पासवर्ड: Difference between revisions

Line 10:

इसके नाम के होने पर भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गोपनीयता जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी [[पदबंध|पासफ्रेज]] कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।<ref>{{cite web |title=पदबंध|url=https://csrc.nist.gov/glossary/term/पदबंध|publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019}}</ref>

== इतिहास ==

पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संतरी एक पासवर्ड या वॉचवर्ड की आपूर्ति करने के लिए एक क्षेत्र में प्रवेश ~~करने के इच्छुक लोगों को चुनौती देंगे~~, और केवल एक व्यक्ति या समूह को पास होने की ~~अनुमति~~ देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में ~~वॉचवर्ड्स~~ के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:

पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संतरी उनको को निर्देशार्थ देंगे, जो पासवर्ड या वॉचवर्ड की की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में वॉचवर्ड के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:

<blockquote>जिस तरह से वे रात के लिए वाचवर्ड के पासिंग राउंड को सुरक्षित करते हैं, वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मैनिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे गार्ड ड्यूटी से मुक्त किया जाता है, और वह हर दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे वॉचवर्ड प्राप्त करता है - जो कि उस पर अंकित शब्द के साथ एक लकड़ी की गोली है - उसकी छुट्टी लेता है, और अपने क्वार्टर में लौटने पर अगले मैनिपिल के कमांडर को गवाहों से पहले वॉचवर्ड और टैबलेट पर गुजरता है, जो बदले में उसे उसके बगल में भेजता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले जोड़ तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये बाद वाले अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि जारी किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को वॉचवर्ड दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी गायब हो जाता है, तो वह तुरंत पूछताछ करता है, क्योंकि वह निशान से जानता है कि किस तिमाही से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए जिम्मेदार है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></ब्लॉककोट>

<blockquote>जिस तरह से वे रात के लिए वाचवर्ड के पासिंग राउंड को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मैनिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे गार्ड ड्यूटी से मुक्त किया जाता है, और वह हर दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे वॉचवर्ड प्राप्त करता है - जो कि उस पर अंकित शब्द के साथ एक लकड़ी की गोली है - उसकी छुट्टी लेता है, और अपने क्वार्टर में लौटने पर अगले मैनिपिल के कमांडर को गवाहों से पहले वॉचवर्ड और टैबलेट पर गुजरता है, जो बदले में उसे उसके बगल में भेजता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले जोड़ तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये बाद वाले अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि जारी किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को वॉचवर्ड दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी गायब हो जाता है, तो वह तुरंत पूछताछ करता है, क्योंकि वह निशान से जानता है कि किस तिमाही से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए जिम्मेदार है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></ब्लॉककोट>

सैन्य उपयोग में पासवर्ड न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिकी दिनों में, यू.एस. 101वें एयरबोर्न डिवीजन के पैराट्रूपर्स ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया के साथ उत्तर दिया-थंडर। हर तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर्स ने पहचान के अस्थायी रूप से अनूठे तरीके के रूप में पासवर्ड सिस्टम के स्थान पर [[डी-डे]] पर क्रिकेट के रूप में जाने जाने वाले एक उपकरण का भी प्रसिद्ध रूप से उपयोग किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक मैटेलिक क्लिक को जवाब में दो क्लिक से मिलना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>

सैन्य उपयोग में पासवर्ड न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिकी दिनों में, यू.एस. 101वें एयरबोर्न डिवीजन के पैराट्रूपर्स ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक चुनौती के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया के साथ उत्तर दिया-थंडर। हर तीन दिनों में चुनौती और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर्स ने पहचान के अस्थायी रूप से अनूठे तरीके के रूप में पासवर्ड सिस्टम के स्थान पर [[डी-डे]] पर क्रिकेट के रूप में जाने जाने वाले एक उपकरण का भी प्रसिद्ध रूप से उपयोग किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक मैटेलिक क्लिक को जवाब में दो क्लिक से मिलना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>

कंप्यूटिंग के प्रारम्भिकी दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक LOGIN कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम प्रिंटिंग मैकेनिज्म को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के हिस्से के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड स्टोर करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर क्रिप्टो मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे [[क्रिप्ट (यूनिक्स)]] | क्रिप्ट (3) के रूप में जाना जाता है, ने 12-बिट [[नमक (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश हमलों के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक]] एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal

|title = Password Security: A Case History.

Line 42:

Line 43:

== याद रखने के विकल्प ==

पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक ~~चुनौती~~ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।<ref name=nordpass100 />पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में [[पासवर्ड प्रबंधक]]ों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना सम्मिलित है।<ref>{{cite web|url=https://www.macworld.com/article/226857/write-your-passwords-down-to-improve-safety.html |title=सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।|first=Glenn |last=Fleishman|date=November 24, 2015|publisher=MacWorld|access-date=April 28, 2021}}</ref> इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।

पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।<ref name=nordpass100 />पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में [[पासवर्ड प्रबंधक]]ों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना सम्मिलित है।<ref>{{cite web|url=https://www.macworld.com/article/226857/write-your-passwords-down-to-improve-safety.html |title=सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।|first=Glenn |last=Fleishman|date=November 24, 2015|publisher=MacWorld|access-date=April 28, 2021}}</ref> इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।

