पासवर्ड (पारण शब्द)

मुक्त ज्ञानकोश विकिपीडिया से
यहाँ जाएँ: भ्रमण, खोज

पासवर्ड एक गुप्त शब्द है या संकेताक्षरों की लड़ी है जिसका प्रयोग किसी संसाधन तक पहुंच के लिए या पहचान साबित करने के लिए बतौर प्रमाणीकरण किया जाता है (उदाहरण: कोई प्रवेश या एक्सेस कोड पासवर्ड का एक प्रकार है). पासवर्ड को उनसे गुप्त रखा जाना चाहिए जिन्हें उसके उपयोग की अनुमति नहीं है.

पासवर्ड के उपयोग को प्राचीन माना जाता है. किसी क्षेत्र विशेष में प्रवेश करने के इच्छुक व्यक्तियों या उसके करीब आने वालों को संतरी चुनौती देते हुए उनसे पासवर्ड या वाचवर्ड की मांग किया करते थे. संतरी सिर्फ उसी व्यक्ति या समूह को अनुमति देते हैं, जिन्हें पासवर्ड मालूम होता है. आधुनिक काल में, लोगों द्वारा उपयोगकर्ता के नाम और पासवर्ड का उपयोग आम तौर पर संरक्षित कंप्यूटर ऑपरेटिंग सिस्टम में लॉगिन प्रक्रिया के दौरान, मोबाइल फोन, केबल टीवी डिकोडर्स (decoders), ऑटोमेटेड टेलर मशीन (एटीएमों (ATMs)) आदि में नियंत्रित प्रवेश पाने के लिए किया जाता है. एक आम कंप्यूटर उपयोगकर्ता को अनेक कामों के लिए पासवर्ड की जरूरत पड़ सकती है: कंप्यूटर विवरणी में प्रवेश के लिए, सर्वर से ई-मेल वापस पाने के लिए, कार्यक्रमों तक पहुंच बनाने के लिए, आंकडा संचय, नेटवर्क, वेब साईट और यहां तक कि सुबह का अखबार ऑनलाइन पढने के लिए.

नाम के बावजूद, पासवर्ड के लिए वास्तविक शब्द होने की कोई जरूरत नहीं है; दरअसल वास्तविक शब्द नहीं होते, उनका अनुमान लगाना कठिन हो सकता है, यह एक काम्य सामग्री हो सकती है. कुछ पासवर्ड का गठन अनेक शब्दों से होता है और इसे सटीक रूप से पासफ्रेज (कूटशब्द) नहीं कहा जा सकता. कभी-कभी पासकोड शब्द का प्रयोग किया जाता है जब गुप्त सूचना अंक में हो, जैसे कि पर्सनल आइडेंटीफिकेशन नंबर (पिन (PIN)) जिसका उपयोग आम तौर पर एटीएम (ATM) अभिगमन के लिए होता है. पासवर्ड आम तौर पर छोटे हुआ करते हैं ताकि आसानी से याद रखा जा सके.

एक कम्प्यूटिंग उपकरण के किसी दूसरे में और अधिक अकाट्य पहचान के प्रमाणीकरण के उद्देश्य के लिए, सत्यापन प्रणाली के क्रिप्टोग्राफ़िक प्रोटोकॉल (cryptographic protocols), जो कि गतिरोध पैदा करने में कहीं अधिक कठिन होता है, पर निर्भर रहने से पासवर्ड के विशिष्ट नुकसान हैं (उनकी चोरी, जासूसी हो सकती है, भूल सकते हैं आदि).

अनुक्रम

याद रखने में आसान, अनुमान लगाने में कठिन[संपादित करें]

आमतौर पर मालिक द्वारा याद रखने में आसान पासवर्ड का अर्थ किसी हमलेवर के लिए अनुमान लगाने में आसान होना होगा.[1] याद रखने में कठिन पासवर्ड से प्रणाली की सुरक्षा में कमी हो आ जाएगी; क्योंकि (क) उपयोगकर्ता अपना पासवर्ड कहीं लिख ले या इलेक्ट्रॉनिक रूप से उसका संग्रह कर ले, (ख) उपयोगकर्ता को लगातार अपना पासवर्ड बदलना पडेगा और (ग) बहुत संभव है कि उपयोगकर्ता अपना वही पासवर्ड फिर से इस्तेमाल करे. इसी तरह, पासवर्ड की मजबूती के लिए जो बहुत ही जरूरी चीज है, वह है उदा. के लिए "अपरकेस और लोअरकेस के वर्ण और अंक का मिलाजुला रूप" या "हर महीने बदलाव", जिसे उपयोगकर्ता जितने बड़े पैमाने पर करेगा, प्रणाली की सुरक्षा उतनी ही कम हो जाएगी.[2]

द मेमोरेबलिटी एण्ड सिक्युरिटी ऑफ पासवर्ड (The Memorability and Security of Passwords) [3] में जेफ यान एट अल. उपयोगकर्ताओं के पासवर्ड के अच्छे विकल्प पर दिए गए सलाह के प्रभाव की जांच करते हैं. उन्होंने पाया कि पासवर्ड सोचे गए एक वाक्यांश पर आधारित था और हरेक शब्द का पहला वर्ण याद रखने लायक लिया गया, क्योंकि सहजता के साथ पासवर्ड चुना गया था, और उसे तोड़ना कठिन होता है क्योंकि पासवर्ड अंधाधुंध बाहर निकलता था. असंबंधित दो शब्दों का मेल एक दूसरा अच्छा तरीका है. दुरूह पासवर्ड बनाने के लिए निजी तौर पर "कलन गणित" (algorithm) डिजाइन करना भी एक अन्य अच्छा तरीका है.

हालांकि, उपयोगकर्ताओं को "अपरकेस और लोअरकेस से मिलाजुला" पासवर्ड याद रखने के लिए कहा जाए तो उन्हें बीट के क्रम को याद रखने के लिए कहने के सामान है: याद रखना कठिन है, और उससे कहीं कठिन उन्हें तोड़ना है (उदा. के लिए 7 अक्षरों के पासवर्ड को तोड़ना 128 गुणा कठिन होता है, अगर उपयोगकर्ता केवल पहले अक्षर को बड़ा रखता है तो आसान है). उपयोगकर्ताओं "अक्षर और अंक दोनों" का उपयोग करने के लिए कहा जाए तो अक्सर प्रतिस्थापनाओं का अनुमान लगाना आसान हो जाता है, जैसे 'ई' (E) -> '3' और 'आई (I)' -> '1' का प्रतिस्थापन, जिसे हमलावर अच्छी तरह जानते हैं. इसी तरह कुंजीपटल के ऊपर की एक पंक्ति को पासवर्ड की तरह टाइप करना भी हमलावरों की बहुत ही आम ज्ञात चाल है.

पासवर्ड सिस्टम में सुरक्षा के कारक[संपादित करें]

किसी पासवर्ड की सुरक्षित प्रणाली की सुरक्षा कई कारकों पर निर्भर करता है. निश्चित तौर पर, कंप्यूटर वायरस से बचाव समेत मैन-इन-द मीडिल अटैक (man-in-the-middle attacks) में या इस जैसे से ही समग्र प्रणाली को उम्दा सुरक्षा के तौर पर डिजाइन किया जाना जरूरी है. डरा-धमका कर शोल्डर सर्फिंग (shoulder surfing) से लेकर परिष्कृत भौतिक खतरे जैसे कि वीडियो कैमरा और कीबोर्ड स्निफर (keyboard sniffers), जैसे भौतिक सुरक्षा मुद्दे भी चिंता के विषय हैं. और निश्चित तौर पर पासवर्ड इस तरह के चुना जाने चाहिए कि किसी हमलावर के लिए उसका अंदाज लगा पाना कठिन हों और हमलावर के लिए किसी (और सभी) उपलब्ध स्वचालित हमले की युक्तियों (स्कीमों) का इस्तेमाल कर उसे ढूंढ़ना कठिन हो. पासवर्ड की मजबूती, कंप्यूटर सुरक्षा और कंप्यूटर की असुरक्षा को ध्यान में रखें.

