पासवर्ड

अन्य उपयोगों के लिए, पासवर्ड (बहुविकल्पी) देखें।

अपने विकिपीडिया पासवर्ड के संबंध में सहायता के लिए, सहायता देखें: पासवर्ड पुनः स्थापित करें।

"पासकोड" यहां पुनर्निर्देश करता है। जापानी मूर्ति समूह के लिए, पासकोड (समूह) देखें।

एक साइन इन फॉर्म में एक पासवर्ड फ़ील्ड।

पासवर्ड, जिसे कभी-कभी पासकोड कहा जाता है (उदाहरण के लिए एप्पल उपकरणों में),^[1] गुप्त डेटा है, सामान्यतः वर्णों की एक स्ट्रिंग, सामान्यतः उपयोगकर्ता की पहचान की पुष्टि करने के लिए उपयोग की जाती है।^[1] परंपरागत रूप से, पासवर्ड स्मरण रखने की अपेक्षा की जाती थी,^[2] लेकिन बड़ी संख्या में पासवर्ड से सुरक्षित सेवाएं जो एक विशिष्ट व्यक्ति एक्सेस करता है, प्रत्येक सेवा के लिए अद्वितीय पासवर्ड को याद रखना अव्यावहारिक बना सकता है।^[3] NIST डिजिटल पहचान दिशानिर्देशों की शब्दावली का उपयोग करते हुए,^[4] गुप्तता अधिकार प्रतिपादक नामक समर्थक द्वारा आयोजित किया जाता है जबकि अधिकार प्रतिपादक की पहचान की पुष्टि करने वाली समर्थक को प्रमाणक (verifier) कहा जाता है। जब अधिकार प्रतिपादक एक स्थापित प्रमाणीकरण प्रोटोकॉल के माध्यम से प्रमाणक को पासवर्ड का ज्ञान सफलतापूर्वक प्रदर्शित करता है,^[5] प्रमाणक अधिकार प्रतिपादक की पहचान का अनुमान लगाने में सक्षम है।

सामान्य रूप से, एक पासवर्ड अक्षर, अंक, या अन्य प्रतीकों सहित वर्ण (कंप्यूटिंग) का यादृच्छिक स्ट्रिंग (कंप्यूटर विज्ञान) है। यदि अनुमेय वर्ण संख्यात्मक होने के लिए बाधित हैं, तो संबंधित गुप्तता को कभी-कभी व्यक्तिगत पहचान संख्या (PIN) कहा जाता है।

हांलाकि, इसके नाम को भी, पासवर्ड को वास्तविक शब्द होने की आवश्यकता नहीं है; वास्तव में, एक गैर-शब्द (शब्दकोश अर्थ में) का अनुमान लगाना कठिन हो सकता है, जो पासवर्ड की एक वांछनीय गुण है। एक स्मरण गुप्तता जिसमें शब्दों का एक क्रम होता है या रिक्त स्थान द्वारा अलग किए गए अन्य टेक्स्ट को कभी-कभी पासफ्रेज कहा जाता है। पासफ़्रेज़ उपयोग में आने वाले पासवर्ड के समान है, लेकिन पूर्व सामान्यतः संकलित सुरक्षा के लिए लंबा होता है।^[6]

इतिहास

पासवर्ड का उपयोग प्राचीन काल से किया जाता रहा है। संरक्षक उनको निर्देशार्थ करेंगे, जो पासवर्ड या संकेत शब्द की आपूर्ति करने के लिए क्षेत्र में प्रवेश करना चाहते हैं, और केवल एक व्यक्ति या समूह को पास होने की स्वीकृति देंगे यदि वे पासवर्ड जानते हैं। पोलिबियस प्राचीन रोम की सेना में संकेत शब्द के वितरण के लिए प्रणाली का वर्णन इस प्रकार करता है:

जिस तरह से वे रात के लिए संकेत शब्द के अस्थायी क्रम को सुरक्षित करते हैं वह इस प्रकार है: पैदल सेना और घुड़सवार सेना के प्रत्येक वर्ग के दसवें मणिपल (सैन्य इकाई) से, वह मणिपल जो सड़क के निचले सिरे पर डेरा डाले हुए है, एक आदमी चुना जाता है जिसे पहरेदारी से मुक्त किया जाता है, और वह प्रत्येक दिन सूर्यास्त के समय ट्रिब्यून के तम्बू में उपस्थित होता है, और उससे संकेत शब्द प्राप्त करता है - वह एक लकड़ी की टैबलेट (टैबलेट) है जिस पर यह शब्द उत्कीर्ण है - उसकी छुट्टी लेता है, और अपने सैन्यवास में वापस जाने पर अगले मणिपल के कमांडर को प्रमाण से पहले संकेत शब्द और टैबलेट वापस देता है, जो बदले में उसे उसके समीप वाले को दे देता है। सभी ऐसा ही तब तक करते हैं जब तक कि वह पहले मणिपल तक नहीं पहुँच जाता, जो ट्रिब्यून के तंबू के पास डेरा डाले हुए हैं। ये हाल के अंधेरे से पहले ट्रिब्यून को टैबलेट देने के लिए बाध्य हैं। ताकि यदि निर्गमित किए गए सभी को वापस कर दिया जाए, तो ट्रिब्यून को पता चल जाएगा कि सभी लोगों को संकेत शब्द दिया गया है, और सभी के माध्यम से उसके पास वापस आ गया है। यदि उनमें से कोई भी अनुपस्थित हो जाता है, तो वह तुरंत पूछताछ जाँच करता है, क्योंकि वह निशान से जानता है कि किस सैन्यवास से टैबलेट वापस नहीं आया है, और जो भी रोकने के लिए अधीन है वह सजा के योग्य है।^[7]

