पासवर्ड: Difference between revisions

Line 12:

पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:<blockquote>जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (पट्टलिका) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और पट्टलिका वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को पट्टलिका देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत जाँच पड़ताल करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से पट्टलिका वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></blockquote>सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिक दिनों में, यू.एस. 101वें विमानवाहित विभाग के पैराट्रूपर ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया-आलोचना के साथ उत्तर दिया। प्रत्येक तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर ने पासवर्ड प्रणाली के स्थान पर D-दिवस पर "क्रिकेट" के रूप में एक उपकरण का उपयोग अस्थायी रूप से अभिनिर्धारण की अनन्य विधि के रूप में किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक धात्विक क्लिक को उत्तर में दो क्लिक से पूरा किया जाना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>

कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के भाग के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्‍तलेखन मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे [[क्रिप्ट (यूनिक्स)|कूटलेख]](3) के रूप में जाना जाता है, ने 12-बिट [[नमक (क्रिप्टोग्राफी)|~~तीक्ष्णता~~ (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक|डेटा एन्क्रिप्शन मानक (DES]]) एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal

कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के भाग के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्‍तलेखन मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे [[क्रिप्ट (यूनिक्स)|कूटलेख]](3) के रूप में जाना जाता है, ने 12-बिट [[नमक (क्रिप्टोग्राफी)|तर्कशीलता (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक|डेटा एन्क्रिप्शन मानक (DES]]) एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal

|title = Password Security: A Case History.

|journal = Bell Laboratories

Line 47:

पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को [[कंप्यूटर वायरस]], मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। भौतिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं, जिसमें शोल्डर सर्फिंग से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक जोखिम सम्मिलित हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी आक्षेपक के लिए उनका अनुमान लगाना कठिन हो और आक्षेपक के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए [[पासवर्ड क्षमता]] और कंप्यूटर सुरक्षा देखें।<ref name=":1" />

आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास उपस्थित लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस प्रक्रिया से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को ~~कमजोर~~ पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।<ref name=":1">[http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords Lyquix Blog: Do We Need to Hide Passwords?] {{webarchive|url=https://web.archive.org/web/20120425114556/http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords |date=2012-04-25 }}. Lyquix.com. Retrieved on 2012-05-20.</ref>

आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास उपस्थित लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस प्रक्रिया से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को असुरक्षित पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।<ref name=":1">[http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords Lyquix Blog: Do We Need to Hide Passwords?] {{webarchive|url=https://web.archive.org/web/20120425114556/http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords |date=2012-04-25 }}. Lyquix.com. Retrieved on 2012-05-20.</ref>

प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक संकेत प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं।<ref>Jonathan Kent [http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm Malaysia car thieves steal finger] {{webarchive|url=https://web.archive.org/web/20101120203534/http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm |date=2010-11-20 }}. BBC (2005-03-31)</ref> बहुत कम उपायों में [[एक्सटॉर्शन, रबर होज़ क्रिप्टैनालिसिस]] और [[साइड चैनल हमला|साइड चैनल]] आक्षेप सम्मिलित हैं।

Line 54:

=== दर जिस पर एक आक्षेपक अनुमानित पासवर्ड का प्रयास कर सकता है ===

दर जिस पर एक आक्षेपक सिस्टम को अनुमानित पासवर्ड प्रस्तुत कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का समय-समापन लगाती हैं, जिसे उपरोध भी कहा जाता है।<ref name="NIST-SP-800-63-3" /> {{rp|63B Sec 5.2.2}} अन्य ~~कमजोरियों~~ के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।<ref>Stuart Brown {{cite web |url=http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |title=Top ten passwords used in the United Kingdom |access-date=2007-08-14 |url-status=dead |archive-url=https://web.archive.org/web/20061108094949/http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |archive-date=November 8, 2006 }}. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.</ref>