आजकल पासवर्ड को टाइप करते ही इसका छिप जाना किसी भी कंप्यूटर सिस्टम के लिए एक आम बात है. दरअसल इस उपाय के उद्देश्य बाजू में खड़े शख्स से पासवर्ड को पढ़ लेने से बचाना है. हालांकि, कुछ लोगों का तर्क है कि इससे हो सकता है गलतियां हो जाएं और यह तनाव पैदा कर सकती है, उपयोगकर्ता को यह आसान पासवर्ड चुनने के लिए प्रोत्साहित करें. वैकल्पिक रूप से, उपयोगकर्ताओं जब वे उन्हें टाइप करें तो उनके पास दिखाने या छिपाने का विकल्प होना चाहिए.[4]

प्रभावी अभिगम नियंत्रण में प्रावधान हो सकता है ऐसे अपराधियों जो पासवर्ड या बायोमैट्रिक टोकन हासिल करना चाहने वाले अपराधियों के लिए चरम उपाय किए जाएं.[5] कम चरम उपायों जिसमें जबरन वसूली, रबर होज क्रिप्टएनालिसिस (rubber hose cryptanalysis) और पार्श्व चैनल हमला अपेक्षाकृत कम चरम उपाय हैं.

यहां पासवर्ड प्रबंधन के कुछ विशिष्ट मुद्दे दिए जा रहे हैं, पासवर्ड चुनने या उनका संचालन करते समय ध्यान से इन पर विचार दिया जाना जरूरी है.

किस हद तक एक हमलावर पासवर्ड का अनुमान लगाने की कोशिश कर सकता है[संपादित करें]

एक हमलावर किस हद तक पासवर्ड का अंदाज लगाकर प्रणाली में डाल सकता है, प्रणाली की सुरक्षा निर्धारण में यह एक महत्वपूर्ण कारक है. एक छोटी-सी गिनती (उदा. के लिए तीन) तक पासवर्ड डालने की कोशिश की असफलता के बाद कुछ प्रणालियां कुछेक सेकंड का निधारित समय अधिरोपित करती है. अन्य कमजोरियों के अभाव में, अगर पासवर्ड अच्छे से चुने जाएं और उनका अंदाज लगाना आसान न हो तो ऐसे प्रणाली अपेक्षाकृत सरल पासवर्ड को प्रभावी रूप से सुरक्षित कर सकती हैं.[6]

कई प्रणालियां पासवर्ड की क्रिप्टोग्राफिक हैश (cryptographic hash) को इस तरह से संचित करते हैं कि हैश के मान को हमलावर के लिए सुलभ बना देता है. जब यह हो जाता है, और यह बहुत ही आम है तब हमलावर ऑफ-लाइन काम कर सकता है, व्यक्ति के पासवर्ड के बदले असली पासवर्ड के हैश के मान की तेजी से जांच करता है. क्रिप्टोग्राफ़िक कुंजियां (उदा. के लिए डिस्क एन्क्रिप्शन (disk encryption) या वाई-फाई (Wi-Fi) सुरक्षा) तैयार करने के लिए जिस पासवर्ड का उपयोग किया जाता है, बड़े हद तक उनका अनुमान लगाया जा सकता है. आम पासवर्ड की सूची व्यापक रूप से उपलब्ध हैं, जो बहुत ही कुशलता से पासवर्ड हमला कर सकता हैं. (देखें पासवर्ड क्रैकिंग) इन स्थितियों में सुरक्षा पर्याप्त जटिल पासवर्ड या पासफ्रेज के इस्तेमाल पर निर्भर करती है, ऐसे अभिकलनात्मक जटिलता वाले हमले हमलावर के लिए अव्यवहारिक होते हैं. कुछ प्रणालियां, जैसे पीजीपी (PGP) और वाई-फाई डबल्युपीए (Wi-Fi WPA) ऐसे हमलों में पासवर्ड को धीमा करने के लिए गहन अभिकलन हैश लागू करती हैं. देखें की स्ट्रेंगक्थनिंग (key strengthening).

संचित पासवर्ड के प्रकार[संपादित करें]

कुछ कंप्यूटर प्रणालियां उपयोगकर्ता के लॉग ऑन प्रयत्नों की तुलना में उपयोगकर्ता के पासवर्डों को क्लियर टेक्स्ट (cleartext) के रूप में संचित करती है. अगर हमलावर ऐसे आंतरिक पासवर्ड संग्रह को प्राप्त कर लेने में कामयाब हो जाता है तो सभी पासवर्ड - और इस कारण सभी उपयोगकर्ता के खाते - खतरे में पड़ जाएंगे. अगर कोई उपयोगकर्ता विभिन्न प्रणालियों के लिए एक ही पासवर्ड डालता हैं तो उन पर भी खतरा होगा.

अधिक सुरक्षित प्रणालियां हरेक पासवर्ड का बचाव क्रिप्टोग्राफी तरीके से करती है ताकि असली पासवर्ड को प्राप्त कर पाना ऐसे ठग के लिए कठिन होता है, जो प्रणाली के आंतरिक अभिगम को प्राप्त कर लेता है, लेकिन उपयोगकर्ता के अभिगमन प्रयत्न की मान्यता फिर भी संभव होती है.

एक सामान्य दृष्टिकोण केवल सामान्य टेक्स्ट (plaintext) को "हैश्ड" (hashed) के रूप में संचित करती है. जब उपयोगकर्ता ऐसी प्रणाली पर पासवर्ड में टाइप करता है, तो पासवर्ड प्रबंधन सॉफ्टवेयर क्रिप्टोग्राफिक हैश कलन गणित के माध्यम से चलता है, और अगर उपयोगकर्ता की प्रविष्टि से निकले हैश का मान पासवर्ड डेटाबेस में संचित हैश से मेल खाता है तो उपयोगकर्ता को अभिगम की अनुमति मिल जाती है. हैश प्रकार्य को लागू हैश का मान डाले गए पासवर्ड को शामिल किए गए एक लड़ी में निर्मित किया जाता है (हमले से अधिकतम बचाव के लिए यह क्रिप्ट्रोग्राफिक हैश प्रकार्य होना चाहिए) और आमतौर पर अन्य मान सॉल्ट के रूप में जाना जाता है. सॉल्ट सामान्य पासवर्ड के लिए हैश मान की सूची आसानी से तैयार करने से हमलावरों को रोकता है. एमडी5 (MD5) और एसएचए1 (SHA1) क्रिप्टोग्राफिक हैश प्रकार्य का अक्सर इस्तेमाल किया करते हैं.

डीईएस (DES) कलन गणित (कलन गणित) के एक संशोधित संस्करण का इस्तेमाल इस उद्देश्य के लिए शुरू-शुरू में यूनिक्स (Unix) प्रणाली में किया गया था. आगे भी निराशायुक्त स्वचालित अनुमान के हमले में हैश के प्रकार्य को धीमा करने के लिए यूनिक्स डीईएस (UNIX DES) के कार्य को दोहराया गया था, और प्रत्याशी के पासवर्ड को एन्क्रिप्ट एक निश्चित मान की कुजी के रूप में उपयोग किया गया, इस प्रकार पासवर्ड छिपाने की प्रणाली पर एक और हमले को अवरुद्ध किया गया. संचित पासवर्ड फाइलों पर हमले को रोकने या विफल करने के लिए अभी हाल ही में यूनिक्स या यूनिक्स जैसी प्रणालियां (जैसे कि लिनक्स या विभिन्न तरह के बीएसडी (BSD) प्रणालियां) एमडी5 (MD5), एसएचए1 (SHA1), आधारित ब्लोफिश, टूफिश या विभिन्न तरह के अन्य कलन गणित में से किसी का जिसे आज भी कहीं अधिक प्रभावी रक्षात्मक तंत्र माना जाता है, का उपयोग किया गया.[7]