सैन्य उपयोग में पासवर्ड विकसित करने के लिए न केवल एक पासवर्ड, बल्कि एक पासवर्ड और एक काउंटरपासवर्ड सम्मिलित करने के लिए विकसित हुआ; उदाहरण के लिए नॉरमैंडी के आक्रमण के प्रारम्भिक दिनों में, यू.एस. 101वें विमानवाहित विभाग के पैराट्रूपर ने एक पासवर्ड-फ्लैश का उपयोग किया-जिसे एक निर्देशार्थ के रूप में प्रस्तुत किया गया था, और सही प्रतिक्रिया-धमकी के साथ उत्तर दिया। प्रत्येक तीन दिनों में निर्देशार्थ और प्रतिक्रिया बदल दी गई। अमेरिकी पैराट्रूपर ने पासवर्ड प्रणाली के स्थान पर D-दिवस पर "क्रिकेट" के रूप में एक उपकरण का उपयोग अस्थायी रूप से अभिनिर्धारण की अनन्य विधि के रूप में किया; पासवर्ड के बदले उपकरण द्वारा दिए गए एक धात्विक क्लिक को उत्तर में दो क्लिक से पूरा किया जाना था।^[8]

कंप्यूटिंग के प्रारम्भिक दिनों से ही कंप्यूटर के साथ पासवर्ड का उपयोग किया जाता रहा है। संगत समय-साझाकरण प्रणाली (CTSS), 1961 में MIT में प्रारंभ किया गया एक ऑपरेटिंग सिस्टम, पासवर्ड लॉगिन को लागू करने वाला पहला कंप्यूटर सिस्टम था।^[9]^[10] CTSS के पास एक लॉगिन कमांड था जिसने यूजर पासवर्ड का अनुरोध किया था। पासवर्ड टाइप करने के बाद, यदि संभव हो तो सिस्टम संसकरण व्यवस्था को बंद कर देता है, ताकि उपयोगकर्ता गुप्तता के साथ अपना पासवर्ड टाइप कर सके।^[11] 1970 के दशक की प्रारंभ में, रॉबर्ट मॉरिस (क्रिप्टोग्राफर) ने यूनिक्स ऑपरेटिंग सिस्टम के भाग के रूप में हैशेड फॉर्म में लॉगिन पासवर्ड संग्रहण करने की एक प्रणाली विकसित की। यह प्रणाली सिम्युलेटेड हेगेलिन रोटर गुप्‍तलेखन मशीन पर आधारित थी, और पहली बार 1974 में यूनिक्स के 6वें संस्करण में दिखाई दी। उनके एल्गोरिदम के बाद के संस्करण, जिसे कूटलेख (3) के रूप में जाना जाता है, ने 12-बिट तर्कशीलता (क्रिप्टोग्राफी) का उपयोग किया। और पूर्व-गणना किए गए शब्दकोश आक्षेप के जोखिम को कम करने के लिए 25 बार डेटा एन्क्रिप्शन मानक (DES) एल्गोरिथम के एक संशोधित रूप को लागू किया।^[12]

आधुनिक समय में, उपयोगकर्ता (कंप्यूटिंग) और पासवर्ड सामान्यतः लॉगिंग (कंप्यूटर सुरक्षा) प्रक्रिया के समय लोगों द्वारा उपयोग किए जाते हैं जो संरक्षित कंप्यूटर ऑपरेटिंग सिस्टम, मोबाइल फोन, केबल टीवी डिकोडर,स्वचालित टेलर मशीन (एटीएम), आदि तक अभिगम्य नियंत्रण करते हैं। एक विशिष्ट कंप्यूटर उपयोगकर्ता के पास कई उद्देश्यों के लिए पासवर्ड होते हैं: खातों में लॉग इन करना, ईमेल प्राप्त करना, एप्लिकेशन, डेटाबेस, नेटवर्क, वेब साइट्स तक पहुंचना और यहां तक कि सुबह का अखबार ऑनलाइन पढ़ना।

एक सुरक्षित और स्मरणीय पासवर्ड चुनना

उपयोगकर्ता के लिए पासवर्ड याद रखना जितना आसान होता है सामान्यतः इसका अर्थ हैकर (कंप्यूटर सुरक्षा) के लिए अनुमान लगाना आसान होगा।^[13] हालांकि, याद रखने में कठिन पासवर्ड भी सिस्टम की सुरक्षा को कम कर सकते हैं क्योंकि (a) उपयोगकर्ताओं को पासवर्ड लिखने या इलेक्ट्रॉनिक रूप से संग्रहण करने की आवश्यकता हो सकती है, (b) उपयोगकर्ताओं को निरंतर पासवर्ड रीसेट (पुनः स्थापित) करने की आवश्यकता होगी और (c) उपयोगकर्ताओं की अधिक संभावना है अलग-अलग खातों में एक ही पासवर्ड का पुनःउपयोग करें। इसी तरह, पासवर्ड की आवश्यकताएं जितनी अधिक कठोर होती हैं, जैसे कि बड़ा और छोटे अक्षरों और अंकों का संयुक्त रूप होता है या इसे मासिक रूप से बदले, उतना अधिक उपयोगकर्ता सिस्टम को नष्ट कर देगा।^[14] दूसरों का तर्क है कि लंबे पासवर्ड वर्णों की एक विस्तृत विविधता वाले छोटे पासवर्ड की तुलना में अधिक सुरक्षा प्रदान करते हैं (जैसे, एंट्रॉपी)।^[15]

