayback Machine. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.

[bugcharmer.blogspot.com-29] 29.0 ^29.1 Alexander, Steven. (2012-06-20) The Bug Charmer: How long should passwords be? Archived 2012-09-20 at the Wayback Machine. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.

[30] "passlib.hash - Password Hashing Schemes" Archived 2013-07-21 at the Wayback Machine.

[An_Administrator's_Guide_to_Internet_Password_Research-31] 31.0 ^31.1 Florencio et al., An Administrator's Guide to Internet Password Research Archived 2015-02-14 at the Wayback Machine. (pdf) Retrieved on 2015-03-14.

[32] Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g Archived 2012-08-30 at the Wayback Machine. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.

[cm.bell-labs.com-33] 33.0 ^33.1 Morris, Robert & Thompson, Ken (1979). "पासवर्ड सुरक्षा: एक केस हिस्ट्री". Communications of the ACM. 22 (11): 594–597. CiteSeerX 10.1.1.135.2097. doi:10.1145/359168.359172. S2CID 207656012. Archived from the original on 2003-03-22.

[34] Password Protection for Modern Operating Systems Archived 2016-03-11 at the Wayback Machine (pdf). Usenix.org. Retrieved on 2012-05-20.

[35] How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases Archived 2006-05-09 at the Wayback Machine. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.

[36] "पासवर्ड सुरक्षा प्रश्न सेट करते समय आपको झूठ क्यों बोलना चाहिए". Techlicious. 2013-03-08. Archived from the original on 2013-10-23. Retrieved 2013-10-16.

[Joseph-Steinberg-Forbes-37] 37.0 ^37.1 Joseph Steinberg (12 November 2014). "फोर्ब्स: आपको पासवर्ड चुनने के बारे में जो कुछ भी बताया गया है, उसे क्यों नज़रअंदाज़ करना चाहिए". Forbes. Archived from the original on 12 November 2014. Retrieved 12 November 2014.

[WEB-38] "The problems with forcing regular password expiry". IA Matters. CESG: the Information Security Arm of GCHQ. 15 April 2016. Archived from the original on 17 August 2016. Retrieved 5 Aug 2016.

[39] Schneier on Security discussion on changing passwords Archived 2010-12-30 at the Wayback Machine. Schneier.com. Retrieved on 2012-05-20.

[40] Seltzer, Larry. (2010-02-09) "American Express: Strong Credit, Weak Passwords" Archived 2017-07-12 at the Wayback Machine. Pcmag.com. Retrieved on 2012-05-20.

[password_myths-41] दस विंडोज पासवर्ड मिथक Archived 2016-01-28 at the Wayback Machine: एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड </रेफरी><ref>"You must provide a password between 1 and 8 characters in length". Jira.codehaus.org. Retrieved on 2012-05-20. Archived May 21, 2015, at the Wayback Machine

[42] "To Capitalize or Not to Capitalize?" Archived 2009-02-17 at the Wayback Machine. World.std.com. Retrieved on 2012-05-20.

[Keir-PCWorld-2011-43] Thomas, Keir (February 10, 2011). "पासवर्ड का पुन: उपयोग बहुत आम है, अनुसंधान दिखाता है". PC World. Archived from the original on August 12, 2014. Retrieved August 10, 2014.

[Darren-Microsoft-Register-44] Pauli, Darren (16 July 2014). "माइक्रोसॉफ्ट: आपको खराब पासवर्ड की जरूरत है और आपको उन्हें दोबारा इस्तेमाल करना चाहिए". The Register. Archived from the original on 12 August 2014. Retrieved 10 August 2014.

[45] Bruce Schneier : Crypto-Gram Newsletter Archived 2011-11-15 at the Wayback Machine May 15, 2001

[password_myth-46] दस विंडोज पासवर्ड मिथक Archived 2016-01-28 at the Wayback Machine: मिथक #7। आपको अपना पासवर्ड कभी नहीं लिखना चाहिए </रेफरी><ref>Kotadia, Munir (2005-05-23) Microsoft security guru: Jot down your passwords. News.cnet.com. Retrieved on 2012-05-20.

[47] "The Strong Password Dilemma" Archived 2010-07-18 at the Wayback Machine by Richard E. Smith: "we can summarize classical password selection rules as follows: The password must be impossible to remember and never written down."

[48] Bob Jenkins (2013-01-11). "रैंडम पासवर्ड चुनना". Archived from the original on 2010-09-18.

[49] "The Memorability and Security of Passwords – Some Empirical Results" Archived 2011-02-19 at the Wayback Machine (pdf)
"your password ... in a secure place, such as the back of your wallet or purse."

[50] "Should I write down my passphrase?" Archived 2009-02-17 at the Wayback Machine. World.std.com. Retrieved on 2012-05-20.

[51] Jaffery, Saman M. (17 October 2011). "सर्वे: ब्रिटेन के 11% लोग वसीयत में इंटरनेट पासवर्ड शामिल करते हैं". Hull & Hull LLP. Archived from the original on 25 December 2011. Retrieved 16 July 2012.

[52] Two-factor authentication Archived 2016-06-18 at the Wayback Machine

[53] Improving Usability of Password Management with Standardized Password Policies Archived 2013-06-20 at the Wayback Machine (pdf). Retrieved on 2012-10-12.

[zdnet-54] 54.0 ^54.1 Hate silly password rules? So does the guy who created them Archived 2018-03-29 at the Wayback Machine, ZDNet

[55] The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d! Archived 2017-08-09 at the Wayback Machine, Wall Street Journal

[fort-56] 56.0 ^56.1 Experts Say We Can Finally Ditch Those Stupid Password Rules Archived 2018-06-28 at the Wayback Machine, Fortune

[57] NIST’s new password rules – what you need to know Archived 2018-06-28 at the Wayback Machine, Naked Security

[58] P. Tsokkis and E. Stavrou, "A password generator tool to increase users' awareness on bad password construction strategies," 2018 International Symposium on Networks, Computers and Communications (ISNCC), Rome, 2018, pp. 1-5, doi:10.1109/ISNCC.2018.8531061.

[59] "पासवर्ड". Archived from the original on April 23, 2007. Retrieved 2012-05-20.{{cite web}}: CS1 maint: bot: original URL status unknown (link). cs.columbia.edu

[60] Schneier, Real-World Passwords Archived 2008-09-23 at the Wayback Machine. Schneier.com. Retrieved on 2012-05-20.

[61] MySpace Passwords Aren't So Dumb Archived 2014-03-29 at the Wayback Machine. Wired.com (2006-10-27). Retrieved on 2012-05-20.

[सीईआरटी_आईएन-98.03-62] "सीईआरटी आईएन-98.03". 1998-07-16. Retrieved 2009-09-09.

[NYTimes20141123-63] 63.0 ^63.1 Urbina, Ian; Davis, Leslye (November 23, 2014). "पासवर्ड का गुप्त जीवन". The New York Times. Archived from the original on November 28, 2014.

[64] "उपभोक्ता पासवर्ड सबसे खराब व्यवहार (पीडीएफ)" (PDF). Archived (PDF) from the original on 2011-07-28.

[65] "नाटो साइट हैक हो गई". The Register. 2011-06-24. Archived from the original on June 29, 2011. Retrieved July 24, 2011.

[66] "नवीनतम एंटीसेक हमले में बेनामी ने 90,000 सैन्य ईमेल खातों को लीक किया". 2011-07-11. Archived from the original on 2017-07-14.

[67] "सैन्य पासवर्ड विश्लेषण". 2011-07-12. Archived from the original on 2011-07-15.

[68] "हैकर्स द्वारा उपयोग की जाने वाली शीर्ष 12 पासवर्ड-क्रैकिंग तकनीकें". IT PRO (in English). Retrieved 2022-07-18.

[69] "पासवर्ड बदलने की खोज (पीडीएफ)" (PDF). IEEE. 2012-05-15. Archived (PDF) from the original on 2015-03-19. Retrieved 2015-03-11.

[CNET-70] 70.0 ^70.1 "गेट्स पासवर्ड की मौत की भविष्यवाणी करता है". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.

[71] Cryptology ePrint Archive: Report 2005/434 Archived 2006-06-14 at the Wayback Machine. eprint.iacr.org. Retrieved on 2012-05-20.

[72] T Matsumoto. H Matsumotot; K Yamada & S Hoshino (2002). "फ़िंगरप्रिंट सिस्टम पर कृत्रिम 'गमी' उंगलियों का प्रभाव". Proc SPIE. Optical Security and Counterfeit Deterrence Techniques IV. 4677: 275. Bibcode:2002SPIE.4677..275M. doi:10.1117/12.462719. S2CID 16897825.

[73] Using AJAX for Image Passwords – AJAX Security Part 1 of 3 Archived 2006-06-16 at the Wayback Machine. waelchatila.com (2005-09-18). Retrieved on 2012-05-20.

[74] Butler, Rick A. (2004-12-21) Face in the Crowd Archived 2006-06-27 at the Wayback Machine. mcpmag.com. Retrieved on 2012-05-20.

[75] raphical password or graphical user authentication (GUA) Archived 2009-02-21 at the Wayback Machine. searchsecurity.techtarget.com. Retrieved on 2012-05-20.

[Images_Could_Change_the_Authentication_Picture-76] Ericka Chickowski (2010-11-03). "छवियां प्रमाणीकरण चित्र को बदल सकती हैं". Dark Reading. Archived from the original on 2010-11-10.

[कॉन्फिडेंट_टेक्नोलॉजीज_सार्वजनिक-सामना_करने_वाली_वेबसाइटों_पर_पासवर्ड_को_मजबूत_करने_के_लिए_छवि-आधारित,_बहु-कारक_प्रमाणीकरण_प्रदान_करती_है-77] "कॉन्फिडेंट टेक्नोलॉजीज सार्वजनिक-सामना करने वाली वेबसाइटों पर पासवर्ड को मजबूत करने के लिए छवि-आधारित, बहु-कारक प्रमाणीकरण प्रदान करती है". 2010-10-28. Archived from the original on 2010-11-07.

[78] User Manual for 2-Dimensional Key (2D Key) Input Method and System Archived 2011-07-18 at the Wayback Machine. xpreeli.com. (2008-09-08) . Retrieved on 2012-05-20.

[79] Kok-Wah Lee "Methods and Systems to Create Big Memorizable Secrets and Their Applications" Patent US20110055585 Archived 2015-04-13 at the Wayback Machine, WO2010010430. Filing date: December 18, 2008

[80] Kotadia, Munir (25 February 2004). "गेट्स पासवर्ड की मौत की भविष्यवाणी करता है". ZDNet. Retrieved 8 May 2019.

[81] "आईबीएम ने पांच नवाचारों का खुलासा किया जो पांच साल के भीतर हमारे जीवन को बदल देंगे". IBM. 2011-12-19. Archived from the original on 2015-03-17. Retrieved 2015-03-14.

[82] Honan, Mat (2012-05-15). "पासवर्ड को समाप्त करें: वर्णों का एक समूह अब हमारी रक्षा क्यों नहीं कर सकता". Wired. Archived from the original on 2015-03-16. Retrieved 2015-03-14.

[83] "Google सुरक्षा कार्यकारी: 'पासवर्ड मर चुके हैं'". CNET. 2004-02-25. Archived from the original on 2015-04-02. Retrieved 2015-03-14.

[84] "पैमाने पर प्रमाणीकरण". IEEE. 2013-01-25. Archived from the original on 2015-04-02. Retrieved 2015-03-12.

[85] Mims, Christopher (2014-07-14). "पासवर्ड अंत में मर रहा है। ये मेरा". Wall Street Journal. Archived from the original on 2015-03-13. Retrieved 2015-03-14.

[86] "रूसी क्रेडेंशियल चोरी से पता चलता है कि पासवर्ड मृत क्यों है". Computer World. 2014-08-14. Archived from the original on 2015-04-02. Retrieved 2015-03-14.

[87] "NSTIC के प्रमुख जेरेमी ग्रांट पासवर्ड को खत्म करना चाहते हैं". Fedscoop. 2014-09-14. Archived from the original on 2015-03-18. Retrieved 2015-03-14.

[88] "निर्दिष्टीकरण अवलोकन". FIDO Alliance. 2014-02-25. Archived from the original on 2015-03-15. Retrieved 2015-03-15.

[89] "पासवर्ड की दृढ़ता को स्वीकार करते हुए एक शोध एजेंडा". IEEE Security&Privacy. Jan 2012. Archived from the original on 2015-06-20. Retrieved 2015-06-20.

[Bonneau_et_al._2012_tech_report-90] Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "पासवर्ड बदलने की खोज: वेब प्रमाणीकरण योजनाओं के तुलनात्मक मूल्यांकन के लिए एक रूपरेखा". Technical Report - University of Cambridge. Computer Laboratory. Cambridge, UK: University of Cambridge Computer Laboratory. doi:10.48456/tr-817. ISSN 1476-2986. Retrieved 22 March 2019.

[Bonneau_et_al._2012_peer-reviewed_paper-91] Bonneau, Joseph; Herley, Cormac; Oorschot, Paul C. van; Stajano, Frank (2012). "The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes". सुरक्षा और गोपनीयता पर 2012 IEEE संगोष्ठी. 2012 IEEE Symposium on Security and Privacy. San Francisco, CA. pp. 553–567. doi:10.1109/SP.2012.44. ISBN 978-1-4673-1244-8.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

[70]

[71]

[72]

[73]

[74]

[75]

[76]

[77]

[78]

[79]

[80]

[81]

[82]

[83]

[84]

[85]

[86]

[87]

[88]

[89]

[90]

[91]