अगर हैश प्रकार्य को अच्छी तरह डिजाइन किया गया तो सीधे तौर पर सामान्य टेक्स्ट पासवर्ड को खोजने के लिए इसे पलटा जाए तो अभिकलनात्मक जटिलता के कारण यह अव्यवहारिक हो जाएगा. हालांकि, कई प्रणालियां अपने हैश पासवर्ड की पर्याप्त रूप से रक्षा नहीं करती हैं, और अगर कोई हमलावर हैश के मान का अनुमान लगा लेता है तो वह शब्दकोश (इंटरनेट पर बहुत सारे उपलब्ध है) जैसे उपलब्ध टूल, जो कुछ सूची के हरेक शब्द के एन्क्रिप्टेड (encrypted) नतीजे की तुलना करते है, का इस्तेमाल व्यापक रूप से कर सकता है. चूंकि ये सॉफ्टवेयर प्रोग्रामों हैं, इसीलिए आम विभिन्नताओं की आजमाइश के लिए बहुत सारी भाषाओं में संभावित पासवर्ड की लंबी सूची व्यापक रूप से इंटरनेट पर उपलब्ध हैं. इन शब्दकोशों पर हमले के उपकरणों का अस्तित्व उपयोगकर्ता के पासवर्ड विकल्प को बाधित करता है, जिनका आशय आसान हमले को रोकना होता है, और ऐसी सूची में वे मिलनेवाले नहीं होने चाहिए. जाहिर है, पासवर्ड के रूप में ऐसी सूचियों पर शब्द से बचा जाना चाहिए. यह खतरा कम करने के लिए पीबीकेडीएफ2 (PBKDF2) जैसे कि स्ट्रेचिंग (key stretching) हैश के उपयोग को डिजाइन किया गया है.

मजबूत पासवर्ड चुनने के बाद भी असंतोषजनक तरीके से डिजाइन किया गया हैश प्रकार्य हमलों को संभव बनाता है. व्यापक रूप से काम पर लगाए गए और असुरक्षित उदाहरण के लिए एलएम (LM) हैश को देखें.[8]

एक नेटवर्क पर पासवर्ड पुष्टि के तरीके[संपादित करें]

किसी नेटवर्क सेटिंग में पेश किए गए पासवर्ड की पुष्टि के लिए विभिन्न तरीकों का इस्तेमाल किया जाता है:

पासवर्ड का सरल प्रेषण[संपादित करें]

प्रमाणीकरण के लिए मशीन में या किसी व्यक्ति को प्रेषित किया जाता है तो पासवर्ड में अंतरावरोधन (यानी "जासूसी") के खतरे होते हैं, जबकि यह सत्यापन मशीन या व्यक्ति को प्रेषित किया जा रहा है. अगर असुरक्षित बाह्य तारों से उपयोगकर्ता के अभिगम बिंदु तक पासवर्ड विद्युतीय संकेत के रूप में जाता है और केंद्रीय प्रणाली पासवर्ड डेटाबेस को नियंत्रित करती है तो वायरटेपिंग (wiretapping) पद्धति के जरिए जासूसी का खतरा होता है. अगर यह डेटा पैकेट के रूप में इंटरनेट पर वहन किया जाता है तो पैकेटों में बंद लॉगिन जानकारियों को कोई भी देखने में सक्षम होकर बहुत ही क्षीण संभावना के साथ जासूसी कर सकता है.

कभी-कभी ईमेल का इस्तेमाल पासवर्ड वितरित करने के लिए किया जाता है. चूंकि ज्यादातर ईमेल क्लियर टेक्स्ट (cleartext) के रूप में भेजे जाते है, भेजे जाने के दौरान घात लगाये हुए किसी शख्स के लिए बगैर प्रयास के यह उपलब्ध हो जाता है. इसके अलावा, ईमेल कम से कम दो कंप्यूटर पर - प्रेषक और प्राप्तकर्ता के - क्लियर टेक्स्ट के रूप में संचित होता है. अगर इसे मध्यवर्ती प्रणालियों के माध्यम से गुजरा जाता है तो अपनी यात्रा के दौरान संभवत: यह उनमें संचित होता है, कम से कम कुछ समय के लिए. इन सभी कमजोरियों से ईमेल को नष्ट करने के प्रयास सफल हो सकते है या नहीं भी हो सकते हैं, विभिन्न प्रणालियों के बैकअप्स (backups), हिस्ट्री फाइल्स (history files) या कैशेज (caches ) में ई-मेल फिर भी रह सकता है. वास्तव में उन प्रणालियों में से हरेक की पहचान मुश्किल हो सकती है. ईमेल किए गए पासवर्ड आम तौर पर असुरक्षित वितरण का एक तरीका है.

पासवर्ड के क्लियर टेक्स्ट के प्रेषण का एक उदाहरण मौलिक विकिपीडिया (Wikipedia) वेबसाइट है. जब आप विकिपीडिया एकाउंट लॉग इन करते हैं, आपके यूजरनेम और पासवर्ड को क्लियर टेक्स्ट के रूप में आपके कंप्यूटर ब्राउजर से इंटरनेट के माध्यम से भेजा जाता है. सैद्धांतिक रूप में, पारगमन के दौरान उन्हें कोई भी पढ़ सकता है और उसके बाद आपके एकाउंट में आपकी की तरह प्रवेश कर सकता है; आपकी तरफ से इस तरह के हमलावरों में अंतर करने का विकिपीडिया के सर्वर के पास कोई रास्ता नहीं है. व्यावहारिक रूप में, कोई अनजाना-सा अपेक्षाकृत बड़ी संख्या यह अच्छी तरह कर सकती है (उदा. स्वरूप आपको इंटरनेट सेवा प्रदान करनेवाले के कर्मचारी किसी भी प्रणाली, जिससे होकर ट्रैफिक गुजरती है आदि के जरिए यह कर सकता है). हाल ही में, विकिपीडिया ने सुरक्षित लॉगिन विकल्प का प्रस्ताव दिया है, जो बहुत सारे ई-कॉमर्स साइटों जैसे ही हैं, क्लियर टेक्स्ट प्रेषण को रद्द करने के लिए प्रोटोकॉल आधारित एसएसएल (SSL) / (टीएलएस (TLS)) क्रिप्टोग्राफी का इस्तेमाल करता है. लेकिन, चूंकि विकिपीडिया में कोई भी (इसमें लॉगिन किए बगैर) अभिगम कर सकता है और फिर अनिवार्य रूप से सभी लेख को संपादित कर सकता है, यह तर्क दिया जा सकता है कि इन प्रेषणों को एन्क्रिप्ट करने की थोड़ी-बहुत आवश्यकता है क्योंकि इसे थोड़ा-बहुत ही संरक्षित रखा जाता है. अन्य वेबसाइट (जैसे कि बैंकों और वित्तीय संस्थाओं के) में बिल्कुल अलग किस्म की सुरक्षा की आवश्यकता है, और किसी चीज का क्लियर टेक्स्ट का प्रेषण उन संदर्भों में स्पष्ट रूप से असुरक्षित है.

ग्राहक पक्ष के एन्क्रिप्शन (encryption) का उपयोग करके मेल का प्रबंधन करनेवाली प्रणाली का सर्वर केवल ग्राहक के मशीन में सुरक्षित प्रेषण करेगा. पिछला या बाद में भेजा गया ईमेल संरक्षित नहीं होगा और ईमेल बहुत सारे कंप्यूटरों में संग्रहहित किया जाना संभव होगा, निश्चित तौर पर भेजे गए और प्राप्त करनेवाले कंप्यूटर पर, ज्यादातर क्लियर टेक्स्ट में.

एन्क्रिप्टेड चैनल के माध्यम से प्रेषण[संपादित करें]

इंटरनेट पर भेजे गए पासवर्ड के अवरोधन के जोखिम को, अन्य दृष्टिकोण में, क्रिप्टोग्राफी सुरक्षा का उपयोग करके कम किया जा सकता है. व्यापक रूप से ट्रांसपोर्ट लेयर सिक्युरिटी (Transport Layer Security) (टीएलएस (TLS) पहले यह एसएसएल (SSL) कहलाता था) का प्रयोग किया जाता है, ज्यादातर इंटरनेट ब्राउजरों (browsers) में इस विशेषता का निर्माण किया गया है. जब टीएलएस (TLS) का उपयोग हो रहा होता है तो ज्यादातर ब्राउज़र टीएलएस/एसएसएल (TLS/SSL) के उपयोगकर्ता को क्लोज्ड लॉक आइकॉन के जरिए या कुछ अन्य संकेत से सुरक्षित आदान-प्रदान के लिए चेतावनी देते हैं. अन्य बहुत सारे तकीनक का उपयोग होता है, देखें क्रिप्टोग्राफी (cryptography).