दर जिस पर एक आक्षेपक सिस्टम को अनुमानित पासवर्ड प्रस्तुत कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का समय-समापन लगाती हैं, जिसे उपरोध भी कहा जाता है।<ref name="NIST-SP-800-63-3" /> {{rp|63B Sec 5.2.2}} अन्य असुरक्षितियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।<ref>Stuart Brown {{cite web |url=http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |title=Top ten passwords used in the United Kingdom |access-date=2007-08-14 |url-status=dead |archive-url=https://web.archive.org/web/20061108094949/http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |archive-date=November 8, 2006 }}. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.</ref>

कई प्रणालियाँ पासवर्ड के [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन|प्रच्छन्नालेखी हैश फंक्शन]] को संग्रहीत करती हैं। यदि किसी आक्षेपक को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैशमान के विरुद्ध पदान्वेषी पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन आक्षेपक केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन आक्षेपक (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर आक्षेप चल रहा है।

Line 66:

कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को [[सादे पाठ|केवल पाठयांश]] के रूप में संग्रहण करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई आक्षेपक ऐसे आंतरिक पासवर्ड संग्रहण तक अभिगम्य प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समझौता कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समझौता किया जाएगा।

अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को प्रच्छन्नालेखी रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक अभिगम्य एक गुप्तचर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक अभिगम्य प्राप्त करता है, जबकि उपयोगकर्ता अभिगम्य प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एकपक्षीय व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन|मापांक]], या एक विकसित हैश फंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने ~~प्लेनटेक्स्ट~~ पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य पद्धति का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर प्रच्छन्नालेखी हैश फंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस (अभिगम्य) की स्वीकृति है। हैश मान एक प्रच्छन्नालेखी हैश फंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, तर्कशीलता (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक तर्कशीलता आक्षेपकों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच प्रवर्धन करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः प्रच्छन्नालेखी हैश फंक्शन का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के भाग के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>

अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को प्रच्छन्नालेखी रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक अभिगम्य एक गुप्तचर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक अभिगम्य प्राप्त करता है, जबकि उपयोगकर्ता अभिगम्य प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एकपक्षीय व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन|मापांक]], या एक विकसित हैश फंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने सरल टेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य पद्धति का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर प्रच्छन्नालेखी हैश फंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस (अभिगम्य) की स्वीकृति है। हैश मान एक प्रच्छन्नालेखी हैश फंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, तर्कशीलता (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक तर्कशीलता आक्षेपकों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच प्रवर्धन करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः प्रच्छन्नालेखी हैश फंक्शन का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के भाग के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>

संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में ~~संग्रहीत किया जाता है~~, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल ~~में।~~<ref>

संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में संग्रहीत किया जाता है।<ref>

[http://pythonhosted.org/passlib/lib/passlib.hash.html "passlib.hash - Password Hashing Schemes"] {{webarchive|url=https://web.archive.org/web/20130721042150/http://pythonhosted.org/passlib/lib/passlib.hash.html |date=2013-07-21 }}.

</ref>

पासवर्ड के लिए मुख्य भंडारण विधियाँ ~~सादा पाठ~~, हैशेड, ~~हैशेड~~ और ~~तर्कशीलताीन~~, और प्रतिवर्ती रूप से ~~एन्क्रिप्टेड~~ हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई आक्षेपक पासवर्ड फ़ाइल तक ~~पहुँच~~ प्राप्त करता है, तो यदि इसे ~~सादे पाठ~~ के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन तर्कशीलताीन नहीं है तो यह [[इंद्रधनुष तालिका]] ~~अटैक~~ (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि आक्षेपक को फ़ाइल के साथ ~~डिक्रिप्शन~~ कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को तर्कशीलता और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research" />

पासवर्ड के लिए मुख्य भंडारण विधियाँ सरल टेक्स्ट, हैशेड, और तर्कशीलता, और प्रतिवर्ती रूप से गोपनीय हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई आक्षेपक पासवर्ड फ़ाइल तक अभिगम्य प्राप्त करता है, तो यदि इसे सरल टेक्स्ट के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन तर्कशीलताीन नहीं है तो यह [[इंद्रधनुष तालिका|रेनबो टेबल]] आक्षेप (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि आक्षेपक को फ़ाइल के साथ विकोडन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को तर्कशीलता और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research" />

