पासवर्ड

अन्य उपयोगों के लिए, पासवर्ड (बहुविकल्पी) देखें।

अपने विकिपीडिया पासवर्ड के संबंध में सहायता के लिए, सहायता देखें: पासवर्ड पुनः स्थापित करें।

"पासकोड" यहां पुनर्निर्देश करता है। जापानी मूर्ति समूह के लिए, पासकोड (समूह) देखें।

एक साइन इन फॉर्म में एक पासवर्ड फ़ील्ड।

पासवर्ड, जिसे कभी-कभी पासकोड कहा जाता है (उदाहरण के लिए एप्पल उपकरणों में),^[1] गुप्त डेटा है, सामान्यतः वर्णों की एक स्ट्रिंग, सामान्यतः उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग की जाती है।^[1]परंपरागत रूप से, पासवर्ड स्मरण रखने की अपेक्षा की जाती थी,^[2] लेकिन बड़ी संख्या में पासवर्ड-सुरक्षित सेवाएँ, जो विशिष्ट व्यक्तिगत एक्सेस करता है, प्रत्येक सेवा के लिए अद्वितीय पासवर्ड को स्मरण रखना अव्यावहारिक बना सकता है।^[3] NIST डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए,^[4] गोपनीय अधियाचक नामक समर्थक द्वारा आयोजित किया जाता है जबकि अधियाचक की पहचान की पुष्टि करने वाली समर्थक को प्रमाणक (verifier) कहा जाता है। जब अधियाचक एक स्थापित प्रमाणीकरण प्रोटोकॉल के माध्यम से प्रमाणक को पासवर्ड का ज्ञान सफलतापूर्वक प्रदर्शित करता है,^[5] प्रमाणक अधियाचक की पहचान का अनुमान लगाने में सक्षम है।

सामान्य रूप से, एक पासवर्ड अक्षर, अंक, या अन्य प्रतीकों सहित वर्ण (कंप्यूटिंग) का यादृच्छिक स्ट्रिंग (कंप्यूटर विज्ञान) है। यदि अनुमेय वर्ण संख्यात्मक होने के लिए बाधित हैं, तो संबंधित गोपनीयता को कभी-कभी व्यक्तिगत पहचान संख्या (PIN) कहा जाता है।

इसके नाम के होने पर भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गोपनीयता जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी पासफ्रेज कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।^[6]

इतिहास

पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। पोलिबियस प्राचीन रोम की सेना में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:

जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें मणिपल (सैन्य इकाई) से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है , एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय ट्रिब्यून के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (पट्टलिका) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और पट्टलिका वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को पट्टलिका देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और उसके पास वापस जाने के रास्ते में सभी को पार कर गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत जाँच पड़ताल करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से पट्टलिका वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।^[7]

सैन्य उपयोग में पासवर्ड न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिकी दिनों में, यू.एस. 101वें एयरबोर्न डिवीजन के पैराट्रूपर्स ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया के साथ उत्तर दिया-थंडर। प्रत्येक तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर्स ने पहचान के अस्थायी रूप से अनूठे तरीके के रूप में पासवर्ड सिस्टम के स्थान पर डी-डे पर क्रिकेट के रूप में जाने जाने वाले एक उपकरण का भी प्रसिद्ध रूप से उपयोग किया; पासवर्ड के बदले डिवाइस द्वारा दिए गए एक मैटेलिक क्लिक को जवाब में दो क्लिक से मिलना था।^[8]

