सुरक्षा मार्गदर्शिका
पासवर्ड कितना लंबा होना चाहिए?
जानें कि कब 12, 16, 20 या 32 अक्षर चुनें और क्यों पासवर्ड की लंबाई, विशिष्टता और भंडारण दृश्य जटिलता से अधिक मायने रखते हैं।
सारांश
अधिकांश आधुनिक खातों के लिए, 16 यादृच्छिक अक्षर एक मजबूत व्यावहारिक आधार रेखा है। महत्वपूर्ण व्यक्तिगत, ईमेल, बैंकिंग, कार्य या व्यवस्थापक खातों के लिए 20 या अधिक का उपयोग करें। 32 अक्षरों का उपयोग तब करें जब पासवर्ड किसी प्रबंधक में संग्रहीत हो और उच्च-मूल्य वाली पहुंच की रक्षा करता हो।
16 अक्षर, 20 अक्षर या 32 अक्षर जनरेटर आज़माएं।
लंबाई के स्तर
छोटे पासवर्ड का अनुमान लगाना आसान होता है क्योंकि संभावित संयोजन कम होते हैं। छह से नौ अक्षर आमतौर पर खाता सुरक्षा के लिए बहुत छोटे होते हैं। दस से चौदह अक्षर कई सेवाओं द्वारा स्वीकार किए जा सकते हैं, लेकिन महत्वपूर्ण खातों के लिए पसंदीदा गंतव्य के रूप में नहीं माना जाना चाहिए।
सोलह यादृच्छिक अक्षर एक अच्छा डिफ़ॉल्ट है जब पासवर्ड मैनेजर मान संग्रहीत करता है। बीस अक्षर कई साइटों के साथ संगत रहते हुए अतिरिक्त मार्जिन जोड़ते हैं। बत्तीस अक्षर व्यवस्थापक पैनल, एन्क्रिप्टेड फ़ाइलों, डेटाबेस क्रेडेंशियल्स और स्थानीय रहस्यों के लिए उपयोगी है।
यादृच्छिक लंबाई बनाम मानवीय लंबाई
एक यादृच्छिक 16-अक्षर का पासवर्ड मानव-निर्मित 16-अक्षर वाक्यांश से बहुत अलग होता है। मानवीय विकल्पों में अक्सर शब्द, तिथियां, नाम और पूर्वानुमानित अंत शामिल होते हैं। हमलावर अंध ब्रूट फोर्स का प्रयास करने से पहले उन पैटर्न का परीक्षण करते हैं।
व्यावहारिक सिफारिशें
- सामान्य आधार रेखा के रूप में 16 अक्षरों का उपयोग करें।
- उच्च-मूल्य वाले खातों के लिए 20–32 अक्षरों का उपयोग करें।
- यदि याद रखना महत्वपूर्ण है तो पासफ़्रेज़ का उपयोग करें।
- बिना-प्रतीक या बिना-अस्पष्ट प्रीसेट का उपयोग केवल तभी करें जब संगतता के लिए आवश्यक हो।
- कभी भी केवल लंबा होने के कारण पासवर्ड का पुन: उपयोग न करें।
विस्तृत मार्गदर्शन
यह मार्गदर्शिका विभिन्न खाता जोखिमों के लिए पासवर्ड लंबाई चुनने पर केंद्रित है। यह उन पाठकों के लिए लिखा गया है जो 12, 16, 20, 24 और 32 अक्षरों के विकल्पों की तुलना कर रहे हैं, इसलिए व्यावहारिक लक्ष्य कोई नाटकीय सुरक्षा दावा बनाना नहीं है। लक्ष्य एक पासवर्ड आदत चुनना है जो दैनिक उपयोग में टिक सके: साइन-इन फॉर्म, पासवर्ड मैनेजर, मोबाइल कीबोर्ड, खाता पुनर्प्राप्ति, साझा उपकरण और कभी-कभी अजीब सत्यापन नियमों वाली सेवा। एक सुरक्षित सिफारिश तभी उपयोगी है जब कोई वास्तविक व्यक्ति इसे लगातार अपना सके।
सबसे सुरक्षित शुरुआती बिंदु यादृच्छिकता और विशिष्टता है। यादृच्छिकता का अर्थ है कि मान एक बड़े स्थान से क्रिप्टोग्राफिक रूप से उपयुक्त यादृच्छिक स्रोत द्वारा चुना गया है, न कि जन्मदिन, पालतू जानवर के नाम, कीबोर्ड पैटर्न या पसंदीदा उद्धरण से आविष्कार किया गया। विशिष्टता का अर्थ है कि एक ही पासवर्ड का उपयोग कहीं और नहीं किया जाता है। एक पासवर्ड जो लंबा है लेकिन पुन: उपयोग किया गया है, एक असंबंधित उल्लंघन के बाद जल्दी से विफल हो सकता है, जबकि एक अद्वितीय यादृच्छिक पासवर्ड नुकसान को केवल उस एक खाते तक सीमित करता है जहां इसका उपयोग किया गया था।
इस विषय के लिए, एक व्यावहारिक प्रीसेट सामान्य खातों के लिए 16 अक्षर, महत्वपूर्ण खातों के लिए 20 या अधिक, और उन रहस्यों के लिए 32 है जो टाइप करने के बजाय संग्रहीत किए जाते हैं। आप उस प्रीसेट को 32 अक्षर पासवर्ड जनरेटर के साथ लागू कर सकते हैं और फिर अंतिम मान को एक विश्वसनीय पासवर्ड मैनेजर में संग्रहीत कर सकते हैं। PwdGen मान ब्राउज़र में Web Crypto के साथ स्थानीय रूप से उत्पन्न करता है; उत्पन्न पासवर्ड PwdGen सर्वर को नहीं भेजा जाता है। वह स्थानीय डिज़ाइन सर्वर-साइड एक्सपोज़र को कम करता है, लेकिन यह हर खतरे से रक्षा नहीं करता है। एक दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन, एक समझौता किया गया उपकरण, एक फ़िशिंग पृष्ठ, या असुरक्षित क्लिपबोर्ड हैंडलिंग अभी भी उत्पन्न होने के बाद एक रहस्य को उजागर कर सकती है।
बचने के लिए सबसे आम समस्याएं छोटे यादृच्छिक मान, अधिकतम लंबाई सीमाएं, विरासत फॉर्म और यह मान लेना कि एक निश्चित संख्या हर सिस्टम के लिए सुरक्षित है। ये समस्याएं मायने रखती हैं क्योंकि हमलावरों को शायद ही कभी हर संभव पासवर्ड को ब्रूट-फोर्स करने की आवश्यकता होती है जब मानवीय आदतें उन्हें शॉर्टकट देती हैं। क्रेडेंशियल स्टफिंग, फ़िशिंग, लीक हुई पासवर्ड सूचियां और खाता-पुनर्प्राप्ति दुरुपयोग अक्सर शुद्ध गणितीय खोज की तुलना में अधिक यथार्थवादी होते हैं। यही कारण है कि सबसे अच्छी सलाह पासवर्ड गुणवत्ता को MFA, पासकी, रिकवरी-कोड भंडारण और रिकवरी ईमेल या फ़ोन सेटिंग्स की नियमित समीक्षा जैसे खाता-स्तरीय नियंत्रणों के साथ जोड़ती है।
सिफारिश लागू करते समय इस चेकलिस्ट का उपयोग करें:
- जब प्रतीकों की अनुमति नहीं है तो अधिक लंबाई का उपयोग करें।
- सहेजने से पहले गंतव्य अधिकतम लंबाई जांचें।
- सुविधा के लिए पासवर्ड छोटा करने से बचें।
- जब याद रखना महत्वपूर्ण हो तो पासफ़्रेज़ का उपयोग करें।
यदि कोई वेबसाइट आदर्श सेटिंग को अस्वीकार करती है, तो पासवर्ड को हाथ से कमजोर पैटर्न में न डालें। एक बार में एक चर समायोजित करें। यदि प्रतीकों को अस्वीकार कर दिया जाता है, तो अपरकेस, लोअरकेस और संख्याओं को सक्षम रखें और लंबाई बढ़ाएं। यदि अधिकतम लंबाई कम है, तो सबसे बड़ी स्वीकृत लंबाई का उपयोग करें और सुनिश्चित करें कि मान अद्वितीय है। यदि पासवर्ड को जोर से पढ़ा जाना है, मुद्रित किया जाना है, या टेलीविजन या राउटर स्क्रीन पर टाइप किया जाना है, तो भ्रमित करने वाले अक्षरों को बाहर करने और छोटे वर्णमाला की भरपाई के लिए लंबाई बढ़ाने पर विचार करें।
अंत में, पासवर्ड सलाह की सीमा को याद रखें। एक मजबूत पासवर्ड सुरक्षा की एक परत है, गारंटी नहीं। यह फ़िशिंग पृष्ठ को सुरक्षित नहीं बना सकता, मैलवेयर को ठीक नहीं कर सकता, या ऐसी सेवा की भरपाई नहीं कर सकता जो क्रेडेंशियल्स को खराब तरीके से संग्रहीत करती है। उपयोगी आदत उबाऊ लेकिन टिकाऊ है: एक अद्वितीय मान उत्पन्न करें, इसे सुरक्षित रूप से संग्रहीत करें, पुनर्प्राप्ति पथ की रक्षा करें, और यदि आपको एक्सपोज़र का संदेह हो तो इसे जल्दी से बदलें।
अक्सर पूछे जाने वाले प्रश्न
क्या 12 अक्षर पर्याप्त हैं?
एक यादृच्छिक 12-अक्षर का पासवर्ड संगतता के लिए उपयोगी हो सकता है, लेकिन 16 या अधिक एक बेहतर डिफ़ॉल्ट है जब सेवा इसे स्वीकार करती है।
मुझे 20 या 32 अक्षरों का उपयोग कब करना चाहिए?
महत्वपूर्ण खातों के लिए 20 या अधिक और पासवर्ड मैनेजर में संग्रहीत व्यवस्थापक, एन्क्रिप्टेड-फ़ाइल या डेवलपर-सीक्रेट वर्कफ़्लो के लिए 32 का उपयोग करें।
क्या पासवर्ड बहुत लंबा हो सकता है?
कुछ सेवाएं अधिकतम लंबाई लागू करती हैं या प्रतीकों को अस्वीकार करती हैं। गंतव्य द्वारा स्वीकार किए जाने वाले सबसे लंबे अद्वितीय यादृच्छिक मान का उपयोग करें।