सुरक्षा मार्गदर्शिका

पासवर्ड बनाम पासफ्रेज़

यादृच्छिक वर्णों वाले पासवर्ड और यादृच्छिक शब्दों वाले पासफ्रेज़ की तुलना करें, जिसमें याद रखने की क्षमता, एंट्रॉपी, भंडारण और सुरक्षित उपयोग के मामले शामिल हैं।

सारांश

पासवर्ड आमतौर पर यादृच्छिक वर्णों की एक स्ट्रिंग होता है। पासफ्रेज़ आमतौर पर शब्दों का एक क्रम होता है। दोनों मजबूत हो सकते हैं यदि वे यादृच्छिक रूप से उत्पन्न हों, अद्वितीय हों, और सुरक्षित रूप से संग्रहीत या याद किए गए हों। सही विकल्प इस बात पर निर्भर करता है कि आपको अधिकतम संक्षिप्तता, आसान टाइपिंग या याद रखने की क्षमता की आवश्यकता है या नहीं।

जब आप यादृच्छिक शब्द चाहते हैं तो पासफ्रेज़ जनरेटर का उपयोग करें, या जब कोई साइट एक कॉम्पैक्ट कैरेक्टर पासवर्ड की अपेक्षा करती है तो पासवर्ड जनरेटर का उपयोग करें।

यादृच्छिक वर्ण पासवर्ड

यादृच्छिक वर्ण पासवर्ड कुशल होते हैं: प्रत्येक वर्ण खोज स्थान बढ़ा सकता है। वे पासवर्ड मैनेजर, एडमिन पैनल, वाई-फाई, बैंकिंग, ईमेल और डेवलपर सीक्रेट्स के लिए आदर्श हैं। नकारात्मक पक्ष यह है कि उन्हें याद रखना कठिन होता है और छोटे कीबोर्ड पर टाइप करना अप्रिय होता है।

यादृच्छिक-शब्द पासफ्रेज़

पासफ्रेज़ पढ़ने और टाइप करने में आसान होते हैं। महत्वपूर्ण शब्द “यादृच्छिक” है। आपके द्वारा गढ़ा गया वाक्य, एक उद्धरण, एक गीत का बोल, या एक परिचित वाक्यांश पैटर्न-आधारित उपकरणों द्वारा अनुमान लगाया जा सकता है। एक पासफ्रेज़ पर्याप्त रूप से बड़ी सूची से स्वतंत्र रूप से चुने गए शब्दों से बना होना चाहिए।

व्यावहारिक सिफारिशें

अधिकांश खातों के लिए जो मैनेजर में संग्रहीत हैं, यादृच्छिक वर्ण पासवर्ड का उपयोग करें।
उन क्रेडेंशियल्स के लिए पासफ्रेज़ का उपयोग करें जिन्हें आपको याद रखने की आवश्यकता हो सकती है।
किसी भी प्रारूप का पुन: उपयोग न करें।
व्यक्तिगत वाक्यांशों, उद्धरणों, नामों और तिथियों से बचें।
जांचें कि गंतव्य स्थान या विभाजक स्वीकार करता है या नहीं।

विस्तृत मार्गदर्शन

यह मार्गदर्शिका यादृच्छिक वर्ण पासवर्ड और यादृच्छिक पासफ्रेज़ के बीच निर्णय लेने पर केंद्रित है। यह उन लोगों के लिए लिखा गया है जिन्हें सुरक्षित संग्रहीत पासवर्ड और यादगार लॉगिन रहस्य दोनों की आवश्यकता है, इसलिए व्यावहारिक लक्ष्य एक नाटकीय सुरक्षा दावा बनाना नहीं है। लक्ष्य एक पासवर्ड आदत चुनना है जो दैनिक उपयोग में टिक सके: साइन-इन फॉर्म, पासवर्ड मैनेजर, मोबाइल कीबोर्ड, खाता पुनर्प्राप्ति, साझा उपकरण, और कभी-कभी अजीब सत्यापन नियमों वाली सेवा। एक सुरक्षित सिफारिश तभी उपयोगी है जब कोई वास्तविक व्यक्ति इसे लगातार अपना सके।