@@ Line 1: / Line 1: @@
 {{Short description|Used for user authentication to prove identity or access approval}}
-{{Other uses}}
+''अन्य उपयोगों के लिए, [[पासवर्ड (बहुविकल्पी)]] देखें।''
-{{For|assistance with your Wikipedia password|Help:Reset password|selfref=yes}}
-{{Redirect|Passcode|the Japanese idol group|Passcode (group)}}
-[[File:Mediawiki_1.25_sign_in_form.png|thumb|right|एक साइन इन फॉर्म में एक पासवर्ड फ़ील्ड।]]एक पासवर्ड, जिसे कभी-कभी पासकोड कहा जाता है (उदाहरण के लिए Apple Inc. उपकरणों में),<ref name=":0">{{cite web |title=पासकोड|url=https://www.yourdictionary.com/पासकोड|publisher=YourDictionary |access-date=17 May 2019}}</ref> गुप्त डेटा है,  सामान्यतः वर्णों की एक स्ट्रिंग,  सामान्यतः उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग की जाती है।<ref name=":0" />परंपरागत रूप से, पासवर्ड याद रखने की अपेक्षा की जाती थी,<ref>{{Cite journal |last1=Ranjan |first1=Pratik |last2=Om |first2=Hari |date=2016-05-06 |title=राबिन के क्रिप्टोसिस्टम पर आधारित एक कुशल रिमोट यूजर पासवर्ड ऑथेंटिकेशन स्कीम|url=http://link.springer.com/10.1007/s11277-016-3342-5 |journal=Wireless Personal Communications |language=en |volume=90 |issue=1 |pages=217–244 |doi=10.1007/s11277-016-3342-5 |s2cid=21912076 |issn=0929-6212}}</ref> लेकिन बड़ी संख्या में पासवर्ड-सुरक्षित सेवाएँ, जिन्हें एक विशिष्ट व्यक्ति एक्सेस करता है, प्रत्येक सेवा के लिए अद्वितीय पासवर्ड को याद रखना अव्यावहारिक बना सकता है।<ref name="nordpass100">{{cite web|url=https://securitybrief.co.nz/story/average-person-has-100-passwords-study |title=औसत व्यक्ति के पास 100 पासवर्ड होते हैं - अध्ययन करें|date=21 Oct 2020|first=Shannon |last=Williams|publisher=NordPass|access-date=April 28, 2021}}</ref> NIST डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए,<ref name="NIST-SP-800-63-3">{{cite journal |last1=Grassi |first1=Paul A. |last2=Garcia |first2=Michael E. |last3=Fenton |first3=James L. |title=NIST विशेष प्रकाशन 800-63-3: डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63-3.html |publisher=[[National Institute of Standards and Technology]] (NIST) |access-date=17 May 2019 |date=June 2017 |doi=10.6028/NIST.SP.800-63-3|doi-access=free }}</ref> रहस्य दावेदार नामक पार्टी द्वारा आयोजित किया जाता है जबकि दावेदार की पहचान की पुष्टि करने वाली पार्टी को सत्यापनकर्ता कहा जाता है। जब दावेदार एक स्थापित [[प्रमाणीकरण प्रोटोकॉल]] के माध्यम से सत्यापनकर्ता को पासवर्ड का ज्ञान सफलतापूर्वक प्रदर्शित करता है,<ref>{{cite web |title=प्रमाणीकरण प्रोटोकॉल|url=https://csrc.nist.gov/glossary/term/authentication-protocol |publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019 |archive-date=17 May 2019 |archive-url=https://web.archive.org/web/20190517125842/https://csrc.nist.gov/glossary/term/authentication-protocol |url-status=dead }}</ref> सत्यापनकर्ता दावेदार की पहचान का अनुमान लगाने में सक्षम है।
-सामान्य तौर पर, एक पासवर्ड अक्षर, अंक, या अन्य प्रतीकों सहित [[चरित्र (कंप्यूटिंग)]] का एक मनमाना [[स्ट्रिंग (कंप्यूटर विज्ञान)]] है। यदि अनुमेय वर्ण संख्यात्मक होने के लिए विवश हैं, तो संबंधित रहस्य को कभी-कभी [[व्यक्तिगत पहचान संख्या]] (पिन) कहा जाता है।
+''अपने विकिपीडिया पासवर्ड के संबंध में सहायता के लिए, [[सहायता देखें]]: [[पासवर्ड पुनः स्थापित]] करें।''
-इसके नाम के होने पर भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय संपत्ति है। एक याद रखा हुआ रहस्य जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य पाठ को कभी-कभी [[पदबंध]] कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व  सामान्यतः अतिरिक्त सुरक्षा के लिए लंबा होता है।<ref>{{cite web |title=पदबंध|url=https://csrc.nist.gov/glossary/term/पदबंध|publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019}}</ref>
+''"पासकोड" यहां पुनर्निर्देश करता है। जापानी मूर्ति समूह के लिए, [[पासकोड (समूह]]) देखें।''[[File:Mediawiki_1.25_sign_in_form.png|thumb|right|एक साइन इन फॉर्म में एक पासवर्ड फ़ील्ड।]]'''''पासवर्ड''''', जिसे कभी-कभी '''पासकोड''' कहा जाता है (उदाहरण के लिए एप्पल उपकरणों में),<ref name=":0">{{cite web |title=पासकोड|url=https://www.yourdictionary.com/पासकोड|publisher=YourDictionary |access-date=17 May 2019}}</ref> गुप्त डेटा है, सामान्यतः वर्णों की एक स्ट्रिंग, सामान्यतः उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग की जाती है।<ref name=":0" /> परंपरागत रूप से, पासवर्ड स्मरण रखने की अपेक्षा की जाती थी,<ref>{{Cite journal |last1=Ranjan |first1=Pratik |last2=Om |first2=Hari |date=2016-05-06 |title=राबिन के क्रिप्टोसिस्टम पर आधारित एक कुशल रिमोट यूजर पासवर्ड ऑथेंटिकेशन स्कीम|url=http://link.springer.com/10.1007/s11277-016-3342-5 |journal=Wireless Personal Communications |language=en |volume=90 |issue=1 |pages=217–244 |doi=10.1007/s11277-016-3342-5 |s2cid=21912076 |issn=0929-6212}}</ref> लेकिन बड़ी संख्या में पासवर्ड से सुरक्षित सेवाएं जो एक विशिष्ट व्यक्ति एक्सेस करता है, प्रत्येक सेवा के लिए अद्वितीय पासवर्ड को याद रखना अव्यावहारिक बना सकता है।<ref name="nordpass100">{{cite web|url=https://securitybrief.co.nz/story/average-person-has-100-passwords-study |title=औसत व्यक्ति के पास 100 पासवर्ड होते हैं - अध्ययन करें|date=21 Oct 2020|first=Shannon |last=Williams|publisher=NordPass|access-date=April 28, 2021}}</ref> NIST डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए,<ref name="NIST-SP-800-63-3">{{cite journal |last1=Grassi |first1=Paul A. |last2=Garcia |first2=Michael E. |last3=Fenton |first3=James L. |title=NIST विशेष प्रकाशन 800-63-3: डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63-3.html |publisher=[[National Institute of Standards and Technology]] (NIST) |access-date=17 May 2019 |date=June 2017 |doi=10.6028/NIST.SP.800-63-3|doi-access=free }}</ref> गुप्तता अधिकार प्रतिपादक नामक समर्थक द्वारा आयोजित किया जाता है जबकि अधिकार प्रतिपादक की पहचान की पुष्टि करने वाली समर्थक को ''प्रमाणक (verifier)'' कहा जाता है। जब अधिकार प्रतिपादक एक स्थापित [[प्रमाणीकरण प्रोटोकॉल]] के माध्यम से प्रमाणक को पासवर्ड का ज्ञान सफलतापूर्वक प्रदर्शित करता है,<ref>{{cite web |title=प्रमाणीकरण प्रोटोकॉल|url=https://csrc.nist.gov/glossary/term/authentication-protocol |publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019 |archive-date=17 May 2019 |archive-url=https://web.archive.org/web/20190517125842/https://csrc.nist.gov/glossary/term/authentication-protocol |url-status=dead }}</ref> प्रमाणक अधिकार प्रतिपादक की पहचान का अनुमान लगाने में सक्षम है।
+सामान्य रूप से, एक पासवर्ड अक्षर, अंक, या अन्य प्रतीकों सहित [[चरित्र (कंप्यूटिंग)|वर्ण (कंप्यूटिंग)]] का यादृच्छिक [[स्ट्रिंग (कंप्यूटर विज्ञान)]] है। यदि अनुमेय वर्ण संख्यात्मक होने के लिए बाधित हैं, तो संबंधित गुप्तता को कभी-कभी [[व्यक्तिगत पहचान संख्या]] (PIN) कहा जाता है।
+हांलाकि, इसके नाम को भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गुप्तता जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी [[पदबंध|पासफ्रेज]] कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।<ref>{{cite web |title=पदबंध|url=https://csrc.nist.gov/glossary/term/पदबंध|publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019}}</ref>
 == इतिहास ==
-पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संतरी एक पासवर्ड या वॉचवर्ड की आपूर्ति करने के लिए एक क्षेत्र में प्रवेश करने के इच्छुक लोगों को चुनौती देंगे, और केवल एक व्यक्ति या समूह को पास होने की अनुमति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में वॉचवर्ड्स के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:
+पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:<blockquote>जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है, एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (टैबलेट) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और टैबलेट वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और सभी के माध्यम से उसके पास वापस आ गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत पूछताछ जाँच करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></blockquote>सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिक दिनों में, यू.एस. 101वें विमानवाहित विभाग के पैराट्रूपर ने एक पासवर्ड-''फ्लैश'' का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया-''धमकी'' के साथ उत्तर दिया। प्रत्येक तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर ने पासवर्ड प्रणाली के स्थान पर D-दिवस पर "क्रिकेट" के रूप में एक उपकरण का उपयोग अस्थायी रूप से अभिनिर्धारण की अनन्य विधि के रूप में किया; पासवर्ड के बदले उपकरण द्वारा दिए गए एक धात्विक क्लिक को उत्तर में दो क्लिक से पूरा किया जाना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>
-<blockquote>जिस तरह से वे रात के लिए वाचवर्ड के पासिंग राउंड को सुरक्षित करते हैं, वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मैनिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे गार्ड ड्यूटी से मुक्त किया जाता है, और वह हर दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे वॉचवर्ड प्राप्त करता है - जो कि उस पर अंकित शब्द के साथ एक लकड़ी की गोली है - उसकी छुट्टी लेता है, और अपने क्वार्टर में लौटने पर अगले मैनिपिल के कमांडर को गवाहों से पहले वॉचवर्ड और टैबलेट पर गुजरता है, जो बदले में उसे उसके बगल में भेजता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले जोड़ तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये बाद वाले अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि जारी किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को वॉचवर्ड दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी गायब हो जाता है, तो वह तुरंत पूछताछ करता है, क्योंकि वह निशान से जानता है कि किस तिमाही से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए जिम्मेदार है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></ब्लॉककोट>
+कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गुप्तता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के भाग के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्‍तलेखन मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे [[क्रिप्ट (यूनिक्स)|कूटलेख]] (3) के रूप में जाना जाता है, ने 12-बिट [[नमक (क्रिप्टोग्राफी)|तर्कशीलता (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक|डेटा एन्क्रिप्शन मानक (DES]]) एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal
-सैन्य उपयोग में पासवर्ड न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिकी दिनों में, यू.एस. 101वें एयरबोर्न डिवीजन के पैराट्रूपर्स ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक चुनौती के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया के साथ उत्तर दिया-थंडर। हर तीन दिनों में चुनौती और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर्स ने पहचान के अस्थायी रूप से अनूठे तरीके के रूप में पासवर्ड सिस्टम के स्थान पर [[डी-डे]] पर क्रिकेट के रूप में जाने जाने वाले एक उपकरण का भी प्रसिद्ध रूप से उपयोग किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक मैटेलिक क्लिक को जवाब में दो क्लिक से मिलना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>
-कंप्यूटिंग के प्रारम्भिकी दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक LOGIN कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम प्रिंटिंग मैकेनिज्म को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के हिस्से के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड स्टोर करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर क्रिप्टो मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे [[क्रिप्ट (यूनिक्स)]] | क्रिप्ट (3) के रूप में जाना जाता है, ने 12-बिट [[नमक (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश हमलों के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक]] एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal
   |title       = Password Security: A Case History.
   |journal        = Bell Laboratories
@@ Line 24: / Line 20: @@
 |citeseerx = 10.1.1.128.1635}}
 </ref>
-आधुनिक समय में, [[उपयोगकर्ता (कंप्यूटिंग)]] और पासवर्ड  सामान्यतः [[लॉगिंग (कंप्यूटर सुरक्षा)]] प्रक्रिया के दौरान लोगों द्वारा उपयोग किए जाते हैं जो संरक्षित कंप्यूटर [[ऑपरेटिंग सिस्टम]], [[चल दूरभाष]], [[केबल टीवी]] डिकोडर, स्वचालित टेलर मशीन ([[एटीएम]]), आदि तक पहुंच नियंत्रण करते हैं। एक विशिष्ट [[कंप्यूटर उपयोगकर्ता]] के पास कई उद्देश्यों के लिए पासवर्ड होते हैं: खातों में लॉग इन करना, [[ईमेल]] प्राप्त करना, एप्लिकेशन, डेटाबेस, नेटवर्क, वेब साइट्स तक पहुंचना और यहां तक कि सुबह का अखबार ऑनलाइन पढ़ना।
-== एक सुरक्षित और यादगार पासवर्ड चुनना ==
+आधुनिक समय में, [[उपयोगकर्ता (कंप्यूटिंग)]] और पासवर्ड सामान्यतः [[लॉगिंग (कंप्यूटर सुरक्षा)]] प्रक्रिया के समय लोगों द्वारा उपयोग किए जाते हैं जो संरक्षित [[कंप्यूटर ऑपरेटिंग सिस्टम]], [[मोबाइल फोन]], [[केबल टीवी डिकोडर]],[[स्वचालित टेलर मशीन]] ([[एटीएम]]), आदि तक अभिगम्य नियंत्रण करते हैं। एक विशिष्ट [[कंप्यूटर उपयोगकर्ता]] के पास कई उद्देश्यों के लिए पासवर्ड होते हैं: खातों में लॉग इन करना, [[ईमेल]] प्राप्त करना, एप्लिकेशन, डेटाबेस, नेटवर्क, वेब साइट्स तक पहुंचना और यहां तक कि सुबह का अखबार ऑनलाइन पढ़ना।
+== एक सुरक्षित और स्मरणीय पासवर्ड चुनना ==
+उपयोगकर्ता के लिए पासवर्ड याद रखना जितना आसान होता है सामान्यतः इसका अर्थ [[हैकर (कंप्यूटर सुरक्षा)]] के लिए अनुमान लगाना आसान होगा।<ref>{{Cite news |title=अगर आपका पासवर्ड 123456 है, तो इसे हैकमी बना लें|work=The New York Times |first=Ashlee |last=Vance |date=2010-01-10 |url=https://www.nytimes.com/2010/01/21/technology/21password.html |url-status=live |archive-url=https://web.archive.org/web/20170211224543/http://www.nytimes.com/2010/01/21/technology/21password.html |archive-date=2017-02-11 }}</ref> हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (a) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से संग्रहण करने की आवश्यकता हो सकती है, (b) उपयोगकर्ताओं को निरंतर पासवर्ड रीसेट (पुनः स्थापित) करने की आवश्यकता होगी और (c) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का पुनःउपयोग करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि बड़ा और छोटे अक्षरों और अंकों का संयुक्त रूप होता है या इसे मासिक रूप से बदले, उतना अधिक उपयोगकर्ता सिस्टम को नष्ट कर देगा।<ref>{{cite web |url=http://all.net/journal/netsec/1997-09.html |title=नेटवर्क सुरक्षा का प्रबंधन|access-date=2009-03-31 |url-status=bot: unknown |archive-url=https://web.archive.org/web/20080302044633/http://all.net/journal/netsec/1997-09.html |archive-date=March 2, 2008 }}. Fred Cohen and Associates. All.net. Retrieved on 2012-05-20.</ref> दूसरों का तर्क है कि लंबे पासवर्ड वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में अधिक सुरक्षा प्रदान करते हैं (जैसे, [[एंट्रॉपी]])।<ref name="SS1" />
+पासवर्ड की स्मरणीय और सुरक्षा में,<ref>[http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf The Memorability and Security of Passwords] {{webarchive|url=https://web.archive.org/web/20120414222419/http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf |date=2012-04-14 }} (pdf). ncl.ac.uk. Retrieved on 2012-05-20.</ref> जेफ यान एट अल. पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही स्मरणीय होते हैं जितने कि सरलता से चुने गए पासवर्ड, और अव्यवस्थिततः से उत्पन्न पासवर्ड के रूप में (तोड़ना) क्रैक करना उतना ही कठिन है।
-स्वामी के लिए पासवर्ड याद रखना जितना आसान होता है  सामान्यतः इसका अर्थ [[हैकर (कंप्यूटर सुरक्षा)]] के लिए अनुमान लगाना आसान होगा।<ref>{{Cite news |title=अगर आपका पासवर्ड 123456 है, तो इसे हैकमी बना लें|work=The New York Times |first=Ashlee |last=Vance |date=2010-01-10 |url=https://www.nytimes.com/2010/01/21/technology/21password.html |url-status=live |archive-url=https://web.archive.org/web/20170211224543/http://www.nytimes.com/2010/01/21/technology/21password.html |archive-date=2017-02-11 }}</ref> हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (ए) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से स्टोर करने की आवश्यकता हो सकती है, (बी) उपयोगकर्ताओं को लगातार पासवर्ड रीसेट करने की आवश्यकता होगी और (सी) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का दोबारा इस्तेमाल करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि अपरकेस और लोअरकेस अक्षरों और अंकों का मिश्रण होता है या इसे मासिक रूप से बदलता है, उपयोगकर्ता सिस्टम को जितना बड़ा कर देगा, उतना ही अधिक होगा।<ref>{{cite web |url=http://all.net/journal/netsec/1997-09.html |title=नेटवर्क सुरक्षा का प्रबंधन|access-date=2009-03-31 |url-status=bot: unknown |archive-url=https://web.archive.org/web/20080302044633/http://all.net/journal/netsec/1997-09.html |archive-date=March 2, 2008 }}. Fred Cohen and Associates. All.net. Retrieved on 2012-05-20.</ref> अन्य तर्क देते हैं कि लंबे पासवर्ड अधिक सुरक्षा प्रदान करते हैं (उदाहरण के लिए, [[एंट्रॉपी (सूचना सिद्धांत)]]) वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में।<ref name="SS1" />
+दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,<ref>{{cite book|author1=Michael E. Whitman|author2=Herbert J. Mattord|title=सूचना सुरक्षा के सिद्धांत|url=https://books.google.com/books?id=uSGkAwAAQBAJ&pg=PA162|year=2014|publisher=Cengage Learning|isbn=978-1-305-17673-7|page=162}}</ref> लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया [[एल्गोरिथम]] होना एक और अच्छा तरीका है।<ref>{{Cite web|title=रैंडम पासवर्ड जेनरेटर कैसे बनाएं|url=https://www.pcmag.com/how-to/how-to-create-a-random-password-generator|access-date=2021-09-05|website=PCMAG|language=en}}</ref>
-पासवर्ड की यादगार और सुरक्षा में,<ref>[http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf The Memorability and Security of Passwords] {{webarchive|url=https://web.archive.org/web/20120414222419/http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf |date=2012-04-14 }} (pdf). ncl.ac.uk. Retrieved on 2012-05-20.</ref> जेफ यान एट अल। पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही यादगार होते हैं जितने कि भोले-भाले चुने गए पासवर्ड, और बेतरतीब ढंग से उत्पन्न पासवर्ड के रूप में क्रैक करना उतना ही कठिन।
+हालाँकि, उपयोगकर्ताओं को बड़े और छोटे वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करना केवल थोड़ा कठिन है (उदाहरण के लिए 7-अक्षर वाले पासवर्ड को क्रैक करना केवल 128 गुना कठिन है, यदि, उपयोगकर्ता केवल अक्षरों में से किसी एक को बड़ा करता है) तो उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो आक्षेपकों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना आक्षेपकों के लिए ज्ञात एक सामान्य ट्रिक है।<ref>{{cite book|last1=Lewis|first1=Dave|title=Ctrl-Alt-हटाना|date=2011|isbn=978-1471019111|page=17|url=https://books.google.com/books?isbn=147101911X|access-date=10 July 2015}}</ref>
-दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,<ref>{{cite book|author1=Michael E. Whitman|author2=Herbert J. Mattord|title=सूचना सुरक्षा के सिद्धांत|url=https://books.google.com/books?id=uSGkAwAAQBAJ&pg=PA162|year=2014|publisher=Cengage Learning|isbn=978-1-305-17673-7|page=162}}</ref> लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया [[कलन विधि]] एक और अच्छा तरीका है।<ref>{{Cite web|title=रैंडम पासवर्ड जेनरेटर कैसे बनाएं|url=https://www.pcmag.com/how-to/how-to-create-a-random-password-generator|access-date=2021-09-05|website=PCMAG|language=en}}</ref>
+में, गूगल ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची प्रस्तुत की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):<ref>{{cite news |author=Techlicious / Fox Van Allen @techlicious |url=http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |title=Google ने 10 सबसे खराब पासवर्ड आइडिया का खुलासा किया | टाइम डॉट कॉम|publisher=Techland.time.com |date=2013-08-08 |access-date=2013-10-16 |url-status=live |archive-url=https://web.archive.org/web/20131022123957/http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |archive-date=2013-10-22 }}</ref>
