पासवर्ड: Difference between revisions
From Vigyanwiki
(→इतिहास) |
|||
| Line 25: | Line 25: | ||
== एक सुरक्षित और स्मरणीय पासवर्ड चुनना == | == एक सुरक्षित और स्मरणीय पासवर्ड चुनना == | ||
उपयोगकर्ता के लिए पासवर्ड याद रखना जितना आसान होता है सामान्यतः इसका अर्थ [[हैकर (कंप्यूटर सुरक्षा)]] के लिए अनुमान लगाना आसान होगा।<ref>{{Cite news |title=अगर आपका पासवर्ड 123456 है, तो इसे हैकमी बना लें|work=The New York Times |first=Ashlee |last=Vance |date=2010-01-10 |url=https://www.nytimes.com/2010/01/21/technology/21password.html |url-status=live |archive-url=https://web.archive.org/web/20170211224543/http://www.nytimes.com/2010/01/21/technology/21password.html |archive-date=2017-02-11 }}</ref> हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (a) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से संग्रहण करने की आवश्यकता हो सकती है, (b) उपयोगकर्ताओं को लगातार पासवर्ड रीसेट करने की आवश्यकता होगी और (c) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का पुनःउपयोग करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि बड़ा और छोटे अक्षरों और अंकों का मिश्रण होता है या इसे मासिक रूप से बदले, उतना अधिक उपयोगकर्ता सिस्टम को नष्ट कर देगा।<ref>{{cite web |url=http://all.net/journal/netsec/1997-09.html |title=नेटवर्क सुरक्षा का प्रबंधन|access-date=2009-03-31 |url-status=bot: unknown |archive-url=https://web.archive.org/web/20080302044633/http://all.net/journal/netsec/1997-09.html |archive-date=March 2, 2008 }}. Fred Cohen and Associates. All.net. Retrieved on 2012-05-20.</ref> दूसरों का तर्क है कि लंबे पासवर्ड वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में अधिक सुरक्षा प्रदान करते हैं (जैसे, [[एंट्रॉपी]])।<ref name="SS1" /> | |||
पासवर्ड की स्मरणीय और सुरक्षा में,<ref>[http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf The Memorability and Security of Passwords] {{webarchive|url=https://web.archive.org/web/20120414222419/http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf |date=2012-04-14 }} (pdf). ncl.ac.uk. Retrieved on 2012-05-20.</ref> जेफ यान एट | पासवर्ड की स्मरणीय और सुरक्षा में,<ref>[http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf The Memorability and Security of Passwords] {{webarchive|url=https://web.archive.org/web/20120414222419/http://homepages.cs.ncl.ac.uk/jeff.yan/jyan_ieee_pwd.pdf |date=2012-04-14 }} (pdf). ncl.ac.uk. Retrieved on 2012-05-20.</ref> जेफ यान एट अल. पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही स्मरणीय होते हैं जितने कि सरलता से चुने गए पासवर्ड, और अव्यवस्थिततः से उत्पन्न पासवर्ड के रूप में (तोड़ना) क्रैक करना उतना ही मुश्किल है। | ||
दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,<ref>{{cite book|author1=Michael E. Whitman|author2=Herbert J. Mattord|title=सूचना सुरक्षा के सिद्धांत|url=https://books.google.com/books?id=uSGkAwAAQBAJ&pg=PA162|year=2014|publisher=Cengage Learning|isbn=978-1-305-17673-7|page=162}}</ref> लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया [[ | दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,<ref>{{cite book|author1=Michael E. Whitman|author2=Herbert J. Mattord|title=सूचना सुरक्षा के सिद्धांत|url=https://books.google.com/books?id=uSGkAwAAQBAJ&pg=PA162|year=2014|publisher=Cengage Learning|isbn=978-1-305-17673-7|page=162}}</ref> लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया [[एल्गोरिथम]] होना एक और अच्छा तरीका है।<ref>{{Cite web|title=रैंडम पासवर्ड जेनरेटर कैसे बनाएं|url=https://www.pcmag.com/how-to/how-to-create-a-random-password-generator|access-date=2021-09-05|website=PCMAG|language=en}}</ref> | ||
हालाँकि, उपयोगकर्ताओं को | हालाँकि, उपयोगकर्ताओं को बड़े और छोटे वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करना केवल थोड़ा कठिन है (उदाहरण के लिए 7-अक्षर वाले पासवर्ड को क्रैक करना केवल 128 गुना कठिन है, यदि, उपयोगकर्ता केवल अक्षरों में से किसी एक को बड़ा करता है) तो उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो आक्षेपकों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना आक्षेपकों के लिए जाना जाने वाला एक सामान्य ट्रिक है।<ref>{{cite book|last1=Lewis|first1=Dave|title=Ctrl-Alt-हटाना|date=2011|isbn=978-1471019111|page=17|url=https://books.google.com/books?isbn=147101911X|access-date=10 July 2015}}</ref> | ||
2013 में, | |||
