पासवर्ड टूल जनरेटर पर वापस जाएं

सुरक्षा मार्गदर्शिका

पासवर्ड एंट्रॉपी समझाया गया

पासवर्ड एंट्रॉपी, सर्च स्पेस, अल्फाबेट साइज, लंबाई को समझें और क्यों सैद्धांतिक बिट्स केवल एक ऊपरी-सीमा अनुमान हैं।

सारांश

पासवर्ड एंट्रॉपी उस सर्च स्पेस के आकार का वर्णन करने का एक तरीका है जिसे एक हमलावर को खोजना होगा। एक समान रूप से यादृच्छिक पासवर्ड के लिए, एक उपयोगी ऊपरी-सीमा सूत्र है:

bits = length × log2(alphabet size)

धारणाओं की तुलना करने के लिए पासवर्ड क्रैक टाइम कैलकुलेटर का उपयोग करें।

अल्फाबेट साइज

अल्फाबेट साइज संभावित वर्णों की संख्या है। लोअरकेस अक्षर 26 विकल्प देते हैं। अपरकेस प्लस लोअरकेस 52 देता है। अंक जोड़ने पर 62 मिलता है। प्रतीक पूल को और बढ़ा सकते हैं, लेकिन केवल तभी जब सेवा उन्हें स्वीकार करती है और जनरेटर उन्हें यादृच्छिक रूप से चुनता है।

लंबाई

लंबाई सर्च स्पेस को गुणा करती है। एक लंबा यादृच्छिक पासवर्ड आमतौर पर पूर्वानुमानित प्रतीकों से सजाए गए छोटे पासवर्ड की तुलना में अधिक व्यावहारिक सुधार प्रदान करता है।

ऊपरी-सीमा चेतावनी

सूत्र मानता है कि प्रत्येक स्थान अल्फाबेट से समान रूप से चुना गया है। यह मानव वाक्यांशों, पुन: उपयोग किए गए पासवर्ड, शब्दकोश शब्दों, तिथियों, कीबोर्ड पैटर्न, लीक हुई क्रेडेंशियल्स, या संपादित आउटपुट पर लागू नहीं होता है। यह सर्वर-साइड हैशिंग या ऑनलाइन रेट लिमिट को भी मॉडल नहीं करता है।

व्यावहारिक सिफारिशें

विस्तृत मार्गदर्शन

यह मार्गदर्शिका बिना अतिशयोक्ति के पासवर्ड एंट्रॉपी की व्याख्या करने पर केंद्रित है। यह उन पाठकों के लिए लिखा गया है जो लंबाई, अल्फाबेट साइज और पासफ्रेज़ शब्द सूचियों की तुलना कर रहे हैं, इसलिए व्यावहारिक लक्ष्य एक नाटकीय सुरक्षा दावा बनाना नहीं है। लक्ष्य एक पासवर्ड आदत चुनना है जो रोजमर्रा के उपयोग में टिक सके: साइन-इन फॉर्म, पासवर्ड मैनेजर, मोबाइल कीबोर्ड, खाता पुनर्प्राप्ति, साझा डिवाइस, और कभी-कभी अजीब सत्यापन नियमों वाली सेवाएं। एक सुरक्षित सिफारिश तभी उपयोगी है जब कोई वास्तविक व्यक्ति इसे लगातार अपना सके।

सबसे सुरक्षित शुरुआती बिंदु यादृच्छिकता और अद्वितीयता है। यादृच्छिकता का अर्थ है कि मान एक बड़े स्थान से क्रिप्टोग्राफिक रूप से उपयुक्त यादृच्छिक स्रोत द्वारा चुना गया है, न कि जन्मदिन, पालतू जानवर के नाम, कीबोर्ड पैटर्न या पसंदीदा उद्धरण से आविष्कार किया गया। अद्वितीयता का अर्थ है कि एक ही पासवर्ड का उपयोग कहीं और नहीं किया गया है। एक पासवर्ड जो लंबा है लेकिन पुन: उपयोग किया गया है, एक असंबंधित उल्लंघन के बाद जल्दी से विफल हो सकता है, जबकि एक अद्वितीय यादृच्छिक पासवर्ड नुकसान को केवल उस एक खाते तक सीमित करता है जहां इसका उपयोग किया गया था।

इस विषय के लिए, एक व्यावहारिक प्रीसेट समान रूप से यादृच्छिक पासवर्ड के लिए लंबाई को log2(यादृच्छिक अल्फाबेट साइज) से गुणा करना है। आप उस प्रीसेट को पासवर्ड स्ट्रेंथ चेकर के साथ लागू कर सकते हैं और फिर अंतिम मान को एक विश्वसनीय पासवर्ड मैनेजर में संग्रहीत कर सकते हैं। PwdGen वेब क्रिप्टो के साथ ब्राउज़र में स्थानीय रूप से मान उत्पन्न करता है; उत्पन्न पासवर्ड PwdGen सर्वर को नहीं भेजा जाता है। यह स्थानीय डिज़ाइन सर्वर-साइड एक्सपोज़र को कम करता है, लेकिन यह हर खतरे से रक्षा नहीं करता है। एक दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन, एक समझौता किया गया डिवाइस, एक फ़िशिंग पेज, या असुरक्षित क्लिपबोर्ड हैंडलिंग उत्पन्न होने के बाद भी एक रहस्य को उजागर कर सकता है।