पासवर्ड की स्मरणीय और सुरक्षा में,^[16] जेफ यान एट अल. पासवर्ड के अच्छे विकल्प के बारे में उपयोगकर्ताओं को दी गई सलाह के प्रभाव की जाँच करें। उन्होंने पाया कि एक वाक्यांश के बारे में सोचने और प्रत्येक शब्द के पहले अक्षर को लेने के आधार पर पासवर्ड उतने ही स्मरणीय होते हैं जितने कि सरलता से चुने गए पासवर्ड, और अव्यवस्थिततः से उत्पन्न पासवर्ड के रूप में (तोड़ना) क्रैक करना उतना ही कठिन है।

दो या दो से अधिक असंबंधित शब्दों को जोड़ना और कुछ अक्षरों को विशेष वर्णों या संख्याओं में बदलना एक और अच्छी विधि है,^[17] लेकिन एक भी शब्दकोश शब्द नहीं है। अस्पष्ट पासवर्ड उत्पन्न करने के लिए व्यक्तिगत रूप से डिज़ाइन किया गया एल्गोरिथम होना एक और अच्छा तरीका है।^[18]

हालाँकि, उपयोगकर्ताओं को बड़े और छोटे वर्णों के मिश्रण वाले पासवर्ड को याद रखने के लिए कहना, उन्हें बिट्स के अनुक्रम को याद रखने के लिए कहने के समान है: याद रखना कठिन है, और केवल क्रैक करना केवल थोड़ा कठिन है (उदाहरण के लिए 7-अक्षर वाले पासवर्ड को क्रैक करना केवल 128 गुना कठिन है, यदि, उपयोगकर्ता केवल अक्षरों में से किसी एक को बड़ा करता है) तो उपयोगकर्ताओं को अक्षरों और अंकों दोनों का उपयोग करने के लिए कहने से प्रायः 'E' → '3' और 'I' → '1' जैसे अनुमान लगाने में आसान प्रतिस्थापन हो जाते हैं, ऐसे प्रतिस्थापन जो आक्षेपकों के लिए अच्छी तरह से जाने जाते हैं। इसी तरह कीबोर्ड की एक पंक्ति ऊपर पासवर्ड टाइप करना आक्षेपकों के लिए ज्ञात एक सामान्य ट्रिक है।^[19]

2013 में, गूगल ने सबसे सामान्य पासवर्ड प्रकारों की एक सूची प्रस्तुत की, जिनमें से सभी को असुरक्षित माना जाता है क्योंकि उनका अनुमान लगाना बहुत आसान है (विशेषकर सोशल मीडिया पर किसी व्यक्ति पर शोध करने के बाद):^[20]

एक पालतू जानवर, बच्चे, परिवार के सदस्य या महत्वपूर्ण अन्य का नाम
वर्षगांठ दिनांक और जन्मदिन
जन्म स्थान
एक पसंदीदा छुट्टी का नाम
पसंदीदा खेल टीम से संबंधित कुछ
शब्द पासवर्ड

संस्मरण के विकल्प

पासवर्ड याद रखने और उन्हें कभी न लिखने की पारंपरिक सलाह एक निर्देशार्थ बन गई है क्योंकि कंप्यूटर और इंटरनेट के उपयोगकर्ताओं द्वारा पासवर्ड बनाए रखने की अपेक्षा की जाती है। एक सर्वेक्षण ने निष्कर्ष निकाला कि औसत उपयोगकर्ता के पास लगभग 100 पासवर्ड होते हैं।^[3] पासवर्ड के प्रसार को प्रबंधित करने के लिए, कुछ उपयोगकर्ता एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, यह एक असुरक्षित प्रक्रिया है क्योंकि एक खाते में डेटा का विच्छेद अन्य खातों से आपस में मिल सकता है। कम जोखिम वाले विकल्पों में पासवर्ड प्रबंधक का उपयोग, एक साइन-ऑन सिस्टम और कम महत्वपूर्ण पासवर्डों की केवल लेख सूची रखना सम्मिलित है।^[21] इस तरह के प्रक्रिया पासवर्ड की संख्या को कम कर सकते हैं, जैसे कि पासवर्ड प्रबंधक का मास्टर पासवर्ड, अधिक प्रबंधनीय संख्या में याद रखना चाहिए।

