पासवर्ड: Difference between revisions
(→इतिहास) |
(→इतिहास) |
||
| Line 10: | Line 10: | ||
इसके नाम के होने पर भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गोपनीयता जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी [[पदबंध|पासफ्रेज]] कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।<ref>{{cite web |title=पदबंध|url=https://csrc.nist.gov/glossary/term/पदबंध|publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019}}</ref> | इसके नाम के होने पर भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गोपनीयता जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी [[पदबंध|पासफ्रेज]] कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।<ref>{{cite web |title=पदबंध|url=https://csrc.nist.gov/glossary/term/पदबंध|publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019}}</ref> | ||
== इतिहास == | == इतिहास == | ||
पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:<blockquote>जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (पट्टलिका) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और पट्टलिका वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को पट्टलिका देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत जाँच पड़ताल करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से पट्टलिका वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></blockquote>सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के | पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:<blockquote>जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (पट्टलिका) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और पट्टलिका वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को पट्टलिका देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत जाँच पड़ताल करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से पट्टलिका वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></blockquote>सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिक दिनों में, यू.एस. 101वें विमानवाहित विभाग के पैराट्रूपर ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया-आलोचना के साथ उत्तर दिया। प्रत्येक तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर ने पासवर्ड प्रणाली के स्थान पर D-दिवस पर "क्रिकेट" के रूप में एक उपकरण का उपयोग अस्थायी रूप से अभिनिर्धारण की अनन्य विधि के रूप में किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक धात्विक क्लिक को उत्तर में दो क्लिक से पूरा किया जाना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref> | ||
कंप्यूटिंग के | कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के हिस्से के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्तलेखन मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे [[क्रिप्ट (यूनिक्स)|कूटलेख]](3) के रूप में जाना जाता है, ने 12-बिट [[नमक (क्रिप्टोग्राफी)|तीक्ष्णता (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक|डेटा एन्क्रिप्शन मानक (DES]]) एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal | ||
|title = Password Security: A Case History. | |title = Password Security: A Case History. | ||
|journal = Bell Laboratories | |journal = Bell Laboratories | ||
| Line 30: | Line 30: | ||
दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,<ref>{{cite book|author1=Michael E. Whitman|author2=Herbert J. Mattord|title=सूचना सुरक्षा के सिद्धांत|url=https://books.google.com/books?id=uSGkAwAAQBAJ&pg=PA162|year=2014|publisher=Cengage Learning|isbn=978-1-305-17673-7|page=162}}</ref> लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया [[कलन विधि]] एक और अच्छा तरीका है।<ref>{{Cite web|title=रैंडम पासवर्ड जेनरेटर कैसे बनाएं|url=https://www.pcmag.com/how-to/how-to-create-a-random-password-generator|access-date=2021-09-05|website=PCMAG|language=en}}</ref> | दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,<ref>{{cite book|author1=Michael E. Whitman|author2=Herbert J. Mattord|title=सूचना सुरक्षा के सिद्धांत|url=https://books.google.com/books?id=uSGkAwAAQBAJ&pg=PA162|year=2014|publisher=Cengage Learning|isbn=978-1-305-17673-7|page=162}}</ref> लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया [[कलन विधि]] एक और अच्छा तरीका है।<ref>{{Cite web|title=रैंडम पासवर्ड जेनरेटर कैसे बनाएं|url=https://www.pcmag.com/how-to/how-to-create-a-random-password-generator|access-date=2021-09-05|website=PCMAG|language=en}}</ref> | ||