हैश आधारित चुनौती-प्रतिक्रिया के तरीके[संपादित करें]

दुर्भाग्य से, संचित हैश-पासवर्ड और हैश आधारित चुनौती-प्रतिक्रिया के प्रमाणीकरण के बीच टकराव होता है; बाद वाले को ग्राहक की जरूरत होती है यह साबित करने के लिए कि सर्वर को क्या गोपनीय (अर्थात् पासवर्ड) साझा किया गया उसे इसकी जानकारी है; और यह करने के लिए सर्वर को साझा रहस्य को अपने संग्रह से बाहर निकालने में सक्षम होना होगा. सुदूर से प्रमाणीकरण करनेवाले बहुत सारी प्रणालियों (यूनिक्स-जैसी प्रणालियों समेत) में साझा रहस्य का आमतौर कत्लेआम हो जाता हैं और ऑफलाइन अनुमान लगाने वाले हमलों में पासवर्ड उजागर होने पर भारी प्रतिबंध लग जाता है. इसके अतिरिक्त, जब हैश का एक साझा रहस्य के रूप में प्रयोग किया जाता है, तब हमलावर को मौलिक पासवर्ड के दूरस्थ प्रमाणीकरण की जरूरत नहीं रह जाती है, उसे केवल हैश की जरूरत होती है.

शून्य-सूचना पासवर्ड प्रमाण[संपादित करें]

पासवर्ड के प्रेषण या पासवर्ड के हैश का प्रेषण के बजाए, पासवर्ड प्रमाणीकृ‍त कुंजी करार प्रणाली शून्य-सूचना पासवर्ड सबूत का काम कर सकती है, जो इसे दिखाये बगैर पासवर्ड की सूचना को साबित करता है.

एक कदम आगे बढ़ते हुए, पासवर्ड-प्रमाणीकृत कुंजी करार (उदा. के लिए एएमपी (AMP), बी-एसपीईकेई (B-SPEKE), पीएके-जेड (PAK-Z), एसआरपी-6 (SRP-6)) के लिए संवर्धित प्रणाली टकराव और हैश आधारित प्रतिबंध दोनों को टालती है. जहां सर्वर केवल एक (हूबहू नहीं) हैश किए गए पासवर्ड जानता है और जहां अभिगम का लाभ उठाने के लिए बगैर हैश किए पासवर्ड की जरूरत होती है, वहां एक संवर्धित प्रणाली ग्राहक को पासवर्ड सूचना को सबित करने की अनुमति देती है.

पासवर्ड बदलने की प्रक्रियाएं[संपादित करें]

आमतौर पर कोई भी प्रणाली पासवर्ड बदलने का रास्ता प्रदान करती हैं, या तो इसलिए कि उपयोगकर्ता को ऐसा लगता है कि उसके वर्तमान पासवर्ड में खतरा है (हो सकता है खतरा पैदा हो गया हो) या फिर एहतियात के तौर पर वह ऐसा करता है. अगर कोई नया पासवर्ड सिस्टम में बगैर कूट के भेजा गया हो, (उदा. के लिए वायरटे‍पिंग के जरिए) पासवर्ड डेटाबेस में नया पासवर्ड इंस्टॉल किए जाने से पहले सुरक्षा पर खतरा पैदा हो सकता है. अगर खतरे में डाल देनेवाले किसी कर्मचारी को नया पासवर्ड दिया जाता है, तो निश्चित रूप से थोड़ा फायदा हो जाता है. कुछ वेब साइट उपयोगकर्ता द्वारा चुने गए पासवर्ड की पुष्टि के लिए बगैर कूट के ई-मेल संदेश शामिल करते हैं, निश्चित रूप से इससे जोखिम बढ़ जाता है.

पहचान प्रबंधन प्रणालियां खो चुके पासवर्ड के लिए स्वचालित प्रतिस्थापन प्रचालन, यह विशेषता सेल्फ सर्विस पासवर्ड रीसेट (self service password reset) कहलाती है, का ज्यादा से ज्यादा उपयोग करती हैं. उपयोगकर्ता से कुछ सवाल पूछ कर और पहले से संचित किए हुए जवाब (यानि जब खाता खोला जाता है) से उनकी तुलना करके पहचान की पुष्टि करती है. इन आम सवालों में शामिल हैं: "आप कहां पैदा हुए थे?" "आपकी पसंदीदा फिल्म कौन-सी है?" या "आपके पालतू जानवर का नाम क्या है?" कई मामलों में इन सवालों के जवाब का अनुमान हमलावर द्वारा लगा लेना अपेक्षाकृत रूप से आसान हो सकते हैं, अनुसंधान के थोड़े से प्रयास पर या सामाजिक अभियंत्रिकी के जरिए इसे प्राप्त करता है और इसलिए पुष्टि की यह तकनीक पूरी तरह से संतोषजनक नहीं है. जबकि कई उपयोगकर्ताओं को पासवर्ड कभी जाहिर न करने का प्रशिक्षण दिया जाता है, कुछ ऐसी चौकसी के लिए अपने पालतू या पसंदीदा के सिनेमा के नाम पर विचार करते हैं.

पासवर्ड का स्थायित्व[संपादित करें]

"पासवर्ड एजिंग" कुछ ऑपरेटिंग सिस्टम की एक विशेषता है जो उपयोगकर्ताओं को पासवर्ड बदलने के लिए अक्सर (जैसे, त्रैमासिक, मासिक या इससे अधिक बार) मजबूर करती है, इस इरादे से कि चोरी हुए पासवर्ड जल्द ही करीब-करीब अनुपयोगी हो जाएंगे. इस तरह की नीतियां आमतौर पर ज्यादा से ज्यादा टांग अड़ाने और द्वेषभाव के लिए उपयोगकर्ता को विरोध करने के लिए भड़काता है. हो सकता है उपयोगकर्ता पासवर्ड को याद रखने योग्य बनाए रखने के लिए साधारण तरह के पैटर्न विकसित करें. किसी भी मामले में, सुरक्षा लाभ साफ तौर पर सीमित होता हैं, क्योंकि हमलावर किसी पासवर्ड का अक्सर बेजा इस्तेमाल करते हैं, अगर उपयुक्त लगे तो जैसे ही खतरा महसूस हो, जो कि संभवत: बदलाव की जरूरत होने से पहले किसी भी समय होगा बदल देना चाहिए. बहुत सारे मामलों में, खासतौर पर प्रशासनिक या "रूट" एकाउंटमें, एक बार हमलावर अभिगम का लाभ उठा लेता हैं तो वह ऑपरेटिंग सिस्टम में परिवर्तन कर सकता है, जो उसे प्रारंभिक पासवर्ड, जिसका उसने इस्तेमाल किया, की तिथि समाप्त हो जाने के बाद भविष्य में अभिगम की सुविधा प्रदान करेगा. (देखें रूटकिट (Rootkit)). ऐसी नीति लागू करने में मानव कारकों पर सावधानी से विचार करने की जरूरत होती है. निजी डेटा पर अगर ईयू डेटा प्रोटेक्शन डायरेक्टिव (EU Data Protection Directive) लागू है तो इसकी जरूरत हो सकती है, क्योंकि आईटी (IT) प्रणालियों के स्वरूप के कारण पासवर्ड अभिगम की अनुमति देता है.