-हालाँकि, उपयोगकर्ताओं को अपरकेस और लोअरकेस वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करने के लिए थोड़ा कठिन है (उदाहरण के लिए क्रैक करने के लिए केवल 128 गुना कठिन) 7-अक्षर वाले पासवर्ड, कम अगर उपयोगकर्ता केवल अक्षरों में से एक को बड़ा करता है)। उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो हमलावरों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना हमलावरों के लिए जाना जाने वाला एक सामान्य ट्रिक है।<ref>{{cite book|last1=Lewis|first1=Dave|title=Ctrl-Alt-हटाना|date=2011|isbn=978-1471019111|page=17|url=https://books.google.com/books?isbn=147101911X|access-date=10 July 2015}}</ref>
-में, Google ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची जारी की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):<ref>{{cite news |author=Techlicious / Fox Van Allen @techlicious |url=http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |title=Google ने 10 सबसे खराब पासवर्ड आइडिया का खुलासा किया | टाइम डॉट कॉम|publisher=Techland.time.com |date=2013-08-08 |access-date=2013-10-16 |url-status=live |archive-url=https://web.archive.org/web/20131022123957/http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |archive-date=2013-10-22 }}</ref>
 * एक पालतू जानवर, बच्चे, परिवार के सदस्य या महत्वपूर्ण अन्य का नाम
 * वर्षगांठ दिनांक और जन्मदिन
@@ Line 42: / Line 41: @@
 * शब्द पासवर्ड
-== याद रखने के विकल्प ==
+== संस्मरण के विकल्प ==
-पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक चुनौती बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।<ref name=nordpass100 />पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में [[पासवर्ड प्रबंधक]]ों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना सम्मिलित है।<ref>{{cite web|url=https://www.macworld.com/article/226857/write-your-passwords-down-to-improve-safety.html |title=सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।|first=Glenn |last=Fleishman|date=November 24, 2015|publisher=MacWorld|access-date=April 28, 2021}}</ref> इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।
+पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।<ref name="nordpass100" /> पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक असुरक्षित प्रक्रिया है क्योंकि एक खाते में डेटा का विच्छेद अन्य खातों से आपस में मिल सकता है। कम जोखिम वाले विकल्पों में [[पासवर्ड प्रबंधक]] का उपयोग, एक साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल लेख सूची रखना सम्मिलित है।<ref>{{cite web|url=https://www.macworld.com/article/226857/write-your-passwords-down-to-improve-safety.html |title=सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।|first=Glenn |last=Fleishman|date=November 24, 2015|publisher=MacWorld|access-date=April 28, 2021}}</ref> इस तरह के प्रक्रिया पासवर्ड की संख्या को कम कर सकते हैं, जैसे कि पासवर्ड प्रबंधक का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में याद रखना चाहिए।
 ==पासवर्ड प्रणाली की सुरक्षा के कारक==
-पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को [[कंप्यूटर वायरस]], मैन-इन-द-मिडल हमलों और इस तरह के हमलों से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। [[शोल्डर सर्फिंग ([[कंप्यूटर सुरक्षा]])]] से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक खतरों तक शारीरिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी हमलावर के लिए उनका अनुमान लगाना कठिन हो और हमलावर के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए [[पासवर्ड क्षमता]] और कंप्यूटर सुरक्षा देखें।<ref name=":1" />
+पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को [[कंप्यूटर वायरस]], मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। भौतिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं, जिसमें शोल्डर सर्फिंग से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक जोखिम सम्मिलित हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी आक्षेपक के लिए उनका अनुमान लगाना कठिन हो और आक्षेपक के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए [[पासवर्ड क्षमता]] और कंप्यूटर सुरक्षा देखें।<ref name=":1" />
-आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक  सामान्य बात है। इस उपाय का उद्देश्य आसपास खड़े लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस अभ्यास से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को कमजोर पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।<ref name=":1">[http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords Lyquix Blog: Do We Need to Hide Passwords?] {{webarchive|url=https://web.archive.org/web/20120425114556/http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords |date=2012-04-25 }}. Lyquix.com. Retrieved on 2012-05-20.</ref>
+आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास उपस्थित लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस प्रक्रिया से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को असुरक्षित पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।<ref name=":1">[http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords Lyquix Blog: Do We Need to Hide Passwords?] {{webarchive|url=https://web.archive.org/web/20120425114556/http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords |date=2012-04-25 }}. Lyquix.com. Retrieved on 2012-05-20.</ref>
-प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक टोकन प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं।<ref>Jonathan Kent  [http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm Malaysia car thieves steal finger] {{webarchive|url=https://web.archive.org/web/20101120203534/http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm |date=2010-11-20 }}. BBC (2005-03-31)</ref> कम चरम उपायों में [[ज़बरदस्ती वसूली]], [[रबर की नली क्रिप्टैनालिसिस]] और [[साइड चैनल हमला]] सम्मिलित हैं।
-कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चुनते और संभालते समय विचार किया जाना चाहिए।
+प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक संकेत प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं।<ref>Jonathan Kent  [http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm Malaysia car thieves steal finger] {{webarchive|url=https://web.archive.org/web/20101120203534/http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm |date=2010-11-20 }}. BBC (2005-03-31)</ref> बहुत कम उपायों में [[एक्सटॉर्शन, रबर होज़ क्रिप्टैनालिसिस]] और [[साइड चैनल हमला|साइड चैनल]] आक्षेप सम्मिलित हैं।
-=== दर जिस पर एक हमलावर अनुमानित पासवर्ड का प्रयास कर सकता है ===
+कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चयन और संचालन करते समय विचार किया जाना चाहिए।
-दर जिस पर एक हमलावर सिस्टम को अनुमानित पासवर्ड जमा कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं, जिसे थ्रॉटलिंग भी कहा जाता है।<ref name="NIST-SP-800-63-3" /> {{rp|63B Sec 5.2.2}} अन्य कमजोरियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।<ref>Stuart Brown {{cite web |url=http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |title=Top ten passwords used in the United Kingdom |access-date=2007-08-14 |url-status=dead |archive-url=https://web.archive.org/web/20061108094949/http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |archive-date=November 8, 2006 }}. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.</ref>
-कई प्रणालियाँ पासवर्ड के [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] को संग्रहीत करती हैं। यदि किसी हमलावर को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैश मान के विरुद्ध उम्मीदवार पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन हमलावर केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन हमलावर (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर हमला चल रहा है।
-पासवर्ड जो क्रिप्टोग्राफ़िक कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, [[डिस्क एन्क्रिप्शन]] या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड हमलों को बहुत ही कुशल बना सकते हैं। ([[पासवर्ड क्रैकिंग]] देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे हमलावर के लिए कम्प्यूटेशनल रूप से ऐसा हमला अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे [[काफ़ी अच्छी गोपनीयता]] और [[वाई-फाई संरक्षित पहुंच]] | वाई-फाई डब्ल्यूपीए, ऐसे हमलों को धीमा करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। [[कुंजी खींचना]] देखें।
+=== दर जिस पर एक आक्षेपक अनुमानित पासवर्ड का प्रयास कर सकता है ===
+दर जिस पर एक आक्षेपक सिस्टम को अनुमानित पासवर्ड प्रस्तुत कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का समय-समापन लगाती हैं, जिसे उपरोध भी कहा जाता है।<ref name="NIST-SP-800-63-3" /> {{rp|63B Sec 5.2.2}} अन्य असुरक्षितियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।<ref>Stuart Brown {{cite web |url=http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |title=Top ten passwords used in the United Kingdom |access-date=2007-08-14 |url-status=dead |archive-url=https://web.archive.org/web/20061108094949/http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |archive-date=November 8, 2006 }}. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.</ref>
+कई प्रणालियाँ पासवर्ड के [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन|प्रच्छन्नालेखी हैश फंक्शन]] को संग्रहीत करती हैं। यदि किसी आक्षेपक को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैशमान के विरुद्ध पदान्वेषी पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन आक्षेपक केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन आक्षेपक (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर आक्षेप चल रहा है।
+पासवर्ड जो प्रच्छन्नालेखी कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, [[डिस्क एन्क्रिप्शन|डिस्क पुनःगुप्‍तलेखन]] या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड आक्षेप को बहुत ही कुशल बना सकते हैं। ([[पासवर्ड क्रैकिंग]] देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे आक्षेपक के लिए अभिकलनीय रूप से ऐसा आक्षेप अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे [[काफ़ी अच्छी गोपनीयता|PGP]] और [[वाई-फाई संरक्षित पहुंच|Wi-Fi WPA]], ऐसे आक्षेप को निष्क्रिय करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। [[कुंजी खींचना|कुंजी विस्तृत]] देखें।
 === पासवर्ड अनुमानों की संख्या की सीमा ===
-जिस दर पर एक हमलावर पासवर्ड पर अनुमान लगा सकता है, उसे सीमित करने का एक विकल्प अनुमानों की कुल संख्या को सीमित करना है जो कि किए जा सकते हैं। पासवर्ड को अक्षम किया जा सकता है, जिसके लिए रीसेट की आवश्यकता होती है, लगातार खराब अनुमानों की एक छोटी संख्या के बाद (5 कहते हैं); और उपयोगकर्ता को खराब अनुमानों की एक बड़ी संचयी संख्या (मान लीजिए 30) के बाद पासवर्ड बदलने की आवश्यकता हो सकती है, ताकि हमलावर को वैध पासवर्ड स्वामी द्वारा किए गए अच्छे अनुमानों के बीच मनमाने ढंग से बड़ी संख्या में गलत अनुमान लगाने से रोका जा सके।<ref>{{cite patent |country=US |number=8046827 |status=patent}}</ref> इसके विपरीत, उपयोगकर्ता जानबूझकर उपयोगकर्ता को अपने डिवाइस से लॉक करके उपयोगकर्ता के खिलाफ सेवा से इनकार हमले को लागू करने के लिए इस शमन के ज्ञान का उपयोग कर सकते हैं; सेवा से इनकार करने से हमलावर के लिए [[सोशल इंजीनियरिंग (सुरक्षा)]] के माध्यम से अपने लाभ के लिए स्थिति में हेरफेर करने के लिए अन्य रास्ते खुल सकते हैं।
+जिस दर पर एक आक्षेपक पासवर्ड पर अनुमान लगा सकता है, उसे सीमित करने का एक विकल्प अनुमानों की कुल संख्या को सीमित करना है जो कि किए जा सकते हैं। पासवर्ड को अक्षम किया जा सकता है, जिसके लिए पुनः स्थापित की आवश्यकता होती है, निरंतर खराब अनुमानों की एक छोटी संख्या के बाद (5 कहते है); और उपयोगकर्ता को खराब अनुमानों की एक बड़ी संचयी संख्या (मान लीजिए 30) के बाद पासवर्ड बदलने की आवश्यकता हो सकती है, ताकि आक्षेपक को वैध पासवर्ड उपयोगकर्ता द्वारा किए गए अच्छे अनुमानों के बीच अव्यवस्थित रूप से बड़ी संख्या में गलत अनुमान लगाने से रोका जा सके।<ref>{{cite patent |country=US |number=8046827 |status=patent}}</ref> इसके विपरीत, उपयोगकर्ता अभिप्रायपूर्वक उपयोगकर्ता को अपने उपकरण से अभिबंधन करके उपयोगकर्ता के विरुद्ध सेवा से अस्वीकार आक्षेप को लागू करने के लिए कर सकते है; सेवा से अस्वीकार करने से आक्षेपक के लिए [[सोशल इंजीनियरिंग (सुरक्षा)]] के माध्यम से अपने लाभ के लिए स्थिति में कुशलतापूर्वक प्रयोग करने के लिए अन्य रास्ते खुल सकते हैं।
 === संग्रहीत पासवर्ड का रूप ===
-कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को [[सादे पाठ]] के रूप में स्टोर करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई हमलावर ऐसे आंतरिक पासवर्ड स्टोर तक पहुँच प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समझौता कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समझौता किया जाएगा।
+कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को [[सादे पाठ|केवल पाठयांश]] के रूप में संग्रहण करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई आक्षेपक ऐसे आंतरिक पासवर्ड संग्रहण तक अभिगम्य प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समाधान कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समाधान किया जाएगा।
-अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक पहुँच एक स्नूपर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक पहुँच प्राप्त करता है, जबकि उपयोगकर्ता पहुँच प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को स्टोर नहीं करते हैं, लेकिन एक तरफ़ा व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन]], या एक उन्नत क्रिप्टोग्राफ़िक हैश फ़ंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को स्टोर करने के लिए अब-सामान्य दृष्टिकोण का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर क्रिप्टोग्राफ़िक हैश फ़ंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस की अनुमति है। हैश मान एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, नमक (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक नमक हमलावरों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच स्केल करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः क्रिप्टोग्राफ़िक हैश फ़ंक्शंस का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के हिस्से के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>
+अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को प्रच्छन्नालेखी रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक अभिगम्य एक गुप्तचर के लिए अभी भी कठिन होगी जो सिस्टम में आंतरिक अभिगम्य प्राप्त करता है, जबकि उपयोगकर्ता अभिगम्य प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एकपक्षीय व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन|मापांक]], या एक विकसित हैश फंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने सरल टेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य पद्धति का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर प्रच्छन्नालेखी हैश फंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस (अभिगम्य) की स्वीकृति है। हैश मान एक प्रच्छन्नालेखी हैश फंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, तर्कशीलता (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक तर्कशीलता आक्षेपकों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच प्रवर्धन करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः प्रच्छन्नालेखी हैश फंक्शन का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के भाग के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>
-संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड सत्यापनकर्ता या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में संग्रहीत किया जाता है, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में।<ref>
+संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में संग्रहीत किया जाता है।<ref>
 [http://pythonhosted.org/passlib/lib/passlib.hash.html "passlib.hash - Password Hashing Schemes"] {{webarchive|url=https://web.archive.org/web/20130721042150/http://pythonhosted.org/passlib/lib/passlib.hash.html |date=2013-07-21 }}.
 </ref>
-पासवर्ड के लिए मुख्य भंडारण विधियाँ सादा पाठ, हैशेड, हैशेड और नमकीन, और प्रतिवर्ती रूप से एन्क्रिप्टेड हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई हमलावर पासवर्ड फ़ाइल तक पहुँच प्राप्त करता है, तो यदि इसे सादे पाठ के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन नमकीन नहीं है तो यह [[इंद्रधनुष तालिका]] अटैक (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि हमलावर को फ़ाइल के साथ डिक्रिप्शन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को नमकीन और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research"/>
-यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक हमलावर पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि हमलावर को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के हर संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" />पासवर्ड क्रैकिंग टूल की सम्मिलित हमलावरों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की अनुमति देती है। विशेष रूप से, हमलावर छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>
+पासवर्ड के लिए मुख्य भंडारण विधियाँ सरल टेक्स्ट, हैशेड, और तर्कशीलता, और प्रतिवर्ती रूप से गुप्तता हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई आक्षेपक पासवर्ड फ़ाइल तक अभिगम्य प्राप्त करता है, तो यदि इसे सरल टेक्स्ट के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन तर्कशीलताीन नहीं है तो यह [[इंद्रधनुष तालिका|रेनबो टेबल]] आक्षेप (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि आक्षेपक को फ़ाइल के साथ विकोडन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को तर्कशीलता और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research" />
-डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट नमक मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फ़ंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले हमलों को विफल करना है।<ref name="cm.bell-labs.com"/>  एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[बीएसडी]] सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और [[लिखी हुई कहानी]] का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref>
-एक खराब डिज़ाइन किया गया हैश फ़ंक्शन हमलों को संभव बना सकता है, भले ही एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से तैनात और असुरक्षित उदाहरण के लिए [[एलएम हैश]] देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref>
+यदि एक प्रच्छन्नालेखी हैश फंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सरल टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को विपरीत करने के लिए अभिकलनीय रूप से संभव नहीं है। हालांकि, एक आक्षेपक पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध उपकरण का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि आक्षेपक को कोई प्रतिद्वंदी मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग उपकरण ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को उपयोगकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" /> पासवर्ड क्रैकिंग उपकरण की सम्मिलित आक्षेपकों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, आक्षेपक छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>
+डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट तर्कशीलता मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फंक्शन को मंद करने के लिए DES एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।<ref name="cm.bell-labs.com" /> एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[BSD सिस्टम]]) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे PBKDF2,, बीक्रिप्ट, और [[लिखी हुई कहानी|एसक्रिप्ट]] का उपयोग करते हैं, जिनमें बड़े तर्कशीलता और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref> एक खराब डिज़ाइन किया गया हैश फंक्शन आक्षेप को संभव बना सकता है, यद्यपि एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से प्रसारित और असुरक्षित उदाहरण के लिए [[एलएम हैश|LM]] हैश देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref>