==पासवर्ड प्रणाली की सुरक्षा के कारक==

Line 64:

Line 65:

कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को [[सादे पाठ]] के रूप में स्टोर करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई हमलावर ऐसे आंतरिक पासवर्ड स्टोर तक पहुँच प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समझौता कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समझौता किया जाएगा।

अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक पहुँच एक स्नूपर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक पहुँच प्राप्त करता है, जबकि उपयोगकर्ता पहुँच प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को स्टोर नहीं करते हैं, लेकिन एक तरफ़ा व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन]], या एक उन्नत क्रिप्टोग्राफ़िक हैश फ़ंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को स्टोर करने के लिए अब-सामान्य दृष्टिकोण का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर क्रिप्टोग्राफ़िक हैश फ़ंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस की ~~अनुमति~~ है। हैश मान एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, नमक (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक नमक हमलावरों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच स्केल करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः क्रिप्टोग्राफ़िक हैश फ़ंक्शंस का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के हिस्से के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>

अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक पहुँच एक स्नूपर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक पहुँच प्राप्त करता है, जबकि उपयोगकर्ता पहुँच प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को स्टोर नहीं करते हैं, लेकिन एक तरफ़ा व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन]], या एक उन्नत क्रिप्टोग्राफ़िक हैश फ़ंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को स्टोर करने के लिए अब-सामान्य दृष्टिकोण का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर क्रिप्टोग्राफ़िक हैश फ़ंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस की स्वीकृति है। हैश मान एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, नमक (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक नमक हमलावरों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच स्केल करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः क्रिप्टोग्राफ़िक हैश फ़ंक्शंस का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के हिस्से के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>

संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में संग्रहीत किया जाता है, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में।<ref>

[http://pythonhosted.org/passlib/lib/passlib.hash.html "passlib.hash - Password Hashing Schemes"] {{webarchive|url=https://web.archive.org/web/20130721042150/http://pythonhosted.org/passlib/lib/passlib.hash.html |date=2013-07-21 }}.

Line 70:

Line 71:

पासवर्ड के लिए मुख्य भंडारण विधियाँ सादा पाठ, हैशेड, हैशेड और नमकीन, और प्रतिवर्ती रूप से एन्क्रिप्टेड हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई हमलावर पासवर्ड फ़ाइल तक पहुँच प्राप्त करता है, तो यदि इसे सादे पाठ के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन नमकीन नहीं है तो यह [[इंद्रधनुष तालिका]] अटैक (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि हमलावर को फ़ाइल के साथ डिक्रिप्शन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को नमकीन और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research"/>

यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक हमलावर पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि हमलावर को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के हर संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" />पासवर्ड क्रैकिंग टूल की सम्मिलित हमलावरों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की ~~अनुमति~~ देती है। विशेष रूप से, हमलावर छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>

यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक हमलावर पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि हमलावर को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के हर संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" />पासवर्ड क्रैकिंग टूल की सम्मिलित हमलावरों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, हमलावर छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>

डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट नमक मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फ़ंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले हमलों को विफल करना है।<ref name="cm.bell-labs.com"/> एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[बीएसडी]] सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और [[लिखी हुई कहानी]] का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref>

एक खराब डिज़ाइन किया गया हैश फ़ंक्शन हमलों को संभव बना सकता है, भले ही एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से तैनात और असुरक्षित उदाहरण के लिए [[एलएम हैश]] देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref>

Line 89:

Line 90:

[[क्रिप्टोग्राफी]] सुरक्षा का उपयोग करके, अन्य दृष्टिकोणों के साथ, इंटरनेट पर भेजे गए पासवर्डों के अवरोधन के जोखिम को कम किया जा सकता है। सबसे व्यापक रूप से उपयोग किया जाने वाला [[परिवहन परत सुरक्षा]] (TLS, जिसे पहले [[सुरक्षित सॉकेट लेयर]] कहा जाता था) फीचर सबसे मौजूदा इंटरनेट [[वेब ब्राउज़र]] में बनाया गया है। जब टीएलएस उपयोग में होता है, तो अधिकांश ब्राउज़र एक बंद लॉक आइकन, या कुछ अन्य संकेत प्रदर्शित करके सर्वर के साथ टीएलएस/एसएसएल-संरक्षित एक्सचेंज के उपयोगकर्ता को सचेत करते हैं। उपयोग में कई अन्य तकनीकें हैं; क्रिप्टोग्राफी देखें।

==== हैश-आधारित ~~चुनौती~~-प्रतिक्रिया के तरीके ====

==== हैश-आधारित निर्देशार्थ-प्रतिक्रिया के तरीके ====

दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित ~~चुनौती~~-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा गोपनीयता]] (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गोपनीयता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गोपनीयता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले हमलों के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब हैश का उपयोग एक साझा गोपनीयता के रूप में किया जाता है, तो हमलावर को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है।

दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा गोपनीयता]] (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गोपनीयता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गोपनीयता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले हमलों के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब हैश का उपयोग एक साझा गोपनीयता के रूप में किया जाता है, तो हमलावर को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है।

==== जीरो [[शून्य-ज्ञान पासवर्ड प्रमाण]] ====

Line 97:

Line 98:

पासवर्ड ट्रांसमिट करने, या पासवर्ड के हैश को ट्रांसमिट करने के अतिरिक्त, पासवर्ड-प्रमाणित कुंजी अनुबंध सिस्टम एक शून्य-ज्ञान पासवर्ड प्रूफ का प्रदर्शन कर सकते हैं, जो पासवर्ड को उजागर किए बिना उसका ज्ञान साबित करता है।

एक कदम आगे बढ़ते हुए, पासवर्ड-प्रमाणित कुंजी समझौते के लिए संवर्धित सिस्टम (जैसे, [[यादगार पासवर्ड के माध्यम से प्रमाणीकरण और कुंजी समझौता]], [[SPEKE]]|B-SPEKE, [[PAK-Z]], [[सुरक्षित रिमोट पासवर्ड प्रोटोकॉल]]|SRP-6) के विरोध और सीमा दोनों से बचते हैं हैश-आधारित तरीके। एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान साबित करने की ~~अनुमति~~ देती है, जहां सर्वर केवल एक (बिल्कुल नहीं) हैश पासवर्ड जानता है, और जहां पहुंच प्राप्त करने के लिए अन-हैश पासवर्ड की आवश्यकता होती है।

एक कदम आगे बढ़ते हुए, पासवर्ड-प्रमाणित कुंजी समझौते के लिए संवर्धित सिस्टम (जैसे, [[यादगार पासवर्ड के माध्यम से प्रमाणीकरण और कुंजी समझौता]], [[SPEKE]]|B-SPEKE, [[PAK-Z]], [[सुरक्षित रिमोट पासवर्ड प्रोटोकॉल]]|SRP-6) के विरोध और सीमा दोनों से बचते हैं हैश-आधारित तरीके। एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान साबित करने की स्वीकृति देती है, जहां सर्वर केवल एक (बिल्कुल नहीं) हैश पासवर्ड जानता है, और जहां पहुंच प्राप्त करने के लिए अन-हैश पासवर्ड की आवश्यकता होती है।

===पासवर्ड बदलने की प्रक्रियाएं===

Line 133:

Line 134:

पासवर्ड द्वारा संरक्षित कंप्यूटर सिस्टम की सुरक्षा में सुधार के लिए उपयोग की जाने वाली सामान्य तकनीकों में सम्मिलित हैं:

* डिस्प्ले स्क्रीन पर पासवर्ड प्रदर्शित नहीं करना क्योंकि यह दर्ज किया जा रहा है या इसे अस्पष्ट कर रहा है क्योंकि यह तारक (*) या गोलियों (•) का उपयोग करके टाइप किया गया है।

* पर्याप्त लंबाई के पासवर्ड की ~~अनुमति~~ देना। (प्रारंभिक संस्करणों सहित कुछ [[विरासती तंत्र]] ऑपरेटिंग सिस्टम{{Which|date=September 2010}} यूनिक्स और विंडोज के, अधिकतम 8 वर्णों तक सीमित पासवर्ड,<ref>Seltzer, Larry. (2010-02-09) [https://www.pcmag.com/article2/0,2817,2358985,00.asp "American Express: Strong Credit, Weak Passwords"] {{webarchive|url=https://web.archive.org/web/20170712160714/https://www.pcmag.com/article2/0,2817,2358985,00.asp |date=2017-07-12 }}. Pcmag.com. Retrieved on 2012-05-20.</ref><ref name="password_myths">[http://www.symantec.com/connect/articles/ten-windows-password-myths दस विंडोज पासवर्ड मिथक] {{webarchive|url=https://web.archive.org/web/20160128204127/http://www.symantec.com/connect/articles/ten-windows-password-myths |date=2016-01-28 }}: एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड

* पर्याप्त लंबाई के पासवर्ड की स्वीकृति देना। (प्रारंभिक संस्करणों सहित कुछ [[विरासती तंत्र]] ऑपरेटिंग सिस्टम{{Which|date=September 2010}} यूनिक्स और विंडोज के, अधिकतम 8 वर्णों तक सीमित पासवर्ड,<ref>Seltzer, Larry. (2010-02-09) [https://www.pcmag.com/article2/0,2817,2358985,00.asp "American Express: Strong Credit, Weak Passwords"] {{webarchive|url=https://web.archive.org/web/20170712160714/https://www.pcmag.com/article2/0,2817,2358985,00.asp |date=2017-07-12 }}. Pcmag.com. Retrieved on 2012-05-20.</ref><ref name="password_myths">[http://www.symantec.com/connect/articles/ten-windows-password-myths दस विंडोज पासवर्ड मिथक] {{webarchive|url=https://web.archive.org/web/20160128204127/http://www.symantec.com/connect/articles/ten-windows-password-myths |date=2016-01-28 }}: एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड

</रेफरी><ref>[http://jira.codehaus.org/browse/REDBACK-87 "You must provide a password between 1 and 8 characters in length"]. Jira.codehaus.org. Retrieved on 2012-05-20. {{webarchive |url=https://web.archive.org/web/20150521153629/http://jira.codehaus.org/browse/REDBACK-87 |date=May 21, 2015 }}</ref> सुरक्षा कम करना।)