प्रति पासवर्ड उपयोगकर्ताओं की संख्या[संपादित करें]

कभी कभी किसी उपकरण में अभिगमन को एक ही पासवर्ड नियंत्रित करता है, उदाहरण के लिए, एक नेटवर्क रूटर के लिए, या पासवर्ड से सुरक्षित मोबाइल फोन के लिए. हालांकि, एक कंप्यूटर प्रणाली में, पासवर्ड आमतौर पर प्रत्येक उपयोगकर्ता के एकाउंट को संचित करता है, इस प्रकार सभी अभिगमन पता लगाने योग्य होते हैं (निश्चित तौर पर, उपयोगकर्ताओं द्वारा पासवर्ड साझादारी के मामले में सेव (save) होते हैं). ज्यादातर प्रणालियों में भावी उपयोगकर्ता को उपयोगकर्ता को उसके नाम के साथ ही साथ एक पासवर्ड दिया जाना चाहिए, लगभग हमेशा ही एक एकाउंट निर्धारित समय पर और उसके बाद नियतकालिक समय पर. अगर उपयोगकर्ता पहले से संग्रहित दिए जा चुके उपयोगकर्ता के नाम से मेल खाता पासवर्ड देता है तो, उसे आगे भी कंप्यूटर सिस्टम में अभिगम करने की अनुमति मिल जाती है. कैश मशीन के लिए मामले में भी यही होता है, सिवाय उसके जिसमें आमतौर पर 'उपयोगकर्ता का नाम' बैंक खाता संख्या बैंक ग्राहक के कार्ड में संचित होता है, और पिन (PIN) बहुत ही छोटा (4 से 6 अंकों का) होता है.

किसी प्रणाली में वैध उपयोगकर्ताओं द्वारा एक ही पासवर्ड का उपयोग किए जाने के लिए प्रणाली के प्रत्येक उपयोगकर्ता को अलग पासवर्ड आवंटित करना श्रेयस्कर है, निश्चित रूप से सुरक्षा के दृष्टिकोण से. यह आंशिक रूप से ऐसा इसलिए है क्योंकि उपयोगकर्ता अपना विशेष पासवर्ड बताने के बजाए साझा पासवर्ड ऐसे किसी अन्य व्यक्ति को (जो अधिकृत नहीं किया गया हो) को बताता है. एकल पासवर्ड को बदलना कम सुविधाजनक होता है, क्योंकि एक ही समय में बहुत सारे लोग बताना जरूरी हो जाता है, और उनके लिए खास उपयोगकर्ता के अभिगमन को मिटाना अधिक मुश्किल हो जाता है, उदाहरण के लिए स्नातक में या पंजीकरण में होता है. अगर उपयोगकर्ता अपनी गतिविधियों के लिए जवाबदेह है तो प्रति उपयोगकर्ता के लिए अलग पासवर्ड भी आवश्यक है, जैसे कि वित्तीय लेनदेन करने या मेडिकल रिकॉर्ड देखने में होता है.

रक्षात्मक सॉफ्टवेयर की डिजाइन[संपादित करें]

एक पासवर्ड द्वारा सुरक्षित प्रणाली की सुरक्षा को बेहतर बनाने के लिए जिन आम तकनीकों का प्रयोग किया जाता है, उनमें निम्न शामिल हैं:

  • प्रदर्शन-चित्रपट (display screen) पर पासवर्ड प्रदर्शित नहीं करता है, जैसे ही पासवर्ड डाला जाता है या दर्ज किया जाता है, तारक चिह्न (*) या बुलेट्स (•) का उपयोग करते हुए यह टाइप होता है.
  • पर्याप्त लंबाईवाले पासवर्ड की अनुमति देता है. (यूनिक्स (Unix) और विंडोज (Windows) जैसे आरंभिक संस्करण समेत कुछ पारंपरिक ऑपरेटिंग सिस्टम में अधिकतम 8 संकेत लिपि के सीमित पासवर्ड[9][10][11][12] सुरक्षा को कम करते हैं.)
  • निष्क्रियता (एक सेमी लॉग ऑफ नीति) की अवधि के बाद उपयोगकर्ताओं को फिर से पासवर्ड डालने की जरूरत पड़ती है.
  • पासवर्ड की मजबूती और सुरक्षा व्यवस्था की वृद्धि के लिए पासवर्ड नीति को लागू करता है.
    • आवधिक कूटशब्द परिवर्तन की जरूरत पड़ेगी.
    • अनियमित रूप से चुने गए पासवर्ड को निरूपण करना.
    • न्यूनतम पासवर्ड लंबाई की जरूरत पड़ेगी.
    • कुछ प्रणालियों में पासवर्ड में विभिन्न लिपि श्रेणी की आवश्यकता होती है, उदाहरण के लिए, "कम से कम एक अपरकेस और कम से कम एक लोअरकेस अक्षर होना चाहिए". हालांकि, सभी-लोअरकेस पासवर्ड मिश्रित कैपिटल पासवर्ड की तुलना में प्रति कीस्ट्रोक कहीं अधिक सुरक्षित होता है.[13]
    • कुंजीपटल प्रविष्टि के बजाए एक विकल्प प्रदान करता है (उदा. के लिए बोले गए पासवर्ड या बायोमैट्रिक (biometric) पासवर्ड).
  • एन्क्रिप्टेड टनलों या पासवर्ड-प्रमाणीकृत कुंजी करार का इस्तेमाल करके नेटवर्क पर हमले के जरिए डाले गए पासवर्ड का उपयोग करने से रोकता है.
  • दी गयी एक निश्चित अवधि के भीतर की विफलताओं के लिए अनुमति की संख्या सीमित करता है (बार-बार पासवर्ड का अनुमान लगाने से रोकने के लिए). हद तक पहुंच जाने के बाद, अगली समयावधि के प्रारंभ तक आगे का प्रयास विफल हो जाएगा (सही पासवर्ड डाले जाने पर भी). हालांकि, यह सेवा पर हमले से इंकार करने जैसा संवेदनशील मामला है.
  • पासवर्ड डालने के बीच विलंब होना शुरू होने पर स्वचालित पासवर्ड अनुमान लगाने के प्रोग्राम को यह धीमा कर देता है.

कुछ और अधिक कठोर नीति लागू करने के उपायों में उपयोगकर्ताओं को पृथक कर देने का जोखिम पैदा कर सकता है, इसके परिणामस्वरूप संभवतः सुरक्षा कम हो जाती है.

कागज पर पासवर्ड लिख लेना[संपादित करें]

हमेशा से, बहुत सारे सुरक्षा विशेषज्ञ लोगों से कहते हैं कि अपने पासवर्ड को याद कर लें, "कभी भी अपने पासवर्ड न लिखे". हाल ही में, बहुत सारे सुरक्षा विशेषज्ञ जैसे कि ब्रूस श्र्च्नेइएर ने सुझाव दिया कि लोग जिस पासवर्ड का इस्तेमाल करते हैं उन्हें याद रखना बहुत ही जटिल होता है, उन्हें कागज पर लिख लें और अपने बटुए में रखें.[14][15][16][17][18][19][20]

पासवर्ड को भेदना[संपादित करें]

समय और पैसों की तरह बहुत सारी संभावनाओं को आजमाते हुए पासवर्ड को भेदने की कोशिश की अनुमति देना एक क्रूर और शक्तिशाली हमला है. इससे संबंधित विधि, ज्यादातर मामलों में कहीं अधिक प्रभावशाली है, वह है शब्दकोश हमला. एक शब्दकोश हमले में, एक या अधिक शब्दकोशों के सभी शब्दों को परखा जाता है. आम पासवर्ड की सूची भी आमतौर पर परखी जाती है.

पासवर्ड की मजबूती में एक संभावना होती है कि पासवर्ड का अनुमान लगाया या ढूंढ़ा नहीं जा सकता, और कलन गणित हमले के उपयोग के साथ यह भिन्न होता है. जिन पासवर्डों को आसानी से खोज लिया जाए उसे दुर्बल या कमजोर करार दिया जाता है; जिन पासवर्डों को खोजना बहुत मुश्किल या असंभव होता है उन्हें मजबूत माना जाता हैं. पासवर्ड हमले (या यहां तक कि सिस्टम अधिकारियों द्वारा लेखा परीक्षण और पुन:प्राप्ति के अधिकारियों द्वारा भी) के लिए L0phtCrack, जॉन द रिपर और कैन जैसे बहुत सारे प्रोग्राम उपलब्ध हैं; और जिनमें से कुछ का उपयोग दक्षता में वृद्धि के लिए पासवर्ड डिजाइन की भेद्यता (जैसा कि माइक्रोसॉफ्ट लैनमैनेजर ‍(Microsoft LANManager) सिस्टम में पाया जाता है) में होता है. इन प्रोग्रामों का उपयोग कभी-कभी सिस्टम प्रशासक के द्वारा उपयोगकर्ताओं द्वारा प्रस्तावित कमज़ोर पासवर्ड का पता लगाने के लिए किया जाता है.