हालाँकि, उपयोगकर्ताओं को अपरकेस और लोअरकेस वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करने के लिए थोड़ा कठिन है (उदाहरण के लिए क्रैक करने के लिए केवल 128 गुना कठिन) 7-अक्षर वाले पासवर्ड, कम अगर उपयोगकर्ता केवल अक्षरों में से एक को बड़ा करता है)। उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो हमलावरों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना हमलावरों के लिए जाना जाने वाला एक सामान्य ट्रिक है।<ref>{{cite book|last1=Lewis|first1=Dave|title=Ctrl-Alt-हटाना|date=2011|isbn=978-1471019111|page=17|url=https://books.google.com/books?isbn=147101911X|access-date=10 July 2015}}</ref> | हालाँकि, उपयोगकर्ताओं को अपरकेस और लोअरकेस वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करने के लिए थोड़ा कठिन है (उदाहरण के लिए क्रैक करने के लिए केवल 128 गुना कठिन) 7-अक्षर वाले पासवर्ड, कम अगर उपयोगकर्ता केवल अक्षरों में से एक को बड़ा करता है)। उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो हमलावरों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना हमलावरों के लिए जाना जाने वाला एक सामान्य ट्रिक है।<ref>{{cite book|last1=Lewis|first1=Dave|title=Ctrl-Alt-हटाना|date=2011|isbn=978-1471019111|page=17|url=https://books.google.com/books?isbn=147101911X|access-date=10 July 2015}}</ref> | ||
2013 में, Google ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची जारी की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):<ref>{{cite news |author=Techlicious / Fox Van Allen @techlicious |url=http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |title=Google ने 10 सबसे खराब पासवर्ड आइडिया का खुलासा किया | टाइम डॉट कॉम|publisher=Techland.time.com |date=2013-08-08 |access-date=2013-10-16 |url-status=live |archive-url=https://web.archive.org/web/20131022123957/http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |archive-date=2013-10-22 }}</ref> | 2013 में, Google ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची जारी की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):<ref>{{cite news |author=Techlicious / Fox Van Allen @techlicious |url=http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |title=Google ने 10 सबसे खराब पासवर्ड आइडिया का खुलासा किया | टाइम डॉट कॉम|publisher=Techland.time.com |date=2013-08-08 |access-date=2013-10-16 |url-status=live |archive-url=https://web.archive.org/web/20131022123957/http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |archive-date=2013-10-22 }}</ref> | ||
Revision as of 12:48, 27 December 2022
अन्य उपयोगों के लिए, पासवर्ड (बहुविकल्पी) देखें।
अपने विकिपीडिया पासवर्ड के संबंध में सहायता के लिए, सहायता देखें: पासवर्ड पुनः स्थापित करें।
"पासकोड" यहां पुनर्निर्देश करता है। जापानी मूर्ति समूह के लिए, पासकोड (समूह) देखें।
पासवर्ड, जिसे कभी-कभी पासकोड कहा जाता है (उदाहरण के लिए एप्पल उपकरणों में),[1] गुप्त डेटा है, सामान्यतः वर्णों की एक स्ट्रिंग, सामान्यतः उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग की जाती है।[1]परंपरागत रूप से, पासवर्ड स्मरण रखने की अपेक्षा की जाती थी,[2] लेकिन बड़ी संख्या में पासवर्ड-सुरक्षित सेवाएँ, जो विशिष्ट व्यक्तिगत एक्सेस करता है, प्रत्येक सेवा के लिए अद्वितीय पासवर्ड को स्मरण रखना अव्यावहारिक बना सकता है।[3] NIST डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए,[4] गोपनीय अधियाचक नामक समर्थक द्वारा आयोजित किया जाता है जबकि अधियाचक की पहचान की पुष्टि करने वाली समर्थक को प्रमाणक (verifier) कहा जाता है। जब अधियाचक एक स्थापित प्रमाणीकरण प्रोटोकॉल के माध्यम से प्रमाणक को पासवर्ड का ज्ञान सफलतापूर्वक प्रदर्शित करता है,[5] प्रमाणक अधियाचक की पहचान का अनुमान लगाने में सक्षम है।
सामान्य रूप से, एक पासवर्ड अक्षर, अंक, या अन्य प्रतीकों सहित वर्ण (कंप्यूटिंग) का यादृच्छिक स्ट्रिंग (कंप्यूटर विज्ञान) है। यदि अनुमेय वर्ण संख्यात्मक होने के लिए बाधित हैं, तो संबंधित गोपनीयता को कभी-कभी व्यक्तिगत पहचान संख्या (PIN) कहा जाता है।
इसके नाम के होने पर भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गोपनीयता जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी पासफ्रेज कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।[6]
इतिहास
पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। पोलिबियस प्राचीन रोम की सेना में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:
जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें मणिपल (सैन्य इकाई) से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय ट्रिब्यून के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (पट्टलिका) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और पट्टलिका वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को पट्टलिका देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत जाँच पड़ताल करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से पट्टलिका वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।[7]
सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिक दिनों में, यू.एस. 101वें विमानवाहित विभाग के पैराट्रूपर ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया-आलोचना के साथ उत्तर दिया। प्रत्येक तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर ने पासवर्ड प्रणाली के स्थान पर D-दिवस पर "क्रिकेट" के रूप में एक उपकरण का उपयोग अस्थायी रूप से अभिनिर्धारण की अनन्य विधि के रूप में किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक धात्विक क्लिक को उत्तर में दो क्लिक से पूरा किया जाना था।[8]
कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के साथ पासवर्ड का उपयोग किया जाता रहा है। संगत समय-साझाकरण प्रणाली (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।[9][10] CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।[11] 1970 के दशक की प्रारंभ में, रॉबर्ट मॉरिस (क्रिप्टोग्राफर) ने यूनिक्स ऑपरेटिंग सिस्टम के हिस्से के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्तलेखन मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे कूटलेख(3) के रूप में जाना जाता है, ने 12-बिट तीक्ष्णता (क्रिप्टोग्राफी) का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार डेटा एन्क्रिप्शन मानक (DES) एल्गोरिथम के एक संशोधित रूप को लागू किया।[12]
आधुनिक समय में, उपयोगकर्ता (कंप्यूटिंग) और पासवर्ड सामान्यतः लॉगिंग (कंप्यूटर सुरक्षा) प्रक्रिया के समय लोगों द्वारा उपयोग किए जाते हैं जो संरक्षित कंप्यूटर ऑपरेटिंग सिस्टम, मोबाइल फोन, केबल टीवी डिकोडर,स्वचालित टेलर मशीन (एटीएम), आदि तक अभिगम्य नियंत्रण करते हैं। एक विशिष्ट कंप्यूटर उपयोगकर्ता के पास कई उद्देश्यों के लिए पासवर्ड होते हैं: खातों में लॉग इन करना, ईमेल प्राप्त करना, एप्लिकेशन, डेटाबेस, नेटवर्क, वेब साइट्स तक पहुंचना और यहां तक कि सुबह का अखबार ऑनलाइन पढ़ना।
एक सुरक्षित और स्मरणीय पासवर्ड चुनना
स्वामी के लिए पासवर्ड याद रखना जितना आसान होता है सामान्यतः इसका अर्थ हैकर (कंप्यूटर सुरक्षा) के लिए अनुमान लगाना आसान होगा।[13] हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (ए) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से संग्रहण करने की आवश्यकता हो सकती है, (बी) उपयोगकर्ताओं को लगातार पासवर्ड रीसेट करने की आवश्यकता होगी और (सी) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का दोबारा इस्तेमाल करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि अपरकेस और लोअरकेस अक्षरों और अंकों का मिश्रण होता है या इसे मासिक रूप से बदलता है, उपयोगकर्ता सिस्टम को जितना बड़ा कर देगा, उतना ही अधिक होगा।[14] अन्य तर्क देते हैं कि लंबे पासवर्ड अधिक सुरक्षा प्रदान करते हैं (उदाहरण के लिए, एंट्रॉपी (सूचना सिद्धांत)) वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में।[15]
पासवर्ड की स्मरणीय और सुरक्षा में,[16] जेफ यान एट अल। पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही स्मरणीय होते हैं जितने कि भोले-भाले चुने गए पासवर्ड, और बेतरतीब ढंग से उत्पन्न पासवर्ड के रूप में क्रैक करना उतना ही कठिन।
दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,[17] लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया कलन विधि एक और अच्छा तरीका है।[18]
हालाँकि, उपयोगकर्ताओं को अपरकेस और लोअरकेस वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करने के लिए थोड़ा कठिन है (उदाहरण के लिए क्रैक करने के लिए केवल 128 गुना कठिन) 7-अक्षर वाले पासवर्ड, कम अगर उपयोगकर्ता केवल अक्षरों में से एक को बड़ा करता है)। उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो हमलावरों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना हमलावरों के लिए जाना जाने वाला एक सामान्य ट्रिक है।[19] 2013 में, Google ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची जारी की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):[20]