 === नेटवर्क पर पासवर्ड सत्यापित करने के तरीके ===
@@ Line 80: / Line 82: @@
 ==== पासवर्ड का सरल प्रसारण ====
-प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, स्नूपिंग) के लिए कमजोर होते हैं। यदि पासवर्ड को उपयोगकर्ता पहुंच बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह [[टेलीफोन टैपिंग]] विधियों द्वारा स्नूपिंग के अधीन है। यदि इसे इंटरनेट पर पैकेट वाले डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले [[नेटवर्क पैकेट]] को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ स्नूप कर सकता है।
+प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, गुप्तचर) के लिए असुरक्षित होते हैं। यदि पासवर्ड को उपयोगकर्ता अभिगम्य बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह [[टेलीफोन टैपिंग|वायरटैपिंग]] विधियों द्वारा गुप्तचर के अधीन है। यदि इसे इंटरनेट पर पैकेट डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले [[नेटवर्क पैकेट|पैकेट]] को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ गुप्तचर के रूप से काम कर सकता है।
-ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह  सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सादे पाठ के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी छिपकर सुनने वाले द्वारा परिवहन के दौरान बिना किसी प्रयास के पढ़ा जा सकता है। इसके अलावा, संदेश को कम से कम दो कंप्यूटरों पर सादे पाठ के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी यात्रा के दौरान इंटरमीडिएट सिस्टम से गुजरता है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर [[बैकअप]], [[कैश (कंप्यूटिंग)]] या इतिहास फाइलों में कॉपी किया जा सकता है।
+ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सरल टेक्स्ट के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी प्रच्छन्नश्रावी द्वारा अभिगमन के समय बिना किसी प्रयास के पढ़ा जा सकता है। इसके अतिरिक्त, संदेश को कम से कम दो कंप्यूटरों पर सरल टेक्स्ट के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी संचारण के समय मध्यवर्ती सिस्टम से निकलता है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर [[बैकअप]], [[कैश (कंप्यूटिंग)]] या विवरण फाइलों में कॉपी किया जा सकता है।
-क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल हैंडलिंग सिस्टम सर्वर से क्लाइंट मशीन तक ट्रांसमिशन की रक्षा करेगा। ईमेल के पिछले या बाद के रिले को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर संग्रहीत किया जाएगा, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट पाठ में।
+क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल सेवा सिस्टम सर्वर से क्लाइंट मशीन तक प्रसारण की सुरक्षा करेगा। ईमेल के पहले या बाद के प्रसारण को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट टेक्स्ट में संग्रहीत किया जाएगा।
 ==== एन्क्रिप्टेड चैनलों के माध्यम से प्रसारण ====
-[[क्रिप्टोग्राफी]] सुरक्षा का उपयोग करके, अन्य दृष्टिकोणों के साथ, इंटरनेट पर भेजे गए पासवर्डों के अवरोधन के जोखिम को कम किया जा सकता है। सबसे व्यापक रूप से उपयोग किया जाने वाला [[परिवहन परत सुरक्षा]] (TLS, जिसे पहले [[सुरक्षित सॉकेट लेयर]] कहा जाता था) फीचर सबसे मौजूदा इंटरनेट [[वेब ब्राउज़र]] में बनाया गया है। जब टीएलएस उपयोग में होता है, तो अधिकांश ब्राउज़र एक बंद लॉक आइकन, या कुछ अन्य संकेत प्रदर्शित करके सर्वर के साथ टीएलएस/एसएसएल-संरक्षित एक्सचेंज के उपयोगकर्ता को सचेत करते हैं। उपयोग में कई अन्य तकनीकें हैं; क्रिप्टोग्राफी देखें।
+गुप्‍तलेख ([[क्रिप्टोग्राफी|क्रिप्टोग्राफी)]] सुरक्षा का उपयोग करके, अन्य पद्धति के साथ, इंटरनेट पर भेजे गए पासवर्डों के अवरोधन के जोखिम को कम किया जा सकता है। सबसे व्यापक रूप से उपयोग किया जाने वाला [[परिवहन परत सुरक्षा|अभिगमन स्तर सुरक्षा]] (TLS, जिसे पहले [[सुरक्षित सॉकेट लेयर|SSL]] कहा जाता था) फीचर सबसे वर्तमान इंटरनेट [[वेब ब्राउज़र]] में बनाया गया है। जब TLS उपयोग में होता है, तो अधिकांश ब्राउज़र एक बंद लॉक आइकन, या कुछ अन्य संकेत प्रदर्शित करके सर्वर के साथ TLS/SSL-संरक्षित दूरभाष-केंद्र के उपयोगकर्ता को सतर्क करते हैं। उपयोग में कई अन्य तकनीकें हैं; क्रिप्टोग्राफी देखें।
-==== हैश-आधारित चुनौती-प्रतिक्रिया के तरीके ====
+==== हैश-आधारित निर्देशार्थ-प्रतिक्रिया के तरीके ====
-दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित चुनौती-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य]] (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा रहस्य प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा रहस्य  सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले हमलों के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब हैश का उपयोग एक साझा रहस्य के रूप में किया जाता है, तो हमलावर को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है।
+दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; और बाद मे सर्वर को प्रमाणित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा गुप्तता]] (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गुप्तता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गुप्तता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उद्भासन करने की मह्त्वपूर्ण परिसीमा होती है। इसके अतिरिक्त, जब हैश का उपयोग एक साझा गुप्तता के रूप में किया जाता है, तो आक्षेपक को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की आवश्यकता है।
-==== जीरो [[शून्य-ज्ञान पासवर्ड प्रमाण]] ====
+==== [[शून्य-ज्ञान पासवर्ड प्रमाण]] ====
-पासवर्ड ट्रांसमिट करने, या पासवर्ड के हैश को ट्रांसमिट करने के अतिरिक्त, पासवर्ड-प्रमाणित कुंजी अनुबंध सिस्टम एक शून्य-ज्ञान पासवर्ड प्रूफ का प्रदर्शन कर सकते हैं, जो पासवर्ड को उजागर किए बिना उसका ज्ञान साबित करता है।
+पासवर्ड संचरण करने, या पासवर्ड के हैश को संचरण करने के अतिरिक्त, पासवर्ड-प्रमाणित कुंजी अनुबंध सिस्टम एक शून्य-ज्ञान पासवर्ड प्रमाण का प्रदर्शन कर सकते हैं, जो पासवर्ड को प्रकट किए बिना ज्ञान प्रमाणित करता है।
-एक कदम आगे बढ़ते हुए, पासवर्ड-प्रमाणित कुंजी समझौते के लिए संवर्धित सिस्टम (जैसे, [[यादगार पासवर्ड के माध्यम से प्रमाणीकरण और कुंजी समझौता]], [[SPEKE]]|B-SPEKE, [[PAK-Z]], [[सुरक्षित रिमोट पासवर्ड प्रोटोकॉल]]|SRP-6) के विरोध और सीमा दोनों से बचते हैं हैश-आधारित तरीके। एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान साबित करने की अनुमति देती है, जहां सर्वर केवल एक (बिल्कुल नहीं) हैश पासवर्ड जानता है, और जहां पहुंच प्राप्त करने के लिए अन-हैश पासवर्ड की आवश्यकता होती है।
+एक स्टेप आगे बढ़ते हुए, पासवर्ड-प्रमाणीकृत कुंजी अनुबंध के लिए संवर्धित सिस्टम (जैसे, [[AMP, B-SPEKE, PAK-Z, SRP-6]]) हैश-आधारित तरीके के विरोध और सीमा दोनों से बचते हैं । एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान प्रमाणित करने की स्वीकृति देती है, जहां सर्वर केवल एक (सही नहीं) हैश पासवर्ड जानता है, और जहां अभिगम्य प्राप्त करने के लिए अनहैश पासवर्ड की आवश्यकता होती है।
 ===पासवर्ड बदलने की प्रक्रियाएं===
-सामान्यतः, एक सिस्टम को पासवर्ड बदलने का एक तरीका प्रदान करना चाहिए, या तो उपयोगकर्ता का मानना है कि वर्तमान पासवर्ड से समझौता किया गया है (या हो सकता है), या एहतियाती उपाय के रूप में। यदि एक नया पासवर्ड सिस्टम को अनएन्क्रिप्टेड रूप में पास किया जाता है, तो पासवर्ड [[डेटाबेस]] में नया पासवर्ड स्थापित करने से पहले ही सुरक्षा खो सकती है (उदाहरण के लिए, टेलीफोन टैपिंग के माध्यम से) और यदि नया पासवर्ड एक समझौता किए गए कर्मचारी को दिया जाता है, तो बहुत कम है प्राप्त किया। स्पष्ट रूप से बढ़ी हुई भेद्यता के साथ कुछ वेबसाइटों में एक [[सादे पाठ]] पुष्टिकरण ई-मेल संदेश में उपयोगकर्ता द्वारा चयनित पासवर्ड सम्मिलित होता है।
+सामान्यतः, एक सिस्टम को पासवर्ड बदलने का एक तरीका प्रदान करना चाहिए, या तो उपयोगकर्ता का मानना है कि वर्तमान पासवर्ड से, या पूर्वोपाय के रूप में समाधान किया गया है (या हो सकता है)। यदि एक नया पासवर्ड सिस्टम को एन्क्रिप्ट नहीं किए गए रूप में स्वीकृत किया जाता है, तो पासवर्ड [[डेटाबेस]] में नया पासवर्ड स्थापित करने से पहले ही सुरक्षा नष्ट हो सकती है (उदाहरण के लिए, टेलीफोन टैपिंग के माध्यम से) और यदि नया पासवर्ड संक्रमित नियुक्त किया जाता है, तो बहुत कम लाभ होता है। स्पष्ट रूप से बढ़ी हुई प्रवणता के साथ कुछ वेबसाइटों में एक [[सादे पाठ|सरल टेक्स्ट]] पुष्टिकरण ई-मेल संदेश में उपयोगकर्ता द्वारा चयनित पासवर्ड सम्मिलित होता है।
-खोए हुए पासवर्ड के लिए प्रतिस्थापन जारी करने को स्वचालित करने के लिए [[पहचान प्रबंधन]] प्रणालियों का तेजी से उपयोग किया जा रहा है, एक सुविधा जिसे स्वयं-सेवा पासवर्ड रीसेट कहा जाता है। उपयोगकर्ता की पहचान प्रश्न पूछकर और पहले से संग्रहीत उत्तरों की तुलना करके सत्यापित की जाती है (अर्थात, जब खाता खोला गया था)।
+नष्ट हुए पासवर्ड के लिए प्रतिस्थापन प्रस्तुत करने को स्वचालित करने के लिए [[पहचान प्रबंधन]] प्रणालियों का तेजी से उपयोग किया जा रहा है, एक सुविधा जिसे स्वयं-सेवा पासवर्ड पुनः स्थापित कहा जाता है। उपयोगकर्ता की पहचान प्रश्न पूछकर और पहले से संग्रहीत जबाबों की तुलना करके सत्यापित की जाती है (अर्थात, जब खाता खोला गया था)।
-कुछ पासवर्ड रीसेट प्रश्न व्यक्तिगत जानकारी मांगते हैं जो सोशल मीडिया पर मिल सकती है, जैसे कि माता का विवाह पूर्व नाम। परिणामस्वरूप, कुछ सुरक्षा विशेषज्ञ सलाह देते हैं कि या तो स्वयं प्रश्न बनाएं या गलत उत्तर दें।<ref>{{cite web |url=http://www.techlicious.com/tip/why-you-should-lie-when-setting-up-password-security-questions/ |title=पासवर्ड सुरक्षा प्रश्न सेट करते समय आपको झूठ क्यों बोलना चाहिए|publisher=Techlicious |date=2013-03-08 |access-date=2013-10-16 |url-status=live |archive-url=https://web.archive.org/web/20131023045034/http://www.techlicious.com/tip/why-you-should-lie-when-setting-up-password-security-questions/ |archive-date=2013-10-23 }}</ref>
+कुछ पासवर्ड पुनः स्थापित प्रश्न व्यक्तिगत जानकारी मांगते हैं जो सोशल मीडिया पर मिल सकती है, जैसे कि माता का विवाह पूर्व नाम। परिणामस्वरूप, कुछ सुरक्षा विशेषज्ञ सलाह देते हैं कि या तो स्वयं प्रश्न बनाएं या गलत उत्तर दें।<ref>{{cite web |url=http://www.techlicious.com/tip/why-you-should-lie-when-setting-up-password-security-questions/ |title=पासवर्ड सुरक्षा प्रश्न सेट करते समय आपको झूठ क्यों बोलना चाहिए|publisher=Techlicious |date=2013-03-08 |access-date=2013-10-16 |url-status=live |archive-url=https://web.archive.org/web/20131023045034/http://www.techlicious.com/tip/why-you-should-lie-when-setting-up-password-security-questions/ |archive-date=2013-10-23 }}</ref>
-=== पासवर्ड दीर्घायु ===
+=== पासवर्ड दीर्घता ===
- पासवर्ड एजिंग कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए मजबूर करती है (जैसे, त्रैमासिक, मासिक या इससे भी अधिक बार)। इस तरह की नीतियां  सामान्यतः उपयोगकर्ता के विरोध और सबसे अच्छे रूप में पैर खींचने और सबसे खराब शत्रुता को भड़काती हैं। प्रायः उन लोगों की संख्या में वृद्धि होती है जो पासवर्ड को नोट कर लेते हैं और उसे आसानी से मिलने वाली जगह पर छोड़ देते हैं, साथ ही भूले हुए पासवर्ड को रीसेट करने के लिए हेल्प डेस्क पर कॉल करते हैं। उपयोगकर्ता अपने पासवर्ड को यादगार बनाए रखने के लिए सरल पासवर्ड का उपयोग कर सकते हैं या एक संगत थीम पर विविधता पैटर्न विकसित कर सकते हैं।<ref name="Joseph-Steinberg-Forbes" />इन मुद्दों के कारण, इस बारे में कुछ बहस चल रही है कि पासवर्ड एजिंग प्रभावी है या नहीं।<ref name=WEB>
+पासवर्ड दीर्घता कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को बार-बार पासवर्ड परिवर्तित करने के लिए मजबूर करती है (जैसे, त्रैमासिक, मासिक या इससे भी अधिक बार)। इस तरह की युक्तियां सामान्यतः उपयोगकर्ता के विरोध और सबसे अच्छे रूप में आधार खींचने और सबसे खराब विरोध को उत्तेजित करती हैं। प्रायः उन लोगों की संख्या में वृद्धि होती है जो पासवर्ड को नोट कर लेते हैं और उसे आसानी से मिलने वाली जगह पर छोड़ देते हैं, साथ ही अस्मरणीय पासवर्ड को पुनः स्थापित करने के लिए हेल्प डेस्क पर कॉल करते हैं। उपयोगकर्ता अपने पासवर्ड को स्मरणीय बनाए रखने के लिए सरल पासवर्ड का उपयोग कर सकते हैं या एक संगत प्रकरण पर विविधता पैटर्न विकसित कर सकते हैं।<ref name="Joseph-Steinberg-Forbes" /> इन विषय के कारण, इस बारे में कुछ विचार-विमर्श हो रही है कि पासवर्ड दीर्घता प्रभावी है या नहीं।<ref name="WEB">
 {{cite web
   |url         = https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry
@@ Line 123: / Line 125: @@
   |archive-date = 17 August 2016
 }}
-</ref> पासवर्ड बदलने से ज्यादातर मामलों में दुरुपयोग नहीं रुकेगा, क्योंकि दुरुपयोग प्रायः तुरंत ध्यान देने योग्य होगा। हालांकि, अगर किसी के पास किसी माध्यम से पासवर्ड तक पहुंच हो सकती है, जैसे कंप्यूटर साझा करना या किसी अलग साइट का उल्लंघन करना, पासवर्ड बदलने से दुरुपयोग के लिए विंडो सीमित हो जाती है।<ref>[http://www.schneier.com/blog/archives/2010/11/changing_passwo.html Schneier on Security discussion on changing passwords] {{webarchive|url=https://web.archive.org/web/20101230115557/http://www.schneier.com/blog/archives/2010/11/changing_passwo.html |date=2010-12-30 }}. Schneier.com. Retrieved on 2012-05-20.</ref>
+</ref> पासवर्ड बदलने से अधिकतम स्थितियों में दुरुपयोग नहीं रुकेगा, क्योंकि दुरुपयोग प्रायः तुरंत ध्यान देने योग्य होगा। हालांकि, अगर किसी के पास किसी माध्यम से पासवर्ड तक पहुंच हो सकती है, जैसे कंप्यूटर साझा करना या किसी अलग साइट का उल्लंघन करना, पासवर्ड बदलने से दुरुपयोग के लिए विंडो सीमित हो जाती है।<ref>[http://www.schneier.com/blog/archives/2010/11/changing_passwo.html Schneier on Security discussion on changing passwords] {{webarchive|url=https://web.archive.org/web/20101230115557/http://www.schneier.com/blog/archives/2010/11/changing_passwo.html |date=2010-12-30 }}. Schneier.com. Retrieved on 2012-05-20.</ref>
 === प्रति पासवर्ड उपयोगकर्ताओं की संख्या ===
-सिस्टम के प्रत्येक उपयोगकर्ता को अलग-अलग पासवर्ड आवंटित करना सिस्टम के वैध उपयोगकर्ताओं द्वारा साझा किए गए एकल पासवर्ड के लिए बेहतर है, निश्चित रूप से सुरक्षा के दृष्टिकोण से। यह आंशिक रूप से इसलिए है क्योंकि उपयोगकर्ता विशेष रूप से उनके उपयोग के लिए किसी अन्य व्यक्ति (जो अधिकृत नहीं हो सकते हैं) को एक साझा पासवर्ड बताने के लिए अधिक इच्छुक हैं। एकल पासवर्ड बदलने के लिए भी बहुत कम सुविधाजनक होते हैं क्योंकि एक ही समय में कई लोगों को बताने की आवश्यकता होती है, और वे किसी विशेष उपयोगकर्ता की पहुंच को और अधिक कठिन बना देते हैं, उदाहरण के लिए स्नातक या इस्तीफे पर। उत्तरदायित्व के लिए अलग लॉगिन का भी प्रायः उपयोग किया जाता है, उदाहरण के लिए यह जानने के लिए कि डेटा का एक टुकड़ा किसने बदला।
+सिस्टम के प्रत्येक उपयोगकर्ता को अलग-अलग पासवर्ड निर्धारित करना सिस्टम के वैध उपयोगकर्ताओं द्वारा साझा किए गए भिन्न पासवर्ड के लिए, निश्चित रूप से सुरक्षा के पद्धति से अधिमान्य है। यह आंशिक रूप से इसलिए है क्योंकि उपयोगकर्ता विशेष रूप से उनके उपयोग के लिए किसी अन्य व्यक्ति (जो अधिकृत नहीं हो सकते हैं) को एक साझा पासवर्ड बताने के लिए अधिक तत्पर हैं। एक पासवर्ड बदलने के लिए भी बहुत कम उपयुक्त होते हैं क्योंकि एक ही समय में कई लोगों को बताने की आवश्यकता होती है, और वे किसी विशेष उपयोगकर्ता की अभिगम्य को और अधिक कठिन बना देते हैं, उदाहरण के लिए स्नातक या इस्तीफे पर। अभिनिर्धारण के लिए अलग लॉगिन का भी प्रायः उपयोग किया जाता है, उदाहरण के लिए यह जानने के लिए कि डेटा का एक भाग किसने परिवर्तित किया।
 === पासवर्ड सुरक्षा संरचना ===
 पासवर्ड द्वारा संरक्षित कंप्यूटर सिस्टम की सुरक्षा में सुधार के लिए उपयोग की जाने वाली सामान्य तकनीकों में सम्मिलित हैं:
-* डिस्प्ले स्क्रीन पर पासवर्ड प्रदर्शित नहीं करना क्योंकि यह दर्ज किया जा रहा है या इसे अस्पष्ट कर रहा है क्योंकि यह तारक (*) या गोलियों (•) का उपयोग करके टाइप किया गया है।
+* डिस्प्ले स्क्रीन पर पासवर्ड प्रदर्शित नहीं करना क्योंकि यह प्रविष्ट किया जा रहा है या इसे अस्पष्ट कर रहा है क्योंकि यह तारे का चिन्ह (*) या बड़े निशान (•) का उपयोग करके टाइप किया गया है।
-* पर्याप्त लंबाई के पासवर्ड की अनुमति देना। (प्रारंभिक संस्करणों सहित कुछ [[विरासती तंत्र]] ऑपरेटिंग सिस्टम{{Which|date=September 2010}} यूनिक्स और विंडोज के, अधिकतम 8 वर्णों तक सीमित पासवर्ड,<ref>Seltzer, Larry. (2010-02-09) [https://www.pcmag.com/article2/0,2817,2358985,00.asp "American Express: Strong Credit, Weak Passwords"] {{webarchive|url=https://web.archive.org/web/20170712160714/https://www.pcmag.com/article2/0,2817,2358985,00.asp |date=2017-07-12 }}. Pcmag.com. Retrieved on 2012-05-20.</ref><ref name="password_myths">[http://www.symantec.com/connect/articles/ten-windows-password-myths दस विंडोज पासवर्ड मिथक] {{webarchive|url=https://web.archive.org/web/20160128204127/http://www.symantec.com/connect/articles/ten-windows-password-myths |date=2016-01-28 }}: एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड
+* पर्याप्त लंबाई के पासवर्ड की स्वीकृति देना। (यूनिक्स और विंडोज के प्रारंभिक संस्करणों सहित कुछ लीगेसी ऑपरेटिंग सिस्टम{{Which|date=September 2010}}, अधिकतम 8 वर्णों तक सीमित पासवर्ड,<ref>Seltzer, Larry. (2010-02-09) [https://www.pcmag.com/article2/0,2817,2358985,00.asp "American Express: Strong Credit, Weak Passwords"] {{webarchive|url=https://web.archive.org/web/20170712160714/https://www.pcmag.com/article2/0,2817,2358985,00.asp |date=2017-07-12 }}. Pcmag.com. Retrieved on 2012-05-20.</ref><ref name="password_myths">[http://www.symantec.com/connect/articles/ten-windows-password-myths दस विंडोज पासवर्ड मिथक] {{webarchive|url=https://web.archive.org/web/20160128204127/http://www.symantec.com/connect/articles/ten-windows-password-myths |date=2016-01-28 }}: एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड
-</रेफरी><ref>[http://jira.codehaus.org/browse/REDBACK-87 "You must provide a password between 1 and 8 characters in length"]. Jira.codehaus.org. Retrieved on 2012-05-20. {{webarchive |url=https://web.archive.org/web/20150521153629/http://jira.codehaus.org/browse/REDBACK-87 |date=May 21, 2015 }}</ref> सुरक्षा कम करना।)
+</रेफरी><nowiki><ref></nowiki>[http://jira.codehaus.org/browse/REDBACK-87 "You must provide a password between 1 and 8 characters in length"]. Jira.codehaus.org. Retrieved on 2012-05-20. {{webarchive |url=https://web.archive.org/web/20150521153629/http://jira.codehaus.org/browse/REDBACK-87 |date=May 21, 2015 }}</ref> सुरक्षा कम करना।)
-* उपयोगकर्ताओं को निष्क्रियता की अवधि (एक अर्ध लॉग-ऑफ नीति) के बाद अपना पासवर्ड फिर से दर्ज करने की आवश्यकता होती है।
+* उपयोगकर्ताओं को निष्क्रियता की अवधि (एक अर्ध लॉग-ऑफ युक्ति ) के बाद अपना पासवर्ड पुनः प्रविष्ट करने की आवश्यकता होती है।
-* पासवर्ड शक्ति और सुरक्षा बढ़ाने के लिए [[पासवर्ड नीति]] लागू करना।
+* पासवर्ड शक्ति और सुरक्षा बढ़ाने के लिए [[पासवर्ड नीति|पासवर्ड युक्ति]] लागू करना।
-** यादृच्छिक रूप से चुने गए पासवर्ड असाइन करना।
+** यादृच्छिक रूप से चुने गए पासवर्ड निरूपण करना।
-** न्यूनतम [[पासवर्ड लंबाई पैरामीटर]] की आवश्यकता है।<ref name="bugcharmer.blogspot.com"/>** कुछ प्रणालियों को पासवर्ड में विभिन्न वर्ण वर्गों के वर्णों की आवश्यकता होती है—उदाहरण के लिए, कम से कम एक अपरकेस और कम से कम एक लोअरकेस अक्षर होना चाहिए। हालांकि, मिश्रित कैपिटलाइज़ेशन पासवर्ड की तुलना में सभी-लोअरकेस पासवर्ड प्रति कीस्ट्रोक अधिक सुरक्षित हैं।<ref>[http://world.std.com/~reinhold/dicewarefaq.html#capitalize "To Capitalize or Not to Capitalize?"] {{webarchive|url=https://web.archive.org/web/20090217200722/http://world.std.com/~reinhold/dicewarefaq.html |date=2009-02-17 }}. World.std.com. Retrieved on 2012-05-20.</ref>
+** न्यूनतम [[पासवर्ड लंबाई पैरामीटर|पासवर्ड लंबाई]] की आवश्यकता है।<ref name="bugcharmer.blogspot.com" />
-** कमजोर, आसानी से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए एक ब्लैकलिस्ट (कंप्यूटिंग) # उपयोगकर्ता नाम और पासवर्ड नियोजित करें
+**कुछ प्रणालियों को पासवर्ड में विभिन्न वर्ण वर्गों के वर्णों की आवश्यकता होती है—उदाहरण के लिए, कम से कम एक अपरकेस और कम से कम एक लोअरकेस अक्षर होना चाहिए। हालांकि, मिश्रित कैपिटलाइज़ेशन पासवर्ड की तुलना में सभी-लोअरकेस पासवर्ड प्रति कीस्ट्रोक अधिक सुरक्षित हैं।<ref>[http://world.std.com/~reinhold/dicewarefaq.html#capitalize "To Capitalize or Not to Capitalize?"] {{webarchive|url=https://web.archive.org/web/20090217200722/http://world.std.com/~reinhold/dicewarefaq.html |date=2009-02-17 }}. World.std.com. Retrieved on 2012-05-20.</ref>