* उपयोगकर्ताओं को निष्क्रियता की अवधि (एक अर्ध लॉग-ऑफ नीति) के बाद अपना पासवर्ड फिर से दर्ज करने की आवश्यकता होती है।

Line 191:

Line 192:

== पासवर्ड क्रैकिंग ==

समय और धन की ~~अनुमति~~ के रूप में कई संभावनाओं का प्रयास करके पासवर्ड क्रैक करने का प्रयास करना एक क्रूर बल का हमला है। एक संबंधित विधि, ज्यादातर मामलों में अधिक कुशल, एक शब्दकोश हमला है। डिक्शनरी अटैक में, एक या अधिक डिक्शनरी के सभी शब्दों का परीक्षण किया जाता है। सामान्य पासवर्ड की सूची का भी सामान्यतः परीक्षण किया जाता है।

समय और धन की स्वीकृति के रूप में कई संभावनाओं का प्रयास करके पासवर्ड क्रैक करने का प्रयास करना एक क्रूर बल का हमला है। एक संबंधित विधि, ज्यादातर मामलों में अधिक कुशल, एक शब्दकोश हमला है। डिक्शनरी अटैक में, एक या अधिक डिक्शनरी के सभी शब्दों का परीक्षण किया जाता है। सामान्य पासवर्ड की सूची का भी सामान्यतः परीक्षण किया जाता है।

पासवर्ड की ताकत संभावना है कि एक पासवर्ड का अनुमान या खोज नहीं किया जा सकता है, और इस्तेमाल किए गए हमले एल्गोरिदम के साथ भिन्न होता है। क्रिप्टोलॉजिस्ट और कंप्यूटर वैज्ञानिक प्रायः एंट्रॉपी (सूचना सिद्धांत) के संदर्भ में ताकत या 'कठोरता' का उल्लेख करते हैं।<ref name="SS1" />

Line 215:

Line 216:

* [[एक बारी पासवर्ड]] | सिंगल-यूज़ पासवर्ड। केवल एक बार मान्य पासवर्ड होने से कई संभावित हमले अप्रभावी हो जाते हैं। अधिकांश उपयोगकर्ताओं को एकल-उपयोग पासवर्ड अत्यंत असुविधाजनक लगता है। हालाँकि, उन्हें व्यक्तिगत [[[[टैन (बैंकिंग)]]]] में व्यापक रूप से लागू किया गया है, जहाँ उन्हें TAN (बैंकिंग) (TAN) के रूप में जाना जाता है। चूंकि अधिकांश घरेलू उपयोगकर्ता प्रत्येक सप्ताह केवल कुछ ही लेन-देन करते हैं, इसलिए एकल-उपयोग समस्या के कारण इस मामले में असहनीय ग्राहक असंतोष नहीं हुआ है।

* [[टाइम-सिंक्रोनाइज़्ड वन-टाइम पासवर्ड]] कुछ मायनों में सिंगल-यूज़ पासवर्ड के समान हैं, लेकिन दर्ज किया जाने वाला मान एक छोटे ( सामान्यतः पॉकेटेबल) आइटम पर प्रदर्शित होता है और हर मिनट में बदलता है।

* [[पासविंडो]] वन-टाइम पासवर्ड का उपयोग एकल-उपयोग पासवर्ड के रूप में किया जाता है, लेकिन दर्ज किए जा