2013 में, गूगल ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची जारी की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):<ref>{{cite news |author=Techlicious / Fox Van Allen @techlicious |url=http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |title=Google ने 10 सबसे खराब पासवर्ड आइडिया का खुलासा किया | टाइम डॉट कॉम|publisher=Techland.time.com |date=2013-08-08 |access-date=2013-10-16 |url-status=live |archive-url=https://web.archive.org/web/20131022123957/http://techland.time.com/2013/08/08/google-reveals-the-10-worst-password-ideas/?iid=biz-article-mostpop2 |archive-date=2013-10-22 }}</ref> | |||
* एक पालतू जानवर, बच्चे, परिवार के सदस्य या महत्वपूर्ण अन्य का नाम | * एक पालतू जानवर, बच्चे, परिवार के सदस्य या महत्वपूर्ण अन्य का नाम | ||
* वर्षगांठ दिनांक और जन्मदिन | * वर्षगांठ दिनांक और जन्मदिन | ||
| Line 44: | Line 45: | ||
==पासवर्ड प्रणाली की सुरक्षा के कारक== | ==पासवर्ड प्रणाली की सुरक्षा के कारक== | ||
पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को [[कंप्यूटर वायरस]], मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। [[शोल्डर सर्फिंग ([[कंप्यूटर सुरक्षा]])]] से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक खतरों तक शारीरिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी | पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को [[कंप्यूटर वायरस]], मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। [[शोल्डर सर्फिंग ([[कंप्यूटर सुरक्षा]])]] से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक खतरों तक शारीरिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी आक्षेपक के लिए उनका अनुमान लगाना कठिन हो और आक्षेपक के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए [[पासवर्ड क्षमता]] और कंप्यूटर सुरक्षा देखें।<ref name=":1" /> | ||
आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास खड़े लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस अभ्यास से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को कमजोर पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।<ref name=":1">[http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords Lyquix Blog: Do We Need to Hide Passwords?] {{webarchive|url=https://web.archive.org/web/20120425114556/http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords |date=2012-04-25 }}. Lyquix.com. Retrieved on 2012-05-20.</ref> | आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास खड़े लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस अभ्यास से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को कमजोर पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।<ref name=":1">[http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords Lyquix Blog: Do We Need to Hide Passwords?] {{webarchive|url=https://web.archive.org/web/20120425114556/http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords |date=2012-04-25 }}. Lyquix.com. Retrieved on 2012-05-20.</ref> | ||
| Line 51: | Line 52: | ||
कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चुनते और संभालते समय विचार किया जाना चाहिए। | कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चुनते और संभालते समय विचार किया जाना चाहिए। | ||
=== दर जिस पर एक | === दर जिस पर एक आक्षेपक अनुमानित पासवर्ड का प्रयास कर सकता है === | ||
दर जिस पर एक | दर जिस पर एक आक्षेपक सिस्टम को अनुमानित पासवर्ड जमा कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं, जिसे थ्रॉटलिंग भी कहा जाता है।<ref name="NIST-SP-800-63-3" /> {{rp|63B Sec 5.2.2}} अन्य कमजोरियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।<ref>Stuart Brown {{cite web |url=http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |title=Top ten passwords used in the United Kingdom |access-date=2007-08-14 |url-status=dead |archive-url=https://web.archive.org/web/20061108094949/http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |archive-date=November 8, 2006 }}. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.</ref> | ||
कई प्रणालियाँ पासवर्ड के [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] को संग्रहीत करती हैं। यदि किसी | कई प्रणालियाँ पासवर्ड के [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] को संग्रहीत करती हैं। यदि किसी आक्षेपक को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैश मान के विरुद्ध उम्मीदवार पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन आक्षेपक केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन आक्षेपक (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर आक्षेप चल रहा है। | ||