पासवर्ड प्रणाली की सुरक्षा के कारक

पासवर्ड से सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करती है। समग्र प्रणाली को कंप्यूटर वायरस, मैन-इन-द-मिडल आक्षेप और इस तरह के आक्षेप से सुरक्षा के साथ अच्छी सुरक्षा के लिए डिज़ाइन किया जाना चाहिए। भौतिक सुरक्षा के मुद्दे भी एक चिंता का विषय हैं, जिसमें शोल्डर सर्फिंग से लेकर वीडियो कैमरा और कीबोर्ड स्निफर्स जैसे अधिक परिष्कृत भौतिक जोखिम सम्मिलित हैं। पासवर्ड इस तरह से चुने जाने चाहिए कि किसी आक्षेपक के लिए उनका अनुमान लगाना कठिन हो और आक्षेपक के लिए किसी भी उपलब्ध स्वचालित आक्रमण योजना का उपयोग करके पता लगाना कठिन हो। अधिक जानकारी के लिए पासवर्ड क्षमता और कंप्यूटर सुरक्षा देखें।^[22]

आजकल, कंप्यूटर सिस्टम में टाइप किए जाने वाले पासवर्ड को छिपाना एक सामान्य बात है। इस उपाय का उद्देश्य आसपास उपस्थित लोगों को पासवर्ड पढ़ने से रोकना है; हालाँकि, कुछ लोगों का तर्क है कि इस प्रक्रिया से गलतियाँ और तनाव हो सकता है, जिससे उपयोगकर्ताओं को असुरक्षित पासवर्ड चुनने के लिए प्रोत्साहित किया जा सकता है। एक विकल्प के रूप में, उपयोगकर्ताओं के पास पासवर्ड टाइप करते समय दिखाने या छिपाने का विकल्प होना चाहिए।^[22]

प्रभावी अभिगम नियंत्रण प्रावधान पासवर्ड या बायोमेट्रिक संकेत प्राप्त करने की मांग करने वाले अपराधियों पर अत्यधिक उपाय कर सकते हैं।^[23] बहुत कम उपायों में एक्सटॉर्शन, रबर होज़ क्रिप्टैनालिसिस और साइड चैनल आक्षेप सम्मिलित हैं।

कुछ विशिष्ट पासवर्ड प्रबंधन मुद्दे जिन पर पासवर्ड के बारे में सोचते, चयन और संचालन करते समय विचार किया जाना चाहिए।

दर जिस पर एक आक्षेपक अनुमानित पासवर्ड का प्रयास कर सकता है

दर जिस पर एक आक्षेपक सिस्टम को अनुमानित पासवर्ड प्रस्तुत कर सकता है, सिस्टम सुरक्षा का निर्धारण करने में एक महत्वपूर्ण कारक है। कुछ प्रणालियाँ विफल पासवर्ड प्रविष्टि प्रयासों की एक छोटी संख्या (जैसे, तीन) के बाद कई सेकंड का समय-समापन लगाती हैं, जिसे उपरोध भी कहा जाता है।^[4] ^{: 63B Sec 5.2.2} अन्य असुरक्षितियों के अभाव में, ऐसे सिस्टम अपेक्षाकृत सरल पासवर्ड से प्रभावी रूप से सुरक्षित हो सकते हैं यदि उन्हें अच्छी तरह से चुना गया है और आसानी से अनुमान नहीं लगाया जा सकता है।^[24]

कई प्रणालियाँ पासवर्ड के प्रच्छन्नालेखी हैश फंक्शन को संग्रहीत करती हैं। यदि किसी आक्षेपक को हैश किए गए पासवर्ड की फ़ाइल तक पहुंच प्राप्त होती है, तो ऑफ़लाइन अनुमान लगाया जा सकता है, सही पासवर्ड के हैशमान के विरुद्ध पदान्वेषी पासवर्ड का तेजी से परीक्षण किया जा सकता है। वेब-सर्वर के उदाहरण में, एक ऑनलाइन आक्षेपक केवल उस दर का अनुमान लगा सकता है जिस पर सर्वर प्रतिक्रिया देगा, जबकि एक ऑफ-लाइन आक्षेपक (जो फ़ाइल तक पहुंच प्राप्त करता है) केवल हार्डवेयर द्वारा सीमित दर पर अनुमान लगा सकता है जिस पर आक्षेप चल रहा है।

पासवर्ड जो प्रच्छन्नालेखी कुंजियाँ उत्पन्न करने के लिए उपयोग किए जाते हैं (उदाहरण के लिए, डिस्क पुनःगुप्‍तलेखन या वाई-फाई सुरक्षा के लिए) भी उच्च दर अनुमान लगाने के अधीन हो सकते हैं। सामान्य पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं और पासवर्ड आक्षेप को बहुत ही कुशल बना सकते हैं। (पासवर्ड क्रैकिंग देखें।) ऐसी स्थितियों में सुरक्षा पर्याप्त जटिलता के पासवर्ड या पासफ़्रेज़ के उपयोग पर निर्भर करती है, जिससे आक्षेपक के लिए अभिकलनीय रूप से ऐसा आक्षेप अव्यवहारिक हो जाता है। कुछ प्रणालियाँ, जैसे PGP और Wi-Fi WPA, ऐसे आक्षेप को निष्क्रिय करने के लिए पासवर्ड पर संगणना-गहन हैश लागू करती हैं। कुंजी विस्तृत देखें।