Anonymous

Search

पासवर्ड: Difference between revisions

Namespaces

More

Page actions

@@ Line 10: / Line 10: @@
 इसके नाम के होने पर भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण  है। एक स्मरण  गोपनीयता  जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी [[पदबंध|पासफ्रेज]] कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व  सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।<ref>{{cite web |title=पदबंध|url=https://csrc.nist.gov/glossary/term/पदबंध|publisher=Computer Security Resource Center (NIST) |access-date=17 May 2019}}</ref>
 == इतिहास ==
-पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संतरी एक पासवर्ड या वॉचवर्ड की आपूर्ति करने के लिए एक क्षेत्र में प्रवेश करने के इच्छुक लोगों को चुनौती देंगे, और केवल एक व्यक्ति या समूह को पास होने की अनुमति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में वॉचवर्ड्स के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:
+पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संतरी उनको को  निर्देशार्थ देंगे, जो  पासवर्ड या वॉचवर्ड की की आपूर्ति करने के लिए  क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में वॉचवर्ड के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:
-<blockquote>जिस तरह से वे रात के लिए वाचवर्ड के पासिंग राउंड को सुरक्षित करते हैं, वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मैनिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे गार्ड ड्यूटी से मुक्त किया जाता है, और वह हर दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे वॉचवर्ड प्राप्त करता है - जो कि उस पर अंकित शब्द के साथ एक लकड़ी की गोली है - उसकी छुट्टी लेता है, और अपने क्वार्टर में लौटने पर अगले मैनिपिल के कमांडर को गवाहों से पहले वॉचवर्ड और टैबलेट पर गुजरता है, जो बदले में उसे उसके बगल में भेजता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले जोड़ तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये बाद वाले अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि जारी किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को वॉचवर्ड दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी गायब हो जाता है, तो वह तुरंत पूछताछ करता है, क्योंकि वह निशान से जानता है कि किस तिमाही से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए जिम्मेदार है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></ब्लॉककोट>
+<blockquote>जिस तरह से वे रात के लिए वाचवर्ड के पासिंग राउंड को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मैनिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे गार्ड ड्यूटी से मुक्त किया जाता है, और वह हर दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे वॉचवर्ड प्राप्त करता है - जो कि उस पर अंकित शब्द के साथ एक लकड़ी की गोली है - उसकी छुट्टी लेता है, और अपने क्वार्टर में लौटने पर अगले मैनिपिल के कमांडर को गवाहों से पहले वॉचवर्ड और टैबलेट पर गुजरता है, जो बदले में उसे उसके बगल में भेजता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले जोड़ तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये बाद वाले अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि जारी किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को वॉचवर्ड दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी गायब हो जाता है, तो वह तुरंत पूछताछ करता है, क्योंकि वह निशान से जानता है कि किस तिमाही से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए जिम्मेदार है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></ब्लॉककोट>
+सैन्य उपयोग में पासवर्ड न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिकी दिनों में, यू.एस. 101वें एयरबोर्न डिवीजन के पैराट्रूपर्स ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक  निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया के साथ उत्तर दिया-थंडर। हर तीन दिनों में  निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर्स ने पहचान के अस्थायी रूप से अनूठे तरीके के रूप में पासवर्ड सिस्टम के स्थान पर [[डी-डे]] पर क्रिकेट के रूप में जाने जाने वाले एक उपकरण का भी प्रसिद्ध रूप से उपयोग किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक मैटेलिक क्लिक को जवाब में दो क्लिक से मिलना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>
-सैन्य उपयोग में पासवर्ड न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिकी दिनों में, यू.एस. 101वें एयरबोर्न डिवीजन के पैराट्रूपर्स ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक चुनौती के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया के साथ उत्तर दिया-थंडर। हर तीन दिनों में चुनौती और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर्स ने पहचान के अस्थायी रूप से अनूठे तरीके के रूप में पासवर्ड सिस्टम के स्थान पर [[डी-डे]] पर क्रिकेट के रूप में जाने जाने वाले एक उपकरण का भी प्रसिद्ध रूप से उपयोग किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक मैटेलिक क्लिक को जवाब में दो क्लिक से मिलना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>