पासवर्ड जो क्रिप्टोग्राफ़िक कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, [[डिस्क एन्क्रिप्शन]] या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड आक्षेप को बहुत ही कुशल बना सकते हैं। ([[पासवर्ड क्रैकिंग]] देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे | पासवर्ड जो क्रिप्टोग्राफ़िक कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, [[डिस्क एन्क्रिप्शन]] या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड आक्षेप को बहुत ही कुशल बना सकते हैं। ([[पासवर्ड क्रैकिंग]] देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे आक्षेपक के लिए कम्प्यूटेशनल रूप से ऐसा आक्षेप अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे [[काफ़ी अच्छी गोपनीयता]] और [[वाई-फाई संरक्षित पहुंच]] | वाई-फाई डब्ल्यूपीए, ऐसे आक्षेप को धीमा करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। [[कुंजी खींचना]] देखें। | ||
=== पासवर्ड अनुमानों की संख्या की सीमा === | === पासवर्ड अनुमानों की संख्या की सीमा === | ||
जिस दर पर एक | जिस दर पर एक आक्षेपक पासवर्ड पर अनुमान लगा सकता है, उसे सीमित करने का एक विकल्प अनुमानों की कुल संख्या को सीमित करना है जो कि किए जा सकते हैं। पासवर्ड को अक्षम किया जा सकता है, जिसके लिए रीसेट की आवश्यकता होती है, लगातार खराब अनुमानों की एक छोटी संख्या के बाद (5 कहते हैं); और उपयोगकर्ता को खराब अनुमानों की एक बड़ी संचयी संख्या (मान लीजिए 30) के बाद पासवर्ड बदलने की आवश्यकता हो सकती है, ताकि आक्षेपक को वैध पासवर्ड स्वामी द्वारा किए गए अच्छे अनुमानों के बीच मनमाने ढंग से बड़ी संख्या में गलत अनुमान लगाने से रोका जा सके।<ref>{{cite patent |country=US |number=8046827 |status=patent}}</ref> इसके विपरीत, उपयोगकर्ता जानबूझकर उपयोगकर्ता को अपने डिवाइस से लॉक करके उपयोगकर्ता के खिलाफ सेवा से इनकार आक्षेप को लागू करने के लिए इस शमन के ज्ञान का उपयोग कर सकते हैं; सेवा से इनकार करने से आक्षेपक के लिए [[सोशल इंजीनियरिंग (सुरक्षा)]] के माध्यम से अपने लाभ के लिए स्थिति में हेरफेर करने के लिए अन्य रास्ते खुल सकते हैं। | ||
=== संग्रहीत पासवर्ड का रूप === | === संग्रहीत पासवर्ड का रूप === | ||
कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को [[सादे पाठ]] के रूप में संग्रहण करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई | कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को [[सादे पाठ]] के रूप में संग्रहण करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई आक्षेपक ऐसे आंतरिक पासवर्ड संग्रहण तक पहुँच प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समझौता कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समझौता किया जाएगा। | ||
अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक पहुँच एक स्नूपर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक पहुँच प्राप्त करता है, जबकि उपयोगकर्ता पहुँच प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एक तरफ़ा व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन]], या एक उन्नत क्रिप्टोग्राफ़िक हैश फ़ंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य दृष्टिकोण का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर क्रिप्टोग्राफ़िक हैश फ़ंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस की स्वीकृति है। हैश मान एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, नमक (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक नमक | अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक पहुँच एक स्नूपर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक पहुँच प्राप्त करता है, जबकि उपयोगकर्ता पहुँच प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एक तरफ़ा व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन]], या एक उन्नत क्रिप्टोग्राफ़िक हैश फ़ंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य दृष्टिकोण का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर क्रिप्टोग्राफ़िक हैश फ़ंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस की स्वीकृति है। हैश मान एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, नमक (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक नमक आक्षेपकों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच स्केल करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः क्रिप्टोग्राफ़िक हैश फ़ंक्शंस का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के हिस्से के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref> | ||
संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में संग्रहीत किया जाता है, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में।<ref> | संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में संग्रहीत किया जाता है, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में।<ref> | ||
[http://pythonhosted.org/passlib/lib/passlib.hash.html "passlib.hash - Password Hashing Schemes"] {{webarchive|url=https://web.archive.org/web/20130721042150/http://pythonhosted.org/passlib/lib/passlib.hash.html |date=2013-07-21 }}. | [http://pythonhosted.org/passlib/lib/passlib.hash.html "passlib.hash - Password Hashing Schemes"] {{webarchive|url=https://web.archive.org/web/20130721042150/http://pythonhosted.org/passlib/lib/passlib.hash.html |date=2013-07-21 }}. | ||