पासवर्ड अनुमानों की संख्या की सीमा

जिस दर पर एक आक्षेपक पासवर्ड पर अनुमान लगा सकता है, उसे सीमित करने का एक विकल्प अनुमानों की कुल संख्या को सीमित करना है जो कि किए जा सकते हैं। पासवर्ड को अक्षम किया जा सकता है, जिसके लिए पुनः स्थापित की आवश्यकता होती है, निरंतर खराब अनुमानों की एक छोटी संख्या के बाद (5 कहते है); और उपयोगकर्ता को खराब अनुमानों की एक बड़ी संचयी संख्या (मान लीजिए 30) के बाद पासवर्ड बदलने की आवश्यकता हो सकती है, ताकि आक्षेपक को वैध पासवर्ड उपयोगकर्ता द्वारा किए गए अच्छे अनुमानों के बीच अव्यवस्थित रूप से बड़ी संख्या में गलत अनुमान लगाने से रोका जा सके।^[25] इसके विपरीत, उपयोगकर्ता अभिप्रायपूर्वक उपयोगकर्ता को अपने उपकरण से अभिबंधन करके उपयोगकर्ता के विरुद्ध सेवा से अस्वीकार आक्षेप को लागू करने के लिए कर सकते है; सेवा से अस्वीकार करने से आक्षेपक के लिए सोशल इंजीनियरिंग (सुरक्षा) के माध्यम से अपने लाभ के लिए स्थिति में कुशलतापूर्वक प्रयोग करने के लिए अन्य रास्ते खुल सकते हैं।

संग्रहीत पासवर्ड का रूप

कुछ कंप्यूटर सिस्टम यूजर पासवर्ड को केवल पाठयांश के रूप में संग्रहण करते हैं, जिससे यूजर लॉगऑन प्रयासों की तुलना की जा सकती है। यदि कोई आक्षेपक ऐसे आंतरिक पासवर्ड संग्रहण तक अभिगम्य प्राप्त करता है, तो सभी पासवर्ड—और इसलिए सभी उपयोगकर्ता खाते—समाधान कर लिए जाएँगे। यदि कुछ उपयोगकर्ता अलग-अलग प्रणालियों पर खातों के लिए एक ही पासवर्ड का उपयोग करते हैं, तो उनसे भी समाधान किया जाएगा।

अधिक सुरक्षित प्रणालियाँ प्रत्येक पासवर्ड को प्रच्छन्नालेखी रूप से संरक्षित रूप में संग्रहीत करती हैं, इसलिए वास्तविक पासवर्ड तक अभिगम्य एक गुप्तचर के लिए अभी भी कठिन होगी जो सिस्टम में आंतरिक अभिगम्य प्राप्त करता है, जबकि उपयोगकर्ता अभिगम्य प्रयासों का सत्यापन संभव रहता है। सबसे सुरक्षित पासवर्ड को संग्रहण नहीं करते हैं, लेकिन एकपक्षीय व्युत्पत्ति, जैसे बहुपद, मापांक, या एक विकसित हैश फंक्शन।^[15] रोजर नीधम ने सरल टेक्स्ट पासवर्ड के केवल हैशेड फॉर्म को संग्रहण करने के लिए अब-सामान्य पद्धति का आविष्कार किया।^[26]^[27] जब कोई उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड टाइप करता है, तो पासवर्ड प्रबंधन सॉफ़्टवेयर प्रच्छन्नालेखी हैश फंक्शन एल्गोरिथम के माध्यम से चलता है, और यदि उपयोगकर्ता की प्रविष्टि से उत्पन्न हैश मान पासवर्ड डेटाबेस में संग्रहीत हैश से मेल खाता है, तो उपयोगकर्ता को एक्सेस (अभिगम्य) की स्वीकृति है। हैश मान एक प्रच्छन्नालेखी हैश फंक्शन को सबमिट किए गए पासवर्ड से युक्त स्ट्रिंग पर लागू करके बनाया गया है, और कई कार्यान्वयनों में, तर्कशीलता (क्रिप्टोग्राफी) के रूप में जाना जाने वाला एक अन्य मूल्य। एक तर्कशीलता आक्षेपकों को सामान्य पासवर्ड के लिए हैश मानों की सूची बनाने से आसानी से रोकता है और पासवर्ड क्रैकिंग प्रयासों को सभी उपयोगकर्ताओं के बीच प्रवर्धन करने से रोकता है।^[28] MD5 और SHA1 प्रायः प्रच्छन्नालेखी हैश फंक्शन का उपयोग करते हैं, लेकिन उन्हें पासवर्ड हैशिंग के लिए अनुशंसित नहीं किया जाता है, जब तक कि उनका उपयोग बड़े निर्माण जैसे कि PBKDF2 के भाग के रूप में नहीं किया जाता है।^[29]

संग्रहीत डेटा - जिसे कभी-कभी पासवर्ड प्रमाणक या पासवर्ड हैश कहा जाता है - प्रायः मॉड्यूलर क्रिप्ट प्रारूप या RFC 2307 हैश प्रारूप में, कभी-कभी /etc/passwd फ़ाइल या /etc/छाया फ़ाइल में संग्रहीत किया जाता है।^[30]

पासवर्ड के लिए मुख्य भंडारण विधियाँ सरल टेक्स्ट, हैशेड, और तर्कशीलता, और प्रतिवर्ती रूप से गुप्तता हैं।^[31] यदि कोई आक्षेपक पासवर्ड फ़ाइल तक अभिगम्य प्राप्त करता है, तो यदि इसे सरल टेक्स्ट के रूप में संग्रहीत किया जाता है, तो कोई क्रैकिंग आवश्यक नहीं है। यदि यह हैश्ड है लेकिन तर्कशीलताीन नहीं है तो यह रेनबो टेबल आक्षेप (जो क्रैक करने की तुलना में अधिक कुशल हैं) के प्रति संवेदनशील है। यदि यह उत्क्रमणीय रूप से एन्क्रिप्ट किया गया है तो यदि आक्षेपक को फ़ाइल के साथ विकोडन कुंजी मिलती है तो कोई क्रैकिंग आवश्यक नहीं है, जबकि यदि वह कुंजी क्रैक करने में विफल रहता है तो संभव नहीं है। इस प्रकार, पासवर्ड के लिए सामान्य भंडारण प्रारूपों में से केवल जब पासवर्ड को तर्कशीलता और हैश किया गया है, तो यह आवश्यक और संभव दोनों को क्रैक कर रहा है।^[31]

यदि एक प्रच्छन्नालेखी हैश फंक्शन अच्छी तरह से डिज़ाइन किया गया है, तो यह एक सरल टेक्स्ट पासवर्ड को पुनर्प्राप्त करने के लिए फ़ंक्शन को विपरीत करने के लिए अभिकलनीय रूप से संभव नहीं है। हालांकि, एक आक्षेपक पासवर्ड का अनुमान लगाने का प्रयास करने के लिए व्यापक रूप से उपलब्ध उपकरण का उपयोग कर सकता है। ये उपकरण संभावित पासवर्ड को हैश करके और प्रत्येक अनुमान के परिणाम की वास्तविक पासवर्ड हैश से तुलना करके काम करते हैं। यदि आक्षेपक को कोई प्रतिद्वंदी मिलता है, तो वे जानते हैं कि उनका अनुमान संबंधित उपयोगकर्ता के लिए वास्तविक पासवर्ड है। पासवर्ड क्रैकिंग उपकरण ब्रूट फ़ोर्स (अर्थात वर्णों के प्रत्येक संभव संयोजन को उपयोगकर) या सूची से प्रत्येक शब्द को हैश करके संचालित कर सकते हैं; कई भाषाओं में संभावित पासवर्ड की बड़ी सूची इंटरनेट पर व्यापक रूप से उपलब्ध है।^[15] पासवर्ड क्रैकिंग उपकरण की सम्मिलित आक्षेपकों को खराब चुने गए पासवर्ड को आसानी से पुनर्प्राप्त करने की स्वीकृति देती है। विशेष रूप से, आक्षेपक छोटे पासवर्ड, शब्दकोश शब्द, शब्दकोश शब्दों पर सरल बदलाव या आसानी से अनुमान लगाने योग्य पैटर्न का उपयोग करने वाले पासवर्ड को जल्दी से पुनर्प्राप्त कर सकते हैं।^[32]

डेटा एन्क्रिप्शन मानक एल्गोरिथ्म का एक संशोधित संस्करण प्रारंभिक यूनिक्स सिस्टम में पासवर्ड हैशिंग एल्गोरिदम के आधार के रूप में उपयोग किया गया था।^[33] क्रिप्ट (यूनिक्स) एल्गोरिथ्म ने 12-बिट तर्कशीलता मान का उपयोग किया ताकि प्रत्येक उपयोगकर्ता का हैश अद्वितीय हो और हैश फंक्शन को मंद करने के लिए DES एल्गोरिदम को 25 बार पुनरावृत्त किया जाए, दोनों उपायों का उद्देश्य स्वचालित अनुमान लगाने वाले आक्षेप को विफल करना है।^[33] एक निश्चित मान को एन्क्रिप्ट करने के लिए उपयोगकर्ता के पासवर्ड को एक कुंजी के रूप में उपयोग किया गया था। हाल ही के यूनिक्स या यूनिक्स-जैसे सिस्टम (जैसे, लिनक्स या विभिन्न BSD सिस्टम) अधिक सुरक्षित पासवर्ड हैशिंग एल्गोरिदम जैसे PBKDF2,, बीक्रिप्ट, और एसक्रिप्ट का उपयोग करते हैं, जिनमें बड़े तर्कशीलता और एक समायोज्य लागत या पुनरावृत्तियों की संख्या होती है।^[34] एक खराब डिज़ाइन किया गया हैश फंक्शन आक्षेप को संभव बना सकता है, यद्यपि एक मजबूत पासवर्ड चुना गया हो। व्यापक रूप से प्रसारित और असुरक्षित उदाहरण के लिए LM हैश देखें।^[35]