कंप्यूटिंग के प्रारम्भिकी दिनों से ही कंप्यूटर के साथ पासवर्ड का उपयोग किया जाता रहा है। संगत समय-साझाकरण प्रणाली (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।^[9]^[10] CTSS के पास एक LOGIN कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम प्रिंटिंग मैकेनिज्म को बंद कर देता है, ताकि उपयोगकर्ता गोपनीयता के साथ अपना पासवर्ड टाइप कर सके।^[11] 1970 के दशक की प्रारंभ में, रॉबर्ट मॉरिस (क्रिप्टोग्राफर) ने यूनिक्स ऑपरेटिंग सिस्टम के हिस्से के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड स्टोर करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर क्रिप्टो मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे क्रिप्ट (यूनिक्स) | क्रिप्ट (3) के रूप में जाना जाता है, ने 12-बिट नमक (क्रिप्टोग्राफी) का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश हमलों के जोखिम को कम करने के लिए 25 बार डेटा एन्क्रिप्शन मानक एल्गोरिथम के एक संशोधित रूप को लागू किया।^[12] आधुनिक समय में, उपयोगकर्ता (कंप्यूटिंग) और पासवर्ड सामान्यतः लॉगिंग (कंप्यूटर सुरक्षा) प्रक्रिया के दौरान लोगों द्वारा उपयोग किए जाते हैं जो संरक्षित कंप्यूटर ऑपरेटिंग सिस्टम, चल दूरभाष, केबल टीवी डिकोडर, स्वचालित टेलर मशीन (एटीएम), आदि तक पहुंच नियंत्रण करते हैं। एक विशिष्ट कंप्यूटर उपयोगकर्ता के पास कई उद्देश्यों के लिए पासवर्ड होते हैं: खातों में लॉग इन करना, ईमेल प्राप्त करना, एप्लिकेशन, डेटाबेस, नेटवर्क, वेब साइट्स तक पहुंचना और यहां तक कि सुबह का अखबार ऑनलाइन पढ़ना।

एक सुरक्षित और यादगार पासवर्ड चुनना

स्वामी के लिए पासवर्ड याद रखना जितना आसान होता है सामान्यतः इसका अर्थ हैकर (कंप्यूटर सुरक्षा) के लिए अनुमान लगाना आसान होगा।^[13] हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (ए) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से स्टोर करने की आवश्यकता हो सकती है, (बी) उपयोगकर्ताओं को लगातार पासवर्ड रीसेट करने की आवश्यकता होगी और (सी) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का दोबारा इस्तेमाल करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि अपरकेस और लोअरकेस अक्षरों और अंकों का मिश्रण होता है या इसे मासिक रूप से बदलता है, उपयोगकर्ता सिस्टम को जितना बड़ा कर देगा, उतना ही अधिक होगा।^[14] अन्य तर्क देते हैं कि लंबे पासवर्ड अधिक सुरक्षा प्रदान करते हैं (उदाहरण के लिए, एंट्रॉपी (सूचना सिद्धांत)) वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में।^[15]

पासवर्ड की यादगार और सुरक्षा में,^[16] जेफ यान एट अल। पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही यादगार होते हैं जितने कि भोले-भाले चुने गए पासवर्ड, और बेतरतीब ढंग से उत्पन्न पासवर्ड के रूप में क्रैक करना उतना ही कठिन।

दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,^[17] लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया कलन विधि एक और अच्छा तरीका है।^[18] हालाँकि, उपयोगकर्ताओं को अपरकेस और लोअरकेस वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करने के लिए थोड़ा कठिन है (उदाहरण के लिए क्रैक करने के लिए केवल 128 गुना कठिन) 7-अक्षर वाले पासवर्ड, कम अगर उपयोगकर्ता केवल अक्षरों में से एक को बड़ा करता है)। उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो हमलावरों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना हमलावरों के लिए जाना जाने वाला एक सामान्य ट्रिक है।^[19] 2013 में, Google ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची जारी की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):^[20]

एक पालतू जानवर, बच्चे, परिवार के सदस्य या महत्वपूर्ण अन्य का नाम
वर्षगांठ दिनांक और जन्मदिन
जन्म स्थान
एक पसंदीदा छुट्टी का नाम
पसंदीदा खेल टीम से संबंधित कुछ
शब्द पासवर्ड

याद रखने के विकल्प

पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।^[3]पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक खतरनाक अभ्यास है क्योंकि एक खाते में डेटा का उल्लंघन बाकी खातों से समझौता कर सकता है। कम जोखिम वाले विकल्पों में पासवर्ड प्रबंधकों का उपयोग, एकल साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल कागजी सूची रखना सम्मिलित है।^[21] इस तरह के अभ्यास पासवर्ड की संख्या को कम कर सकते हैं जिन्हें याद रखना चाहिए, जैसे कि पासवर्ड मैनेजर का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में।

पासवर्ड प्रणाली की सुरक्षा के कारक

पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को कंप्यूटर वायरस, मैन-इन-द-मिडल हमलों और इस तरह के हमलों से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। [[शोल्डर सर्फिंग (कंप्यूटर सुरक्षा)]] से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक खतरों तक शारीरिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी हमलावर के लिए उनका अनुमान लगाना कठिन हो और हमलावर के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए पासवर्ड क्षमता और कंप्यूटर सुरक्षा देखें।^[22]

आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास खड़े लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस अभ्यास से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को कमजोर पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।^[22] प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक टोकन प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं।^[23] कम चरम उपायों में ज़बरदस्ती वसूली, रबर की नली क्रिप्टैनालिसिस और साइड चैनल हमला सम्मिलित हैं।

कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चुनते और संभालते समय विचार किया जाना चाहिए।

दर जिस पर एक हमलावर अनुमानित पासवर्ड का प्रयास कर सकता है

दर जिस पर एक हमलावर सिस्टम को अनुमानित पासवर्ड जमा कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का टाइम-आउट लगाती हैं, जिसे थ्रॉटलिंग भी कहा जाता है।^[4] ^{: 63B Sec 5.2.2} अन्य कमजोरियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।^[24] कई प्रणालियाँ पासवर्ड के क्रिप्टोग्राफ़िक हैश फ़ंक्शन को संग्रहीत करती हैं। यदि किसी हमलावर को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैश मान के विरुद्ध उम्मीदवार पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन हमलावर केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन हमलावर (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर हमला चल रहा है।

पासवर्ड जो क्रिप्टोग्राफ़िक कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, डिस्क एन्क्रिप्शन या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड हमलों को बहुत ही कुशल बना सकते हैं। (पासवर्ड क्रैकिंग देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे हमलावर के लिए कम्प्यूटेशनल रूप से ऐसा हमला अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे काफ़ी अच्छी गोपनीयता और वाई-फाई संरक्षित पहुंच | वाई-फाई डब्ल्यूपीए, ऐसे हमलों को धीमा करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। कुंजी खींचना देखें।

पासवर्ड अनुमानों की संख्या की सीमा

जिस दर पर एक हमलावर पासवर्ड पर अनुमान लगा सकता है, उसे सीमित करने का एक विकल्प अनुमानों की कुल संख्या को सीमित करना है जो कि किए जा सकते हैं। पासवर्ड को अक्षम किया जा सकता है, जिसके लिए रीसेट की आवश्यकता होती है, लगातार खराब अनुमानों की एक छोटी संख्या के बाद (5 कहते हैं); और उपयोगकर्ता को खराब अनुमानों की एक बड़ी संचयी संख्या (मान लीजिए 30) के बाद पासवर्ड बदलने की आवश्यकता हो सकती है, ताकि हमलावर को वैध पासवर्ड स्वामी द्वारा किए गए अच्छे अनुमानों के बीच मनमाने ढंग से बड़ी संख्या में गलत अनुमान लगाने से रोका जा सके।^[25] इसके विपरीत, उपयोगकर्ता जानबूझकर उपयोगकर्ता को अपने डिवाइस से लॉक करके उपयोगकर्ता के खिलाफ सेवा से इनकार हमले को लागू करने के लिए इस शमन के ज्ञान का उपयोग कर सकते हैं; सेवा से इनकार करने से हमलावर के लिए सोशल इंजीनियरिंग (सुरक्षा) के माध्यम से अपने लाभ के लिए स्थिति में हेरफेर करने के लिए अन्य रास्ते खुल सकते हैं।

संग्रहीत पासवर्ड का रूप

कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को सादे पाठ के रूप में स्टोर करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई हमलावर ऐसे आंतरिक पासवर्ड स्टोर तक पहुँच प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समझौता कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समझौता किया जाएगा।

अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को क्रिप्टोग्राफ़िक रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक पहुँच एक स्नूपर के लिए अभी भी मुश्किल होगी जो सिस्टम में आंतरिक पहुँच प्राप्त करता है, जबकि उपयोगकर्ता पहुँच प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को स्टोर नहीं करते हैं, लेकिन एक तरफ़ा व्युत्पत्ति, जैसे बहुपद, मोडुलो ऑपरेशन, या एक उन्नत क्रिप्टोग्राफ़िक हैश फ़ंक्शन।^[15] रोजर नीधम ने प्लेनटेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को स्टोर करने के लिए अब-सामान्य दृष्टिकोण का आविष्कार किया।^[26]^[27] जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर क्रिप्टोग्राफ़िक हैश फ़ंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस की स्वीकृति है। हैश मान एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, नमक (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक नमक हमलावरों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच स्केल करने से रोकता है।^[28] MD5 और SHA1 प्रायः क्रिप्टोग्राफ़िक हैश फ़ंक्शंस का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि PBKDF2 के हिस्से के रूप में नहीं किया जाता है।^[29] संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में संग्रहीत किया जाता है, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में।^[30] पासवर्ड के लिए मुख्य भंडारण विधियाँ सादा पाठ, हैशेड, हैशेड और नमकीन, और प्रतिवर्ती रूप से एन्क्रिप्टेड हैं।^[31] यदि कोई हमलावर पासवर्ड फ़ाइल तक पहुँच प्राप्त करता है, तो यदि इसे सादे पाठ के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन नमकीन नहीं है तो यह इंद्रधनुष तालिका अटैक (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि हमलावर को फ़ाइल के साथ डिक्रिप्शन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को नमकीन और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।^[31]