यदि एक प्रच्छन्नालेखी हैश फंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक आक्षेपक पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि आक्षेपक को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" />पासवर्ड क्रैकिंग टूल की सम्मिलित आक्षेपकों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, आक्षेपक छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>

डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट तर्कशीलता मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।<ref name="cm.bell-labs.com" /> एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[बीएसडी]] सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और [[लिखी हुई कहानी]] का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref>

एक खराब डिज़ाइन किया गया हैश फंक्शन आक्षेप को संभव बना सकता है, भले ही एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से तैनात और असुरक्षित उदाहरण के लिए [[एलएम हैश|एलएम]] हैश देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref>

यदि एक प्रच्छन्नालेखी हैश फंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सरल टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को विपरीत करने के लिए अभिकलनीय रूप से संभव नहीं है। हालांकि, एक आक्षेपक पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध उपकरण का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि आक्षेपक को कोई प्रतिद्वंदी मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को उपयोगकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" /> पासवर्ड क्रैकिंग उपकरण की सम्मिलित आक्षेपकों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, आक्षेपक छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>

डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट तर्कशीलता मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फंक्शन को मंद करने के लिए DES एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।<ref name="cm.bell-labs.com" /> एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[BSD सिस्टम]]) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे PBKDF2,, बीक्रिप्ट, और [[लिखी हुई कहानी|एसक्रिप्ट]] का उपयोग करते हैं, जिनमें बड़े तर्कशीलता और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref> एक खराब डिज़ाइन किया गया हैश फंक्शन आक्षेप को संभव बना सकता है, यद्यपि एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से प्रसारित और असुरक्षित उदाहरण के लिए [[एलएम हैश|LM]] हैश देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref>

=== नेटवर्क पर पासवर्ड सत्यापित करने के तरीके ===

Line 86:

Line 82:

==== पासवर्ड का सरल प्रसारण ====

प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, ~~स्नूपिंग~~) के लिए ~~कमजोर~~ होते हैं। यदि पासवर्ड को उपयोगकर्ता ~~पहुंच~~ बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह [[टेलीफोन टैपिंग]] विधियों द्वारा ~~स्नूपिंग~~ के अधीन है। यदि इसे इंटरनेट पर ~~पैकेट वाले~~ डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले [[नेटवर्क पैकेट]] को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ ~~स्नूप~~ कर सकता है।

प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, गुप्तचर) के लिए असुरक्षित होते हैं। यदि पासवर्ड को उपयोगकर्ता अभिगम्य बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह [[टेलीफोन टैपिंग|वायरटैपिंग]] विधियों द्वारा गुप्तचर के अधीन है। यदि इसे इंटरनेट पर कोष्ठित डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले [[नेटवर्क पैकेट|कोष्ठित]] को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ गुप्तचर के रूप से काम कर सकता है।

ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल ~~सादे पाठ~~ के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी छिपकर सुनने वाले द्वारा ~~परिवहन~~ के समय बिना किसी प्रयास के पढ़ा जा सकता है। इसके ~~अलावा~~, संदेश को कम से कम दो कंप्यूटरों पर ~~सादे पाठ~~ के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी ~~यात्रा~~ के समय ~~इंटरमीडिएट~~ सिस्टम से ~~गुजरता~~ है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर [[बैकअप]], [[कैश (कंप्यूटिंग)]] या ~~इतिहास~~ फाइलों में कॉपी किया जा सकता है।

ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सरल टेक्स्ट के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी छिपकर सुनने वाले द्वारा अभिगमन के समय बिना किसी प्रयास के पढ़ा जा सकता है। इसके अतिरिक्त , संदेश को कम से कम दो कंप्यूटरों पर सरल टेक्स्ट के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी संचारण के समय मध्यवर्ती सिस्टम से निकलता है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर [[बैकअप]], [[कैश (कंप्यूटिंग)]] या विवरण फाइलों में कॉपी किया जा सकता है।