नेटवर्क पर पासवर्ड सत्यापित करने के तरीके

पासवर्ड का सरल प्रसारण

प्रमाणीकरण मशीन या व्यक्ति को प्रेषित किए जाने पर पासवर्ड अवरोधन (अर्थात, गुप्तचर) के लिए असुरक्षित होते हैं। यदि पासवर्ड को उपयोगकर्ता अभिगम्य बिंदु और पासवर्ड डेटाबेस को नियंत्रित करने वाली केंद्रीय प्रणाली के बीच असुरक्षित भौतिक वायरिंग पर विद्युत संकेतों के रूप में ले जाया जाता है, तो यह वायरटैपिंग विधियों द्वारा गुप्तचर के अधीन है। यदि इसे इंटरनेट पर पैकेट डेटा के रूप में ले जाया जाता है, तो लॉगऑन जानकारी वाले पैकेट को देखने में सक्षम कोई भी व्यक्ति पता लगाने की बहुत कम संभावना के साथ गुप्तचर के रूप से काम कर सकता है।

ईमेल का उपयोग कभी-कभी पासवर्ड वितरित करने के लिए किया जाता है लेकिन यह सामान्यतः एक असुरक्षित तरीका है। चूँकि अधिकांश ईमेल सरल टेक्स्ट के रूप में भेजे जाते हैं, पासवर्ड वाला संदेश किसी भी प्रच्छन्नश्रावी द्वारा अभिगमन के समय बिना किसी प्रयास के पढ़ा जा सकता है। इसके अतिरिक्त, संदेश को कम से कम दो कंप्यूटरों पर सरल टेक्स्ट के रूप में संग्रहीत किया जाएगा: प्रेषक और प्राप्तकर्ता का। यदि यह अपनी संचारण के समय मध्यवर्ती सिस्टम से निकलता है, तो यह संभवतः कम से कम कुछ समय के लिए वहां भी संग्रहीत किया जाएगा, और इनमें से किसी भी सिस्टम पर बैकअप, कैश (कंप्यूटिंग) या विवरण फाइलों में कॉपी किया जा सकता है।

क्लाइंट-साइड एन्क्रिप्शन का उपयोग केवल मेल सेवा सिस्टम सर्वर से क्लाइंट मशीन तक प्रसारण की सुरक्षा करेगा। ईमेल के पहले या बाद के प्रसारण को संरक्षित नहीं किया जाएगा और ईमेल को संभवतः कई कंप्यूटरों पर, निश्चित रूप से मूल और प्राप्त करने वाले कंप्यूटरों पर, प्रायः स्पष्ट टेक्स्ट में संग्रहीत किया जाएगा।

एन्क्रिप्टेड चैनलों के माध्यम से प्रसारण

गुप्‍तलेख (क्रिप्टोग्राफी) सुरक्षा का उपयोग करके, अन्य पद्धति के साथ, इंटरनेट पर भेजे गए पासवर्डों के अवरोधन के जोखिम को कम किया जा सकता है। सबसे व्यापक रूप से उपयोग किया जाने वाला अभिगमन स्तर सुरक्षा (TLS, जिसे पहले SSL कहा जाता था) फीचर सबसे वर्तमान इंटरनेट वेब ब्राउज़र में बनाया गया है। जब TLS उपयोग में होता है, तो अधिकांश ब्राउज़र एक बंद लॉक आइकन, या कुछ अन्य संकेत प्रदर्शित करके सर्वर के साथ TLS/SSL-संरक्षित दूरभाष-केंद्र के उपयोगकर्ता को सतर्क करते हैं। उपयोग में कई अन्य तकनीकें हैं; क्रिप्टोग्राफी देखें।

हैश-आधारित निर्देशार्थ-प्रतिक्रिया के तरीके

दुर्भाग्य से, संग्रहीत हैश-पासवर्ड और हैश-आधारित निर्देशार्थ-प्रतिक्रिया प्रमाणीकरण के बीच एक विरोध है; और बाद मे सर्वर को प्रमाणित करने के लिए क्लाइंट की आवश्यकता होती है कि वे जानते हैं कि साझा गुप्तता (अर्थात, पासवर्ड) क्या है, और ऐसा करने के लिए, सर्वर को अपने संग्रहीत रूप से साझा गुप्तता प्राप्त करने में सक्षम होना चाहिए। दूरस्थ प्रमाणीकरण करने वाली कई प्रणालियों (यूनिक्स-प्रकार प्रणालियों सहित) पर, साझा गुप्तता सामान्यतः हैशेड रूप बन जाता है और ऑफ़लाइन अनुमान लगाने वाले आक्षेप के लिए पासवर्ड को उद्भासन करने की मह्त्वपूर्ण परिसीमा होती है। इसके अतिरिक्त, जब हैश का उपयोग एक साझा गुप्तता के रूप में किया जाता है, तो आक्षेपक को दूरस्थ रूप से प्रमाणित करने के लिए मूल पासवर्ड की आवश्यकता नहीं होती है; उन्हें केवल हैश की आवश्यकता है।

शून्य-ज्ञान पासवर्ड प्रमाण

पासवर्ड संचरण करने, या पासवर्ड के हैश को संचरण करने के अतिरिक्त, पासवर्ड-प्रमाणित कुंजी अनुबंध सिस्टम एक शून्य-ज्ञान पासवर्ड प्रमाण का प्रदर्शन कर सकते हैं, जो पासवर्ड को प्रकट किए बिना ज्ञान प्रमाणित करता है।