सबसे आम समस्याएं जिनसे बचना चाहिए, वे हैं सरल सूत्र को मानव-चुने गए पासवर्ड पर लागू करना, पुन: उपयोग को अनदेखा करना, और अनुमानों को गारंटी के रूप में मानना। ये समस्याएं मायने रखती हैं क्योंकि हमलावरों को शायद ही कभी हर संभावित पासवर्ड को ब्रूट-फोर्स करने की आवश्यकता होती है जब मानव आदतें उन्हें एक शॉर्टकट देती हैं। क्रेडेंशियल स्टफिंग, फ़िशिंग, लीक हुई पासवर्ड सूचियां, और खाता-पुनर्प्राप्ति दुरुपयोग अक्सर शुद्ध गणितीय खोज की तुलना में अधिक यथार्थवादी होते हैं। यही कारण है कि सबसे अच्छी सलाह पासवर्ड गुणवत्ता को खाता-स्तरीय नियंत्रणों जैसे MFA, पासकी, रिकवरी-कोड स्टोरेज, और रिकवरी ईमेल या फोन सेटिंग्स की नियमित समीक्षा के साथ जोड़ती है।

सिफारिश लागू करते समय इस चेकलिस्ट का उपयोग करें:

यदि कोई वेबसाइट आदर्श सेटिंग को अस्वीकार करती है, तो पासवर्ड को हाथ से कमजोर पैटर्न में मजबूर न करें। एक बार में एक चर समायोजित करें। यदि प्रतीकों को अस्वीकार कर दिया जाता है, तो अपरकेस, लोअरकेस और अंक सक्षम रखें और लंबाई बढ़ाएं। यदि अधिकतम लंबाई कम है, तो स्वीकृत सबसे बड़ी लंबाई का उपयोग करें और सुनिश्चित करें कि मान अद्वितीय है। यदि पासवर्ड को जोर से पढ़ा जाना है, मुद्रित किया जाना है, या टेलीविजन या राउटर स्क्रीन पर टाइप किया जाना है, तो भ्रमित करने वाले वर्णों को बाहर करने और छोटे अल्फाबेट की भरपाई के लिए लंबाई बढ़ाने पर विचार करें।

अंत में, पासवर्ड सलाह की सीमा को याद रखें। एक मजबूत पासवर्ड रक्षा की एक परत है, गारंटी नहीं। यह फ़िशिंग पेज को सुरक्षित नहीं बना सकता, मैलवेयर को ठीक नहीं कर सकता, या उस सेवा की भरपाई नहीं कर सकता जो क्रेडेंशियल्स को खराब तरीके से संग्रहीत करती है। उपयोगी आदत उबाऊ लेकिन टिकाऊ है: एक अद्वितीय मान उत्पन्न करें, इसे सुरक्षित रूप से संग्रहीत करें, पुनर्प्राप्ति पथ की रक्षा करें, और यदि आपको एक्सपोज़र का संदेह हो तो इसे जल्दी से बदलें।

एक सुरक्षित अगला कदम

इस गाइड को पढ़ने के बाद, एक बार में सब कुछ ठीक करने की कोशिश करने के बजाय एक छोटा खाता ऑडिट करें। उस खाते को चुनें जो अधिग्रहीत होने पर सबसे अधिक परेशानी का कारण बनेगा, पुष्टि करें कि इसका पासवर्ड अद्वितीय है, और रिकवरी ईमेल, रिकवरी फोन, MFA विधि और बैकअप-कोड स्टोरेज की जांच करें। यदि उस श्रृंखला का कोई भी हिस्सा कमजोर है, तो कम जोखिम वाले खातों पर जाने से पहले उस हिस्से में सुधार करें। यह क्रम काम को प्रबंधनीय रखता है और उन खातों की रक्षा करता है जिनका हमलावर एक कदम के पत्थर के रूप में उपयोग करने की सबसे अधिक संभावना रखते हैं। पासवर्ड एंट्रॉपी समझाया गया के लिए, सबसे अच्छा परिणाम एक दोहराने योग्य आदत है: स्थानीय रूप से उत्पन्न करें, ध्यान से संग्रहीत करें, और पुन: उपयोग से बचें।

अक्सर पूछे जाने वाले प्रश्न

सरल एंट्रॉपी सूत्र क्या है?

समान रूप से यादृच्छिक वर्णों के लिए, एक सामान्य ऊपरी-सीमा सूत्र लंबाई को log2(अल्फाबेट साइज) से गुणा करना है।

एंट्रॉपी केवल एक अनुमान क्यों है?

यह समान यादृच्छिक चयन मानता है और पुन: उपयोग, लीक, मानव संपादन, समझौता किए गए डिवाइस या गंतव्य भंडारण को ध्यान में नहीं रखता है।

क्या प्रतीक हमेशा अधिक एंट्रॉपी जोड़ते हैं?

प्रतीक यादृच्छिक रूप से चुने जाने पर अल्फाबेट साइज बढ़ाते हैं, लेकिन लंबाई जोड़ना अक्सर एक बड़ा और उपयोग में आसान लाभ देता है।

स्रोत