+** असुरक्षित, आसानी से अनुमानित पासवर्ड के उपयोग को अवरुद्ध करने के लिए एक ब्लैकलिस्ट (कंप्यूटिंग) उपयोगकर्ता नाम और पासवर्ड नियोजित करें
 ** कीबोर्ड प्रविष्टि का विकल्प प्रदान करना (उदाहरण के लिए, बोले गए पासवर्ड या [[बॉयोमीट्रिक्स]] पहचानकर्ता)।
 ** एक से अधिक प्रमाणीकरण प्रणाली की आवश्यकता होती है, जैसे दो-कारक प्रमाणीकरण (उपयोगकर्ता के पास कुछ है और उपयोगकर्ता कुछ जानता है)।
-* नेटवर्क हमलों के माध्यम से प्रेषित पासवर्ड तक पहुंच को रोकने के लिए एन्क्रिप्टेड टनल या पासवर्ड-प्रमाणित कुंजी समझौते का उपयोग करना
+* नेटवर्क आक्षेप के माध्यम से प्रेषित पासवर्ड तक अभिगम्य को रोकने के लिए एन्क्रिप्टेड टनल या पासवर्ड-प्रमाणित कुंजी अनुबंध का उपयोग करना
-* एक निश्चित समय अवधि के भीतर अनुमत विफलताओं की संख्या को सीमित करना (बार-बार पासवर्ड अनुमान लगाने से रोकने के लिए)। सीमा समाप्त होने के बाद, अगली समय अवधि के प्रारंभ होने तक आगे के प्रयास विफल हो जाएंगे (सही पासवर्ड प्रयासों सहित)। हालांकि, यह एक प्रकार के डिनायल-ऑफ़-सर्विस हमले के लिए असुरक्षित है।
+* एक निश्चित समय अवधि के अंदर अनुमत विफलताओं की संख्या को सीमित करना (बार-बार पासवर्ड अनुमान लगाने से रोकने के लिए)। सीमा समाप्त होने के बाद, अगली समय अवधि के प्रारंभ होने तक आगे के प्रयास विफल हो जाएंगे (सही पासवर्ड प्रयासों सहित)। हालांकि, यह एक प्रकार के सेवा से निषेध आक्षेप के लिए असुरक्षित है।
-* स्वचालित पासवर्ड अनुमान लगाने वाले कार्यक्रमों को धीमा करने के लिए पासवर्ड जमा करने के प्रयासों के बीच देरी का परिचय देना।
+* स्वचालित पासवर्ड अनुमान लगाने वाले कार्यक्रमों को मंद करने के लिए पासवर्ड निवेदन करने के प्रयासों के बीच विलंब का परिचय देना।
+कुछ अधिक दृढ़ युक्ति प्रवर्तन उपाय उपयोगकर्ताओं को हटाने का जोखिम उत्पन्न कर सकते हैं, परिणामस्वरूप संभवतः सुरक्षा कम हो सकती है।
-कुछ अधिक कड़े नीति प्रवर्तन उपाय उपयोगकर्ताओं को अलग-थलग करने का जोखिम पैदा कर सकते हैं, परिणामस्वरूप संभवतः सुरक्षा कम हो सकती है।
 === पासवर्ड पुन: उपयोग ===
-कंप्यूटर उपयोगकर्ताओं के बीच एक ही पासवर्ड को कई साइटों पर पुन: उपयोग करना  सामान्य बात है। यह एक पर्याप्त सुरक्षा जोखिम प्रस्तुत करता है, क्योंकि एक हैकर (कंप्यूटर सुरक्षा) को पीड़ित द्वारा उपयोग की जाने वाली अन्य साइटों तक पहुंच प्राप्त करने के लिए केवल एक साइट से समझौता करने की आवश्यकता होती है। उपयोगकर्ता (कंप्यूटिंग) का पुन: उपयोग करने और ईमेल लॉगिन की आवश्यकता वाली वेबसाइटों द्वारा भी यह समस्या बढ़ जाती है, क्योंकि यह एक हमलावर के लिए एक ही उपयोगकर्ता को कई साइटों पर ट्रैक करना आसान बनाता है। स्मरणीय, #पासवर्ड को कागज़ पर लिखकर या पासवर्ड प्रबंधक का उपयोग करके पासवर्ड के पुन: उपयोग से बचा जा सकता है या कम किया जा सकता है।<ref name="Keir-PCWorld-2011">{{cite web | url=http://www.pcworld.com/article/219303/password_use_very_common_research_shows.html | title=पासवर्ड का पुन: उपयोग बहुत आम है, अनुसंधान दिखाता है| work=[[PC World]] | date=February 10, 2011 | access-date=August 10, 2014 | author=Thomas, Keir | url-status=live | archive-url=https://web.archive.org/web/20140812204649/http://www.pcworld.com/article/219303/password_use_very_common_research_shows.html | archive-date=August 12, 2014 }}</ref>
+कंप्यूटर उपयोगकर्ताओं के बीच एक ही पासवर्ड को कई साइटों पर पुन: उपयोग करना सामान्य बात है। यह एक पर्याप्त सुरक्षा जोखिम प्रस्तुत करता है, क्योंकि एक हैकर (कंप्यूटर सुरक्षा) को पीड़ित द्वारा उपयोग की जाने वाली अन्य साइटों तक अभिगम्य प्राप्त करने के लिए केवल एक साइट से समाधान करने की आवश्यकता होती है। उपयोगकर्ता (कंप्यूटिंग) का पुन: उपयोग करने और ईमेल लॉगिन की आवश्यकता वाली वेबसाइटों द्वारा भी यह समस्या बढ़ जाती है, क्योंकि यह एक आक्षेपक के लिए एक ही उपयोगकर्ता को कई साइटों पर खोज निकालना आसान बनाता है। स्मरणीय,[[पा]][[सवर्ड को पेपर पर लिखकर]] या पासवर्ड प्रबंधक का उपयोग करके पासवर्ड के पुन: उपयोग से बचा जा सकता है या कम किया जा सकता है।<ref name="Keir-PCWorld-2011">{{cite web | url=http://www.pcworld.com/article/219303/password_use_very_common_research_shows.html | title=पासवर्ड का पुन: उपयोग बहुत आम है, अनुसंधान दिखाता है| work=[[PC World]] | date=February 10, 2011 | access-date=August 10, 2014 | author=Thomas, Keir | url-status=live | archive-url=https://web.archive.org/web/20140812204649/http://www.pcworld.com/article/219303/password_use_very_common_research_shows.html | archive-date=August 12, 2014 }}</ref>
-रेडमंड के शोधकर्ताओं [[दिनी फ्लोरेंशियो]] और कॉर्मैक हर्ली ने कार्लेटन विश्वविद्यालय, कनाडा के पॉल सी. वैन ओरशोट के साथ मिलकर यह तर्क दिया है कि पासवर्ड का पुन: उपयोग अपरिहार्य है, और यह कि उपयोगकर्ताओं को कम सुरक्षा वाली वेबसाइटों के लिए पासवर्ड का पुन: उपयोग करना चाहिए (जिसमें बहुत कम व्यक्तिगत डेटा होता है और कोई वित्तीय जानकारी नहीं, उदाहरण के लिए) और इसके अतिरिक्त बैंक खातों जैसे कुछ महत्वपूर्ण खातों के लिए लंबे, जटिल पासवर्ड याद रखने के अपने प्रयासों पर ध्यान केंद्रित करें।<ref name="Darren-Microsoft-Register">{{cite web | url=https://www.theregister.co.uk/2014/07/16/redmond_says_password_reuse_is_more_than_okay_its_necessary/ | title=माइक्रोसॉफ्ट: आपको खराब पासवर्ड की जरूरत है और आपको उन्हें दोबारा इस्तेमाल करना चाहिए| work=[[The Register]] | date=16 July 2014 | access-date=10 August 2014 | author=Pauli, Darren | url-status=live | archive-url=https://web.archive.org/web/20140812210549/http://www.theregister.co.uk/2014/07/16/redmond_says_password_reuse_is_more_than_okay_its_necessary/ | archive-date=12 August 2014 }}</ref> इसी तरह के तर्क [[फोर्ब्स]] द्वारा पासवर्ड नहीं बदलने के लिए दिए गए थे, जितनी बार कई विशेषज्ञ सलाह देते हैं, मानव स्मृति में समान सीमाओं के कारण।<ref name="Joseph-Steinberg-Forbes">{{cite news | url=https://www.forbes.com/sites/josephsteinberg/2014/11/12/why-you-should-ignore-everything-you-have-been-told-about-choosing-passwords/ | title=फोर्ब्स: आपको पासवर्ड चुनने के बारे में जो कुछ भी बताया गया है, उसे क्यों नज़रअंदाज़ करना चाहिए| work=[[Forbes]] | date=12 November 2014 | access-date=12 November 2014 | author=Joseph Steinberg | url-status=live | archive-url=https://web.archive.org/web/20141112170839/http://www.forbes.com/sites/josephsteinberg/2014/11/12/why-you-should-ignore-everything-you-have-been-told-about-choosing-passwords/ | archive-date=12 November 2014 }}</ref>
+रेडमंड के शोधकर्ताओं [[दिनी फ्लोरेंशियो|डिनेई फ्लोरेंशियो]] और कॉर्मैक हर्ली ने कार्लेटन विश्वविद्यालय, कनाडा के पॉल सी. वैन ओरशोट के साथ मिलकर यह तर्क दिया है कि पासवर्ड का पुन: उपयोग अपरिहार्य है, और यह कि उपयोगकर्ताओं को कम सुरक्षा वाली वेबसाइटों के लिए पासवर्ड का पुन: उपयोग करना चाहिए (उदाहरण के लिए, जिसमें बहुत कम व्यक्तिगत डेटा होता है और कोई वित्तीय जानकारी नहीं, ) और इसके अतिरिक्त बैंक खातों जैसे कुछ महत्वपूर्ण खातों के लिए लंबे, जटिल पासवर्ड याद रखने के अपने प्रयासों पर ध्यान केंद्रित करें।<ref name="Darren-Microsoft-Register">{{cite web | url=https://www.theregister.co.uk/2014/07/16/redmond_says_password_reuse_is_more_than_okay_its_necessary/ | title=माइक्रोसॉफ्ट: आपको खराब पासवर्ड की जरूरत है और आपको उन्हें दोबारा इस्तेमाल करना चाहिए| work=[[The Register]] | date=16 July 2014 | access-date=10 August 2014 | author=Pauli, Darren | url-status=live | archive-url=https://web.archive.org/web/20140812210549/http://www.theregister.co.uk/2014/07/16/redmond_says_password_reuse_is_more_than_okay_its_necessary/ | archive-date=12 August 2014 }}</ref> मानव स्मृति में समान सीमाओं के कारण [[फोर्ब्स]] द्वारा पासवर्ड न बदलने के समान तर्क दिए गए थे, जितनी बार "विशेषज्ञ" सलाह देते हैं।।<ref name="Joseph-Steinberg-Forbes">{{cite news | url=https://www.forbes.com/sites/josephsteinberg/2014/11/12/why-you-should-ignore-everything-you-have-been-told-about-choosing-passwords/ | title=फोर्ब्स: आपको पासवर्ड चुनने के बारे में जो कुछ भी बताया गया है, उसे क्यों नज़रअंदाज़ करना चाहिए| work=[[Forbes]] | date=12 November 2014 | access-date=12 November 2014 | author=Joseph Steinberg | url-status=live | archive-url=https://web.archive.org/web/20141112170839/http://www.forbes.com/sites/josephsteinberg/2014/11/12/why-you-should-ignore-everything-you-have-been-told-about-choosing-passwords/ | archive-date=12 November 2014 }}</ref>
+=== पेपर पर पासवर्ड लिखना ===
-=== कागज पर पासवर्ड लिखना ===
+ऐतिहासिक रूप से, कई सुरक्षा विशेषज्ञों ने लोगों से अपने पासवर्ड याद रखने के लिए कहा: कभी भी पासवर्ड न लिखें। अभी हाल ही में, कई सुरक्षा विशेषज्ञ जैसे कि [[ब्रूस श्नेयर]] लोगों को सलाह देते हैं कि लोग ऐसे पासवर्ड का उपयोग करें जो याद रखने के लिए बहुत जटिल हैं, उन्हें पेपर पर लिख लें, और उन्हें एक पर्स में रखें।<ref>
-ऐतिहासिक रूप से, कई सुरक्षा विशेषज्ञों ने लोगों से अपने पासवर्ड याद रखने के लिए कहा: कभी भी पासवर्ड न लिखें। अभी हाल ही में, कई सुरक्षा विशेषज्ञ जैसे कि [[ब्रूस श्नेयर]] लोगों को सलाह देते हैं कि लोग ऐसे पासवर्ड का उपयोग करें जो याद रखने के लिए बहुत जटिल हैं, उन्हें कागज पर लिख लें, और उन्हें एक बटुए में रखें।<ref>
 [http://www.schneier.com/crypto-gram-0105.html#8 Bruce Schneier : Crypto-Gram Newsletter] {{webarchive|url=https://web.archive.org/web/20111115145148/http://www.schneier.com/crypto-gram-0105.html |date=2011-11-15 }} May 15, 2001
 </ref><ref name="password_myth">[http://www.symantec.com/connect/articles/ten-windows-password-myths दस विंडोज पासवर्ड मिथक] {{webarchive|url=https://web.archive.org/web/20160128204127/http://www.symantec.com/connect/articles/ten-windows-password-myths |date=2016-01-28 }}: मिथक #7। आपको अपना पासवर्ड कभी नहीं लिखना चाहिए
-</रेफरी><ref>Kotadia, Munir (2005-05-23) [http://news.cnet.com/Microsoft-security-guru-Jot-down-your-passwords/2100-7355_3-5716590.html?tag=nefd.ac Microsoft security guru: Jot down your passwords]. News.cnet.com. Retrieved on 2012-05-20.</ref><ref>
+</रेफरी><nowiki><ref>Kotadia, Munir (2005-05-23) </nowiki>[http://news.cnet.com/Microsoft-security-guru-Jot-down-your-passwords/2100-7355_3-5716590.html?tag=nefd.ac Microsoft security guru: Jot down your passwords]. News.cnet.com. Retrieved on 2012-05-20.</ref><ref>
 [http://www.cryptosmith.com/sanity/pwdilemma.html "The Strong Password Dilemma"] {{webarchive|url=https://web.archive.org/web/20100718174309/http://www.cryptosmith.com/sanity/pwdilemma.html |date=2010-07-18 }} by Richard E. Smith: "we can summarize classical password selection rules as follows:
 The password must be impossible to remember and never written down."
 </ref><ref>{{cite web |url=http://www.burtleburtle.net/bob/crypto/password.html |title=रैंडम पासवर्ड चुनना|author=Bob Jenkins |date=2013-01-11 |url-status=live |archive-url=https://web.archive.org/web/20100918155208/http://burtleburtle.net/bob/crypto/password.html |archive-date=2010-09-18 }}</ref><ref>
 [http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-500.pdf "The Memorability and Security of Passwords – Some Empirical Results"] {{webarchive|url=https://web.archive.org/web/20110219012636/http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf |date=2011-02-19 }} (pdf)
-: "your password ... in a secure place, such as the back of your wallet or purse."
+:"your password ... in a secure place, such as the back of your wallet or purse."
 </ref><ref>[http://world.std.com/~reinhold/dicewarefaq.html#writeitdown "Should I write down my passphrase?"] {{webarchive|url=https://web.archive.org/web/20090217200722/http://world.std.com/~reinhold/dicewarefaq.html |date=2009-02-17 }}. World.std.com. Retrieved on 2012-05-20.</ref>
-पासवर्ड प्रबंधक सॉफ्टवेयर एकल मास्टर पासवर्ड के साथ सील की गई एन्क्रिप्टेड फ़ाइल में पासवर्ड को अपेक्षाकृत सुरक्षित रूप से संग्रहीत कर सकता है।
+पासवर्ड प्रबंधक सॉफ्टवेयर एक मास्टर पासवर्ड के साथ सील की गई एन्क्रिप्टेड फ़ाइल में पासवर्ड को अपेक्षाकृत सुरक्षित रूप से संग्रहीत कर सकता है।
 === मृत्यु के बाद ===
@@ Line 173: / Line 174: @@
 [[लंदन विश्वविद्यालय]] के एक सर्वेक्षण के अनुसार, दस में से एक व्यक्ति अब मरने पर इस महत्वपूर्ण जानकारी को पास करने के लिए अपनी वसीयत में अपना पासवर्ड छोड़ रहा है। सर्वेक्षण के अनुसार, एक-तिहाई लोग इस बात से सहमत हैं कि उनका पासवर्ड-सुरक्षित डेटा उनकी वसीयत में पारित करने के लिए पर्याप्त महत्वपूर्ण है।<ref>{{cite web | url=http://estatelaw.hullandhull.com/2011/10/articles/topics/estate-planning-1/survey-11-of-brits-include-internet-passwords-in-will/ | title=सर्वे: ब्रिटेन के 11% लोग वसीयत में इंटरनेट पासवर्ड शामिल करते हैं| date=17 October 2011 | access-date=16 July 2012 | publisher=Hull & Hull LLP | last=Jaffery | first=Saman M. | url-status=dead | archive-url=https://web.archive.org/web/20111225023437/http://estatelaw.hullandhull.com/2011/10/articles/topics/estate-planning-1/survey-11-of-brits-include-internet-passwords-in-will/ | archive-date=25 December 2011 }}</ref>
+=== बहु-कारक प्रमाणीकरण ===
+{{Main|बहु-कारक प्रमाणीकरण}}
-=== बहु-कारक प्रमाणीकरण ===
+बहु-कारक प्रमाणीकरण योजनाएँ प्रमाणीकरण के एक या अधिक अन्य साधनों के साथ पासवर्ड (ज्ञान कारकों के रूप में) को जोड़ती हैं, ताकि प्रमाणीकरण को अधिक सुरक्षित और समाधान किए गए पासवर्ड के लिए कम असुरक्षित बनाया जा सके। उदाहरण के लिए, साधारण दो-कारक लॉगिन एक टेक्स्ट संदेश, ई-मेल, स्वचालित फोन कॉल या इसी तरह की चेतावनी भेज सकता है जब भी कोई लॉगिन प्रयास किया जाता है, संभवतः एक कोड की आपूर्ति करता है जिसे पासवर्ड के अतिरिक्त प्रविष्ट किया जाना चाहिए।<ref>[https://www.yahoo.com/tech/two-factor-authentication-security-000000679.html Two-factor authentication] {{webarchive|url=https://web.archive.org/web/20160618142745/https://www.yahoo.com/tech/two-factor-authentication-security-000000679.html |date=2016-06-18 }}</ref> अधिक परिष्कृत कारकों में हार्डवेयर टोकन और बायोमेट्रिक सुरक्षा जैसी वस्तुए सम्मिलित हैं।
-{{Main|Multi-factor authentication}}
-बहु-कारक प्रमाणीकरण योजनाएँ प्रमाणीकरण के एक या अधिक अन्य साधनों के साथ पासवर्ड (ज्ञान कारकों के रूप में) को जोड़ती हैं, ताकि प्रमाणीकरण को अधिक सुरक्षित और समझौता किए गए पासवर्ड के लिए कम असुरक्षित बनाया जा सके। उदाहरण के लिए, एक साधारण दो-कारक लॉगिन एक पाठ संदेश, ई-मेल, स्वचालित फोन कॉल या इसी तरह की चेतावनी भेज सकता है जब भी कोई लॉगिन प्रयास किया जाता है, संभवतः एक कोड की आपूर्ति करता है जिसे पासवर्ड के अतिरिक्त दर्ज किया जाना चाहिए।<ref>[https://www.yahoo.com/tech/two-factor-authentication-security-000000679.html Two-factor authentication] {{webarchive|url=https://web.archive.org/web/20160618142745/https://www.yahoo.com/tech/two-factor-authentication-security-000000679.html |date=2016-06-18 }}</ref> अधिक परिष्कृत कारकों में हार्डवेयर टोकन और बायोमेट्रिक सुरक्षा जैसी चीज़ें सम्मिलित हैं।
 == पासवर्ड नियम ==
-{{Further|Password policy}}
+{{Further|पासवर्ड नियम}}
-अधिकांश संगठन एक पासवर्ड नीति निर्दिष्ट करते हैं जो पासवर्ड की संरचना और उपयोग के लिए आवश्यकताओं को निर्धारित करती है,  सामान्यतः न्यूनतम लंबाई, आवश्यक श्रेणियां (जैसे, ऊपरी और निचले मामले, संख्याएं और विशेष वर्ण), निषिद्ध तत्व (जैसे, किसी के अपने नाम का उपयोग, जन्म तिथि, पता, टेलीफोन नंबर)। कुछ सरकारों के पास राष्ट्रीय प्रमाणीकरण ढाँचे होते हैं<ref>[http://folk.uio.no/josang/papers/ATJK2012-SARSSI.pdf Improving Usability of Password Management with Standardized Password Policies] {{webarchive|url=https://web.archive.org/web/20130620105044/http://folk.uio.no/josang/papers/ATJK2012-SARSSI.pdf |date=2013-06-20 }} (pdf). Retrieved on 2012-10-12.</ref> जो पासवर्ड के लिए आवश्यकताओं सहित सरकारी सेवाओं के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकताओं को परिभाषित करता है।
-कई वेबसाइट न्यूनतम और अधिकतम लंबाई जैसे मानक नियम लागू करती हैं, लेकिन प्रायः कम से कम एक कैपिटल लेटर और कम से कम एक नंबर/प्रतीक जैसे रचना नियम भी सम्मिलित करती हैं। ये बाद वाले, अधिक विशिष्ट नियम काफी हद तक राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) की 2003 की एक रिपोर्ट पर आधारित थे, जिसे बिल बूर ने लिखा था।<ref name=zdnet>[https://www.zdnet.com/article/hate-silly-password-rules-so-does-the-guy-who-created-them/ Hate silly password rules? So does the guy who created them] {{Webarchive|url=https://web.archive.org/web/20180329160144/http://www.zdnet.com/article/hate-silly-password-rules-so-does-the-guy-who-created-them/ |date=2018-03-29 }}, ''ZDNet''</ref> इसने मूल रूप से संख्याओं, अस्पष्ट वर्णों और बड़े अक्षरों का उपयोग करने और नियमित रूप से अद्यतन करने का अभ्यास प्रस्तावित किया। 2017 [[वॉल स्ट्रीट जर्नल]] के एक लेख में, बूर ने बताया कि उन्हें इन प्रस्तावों पर पछतावा है और जब उन्होंने उनकी सिफारिश की तो उन्होंने गलती की।<ref>[https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118 The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!] {{Webarchive|url=https://web.archive.org/web/20170809080612/https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118 |date=2017-08-09 }}, ''Wall Street Journal''</ref>
+अधिकांश संगठन एक पासवर्ड युक्ति निर्दिष्ट करते हैं जो पासवर्ड की संरचना और उपयोग के लिए आवश्यकताओं को निर्धारित करती है, सामान्यतः न्यूनतम लंबाई, आवश्यक श्रेणियां (जैसे, ऊपरी और निचले स्थिति, संख्याएं और विशेष वर्ण), निषिद्ध तत्व (जैसे, किसी के अपने नाम का उपयोग, जन्म तिथि, पता, टेलीफोन नंबर)। कुछ सरकारों के पास राष्ट्रीय प्रमाणीकरण रूपरेखा होते हैं<ref>[http://folk.uio.no/josang/papers/ATJK2012-SARSSI.pdf Improving Usability of Password Management with Standardized Password Policies] {{webarchive|url=https://web.archive.org/web/20130620105044/http://folk.uio.no/josang/papers/ATJK2012-SARSSI.pdf |date=2013-06-20 }} (pdf). Retrieved on 2012-10-12.</ref> जो पासवर्ड के लिए आवश्यकताओं सहित सरकारी सेवाओं के लिए उपयोगकर्ता प्रमाणीकरण की आवश्यकताओं को परिभाषित करता है।
-इस NIST रिपोर्ट के 2017 के पुनर्लेखन के अनुसार, कई [[वेबसाइट]]ों के नियम हैं जो वास्तव में उनके उपयोगकर्ताओं की सुरक्षा पर विपरीत प्रभाव डालते हैं। इसमें जटिल संरचना नियमों के साथ-साथ निश्चित अवधि के बाद जबरन पासवर्ड परिवर्तन सम्मिलित हैं। जबकि ये नियम लंबे समय से व्यापक हैं, उन्हें उपयोगकर्ताओं और साइबर सुरक्षा विशेषज्ञों दोनों द्वारा लंबे समय से कष्टप्रद और अप्रभावी के रूप में देखा गया है।<ref name=fort>[http://fortune.com/2017/05/11/password-rules/ Experts Say We Can Finally Ditch Those Stupid Password Rules] {{Webarchive|url=https://web.archive.org/web/20180628015547/http://fortune.com/2017/05/11/password-rules/ |date=2018-06-28 }}, ''Fortune''</ref> NIST अनुशंसा करता है कि लोग पासवर्ड के रूप में लंबे वाक्यांशों का उपयोग करें (और वेबसाइटों को अधिकतम पासवर्ड लंबाई बढ़ाने की सलाह देते हैं) न कि याद रखने में मुश्किल पासवर्ड जैसे कि pA55w+rd।<ref>[https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/ NIST’s new password rules – what you need to know] {{Webarchive|url=https://web.archive.org/web/20180628015550/https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/ |date=2018-06-28 }}, ''Naked Security''</ref> एक उपयोगकर्ता को पासवर्ड पासवर्ड का उपयोग करने से रोका गया है, यदि आवश्यक हो तो संख्या और अपरकेस अक्षर सम्मिलित करने के लिए बस पासवर्ड 1 चुन सकते हैं। जबरन समय-समय पर पासवर्ड बदलने के साथ संयुक्त, इससे ऐसे पासवर्ड बन सकते हैं जिन्हें याद रखना मुश्किल है लेकिन क्रैक करना आसान है।<ref name=zdnet/>
-NIST रिपोर्ट के लेखकों में से एक पॉल ग्रासी ने आगे विस्तार से बताया: हर कोई जानता है कि एक विस्मयादिबोधक बिंदु एक 1, या एक I, या एक पासवर्ड का अंतिम वर्ण है। $ एक S या 5 है। यदि हम इन प्रसिद्ध तरकीबों का उपयोग करते हैं, तो हम किसी भी विरोधी को मूर्ख नहीं बना रहे हैं। हम केवल उस डेटाबेस को मूर्ख बना रहे हैं जो उपयोगकर्ता को कुछ अच्छा करने के लिए पासवर्ड संग्रहीत करता है।<ref name=fort/>