कंप्यूटर प्रणालियों के उत्पादन के लिए किए गए अध्ययनों ने हमेशा से यही दिखाया है कि उपयोगकर्ता द्वारा चुने गए सभी पासवर्ड का एक बड़ा हिस्सा आसानी से स्वत: ही अनुमान लगा लिया जाता है. उदाहरण के लिए, कोलंबिया विश्वविद्यालय ने पाया कि उपयोगकर्ता के 22% पासवर्ड का पता छोटे-से प्रयास से लगाया जा सकता है.[21] 2006 में फ़िशिंग हमले के डेटा की जांच करके ब्रूस श्र्च्नेइएर ने कहा कि व्यावसायिक रूप से उपलब्ध पासवर्ड रिकवरी टूलकिट, जो कि प्रति सेकंड 200,000 पासवर्डों की जांच में सक्षम है, का इस्तेमाल करके 8 घंटे में माइस्पेस पासवर्ड का 55% तोड़नेलायक होगा.[22] उन्होंने यह भी बताया कि एक सबसे आम पासवर्ड पासवर्ड1 (password1) था, उन्होंने इसकी भी पुष्टि की कि पासवर्ड चुनने में उपयोगकर्ताओं में सामान्य सुविज्ञ चौकसी का अभाव होता है. (इन डेटा के आधार पर फिर भी उन्होंने कहा कि इन सालों में पासवर्डों की सामान्य गुणवत्ता में सुधार आया है - उदाहरण के लिए, पासवर्ड का औसतन विस्तार 8 तक अक्षर में होता है जो पिछले सर्वेक्षण में सात से कम था, और 4% से कम शब्दकोश के शब्द थे.[23])

1998 की घटना[संपादित करें]

16 जुलाई 1998 को, सीईआरटी (CERT) ने एक घटना की जानकारी दी,[24] जिसमें एक घुसपैठिए ने 186,126 एकाउंट नाम उनसे संबंधित एन्क्रिप्टेड पासवर्ड के साथ एकत्रित किया. इन्हें खोजने के समय, घुसपैठिया ने पासवर्ड तोड़नेवाले टूल का इस्तेमाल करके इन पासवर्डों में से 47,642 (25.6%) अनुमान लगाया था. दिख जानेवाले पासवर्ड बहुत सारे अन्य साइटों से एकत्रित किया जाता है, इनमें से कुछ की पहचान तो हो गयी, लेकिन सब की नहीं. अब तक की यह सबसे बड़ी घटना बतायी जाती है.[कब?]

अभिगम नियंत्रण के लिए पासवर्ड के विकल्प[संपादित करें]

ऐसे बहुत सारे तरीके हैं जिनमें स्थायी या अर्द्ध-स्थायी पासवर्ड अन्य तकनीकों के विकास में सहायता के लिए समझौता कर सकते है. दुर्भाग्य से, अभ्यास में कुछ अपर्याप्त होते हैं, और किन्हीं मामले में और अधिक सुरक्षित विकल्प चाहनेवाले उपयोगकर्ताओं के लिए कुछ हर जगह उपलब्ध होते हैं.[कृपया उद्धरण जोड़ें]

  • एकल-उपयोग वाले पासवर्ड. ऐसे पासवर्ड जो केवल एक बार मान्य होते हैं, वे कई संभावित हमलों में निष्प्रभावी हो जाते हैं. अधिकांश उपयोगकर्ताओं के लिए एकल उपयोग पासवर्ड अत्यंत असुविधाजनक होते हैं. निजी ऑनलाइन बैंकिंग में इन्हें व्यापक रूप से लागू किया किया है, जहां ये ट्राजेक्शन ऑथेटिकेशन नंबर्स (टीएएनएस (TANs)) के रूप में जाने जाते हैं. ज्यादातर घरेलू उपयोगकर्ता हर हफ्ते बहुत छोटे पैमाने पर लेनदेन करते हैं, इस मामले में एकल उपयोग के मुद्दे में ग्राहक का असंतोष असहनीय नहीं होता है.
  • समय-सापेक्ष मात्र एकबार समकालिक उपयोग के लिए पासवर्ड कुछ मायनों में एकल उपयोग पासवर्ड के समान होता है, लेकिन दर्ज किए जानेवाले का मान एक छोटे-से (आमतौर पर जेब में रखने लायक) आइटम में दिखाई पड़ता है और ही मिनट या कुछ अंतराल में बदलता है.
  • पासविंडो एक ही बार के पासवर्ड का एकल-उपयोग पासवर्ड के रूप में होता है, लेकिन दर्ज किए गए गतिशील अक्षर केवल तभी दिखाई पड़ते हैं जब कोई उपयोगकर्ता एक अनोखी मुद्रित दृश्य कुंजी अध्यारोपित करता है तो सर्वर उपयोगकर्ता के स्क्रीन पर विरोध की छवि दिखाता है.
  • अनुप्रवेश नियंत्रण सर्वाजनिक कुंजी क्रिप्टोग्राफी आधार पर होता है उदा के लिए एसएसएच (ssh). आवश्यक कुंजी आमतौर पर याद रखने के लिए बहुत बड़ी होती हैं (लेकिन प्रपोजल पासमाजे (proposal Passmaze) देखें) इसलिए इसे स्थानीय कंप्यूटर, सुरक्षा टोकन या पोर्टेबल मेमोरी उपकरण जैसे कि यूएसबी फ्लैश ट्राइव (USB flash drive ) या फ्लॉपी डिस्क में संचित करके रखना जरूरी है.
  • बायोमैट्रिक पद्धतियां अपरिवर्तनीय निजी अक्षरों के आधार पर प्रमाणीकरण का आभास देती है, लेकिन मौजूदा समय (2008) में इसमें त्रुटियां बहुत अधिक है और इसीलिए स्कैन करने के लिए अतिरिक्त हार्डवेयर, जैसे कि फिंगरप्रिंट, इराइज आदि की जरूरत है. व्यावसायिक तौर पर उपलब्ध सिस्टम जैसे कि जफिन फिंगरप्रिंट नकल का प्रदर्शन जैसे कुछ प्रसिद्ध जांच की घटनाओं में इन्होंने आसानी से नकल ‍कर लिया जाना प्रमाणित कर दिया है,[25] और चूंकि ये विशेषताएं अपरिवर्तनीय होती हैं, इसीलिए अगर खतरा हो तो भी इन्हें बदला नहीं जा सकता; यही बात अभिगम नियंत्रण के मामले में विचार करने के लिए बहुत ही महत्वपूर्ण हैं क्योंकि अभिगम टोकन के खतरे में यह अत्यधिक असुरक्षित है.
  • सिंगल साइन-ऑन तकनीक ने एकाधिक पासवर्ड रखने की जरूरत को समाप्त कर दिए जाने का दावा किया है. ऐसी योजनाएं उपयोगकर्ता और प्रशासकों को मुनासिब एकल पासवर्ड चुनने के मामले में राहत नहीं देती और न ही प्रणाली डिजाइनर और प्रशासकों के लिए यह सुनिश्चित करती है कि निजी अभिगम नियंत्रण की सूचना अन्य प्रणालियों को पास करके सिंगल साइन-ऑन (single sign-on) को सक्षम करके हमले से यह सुरक्षित करती है. अभी तक, कोई संतोषजनक मानक विकसित नहीं किया गया है.
  • तकनीक का मूल्यांकन डेटा को हटा लिये जाने योग्य भंडारण उपकरण जैसे कि यूएसबी (USB) फ्लैश ड्राइव में सुरक्षित करने का एक पासवर्ड-मुक्त तरीका है. उपयोगकर्ता के पासवर्ड के बजाय, यह एक नेटवर्क संसाधन में उपयोगकर्ता का अभिगमन अभिगम नियंत्रण पर आधारित है.
  • नॉन-टेक्स्ट (Non-text) आधारित पासवर्ड जैसे कि ग्राफिकल पासवर्ड या माउस की गति पर आधारित पासवर्ड.[26] अन्य सिस्टम को उपयोगकर्ता के आकृति की एक श्रृंखला को पासवर्ड के रूप में जरूरत होती है, मानव मस्तिष्क की क्षमता का उपयोग करके आसानी से आकृति को याद करता है.[27] अब तक, ये बहुत अच्छे हैं, लेकिन व्यापक रूप से इनका इस्तेमाल नहीं होता है. वास्तविक दुनिया में इसकी उपयोगिता का निर्धारण करने के लिए इस विषय का अध्ययन किया गया है.
  • लॉग-इन के लिए पारंपरिक पासवर्ड के स्थान पर ग्राफिकल पासवर्ड प्रमाणीकरण का वैकल्पिक साधन है, ये अक्षर, अंक या विशेष संप्रतीकों की जगह तस्वीर, ग्राफिक्स या रंगों का इस्तेमाल करते हैं. कुछ परिपालनों में उपयोगकर्ता को अभिगम करने के लिए तस्वीरों की एक श्रृंखला के सही क्रम में से एक को चुन लेना होता है.[28] कुछ का मानना है कि ग्राफिकल पासवर्ड को तोड़ पाना कठिन होता है, जबकि दूसरों को कहना है कि लोग बहुत ही आम तस्वीर या क्रम का चयन करते हैं ठीक उसी तरह जैसे वे बहुत आम पासवर्ड चुनते हैं.[कृपया उद्धरण जोड़ें]
  • 2डी कुंजी (2-आयामी कुंजी (2-Dimensional Key))[29] 2D मैट्रिक्स की ही तरह कुंजी इनपुट पद्धतिवाले होते हैं, जो कुंजी स्टाइल वैकल्पिक मौलिक अर्थपूर्ण शोर के साथ बहुपंक्ति पासफ्रेज (passphrase), क्रॉसवर्ड (crossword), एएससीआई (ASCII)/यूनिकोड आर्ट 128 बिट्स से भी अधिक बहुत बड़ा-सा पासवर्ड/कुंजी बनाने के लिए होते हैं, MePKC (मेमोराइजेबल पब्लिक-की क्रिप्टोग्राफी (Memorizable Public-Key Cryptography))[30] को साकार करने के लिए एन्क्रिप्टेड प्राइवेट की, स्लीट प्राइवेट की और रोमिंग प्राइवेट की की तरह मौजूदा निजी कुंजी प्रबंधन तकनीक पर निजी कुंजी को पूरी तरह से याद रखने वाले तकीनक का इस्तेमाल करते हैं.
  • संज्ञानात्मक पासवर्ड में पहचान को सत्यापित करने के लिए सवाल और जवाब संकेत/प्रतिक्रिया को जोड़े में इसस्तेमाल किया जाता है.