- एक पालतू जानवर, बच्चे, परिवार के सदस्य या महत्वपूर्ण अन्य का नाम
- वर्षगांठ दिनांक और जन्मदिन
- जन्म स्थान
- एक पसंदीदा छुट्टी का नाम
- पसंदीदा खेल टीम से संबंधित कुछ
- शब्द पासवर्ड
याद रखने के विकल्प
पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।[3]पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में पासवर्ड प्रबंधकों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना सम्मिलित है।[21] इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।
पासवर्ड प्रणाली की सुरक्षा के कारक
पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को कंप्यूटर वायरस, मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। [[शोल्डर सर्फिंग (कंप्यूटर सुरक्षा)]] से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक खतरों तक शारीरिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी हमलावर के लिए उनका अनुमान लगाना कठिन हो और हमलावर के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए पासवर्ड क्षमता और कंप्यूटर सुरक्षा देखें।[22]
आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास खड़े लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस अभ्यास से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को कमजोर पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।[22] प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक टोकन प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं।[23] कम चरम उपायों में ज़बरदस्ती वसूली, रबर की नली क्रिप्टैनालिसिस और साइड चैनल आक्षेप सम्मिलित हैं।
कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चुनते और संभालते समय विचार किया जाना चाहिए।
दर जिस पर एक हमलावर अनुमानित पासवर्ड का प्रयास कर सकता है
दर जिस पर एक हमलावर सिस्टम को अनुमानित पासवर्ड जमा कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं, जिसे थ्रॉटलिंग भी कहा जाता है।[4] : 63B Sec 5.2.2 अन्य कमजोरियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।[24] कई प्रणालियाँ पासवर्ड के क्रिप्टोग्राफ़िक हैश फ़ंक्शन को संग्रहीत करती हैं। यदि किसी हमलावर को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैश मान के विरुद्ध उम्मीदवार पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन हमलावर केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन हमलावर (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर आक्षेप चल रहा है।
पासवर्ड जो क्रिप्टोग्राफ़िक कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, डिस्क एन्क्रिप्शन या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड आक्षेप को बहुत ही कुशल बना सकते हैं। (पासवर्ड क्रैकिंग देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे हमलावर के लिए कम्प्यूटेशनल रूप से ऐसा आक्षेप अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे काफ़ी अच्छी गोपनीयता और वाई-फाई संरक्षित पहुंच | वाई-फाई डब्ल्यूपीए, ऐसे आक्षेप को धीमा करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। कुंजी खींचना देखें।
पासवर्ड अनुमानों की संख्या की सीमा
जिस दर पर एक हमलावर पासवर्ड पर अनुमान लगा सकता है, उसे सीमित करने का एक विकल्प अनुमानों की कुल संख्या को सीमित करना है जो कि किए जा सकते हैं। पासवर्ड को अक्षम किया जा सकता है, जिसके लिए रीसेट की आवश्यकता होती है, लगातार खराब अनुमानों की एक छोटी संख्या के बाद (5 कहते हैं); और उपयोगकर्ता को खराब अनुमानों की एक बड़ी संचयी संख्या (मान लीजिए 30) के बाद पासवर्ड बदलने की आवश्यकता हो सकती है, ताकि हमलावर को वैध पासवर्ड स्वामी द्वारा किए गए अच्छे अनुमानों के बीच मनमाने ढंग से बड़ी संख्या में गलत अनुमान लगाने से रोका जा सके।[25] इसके विपरीत, उपयोगकर्ता जानबूझकर उपयोगकर्ता को अपने डिवाइस से लॉक करके उपयोगकर्ता के खिलाफ सेवा से इनकार आक्षेप को लागू करने के लिए इस शमन के ज्ञान का उपयोग कर सकते हैं; सेवा से इनकार करने से हमलावर के लिए सोशल इंजीनियरिंग (सुरक्षा) के माध्यम से अपने लाभ के लिए स्थिति में हेरफेर करने के लिए अन्य रास्ते खुल सकते हैं।
संग्रहीत पासवर्ड का रूप
कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को सादे पाठ के रूप में संग्रहण करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई हमलावर ऐसे आंतरिक पासवर्ड संग्रहण तक पहुँच प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समझौता कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समझौता किया जाएगा।
अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड त