Loading AI tools
पहचान या अनुमोदन साबित करने के लिए या उपयोगकर्ता प्रमाणीकरण के लिए विकिपीडिया से, मुक्त विश्वकोश
पहुंच के लिए या पहचान साबित करने के लिए बतौर प्रमाणीकरण किया जाता है (उदाहरण: कोई प्रवेश या एक्सेस कोड पासवर्ड का एक प्रकार है)। पासवर्ड को उनसे गुप्त रखा जाना चाहिए जिन्हें उसके उपयोग की अनुमति नहीं है।#
 | इस लेख में विकिपीडिया के गुणवत्ता मापदंडों पर खरे उतरने के लिए सफ़ाई की आवश्यकता है। इसमें मुख्य समस्या है कि: विभिन्न। कृपया इस लेख को सुधारने में यदि आप सहकार्य कर सकते है तो अवश्य करें। इसके संवाद पृष्ठ पर कुछ सलाह मिल सकती है। (मई 2018) |
 | इस लेख में सत्यापन हेतु अतिरिक्त संदर्भ अथवा स्रोतों की आवश्यकता है। कृपया विश्वसनीय स्रोत जोड़कर इस लेख में सुधार करें। स्रोतहीन सामग्री को चुनौती दी जा सकती है और हटाया भी जा सकता है। (June 2008) स्रोत खोजें: "पासवर्ड" पारण शब्द – समाचार · अखबार पुरालेख · किताबें · विद्वान · जेस्टोर (JSTOR) |
पासवर्ड के उपयोग को प्राचीन माना जाता है। किसी क्षेत्र विशेष में प्रवेश करने के इच्छुक व्यक्तियों या उसके करीब आने वालों को संतरी चुनौती देते हुए उनसे पासवर्ड या वाचवर्ड की मांग किया करते थे। संतरी सिर्फ उसी व्यक्ति या समूह को अनुमति देते हैं, जिन्हें पासवर्ड मालूम होता है। आधुनिक काल में, लोगों द्वारा उपयोगकर्ता के नाम और पासवर्ड का उपयोग आम तौर पर संरक्षित कंप्यूटर ऑपरेटिंग सिस्टम में लॉगिन प्रक्रिया के दौरान, मोबाइल फोन, केबल टीवी डिकोडर्स (decoders), ऑटोमेटेड टेलर मशीन (एटीएमों (ATMs)) आदि में नियंत्रित प्रवेश पाने के लिए किया जाता है। एक आम कंप्यूटर उपयोगकर्ता को अनेक कामों के लिए पासवर्ड की जरूरत पड़ सकती है: कंप्यूटर विवरणी में प्रवेश के लिए, सर्वर से ई-मेल वापस पाने के लिए, कार्यक्रमों तक पहुंच बनाने के लिए, आंकडा संचय, नेटवर्क, वेब साईट और यहां तक कि सुबह का अखबार ऑनलाइन पढने के लिए।
नाम के बावजूद, पासवर्ड के लिए वास्तविक शब्द होने की कोई जरूरत नहीं है; दरअसल वास्तविक शब्द नहीं होते, उनका अनुमान लगाना कठिन हो सकता है, यह एक काम्य सामग्री हो सकती है। कुछ पासवर्ड का गठन अनेक शब्दों से होता है और इसे सटीक रूप से पासफ्रेज (कूटशब्द) नहीं कहा जा सकता. कभी-कभी पासकोड शब्द का प्रयोग किया जाता है जब गुप्त सूचना अंक में हो, जैसे कि पर्सनल आइडेंटीफिकेशन नंबर (पिन (PIN)) जिसका उपयोग आम तौर पर एटीएम (ATM) अभिगमन के लिए होता है। पासवर्ड आम तौर पर छोटे हुआ करते हैं ताकि आसानी से याद रखा जा सके।
एक कम्प्यूटिंग उपकरण के किसी दूसरे में और अधिक अकाट्य पहचान के प्रमाणीकरण के उद्देश्य के लिए, सत्यापन प्रणाली के क्रिप्टोग्राफ़िक प्रोटोकॉल (cryptographic protocol8236862170s), जो कि गतिरोध पैदा करने में कहीं अधिक कठिन होता है, पर निर्भर रहने से पासवर्ड के विशिष्ट नुकसान हैं (उनकी चोरी, जासूसी हो सकती है, भूल सकते हैं आदि)।
युनिकोड अब 21 बिट की प्रणाली है। हिंदी के वर्ण युनिकोड मानक में होने के कारण 16 बिट वाले ओ.टी.फोंट का उपयोग करते हैं। अतः हिंदी में पासवर्ड दिया जाए, तो ज्यादा सुरक्षित होता है, जिसे हैक करना काफी कठिन कार्य होगा।
आमतौर पर मालिक द्वारा याद रखने में आसान पासवर्ड का अर्थ किसी हमलेवर के लिए अनुमान लगाने में आसान होना होगा। [1] याद रखने में कठिन पासवर्ड से प्रणाली की सुरक्षा में कमी हो जाएगी; क्योंकि (क) उपयोगकर्ता अपना पासवर्ड कहीं लिख ले या इलेक्ट्रॉनिक रूप से उसका संग्रह कर ले, (ख) उपयोगकर्ता को लगातार अपना पासवर्ड बदलना पडेगा और (ग) बहुत संभव है कि उपयोगकर्ता अपना वही पासवर्ड फिर से इस्तेमाल करे. इसी तरह, पासवर्ड की मजबूती के लिए जो बहुत ही जरूरी चीज है, वह है उदा. के लिए "अपरकेस और लोअरकेस के वर्ण और अंक का मिलाजुला रूप" या "हर महीने बदलाव", जिसे उपयोगकर्ता जितने बड़े पैमाने पर करेगा, प्रणाली की सुरक्षा उतनी ही कम हो जाएगी.[2]
द मेमोरेबलिटी एण्ड सिक्युरिटी ऑफ पासवर्ड (The Memorability and Security of Passwords)[3] में जेफ यान एट अल. उपयोगकर्ताओं के पासवर्ड के अच्छे विकल्प पर दिए गए सलाह के प्रभाव की जांच करते हैं। उन्होंने पाया कि पासवर्ड सोचे गए एक वाक्यांश पर आधारित था और हरेक शब्द का पहला वर्ण याद रखने लायक लिया गया, क्योंकि सहजता के साथ पासवर्ड चुना गया था और उसे तोड़ना कठिन होता है क्योंकि पासवर्ड अंधाधुंध बाहर निकलता था। असंबंधित दो शब्दों का मेल एक दूसरा अच्छा तरीका है। दुरूह पासवर्ड बनाने के लिए निजी तौर पर "कलन गणित" (algorithm) डिजाइन करना भी एक अन्य अच्छा तरीका है।
हालांकि, उपयोगकर्ताओं को "अपरकेस और लोअरकेस से मिलाजुला" पासवर्ड याद रखने के लिए कहा जाए तो उन्हें बीट के क्रम को याद रखने के लिए कहने के सामान है: याद रखना कठिन है और उससे कहीं कठिन उन्हें तोड़ना है (उदा. के लिए 7 अक्षरों के पासवर्ड को तोड़ना 128 गुणा कठिन होता है, अगर उपयोगकर्ता केवल पहले अक्षर को बड़ा रखता है तो आसान है)। उपयोगकर्ताओं "अक्षर और अंक दोनों" का उपयोग करने के लिए कहा जाए तो अक्सर प्रतिस्थापनाओं का अनुमान लगाना आसान हो जाता है, जैसे 'ई' (E) -> '3' और 'आई (I)' -> '1' का प्रतिस्थापन, जिसे हमलावर अच्छी तरह जानते हैं। इसी तरह कुंजीपटल के ऊपर की एक पंक्ति को पासवर्ड की तरह टाइप करना भी हमलावरों की बहुत ही आम ज्ञात चाल है।
किसी पासवर्ड की सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करता है। निश्चित तौर पर, कंप्यूटर वायरस से बचाव समेत मैन-इन-द मीडिल अटैक (man-in-the-middle attacks) में या इस जैसे से ही समग्र प्रणाली को उम्दा सुरक्षा के तौर पर डिजाइन किया जाना जरूरी है। डरा-धमका कर शोल्डर सर्फिंग (shoulder surfing) से लेकर परिष्कृत भौतिक खतरे जैसे कि वीडियो कैमरा और कीबोर्ड स्निफर (keyboard sniffers), जैसे भौतिक सुरक्षा मुद्दे भी चिंता के विषय हैं। और निश्चित तौर पर पासवर्ड इस तरह के चुना जाने चाहिए कि किसी हमलावर के लिए उसका अंदाजा लगा पाना कठिन हों और हमलावर के लिए किसी (और सभी) उपलब्ध स्वचालित हमले की युक्तियों (स्कीमों) का इस्तेमाल कर उसे ढूंढ़ना कठिन हो। पासवर्ड की मजबूती, कंप्यूटर सुरक्षा और कंप्यूटर की असुरक्षा को ध्यान में रखें.
आजकल पासवर्ड को टाइप करते ही इसका छिप जाना किसी भी कंप्यूटर सिस्टम के लिए एक आम बात है। दरअसल इस उपाय के उद्देश्य बाजू में खड़े शख्स से पासवर्ड को पढ़ लेने से बचाना है। हालांकि, कुछ लोगों का तर्क है कि इससे हो सकता है गलतियां हो जाएं और यह तनाव पैदा कर सकती है, उपयोगकर्ता को यह आसान पासवर्ड चुनने के लिए प्रोत्साहित करें। वैकल्पिक रूप से, उपयोगकर्ताओं जब वे उन्हें टाइप करें तो उनके पास दिखाने या छिपाने का विकल्प होना चाहिए। [4]
प्रभावी अभिगम नियंत्रण में प्रावधान हो सकता है ऐसे अपराधियों जो पासवर्ड या बायोमैट्रिक टोकन हासिल करना चाहने वाले अपराधियों के लिए चरम उपाय किए जाएं.[5] कम चरम उपायों जिसमें जबरन वसूली, रबर होज क्रिप्टएनालिसिस (rubber hose cryptanalysis) और पार्श्व चैनल हमला अपेक्षाकृत कम चरम उपाय हैं।
यहां पासवर्ड प्रबंधन के कुछ विशिष्ट मुद्दे दिए जा रहे हैं, पासवर्ड चुनने या उनका संचालन करते समय ध्यान से इन पर विचार दिया जाना जरूरी है।
एक हमलावर किस हद तक पासवर्ड का अंदाजा लगाकर प्रणाली में डाल सकता है, प्रणाली की सुरक्षा निर्धारण में यह एक महत्वपूर्ण कारक है। एक छोटी-सी गिनती (उदा. के लिए तीन) तक पासवर्ड डालने की कोशिश की असफलता के बाद कुछ प्रणालियां कुछेक सेकंड का निर्धारित समय अधिरोपित करती है। अन्य कमजोरियों के अभाव में, अगर पासवर्ड अच्छे से चुने जाएं और उनका अंदाजा लगाना आसान न हो तो ऐसे प्रणाली अपेक्षाकृत सरल पासवर्ड को प्रभावी रूप से सुरक्षित कर सकती हैं।[6]
कई प्रणालियां पासवर्ड की क्रिप्टोग्राफिक हैश (cryptographic hash) को इस तरह से संचित करते हैं कि हैश के मान को हमलावर के लिए सुलभ बना देता है। जब यह हो जाता है और यह बहुत ही आम है तब हमलावर ऑफ-लाइन काम कर सकता है, व्यक्ति के पासवर्ड के बदले असली पासवर्ड के हैश के मान की तेजी से जांच करता है। क्रिप्टोग्राफ़िक कुंजियां (उदा. के लिए डिस्क एन्क्रिप्शन (disk encryption) या वाई-फाई (Wi-Fi) सुरक्षा) तैयार करने के लिए जिस पासवर्ड का उपयोग किया जाता है, बड़े हद तक उनका अनुमान लगाया जा सकता है। आम पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं, जो बहुत ही कुशलता से पासवर्ड हमला कर सकता हैं। (देखें पासवर्ड क्रैकिंग) इन स्थितियों में सुरक्षा पर्याप्त जटिल पासवर्ड या पासफ्रेज के इस्तेमाल पर निर्भर करती है, ऐसे अभिकलनात्मक जटिलता वाले हमले हमलावर के लिए अव्यवहारिक होते हैं। कुछ प्रणालियां, जैसे पीजीपी (PGP) और वाई-फाई डबल्युपीए (Wi-Fi WPA) ऐसे हमलों में पासवर्ड को धीमा करने के लिए गहन अभिकलन हैश लागू करती हैं। देखें की स्ट्रेंगक्थनिंग (key strengthening)।
कुछ कंप्यूटर प्रणालियां उपयोगकर्ता के लॉग ऑन प्रयत्नों की तुलना में उपयोगकर्ता के पासवर्डों को क्लियर टेक्स्ट (cleartext) के रूप में संचित करती है। अगर हमलावर ऐसे आंतरिक पासवर्ड संग्रह को प्राप्त कर लेने में कामयाब हो जाता है तो सभी पासवर्ड - और इस कारण सभी उपयोगकर्ता के खाते - खतरे में पड़ जाएंगे. अगर कोई उपयोगकर्ता विभिन्न प्रणालियों के लिए एक ही पासवर्ड डालता हैं तो उन पर भी खतरा होगा।
अधिक सुरक्षित प्रणालियां हरेक पासवर्ड का बचाव क्रिप्टोग्राफी तरीके से करती है ताकि असली पासवर्ड को प्राप्त कर पाना ऐसे ठग के लिए कठिन होता है, जो प्रणाली के आंतरिक अभिगम को प्राप्त कर लेता है, लेकिन उपयोगकर्ता के अभिगमन प्रयत्न की मान्यता फिर भी संभव होती है।
एक सामान्य दृष्टिकोण केवल सामान्य टेक्स्ट (plaintext) को "हैश्ड" (hashed) के रूप में संचित करती है। जब उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड में टाइप करता है, तो पासवर्ड प्रबंधन सॉफ्टवेयर क्रिप्टोग्राफिक हैश कलन गणित के माध्यम से चलता है और अगर उपयोगकर्ता की प्रविष्टि से निकले हैश का मान पासवर्ड डेटाबेस में संचित हैश से मेल खाता है तो उपयोगकर्ता को अभिगम की अनुमति मिल जाती है। हैश प्रकार्य को लागू हैश का मान डाले गए पासवर्ड को शामिल किए गए एक लड़ी में निर्मित किया जाता है (हमले से अधिकतम बचाव के लिए यह क्रिप्ट्रोग्राफिक हैश प्रकार्य होना चाहिए) और आमतौर पर अन्य मान सॉल्ट के रूप में जाना जाता है। सॉल्ट सामान्य पासवर्ड के लिए हैश मान की सूची आसानी से तैयार करने से हमलावरों को रोकता है। एमडी5 (MD5) और एसएचए1 (SHA1) क्रिप्टोग्राफिक हैश प्रकार्य का अक्सर इस्तेमाल किया करते हैं।
डीईएस (DES) कलन गणित (कलन गणित) के एक संशोधित संस्करण का इस्तेमाल इस उद्देश्य के लिए शुरू-शुरू में यूनिक्स (Unix) प्रणाली में किया गया था। आगे भी निराशायुक्त स्वचालित अनुमान के हमले में हैश के प्रकार्य को धीमा करने के लिए यूनिक्स डीईएस (UNIX DES) के कार्य को दोहराया गया था और प्रत्याशी के पासवर्ड को एन्क्रिप्ट एक निश्चित मान की कुजी के रूप में उपयोग किया गया, इस प्रकार पासवर्ड छिपाने की प्रणाली पर एक और हमले को अवरुद्ध किया गया। संचित पासवर्ड फाइलों पर हमले को रोकने या विफल करने के लिए अभी हाल ही में यूनिक्स या यूनिक्स जैसी प्रणालियां (जैसे कि लिनक्स या विभिन्न तरह के बीएसडी (BSD) प्रणालियां) एमडी5 (MD5), एसएचए1 (SHA1), आधारित ब्लोफिश, टूफिश या विभिन्न तरह के अन्य कलन गणित में से किसी का जिसे आज भी कहीं अधिक प्रभावी रक्षात्मक तंत्र माना जाता है, का उपयोग किया गया।[7]
अगर हैश प्रकार्य को अच्छी तरह डिजाइन किया गया तो सीधे तौर पर सामान्य टेक्स्ट पासवर्ड को खोजने के लिए इसे पलटा जाए तो अभिकलनात्मक जटिलता के कारण यह अव्यवहारिक हो जाएगा. हालांकि, कई प्रणालियां अपने हैश पासवर्ड की पर्याप्त रूप से रक्षा नहीं करती हैं और अगर कोई हमलावर हैश के मान का अनुमान लगा लेता है तो वह शब्दकोश (इंटरनेट पर बहुत सारे उपलब्ध है) जैसे उपलब्ध टूल, जो कुछ सूची के हरेक शब्द के एन्क्रिप्टेड (encrypted) नतीजे की तुलना करते है, का इस्तेमाल व्यापक रूप से कर सकता है। चूंकि ये सॉफ्टवेयर प्रोग्राम हैं, इसीलिए आम विभिन्नताओं की आजमाइश के लिए बहुत सारी भाषाओं में संभावित पासवर्ड की लंबी सूची व्यापक रूप से इंटरनेट पर उपलब्ध हैं। इन शब्दकोशों पर हमले के उपकरणों का अस्तित्व उपयोगकर्ता के पासवर्ड विकल्प को बाधित करता है, जिनका आशय आसान हमले को रोकना होता है और ऐसी सूची में वे मिलनेवाले नहीं होने चाहिए। जाहिर है, पासवर्ड के रूप में ऐसी सूचियों पर शब्द से बचा जाना चाहिए। यह खतरा कम करने के लिए पीबीकेडीएफ2 (PBKDF2) जैसे कि स्ट्रेचिंग (key stretching) हैश के उपयोग को डिजाइन किया गया है।
मजबूत पासवर्ड चुनने के बाद भी असंतोषजनक तरीके से डिजाइन किया गया हैश प्रकार्य हमलों को संभव बनाता है। व्यापक रूप से काम पर लगाए गए और असुरक्षित उदाहरण के लिए एलएम (LM) हैश को देखें.[8]
किसी नेटवर्क सेटिंग में पेश किए गए पासवर्ड की पुष्टि के लिए विभिन्न तरीकों का इस्तेमाल किया जाता है:
प्रमाणीकरण के लिए मशीन में या किसी व्यक्ति को प्रेषित किया जाता है तो पासवर्ड में अंतरावरोधन (यानी "जासूसी") के खतरे होते हैं, जबकि यह सत्यापन मशीन या व्यक्ति को प्रेषित किया जा रहा है। अगर असुरक्षित बाह्य तारों से उपयोगकर्ता के अभिगम बिंदु तक पासवर्ड विद्युतीय संकेत के रूप में जाता है और केंद्रीय प्रणाली पासवर्ड डेटाबेस को नियंत्रित करती है तो वायरटेपिंग (wiretapping) पद्धति के जरिए जासूसी का खतरा होता है। अगर यह डेटा पैकेट के रूप में इंटरनेट पर वहन किया जाता है तो पैकेटों में बंद लॉगिन जानकारियों को कोई भी देखने में सक्षम होकर बहुत ही क्षीण संभावना के साथ जासूसी कर सकता है।
कभी-कभी ईमेल का इस्तेमाल पासवर्ड वितरित करने के लिए किया जाता है। चूंकि ज्यादातर ईमेल क्लियर टेक्स्ट (cleartext) के रूप में भेजे जाते है, भेजे जाने के दौरान घात लगाये हुए किसी शख्स के लिए बगैर प्रयास के यह उपलब्ध हो जाता है। इसके अलावा, ईमेल कम से कम दो कंप्यूटर पर - प्रेषक और प्राप्तकर्ता के - क्लियर टेक्स्ट के रूप में संचित होता है। अगर इसे मध्यवर्ती प्रणालियों के माध्यम से गुजारा जाता है तो अपनी यात्रा के दौरान संभवत: यह उनमें संचित होता है, कम से कम कुछ समय के लिए। इन सभी कमजोरियों से ईमेल को नष्ट करने के प्रयास सफल हो सकते है या नहीं भी हो सकते हैं, विभिन्न प्रणालियों के बैकअप्स (backups), हिस्ट्री फाइल्स (history files) या कैशेज (caches) में ई-मेल फिर भी रह सकता है। वास्तव में उन प्रणालियों में से हरेक की पहचान मुश्किल हो सकती है। ईमेल किए गए पासवर्ड आम तौर पर असुरक्षित वितरण का एक तरीका है।
पासवर्ड के क्लियर टेक्स्ट के प्रेषण का एक उदाहरण मौलिक विकिपीडिया (Wikipedia) वेबसाइट है। जब आप विकिपीडिया एकाउंट लॉग इन करते हैं, आपके यूजरनेम और पासवर्ड को क्लियर टेक्स्ट के रूप में आपके कंप्यूटर ब्राउजर से इंटरनेट के माध्यम से भेजा जाता है। सैद्धांतिक रूप में, पारगमन के दौरान उन्हें कोई भी पढ़ सकता है और उसके बाद आपके एकाउंट में आपकी की तरह प्रवेश कर सकता है; आपकी तरफ से इस तरह के हमलावरों में अंतर करने का विकिपीडिया के सर्वर के पास कोई रास्ता नहीं है। व्यावहारिक रूप में, कोई अनजाना-सा अपेक्षाकृत बड़ी संख्या यह अच्छी तरह कर सकती है (उदा. स्वरूप आपको इंटरनेट सेवा प्रदान करनेवाले के कर्मचारी किसी भी प्रणाली, जिससे होकर ट्रैफिक गुजरती है आदि के जरिए यह कर सकता है)। हाल ही में, विकिपीडिया ने सुरक्षित लॉगिन विकल्प का प्रस्ताव दिया है, जो बहुत सारे ई-कॉमर्स साइटों जैसे ही हैं, क्लियर टेक्स्ट प्रेषण को रद्द करने के लिए प्रोटोकॉल आधारित एसएसएल (SSL) / (टीएलएस (TLS)) क्रिप्टोग्राफी का इस्तेमाल करता है। लेकिन, चूंकि विकिपीडिया में कोई भी (इसमें लॉगिन किए बगैर) अभिगम कर सकता है और फिर अनिवार्य रूप से सभी लेख को संपादित कर सकता है, यह तर्क दिया जा सकता है कि इन प्रेषणों को एन्क्रिप्ट करने की थोड़ी-बहुत आवश्यकता है क्योंकि इसे थोड़ा-बहुत ही संरक्षित रखा जाता है। अन्य वेबसाइट (जैसे कि बैंकों और वित्तीय संस्थाओं के) में बिल्कुल अलग किस्म की सुरक्षा की आवश्यकता है और किसी चीज का क्लियर टेक्स्ट का प्रेषण उन संदर्भों में स्पष्ट रूप से असुरक्षित है।
ग्राहक पक्ष के एन्क्रिप्शन (encryption) का उपयोग करके मेल का प्रबंधन करनेवाली प्रणाली का सर्वर केवल ग्राहक के मशीन में सुरक्षित प्रेषण करेगा। पिछला या बाद में भेजा गया ईमेल संरक्षित नहीं होगा और ईमेल बहुत सारे कंप्यूटरों में संग्रहित किया जाना संभव होगा, निश्चित तौर पर भेजे गए और प्राप्त करनेवाले कंप्यूटर पर, ज्यादातर क्लियर टेक्स्ट में.
इंटरनेट पर भेजे गए पासवर्ड के अवरोधन के जोखिम को, अन्य दृष्टिकोण में, क्रिप्टोग्राफी सुरक्षा का उपयोग करके कम किया जा सकता है। व्यापक रूप से ट्रांसपोर्ट लेयर सिक्युरिटी (Transport Layer Security) (टीएलएस (TLS) पहले यह एसएसएल (SSL) कहलाता था) का प्रयोग किया जाता है, ज्यादातर इंटरनेट ब्राउजरों (browsers) में इस विशेषता का निर्माण किया गया है। जब टीएलएस (TLS) का उपयोग हो रहा होता है तो ज्यादातर ब्राउज़र टीएलएस/एसएसएल (TLS/SSL) के उपयोगकर्ता को क्लोज्ड लॉक आइकॉन के जरिए या कुछ अन्य संकेत से सुरक्षित आदान-प्रदान के लिए चेतावनी देते हैं। अन्य बहुत सारे तकीनक का उपयोग होता है, देखें क्रिप्टोग्राफी (cryptography).
दुर्भाग्य से, संचित हैश-पासवर्ड और हैश आधारित चुनौती-प्रतिक्रिया के प्रमाणीकरण के बीच टकराव होता है; बाद वाले को ग्राहक की जरूरत होती है यह साबित करने के लिए कि सर्वर को क्या गोपनीय (अर्थात् पासवर्ड) साझा किया गया उसे इसकी जानकारी है; और यह करने के लिए सर्वर को साझा रहस्य को अपने संग्रह से बाहर निकालने में सक्षम होना होगा। सुदूर से प्रमाणीकरण करनेवाले बहुत सारी प्रणालियों (यूनिक्स-जैसी प्रणालियों समेत) में साझा रहस्य का आमतौर कत्लेआम हो जाता हैं और ऑफलाइन अनुमान लगाने वाले हमलों में पासवर्ड उजागर होने पर भारी प्रतिबंध लग जाता है। इसके अतिरिक्त, जब हैश का एक साझा रहस्य के रूप में प्रयोग किया जाता है, तब हमलावर को मौलिक पासवर्ड के दूरस्थ प्रमाणीकरण की जरूरत नहीं रह जाती है, उसे केवल हैश की जरूरत होती है।
पासवर्ड के प्रेषण या पासवर्ड के हैश का प्रेषण के बजाए, पासवर्ड प्रमाणीकृत कुंजी करार प्रणाली शून्य-सूचना पासवर्ड सबूत का काम कर सकती है, जो इसे दिखाये बगैर पासवर्ड की सूचना को साबित करता है।
एक कदम आगे बढ़ते हुए, पासवर्ड-प्रमाणीकृत कुंजी करार (उदा. के लिए एएमपी (AMP), बी-एसपीईकेई (B-SPEKE), पीएके-जेड (PAK-Z), एसआरपी-6 (SRP-6)) के लिए संवर्धित प्रणाली टकराव और हैश आधारित प्रतिबंध दोनों को टालती है। जहां सर्वर केवल एक (हूबहू नहीं) हैश किए गए पासवर्ड जानता है और जहां अभिगम का लाभ उठाने के लिए बगैर हैश किए पासवर्ड की जरूरत होती है, वहां एक संवर्धित प्रणाली ग्राहक को पासवर्ड सूचना को सबित करने की अनुमति देती है।
आमतौर पर कोई भी प्रणाली पासवर्ड बदलने का रास्ता प्रदान करती हैं, या तो इसलिए कि उपयोगकर्ता को ऐसा लगता है कि उसके वर्तमान पासवर्ड में खतरा है (हो सकता है खतरा पैदा हो गया हो) या फिर एहतियात के तौर पर वह ऐसा करता है। अगर कोई नया पासवर्ड सिस्टम में बगैर कूट के भेजा गया हो, (उदा. के लिए वायरटेपिंग के जरिए) पासवर्ड डेटाबेस में नया पासवर्ड इंस्टॉल किए जाने से पहले सुरक्षा पर खतरा पैदा हो सकता है। अगर खतरे में डाल देनेवाले किसी कर्मचारी को नया पासवर्ड दिया जाता है, तो निश्चित रूप से थोड़ा फायदा हो जाता है। कुछ वेब साइट उपयोगकर्ता द्वारा चुने गए पासवर्ड की पुष्टि के लिए बगैर कूट के ई-मेल संदेश शामिल करते हैं, निश्चित रूप से इससे जोखिम बढ़ जाता है।
पहचान प्रबंधन प्रणालियां खो चुके पासवर्ड के लिए स्वचालित प्रतिस्थापन प्रचालन, यह विशेषता सेल्फ सर्विस पासवर्ड रीसेट (self service password reset) कहलाती है, का ज्यादा से ज्यादा उपयोग करती हैं। उपयोगकर्ता से कुछ सवाल पूछ कर और पहले से संचित किए हुए जवाब (यानि जब खाता खोला जाता है) से उनकी तुलना करके पहचान की पुष्टि करती है। इन आम सवालों में शामिल हैं: "आप कहां पैदा हुए थे?" "आपकी पसंदीदा फिल्म कौन-सी है?" या "आपके पालतू जानवर का नाम क्या है?" कई मामलों में इन सवालों के जवाब का अनुमान हमलावर द्वारा लगा लेना अपेक्षाकृत रूप से आसान हो सकते हैं, अनुसंधान के थोड़े से प्रयास पर या सामाजिक अभियंत्रिकी के जरिए इसे प्राप्त करता है और इसलिए पुष्टि की यह तकनीक पूरी तरह से संतोषजनक नहीं है। जबकि कई उपयोगकर्ताओं को पासवर्ड कभी जाहिर न करने का प्रशिक्षण दिया जाता है, कुछ ऐसी चौकसी के लिए अपने पालतू या पसंदीदा के सिनेमा के नाम पर विचार करते हैं।
"पासवर्ड एजिंग" कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को पासवर्ड बदलने के लिए अक्सर (जैसे, त्रैमासिक, मासिक या इससे अधिक बार) मजबूर करती है, इस इरादे से कि चोरी हुए पासवर्ड जल्द ही करीब-करीब अनुपयोगी हो जाएंगे. इस तरह की नीतियां आमतौर पर ज्यादा से ज्यादा टांग अड़ाने और द्वेषभाव के लिए उपयोगकर्ता को विरोध करने के लिए भड़काता है। हो सकता है उपयोगकर्ता पासवर्ड को याद रखने योग्य बनाए रखने के लिए साधारण तरह के पैटर्न विकसित करें। किसी भी मामले में, सुरक्षा लाभ साफ तौर पर सीमित होता हैं, क्योंकि हमलावर किसी पासवर्ड का अक्सर बेजा इस्तेमाल करते हैं, अगर उपयुक्त लगे तो जैसे ही खतरा महसूस हो, जो कि संभवत: बदलाव की जरूरत होने से पहले किसी भी समय होगा बदल देना चाहिए। बहुत सारे मामलों में, खासतौर पर प्रशासनिक या "रूट" एकाउंटमें, एक बार हमलावर अभिगम का लाभ उठा लेता हैं तो वह ऑपरेटिंग सिस्टम में परिवर्तन कर सकता है, जो उसे प्रारंभिक पासवर्ड, जिसका उसने इस्तेमाल किया, की तिथि समाप्त हो जाने के बाद भविष्य में अभिगम की सुविधा प्रदान करेगा। (देखें रूटकिट (Rootkit))। ऐसी नीति लागू करने में मानव कारकों पर सावधानी से विचार करने की जरूरत होती है। निजी डेटा पर अगर ईयू डेटा प्रोटेक्शन डायरेक्टिव (EU Data Protection Directive) लागू है तो इसकी जरूरत हो सकती है, क्योंकि आईटी (IT) प्रणालियों के स्वरूप के कारण पासवर्ड अभिगम की अनुमति देता है।
कभी कभी किसी उपकरण में अभिगमन को एक ही पासवर्ड नियंत्रित करता है, उदाहरण के लिए, एक नेटवर्क रूटर के लिए, या पासवर्ड से सुरक्षित मोबाइल फोन के लिए। हालांकि, एक कंप्यूटर प्रणाली में, पासवर्ड आमतौर पर प्रत्येक उपयोगकर्ता के एकाउंट को संचित करता है, इस प्रकार सभी अभिगमन पता लगाने योग्य होते हैं (निश्चित तौर पर, उपयोगकर्ताओं द्वारा पासवर्ड साझादारी के मामले में सेव (save) होते हैं)। ज्यादातर प्रणालियों में भावी उपयोगकर्ता को उसके नाम के साथ ही साथ एक पासवर्ड दिया जाना चाहिए, लगभग हमेशा ही एक एकाउंट निर्धारित समय पर और उसके बाद नियतकालिक समय पर. अगर उपयोगकर्ता पहले से संग्रहित दिए जा चुके उपयोगकर्ता के नाम से मेल खाता पासवर्ड देता है तो, उसे आगे भी कंप्यूटर सिस्टम में अभिगम करने की अनुमति मिल जाती है। कैश मशीन के लिए मामले में भी यही होता है, सिवाय उसके जिसमें आमतौर पर 'उपयोगकर्ता का नाम' बैंक खाता संख्या बैंक ग्राहक के कार्ड में संचित होता है और पिन (PIN) बहुत ही छोटा (4 से 6 अंकों का) होता है।
किसी प्रणाली में वैध उपयोगकर्ताओं द्वारा एक ही पासवर्ड का उपयोग किए जाने के लिए प्रणाली के प्रत्येक उपयोगकर्ता को अलग पासवर्ड आवंटित करना श्रेयस्कर है, निश्चित रूप से सुरक्षा के दृष्टिकोण से. यह आंशिक रूप से ऐसा इसलिए है क्योंकि उपयोगकर्ता अपना विशेष पासवर्ड बताने के बजाए साझा पासवर्ड ऐसे किसी अन्य व्यक्ति को (जो अधिकृत नहीं किया गया हो) को बताता है। एकल पासवर्ड को बदलना कम सुविधाजनक होता है, क्योंकि एक ही समय में बहुत सारे लोग बताना जरूरी हो जाता है और उनके लिए खास उपयोगकर्ता के अभिगमन को मिटाना अधिक मुश्किल हो जाता है, उदाहरण के लिए स्नातक में या पंजीकरण में होता है। अगर उपयोगकर्ता अपनी गतिविधियों के लिए जवाबदेह है तो प्रति उपयोगकर्ता के लिए अलग पासवर्ड भी आवश्यक है, जैसे कि वित्तीय लेनदेन करने या मेडिकल रिकॉर्ड देखने में होता है।
एक पासवर्ड द्वारा सुरक्षित प्रणाली की सुरक्षा को बेहतर बनाने के लिए जिन आम तकनीकों का प्रयोग किया जाता है, उनमें निम्न शामिल हैं:
कुछ और अधिक कठोर नीति लागू करने के उपायों में उपयोगकर्ताओं को पृथक कर देने का जोखिम पैदा कर सकता है, इसके परिणामस्वरूप संभवतः सुरक्षा कम हो जाती है।
हमेशा से, बहुत सारे सुरक्षा विशेषज्ञ लोगों से कहते हैं कि अपने पासवर्ड को याद कर लें, "कभी भी अपने पासवर्ड न लिखे". हाल ही में, बहुत सारे सुरक्षा विशेषज्ञ जैसे कि ब्रूस श्र्च्नेइएर ने सुझाव दिया कि लोग जिस पासवर्ड का इस्तेमाल करते हैं उन्हें याद रखना बहुत ही जटिल होता है, उन्हें कागज पर लिख लें और अपने बटुए में रखें.[14][15][16][17][18][19][20]
समय और पैसों की तरह बहुत सारी संभावनाओं को आजमाते हुए पासवर्ड को भेदने की कोशिश की अनुमति देना एक क्रूर और शक्तिशाली हमला है। इससे संबंधित विधि, ज्यादातर मामलों में कहीं अधिक प्रभावशाली है, वह है शब्दकोश हमला. एक शब्दकोश हमले में, एक या अधिक शब्दकोशों के सभी शब्दों को परखा जाता है। आम पासवर्ड की सूची भी आमतौर पर परखी जाती है।
पासवर्ड की मजबूती में एक संभावना होती है कि पासवर्ड का अनुमान लगाया या ढूंढ़ा नहीं जा सकता और कलन गणित हमले के उपयोग के साथ यह भिन्न होता है। जिन पासवर्डों को आसानी से खोज लिया जाए उसे दुर्बल या कमजोर करार दिया जाता है; जिन पासवर्डों को खोजना बहुत मुश्किल या असंभव होता है उन्हें मजबूत माना जाता हैं। पासवर्ड हमले (या यहां तक कि सिस्टम अधिकारियों द्वारा लेखा परीक्षण और पुन:प्राप्ति के अधिकारियों द्वारा भी) के लिए L0phtCrack, जॉन द रिपर और कैन जैसे बहुत सारे प्रोग्राम उपलब्ध हैं; और जिनमें से कुछ का उपयोग दक्षता में वृद्धि के लिए पासवर्ड डिजाइन की भेद्यता (जैसा कि माइक्रोसॉफ्ट लैनमैनेजर (Microsoft LANManager) सिस्टम में पाया जाता है) में होता है। इन प्रोग्रामों का उपयोग कभी-कभी सिस्टम प्रशासक के द्वारा उपयोगकर्ताओं द्वारा प्रस्तावित कमज़ोर पासवर्ड का पता लगाने के लिए किया जाता है।
कंप्यूटर प्रणालियों के उत्पादन के लिए किए गए अध्ययनों ने हमेशा से यही दिखाया है कि उपयोगकर्ता द्वारा चुने गए सभी पासवर्ड का एक बड़ा हिस्सा आसानी से स्वत: ही अनुमान लगा लिया जाता है। उदाहरण के लिए, कोलंबिया विश्वविद्यालय ने पाया कि उपयोगकर्ता के 22% पासवर्ड का पता छोटे-से प्रयास से लगाया जा सकता है।[21] 2006 में फ़िशिंग हमले के डेटा की जांच करके ब्रूस श्र्च्नेइएर ने कहा कि व्यावसायिक रूप से उपलब्ध पासवर्ड रिकवरी टूलकिट, जो कि प्रति सेकंड 200,000 पासवर्डों की जांच में सक्षम है, का इस्तेमाल करके 8 घंटे में माइस्पेस पासवर्ड का 55% तोड़नेलायक होगा। [22] उन्होंने यह भी बताया कि एक सबसे आम पासवर्ड पासवर्ड1 (password1) था, उन्होंने इसकी भी पुष्टि की कि पासवर्ड चुनने में उपयोगकर्ताओं में सामान्य सुविज्ञ चौकसी का अभाव होता है। (इन डेटा के आधार पर फिर भी उन्होंने कहा कि इन सालों में पासवर्डों की सामान्य गुणवत्ता में सुधार आया है - उदाहरण के लिए, पासवर्ड का औसतन विस्तार 8 तक अक्षर में होता है जो पिछले सर्वेक्षण में सात से कम था और 4% से कम शब्दकोश के शब्द थे।[23])
16 जुलाई 1998 को, सीईआरटी (CERT) ने एक घटना की जानकारी दी,[24] जिसमें एक घुसपैठिए ने 186,126 एकाउंट नाम उनसे संबंधित एन्क्रिप्टेड पासवर्ड के साथ एकत्रित किया। इन्हें खोजने के समय, घुसपैठिया ने पासवर्ड तोड़नेवाले टूल का इस्तेमाल करके इन पासवर्डों में से 47,642 (25.6%) अनुमान लगाया था। दिख जानेवाले पासवर्ड बहुत सारे अन्य साइटों से एकत्रित किया जाता है, इनमें से कुछ की पहचान तो हो गयी, लेकिन सब की नहीं. अब तक की यह सबसे बड़ी घटना बतायी जाती है।[कब?]