वेबसाइट पासवर्ड प्रणाली[संपादित करें]

वेबसाइटों पर इस्तेमाल किए जानेवाले पासवर्ड उपयोगकर्ताओं को प्रमाणीकृत करते हैं और आमतौर पर वेब सर्वर पर पोषित होते हैं, आशय यह है कि दूरस्थ प्रणाली पर ब्राउजर सर्वर (एचटीटीपी पोस्ट (HTTP POST) द्वारा) पासवर्ड भेजता है, सर्वर पासवर्ड की जांच करता है और वापस प्रासंगिक सामग्री भेजता है (या अभिगमन को अस्वीकार करने का संदेश भेजता है). यह प्रक्रिया स्थानीय रिवर्स इंजीनियरिंग (reverse engineering) की संभावना को रद्द कर देता है, क्योंकि पासवर्ड के प्रमाणीकरण के लिए जिस कोड का इस्तेमाल होता है वह स्थानीय मशीन में नहीं होता है.

ब्राउज़र के माध्यम से सादे टेक्स्ट में पासवर्ड का प्रेषण का मतलब सर्वर में यात्रा के बीच में ही इसे रोक लिया जा सकता है. बहुत सारी वेब प्रमाणीकरण प्रणालियां ब्राउजर और सर्वर के बीच में एन्क्रिप्टेड सत्र स्थापित करने के लिए एसएसएल (SSL) का उपयोग करती है, आमतौर पर इसका निहितार्थ "सुरक्षित वेब साइट" का दावा करना होता है. ब्राउजर द्वारा यह स्वत: ही होता है और सत्र की पूर्णता में यह वृद्धि करता है, अंत को जोखिम भरा न मानते हुए इस्तेमाल होनेवाला एसएसएल/टीएलएस (SSL/TLS) कार्यान्वयन उच्च गुणवत्तावाला होता है.

तथाकथित वेबसाइट पासवर्ड और सदस्यता प्रबंधन प्रणालियां अक्सर ग्राहक के पक्ष (जिसका अर्थ आगंतुक का वेब ब्राउजर है) में मौजूद जावा या जावास्क्रिप्ट कोड एचटीएमएल (HTML) स्रोत कोड (उदाहरण के लिए ऑटोप्ले (AuthPro)) से जुड़ा होता है. ब्राउजर में जावास्क्रिप्ट और मेटा पुनर्निर्देश के स्विच को बंद करके सुरक्षा को आसानी से दरकिनार कर देना ऐसी प्रणालियों की कमियां होती हैं, फलस्वरूप सुरक्षित वेब पेज तक पहुंचना संभव हो जाता है. जबकि सर्वर पर प्रमाणीकृत उपयोगकर्ता के लिए ब्राउजर को स्रोत कोड प्रदान करने से पहले दूसरे वेबसाइट सर्वर पक्ष के स्क्रिप्टिंग भाषा जैसे कि एएसपी (ASP) या पीएचपी (PHP) का लाभ लेते हैं.

पासवर्ड का इतिहास[संपादित करें]

पासवर्ड या संकेतशब्द का इस्तेमाल प्राचीन काल से किया गया है. रोमन सेना में संकेत शब्दों का वितरण की प्रणाली का वर्णन पॉलीबिअस ने इस प्रकार किया है:

रात भर के लिए वे जिस तरह से संकेत शब्दों को सुरक्षित पास करते है वे इस प्रकार है: पैदल और अश्वारोही सेना की दसवें मैनिपल (maniple) की प्रत्येक श्रेणी से, वे मैनिपल (maniple) जो सड़क के अंतिम छोर पर डेरा डाले होते हैं, में एक शख्स को चुना जाता है जो गार्ड की ड्यूटी से छूट चुका है, और वह हर रोज सूर्यास्त होने पर ट्रिब्यून (tribune) के तंबू में उपस्थिति दर्ज करता है, और संकेतशब्द को प्राप्त करता है - जो कि लकड़ी से बनी एक टिकिया होती है जिस पर शब्द खुदे होते है, - फिर चला जाता है और अपने क्वार्टर में वापस जाने के समय कमांडर के अगले मैनिपल देखने से पहले संकेत शब्द और टिकिया को लौटा देता है, जो बदले में अगले आनेवाले शख्स को दे देता है. यह सब तब तक चलता है जब कि यह पहले मैनिपलों तक यह न पहुंच जाए, और वे ट्रिब्यून के तंबू के करीब डेरा डाले होते हैं. बाद में अंधेरा होने से पहले ट्रिब्यून्स को टिकिया देने के लिए ये बाध्य हैं. ताकि जिन्हें यह दिया गया था, उनसे वापस लौट आए, ट्रिब्यून जान जाता है कि संकेत शब्द सभी मैनिपलों को दे दिया गया है, और हर किसीसे होता हुआ यह उस तक वापस लौट आया है. अगर उनमें से कोई भी गुम हो जाता है, वह तुरंत पूछताछ करता है, क्योंकि वह निशान से जानता है कि किस क्वार्टर ने टिकिया वापस नहीं लौटाया है, और इस कड़ी को रोकने के लिए जो कोई भी जिम्मेवार है, वह सजा का हकदार है.[31]