 कंप्यूटिंग के प्रारम्भिकी दिनों से ही कंप्यूटर के [[साथ]] पासवर्ड का उपयोग किया जाता रहा है। [[संगत समय-साझाकरण प्रणाली]] (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।<ref>{{cite magazine |last1=McMillan |first1=Robert |title=दुनिया का पहला कंप्यूटर पासवर्ड? यह बेकार भी था|url=https://www.wired.com/2012/01/computer-password/ |magazine=[[Wired magazine]] |access-date=22 March 2019 |date=27 January 2012}}</ref><ref>{{cite web |last1=Hunt |first1=Troy |title=विकसित पासवर्ड: आधुनिक युग के लिए प्रमाणीकरण मार्गदर्शन|url=https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/ |access-date=22 March 2019 |date=26 July 2017}}</ref> CTSS के पास एक LOGIN कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम प्रिंटिंग मैकेनिज्म को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।<ref>CTSS Programmers Guide, 2nd Ed., MIT Press, 1965</ref> 1970 के दशक की प्रारंभ में, [[रॉबर्ट मॉरिस (क्रिप्टोग्राफर)]] ने [[यूनिक्स]] ऑपरेटिंग सिस्टम के हिस्से के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड स्टोर करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर क्रिप्टो मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे [[क्रिप्ट (यूनिक्स)]] | क्रिप्ट (3) के रूप में जाना जाता है, ने 12-बिट [[नमक (क्रिप्टोग्राफी)]] का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश हमलों के जोखिम को कम करने के लिए 25 बार [[डेटा एन्क्रिप्शन मानक]] एल्गोरिथम के एक संशोधित रूप को लागू किया।<ref>{{cite journal
   |title       = Password Security: A Case History.
@@ Line 42: / Line 43: @@
 == याद रखने के विकल्प ==
-पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक चुनौती बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।<ref name=nordpass100 />पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में [[पासवर्ड प्रबंधक]]ों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना सम्मिलित है।<ref>{{cite web|url=https://www.macworld.com/article/226857/write-your-passwords-down-to-improve-safety.html |title=सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।|first=Glenn |last=Fleishman|date=November 24, 2015|publisher=MacWorld|access-date=April 28, 2021}}</ref> इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।
+पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक  निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।<ref name=nordpass100 />पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में [[पासवर्ड प्रबंधक]]ों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना सम्मिलित है।<ref>{{cite web|url=https://www.macworld.com/article/226857/write-your-passwords-down-to-improve-safety.html |title=सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।|first=Glenn |last=Fleishman|date=November 24, 2015|publisher=MacWorld|access-date=April 28, 2021}}</ref> इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।
 ==पासवर्ड प्रणाली की सुरक्षा के कारक==
@@ Line 64: / Line 65: @@
 कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को [[सादे पाठ]] के रूप में स्टोर करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई हमलावर ऐसे आंतरिक पासवर्ड स्टोर तक पहुँच प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समझौता कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समझौता किया जाएगा।
-अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक पहुँच एक स्नूपर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक पहुँच प्राप्त करता है, जबकि उपयोगकर्ता पहुँच प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को स्टोर नहीं करते हैं, लेकिन एक तरफ़ा व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन]], या एक उन्नत क्रिप्टोग्राफ़िक हैश फ़ंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को स्टोर करने के लिए अब-सामान्य दृष्टिकोण का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर क्रिप्टोग्राफ़िक हैश फ़ंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस की अनुमति है। हैश मान एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, नमक (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक नमक हमलावरों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच स्केल करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः क्रिप्टोग्राफ़िक हैश फ़ंक्शंस का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के हिस्से के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>
+अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक पहुँच एक स्नूपर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक पहुँच प्राप्त करता है, जबकि उपयोगकर्ता पहुँच प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को स्टोर नहीं करते हैं, लेकिन एक तरफ़ा व्युत्पत्ति, जैसे [[बहुपद]], [[मोडुलो ऑपरेशन]], या एक उन्नत क्रिप्टोग्राफ़िक हैश फ़ंक्शन।<ref name="SS1">{{cite web| last=Lundin|first=Leigh |title= पिन और पासवर्ड, भाग 2| url=http://www.sleuthsayers.org/2013/08/pins-and-passwords-part-2.html |work=Passwords| publisher=SleuthSayers| location=Orlando| date=2013-08-11}}</ref> [[रोजर नीधम]] ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को स्टोर करने के लिए अब-सामान्य दृष्टिकोण का आविष्कार किया।<ref>Wilkes, M. V. Time-Sharing Computer Systems. American Elsevier, New York, (1968).</ref><ref name="guardian">{{cite news|last=Schofield|first=Jack|title=रोजर नीधम|work=The Guardian|date=10 March 2003|url=https://www.theguardian.com/news/2003/mar/10/guardianobituaries.microsoft}}</ref> जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर क्रिप्टोग्राफ़िक हैश फ़ंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस की स्वीकृति है। हैश मान एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, नमक (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक नमक हमलावरों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच स्केल करने से रोकता है।<ref>[http://bugcharmer.blogspot.com/2012/06/passwords-matter.html The Bug Charmer: Passwords Matter] {{webarchive|url=https://web.archive.org/web/20131102172331/http://bugcharmer.blogspot.com/2012/06/passwords-matter.html |date=2013-11-02 }}. Bugcharmer.blogspot.com (2012-06-20). Retrieved on 2013-07-30.</ref> [[MD5]] और [[SHA1]] प्रायः क्रिप्टोग्राफ़िक हैश फ़ंक्शंस का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि [[PBKDF2]] के हिस्से के रूप में नहीं किया जाता है।<ref name="bugcharmer.blogspot.com">Alexander, Steven. (2012-06-20) [http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html The Bug Charmer: How long should passwords be?] {{webarchive|url=https://web.archive.org/web/20120920143554/http://bugcharmer.blogspot.com/2012/06/how-long-should-passwords-be.html |date=2012-09-20 }}. Bugcharmer.blogspot.com. Retrieved on 2013-07-30.</ref>
 संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में संग्रहीत किया जाता है, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में।<ref>
 [http://pythonhosted.org/passlib/lib/passlib.hash.html "passlib.hash - Password Hashing Schemes"] {{webarchive|url=https://web.archive.org/web/20130721042150/http://pythonhosted.org/passlib/lib/passlib.hash.html |date=2013-07-21 }}.
@@ Line 70: / Line 71: @@
 पासवर्ड के लिए मुख्य भंडारण विधियाँ सादा पाठ, हैशेड, हैशेड और नमकीन, और प्रतिवर्ती रूप से एन्क्रिप्टेड हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई हमलावर पासवर्ड फ़ाइल तक पहुँच प्राप्त करता है, तो यदि इसे सादे पाठ के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन नमकीन नहीं है तो यह [[इंद्रधनुष तालिका]] अटैक (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि हमलावर को फ़ाइल के साथ डिक्रिप्शन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को नमकीन और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research"/>
-यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक हमलावर पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि हमलावर को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के हर संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" />पासवर्ड क्रैकिंग टूल की सम्मिलित हमलावरों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की अनुमति देती है। विशेष रूप से, हमलावर छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>
+यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक हमलावर पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि हमलावर को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के हर संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" />पासवर्ड क्रैकिंग टूल की सम्मिलित हमलावरों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, हमलावर छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>
 डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट नमक मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फ़ंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले हमलों को विफल करना है।<ref name="cm.bell-labs.com"/>  एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[बीएसडी]] सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और [[लिखी हुई कहानी]] का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref>
 एक खराब डिज़ाइन किया गया हैश फ़ंक्शन हमलों को संभव बना सकता है, भले ही एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से तैनात और असुरक्षित उदाहरण के लिए [[एलएम हैश]] देखें।<ref>[http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases] {{webarchive|url=https://web.archive.org/web/20060509045622/http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656 |date=2006-05-09 }}. support.microsoft.com (2007-12-03). Retrieved on 2012-05-20.</ref>
@@ Line 89: / Line 90: @@
 [[क्रिप्टोग्राफी]] सुरक्षा का उपयोग करके, अन्य दृष्टिकोणों के साथ, इंटरनेट पर भेजे गए पासवर्डों के अवरोधन के जोखिम को कम किया जा सकता है। सबसे व्यापक रूप से उपयोग किया जाने वाला [[परिवहन परत सुरक्षा]] (TLS, जिसे पहले [[सुरक्षित सॉकेट लेयर]] कहा जाता था) फीचर सबसे मौजूदा इंटरनेट [[वेब ब्राउज़र]] में बनाया गया है। जब टीएलएस उपयोग में होता है, तो अधिकांश ब्राउज़र एक बंद लॉक आइकन, या कुछ अन्य संकेत प्रदर्शित करके सर्वर के साथ टीएलएस/एसएसएल-संरक्षित एक्सचेंज के उपयोगकर्ता को सचेत करते हैं। उपयोग में कई अन्य तकनीकें हैं; क्रिप्टोग्राफी देखें।
-==== हैश-आधारित चुनौती-प्रतिक्रिया के तरीके ====
+==== हैश-आधारित  निर्देशार्थ-प्रतिक्रिया के तरीके ====
-दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित चुनौती-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा  गोपनीयता]]  (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा  गोपनीयता  प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा  गोपनीयता   सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले हमलों के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब हैश का उपयोग एक साझा  गोपनीयता  के रूप में किया जाता है, तो हमलावर को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है।
+दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित  निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि [[साझा रहस्य|साझा  गोपनीयता]]  (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा  गोपनीयता  प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा  गोपनीयता   सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले हमलों के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब हैश का उपयोग एक साझा  गोपनीयता  के रूप में किया जाता है, तो हमलावर को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है।
 ==== जीरो [[शून्य-ज्ञान पासवर्ड प्रमाण]] ====
@@ Line 97: / Line 98: @@
 पासवर्ड ट्रांसमिट करने, या पासवर्ड के हैश को ट्रांसमिट करने के अतिरिक्त, पासवर्ड-प्रमाणित कुंजी अनुबंध सिस्टम एक शून्य-ज्ञान पासवर्ड प्रूफ का प्रदर्शन कर सकते हैं, जो पासवर्ड को उजागर किए बिना उसका ज्ञान साबित करता है।