ऐसे बहुत सारे तरीके हैं जिनमें स्थायी या अर्द्ध-स्थायी पासवर्ड अन्य तकनीकों के विकास में सहायता के लिए समझौता कर सकते है। दुर्भाग्य से, अभ्यास में कुछ अपर्याप्त होते हैं और किन्हीं मामले में और अधिक सुरक्षित विकल्प चाहनेवाले उपयोगकर्ताओं के लिए कुछ हर जगह उपलब्ध होते हैं।[उद्धरण चाहिए]
वेबसाइटों पर इस्तेमाल किए जानेवाले पासवर्ड उपयोगकर्ताओं को प्रमाणीकृत करते हैं और आमतौर पर वेब सर्वर पर पोषित होते हैं, आशय यह है कि दूरस्थ प्रणाली पर ब्राउजर सर्वर (एचटीटीपी पोस्ट (HTTP POST) द्वारा) पासवर्ड भेजता है, सर्वर पासवर्ड की जांच करता है और वापस प्रासंगिक सामग्री भेजता है (या अभिगमन को अस्वीकार करने का संदेश भेजता है)। यह प्रक्रिया स्थानीय रिवर्स इंजीनियरिंग (reverse engineering) की संभावना को रद्द कर देता है, क्योंकि पासवर्ड के प्रमाणीकरण के लिए जिस कोड का इस्तेमाल होता है वह स्थानीय मशीन में नहीं होता है।
ब्राउज़र के माध्यम से सादे टेक्स्ट में पासवर्ड का प्रेषण का मतलब सर्वर में यात्रा के बीच में ही इसे रोक लिया जा सकता है। बहुत सारी वेब प्रमाणीकरण प्रणालियां ब्राउजर और सर्वर के बीच में एन्क्रिप्टेड सत्र स्थापित करने के लिए एसएसएल (SSL) का उपयोग करती है, आमतौर पर इसका निहितार्थ "सुरक्षित वेब साइट" का दावा करना होता है। ब्राउजर द्वारा यह स्वत: ही होता है और सत्र की पूर्णता में यह वृद्धि करता है, अंत को जोखिम भरा न मानते हुए इस्तेमाल होनेवाला एसएसएल/टीएलएस (SSL/TLS) कार्यान्वयन उच्च गुणवत्तावाला होता है।
तथाकथित वेबसाइट पासवर्ड और सदस्यता प्रबंधन प्रणालियां अक्सर ग्राहक के पक्ष (जिसका अर्थ आगंतुक का वेब ब्राउजर है) में मौजूद जावा या जावास्क्रिप्ट कोड एचटीएमएल (HTML) स्रोत कोड (उदाहरण के लिए ऑटोप्ले (AuthPro)) से जुड़ा होता है। ब्राउजर में जावास्क्रिप्ट और मेटा पुनर्निर्देश के स्विच को बंद करके सुरक्षा को आसानी से दरकिनार कर देना ऐसी प्रणालियों की कमियां होती हैं, फलस्वरूप सुरक्षित वेब पेज तक पहुंचना संभव हो जाता है। जबकि सर्वर पर प्रमाणीकृत उपयोगकर्ता के लिए ब्राउजर को स्रोत कोड प्रदान करने से पहले दूसरे वेबसाइट सर्वर पक्ष के स्क्रिप्टिंग भाषा जैसे कि एएसपी (ASP) या पीएचपी (PHP) का लाभ लेते हैं।
पासवर्ड या संकेतशब्द का इस्तेमाल प्राचीन काल से किया गया है। रोमन सेना में संकेत शब्दों का वितरण की प्रणाली का वर्णन पॉलीबिअस ने इस प्रकार किया है:
सैन्य उपयोग के पासवर्डों में न केवल पासवर्ड शामिल होते हैं, बल्कि पासवर्ड के साथ एक प्रति पासवर्ड भी होते हैं, उदाहरण के तौर पर नोरमैंडी युद्ध के पहले दिन यू.एस. (U.S.) के 101वें एयरबोर्न डिवीजन पैराट्रूपरों ने जिस पासवर्ड का उपयोग किया था वह था - "थंडर" - जिसे चुनौति के रूप में पेश किया गया था और सही प्रतिक्रिया के साथ इसका जवाब था - "फ्लैश". चुनौती और प्रतिक्रिया समय-समय पर बदला जाता था। अमेरिकी पैराट्रूपर्स डी-डे (D-Day) में पासवर्ड प्रणली के इस्तेमाल के बजाए एक उपकरण जो "क्रिकेट" (cricket) के रूप में जाना जाता है, जो कि अस्थायी तौर पर पहचान की अनूठी पद्धति के रूप में इसके इस्तेमाल के लिए भी मशहूर हैं, इसमें पासवर्ड के एवज में धातु का बना एक क्लिक दिया जाता है, जवाब में दो क्लिक मिलाना होता था।[32]
कंप्यूटर के साथ पासवर्ड का इस्तेमाल कंप्यूटिंग के प्रारंभिक दिनों से ही हो रहा है। प्रणाली को साझा करने के लिए एमआईटी'एस (MIT's) सीटीएसएस (CTSS) को 1961 में पहली बार शुरू किया गया था। इसमें एक लॉगिन (LOGIN) कमांड था जो उपयोगकर्ता से पासवर्ड डालने का अनुरोध करता था। "पासवर्ड टाइप करने के बाद, प्रणाली अगर संभव हुआ तो मुद्रण तंत्र को बंद कर देती है, ताकि उपयोगकर्ता अपने पासवर्ड को गोपनीयता के साथ टाइप कर सके."[33] हैश में लॉगिन पासवर्ड को संग्रहहित करने के विचार का आविष्कार रॉबर्ट मॉरिस ने यूनिक्स ऑपरेटिंग प्रणाली के भाग के रूप में किया। उनके कलन गणित, जो कि क्रिप्ट (3) (crypt(3)) के रूप में जाता जाता है़, ने 12 बीट सॉल्ट का उपयोग किया और गणना के पूर्व शब्दकोश हमले के खतरे को कम करने के लिए डीईएस (DES) कलन गणित को 25 बार संशोधित किया।
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