</ref> | </ref> | ||
पासवर्ड के लिए मुख्य भंडारण विधियाँ सादा पाठ, हैशेड, हैशेड और नमकीन, और प्रतिवर्ती रूप से एन्क्रिप्टेड हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई | पासवर्ड के लिए मुख्य भंडारण विधियाँ सादा पाठ, हैशेड, हैशेड और नमकीन, और प्रतिवर्ती रूप से एन्क्रिप्टेड हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई आक्षेपक पासवर्ड फ़ाइल तक पहुँच प्राप्त करता है, तो यदि इसे सादे पाठ के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन नमकीन नहीं है तो यह [[इंद्रधनुष तालिका]] अटैक (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि आक्षेपक को फ़ाइल के साथ डिक्रिप्शन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को नमकीन और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research" /> | ||
यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक | यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक आक्षेपक पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि आक्षेपक को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" />पासवर्ड क्रैकिंग टूल की सम्मिलित आक्षेपकों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, आक्षेपक छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref> | ||
डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट नमक मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फ़ंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।<ref name="cm.bell-labs.com" /> एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[बीएसडी]] सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और [[लिखी हुई कहानी]] का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref> | डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट नमक मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फ़ंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।<ref name="cm.bell-labs.com" /> एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[बीएसडी]] सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और [[लिखी हुई कहानी]] का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref> | ||
एक खराब डिज़ाइन किया गया हैश फ़ंक्शन आक्षेप को संभव बना सकता है, भले ही एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से तैनात और असुरक्षित उदाहरण के लिए [[एलएम हैश]] देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref> | एक खराब डिज़ाइन किया गया हैश फ़ंक्शन आक्षेप को संभव बना सकता है, भले ही एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से तैनात और असुरक्षित उदाहरण के लिए [[एलएम हैश]] देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref> | ||
| Line 90: | Line 91: | ||
==== हैश-आधारित निर्देशार्थ-प्रतिक्रिया के तरीके ==== | ==== हैश-आधारित निर्देशार्थ-प्रतिक्रिया के तरीके ==== | ||
दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा गोपनीयता]] (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गोपनीयता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गोपनीयता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब हैश का उपयोग एक साझा गोपनीयता के रूप में किया जाता है, तो | दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा गोपनीयता]] (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गोपनीयता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गोपनीयता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब हैश का उपयोग एक साझा गोपनीयता के रूप में किया जाता है, तो आक्षेपक को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है। | ||
==== जीरो [[शून्य-ज्ञान पासवर्ड प्रमाण]] ==== | ==== जीरो [[शून्य-ज्ञान पासवर्ड प्रमाण]] ==== | ||
| Line 149: | Line 150: | ||
=== पासवर्ड पुन: उपयोग === | === पासवर्ड पुन: उपयोग === | ||
कंप्यूटर उपयोगकर्ताओं के बीच एक ही पासवर्ड को कई साइटों पर पुन: उपयोग करना सामान्य बात है। यह एक पर्याप्त सुरक्षा जोखिम प्रस्तुत करता है, क्योंकि एक हैकर (कंप्यूटर सुरक्षा) को पीड़ित द्वारा उपयोग की जाने वाली अन्य साइटों तक पहुंच प्राप्त करने के लिए केवल एक साइट से समझौता करने की आवश्यकता होती है। उपयोगकर्ता (कंप्यूटिंग) का पुन: उपयोग करने और ईमेल लॉगिन की आवश्यकता वाली वेबसाइटों द्वारा भी यह समस्या बढ़ जाती है, क्योंकि यह एक | कंप्यूटर उपयोगकर्ताओं के बीच एक ही पासवर्ड को कई साइटों पर पुन: उपयोग करना सामान्य बात है। यह एक पर्याप्त सुरक्षा जोखिम प्रस्तुत करता है, क्योंकि एक हैकर (कंप्यूटर सुरक्षा) को पीड़ित द्वारा उपयोग की जाने वाली अन्य साइटों तक पहुंच प्राप्त करने के लिए केवल एक साइट से समझौता करने की आवश्यकता होती है। उपयोगकर्ता (कंप्यूटिंग) का पुन: उपयोग करने और ईमेल लॉगिन की आवश्यकता वाली वेबसाइटों द्वारा भी यह समस्या बढ़ जाती है, क्योंकि यह एक आक्षेपक के लिए एक ही उपयोगकर्ता को कई साइटों पर ट्रैक करना आसान बनाता है। स्मर | ||