क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल ~~हैंडलिंग~~ सिस्टम सर्वर से क्लाइंट मशीन तक ~~ट्रांसमिशन~~ की रक्षा करेगा। ईमेल के ~~पिछले~~ या बाद के ~~रिले~~ को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर ~~संग्रहीत किया जाएगा~~, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट ~~पाठ में।~~

क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल सेवा सिस्टम सर्वर से क्लाइंट मशीन तक प्रसारण की रक्षा करेगा। ईमेल के पहले या बाद के प्रसारण को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट टेक्स्ट में संग्रहीत किया जाएगा।

==== एन्क्रिप्टेड चैनलों के माध्यम से प्रसारण ====

Line 98:

Line 94:

==== हैश-आधारित निर्देशार्थ-प्रतिक्रिया के तरीके ====

दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा गोपनीयता]] (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गोपनीयता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गोपनीयता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके ~~अलावा~~, जब हैश का उपयोग एक साझा गोपनीयता के रूप में किया जाता है, तो आक्षेपक को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है।

दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा गोपनीयता]] (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गोपनीयता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गोपनीयता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अतिरिक्त , जब हैश का उपयोग एक साझा गोपनीयता के रूप में किया जाता है, तो आक्षेपक को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है।

==== जीरो [[शून्य-ज्ञान पासवर्ड प्रमाण]] ====

Line 108:

Line 104:

===पासवर्ड बदलने की प्रक्रियाएं===

सामान्यतः, एक सिस्टम को पासवर्ड बदलने का एक तर�

Anonymous

Search

पासवर्ड: Difference between revisions

Namespaces

More

Page actions

@@ Line 12: / Line 12: @@
 पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है।  संरक्षक उनको  निर्देशार्थ करेंगे, जो  पासवर्ड या संकेत शब्द  की आपूर्ति करने के लिए  क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:<blockquote>जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (पट्टलिका) है जिस पर यह शब्द उत्कीर्ण है -  उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और  पट्टलिका वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को पट्टलिका देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत  जाँच पड़ताल करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से  पट्टलिका वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></blockquote>सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिक दिनों में, यू.एस. 101वें  विमानवाहित विभाग के पैराट्रूपर ने  एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक  निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया-आलोचना के साथ उत्तर दिया। प्रत्येक तीन दिनों में  निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर ने पासवर्ड प्रणाली के स्थान पर D-दिवस पर "क्रिकेट" के रूप में  एक उपकरण का उपयोग अस्थायी रूप से अभिनिर्धारण की अनन्य विधि के रूप में किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक  धात्विक क्लिक को उत्तर में दो क्लिक से पूरा किया जाना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>
-कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के भाग के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्‍तलेखन मशीन  पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे  [[क्रिप्ट (यूनिक्स)|कूटलेख]](3) के रूप में जाना जाता है, ने 12-बिट  [[नमक (क्रिप्टोग्राफी)|तीक्ष्णता (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक|डेटा एन्क्रिप्शन मानक (DES]]) एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal
+कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के भाग के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्‍तलेखन मशीन  पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे  [[क्रिप्ट (यूनिक्स)|कूटलेख]](3) के रूप में जाना जाता है, ने 12-बिट   [[नमक (क्रिप्टोग्राफी)|तर्कशीलता (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक|डेटा एन्क्रिप्शन मानक (DES]]) एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal
   |title       = Password Security: A Case History.
   |journal        = Bell Laboratories
@@ Line 47: / Line 47: @@
 पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को [[कंप्यूटर वायरस]], मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। भौतिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं, जिसमें शोल्डर सर्फिंग से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक जोखिम सम्मिलित हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी आक्षेपक के लिए उनका अनुमान लगाना कठिन हो और आक्षेपक के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए [[पासवर्ड क्षमता]] और कंप्यूटर सुरक्षा देखें।<ref name=":1" />
-आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक  सामान्य बात है। इस उपाय का उद्देश्य आसपास उपस्थित लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस प्रक्रिया से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को कमजोर पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।<ref name=":1">[http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords Lyquix Blog: Do We Need to Hide Passwords?] {{webarchive|url=https://web.archive.org/web/20120425114556/http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords |date=2012-04-25 }}. Lyquix.com. Retrieved on 2012-05-20.</ref>
+आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक  सामान्य बात है। इस उपाय का उद्देश्य आसपास उपस्थित लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस प्रक्रिया से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को असुरक्षित पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।<ref name=":1">[http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords Lyquix Blog: Do We Need to Hide Passwords?] {{webarchive|url=https://web.archive.org/web/20120425114556/http://www.lyquix.com/blog/92-do-we-need-to-hide-passwords |date=2012-04-25 }}. Lyquix.com. Retrieved on 2012-05-20.</ref>
 प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक संकेत प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं।<ref>Jonathan Kent  [http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm Malaysia car thieves steal finger] {{webarchive|url=https://web.archive.org/web/20101120203534/http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm |date=2010-11-20 }}. BBC (2005-03-31)</ref> बहुत कम उपायों में [[एक्सटॉर्शन, रबर होज़ क्रिप्टैनालिसिस]] और [[साइड चैनल हमला|साइड चैनल]] आक्षेप सम्मिलित हैं।
@@ Line 54: / Line 54: @@
 === दर जिस पर एक आक्षेपक अनुमानित पासवर्ड का प्रयास कर सकता है ===
-दर जिस पर एक आक्षेपक सिस्टम को अनुमानित पासवर्ड प्रस्तुत कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का समय-समापन लगाती हैं, जिसे उपरोध भी कहा जाता है।<ref name="NIST-SP-800-63-3" /> {{rp|63B Sec 5.2.2}} अन्य कमजोरियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।<ref>Stuart Brown {{cite web |url=http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |title=Top ten passwords used in the United Kingdom |access-date=2007-08-14 |url-status=dead |archive-url=https://web.archive.org/web/20061108094949/http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |archive-date=November 8, 2006 }}. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.</ref>
+दर जिस पर एक आक्षेपक सिस्टम को अनुमानित पासवर्ड प्रस्तुत कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का समय-समापन लगाती हैं, जिसे उपरोध भी कहा जाता है।<ref name="NIST-SP-800-63-3" /> {{rp|63B Sec 5.2.2}} अन्य असुरक्षितियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।<ref>Stuart Brown {{cite web |url=http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |title=Top ten passwords used in the United Kingdom |access-date=2007-08-14 |url-status=dead |archive-url=https://web.archive.org/web/20061108094949/http://www.modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp |archive-date=November 8, 2006 }}. Modernlifeisrubbish.co.uk (2006-05-26). Retrieved on 2012-05-20.</ref>