एक स्टेप आगे बढ़ते हुए, पासवर्ड-प्रमाणीकृत कुंजी अनुबंध के लिए संवर्धित सिस्टम (जैसे, AMP, B-SPEKE, PAK-Z, SRP-6) हैश-आधारित तरीके के विरोध और सीमा दोनों से बचते हैं । एक संवर्धित प्रणाली क्लाइंट को सर्वर को पासवर्ड का ज्ञान प्रमाणित करने की स्वीकृति देती है, जहां सर्वर केवल एक (सही नहीं) हैश पासवर्ड जानता है, और जहां अभिगम्य प्राप्त करने के लिए अनहैश पासवर्ड की आवश्यकता होती है।

पासवर्ड बदलने की प्रक्रियाएं

सामान्यतः, एक सिस्टम को पासवर्ड बदलने का एक तरीका प्रदान करना चाहिए, या तो उपयोगकर्ता का मानना है कि वर्तमान पासवर्ड से, या पूर्वोपाय के रूप में समाधान किया गया है (या हो सकता है)। यदि एक नया पासवर्ड सिस्टम को एन्क्रिप्ट नहीं किए गए रूप में स्वीकृत किया जाता है, तो पासवर्ड डेटाबेस में नया पासवर्ड स्थापित करने से पहले ही सुरक्षा नष्ट हो सकती है (उदाहरण के लिए, टेलीफोन टैपिंग के माध्यम से) और यदि नया पासवर्ड संक्रमित नियुक्त किया जाता है, तो बहुत कम लाभ होता है। स्पष्ट रूप से बढ़ी हुई प्रवणता के साथ कुछ वेबसाइटों में एक सरल टेक्स्ट पुष्टिकरण ई-मेल संदेश में उपयोगकर्ता द्वारा चयनित पासवर्ड सम्मिलित होता है।

नष्ट हुए पासवर्ड के लिए प्रतिस्थापन प्रस्तुत करने को स्वचालित करने के लिए पहचान प्रबंधन प्रणालियों का तेजी से उपयोग किया जा रहा है, एक सुविधा जिसे स्वयं-सेवा पासवर्ड पुनः स्थापित कहा जाता है। उपयोगकर्ता की पहचान प्रश्न पूछकर और पहले से संग्रहीत जबाबों की तुलना करके सत्यापित की जाती है (अर्थात, जब खाता खोला गया था)।

कुछ पासवर्ड पुनः स्थापित प्रश्न व्यक्तिगत जानकारी मांगते हैं जो सोशल मीडिया पर मिल सकती है, जैसे कि माता का विवाह पूर्व नाम। परिणामस्वरूप, कुछ सुरक्षा विशेषज्ञ सलाह देते हैं कि या तो स्वयं प्रश्न बनाएं या गलत उत्तर दें।^[36]

पासवर्ड दीर्घता

पासवर्ड दीर्घता कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को बार-बार पासवर्ड परिवर्तित करने के लिए मजबूर करती है (जैसे, त्रैमासिक, मासिक या इससे भी अधिक बार)। इस तरह की युक्तियां सामान्यतः उपयोगकर्ता के विरोध और सबसे अच्छे रूप में आधार खींचने और सबसे खराब विरोध को उत्तेजित करती हैं। प्रायः उन लोगों की संख्या में वृद्धि होती है जो पासवर्ड को नोट कर लेते हैं और उसे आसानी से मिलने वाली जगह पर छोड़ देते हैं, साथ ही अस्मरणीय पासवर्ड को पुनः स्थापित करने के लिए हेल्प डेस्क पर कॉल करते हैं। उपयोगकर्ता अपने पासवर्ड को स्मरणीय बनाए रखने के लिए सरल पासवर्ड का उपयोग कर सकते हैं या एक संगत प्रकरण पर विविधता पैटर्न विकसित कर सकते हैं।^[37] इन विषय के कारण, इस बारे में कुछ विचार-विमर्श हो रही है कि पासवर्ड दीर्घता प्रभावी है या नहीं।^[38] पासवर्ड बदलने से अधिकतम स्थितियों में दुरुपयोग नहीं रुकेगा, क्योंकि दुरुपयोग प्रायः तुरंत ध्यान देने योग्य होगा। हालांकि, अगर किसी के पास किसी माध्यम से पासवर्ड तक पहुंच हो सकती है, जैसे कंप्यूटर साझा करना या किसी अलग साइट का उल्लंघन करना, पासवर्ड बदलने से दुरुपयोग के लिए विंडो सीमित हो जाती है।^[39]

प्रति पासवर्ड उपयोगकर्ताओं की संख्या

सिस्टम के प्रत्येक उपयोगकर्ता को अलग-अलग पासवर्ड निर्धारित करना सिस्टम के वैध उपयोगकर्ताओं द्वारा साझा किए गए भिन्न पासवर्ड के लिए, निश्चित रूप से सुरक्षा के पद्धति से अधिमान्य है। यह आंशिक रूप से इसलिए है क्योंकि उपयोगकर्ता विशेष रूप से उनके उपयोग के लिए किसी अन्य व्यक्ति (जो अधिकृत नहीं हो सकते हैं) को एक साझा पासवर्ड बताने के लिए अधिक तत्पर हैं। एक पासवर्ड बदलने के लिए भी बहुत कम उपयुक्त होते हैं क्योंकि एक ही समय में कई लोगों को बता�

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

Anonymous

Search