पासवर्ड: Difference between revisions

''"पासकोड" यहां पुनर्निर्देश करता है। जापानी मूर्ति समूह के लिए, [[पासकोड (समूह]]) देखें।''[[File:Mediawiki_1.25_sign_in_form.png|thumb|right|एक साइन इन फॉर्म में एक पासवर्ड फ़ील्ड।]]'''''पासवर्ड''''', जिसे कभी-कभी '''पासकोड''' कहा जाता है (उदाहरण के लिए एप्पल उपकरणों में),<ref name=":0">{{cite web |title=पासकोड|url=https://www.yourdictionary.com/पासकोड|publisher=YourDictionary |access-date=17 May 2019}}</ref> गुप्त डेटा है, सामान्यतः वर्णों की एक स्ट्रिंग, सामान्यतः उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग की जाती है।<ref name=":0" />परंपरागत रूप से, पासवर्ड स्मरण रखने की अपेक्षा की जाती थी,<ref>{{Cite journal |last1=Ranjan |first1=Pratik |last2=Om |first2=Hari |date=2016-05-06 |title=राबिन के क्रिप्टोसिस्टम पर आधारित एक कुशल रिमोट यूजर पासवर्ड ऑथेंटिकेशन स्कीम|url=http://link.springer.com/10.1007/s11277-016-3342-5 |journal=Wireless Personal Communications |language=en |volume=90 |issue=1 |pages=217–244 |doi=10.1007/s11277-016-3342-5 |s2cid=21912076 |issn=0929-6212}}</ref> लेकिन बड़ी संख्या में पासवर्ड-सुरक्षित सेवाएँ, जो विशिष्ट व्यक्तिगत एक्सेस करता है, प्रत्येक सेवा के लिए अद्वितीय पासवर्ड को स्मरण रखना अव्यावहारिक बना सकता है।<ref name="nordpass100">{{cite web|url=https://securitybrief.co.nz/story/average-person-has-100-passwords-study |title=औसत व्यक्ति के पास 100 पासवर्ड होते हैं - अध्ययन करें|date=21 Oct 2020|first=Shannon |last=Williams|publisher=NordPass|access-date=April 28, 2021}}</ref> NIST डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए,<ref name="NIST-SP-800-63-3">{{cite journal |last1=Grassi |first1=Paul A. |last2=Garcia |first2=Michael E. |last3=Fenton |first3=James L. |title=NIST विशेष प्रकाशन 800-63-3: डिजिटल पहचान दिशानिर्देश|url=https://pages.nist.gov/800-63-3/sp800-63-3.html |publisher=[[National Institute of Standards and Technology]] (NIST) |access-date=17 May 2019 |date=June 2017 |doi=10.6028/NIST.SP.800-63-3|doi-access=free }}</ref> गोपनीय अधियाचक नामक समर्थक द्वारा आयोजित किया जाता है जबकि अधियाचक की पहचान की पुष्टि करने वाली समर्थक को ''प्रमाणक (verifier)'' कहा जाता है। जब अधियाचक एक स्थापित [[प्रमाणीकरण प्रोटोकॉल]] के माध्यम से प्रमाणक को पासवर्ड का ज्ञान सफलतापूर्वक प्रदर्शित करता है,<ref>{{cite web |title=प्रमाणीकरण प्रोटोकॉल|url=https://csrc.nist.gov/glossary/term/authentication-protocol |publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019 |archive-date=17 May 2019 |archive-url=https://web.archive.org/web/20190517125842/https://csrc.nist.gov/glossary/term/authentication-protocol |url-status=dead }}</ref> प्रमाणक अधियाचक की पहचान का अनुमान लगाने में सक्षम है।

सामान्य रूप से, एक पासवर्ड अक्षर, अंक, या अन्य प्रतीकों सहित [[चरित्र (कंप्यूटिंग)|वर्ण (कंप्यूटिंग)]] का यादृच्छिक [[स्ट्रिंग (कंप्यूटर विज्ञान)]] है। यदि अनुमेय वर्ण संख्यात्मक होने के लिए बाधित हैं, तो संबंधित गोपनीयता  को कभी-कभी [[व्यक्तिगत पहचान संख्या]] (PIN) कहा जाता है।

इसके नाम के होने पर भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गोपनीयता  जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी [[पदबंध|पासफ्रेज]] कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।<ref>{{cite web |title=पदबंध|url=https://csrc.nist.gov/glossary/term/पदबंध|publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019}}</ref>

पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:<blockquote>जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (पट्टलिका) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और पट्टलिका वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को पट्टलिका देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत जाँच पड़ताल करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से पट्टलिका वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></blockquote>सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिकी दिनों में, यू.एस. 101वें विमानवाहित विभाग के पैराट्रूपर ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया-आलोचना के साथ उत्तर दिया। प्रत्येक तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर ने पासवर्ड प्रणाली के स्थान पर D-दिवस पर "क्रिकेट" के रूप में एक उपकरण का उपयोग अस्थायी रूप से अभिनिर्धारण की अनन्य विधि के रूप में किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक धात्विक क्लिक को उत्तर में दो क्लिक से पूरा किया जाना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>

कंप्यूटिंग के प्रारम्भिकी दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के हिस्से के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्‍तलेखन मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे [[क्रिप्ट (यूनिक्स)|कूटलेख]](3) के रूप में जाना जाता है, ने 12-बिट [[नमक (क्रिप्टोग्राफी)|तीक्ष्णता (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक|डेटा एन्क्रिप्शन मानक (DES]]) एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal

आधुनिक समय में, [[उपयोगकर्ता (कंप्यूटिंग)]] और पासवर्ड सामान्यतः [[लॉगिंग (कंप्यूटर सुरक्षा)]] प्रक्रिया के समय लोगों द्वारा उपयोग किए जाते हैं जो संरक्षित [[कंप्यूटर ऑपरेटिंग सिस्टम]], [[मोबाइल फोन]], [[केबल टीवी डिकोडर]],[[स्वचालित टेलर मशीन]] ([[एटीएम]]), आदि तक अभिगम्य नियंत्रण करते हैं। एक विशिष्ट [[कंप्यूटर उपयोगकर्ता]] के पास कई उद्देश्यों के लिए पासवर्ड होते हैं: खातों में लॉग इन करना, [[ईमेल]] प्राप्त करना, एप्लिकेशन, डेटाबेस, नेटवर्क, वेब साइट्स तक पहुंचना और यहां तक ​​कि सुबह का अखबार ऑनलाइन पढ़ना।

स्वामी के लिए पासवर्ड याद रखना जितना आसान होता है सामान्यतः इसका अर्थ [[हैकर (कंप्यूटर सुरक्षा)]] के लिए अनुमान लगाना आसान होगा।<ref>{{Cite news |title=अगर आपका पासवर्ड 123456 है, तो इसे हैकमी बना लें|work=The New York Times |first=Ashlee |last=Vance |date=2010-01-10 |url=https://www.nytimes.com/2010/01/21/technology/21password.html |url-status=live |archive-url=https://web.archive.org/web/20170211224543/http://www.nytimes.com/2010/01/21/technology/21password.html |archive-date=2017-02-11 }}</ref> हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (ए) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से संग्रहण करने की आवश्यकता हो सकती है, (बी) उपयोगकर्ताओं को लगातार पासवर्ड रीसेट करने की आवश्यकता होगी और (सी) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का दोबारा इस्तेमाल करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि अपरकेस और लोअरकेस अक्षरों और अंकों का मिश्रण होता है या इसे मासिक रूप से बदलता है, उपयोगकर्ता सिस्टम को जितना बड़ा कर देगा, उतना ही अधिक होगा।<ref>{{cite web |url=http://all.net/journal/netsec/1997-09.html |title=नेटवर्क सुरक्षा का प्रबंधन|access-date=2009-03-31 |url-status=bot: unknown |archive-url=https://web.archive.org/web/20080302044633/http://all.net/journal/netsec/1997-09.html |archive-date=March 2, 2008 }}. Fred Cohen and Associates. All.net. Retrieved on 2012-05-20.</ref> अन्य तर्क देते हैं कि लंबे पासवर्ड अधिक सुरक्षा प्रदान करते हैं (उदाहरण के लिए, [[एंट्रॉपी (सूचना सिद्धांत)]]) वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में।<ref name="SS1" />

पासवर्ड की स्मरणीय और सुरक्षा में,<ref>[http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf The Memorability and Security of Passwords] {{webarchive|url=https://web.archive.org/web/20120414222419/http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf |date=2012-04-14 }} (pdf). ncl.ac.uk. Retrieved on 2012-05-20.</ref> जेफ यान एट अल। पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही स्मरणीय होते हैं जितने कि भोले-भाले चुने गए पासवर्ड, और बेतरतीब ढंग से उत्पन्न पासवर्ड के रूप में क्रैक करना उतना ही कठिन।

दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,<ref>{{cite book|author1=Michael E. Whitman|author2=Herbert J. Mattord|title=सूचना सुरक्षा के सिद्धांत|url=https://books.google.com/books?id=uSGkAwAAQBAJ&pg=PA162|year=2014|publisher=Cengage Learning|isbn=978-1-305-17673-7|page=162}}</ref> लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया [[कलन विधि]] एक और अच्छा तरीका है।<ref>{{Cite web|title=रैंडम पासवर्ड जेनरेटर कैसे बनाएं|url=https://www.pcmag.com/how-to/how-to-create-a-random-password-generator|access-date=2021-09-05|website=PCMAG|language=en}}</ref>

हालाँकि, उपयोगकर्ताओं को अपरकेस और लोअरकेस वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करने के लिए थोड़ा कठिन है (उदाहरण के लिए क्रैक करने के लिए केवल 128 गुना कठिन) 7-अक्षर वाले पासवर्ड, कम अगर उपयोगकर्ता केवल अक्षरों में से एक को बड़ा करता है)। उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो हमलावरों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना हमलावरों के लिए जाना जाने वाला एक सामान्य ट्रिक है।<ref>{{cite book|last1=Lewis|first1=Dave|title=Ctrl-Alt-हटाना|date=2011|isbn=978-1471019111|page=17|url=https://books.google.com/books?isbn=147101911X|access-date=10 July 2015}}</ref>

2013 में, Google ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची जारी की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):<ref>{{cite news |author=Techlicious / Fox Van Allen @techlicious |url=http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |title=Google ने 10 सबसे खराब पासवर्ड आइडिया का खुलासा किया | टाइम डॉट कॉम|publisher=Techland.time.com |date=2013-08-08 |access-date=2013-10-16 |url-status=live |archive-url=https://web.archive.org/web/20131022123957/http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |archive-date=2013-10-22 }}</ref>

== याद रखने के विकल्प ==

पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।<ref name="nordpass100" />पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में [[पासवर्ड प्रबंधक]]ों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना सम्मिलित है।<ref>{{cite web|url=https://www.macworld.com/article/226857/write-your-passwords-down-to-improve-safety.html |title=सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।|first=Glenn |last=Fleishman|date=November 24, 2015|publisher=MacWorld|access-date=April 28, 2021}}</ref> इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।

पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को [[कंप्यूटर वायरस]], मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। [[शोल्डर सर्फिंग ([[कंप्यूटर सुरक्षा]])]] से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक खतरों तक शारीरिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी हमलावर के लिए उनका अनुमान लगाना कठिन हो और हमलावर के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए [[पासवर्ड क्षमता]] और कंप्यूटर सुरक्षा देखें।<ref name=":1" />

आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास खड़े लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस अभ्यास से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को कमजोर पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।<ref name=":1">[http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords Lyquix Blog: Do We Need to Hide Passwords?] {{webarchive|url=https://web.archive.org/web/20120425114556/http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords |date=2012-04-25 }}. Lyquix.com. Retrieved on 2012-05-20.</ref>

कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चुनते और संभालते समय विचार किया जाना चाहिए।

=== दर जिस पर एक हमलावर अनुमानित पासवर्ड का प्रयास कर सकता है ===

दर जिस पर एक हमलावर सिस्टम को अनुमानित पासवर्ड जमा कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं, जिसे थ्रॉटलिंग भी कहा जाता है।<ref name="NIST-SP-800-63-3" /> {{rp|63B Sec 5.2.2}} अन्य कमजोरियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।<ref>Stuart Brown {{cite web |url=http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |title=Top ten passwords used in the United Kingdom |access-date=2007-08-14 |url-status=dead |archive-url=https://web.archive.org/web/20061108094949/http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |archive-date=November 8, 2006 }}. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.</ref>

कई प्रणालियाँ पासवर्ड के [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] को संग्रहीत करती हैं। यदि किसी हमलावर को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैश मान के विरुद्ध उम्मीदवार पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन हमलावर केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन हमलावर (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर आक्षेप चल रहा है।

पासवर्ड जो क्रिप्टोग्राफ़िक कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, [[डिस्क एन्क्रिप्शन]] या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड आक्षेप को बहुत ही कुशल बना सकते हैं। ([[पासवर्ड क्रैकिंग]] देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे हमलावर के लिए कम्प्यूटेशनल रूप से ऐसा आक्षेप अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे [[काफ़ी अच्छी गोपनीयता]] और [[वाई-फाई संरक्षित पहुंच]] | वाई-फाई डब्ल्यूपीए, ऐसे आक्षेप को धीमा करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। [[कुंजी खींचना]] देखें।