 कई प्रणालियाँ पासवर्ड के [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन|प्रच्छन्नालेखी हैश फंक्शन]] को संग्रहीत करती हैं। यदि किसी आक्षेपक को  हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के  हैशमान के विरुद्ध पदान्वेषी पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन आक्षेपक केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन आक्षेपक (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर आक्षेप चल रहा है।
@@ Line 66: / Line 66: @@
 कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को [[सादे पाठ|केवल पाठयांश]] के रूप में संग्रहण करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई आक्षेपक ऐसे आंतरिक पासवर्ड संग्रहण तक अभिगम्य प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समझौता कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समझौता किया जाएगा।
-अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को प्रच्छन्नालेखी रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक अभिगम्य एक गुप्तचर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक अभिगम्य  प्राप्त करता है, जबकि उपयोगकर्ता अभिगम्य प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एकपक्षीय व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन|मापांक]], या एक विकसित  हैश फंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य पद्धति का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर प्रच्छन्नालेखी  हैश फंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न  हैश मान पासवर्ड डेटाबेस में संग्रहीत  हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस (अभिगम्य) की स्वीकृति है।  हैश मान एक प्रच्छन्नालेखी  हैश फंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, तर्कशीलता (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक तर्कशीलता आक्षेपकों को सामान्य पासवर्ड के लिए  हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच प्रवर्धन करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः प्रच्छन्नालेखी  हैश फंक्शन का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के भाग के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>
+अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को प्रच्छन्नालेखी रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक अभिगम्य एक गुप्तचर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक अभिगम्य  प्राप्त करता है, जबकि उपयोगकर्ता अभिगम्य प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एकपक्षीय व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन|मापांक]], या एक विकसित  हैश फंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने सरल टेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य पद्धति का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर प्रच्छन्नालेखी  हैश फंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न  हैश मान पासवर्ड डेटाबेस में संग्रहीत  हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस (अभिगम्य) की स्वीकृति है।  हैश मान एक प्रच्छन्नालेखी  हैश फंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, तर्कशीलता (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक तर्कशीलता आक्षेपकों को सामान्य पासवर्ड के लिए  हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच प्रवर्धन करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः प्रच्छन्नालेखी  हैश फंक्शन का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के भाग के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>
-संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड  हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307  हैश प्रारूप में संग्रहीत किया जाता है, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में।<ref>
+संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड  हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307  हैश प्रारूप में, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में संग्रहीत किया जाता है।<ref>
 [http://pythonhosted.org/passlib/lib/passlib.hash.html "passlib.hash - Password Hashing Schemes"] {{webarchive|url=https://web.archive.org/web/20130721042150/http://pythonhosted.org/passlib/lib/passlib.hash.html |date=2013-07-21 }}.
 </ref>
-पासवर्ड के लिए मुख्य भंडारण विधियाँ सादा पाठ, हैशेड, हैशेड और तर्कशीलताीन, और प्रतिवर्ती रूप से एन्क्रिप्टेड हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई आक्षेपक पासवर्ड फ़ाइल तक पहुँच प्राप्त करता है, तो यदि इसे सादे पाठ के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन तर्कशीलताीन नहीं है तो यह [[इंद्रधनुष तालिका]] अटैक (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि आक्षेपक को फ़ाइल के साथ डिक्रिप्शन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को तर्कशीलता और  हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research" />
+पासवर्ड के लिए मुख्य भंडारण विधियाँ सरल टेक्स्ट, हैशेड,  और तर्कशीलता, और प्रतिवर्ती रूप से गोपनीय हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई आक्षेपक पासवर्ड फ़ाइल तक अभिगम्य  प्राप्त करता है, तो यदि इसे सरल टेक्स्ट के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन तर्कशीलताीन नहीं है तो यह [[इंद्रधनुष तालिका|रेनबो टेबल]] आक्षेप (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि आक्षेपक को फ़ाइल के साथ विकोडन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को तर्कशीलता और  हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research" />
-यदि एक प्रच्छन्नालेखी  हैश फंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक आक्षेपक पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को  हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड  हैश से तुलना करके काम करते हैं। यदि आक्षेपक को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को  हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" />पासवर्ड क्रैकिंग टूल की सम्मिलित आक्षेपकों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, आक्षेपक छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>
-डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट तर्कशीलता मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का  हैश अद्वितीय हो और  हैश फंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।<ref name="cm.bell-labs.com" />  एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[बीएसडी]] सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और [[लिखी हुई कहानी]] का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref>
-एक खराब डिज़ाइन किया गया  हैश फंक्शन आक्षेप को संभव बना सकता है, भले ही एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से तैनात और असुरक्षित उदाहरण के लिए [[एलएम हैश|एलएम]]  हैश देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref>
+यदि एक प्रच्छन्नालेखी  हैश फंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सरल टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को  विपरीत करने के लिए अभिकलनीय रूप से संभव नहीं है। हालांकि, एक आक्षेपक पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध उपकरण का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को  हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड  हैश से तुलना करके काम करते हैं। यदि आक्षेपक को कोई  प्रतिद्वंदी मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को उपयोगकर) या सूची से प्रत्येक शब्द को  हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" /> पासवर्ड क्रैकिंग उपकरण की सम्मिलित आक्षेपकों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, आक्षेपक छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>
+डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट तर्कशीलता मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का  हैश अद्वितीय हो और  हैश फंक्शन को मंद करने के लिए DES एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।<ref name="cm.bell-labs.com" />  एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[BSD सिस्टम]]) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे PBKDF2,, बीक्रिप्ट, और [[लिखी हुई कहानी|एसक्रिप्ट]] का उपयोग करते हैं, जिनमें बड़े तर्कशीलता और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref> एक खराब डिज़ाइन किया गया  हैश फंक्शन आक्षेप को संभव बना सकता है, यद्यपि एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से प्रसारित और असुरक्षित उदाहरण के लिए [[एलएम हैश|LM]]  हैश देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref>
 === नेटवर्क पर पासवर्ड सत्यापित करने के तरीके ===
@@ Line 86: / Line 82: @@
 ==== पासवर्ड का सरल प्रसारण ====
-प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, स्नूपिंग) के लिए कमजोर होते हैं। यदि पासवर्ड को उपयोगकर्ता पहुंच बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह [[टेलीफोन टैपिंग]] विधियों द्वारा स्नूपिंग के अधीन है। यदि इसे इंटरनेट पर पैकेट वाले डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले [[नेटवर्क पैकेट]] को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ स्नूप कर सकता है।
+प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, गुप्तचर) के लिए असुरक्षित होते हैं। यदि पासवर्ड को उपयोगकर्ता अभिगम्य  बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह  [[टेलीफोन टैपिंग|वायरटैपिंग]]  विधियों द्वारा गुप्तचर के अधीन है। यदि इसे इंटरनेट पर  कोष्ठित  डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले  [[नेटवर्क पैकेट|कोष्ठित]] को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ गुप्तचर के रूप से काम  कर सकता है।
-ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह  सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सादे पाठ के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी छिपकर सुनने वाले द्वारा परिवहन के समय बिना किसी प्रयास के पढ़ा जा सकता है। इसके अलावा, संदेश को कम से कम दो कंप्यूटरों पर सादे पाठ के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी यात्रा के समय इंटरमीडिएट सिस्टम से गुजरता है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर [[बैकअप]], [[कैश (कंप्यूटिंग)]] या इतिहास फाइलों में कॉपी किया जा सकता है।
+ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह  सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सरल टेक्स्ट के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी छिपकर सुनने वाले द्वारा  अभिगमन के समय बिना किसी प्रयास के पढ़ा जा सकता है। इसके अतिरिक्त , संदेश को कम से कम दो कंप्यूटरों पर सरल टेक्स्ट के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी संचारण  के समय मध्यवर्ती सिस्टम से निकलता   है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर [[बैकअप]], [[कैश (कंप्यूटिंग)]] या विवरण फाइलों में कॉपी किया जा सकता है।
-क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल हैंडलिंग सिस्टम सर्वर से क्लाइंट मशीन तक ट्रांसमिशन की रक्षा करेगा। ईमेल के पिछले या बाद के रिले को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर संग्रहीत किया जाएगा, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट पाठ में।
+क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल सेवा सिस्टम सर्वर से क्लाइंट मशीन तक प्रसारण  की रक्षा करेगा। ईमेल के पहले या बाद के प्रसारण को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट टेक्स्ट में संग्रहीत किया जाएगा।
 ==== एन्क्रिप्टेड चैनलों के माध्यम से प्रसारण ====
@@ Line 98: / Line 94: @@
 ==== हैश-आधारित  निर्देशार्थ-प्रतिक्रिया के तरीके ====
-दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित  निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा  गोपनीयता]]  (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा  गोपनीयता  प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा  गोपनीयता   सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब  हैश का उपयोग एक साझा  गोपनीयता  के रूप में किया जाता है, तो आक्षेपक को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल  हैश की जरूरत है।
+दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित  निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा  गोपनीयता]]  (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा  गोपनीयता  प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा  गोपनीयता   सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अतिरिक्त , जब  हैश का उपयोग एक साझा  गोपनीयता  के रूप में किया जाता है, तो आक्षेपक को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल  हैश की जरूरत है।
 ==== जीरो [[शून्य-ज्ञान पासवर्ड प्रमाण]] ====
@@ Line 108: / Line 104: @@
 ===पासवर्ड बदलने की प्रक्रियाएं===
-सामान्यतः, एक सिस्टम को पासवर्ड बदलने का एक तर