+कई वेबसाइट न्यूनतम और अधिकतम लंबाई जैसे मानक नियम लागू करती हैं, लेकिन प्रायः कम से कम एक बड़ा अक्षर और कम से कम एक नंबर/प्रतीक जैसे रचना नियम भी सम्मिलित करती हैं। ये बाद वाले, अधिक विशिष्ट नियम अधिकतम राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) की 2003 की एक रिपोर्ट पर आधारित थे, जिसे बिल बूर ने लिखा था।<ref name="zdnet">[https://www.zdnet.com/article/hate-silly-password-rules-so-does-the-guy-who-created-them/ Hate silly password rules? So does the guy who created them] {{Webarchive|url=https://web.archive.org/web/20180329160144/http://www.zdnet.com/article/hate-silly-password-rules-so-does-the-guy-who-created-them/ |date=2018-03-29 }}, ''ZDNet''</ref> इसने मूल रूप से संख्याओं, अस्पष्ट वर्णों और बड़े अक्षरों का उपयोग करने और नियमित रूप से अद्यतन करने का प्रक्रिया प्रस्तावित किया। 2017 [[वॉल स्ट्रीट जर्नल]] के एक लेख में, बूर ने बताया कि उन्हें इन प्रस्तावों पर खेद है और जब उन्होंने उनकी सिफारिश की तो उन्होंने गलती की।<ref>[https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118 The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!] {{Webarchive|url=https://web.archive.org/web/20170809080612/https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118 |date=2017-08-09 }}, ''Wall Street Journal''</ref>
-Pieris Tsokkis और Eliana Stavrou अपने शोध और पासवर्ड जनरेटर टूल के विकास के माध्यम से कुछ खराब पासवर्ड निर्माण रणनीतियों की पहचान करने में सक्षम थे। वे उजागर पासवर्ड सूचियों, पासवर्ड क्रैकिंग टूल और सबसे अधिक उपयोग किए जाने वाले पासवर्ड का हवाला देते हुए ऑनलाइन रिपोर्ट के आधार पर पासवर्ड निर्माण रणनीतियों की आठ श्रेणियों के साथ आए। इन श्रेणियों में उपयोगकर्ता से संबंधित जानकारी, कीबोर्ड संयोजन और पैटर्न, प्लेसमेंट रणनीति, वर्ड प्रोसेसिंग, प्रतिस्थापन, पूंजीकरण, संलग्न तिथियां और पिछली श्रेणियों का संयोजन सम्मिलित है।<ref>P. Tsokkis and E. Stavrou, "A password generator tool to increase users' awareness on bad password construction strategies," 2018 International Symposium on Networks, Computers and Communications (ISNCC), Rome, 2018, pp. 1-5, {{doi|10.1109/ISNCC.2018.8531061}}.</ref>
+इस NIST रिपोर्ट के 2017 के पुनर्लेखन के अनुसार, कई [[वेबसाइट]] के नियम हैं जो वास्तव में उनके उपयोगकर्ताओं की सुरक्षा पर विपरीत प्रभाव डालते हैं। इसमें जटिल संरचना नियमों के साथ-साथ निश्चित अवधि के बाद बलपूर्वक पासवर्ड परिवर्तन सम्मिलित हैं। जबकि ये नियम लंबे समय से व्यापक हैं, उन्हें उपयोगकर्ताओं और साइबर सुरक्षा विशेषज्ञों दोनों द्वारा लंबे समय से कष्टप्रद और अप्रभावी के रूप में देखा गया है।<ref name="fort">[http://fortune.com/2017/05/11/password-rules/ Experts Say We Can Finally Ditch Those Stupid Password Rules] {{Webarchive|url=https://web.archive.org/web/20180628015547/http://fortune.com/2017/05/11/password-rules/ |date=2018-06-28 }}, ''Fortune''</ref> NIST अनुशंसा करता है कि लोग पासवर्ड के रूप में लंबे वाक्यांशों का उपयोग करें (और वेबसाइटों को अधिकतम पासवर्ड लंबाई बढ़ाने की सलाह देते हैं) न कि याद रखने में कठिन पासवर्ड जैसे कि pA55w+rd।<ref>[https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/ NIST’s new password rules – what you need to know] {{Webarchive|url=https://web.archive.org/web/20180628015550/https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/ |date=2018-06-28 }}, ''Naked Security''</ref> एक उपयोगकर्ता को पासवर्ड का उपयोग करने से रोका गया है, यदि आवश्यक हो तो संख्या और अपरकेस अक्षर सम्मिलित करने के लिए बस पासवर्ड 1 चुन सकते हैं। अनिवार्य रूप से समय-समय पर पासवर्ड बदलने के साथ संयुक्त, इससे ऐसे पासवर्ड बन सकते हैं जिन्हें याद रखना कठिन है लेकिन क्रैक करना आसान है।<ref name="zdnet" />
+NIST रिपोर्ट के लेखकों में से एक पॉल ग्रासी ने आगे विस्तार से बताया: सभी जानते है कि एक विस्मयादिबोधक बिंदु एक 1, या एक I, या एक पासवर्ड का अंतिम वर्ण है। $ एक S या 5 है। यदि हम इन प्रसिद्ध विधियों का उपयोग करते हैं, तो हम किसी भी विरोधी को मूर्ख नहीं बना रहे हैं। हम केवल उस डेटाबेस को मूर्ख बना रहे हैं जो उपयोगकर्ता को कुछ अच्छा करने के लिए पासवर्ड संग्रहीत करता है।<ref name="fort" />
+पियरिस सोक्किस और इलियाना स्टावरो अपने शोध और पासवर्ड जनित्र उपकरण के विकास के माध्यम से कुछ खराब पासवर्ड निर्माण रणनीतियों की पहचान करने में सक्षम थे। वे निरावरण पासवर्ड सूचियों, पासवर्ड क्रैकिंग उपकरण और सबसे अधिक उपयोग किए जाने वाले पासवर्ड का उल्लेख करते हुए ऑनलाइन रिपोर्ट के आधार पर पासवर्ड निर्माण रणनीतियों की आठ श्रेणियों के साथ आए। इन श्रेणियों में उपयोगकर्ता से संबंधित जानकारी, कीबोर्ड संयोजन और पैटर्न, स्थानन रणनीति, शब्द प्रक्रमण, प्रतिस्थापन, पूंजीकरण, संलग्न तिथियां और पूर्व श्रेणियों का संयोजन सम्मिलित है।<ref>P. Tsokkis and E. Stavrou, "A password generator tool to increase users' awareness on bad password construction strategies," 2018 International Symposium on Networks, Computers and Communications (ISNCC), Rome, 2018, pp. 1-5, {{doi|10.1109/ISNCC.2018.8531061}}.</ref>
 == पासवर्ड क्रैकिंग ==
-{{Main|Password cracking}}
+{{Main|पासवर्ड क्रैकिंग}}
-समय और धन की अनुमति के रूप में कई संभावनाओं का प्रयास करके पासवर्ड क्रैक करने का प्रयास करना एक क्रूर बल का हमला है। एक संबंधित विधि, ज्यादातर मामलों में अधिक कुशल, एक शब्दकोश हमला है। डिक्शनरी अटैक में, एक या अधिक डिक्शनरी के सभी शब्दों का परीक्षण किया जाता है। सामान्य पासवर्ड की सूची का भी  सामान्यतः परीक्षण किया जाता है।
-पासवर्ड की ताकत संभावना है कि एक पासवर्ड का अनुमान या खोज नहीं किया जा सकता है, और इस्तेमाल किए गए हमले एल्गोरिदम के साथ भिन्न होता है। क्रिप्टोलॉजिस्ट और कंप्यूटर वैज्ञानिक प्रायः एंट्रॉपी (सूचना सिद्धांत) के संदर्भ में ताकत या 'कठोरता' का उल्लेख करते हैं।<ref name="SS1" />
+समय और धन की स्वीकृति के रूप में कई संभावनाओं का प्रयास करके पासवर्ड क्रैक करने का प्रयास करना एक कठोर बल का आक्षेप है। एक संबंधित विधि, अधिकतम स्थितियों में अधिक कुशल, एक शब्दकोश आक्षेप है। शब्दकोश आक्षेप में, एक या अधिक शब्दावली के सभी शब्दों का परीक्षण किया जाता है। सामान्य पासवर्ड की सूची का भी सामान्यतः परीक्षण किया जाता है।
-आसानी से खोजे जाने वाले पासवर्ड को कमजोर या कमजोर करार दिया जाता है; बहुत कठिन या असंभव पासवर्ड को मजबूत माना जाता है। पासवर्ड हमले के लिए कई प्रोग्राम उपलब्ध हैं (या यहां तक कि सिस्टम कर्मियों द्वारा ऑडिटिंग और रिकवरी) जैसे कि [[L0phtCrack]], [[जॉन द रिपर]], और [[कैन (सॉफ्टवेयर)]]; जिनमें से कुछ दक्षता बढ़ाने के लिए पासवर्ड डिज़ाइन भेद्यता (जैसा कि Microsoft LANManager सिस्टम में पाया जाता है) का उपयोग करते हैं। इन कार्यक्रमों का उपयोग कभी-कभी सिस्टम प्रशासकों द्वारा उपयोगकर्ताओं द्वारा प्रस्तावित कमजोर पासवर्ड का पता लगाने के लिए किया जाता है।
+पासवर्ड की सामर्थ्य संभावना है कि एक पासवर्ड का अनुमान या अभिनिश्चित नहीं किया जा सकता है, और उपयोग किए गए आक्षेप एल्गोरिदम के साथ भिन्न होता है। क्रिप्टोलॉजिस्ट और कंप्यूटर वैज्ञानिक प्रायः एंट्रॉपी (सूचना सिद्धांत) के संदर्भ में सामर्थ्य या 'कठोरता' का उल्लेख करते हैं।<ref name="SS1" />
-प्रोडक्शन कंप्यूटर सिस्टम के अध्ययन ने लगातार दिखाया है कि सभी उपयोगकर्ता द्वारा चुने गए पासवर्ड का एक बड़ा अंश आसानी से स्वचालित रूप से अनुमान लगाया जाता है। उदाहरण के लिए, कोलंबिया विश्वविद्यालय ने पाया कि 22% उपयोगकर्ता पासवर्ड थोड़े प्रयास से पुनर्प्राप्त किए जा सकते हैं।<ref>{{cite web |url=http://www.cs.columbia.edu/~crf/howto/password-howto.html |title=पासवर्ड|access-date=2012-05-20 |url-status=bot: unknown |archive-url=https://web.archive.org/web/20070423015011/http://www.cs.columbia.edu/~crf/howto/password-howto.html |archive-date=April 23, 2007 }}. cs.columbia.edu</ref> 2006 के [[फ़िशिंग]] हमले से डेटा की जांच करने वाले ब्रूस श्नेयर के अनुसार, 2006 में प्रति सेकंड 200,000 पासवर्ड का परीक्षण करने में सक्षम व्यावसायिक रूप से उपलब्ध पासवर्ड रिकवरी टूलकिट का उपयोग करके [[मेरी जगह]] पासवर्ड का 55% 8 घंटे में क्रैक करने योग्य होगा।<ref>[http://www.schneier.com/blog/archives/2006/12/realworld_passw.html Schneier, Real-World Passwords] {{webarchive|url=https://web.archive.org/web/20080923065435/http://www.schneier.com/blog/archives/2006/12/realworld_passw.html |date=2008-09-23 }}. Schneier.com. Retrieved on 2012-05-20.</ref> उन्होंने यह भी बताया कि सबसे  सामान्य पासवर्ड पासवर्ड1 था, जो फिर से उपयोगकर्ताओं के बीच पासवर्ड चुनने में सूचित देखभाल की सामान्य कमी की पुष्टि करता है। (उन्होंने फिर भी इन आंकड़ों के आधार पर बनाए रखा, कि पिछले कुछ वर्षों में पासवर्ड की सामान्य गुणवत्ता में सुधार हुआ है - उदाहरण के लिए, औसत लंबाई पिछले सर्वेक्षणों में सात से कम आठ वर्णों तक थी, और 4% से कम शब्दकोश शब्द थे।<ref>[https://www.wired.com/politics/security/commentary/securitymatters/2006/12/72300 MySpace Passwords Aren't So Dumb] {{webarchive|url=https://web.archive.org/web/20140329222517/http://www.wired.com/politics/security/commentary/securitymatters/2006/12/72300 |date=2014-03-29 }}. Wired.com (2006-10-27). Retrieved on 2012-05-20.</ref>)
+आसानी से खोजे जाने वाले पासवर्ड को असुरक्षित घोषित दिया जाता है; अधिक कठिन या असंभव पासवर्ड को मजबूत माना जाता है। पासवर्ड आक्षेप के लिए कई प्रोग्राम उपलब्ध हैं (या यहां तक कि सिस्टम उपयोगकर्ता द्वारा अंकेक्षण और पुनः प्राप्ति) जैसे कि [[L0phtCrack]], [[जॉन द रिपर]], और [[कैन (सॉफ्टवेयर)]]; जिनमें से कुछ दक्षता बढ़ाने के लिए पासवर्ड डिज़ाइन अतिसंवेदनशीलता (जैसा कि माइक्रोसॉफ्ट LAN-प्रबंधक सिस्टम में पाया जाता है) का उपयोग करते हैं। इन कार्यक्रमों का उपयोग कभी-कभी सिस्टम प्रशासकों द्वारा उपयोगकर्ताओं द्वारा प्रस्तावित असुरक्षित पासवर्ड का पता लगाने के लिए किया जाता है।
+प्रस्तुतिकरण कंप्यूटर सिस्टम के अध्ययन ने निरंतर दिखाया है कि सभी उपयोगकर्ता द्वारा चुने गए पासवर्ड का एक बड़ा अंश आसानी से स्वचालित रूप से अनुमान लगाया जाता है। उदाहरण के लिए, कोलंबिया विश्वविद्यालय ने पाया कि 22% उपयोगकर्ता पासवर्ड कम प्रयास से पुनर्प्राप्त किए जा सकते हैं।<ref>{{cite web |url=http://www.cs.columbia.edu/~crf/howto/password-howto.html |title=पासवर्ड|access-date=2012-05-20 |url-status=bot: unknown |archive-url=https://web.archive.org/web/20070423015011/http://www.cs.columbia.edu/~crf/howto/password-howto.html |archive-date=April 23, 2007 }}. cs.columbia.edu</ref> 2006 के जालसाजी आक्षेप से डेटा की जांच करने वाले ब्रूस श्नेयर के अनुसार, 2006 में प्रति सेकंड 200,000 पासवर्ड का परीक्षण करने में सक्षम व्यावसायिक रूप से उपलब्ध पासवर्ड पुनः प्राप्ति उपकरण किट का उपयोग करके [[माइस्पेस]] पासवर्ड का 55% 8 घंटे में क्रैक करने योग्य होगा।<ref>[http://www.schneier.com/blog/archives/2006/12/realworld_passw.html Schneier, Real-World Passwords] {{webarchive|url=https://web.archive.org/web/20080923065435/http://www.schneier.com/blog/archives/2006/12/realworld_passw.html |date=2008-09-23 }}. Schneier.com. Retrieved on 2012-05-20.</ref> उन्होंने यह भी बताया कि सबसे सामान्य पासवर्ड पासवर्ड1 था, जो पुनः उपयोगकर्ताओं के बीच पासवर्ड चुनने में सूचित सुरक्षा की सामान्य कमी की पुष्टि करता है। (उन्होंने तब भी इन आंकड़ों के आधार पर बनाए रखा, कि पिछले कुछ वर्षों में पासवर्ड की सामान्य गुणवत्ता में सुधार हुआ है - उदाहरण के लिए, औसत लंबाई पिछले सर्वेक्षणों में सात से कम आठ वर्णों तक थी, और 4% से कम शब्दकोश शब्द थे।<ref>[https://www.wired.com/politics/security/commentary/securitymatters/2006/12/72300 MySpace Passwords Aren't So Dumb] {{webarchive|url=https://web.archive.org/web/20140329222517/http://www.wired.com/politics/security/commentary/securitymatters/2006/12/72300 |date=2014-03-29 }}. Wired.com (2006-10-27). Retrieved on 2012-05-20.</ref>)
 === घटनाएं ===
-* 16 जुलाई, 1998 को [[सीईआरटी समन्वय केंद्र]] ने एक ऐसी घटना की सूचना दी जिसमें हमलावर को 186,126 एन्क्रिप्टेड पासवर्ड मिले थे। हमलावर की खोज के समय, 47,642 पासवर्ड पहले ही क्रैक किए जा चुके थे।<ref name="सीईआरटी आईएन-98.03">{{cite web
+* 16 जुलाई, 1998 को [[सीईआरटी समन्वय केंद्र|CERT समन्वय केंद्र]] ने एक ऐसी घटना की सूचना दी जिसमें आक्षेपक को 186,126 एन्क्रिप्टेड पासवर्ड मिले थे। आक्षेपक की खोज के समय, 47,642 पासवर्ड पहले ही क्रैक किए जा चुके थे।<ref name="सीईआरटी आईएन-98.03">{{cite web
   | url=http://www.cert.org/incident_notes/IN-98.03.html
   | title=सीईआरटी आईएन-98.03|date=1998-07-16
   | access-date=2009-09-09}}</ref>
-* सितंबर 2001 में, 11 सितंबर के हमलों में न्यूयॉर्क के 960 कर्मचारियों की मृत्यु के बाद, वित्तीय सेवा फर्म [[कैंटर फिट्जगेराल्ड]] ने [[Microsoft]] के माध्यम से मृत कर्मचारियों के पासवर्ड तोड़ दिए ताकि क्लाइंट खातों की सर्विसिंग के लिए आवश्यक फाइलों तक पहुंच प्राप्त हो सके।<ref name=NYTimes20141123/>तकनीशियनों ने क्रूर बल के हमलों का इस्तेमाल किया, और साक्षात्कारकर्ताओं ने व्यक्तिगत जानकारी इकट्ठा करने के लिए परिवारों से संपर्क किया जो कमजोर पासवर्ड के लिए खोज समय को कम कर सकता है।<ref name=NYTimes20141123>{{cite news |last1=Urbina |first1=Ian |last2=Davis |first2=Leslye |title=पासवर्ड का गुप्त जीवन|url=https://www.nytimes.com/2014/11/19/magazine/the-secret-life-of-passwords.html |website=The New York Times |archive-url=https://web.archive.org/web/20141128194319/http://www.nytimes.com/2014/11/19/magazine/the-secret-life-of-passwords.html?_r=0 |archive-date=November 28, 2014 |date=November 23, 2014 |url-status=live }}</ref>
+* सितंबर 2001 में, 11 सितंबर के आक्षेप में न्यूयॉर्क के 960 कर्मचारियों की मृत्यु के बाद, वित्तीय सेवा फर्म [[कैंटर फिट्जगेराल्ड|कैंटर उपयुक्त्जगेराल्ड]] ने [[Microsoft|माइक्रोसॉफ्ट]] के माध्यम से मृत कर्मचारियों के पासवर्ड तोड़ दिए ताकि क्लाइंट खातों की सेवा के लिए आवश्यक फाइलों तक पहुंच प्राप्त हो सके।<ref name="NYTimes20141123" /> प्रविधिज्ञ ने हिंसक बल के आक्षेप का उपयोग किया, और साक्षात्कारकर्ताओं ने व्यक्तिगत जानकारी एकत्र करने के लिए परिवारों से संपर्क किया जो असुरक्षित पासवर्ड के लिए खोज समय को कम कर सकता है।<ref name="NYTimes20141123">{{cite news |last1=Urbina |first1=Ian |last2=Davis |first2=Leslye |title=पासवर्ड का गुप्त जीवन|url=https://www.nytimes.com/2014/11/19/magazine/the-secret-life-of-passwords.html |website=The New York Times |archive-url=https://web.archive.org/web/20141128194319/http://www.nytimes.com/2014/11/19/magazine/the-secret-life-of-passwords.html?_r=0 |archive-date=November 28, 2014 |date=November 23, 2014 |url-status=live }}</ref>
-* दिसंबर 2009 में, RockYou|Rockyou.com वेबसाइट का एक बड़ा पासवर्ड उल्लंघन हुआ जिसके कारण 32 मिलियन पासवर्ड जारी किए गए। इसके बाद हैकर ने 3.2 करोड़ पासवर्ड की पूरी सूची इंटरनेट पर लीक कर दी। पासवर्ड डेटाबेस में क्लीयरटेक्स्ट में संग्रहीत किए गए थे और SQL इंजेक्शन भेद्यता के माध्यम से निकाले गए थे। [[इंपर्वा]] एप्लिकेशन डिफेंस सेंटर (ADC) ने पासवर्ड की ताकत पर एक विश्लेषण किया।<ref>{{cite web |url=http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf |title=उपभोक्ता पासवर्ड सबसे खराब व्यवहार (पीडीएफ)|url-status=live |archive-url=https://web.archive.org/web/20110728180221/http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf |archive-date=2011-07-28 }}</ref>
+* दिसंबर 2009 में, Rockyou.com वेबसाइट का एक बड़ा पासवर्ड उल्लंघन हुआ जिसके कारण 32 मिलियन पासवर्ड प्रस्तुत किए गए। इसके बाद हैकर ने 3.2 करोड़ पासवर्ड की पूरी सूची इंटरनेट पर लीक कर दी। पासवर्ड डेटाबेस में स्पष्ट टेक्स्ट में संग्रहीत किए गए थे और SQL अंत:क्षेपण अतिसंवेदनशीलता के माध्यम से निकाले गए थे। [[इंपर्वा]] ADC ने पासवर्ड की शक्ति पर एक विश्लेषण किया।<ref>{{cite web |url=http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf |title=उपभोक्ता पासवर्ड सबसे खराब व्यवहार (पीडीएफ)|url-status=live |archive-url=https://web.archive.org/web/20110728180221/http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf |archive-date=2011-07-28 }}</ref>
-* जून 2011 में, [[NATO]] (नॉर्थ अटलांटिक ट्रीटी ऑर्गनाइजेशन) ने एक सुरक्षा उल्लंघन का अनुभव किया, जिसके कारण उनके ई-बुकशॉप के 11,000 से अधिक पंजीकृत उपयोगकर्ताओं के लिए पहले और अंतिम नाम, उपयोगकर्ता नाम और पासवर्ड सार्वजनिक रूप से जारी किए गए। डेटा को [[ऑपरेशन एंटीसेक]] के हिस्से के रूप में लीक किया गया था, एक आंदोलन जिसमें बेनामी (समूह), [[LulzSec]], साथ ही अन्य हैकिंग समूह और व्यक्ति सम्मिलित हैं। एंटीसेक का उद्देश्य किसी भी आवश्यक माध्यम का उपयोग करके व्यक्तिगत, संवेदनशील और प्रतिबंधित जानकारी को दुनिया के सामने उजागर करना है।<ref>{{cite web|url=https://www.theregister.co.uk/2011/06/24/nato_hack_attack/|access-date=July 24, 2011|title=नाटो साइट हैक हो गई|work=The Register|date=2011-06-24|url-status=live|archive-url=https://web.archive.org/web/20110629094635/http://www.theregister.co.uk/2011/06/24/nato_hack_attack/|archive-date=June 29, 2011}}</ref>
+* जून 2011 में, [[NATO]] ने एक सुरक्षा उल्लंघन का अनुभव किया, जिसके कारण उनके ई-बुकशॉप के 11,000 से अधिक पंजीकृत उपयोगकर्ताओं के लिए पहले और अंतिम नाम, उपयोगकर्ता नाम और पासवर्ड सार्वजनिक रूप से प्रस्तुत किए गए। डेटा को [[ऑपरेशन एंटीसेक|कार्यान्वित एंटीसेक]] के भाग के रूप में लीक किया गया था, एक संचलन जिसमें अज्ञात, [[LulzSec|लूलजसेक]], साथ ही अन्य हैकिंग समूह और व्यक्ति सम्मिलित हैं। एंटीसेक का उद्देश्य किसी भी आवश्यक माध्यम का उपयोग करके व्यक्तिगत, संवेदनशील और प्रतिबंधित जानकारी को दुनिया के सामने प्रकट करना है।<ref>{{cite web|url=https://www.theregister.co.uk/2011/06/24/nato_hack_attack/|access-date=July 24, 2011|title=नाटो साइट हैक हो गई|work=The Register|date=2011-06-24|url-status=live|archive-url=https://web.archive.org/web/20110629094635/http://www.theregister.co.uk/2011/06/24/nato_hack_attack/|archive-date=June 29, 2011}}</ref>
-* 11 जुलाई, 2011 को [[पेंटागन]] के लिए काम करने वाली कंसल्टिंग फर्म [[बूज एलन हैमिल्टन]] के सर्वर को एनोनिमस (समूह) ने हैक कर लिया और उसी दिन लीक कर दिया। लीक, जिसे 'मिलिट्री मेल्टडाउन मंडे' कहा जाता है, में सैन्य कर्मियों के 90,000 लॉगिन सम्मिलित हैं - जिनमें [[संयुक्त राज्य मध्य कमान]], [[यूनाइटेड स्टेट्स स्पेशल ऑपरेशंस कमांड]], [[संयुक्त राज्य अमेरिका मरीन कोरपोरेशन]], विभिन्न [[संयुक्त राज्य वायु सेना]] सुविधाएं, [[होमलैंड सुरक्षा]], [[संयुक्त राज्य अमेरिका के राज्य विभाग]] कर्मी सम्मिलित हैं। विभाग के कर्मचारी, और निजी क्षेत्र के ठेकेदार क्या दिखते हैं।<ref>{{cite web |url=https://gizmodo.com/5820049/anonymous-leaks-90000-military-email-accounts-in-latest-antisec-attack |title=नवीनतम एंटीसेक हमले में बेनामी ने 90,000 सैन्य ईमेल खातों को लीक किया|date=2011-07-11 |url-status=live |archive-url=https://web.archive.org/web/20170714072831/http://gizmodo.com/5820049/anonymous-leaks-90000-military-email-accounts-in-latest-antisec-attack |archive-date=2017-07-14 }}</ref> ये लीक हुए पासवर्ड SHA1 में हैश किए जा रहे हैं, और बाद में इम्पर्वा में ADC टीम द्वारा डिक्रिप्ट और विश्लेषण किए गए, जिससे पता चलता है कि सैन्य कर्मी भी शॉर्टकट और पासवर्ड आवश्यकताओं के आसपास के तरीकों की तलाश करते हैं।<ref>{{cite web |url = http://blog.imperva.com/2011/07/military-password-analysis.html |title = सैन्य पासवर्ड विश्लेषण|date = 2011-07-12 |url-status = live |archive-url = https://web.archive.org/web/20110715004047/http://blog.imperva.com/2011/07/military-password-analysis.html |archive-date = 2011-07-15 }}</ref>
