पासवर्ड: Difference between revisions

पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है।  संरक्षक उनको  निर्देशार्थ करेंगे, जो  पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए  क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। [[पोलिबियस]] [[प्राचीन रोम की सेना]] में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:<blockquote>जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें [[मणिपल (सैन्य इकाई)]] से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय [[ट्रिब्यून]] के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (पट्टलिका) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और पट्टलिका वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को पट्टलिका देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत जाँच पड़ताल करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से पट्टलिका वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।<ref>[http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm Polybius on the Roman Military] {{webarchive|url=https://web.archive.org/web/20080207011711/http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm |date=2008-02-07 }}. Ancienthistory.about.com (2012-04-13). Retrieved on 2012-05-20.</ref></blockquote>सैन्य उपयोग में पासवर्ड न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिकी दिनों में, यू.एस. 101वें एयरबोर्न डिवीजन के पैराट्रूपर्स ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक  निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया के साथ उत्तर दिया-थंडर। प्रत्येक तीन दिनों में  निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर्स ने पहचान के अस्थायी रूप से अनूठे तरीके के रूप में पासवर्ड सिस्टम के स्थान पर [[डी-डे]] पर क्रिकेट के रूप में जाने जाने वाले एक उपकरण का भी प्रसिद्ध रूप से उपयोग किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक मैटेलिक क्लिक को जवाब में दो क्लिक से मिलना था।<ref>{{cite book|author=Mark Bando|title=101 वां एयरबोर्न: द स्क्रीमिंग ईगल्स इन वर्ल्ड वॉर II|url=https://books.google.com/books?id=cBSBtgAACAAJ|access-date=20 May 2012|year=2007|publisher=Mbi Publishing Company|isbn=978-0-7603-2984-9|url-status=live|archive-url=https://web.archive.org/web/20130602083437/http://books.google.com/books?id=cBSBtgAACAAJ|archive-date=2 June 2013}}</ref>

पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक  निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।<ref name="nordpass100" />पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में [[पासवर्ड प्रबंधक]]ों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना सम्मिलित है।<ref>{{cite web|url=https://www.macworld.com/article/226857/write-your-passwords-down-to-improve-safety.html |title=सुरक्षा में सुधार के लिए अपने पासवर्ड लिख लें — एक प्रति-सहज धारणा आपको दूरस्थ हमले के प्रति कम संवेदनशील बनाती है, अधिक नहीं।|first=Glenn |last=Fleishman|date=November 24, 2015|publisher=MacWorld|access-date=April 28, 2021}}</ref> इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।

पासवर्ड के लिए मुख्य भंडारण विधियाँ सादा पाठ, हैशेड, हैशेड और नमकीन, और प्रतिवर्ती रूप से एन्क्रिप्टेड हैं।<ref name="An Administrator's Guide to Internet Password Research">Florencio et al., [http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf An Administrator's Guide to Internet Password Research] {{webarchive|url=https://web.archive.org/web/20150214015800/http://research.microsoft.com/pubs/227130/WhatsaSysadminToDo.pdf |date=2015-02-14 }}. (pdf) Retrieved on 2015-03-14.</ref> यदि कोई हमलावर पासवर्ड फ़ाइल तक पहुँच प्राप्त करता है, तो यदि इसे सादे पाठ के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन नमकीन नहीं है तो यह [[इंद्रधनुष तालिका]] अटैक (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि हमलावर को फ़ाइल के साथ डिक्रिप्शन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को नमकीन और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।<ref name="An Administrator's Guide to Internet Password Research" />

यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक हमलावर पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि हमलावर को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।<ref name="SS1" />पासवर्ड क्रैकिंग टूल की सम्मिलित हमलावरों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, हमलावर छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।<ref>[http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords Cracking Story – How I Cracked Over 122 Million SHA1 and MD5 Hashed Passwords « Thireus' Bl0g] {{webarchive|url=https://web.archive.org/web/20120830223146/http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords |date=2012-08-30 }}. Blog.thireus.com (2012-08-29). Retrieved on 2013-07-30.</ref>

डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।<ref name="cm.bell-labs.com">{{cite journal |url=http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |archive-url=https://web.archive.org/web/20030322053727/http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps |url-status=dead |archive-date=2003-03-22 |title=पासवर्ड सुरक्षा: एक केस हिस्ट्री|author1=Morris, Robert |author2=Thompson, Ken |name-list-style=amp |journal=Communications of the ACM |volume=22 |issue=11 |year=1979 |pages=594–597 |doi=10.1145/359168.359172 |citeseerx=10.1.1.135.2097 |s2cid=207656012 }}</ref> क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट नमक मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फ़ंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले हमलों को विफल करना है।<ref name="cm.bell-labs.com" />  एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, [[लिनक्स]] या विभिन्न [[बीएसडी]] सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और [[लिखी हुई कहानी]] का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।<ref>[http://www.usenix.org/publications/login/2004-06/pdfs/alexander.pdf Password Protection for Modern Operating Systems] {{webarchive|url=https://web.archive.org/web/20160311102423/http://usenix.org/publications/login/2004-06/pdfs/alexander.pdf |date=2016-03-11 }} (pdf). Usenix.org. Retrieved on 2012-05-20.</ref>

पासवर्ड एजिंग कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए मजबूर करती है (जैसे, त्रैमासिक, मासिक या इससे भी अधिक बार)। इस तरह की नीतियां  सामान्यतः उपयोगकर्ता के विरोध और सबसे अच्छे रूप में पैर खींचने और सबसे खराब शत्रुता को भड़काती हैं। प्रायः उन लोगों की संख्या में वृद्धि होती है जो पासवर्ड को नोट कर लेते हैं और उसे आसानी से मिलने वाली जगह पर छोड़ देते हैं, साथ ही भूले हुए पासवर्ड को रीसेट करने के लिए हेल्प डेस्क पर कॉल करते हैं। उपयोगकर्ता अपने पासवर्ड को यादगार बनाए रखने के लिए सरल पासवर्ड का उपयोग कर सकते हैं या एक संगत थीम पर विविधता पैटर्न विकसित कर सकते हैं।<ref name="Joseph-Steinberg-Forbes" />इन मुद्दों के कारण, इस बारे में कुछ बहस चल रही है कि पासवर्ड एजिंग प्रभावी है या नहीं।<ref name="WEB">

</रेफरी><nowiki><ref></nowiki>[http://jira.codehaus.org/browse/REDBACK-87 "You must provide a password between 1 and 8 characters in length"]. Jira.codehaus.org. Retrieved on 2012-05-20. {{webarchive |url=https://web.archive.org/web/20150521153629/http://jira.codehaus.org/browse/REDBACK-87 |date=May 21, 2015 }}</ref> सुरक्षा कम करना।)

** न्यूनतम [[पासवर्ड लंबाई पैरामीटर]] की आवश्यकता है।<ref name="bugcharmer.blogspot.com" />** कुछ प्रणालियों को पासवर्ड में विभिन्न वर्ण वर्गों के वर्णों की आवश्यकता होती है—उदाहरण के लिए, कम से कम एक अपरकेस और कम से कम एक लोअरकेस अक्षर होना चाहिए। हालांकि, मिश्रित कैपिटलाइज़ेशन पासवर्ड की तुलना में सभी-लोअरकेस पासवर्ड प्रति कीस्ट्रोक अधिक सुरक्षित हैं।<ref>[http://world.std.com/~reinhold/dicewarefaq.html#capitalize "To Capitalize or Not to Capitalize?"] {{webarchive|url=https://web.archive.org/web/20090217200722/http://world.std.com/~reinhold/dicewarefaq.html |date=2009-02-17 }}. World.std.com. Retrieved on 2012-05-20.</ref>

</रेफरी><nowiki><ref>Kotadia, Munir (2005-05-23) </nowiki>[http://news.cnet.com/Microsoft-security-guru-Jot-down-your-passwords/2100-7355_3-5716590.html?tag=nefd.ac Microsoft security guru: Jot down your passwords]. News.cnet.com. Retrieved on 2012-05-20.</ref><ref>

:"your password ... in a secure place, such as the back of your wallet or purse."