सैन्य उपयोग के पासवर्डों में न केवल पासवर्ड शामिल होते हैं, बल्कि पासवर्ड के साथ एक प्रति पासवर्ड भी होते हैं, उदाहरण के तौर पर नोरमैंडी युद्ध के पहले दिन यू.एस. (U.S.) के 101वें एयरबोर्न डिवीजन पैराट्रूपरों ने जिस पासवर्ड का उपयोग किया था वह था - "थंडर" - जिसे चुनौति के रूप में पेश किया गया था, और सही प्रतिक्रिया के साथ इसका जवाब था - "फ्लैश". चुनौती और प्रतिक्रिया समय-समय पर बदला जाता था. अमेरिकी पैराट्रूपर्स डी-डे (D-Day) में पासवर्ड प्रणली के इस्तेमाल के बजाए एक उपकरण जो "क्रिकेट" (cricket) के रूप में जाना जाता है, जो कि अस्थायी तौर पर पहचान की अनूठी पद्धति के रूप में इसके इस्तेमाल के लिए भी मशहूर हैं, इसमें पासवर्ड के एवज में धातु का बना एक क्लिक दिया जाता है, जवाब में दो क्लिक मिलाना होता था.[32]

कंप्यूटर के साथ पासवर्ड का इस्तेमाल कंप्यूटिंग के प्रारंभिक दिनों से ही हो रहा है. प्रणाली को साझा करने के लिए एमआईटी'एस (MIT's) सीटीएसएस (CTSS) को 1961 में पहली बार शुरू किया गया था. इसमें एक लॉगिन (LOGIN) कमांड था जो उपयोगकर्ता से पासवर्ड डालने का अनुरोध करता था. "पासवर्ड टाइप करने के बाद, प्रणाली अगर संभव हुआ तो मुद्रण तंत्र को बंद कर देती है, ताकि उपयोगकर्ता अपने पासवर्ड को गोपनीयता के साथ टाइप कर सके."[33] हैश में लॉगिन पासवर्ड को संग्रहहित करने के विचार का आविष्कार रॉबर्ट मॉरिस ने यूनिक्स ऑपरेटिंग प्रणाली के भाग के रूप में किया. उनके कलन गणित, जो कि क्रिप्ट(3) (crypt(3)) के रूप में जाता जाता है़, ने 12 बीट सॉल्ट का उपयोग किया और गणना के पूर्व शब्दकोश हमले के खतरे को कम करने के लिए डीईएस (DES) कलन गणित को 25 बार संशोधित किया.

इन्हें भी देखें[संपादित करें]

  • सेल्फ सर्विस पासवर्ड रीसेट
  • एक्सेस(अनुप्रवेश)कोड
  • प्रमाणीकरण
  • कॅप्चा (CAPTCHA)
  • डाइसवेयर
  • करबेरोस (प्रोटोकॉल)
  • कीफ़ाइल
  • पासफ्रेज (कूटशब्द)
  • पासवर्ड मैनेजर
  • पासवर्ड नीति
  • पासवर्ड मनोविज्ञान
  • पासवर्ड ताकत
  • पासवर्ड लंबाई पैरामीटर
  • पासवर्ड भेदन
  • पासवर्ड थकान
  • पासवर्ड प्रमाणीकृ‍त कुंजी करार
  • पासवर्ड अधिसूचना ई-मेल (e-mail)
  • पासवर्ड तुल्यकालन
  • प्री शेयर्ड की
  • अनियमित पासवर्ड जनरेटर
  • इंद्रधनुष तालिका
  • स्वयं सेवा पासवर्ड रीसेट
  • शिबोलेथ

संदर्भ[संपादित करें]

  1. Vance, Ashlee (January 20, 2010). "If Your Password Is 123456, Just Make It HackMe". The New York Times. http://www.nytimes.com/2010/01/21/technology/21password.html. 
  2. [1] फ्रेड कोहेन और एसोसिएट्स
  3. पासवर्ड के मेमोरेबलिटी और सुरक्षा
  4. लिकुइक्स ब्लॉग: क्या हमें पासवर्डों को छिपाने की आवश्यकता है?
  5. news.bbc.co.uk: मलेशिया कार थीव्स स्टिल्स फिंगर
  6. यूनाइटेड किंगडम में प्रयोग किये गए शीर्ष दस पासवर्ड
  7. आधुनिक आपरेटिंग सिस्टम के लिए पासवर्ड सुरक्षा
  8. http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656
  9. HP-UX सुरक्षा व्हाइटपेपर "पासवर्ड आठ सार्थक वर्णों के अधिकतम सीमित हैं"
  10. "अमेरिकन एक्सप्रेस: सशक्त क्रेडिट, कमजोर पासवर्ड"
  11. "टेन विन्डोज़ पासवर्ड मिथ": "एनटी (NT) संवाद बक्से ... 14 वर्णों के अधिकतम सीमित पासवर्ड"
  12. "लंबाई में 1 और 8 वर्णों के बीच एक पासवर्ड तुम्हे उपलब्ध करनी पड़ेगी"
  13. "लाभ उठाये या नहीं लाभ उठाये?"
  14. ब्रूस श्नियर: क्रिप्टो-ग्राम न्यूज़लैटर 15 मई 2001
  15. "दस विंडोज मिथकों पासवर्ड": मिथक #7. आपको अपना पासवर्ड कभी नहीं लिखना चाहिए
  16. "माइक्रोसॉफ्ट सुरक्षा गुरु: अपना पासवर्ड नीचे लिखें"
  17. रिचर्ड ई. स्मिथ द्वारा "सशक्त पासवर्ड दुविधा": "हम शास्त्रीय पासवर्ड चयन के नियम का इस रूप में संक्षेप कर सकते हैं: पासवर्ड याद करने के लिए असंभव होना चाहिए और कहीं लिखना नहीं चाहिए."
  18. बॉब जेनकींस द्वारा "रैंडम पासवर्ड का चयन"
  19. "पासवर्ड की मेमोरेबलिटी और सुरक्षा - कुछ अनुभवजन्य परिणाम"
    "अपने पासवर्ड ... एक सुरक्षित जगह, जैसे आपके बटुए या पर्स के पीछे में."
  20. "क्या मुझे अपना कूटशब्द को लिख लेना चाहिए?"
  21. पासवर्ड
  22. श्नियर, रियल-वर्ल्ड पासवर्ड्स
  23. माइस्पेस (MySpace) पासवर्ड मूर्ख नहीं होते
  24. "CERT IN-98.03". http://www.cert.org/incident_notes/IN-98.03.html. अभिगमन तिथि: 2009-09-09. 
  25. टी मात्सुमोटो. एच मत्सुमोटोट, के यामादा और एस होशिनो, फिंगरप्रिंट सिस्टम पर कृत्रिम 'गमी' अंगुलियों का प्रभाव. प्रौक एसपीआईई (SPIE), खंड 4677, ऑप्टिकल सुरक्षा और नकली निवारण तकनीक IV या itu.int/itudoc/itu-t/workshop/security/resent/s5p4.pdf पृष्ठ 356
  26. http://waelchatila.com/2005/09/18/1127075317148.html
  27. http://mcpmag.com/reviews/products/article.asp?EditorialsID=486
  28. http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1001829,00.html
  29. http://www.xpreeli.com/doc/manual_2DKey_2.0.pdf
  30. http://www.wipo.int/pctdb/en/wo.jsp?WO=2010010430
  31. रोमन सैन्य पर पॉलीबिअस
  32. बंदो, मार्क स्क्रिमिंग इगल्स: टेल्स ऑफ़ डी 101स्ट एयरबोर्न डिविज़न इन वर्ल्ड वॉर II
  33. सीटीएसएस (CTSS) प्रोग्रामर्स गाइड, दूसरा संस्करण, एमआईटी (MIT) प्रेस, 1965

बाहरी लिंक्स[संपादित करें]