+* 11 जुलाई, 2011 को [[पेंटागन]] के लिए काम करने वाली परामर्शी संघ [[बूज एलन हैमिल्टन]] के सर्वर को अस्पष्ट (समूह) ने हैक कर लिया और उसी दिन लीक कर दिया। लीक, जिसे 'मिलिट्री मेल्टडाउन मंडे' कहा जाता है, में सैन्य उपयोगकर्ता के 90,000 लॉगिन सम्मिलित हैं - जिनमें [[संयुक्त राज्य मध्य कमान]], [[यूनाइटेड स्टेट्स स्पेशल ऑपरेशंस कमांड|यूनाइटेड स्टेट्स स्पेशल ऑपरेशंस कमांड (USCENTCOM),]] [[संयुक्त राज्य अमेरिका मरीन कोरपोरेशन|संयुक्त राज्य अमेरिका मरीन कोरपोरेशन (SOCOM)]], विभिन्न [[संयुक्त राज्य वायु सेना]] सुविधाएं, [[होमलैंड सुरक्षा]], [[संयुक्त राज्य अमेरिका के राज्य विभाग]] कर्मी सम्मिलित हैं। विभाग के कर्मचारी, और निजी क्षेत्र के संकोचक दिखते हैं।<ref>{{cite web |url=https://gizmodo.com/5820049/anonymous-leaks-90000-military-email-accounts-in-latest-antisec-attack |title=नवीनतम एंटीसेक हमले में बेनामी ने 90,000 सैन्य ईमेल खातों को लीक किया|date=2011-07-11 |url-status=live |archive-url=https://web.archive.org/web/20170714072831/http://gizmodo.com/5820049/anonymous-leaks-90000-military-email-accounts-in-latest-antisec-attack |archive-date=2017-07-14 }}</ref> ये लीक हुए पासवर्ड SHA1 में हैश किए जा रहे हैं, और बाद में इम्पर्वा में ADC टीम द्वारा डिक्रिप्ट और विश्लेषण किए गए, जिससे पता चलता है कि सैन्य कर्मी भी संक्षिप्त रूप मे और पासवर्ड आवश्यकताओं के आसपास के तरीकों को प्रकाशित करते हैं।<ref>{{cite web |url = http://blog.imperva.com/2011/07/military-password-analysis.html |title = सैन्य पासवर्ड विश्लेषण|date = 2011-07-12 |url-status = live |archive-url = https://web.archive.org/web/20110715004047/http://blog.imperva.com/2011/07/military-password-analysis.html |archive-date = 2011-07-15 }}</ref><br />
+== प्रमाणीकरण के लिए पासवर्ड के विकल्प ==
+कई तरीकों से स्थायी या अर्ध-स्थायी पासवर्ड से समाधान किया जा सकता है, जिसने अन्य तकनीकों के विकास को प्रेरित किया है। दुर्भाग्य से, कुछ प्रक्रिया में अपर्याप्त हैं, और किसी भी स्थिति में कुछ अधिक सुरक्षित विकल्प चाहने वाले उपयोगकर्ताओं के लिए सार्वभौमिक रूप से उपलब्ध हो गए हैं।<ref>{{Cite web |title=हैकर्स द्वारा उपयोग की जाने वाली शीर्ष 12 पासवर्ड-क्रैकिंग तकनीकें|url=https://www.itpro.co.uk/security/34616/the-top-password-cracking-techniques-used-by-hackers |access-date=2022-07-18 |website=IT PRO |language=en}}</ref> 2012 का एक पेपर<ref>{{cite web |url=http://research.microsoft.com/pubs/161585/QuestToReplacePasswords.pdf |title=पासवर्ड बदलने की खोज (पीडीएफ)|publisher=IEEE |date=2012-05-15 |access-date=2015-03-11 |url-status=live |archive-url=https://web.archive.org/web/20150319050624/http://research.microsoft.com/pubs/161585/QuestToReplacePasswords.pdf |archive-date=2015-03-19 }}</ref> जांच करता है कि पासवर्ड बदलने के लिए इतना कठिन क्यों प्रमाणित हुआ है (कई पूर्वानुमान के होने पर भी कि वे जल्द ही अतीत की बात बन जाएंगे<ref name="CNET">{{cite web |url=http://news.cnet.com/2100-1029-5164733.html |title=गेट्स पासवर्ड की मौत की भविष्यवाणी करता है|website=CNET |date=2004-02-25 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150402133435/http://news.cnet.com/2100-1029-5164733.html |archive-date=2015-04-02 }}</ref>); सुरक्षा, प्रयोज्यता और परिनियोजन के संबंध में तीस प्रतिनिधि प्रस्तावित प्रतिस्थापनों की जांच में वे निष्कर्ष निकालते हैं कि कोई भी उन लाभों के पूर्ण सेट को घोषित नहीं रखता है जो लेगसी पासवर्ड पहले से ही प्रदान करते हैं।
+* [[एक बारी पासवर्ड|एक बार उपयोग करने योग्य पासवर्ड]]- केवल एक बार मान्य पासवर्ड होने से कई संभावित आक्षेप अप्रभावी हो जाते हैं। अधिकांश उपयोगकर्ताओं को एकल-उपयोग पासवर्ड अत्यंत उपयुक्त लगता है। हालाँकि, उन्हें व्यक्तिगत ऑनलाइन बैंकिंग में व्यापक रूप से लागू किया गया है, जहाँ उन्हें लेनदेन प्रमाणीकरण संख्या (TAN) के रूप में जाना जाता है।, चूंकि अधिकांश घरेलू उपयोगकर्ता प्रत्येक सप्ताह केवल कुछ ही लेन-देन करते हैं, इसलिए एकल-उपयोग समस्या के कारण इस स्थिति में असह्म ग्राहक विरक्ति नहीं हुआ है।
+* [[टाइम-सिंक्रोनाइज़्ड वन-टाइम पासवर्ड]] कुछ तरीकों में एक बार उपयोग योग्य पासवर्ड के समान हैं, लेकिन प्रविष्ट किया जाने वाला मान एक छोटे ( सामान्यतः रखने योग्य ) विषय पर प्रदर्शित होता है और प्रत्येक मिनट में बदलता है।
+* [[पासविंडो]] वन-टाइम पासवर्ड का उपयोग एकल-उपयोग पासवर्ड के रूप में किया जाता है, लेकिन प्रविष्ट किए जाने वाले गतिशील वर्ण केवल तभी दिखाई देते हैं जब उपयोगकर्ता एक अद्वितीय मुद्रित दृश्य कुंजी को उपयोगकर्ता की स्क्रीन पर दिखाई गई सर्वर-जनित आक्षेप छवि पर आरोपित करता है।
+* सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी पर आधारित अभिगम नियंत्रण उदा. [[सुरक्षित खोल|ssh]] आवश्यक कुंजियाँ सामान्यतः याद रखने के लिए बहुत बड़ी होती हैं (लेकिन प्रस्ताव पासमेज़ देखें)<ref>[http://eprint.iacr.org/2005/434 Cryptology ePrint Archive: Report 2005/434] {{webarchive|url=https://web.archive.org/web/20060614024642/http://eprint.iacr.org/2005/434 |date=2006-06-14 }}. eprint.iacr.org. Retrieved on 2012-05-20.</ref> और एक स्थानीय कंप्यूटर, [[सुरक्षा टोकन]] या पोर्टेबल मेमोरी उपकरण, जैसे [[यूएसबी फ्लैश ड्राइव|USB फ्लैश ड्राइव]] या [[फ्लॉपी डिस्क]] पर संग्रहीत होना चाहिए। निजी कुंजी को क्लाउड सेवा प्रदाता पर संग्रहीत किया जा सकता है, और पासवर्ड या दो-कारक प्रमाणीकरण के उपयोग से सक्रिय किया जा सकता है।
+* [[बॉयोमीट्रिक]] विधि अपरिवर्तनीय व्यक्तिगत विशेषताओं के आधार पर प्रमाणीकरण का वादा करती है, लेकिन वर्तमान में (2008) में उच्च त्रुटि दर है और अवलोकन करने के लिए अतिरिक्त हार्डवेयर की आवश्यकता होती है,{{needs update|date=July 2021}} उदाहरण के लिए, फिंगरप्रिन्ट, आइरिस, आदि। व्यावसायिक रूप से उपलब्ध प्रणालियों का परीक्षण करने वाली कुछ प्रसिद्ध घटनाओं में उनकी नकल करना आसान प्रमाणित हुआ है, उदाहरण के लिए, गम्मी [[अंगुली की छाप|फिंगरप्रिन्ट]] स्पूफ प्रदर्शन,<ref>{{cite journal|author1=T Matsumoto. H Matsumotot |author2=K Yamada |author3=S Hoshino  |name-list-style=amp |title= फ़िंगरप्रिंट सिस्टम पर कृत्रिम 'गमी' उंगलियों का प्रभाव|journal= Proc SPIE|volume= 4677|doi=10.1117/12.462719|page=275 |year=2002|series=Optical Security and Counterfeit Deterrence Techniques IV |bibcode=2002SPIE.4677..275M |s2cid=16897825 }}</ref> और, क्योंकि ये विशेषताएँ अपरिवर्तनीय हैं, समाधान किए जाने पर इन्हें बदला नहीं जा सकता है; अभिगम नियंत्रण में यह एक अत्यधिक महत्वपूर्ण विचार है क्योंकि एक समाधान अभिगम टोकन आवश्यक रूप से असुरक्षित है।
+* सिंगलसाइन-ऑन तकनीक का अनुरोध किया जाता है कि यह कई पासवर्ड रखने की आवश्यकता को समाप्त कर देती है। ऐसी योजनाएँ उपयोगकर्ताओं और प्रशासकों को उपयुक्त एक पासवर्ड चयन करने से सेवा से मुक्त नहीं करती हैं, न ही सिस्टम डिज़ाइनर या प्रशासकों को यह सुनिश्चित करने से रोकते है कि एकल साइन-ऑन को सक्षम करने वाली प्रणालियों के बीच पारित निजी अभिगम नियंत्रण जानकारी आक्षेप से सुरक्षित है। अभी तक, कोई समाधानकारी मानक विकसित नहीं किया गया है।
+* एन्वॉल्टिंग तकनीक USB फ्लैश ड्राइव जैसे हटाने योग्य भंडारण उपकरण पर डेटा सुरक्षित करने का एक पासवर्ड-मुक्त तरीका है। उपयोगकर्ता पासवर्ड के अतिरिक्त, अभिगम नियंत्रण नेटवर्क संसाधन तक उपयोगकर्ता की पहुंच पर आधारित होता है।
+* गैर-टेक्स्ट-आधारित पासवर्ड, जैसे [[ग्राफिकल पासवर्ड]] या माउस-संचलन आधारित पासवर्ड।<ref>[http://waelchatila.com/2005/09/18/1127075317148.html Using AJAX for Image Passwords – AJAX Security Part 1 of 3] {{webarchive|url=https://web.archive.org/web/20060616132332/http://waelchatila.com/2005/09/18/1127075317148.html |date=2006-06-16 }}. waelchatila.com (2005-09-18). Retrieved on 2012-05-20.</ref> ग्राफिकल पासवर्ड पारंपरिक पासवर्ड के स्थान पर लॉग-इन के लिए [[प्रमाणीकरण]] का एक वैकल्पिक साधन है; वे अक्षर (वर्णमाला), [[संख्यात्मक अंक]] या [[विशेष वर्ण]] के अतिरिक्त [[छवि]]यों, [[ग्राफिक्स]] या रंगों का उपयोग करते हैं। एक प्रणाली के लिए उपयोगकर्ताओं को पासवर्ड के रूप में चेहरे (FACE) की श्रृंखला का चयन करने की आवश्यकता होती है, जिससे [[मानव मस्तिष्क]] की आसानी से धारणा का सामना करने की क्षमता का उपयोग होता है।<ref>Butler, Rick A. (2004-12-21) [http://mcpmag.com/reviews/products/article.asp?EditorialsID=486 Face in the Crowd] {{webarchive|url=https://web.archive.org/web/20060627235632/http://mcpmag.com/reviews/products/article.asp?EditorialsID=486 |date=2006-06-27 }}. mcpmag.com. Retrieved on 2012-05-20.</ref> कुछ कार्यान्वयनों में उपयोगकर्ता को अभिगम प्राप्त करने के लिए सही क्रम में छवियों की श्रृंखला से चुनने की आवश्यकता होती है।<ref>[http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1001829,00.html graphical password or graphical user authentication (GUA)] {{webarchive|url=https://web.archive.org/web/20090221192235/http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1001829,00.html |date=2009-02-21 }}. searchsecurity.techtarget.com. Retrieved on 2012-05-20.</ref> एक अन्य ग्राफिकल पासवर्ड उपाय छवियों के एक अव्यवस्थिततः से उत्पन्न ग्रिड का उपयोग करके एक बार का पासवर्ड बनाता है। प्रत्येक बार उपयोगकर्ता को प्रमाणित करने की आवश्यकता होती है, वे उन छवियों का अवलोकन करते हैं जो उनकी पूर्व-चयनित श्रेणियों में उपयुक्त होती हैं और यादृच्छिक रूप से उत्पन्न अक्षरांकीय वर्ण प्रविष्ट करती हैं जो एक-बार पासवर्ड बनाने के लिए छवि में दिखाई देती हैं।<ref name="Images Could Change the Authentication Picture">{{cite web |url=http://www.darkreading.com/authentication/security/client/showArticle.jhtml?articleID=228200140 |title=छवियां प्रमाणीकरण चित्र को बदल सकती हैं|author=Ericka Chickowski |publisher=Dark Reading |date=2010-11-03 |url-status=live |archive-url=https://web.archive.org/web/20101110034234/http://www.darkreading.com/authentication/security/client/showArticle.jhtml?articleID=228200140 |archive-date=2010-11-10 }}</ref><ref name="कॉन्फिडेंट टेक्नोलॉजीज सार्वजनिक-सामना करने वाली वेबसाइटों पर पासवर्ड को मजबूत करने के लिए छवि-आधारित, बहु-कारक प्रमाणीकरण प्रदान करती है">{{cite web|url=http://www.marketwire.com/press-release/Confident-Technologies-Delivers-Image-Based-Multifactor-Authentication-Strengthen-Passwords-1342854.htm|title=कॉन्फिडेंट टेक्नोलॉजीज सार्वजनिक-सामना करने वाली वेबसाइटों पर पासवर्ड को मजबूत करने के लिए छवि-आधारित, बहु-कारक प्रमाणीकरण प्रदान करती है|date=2010-10-28|url-status=live|archive-url=https://web.archive.org/web/20101107185604/http://www.marketwire.com/press-release/Confident-Technologies-Delivers-Image-Based-Multifactor-Authentication-Strengthen-Passwords-1342854.htm|archive-date=2010-11-07}}</ref> अब तक, ग्राफिकल पासवर्ड आशाजनक हैं, लेकिन व्यापक रूप से उपयोग नहीं किए जाते हैं। वास्तविक दुनिया में इसकी उपयोगिता निर्धारित करने के लिए इस विषय पर अध्ययन किए गए हैं। जबकि कुछ का मानना है कि ग्राफिकल पासवर्ड, पासवर्ड क्रैकिंग के लिए कठिन होंगे, दूसरों का सुझाव है कि लोग सामान्य छवियों या अनुक्रमों को चयन की उतनी ही संभावना रखते हैं जितनी कि वे सामान्य पासवर्ड चुनते हैं।{{Citation needed|date=September 2009}}
+* 2D कुंजी (2-द्वि-आयामी द्विविम कुंजी)<ref>[http://www.xpreeli.com/doc/manual_2DKey_2.0.pdf User Manual for 2-Dimensional Key (2D Key) Input Method and System] {{webarchive|url=https://web.archive.org/web/20110718132313/http://www.xpreeli.com/doc/manual_2DKey_2.0.pdf |date=2011-07-18 }}. xpreeli.com. (2008-09-08) . Retrieved on 2012-05-20.</ref> MePKC (स्मरणीय सार्वजनिक-कुंजी क्रिप्टोग्राफी) का अनुभव करने के लिए 128 बिट्स से अधिक बड़ा पासवर्ड/कुंजी बनाने के लिए वैकल्पिक शाब्दिक शब्दार्थ अनभिप्रेत संकेत के साथ [[मल्टीलाइन]] [[पासफ्रेज]], क्रॉसवर्ड,ASCII/यूनिकोड कला की प्रमुख शैलियों वाली एक 2D मैट्रिक्स जैसी कुंजी इनपुट विधि है।<ref>Kok-Wah Lee "Methods and Systems to Create Big Memorizable Secrets and Their Applications" Patent [https://www.google.com/patents/US20110055585 US20110055585] {{webarchive|url=https://web.archive.org/web/20150413212055/http://www.google.com/patents/US20110055585 |date=2015-04-13 }}, [https://archive.today/20120805193738/http://www.wipo.int/pctdb/en/wo.jsp?WO=2010010430 WO2010010430]. Filing date: December 18, 2008</ref> एन्क्रिप्टेड निजी कुंजी, विभाजित निजी कुंजी और रोमिंग निजी कुंजी जैसी वर्तमान निजी कुंजी प्रबंधन तकनीकों पर पूरी तरह से याद रखने योग्य निजी कुंजी का उपयोग करना।
+* [[संज्ञानात्मक पासवर्ड]] पहचान सत्यापित करने के लिए प्रश्न और उत्तर संकेत/प्रतिक्रिया युग्म का उपयोग करते हैं।
+== "निष्क्रिय पासवर्ड<nowiki>''</nowiki> ==
+निष्क्रिय पासवर्ड कंप्यूटर सुरक्षा में एक आवर्ती विचार है। दिए गए कारणों में प्रायः पासवर्ड की उपयोगिता के साथ-साथ सुरक्षा समस्याओं का संदर्भ सम्मिलित होता है। यह प्रायः तर्कों के साथ आता है कि प्रमाणीकरण के अधिक सुरक्षित माध्यम से पासवर्ड का प्रतिस्थापन आवश्यक और आसन्न दोनों है। यह दावा कम से कम 2004 से कई लोगों द्वारा किया गया है।<ref name="CNET" /><ref>{{cite news |last1=Kotadia |first1=Munir |title=गेट्स पासवर्ड की मौत की भविष्यवाणी करता है|url=https://www.zdnet.com/article/gates-predicts-death-of-the-password/ |work=ZDNet |access-date=8 May 2019 |date=25 February 2004}}</ref><ref>{{cite web |url=http://www-03.ibm.com/press/us/en/pressrelease/36290.wss |title=आईबीएम ने पांच नवाचारों का खुलासा किया जो पांच साल के भीतर हमारे जीवन को बदल देंगे|publisher=IBM |date=2011-12-19 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150317041625/http://www-03.ibm.com/press/us/en/pressrelease/36290.wss |archive-date=2015-03-17 }}</ref><ref>{{cite magazine |url=https://www.wired.com/2012/11/ff-mat-honan-password-hacker/ |title=पासवर्ड को समाप्त करें: वर्णों का एक समूह अब हमारी रक्षा क्यों नहीं कर सकता|magazine=Wired |date=2012-05-15 |access-date=2015-03-14 |first=Mat |last=Honan |url-status=live |archive-url=https://web.archive.org/web/20150316003756/http://www.wired.com/2012/11/ff-mat-honan-password-hacker/ |archive-date=2015-03-16 }}</ref><ref>{{cite web |url=https://www.cnet.com/news/google-security-exec-passwords-are-dead/ |title=Google सुरक्षा कार्यकारी: 'पासवर्ड मर चुके हैं'|website=CNET |date=2004-02-25 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150402115129/http://www.cnet.com/news/google-security-exec-passwords-are-dead/ |archive-date=2015-04-02 }}</ref><ref>{{cite web |url=http://www.computer.org/csdl/mags/sp/2013/01/msp2013010015-abs.html |title=पैमाने पर प्रमाणीकरण|publisher=IEEE |date=2013-01-25 |access-date=2015-03-12 |url-status=live |archive-url=https://web.archive.org/web/20150402141104/http://www.computer.org/csdl/mags/sp/2013/01/msp2013010015-abs.html |archive-date=2015-04-02 }}</ref><ref>{{cite news |url=https://www.wsj.com/articles/the-password-is-finally-dying-heres-mine-1405298376 |title=पासवर्ड अंत में मर रहा है। ये मेरा|newspaper=Wall Street Journal |date=2014-07-14 |access-date=2015-03-14 |first=Christopher |last=Mims |url-status=live |archive-url=https://web.archive.org/web/20150313141548/http://www.wsj.com/articles/the-password-is-finally-dying-heres-mine-1405298376 |archive-date=2015-03-13 }}</ref><ref>{{cite magazine |url=http://www.computerworld.com/article/2490980/security0/russian-credential-theft-shows-why-the-password-is-dead.html |title=रूसी क्रेडेंशियल चोरी से पता चलता है कि पासवर्ड मृत क्यों है|magazine=Computer World |date=2014-08-14 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150402132011/http://www.computerworld.com/article/2490980/security0/russian-credential-theft-shows-why-the-password-is-dead.html |archive-date=2015-04-02 }}</ref>
-== प्रमाणीकरण के लिए पासवर्ड के विकल्प ==
+पासवर्ड के विकल्पों में बायोमेट्रिक्स, [[दो तरीकों से प्रमाणीकरण]] या सिर्फ साइन-ऑन, माइक्रोसॉफ्ट का [[कार्डस्पेस]], [[हिगिंस परियोजना]], [[लिबर्टी एलायंस]], [[एनएसटीआईसी|NSTIC]], FIDO एलायंस और विभिन्न पहचान 2.0 प्रस्ताव सम्मिलित हैं।<ref>{{cite web |url=http://fedscoop.com/nstic-head-jeremy-grant-wants-kill-passwords |title=NSTIC के प्रमुख जेरेमी ग्रांट पासवर्ड को खत्म करना चाहते हैं|publisher=Fedscoop |date=2014-09-14 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150318060936/http://fedscoop.com/nstic-head-jeremy-grant-wants-kill-passwords |archive-date=2015-03-18 }}</ref><ref>{{cite web |url=https://fidoalliance.org/specifications |title=निर्दिष्टीकरण अवलोकन|publisher=FIDO Alliance |date=2014-02-25 |access-date=2015-03-15 |url-status=live |archive-url=https://web.archive.org/web/20150315054954/https://fidoalliance.org/specifications |archive-date=2015-03-15 }}</ref>
-कई तरीकों से स्थायी या अर्ध-स्थायी पासवर्ड से समझौता किया जा सकता है, जिसने अन्य तकनीकों के विकास को प्रेरित किया है। दुर्भाग्य से, कुछ अभ्यास में अपर्याप्त हैं, और किसी भी मामले में कुछ अधिक सुरक्षित विकल्प चाहने वाले उपयोगकर्ताओं के लिए सार्वभौमिक रूप से उपलब्ध हो गए हैं।<ref>{{Cite web |title=हैकर्स द्वारा उपयोग की जाने वाली शीर्ष 12 पासवर्ड-क्रैकिंग तकनीकें|url=https://www.itpro.co.uk/security/34616/the-top-password-cracking-techniques-used-by-hackers |access-date=2022-07-18 |website=IT PRO |language=en}}</ref> 2012 का एक पेपर<ref>{{cite web |url=http://research.microsoft.com/pubs/161585/QuestToReplacePasswords.pdf |title=पासवर्ड बदलने की खोज (पीडीएफ)|publisher=IEEE |date=2012-05-15 |access-date=2015-03-11 |url-status=live |archive-url=https://web.archive.org/web/20150319050624/http://research.microsoft.com/pubs/161585/QuestToReplacePasswords.pdf |archive-date=2015-03-19 }}</ref> जांच करता है कि पासवर्ड बदलने के लिए इतना कठिन क्यों साबित हुआ है (कई भविष्यवाणियों के होने पर भी कि वे जल्द ही अतीत की बात बन जाएंगे<ref name="CNET">{{cite web |url=http://news.cnet.com/2100-1029-5164733.html |title=गेट्स पासवर्ड की मौत की भविष्यवाणी करता है|website=CNET |date=2004-02-25 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150402133435/http://news.cnet.com/2100-1029-5164733.html |archive-date=2015-04-02 }}</ref>); सुरक्षा, प्रयोज्यता और परिनियोजन के संबंध में तीस प्रतिनिधि प्रस्तावित प्रतिस्थापनों की जांच में वे निष्कर्ष निकालते हैं कि कोई भी उन लाभों के पूर्ण सेट को बरकरार नहीं रखता है जो विरासती पासवर्ड पहले से ही प्रदान करते हैं।
+हालाँकि, इन पूर्वानुमान और उन्हें परिवर्तनों के प्रयासों के होने पर भी पासवर्ड अभी भी वेब पर प्रमाणीकरण का प्रमुख रूप है। पासवर्ड की दृढ़ता में, कॉर्मैक हर्ले और पॉल वैन ओरशोट सुझाव देते हैं कि असाधारण रूप से गलत धारणा को समाप्त करने के लिए प्रत्येक संभव प्रयास किया जाना चाहिए कि पासवर्ड निष्क्रिय हैं।<ref>{{cite web |url=http://research.microsoft.com/apps/pubs/?id=154077 |title=पासवर्ड की दृढ़ता को स्वीकार करते हुए एक शोध एजेंडा|publisher=IEEE Security&Privacy |date=Jan 2012 |access-date=2015-06-20 |url-status=live |archive-url=https://web.archive.org/web/20150620182839/http://research.microsoft.com/apps/pubs/?id=154077 |archive-date=2015-06-20 }}</ref>
-* [[एक बारी पासवर्ड]] | सिंगल-यूज़ पासवर्ड। केवल एक बार मान्य पासवर्ड होने से कई संभावित हमले अप्रभावी हो जाते हैं। अधिकांश उपयोगकर्ताओं को एकल-उपयोग पासवर्ड अत्यंत असुविधाजनक लगता है। हालाँकि, उन्हें व्यक्तिगत [[[[टैन (बैंकिंग)]]]] में व्यापक रूप से लागू किया गया है, जहाँ उन्हें TAN (बैंकिंग) (TAN) के रूप में जाना जाता है। चूंकि अधिकांश घरेलू उपयोगकर्ता प्रत्येक सप्ताह केवल कुछ ही लेन-देन करते हैं, इसलिए एकल-उपयोग समस्या के कारण इस मामले में असहनीय ग्राहक असंतोष नहीं हुआ है।
-* [[टाइम-सिंक्रोनाइज़्ड वन-टाइम पासवर्ड]] कुछ मायनों में सिंगल-यूज़ पासवर्ड के समान हैं, लेकिन दर्ज किया जाने वाला मान एक छोटे ( सामान्यतः पॉकेटेबल) आइटम पर प्रदर्शित होता है और हर मिनट में बदलता है।
-* [[पासविंडो]] वन-टाइम पासवर्ड का उपयोग एकल-उपयोग पासवर्ड के रूप में किया जाता है, लेकिन दर्ज किए जाने वाले डायनामिक वर्ण केवल तभी दिखाई देते हैं जब उपयोगकर्ता उपयोगकर्ता की स्क्रीन पर दिखाई गई सर्वर-जनित चुनौती छवि पर एक अद्वितीय मुद्रित दृश्य कुंजी को सुपरइम्पोज़ करता है।
-* सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी पर आधारित अभिगम नियंत्रण उदा. [[सुरक्षित खोल]]। आवश्यक कुंजियाँ  सामान्यतः याद रखने के लिए बहुत बड़ी होती हैं (लेकिन प्रस्ताव Passmaze देखें)<ref>[http://eprint.iacr.org/2005/434 Cryptology ePrint Archive: Report 2005/434] {{webarchive|url=https://web.archive.org/web/20060614024642/http://eprint.iacr.org/2005/434 |date=2006-06-14 }}. eprint.iacr.org. Retrieved on 2012-05-20.</ref> और एक स्थानीय कंप्यूटर, [[सुरक्षा टोकन]] या पोर्टेबल मेमोरी डिवाइस, जैसे [[यूएसबी फ्लैश ड्राइव]] या [[फ्लॉपी डिस्क]] पर संग्रहीत होना चाहिए। निजी कुंजी को क्लाउड सेवा प्रदाता पर संग्रहीत किया जा सकता है, और पासवर्ड या दो-कारक प्रमाणीकरण के उपयोग से सक्रिय किया जा सकता है।