कई वेबसाइट न्यूनतम और अधिकतम लंबाई जैसे मानक नियम लागू करती हैं, लेकिन प्रायः कम से कम एक कैपिटल लेटर और कम से कम एक नंबर/प्रतीक जैसे रचना नियम भी सम्मिलित करती हैं। ये बाद वाले, अधिक विशिष्ट नियम काफी हद तक राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) की 2003 की एक रिपोर्ट पर आधारित थे, जिसे बिल बूर ने लिखा था।<ref name="zdnet">[https://www.zdnet.com/article/hate-silly-password-rules-so-does-the-guy-who-created-them/ Hate silly password rules? So does the guy who created them] {{Webarchive|url=https://web.archive.org/web/20180329160144/http://www.zdnet.com/article/hate-silly-password-rules-so-does-the-guy-who-created-them/ |date=2018-03-29 }}, ''ZDNet''</ref> इसने मूल रूप से संख्याओं, अस्पष्ट वर्णों और बड़े अक्षरों का उपयोग करने और नियमित रूप से अद्यतन करने का अभ्यास प्रस्तावित किया। 2017 [[वॉल स्ट्रीट जर्नल]] के एक लेख में, बूर ने बताया कि उन्हें इन प्रस्तावों पर पछतावा है और जब उन्होंने उनकी सिफारिश की तो उन्होंने गलती की।<ref>[https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118 The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!] {{Webarchive|url=https://web.archive.org/web/20170809080612/https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118 |date=2017-08-09 }}, ''Wall Street Journal''</ref>

इस NIST रिपोर्ट के 2017 के पुनर्लेखन के अनुसार, कई [[वेबसाइट]]ों के नियम हैं जो वास्तव में उनके उपयोगकर्ताओं की सुरक्षा पर विपरीत प्रभाव डालते हैं। इसमें जटिल संरचना नियमों के साथ-साथ निश्चित अवधि के बाद जबरन पासवर्ड परिवर्तन सम्मिलित हैं। जबकि ये नियम लंबे समय से व्यापक हैं, उन्हें उपयोगकर्ताओं और साइबर सुरक्षा विशेषज्ञों दोनों द्वारा लंबे समय से कष्टप्रद और अप्रभावी के रूप में देखा गया है।<ref name="fort">[http://fortune.com/2017/05/11/password-rules/ Experts Say We Can Finally Ditch Those Stupid Password Rules] {{Webarchive|url=https://web.archive.org/web/20180628015547/http://fortune.com/2017/05/11/password-rules/ |date=2018-06-28 }}, ''Fortune''</ref> NIST अनुशंसा करता है कि लोग पासवर्ड के रूप में लंबे वाक्यांशों का उपयोग करें (और वेबसाइटों को अधिकतम पासवर्ड लंबाई बढ़ाने की सलाह देते हैं) न कि याद रखने में मुश्किल पासवर्ड जैसे कि pA55w+rd।<ref>[https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/ NIST’s new password rules – what you need to know] {{Webarchive|url=https://web.archive.org/web/20180628015550/https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/ |date=2018-06-28 }}, ''Naked Security''</ref> एक उपयोगकर्ता को पासवर्ड पासवर्ड का उपयोग करने से रोका गया है, यदि आवश्यक हो तो संख्या और अपरकेस अक्षर सम्मिलित करने के लिए बस पासवर्ड 1 चुन सकते हैं। जबरन समय-समय पर पासवर्ड बदलने के साथ संयुक्त, इससे ऐसे पासवर्ड बन सकते हैं जिन्हें याद रखना मुश्किल है लेकिन क्रैक करना आसान है।<ref name="zdnet" />

2017 NIST रिपोर्ट के लेखकों में से एक पॉल ग्रासी ने आगे विस्तार से बताया: हर कोई जानता है कि एक विस्मयादिबोधक बिंदु एक 1, या एक I, या एक पासवर्ड का अंतिम वर्ण है। $ एक S या 5 है। यदि हम इन प्रसिद्ध तरकीबों का उपयोग करते हैं, तो हम किसी भी विरोधी को मूर्ख नहीं बना रहे हैं। हम केवल उस डेटाबेस को मूर्ख बना रहे हैं जो उपयोगकर्ता को कुछ अच्छा करने के लिए पासवर्ड संग्रहीत करता है।<ref name=