-एक कदम आगे बढ़ते हुए, पासवर्ड-प्रमाणित कुंजी समझौते के लिए संवर्धित सिस्टम (जैसे, [[यादगार पासवर्ड के माध्यम से प्रमाणीकरण और कुंजी समझौता]], [[SPEKE]]|B-SPEKE, [[PAK-Z]], [[सुरक्षित रिमोट पासवर्ड प्रोटोकॉल]]|SRP-6) के विरोध और सीमा दोनों से बचते हैं हैश-आधारित तरीके। एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान साबित करने की अनुमति देती है, जहां सर्वर केवल एक (बिल्कुल नहीं) हैश पासवर्ड जानता है, और जहां पहुंच प्राप्त करने के लिए अन-हैश पासवर्ड की आवश्यकता होती है।
+एक कदम आगे बढ़ते हुए, पासवर्ड-प्रमाणित कुंजी समझौते के लिए संवर्धित सिस्टम (जैसे, [[यादगार पासवर्ड के माध्यम से प्रमाणीकरण और कुंजी समझौता]], [[SPEKE]]|B-SPEKE, [[PAK-Z]], [[सुरक्षित रिमोट पासवर्ड प्रोटोकॉल]]|SRP-6) के विरोध और सीमा दोनों से बचते हैं हैश-आधारित तरीके। एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान साबित करने की स्वीकृति देती है, जहां सर्वर केवल एक (बिल्कुल नहीं) हैश पासवर्ड जानता है, और जहां पहुंच प्राप्त करने के लिए अन-हैश पासवर्ड की आवश्यकता होती है।
 ===पासवर्ड बदलने की प्रक्रियाएं===
@@ Line 133: / Line 134: @@
 पासवर्ड द्वारा संरक्षित कंप्यूटर सिस्टम की सुरक्षा में सुधार के लिए उपयोग की जाने वाली सामान्य तकनीकों में सम्मिलित हैं:
 * डिस्प्ले स्क्रीन पर पासवर्ड प्रदर्शित नहीं करना क्योंकि यह दर्ज किया जा रहा है या इसे अस्पष्ट कर रहा है क्योंकि यह तारक (*) या गोलियों (•) का उपयोग करके टाइप किया गया है।
-* पर्याप्त लंबाई के पासवर्ड की अनुमति देना। (प्रारंभिक संस्करणों सहित कुछ [[विरासती तंत्र]] ऑपरेटिंग सिस्टम{{Which|date=September 2010}} यूनिक्स और विंडोज के, अधिकतम 8 वर्णों तक सीमित पासवर्ड,<ref>Seltzer, Larry. (2010-02-09) [https://www.pcmag.com/article2/0,2817,2358985,00.asp "American Express: Strong Credit, Weak Passwords"] {{webarchive|url=https://web.archive.org/web/20170712160714/https://www.pcmag.com/article2/0,2817,2358985,00.asp |date=2017-07-12 }}. Pcmag.com. Retrieved on 2012-05-20.</ref><ref name="password_myths">[http://www.symantec.com/connect/articles/ten-windows-password-myths दस विंडोज पासवर्ड मिथक] {{webarchive|url=https://web.archive.org/web/20160128204127/http://www.symantec.com/connect/articles/ten-windows-password-myths |date=2016-01-28 }}: एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड
+* पर्याप्त लंबाई के पासवर्ड की स्वीकृति देना। (प्रारंभिक संस्करणों सहित कुछ [[विरासती तंत्र]] ऑपरेटिंग सिस्टम{{Which|date=September 2010}} यूनिक्स और विंडोज के, अधिकतम 8 वर्णों तक सीमित पासवर्ड,<ref>Seltzer, Larry. (2010-02-09) [https://www.pcmag.com/article2/0,2817,2358985,00.asp "American Express: Strong Credit, Weak Passwords"] {{webarchive|url=https://web.archive.org/web/20170712160714/https://www.pcmag.com/article2/0,2817,2358985,00.asp |date=2017-07-12 }}. Pcmag.com. Retrieved on 2012-05-20.</ref><ref name="password_myths">[http://www.symantec.com/connect/articles/ten-windows-password-myths दस विंडोज पासवर्ड मिथक] {{webarchive|url=https://web.archive.org/web/20160128204127/http://www.symantec.com/connect/articles/ten-windows-password-myths |date=2016-01-28 }}: एनटी डायलॉग बॉक्स ... अधिकतम 14 वर्णों तक सीमित पासवर्ड
 </रेफरी><ref>[http://jira.codehaus.org/browse/REDBACK-87 "You must provide a password between 1 and 8 characters in length"]. Jira.codehaus.org. Retrieved on 2012-05-20. {{webarchive |url=https://web.archive.org/web/20150521153629/http://jira.codehaus.org/browse/REDBACK-87 |date=May 21, 2015 }}</ref> सुरक्षा कम करना।)
 * उपयोगकर्ताओं को निष्क्रियता की अवधि (एक अर्ध लॉग-ऑफ नीति) के बाद अपना पासवर्ड फिर से दर्ज करने की आवश्यकता होती है।
@@ Line 191: / Line 192: @@
 == पासवर्ड क्रैकिंग ==
 {{Main|Password cracking}}
-समय और धन की अनुमति के रूप में कई संभावनाओं का प्रयास करके पासवर्ड क्रैक करने का प्रयास करना एक क्रूर बल का हमला है। एक संबंधित विधि, ज्यादातर मामलों में अधिक कुशल, एक शब्दकोश हमला है। डिक्शनरी अटैक में, एक या अधिक डिक्शनरी के सभी शब्दों का परीक्षण किया जाता है। सामान्य पासवर्ड की सूची का भी  सामान्यतः परीक्षण किया जाता है।
+समय और धन की स्वीकृति के रूप में कई संभावनाओं का प्रयास करके पासवर्ड क्रैक करने का प्रयास करना एक क्रूर बल का हमला है। एक संबंधित विधि, ज्यादातर मामलों में अधिक कुशल, एक शब्दकोश हमला है। डिक्शनरी अटैक में, एक या अधिक डिक्शनरी के सभी शब्दों का परीक्षण किया जाता है। सामान्य पासवर्ड की सूची का भी  सामान्यतः परीक्षण किया जाता है।
 पासवर्ड की ताकत संभावना है कि एक पासवर्ड का अनुमान या खोज नहीं किया जा सकता है, और इस्तेमाल किए गए हमले एल्गोरिदम के साथ भिन्न होता है। क्रिप्टोलॉजिस्ट और कंप्यूटर वैज्ञानिक प्रायः एंट्रॉपी (सूचना सिद्धांत) के संदर्भ में ताकत या 'कठोरता' का उल्लेख करते हैं।<ref name="SS1" />
@@ Line 215: / Line 216: @@
 * [[एक बारी पासवर्ड]] | सिंगल-यूज़ पासवर्ड। केवल एक बार मान्य पासवर्ड होने से कई संभावित हमले अप्रभावी हो जाते हैं। अधिकांश उपयोगकर्ताओं को एकल-उपयोग पासवर्ड अत्यंत असुविधाजनक लगता है। हालाँकि, उन्हें व्यक्तिगत [[[[टैन (बैंकिंग)]]]] में व्यापक रूप से लागू किया गया है, जहाँ उन्हें TAN (बैंकिंग) (TAN) के रूप में जाना जाता है। चूंकि अधिकांश घरेलू उपयोगकर्ता प्रत्येक सप्ताह केवल कुछ ही लेन-देन करते हैं, इसलिए एकल-उपयोग समस्या के कारण इस मामले में असहनीय ग्राहक असंतोष नहीं हुआ है।
 * [[टाइम-सिंक्रोनाइज़्ड वन-टाइम पासवर्ड]] कुछ मायनों में सिंगल-यूज़ पासवर्ड के समान हैं, लेकिन दर्ज किया जाने वाला मान एक छोटे ( सामान्यतः पॉकेटेबल) आइटम पर प्रदर्शित होता है और हर मिनट में बदलता है।
-* [[पासविंडो]] वन-टाइम पासवर्ड का उपयोग एकल-उपयोग पासवर्ड के रूप में किया जाता है, लेकिन दर्ज किए जा