-* [[बॉयोमीट्रिक]] विधि अपरिवर्तनीय व्यक्तिगत विशेषताओं के आधार पर प्रमाणीकरण का वादा करती है, लेकिन वर्तमान में (2008) में उच्च त्रुटि दर है और स्कैन करने के लिए अतिरिक्त हार्डवेयर की आवश्यकता होती है,{{needs update|date=July 2021}} उदाहरण के लिए, उंगलियों के निशान, आइरिस (शरीर रचना), आदि। व्यावसायिक रूप से उपलब्ध प्रणालियों का परीक्षण करने वाली कुछ प्रसिद्ध घटनाओं में उनकी नकल करना आसान साबित हुआ है, उदाहरण के लिए, गम्मी [[अंगुली की छाप]] स्पूफ प्रदर्शन,<ref>{{cite journal|author1=T Matsumoto. H Matsumotot |author2=K Yamada |author3=S Hoshino  |name-list-style=amp |title= फ़िंगरप्रिंट सिस्टम पर कृत्रिम 'गमी' उंगलियों का प्रभाव|journal= Proc SPIE|volume= 4677|doi=10.1117/12.462719|page=275 |year=2002|series=Optical Security and Counterfeit Deterrence Techniques IV |bibcode=2002SPIE.4677..275M |s2cid=16897825 }}</ref> और, क्योंकि ये विशेषताएँ अपरिवर्तनीय हैं, समझौता किए जाने पर इन्हें बदला नहीं जा सकता है; एक्सेस कंट्रोल में यह एक अत्यधिक महत्वपूर्ण विचार है क्योंकि एक समझौता एक्सेस टोकन आवश्यक रूप से असुरक्षित है।
-* एकल साइन-ऑन तकनीक का दावा किया जाता है कि यह कई पासवर्ड रखने की आवश्यकता को समाप्त कर देती है। ऐसी योजनाएँ उपयोगकर्ताओं और प्रशासकों को उचित एकल पासवर्ड चुनने से राहत नहीं देती हैं, न ही सिस्टम डिज़ाइनर या प्रशासकों को यह सुनिश्चित करने से राहत मिलती है कि एकल साइन-ऑन को सक्षम करने वाली प्रणालियों के बीच पारित निजी अभिगम नियंत्रण जानकारी हमले से सुरक्षित है। अभी तक, कोई संतोषजनक मानक विकसित नहीं किया गया है।
-* एन्वॉल्टिंग तकनीक USB फ्लैश ड्राइव जैसे रिमूवेबल स्टोरेज डिवाइस पर डेटा सुरक्षित करने का एक पासवर्ड-मुक्त तरीका है। उपयोगकर्ता पासवर्ड के अतिरिक्त, अभिगम नियंत्रण नेटवर्क संसाधन तक उपयोगकर्ता की पहुंच पर आधारित होता है।
-* गैर-पाठ-आधारित पासवर्ड, जैसे [[ग्राफिकल पासवर्ड]] या माउस-मूवमेंट आधारित पासवर्ड।<ref>[http://waelchatila.com/2005/09/18/1127075317148.html Using AJAX for Image Passwords – AJAX Security Part 1 of 3] {{webarchive|url=https://web.archive.org/web/20060616132332/http://waelchatila.com/2005/09/18/1127075317148.html |date=2006-06-16 }}. waelchatila.com (2005-09-18). Retrieved on 2012-05-20.</ref> ग्राफिकल पासवर्ड पारंपरिक पासवर्ड के स्थान पर लॉग-इन के लिए [[प्रमाणीकरण]] का एक वैकल्पिक साधन है; वे अक्षर (वर्णमाला), [[संख्यात्मक अंक]] या [[विशेष वर्ण]]ों के अतिरिक्त [[छवि]]यों, [[ग्राफिक्स]] या रंगों का उपयोग करते हैं। एक प्रणाली के लिए उपयोगकर्ताओं को पासवर्ड के रूप में चेहरों की एक श्रृंखला का चयन करने की आवश्यकता होती है, जिससे [[मानव मस्तिष्क]] की आसानी से धारणा का सामना करने की क्षमता का उपयोग होता है।<ref>Butler, Rick A. (2004-12-21) [http://mcpmag.com/reviews/products/article.asp?EditorialsID=486 Face in the Crowd] {{webarchive|url=https://web.archive.org/web/20060627235632/http://mcpmag.com/reviews/products/article.asp?EditorialsID=486 |date=2006-06-27 }}. mcpmag.com. Retrieved on 2012-05-20.</ref> कुछ कार्यान्वयनों में उपयोगकर्ता को पहुँच प्राप्त करने के लिए सही क्रम में छवियों की एक श्रृंखला से चुनने की आवश्यकता होती है।<ref>[http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1001829,00.html graphical password or graphical user authentication (GUA)] {{webarchive|url=https://web.archive.org/web/20090221192235/http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1001829,00.html |date=2009-02-21 }}. searchsecurity.techtarget.com. Retrieved on 2012-05-20.</ref> एक अन्य ग्राफिकल पासवर्ड समाधान छवियों के एक बेतरतीब ढंग से उत्पन्न ग्रिड का उपयोग करके एक बार का पासवर्ड बनाता है। हर बार उपयोगकर्ता को प्रमाणित करने की आवश्यकता होती है, वे उन छवियों की तलाश करते हैं जो उनकी पूर्व-चयनित श्रेणियों में फिट होती हैं और यादृच्छिक रूप से उत्पन्न अल्फ़ान्यूमेरिक वर्ण दर्ज करती हैं जो एक-बार पासवर्ड बनाने के लिए छवि में दिखाई देती हैं।<ref name="Images Could Change the Authentication Picture">{{cite web |url=http://www.darkreading.com/authentication/security/client/showArticle.jhtml?articleID=228200140 |title=छवियां प्रमाणीकरण चित्र को बदल सकती हैं|author=Ericka Chickowski |publisher=Dark Reading |date=2010-11-03 |url-status=live |archive-url=https://web.archive.org/web/20101110034234/http://www.darkreading.com/authentication/security/client/showArticle.jhtml?articleID=228200140 |archive-date=2010-11-10 }}</ref><ref name="कॉन्फिडेंट टेक्नोलॉजीज सार्वजनिक-सामना करने वाली वेबसाइटों पर पासवर्ड को मजबूत करने के लिए छवि-आधारित, बहु-कारक प्रमाणीकरण प्रदान करती है">{{cite web|url=http://www.marketwire.com/press-release/Confident-Technologies-Delivers-Image-Based-Multifactor-Authentication-Strengthen-Passwords-1342854.htm|title=कॉन्फिडेंट टेक्नोलॉजीज सार्वजनिक-सामना करने वाली वेबसाइटों पर पासवर्ड को मजबूत करने के लिए छवि-आधारित, बहु-कारक प्रमाणीकरण प्रदान करती है|date=2010-10-28|url-status=live|archive-url=https://web.archive.org/web/20101107185604/http://www.marketwire.com/press-release/Confident-Technologies-Delivers-Image-Based-Multifactor-Authentication-Strengthen-Passwords-1342854.htm|archive-date=2010-11-07}}</ref> अब तक, ग्राफिकल पासवर्ड आशाजनक हैं, लेकिन व्यापक रूप से उपयोग नहीं किए जाते हैं। वास्तविक दुनिया में इसकी उपयोगिता निर्धारित करने के लिए इस विषय पर अध्ययन किए गए हैं। जबकि कुछ का मानना है कि ग्राफिकल पासवर्ड पासवर्ड क्रैकिंग के लिए कठिन होंगे, दूसरों का सुझाव है कि लोग सामान्य छवियों या अनुक्रमों को चुनने की उतनी ही संभावना रखते हैं जितनी कि वे सामान्य पासवर्ड चुनते हैं।{{Citation needed|date=September 2009}}
-* 2D कुंजी (2-आयामी कुंजी)<ref>[http://www.xpreeli.com/doc/manual_2DKey_2.0.pdf User Manual for 2-Dimensional Key (2D Key) Input Method and System] {{webarchive|url=https://web.archive.org/web/20110718132313/http://www.xpreeli.com/doc/manual_2DKey_2.0.pdf |date=2011-07-18 }}. xpreeli.com. (2008-09-08) . Retrieved on 2012-05-20.</ref> MePKC (यादगार सार्वजनिक-कुंजी क्रिप्टोग्राफी) का एहसास करने के लिए 128 बिट्स से परे बड़ा पासवर्ड/कुंजी बनाने के लिए वैकल्पिक टेक्स्ट सिमेंटिक शोर के साथ मल्टीलाइन पासफ्रेज, क्रॉसवर्ड, एएससीआईआई/यूनिकोड कला की प्रमुख शैलियों वाली एक 2डी मैट्रिक्स जैसी कुंजी इनपुट विधि है।<ref>Kok-Wah Lee "Methods and Systems to Create Big Memorizable Secrets and Their Applications" Patent [https://www.google.com/patents/US20110055585 US20110055585] {{webarchive|url=https://web.archive.org/web/20150413212055/http://www.google.com/patents/US20110055585 |date=2015-04-13 }}, [https://archive.today/20120805193738/http://www.wipo.int/pctdb/en/wo.jsp?WO=2010010430 WO2010010430]. Filing date: December 18, 2008</ref> एन्क्रिप्टेड निजी कुंजी, विभाजित निजी कुंजी और रोमिंग निजी कुंजी जैसी वर्तमान निजी कुंजी प्रबंधन तकनीकों पर पूरी तरह से याद रखने योग्य निजी कुंजी का उपयोग करना।
-* [[संज्ञानात्मक पासवर्ड]] पहचान सत्यापित करने के लिए प्रश्न और उत्तर क्यू/प्रतिक्रिया जोड़े का उपयोग करते हैं।
-== पासवर्ड मर चुका है ==
+उनका तर्क है कि कोई भी अन्य सिर्फ एक तकनीक कीमत, तात्कालिक और सुविधा के उनके संयोजन से अनुरूप नहीं होती है और यह कि पासवर्ड स्वयं उन कई परिदृश्यों के लिए सबसे उपयुक्त हैं जिनमें वे वर्तमान में उपयोग किए जा रहे हैं।
- पासवर्ड मर चुका है कंप्यूटर सुरक्षा में एक आवर्ती विचार है। दिए गए कारणों में प्रायः पासवर्ड की उपयोगिता के साथ-साथ सुरक्षा समस्याओं का संदर्भ सम्मिलित होता है। यह प्रायः तर्कों के साथ आता है कि प्रमाणीकरण के अधिक सुरक्षित माध्यम से पासवर्ड का प्रतिस्थापन आवश्यक और आसन्न दोनों है। यह दावा कम से कम 2004 से कई लोगों द्वारा किया गया है।<ref name="CNET"/><ref>{{cite news |last1=Kotadia |first1=Munir |title=गेट्स पासवर्ड की मौत की भविष्यवाणी करता है|url=https://www.zdnet.com/article/gates-predicts-death-of-the-password/ |work=ZDNet |access-date=8 May 2019 |date=25 February 2004}}</ref><ref>{{cite web |url=http://www-03.ibm.com/press/us/en/pressrelease/36290.wss |title=आईबीएम ने पांच नवाचारों का खुलासा किया जो पांच साल के भीतर हमारे जीवन को बदल देंगे|publisher=IBM |date=2011-12-19 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150317041625/http://www-03.ibm.com/press/us/en/pressrelease/36290.wss |archive-date=2015-03-17 }}</ref><ref>{{cite magazine |url=https://www.wired.com/2012/11/ff-mat-honan-password-hacker/ |title=पासवर्ड को समाप्त करें: वर्णों का एक समूह अब हमारी रक्षा क्यों नहीं कर सकता|magazine=Wired |date=2012-05-15 |access-date=2015-03-14 |first=Mat |last=Honan |url-status=live |archive-url=https://web.archive.org/web/20150316003756/http://www.wired.com/2012/11/ff-mat-honan-password-hacker/ |archive-date=2015-03-16 }}</ref><ref>{{cite web |url=https://www.cnet.com/news/google-security-exec-passwords-are-dead/ |title=Google सुरक्षा कार्यकारी: 'पासवर्ड मर चुके हैं'|website=CNET |date=2004-02-25 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150402115129/http://www.cnet.com/news/google-security-exec-passwords-are-dead/ |archive-date=2015-04-02 }}</ref><ref>{{cite web |url=http://www.computer.org/csdl/mags/sp/2013/01/msp2013010015-abs.html |title=पैमाने पर प्रमाणीकरण|publisher=IEEE |date=2013-01-25 |access-date=2015-03-12 |url-status=live |archive-url=https://web.archive.org/web/20150402141104/http://www.computer.org/csdl/mags/sp/2013/01/msp2013010015-abs.html |archive-date=2015-04-02 }}</ref><ref>{{cite news |url=https://www.wsj.com/articles/the-password-is-finally-dying-heres-mine-1405298376 |title=पासवर्ड अंत में मर रहा है। ये मेरा|newspaper=Wall Street Journal |date=2014-07-14 |access-date=2015-03-14 |first=Christopher |last=Mims |url-status=live |archive-url=https://web.archive.org/web/20150313141548/http://www.wsj.com/articles/the-password-is-finally-dying-heres-mine-1405298376 |archive-date=2015-03-13 }}</ref><ref>{{cite magazine |url=http://www.computerworld.com/article/2490980/security0/russian-credential-theft-shows-why-the-password-is-dead.html |title=रूसी क्रेडेंशियल चोरी से पता चलता है कि पासवर्ड मृत क्यों है|magazine=Computer World |date=2014-08-14 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150402132011/http://www.computerworld.com/article/2490980/security0/russian-credential-theft-shows-why-the-password-is-dead.html |archive-date=2015-04-02 }}</ref>
-पासवर्ड के विकल्पों में बायोमेट्रिक्स, [[दो तरीकों से प्रमाणीकरण]] या सिंगल साइन-ऑन, माइक्रोसॉफ्ट का [[कार्डस्पेस]], [[हिगिंस परियोजना]], [[लिबर्टी एलायंस]], [[एनएसटीआईसी]], एफआईडीओ एलायंस और विभिन्न आइडेंटिटी 2.0 प्रस्ताव सम्मिलित हैं।<ref>{{cite web |url=http://fedscoop.com/nstic-head-jeremy-grant-wants-kill-passwords |title=NSTIC के प्रमुख जेरेमी ग्रांट पासवर्ड को खत्म करना चाहते हैं|publisher=Fedscoop |date=2014-09-14 |access-date=2015-03-14 |url-status=live |archive-url=https://web.archive.org/web/20150318060936/http://fedscoop.com/nstic-head-jeremy-grant-wants-kill-passwords |archive-date=2015-03-18 }}</ref><ref>{{cite web |url=https://fidoalliance.org/specifications |title=निर्दिष्टीकरण अवलोकन|publisher=FIDO Alliance |date=2014-02-25 |access-date=2015-03-15 |url-status=live |archive-url=https://web.archive.org/web/20150315054954/https://fidoalliance.org/specifications |archive-date=2015-03-15 }}</ref>
-हालाँकि, इन भविष्यवाणियों और उन्हें बदलने के प्रयासों के होने पर भी पासवर्ड अभी भी वेब पर प्रमाणीकरण का प्रमुख रूप है। पासवर्ड की दृढ़ता में, कॉर्मैक हर्ले और पॉल वैन ओरशोट सुझाव देते हैं कि शानदार गलत धारणा को समाप्त करने के लिए हर संभव प्रयास किया जाना चाहिए कि पासवर्ड मर चुके हैं।<ref>{{cite web |url=http://research.microsoft.com/apps/pubs/?id=154077 |title=पासवर्ड की दृढ़ता को स्वीकार करते हुए एक शोध एजेंडा|publisher=IEEE Security&Privacy |date=Jan 2012 |access-date=2015-06-20 |url-status=live |archive-url=https://web.archive.org/web/20150620182839/http://research.microsoft.com/apps/pubs/?id=154077 |archive-date=2015-06-20 }}</ref>
-उनका तर्क है कि कोई भी अन्य एकल तकनीक लागत, तात्कालिकता और सुविधा के उनके संयोजन से मेल नहीं खाती है और यह कि पासवर्ड स्वयं उन कई परिदृश्यों के लिए सबसे उपयुक्त हैं जिनमें वे वर्तमान में उपयोग किए जा रहे हैं।
-इसके बाद, बॉनौ एट अल। उपयोगिता, परिनियोजन और सुरक्षा के संदर्भ में व्यवस्थित रूप से वेब पासवर्ड की तुलना 35 प्रतिस्पर्धी प्रमाणीकरण योजनाओं से की गई है।<ref name="Bonneau et al. 2012 tech report">{{cite journal |last1=Bonneau |first1=Joseph |last2=Herley |first2=Cormac |last3=Oorschot |first3=Paul C. van |last4=Stajano |first4=Frank |title=पासवर्ड बदलने की खोज: वेब प्रमाणीकरण योजनाओं के तुलनात्मक मूल्यांकन के लिए एक रूपरेखा|journal=Technical Report - University of Cambridge. Computer Laboratory |url=https://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-817.html |publisher=University of Cambridge Computer Laboratory |access-date=22 March 2019 |location=Cambridge, UK |date=2012 |doi=10.48456/tr-817 |issn=1476-2986}}</ref><ref name="Bonneau et al. 2012 peer-reviewed paper">{{cite conference |last1=Bonneau |first1=Joseph |last2=Herley |first2=Cormac |last3=Oorschot |first3=Paul C. van |last4=Stajano |first4=Frank |title=सुरक्षा और गोपनीयता पर 2012 IEEE संगोष्ठी|chapter=The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes |conference=2012 IEEE Symposium on Security and Privacy|location=San Francisco, CA |date=2012 |pages=553–567 |doi=10.1109/SP.2012.44|isbn=978-1-4673-1244-8 }}</ref> उनके विश्लेषण से पता चलता है कि अधिकांश योजनाएँ सुरक्षा पर पासवर्ड से बेहतर करती हैं, कुछ योजनाएँ उपयोगिता के संबंध में बेहतर और कुछ खराब होती हैं, जबकि हर योजना तैनाती पर पासवर्ड से भी बदतर होती है। लेखक निम्नलिखित अवलोकन के साथ निष्कर्ष निकालते हैं: महत्वपूर्ण संक्रमण लागतों को दूर करने के लिए आवश्यक सक्रियण ऊर्जा तक पहुंचने के लिए सीमांत लाभ प्रायः पर्याप्त नहीं होते हैं, जो इस बात का सबसे अच्छा स्पष्टीकरण प्रदान कर सकता है कि पासवर्ड के लिए अंतिम संस्कार के जुलूस को देखने से पहले हमारे लंबे समय तक जीवित रहने की संभावना क्यों है। कब्रिस्तान।
+इसके बाद, बॉनौ एट अल. उपयोगिता, परिनियोजन और सुरक्षा के संदर्भ में व्यवस्थित रूप से वेब पासवर्ड की तुलना 35 प्रतिस्पर्धी प्रमाणीकरण योजनाओं से की गई है।<ref name="Bonneau et al. 2012 tech report">{{cite journal |last1=Bonneau |first1=Joseph |last2=Herley |first2=Cormac |last3=Oorschot |first3=Paul C. van |last4=Stajano |first4=Frank |title=पासवर्ड बदलने की खोज: वेब प्रमाणीकरण योजनाओं के तुलनात्मक मूल्यांकन के लिए एक रूपरेखा|journal=Technical Report - University of Cambridge. Computer Laboratory |url=https://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-817.html |publisher=University of Cambridge Computer Laboratory |access-date=22 March 2019 |location=Cambridge, UK |date=2012 |doi=10.48456/tr-817 |issn=1476-2986}}</ref><ref name="Bonneau et al. 2012 peer-reviewed paper">{{cite conference |last1=Bonneau |first1=Joseph |last2=Herley |first2=Cormac |last3=Oorschot |first3=Paul C. van |last4=Stajano |first4=Frank |title=सुरक्षा और गोपनीयता पर 2012 IEEE संगोष्ठी|chapter=The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes |conference=2012 IEEE Symposium on Security and Privacy|location=San Francisco, CA |date=2012 |pages=553–567 |doi=10.1109/SP.2012.44|isbn=978-1-4673-1244-8 }}</ref> उनके विश्लेषण से पता चलता है कि अधिकांश योजनाएँ सुरक्षा पर पासवर्ड से अधिमान्य करती हैं, कुछ योजनाएँ उपयोगिता के संबंध में अधिमान्य और कुछ खराब होती हैं, जबकि प्रत्येक योजना डेपलॉयबिलिटी पर पासवर्ड से भी अधिक खराब होती है। लेखक निम्नलिखित अवलोकन के साथ निष्कर्ष निकालते हैं: महत्वपूर्ण संक्रमण कीमतों को दूर करने के लिए आवश्यक सक्रियण ऊर्जा तक पहुंचने के लिए सीमांत लाभ प्रायः पर्याप्त नहीं होते हैं, जो इस बात का सबसे अच्छा स्पष्टीकरण प्रदान कर सकता है कि सिमेट्री पासवर्ड के लिए फ्यूनरल के आगे बढ़ने को देखने से पहले हमारे लंबे समय तक गतिशील रहने की संभावना क्यों है।
 == यह भी देखें ==
@@ Line 246: / Line 249: @@
 * पदबंध
 * पासवर्ड क्रैकिंग
-* [[पासवर्ड थकान]]
+* [[पासवर्ड फटीग]]
 * पासवर्ड लंबाई पैरामीटर
 * पासवर्ड मैनेजर
@@ Line 268: / Line 271: @@
 ==संदर्भ==
 {{Reflist|30em}}
@@ Line 276: / Line 278: @@
 *शब्दकोश हमला
 *पहुँच नियंत्रण
-*एक बार दर्ज करना
+*एक बार प्रविष्ट करना
 *मैन-इन-द-बीच हमला
 *और में
-*सर्विस अटैक से इनकार
+*सर्विस आक्षेप से इनकार
 *bcrypt
-*पासवर्ड-प्रमाणित कुंजी समझौता
+*पासवर्ड-प्रमाणित कुंजी समाधान
-*स्वयं सेवा पासवर्ड रीसेट
+*स्वयं सेवा पासवर्ड पुनः स्थापित
 *स्मृति सहायक
 *मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 *पशु बल का आक्रमण
-*11 सितंबर के हमले
+*11 सितंबर के आक्षेप
 *अनाम (समूह)
 *सार्वजनिक कुंजी क्रिप्टोग्राफी
@@ Line 305: / Line 307: @@
 * [http://folk.uio.no/josang/passwords-conference/ The international passwords conference]
 * [https://web.archive.org/web/20110218140320/http://www.emiic.net/docs/PasswordGuide.pdf Procedural Advice for Organisations and Administrators] (PDF)
-* [http://www.cscan.org/ Centre for Security, Communications and Network] [[Category: पासवर्ड प्रमाणीकरण]] [[Category:पहचान दस्तावेज]] [[Category: सुरक्षा]] [[Category: Machine Translated Page]] [[Category:Created On 16/12/2022]]  [http://www.cscan.org/ Research], University of Plymouth (PDF)
+* [http://www.cscan.org/ Centre for Security, Communications and Network]
+[http://www.cscan.org/ Research], University of Plymouth (PDF)
 * [https://pages.nist.gov/800-63-3/sp800-63b.html 2017 draft update to NIST password standards] for the U.S. federal government
 {{Authority control}}
+[[Category:All articles with specifically marked weasel-worded phrases]]
+[[Category:All articles with unsourced statements]]
+[[Category:Articles with hatnote templates targeting a nonexistent page]]
+[[Category:Articles with invalid date parameter in template]]
+[[Category:Articles with short description]]
+[[Category:Articles with specifically marked weasel-worded phrases from September 2010]]
+[[Category:Articles with unsourced statements from September 2009]]
+[[Category:CS1 English-language sources (en)]]
+[[Category:CS1 errors]]
+[[Category:CS1 français-language sources (fr)]]
+[[Category:CS1 maint]]
+[[Category:CS1 Ελληνικά-language sources (el)]]
+[[Category:Citation Style 1 templates|W]]
+[[Category:Collapse templates]]
+[[Category:Created On 16/12/2022]]
+[[Category:Lua-based templates]]
+[[Category:Machine Translated Page]]
+[[Category:Multi-column templates]]
+[[Category:Navigational boxes| ]]
+[[Category:Navigational boxes without horizontal lists]]
+[[Category:Pages using div col with small parameter]]
+[[Category:Pages with script errors]]
+[[Category:Short description with empty Wikidata description]]
+[[Category:Sidebars with styles needing conversion]]
+[[Category:Template documentation pages|Documentation/doc]]
+[[Category:Templates Vigyan Ready]]
+[[Category:Templates based on the Citation/CS1 Lua module]]
+[[Category:Templates generating COinS|Cite web]]
+[[Category:Templates generating microformats]]
+[[Category:Templates that add a tracking category]]
+[[Category:Templates that are not mobile friendly]]
+[[Category:Templates used by AutoWikiBrowser|Cite web]]
+[[Category:Templates using TemplateData]]
+[[Category:Templates using under-protected Lua modules]]
+[[Category:Webarchive template wayback links]]
+[[Category:Wikipedia fully protected templates|Div col]]
+[[Category:Wikipedia metatemplates]]
+[[Category:पहचान दस्तावेज]]
+[[Category:पासवर्ड प्रमाणीकरण]]
+[[Category:सुरक्षा]]

Anonymous

Search