यदि एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सादे टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को रिवर्स करने के लिए कम्प्यूटेशनल रूप से संभव नहीं है। हालांकि, एक हमलावर पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध टूल का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि हमलावर को कोई मेल मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग टूल ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को आज़माकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।^[15]पासवर्ड क्रैकिंग टूल की सम्मिलित हमलावरों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, हमलावर छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।^[32] डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।^[33] क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट नमक मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फ़ंक्शन को धीमा करने के लिए डीईएस एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले हमलों को विफल करना है।^[33] एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, लिनक्स या विभिन्न बीएसडी सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे पीबीकेडीएफ2, बीक्रिप्ट, और लिखी हुई कहानी का उपयोग करते हैं, जिनमें बड़े लवण और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।^[34] एक खराब डिज़ाइन किया गया हैश फ़ंक्शन हमलों को संभव बना सकता है, भले ही एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से तैनात और असुरक्षित उदाहरण के लिए एलएम हैश देखें।^[35]

नेटवर्क पर पासवर्ड सत्यापित करने के तरीके

पासवर्ड का सरल प्रसारण

प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, स्नूपिंग) के लिए कमजोर होते हैं। यदि पासवर्ड को उपयोगकर्ता पहुंच बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह टेलीफोन टैपिंग विधियों द्वारा स्नूपिंग के अधीन है। यदि इसे इंटरनेट पर पैकेट वाले डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले नेटवर्क पैकेट को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ स्नूप कर सकता है।

ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सादे पाठ के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी छिपकर सुनने वाले द्वारा परिवहन के दौरान बिना किसी प्रयास के पढ़ा जा सकता है। इसके अलावा, संदेश को कम से कम दो कंप्यूटरों पर सादे पाठ के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी यात्रा के दौरान इंटरमीडिएट सिस्टम से गुजरता है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर बैकअप, कैश (कंप्यूटिंग) या इतिहास फाइलों में कॉपी किया जा सकता है।

क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल हैंडलिंग सिस्टम सर्वर से क्लाइंट मशीन तक ट्रांसमिशन की रक्षा करेगा। ईमेल के पिछले या बाद के रिले को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर संग्रहीत किया जाएगा, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट पाठ में।

एन्क्रिप्टेड चैनलों के माध्यम से प्रसारण

क्रिप्टोग्राफी सुरक्षा का उपयोग करके, अन्य दृष्टिकोणों के साथ, इंटरनेट पर भेजे गए पासवर्डों के अवरोधन के जोखिम को कम किया जा सकता है। सबसे व्यापक रूप से उपयोग किया जाने वाला परिवहन परत सुरक्षा (TLS, जिसे पहले सुरक्षित सॉकेट लेयर कहा जाता था) फीचर सबसे मौजूदा इंटरनेट वेब ब्राउज़र में बनाया गया है। जब टीएलएस उपयोग में होता है, तो अधिकांश ब्राउज़र एक बंद लॉक आइकन, या कुछ अन्य संकेत प्रदर्शित करके सर्वर के साथ टीएलएस/एसएसएल-संरक्षित एक्सचेंज के उपयोगकर्ता को सचेत करते हैं। उपयोग में कई अन्य तकनीकें हैं; क्रिप्टोग्राफी देखें।

हैश-आधारित निर्देशार्थ-प्रतिक्रिया के तरीके

दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; उत्तरार्द्ध को सर्वर को साबित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि साझा गोपनीयता (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गोपनीयता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गोपनीयता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले हमलों के लिए पासवर्ड को उजागर करने की गंभीर सीमा होती है। इसके अलावा, जब हैश का उपयोग एक साझा गोपनीयता के रूप में किया जाता है, तो हमलावर को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की जरूरत है।

जीरो शून्य-ज्ञान पासवर्ड प्रमाण

पासवर्ड ट्रांसमिट करने, या पासवर्ड के हैश को ट्रांसमिट करने के अतिरिक्त, पासवर्ड-प्रमाणित कुंजी अनुबंध सिस्टम एक शून्य-ज्ञान पासवर्ड प्रूफ का प्रदर्शन कर सकते हैं, जो पासवर्ड को उजागर किए बिना उसका ज्ञान साबित करता है।

एक कदम आगे बढ़ते हुए, पासवर्ड-प्रमाणित कुंजी समझौते के लिए संवर्धित सिस्टम (जैसे, यादगार पासवर्ड के माध्यम से प्रमाणीकरण और कुंजी समझौता, SPEKE|B-SPEKE, PAK-Z, सुरक्षित रिमोट पासवर्ड प्रोटोकॉल|SRP-6) के विरोध और सीमा दोनों से बचते हैं हैश-आधारित तरीके। एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान साबित करने की स्वीकृति देती है, जहां सर्वर केवल एक (बिल्कुल नहीं) हैश पासवर्ड जानता है, और जहां पहुंच प्राप्त करने के लिए अन-हैश पासवर्ड की आवश्यकता होती है।

पासवर्ड बदलने की प्रक्रियाएं

सामान्यतः, एक सिस्टम को पासवर्ड बदलने का एक तरीका प्रदान करना चाहिए, या तो उपयोगकर्ता का मानना है कि वर्तमान पासवर्ड से समझौता किया गया है (या हो सकता है), या एहतियाती उपाय के रूप में। यदि एक नया पासवर्ड सिस्टम को अनएन्क्रिप्टेड रूप में पास किया जाता है, तो पासवर्ड डेटाबेस में नया पासवर्ड स्थापित करने से पहले ही सुरक्षा खो सकती है (उदाहरण के लिए, टेलीफोन टैपिंग के माध्यम से) और यदि नया पासवर्ड एक समझौता किए गए कर्मचारी को दिया जाता है, तो बहुत कम है प्राप्त किया। स्पष्ट रूप से बढ़ी हुई भेद्यता के साथ कुछ वेबसाइटों में एक सादे पाठ पुष्टिकरण ई-मेल संदेश में उपयोगकर्ता द्वारा चयनित पासवर्ड सम्मिलित होता है।

खोए हुए पासवर्ड के लिए प्रतिस्थापन जारी करने को स्वचालित करने के लिए पहचान प्रबंधन प्रणालियों का तेजी से उपयोग किया जा रहा है, एक सुविधा जिसे स्वयं-सेवा पासवर्ड रीसेट कहा जाता है। उपयोगकर्ता की पहचान प्रश्न पूछकर और पहले से संग्रहीत उत्तरों की तुलना करके सत्यापित की जाती है (अर्थात, जब खाता खोला गया था)।

कुछ पासवर्ड रीसेट प्रश्न व्यक्तिगत जानकारी मांगते हैं जो सोशल मीडिया पर मिल सकती है, जैसे कि माता का विवाह पूर्व नाम। परिणामस्वरूप, कुछ सुरक्षा विशेषज्ञ सलाह देते हैं कि या तो स्वयं प्रश्न बनाएं या गलत उत्तर दें।^[36]

पासवर्ड दीर्घायु

पासवर्ड एजिंग कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को बार-बार पासवर्ड बदलने के लिए मजबूर करती है (जैसे, त्रैमासिक, मासिक या इससे भी अधिक बार)। इस तरह की नीतियां सामान्यतः उपयोगकर्ता के विरोध और सबसे अच्छे रूप में पैर खींचने और सबसे खराब शत्रुता को भड़काती हैं। प्रायः उन लोगों की संख्या में वृद्धि होती है जो पासवर्ड को नोट कर लेते हैं और उसे आसानी से मिलने वाली जगह पर छोड़ देते हैं, साथ ही भूले हुए पासवर्ड को रीसेट करने के लिए हेल्प डेस्क पर कॉल करते हैं। उपयोगकर्ता अपने पासवर्ड को यादगार बनाए रखने के लिए सरल पासवर्ड का उपयोग कर सकते हैं या एक संगत थीम पर विविधता पैटर्न विकसित कर सकते हैं।^[37]इन मुद्दों क�

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

Anonymous

Search