सबसे सुरक्षित शुरुआती बिंदु यादृच्छिकता और विशिष्टता है। यादृच्छिकता का अर्थ है कि मान एक बड़े स्थान से क्रिप्टोग्राफिक रूप से उपयुक्त यादृच्छिक स्रोत द्वारा चुना गया है, न कि जन्मदिन, पालतू जानवर के नाम, कीबोर्ड पैटर्न या पसंदीदा उद्धरण से आविष्कार किया गया। विशिष्टता का अर्थ है कि एक ही पासवर्ड का उपयोग कहीं और नहीं किया गया है। एक पासवर्ड जो लंबा है लेकिन पुन: उपयोग किया गया है, एक असंबंधित उल्लंघन के बाद जल्दी से विफल हो सकता है, जबकि एक अद्वितीय यादृच्छिक पासवर्ड नुकसान को केवल उस एक खाते तक सीमित करता है जहां इसका उपयोग किया गया था।

इस विषय के लिए, एक व्यावहारिक प्रीसेट याद रखने की क्षमता के लिए चार से छह यादृच्छिक शब्द, या पासवर्ड-मैनेजर भंडारण के लिए यादृच्छिक वर्ण है। आप उस प्रीसेट को पासफ्रेज़ जनरेटर के साथ लागू कर सकते हैं और फिर अंतिम मान को एक विश्वसनीय पासवर्ड मैनेजर में संग्रहीत कर सकते हैं। PwdGen वेब क्रिप्टो के साथ ब्राउज़र में स्थानीय रूप से मान उत्पन्न करता है; उत्पन्न पासवर्ड PwdGen सर्वर को नहीं भेजा जाता है। वह स्थानीय डिज़ाइन सर्वर-साइड एक्सपोज़र को कम करता है, लेकिन यह हर खतरे से रक्षा नहीं करता है। एक दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन, एक समझौता किया गया उपकरण, एक फ़िशिंग पृष्ठ, या असुरक्षित क्लिपबोर्ड हैंडलिंग अभी भी उत्पन्न होने के बाद एक रहस्य को उजागर कर सकता है।

सबसे आम समस्याएं जिनसे बचना चाहिए वे हैं हस्तलिखित वाक्यांश, प्रसिद्ध उद्धरण, गीत के बोल, व्यक्तिगत नारे, और मानव द्वारा चुने गए शब्दकोश वाक्यांश। ये समस्याएं मायने रखती हैं क्योंकि हमलावरों को शायद ही कभी हर संभव पासवर्ड को ब्रूट-फोर्स करने की आवश्यकता होती है जब मानव आदतें उन्हें एक शॉर्टकट देती हैं। क्रेडेंशियल स्टफिंग, फ़िशिंग, लीक हुई पासवर्ड सूचियाँ, और खाता-पुनर्प्राप्ति दुरुपयोग अक्सर शुद्ध गणितीय खोज की तुलना में अधिक यथार्थवादी होते हैं। यही कारण है कि सबसे अच्छी सलाह पासवर्ड गुणवत्ता को MFA, पासकी, रिकवरी-कोड स्टोरेज, और रिकवरी ईमेल या फ़ोन सेटिंग्स की नियमित समीक्षा जैसे खाता-स्तरीय नियंत्रणों के साथ जोड़ती है।

सिफारिश लागू करते समय इस चेकलिस्ट का उपयोग करें:

यादृच्छिक रूप से चुने गए शब्दों का उपयोग करें, न कि आपके द्वारा गढ़ा गया वाक्य।
विभाजकों को गंतव्य फॉर्म के अनुरूप रखें।
खातों में पासफ्रेज़ का पुन: उपयोग न करें।
लंबे यादृच्छिक पासवर्ड के लिए मैनेजर का उपयोग करें।

यदि कोई वेबसाइट आदर्श सेटिंग को अस्वीकार करती है, तो पासवर्ड को हाथ से कमजोर पैटर्न में न बदलें। एक बार में एक चर समायोजित करें। यदि प्रतीकों को अस्वीकार कर दिया जाता है, तो अपरकेस, लोअरकेस और संख्याओं को सक्षम रखें और लंबाई बढ़ाएं। यदि अधिकतम लंबाई कम है, तो स्वीकृत सबसे बड़ी लंबाई का उपयोग करें और सुनिश्चित करें कि मान अद्वितीय है। यदि पासवर्ड को जोर से पढ़ा जाना है, मुद्रित किया जाना है, या टेलीविजन या राउटर स्क्रीन पर टाइप किया जाना है, तो भ्रमित करने वाले वर्णों को बाहर करने और छोटे वर्णमाला की भरपाई के लिए लंबाई बढ़ाने पर विचार करें।

अंत में, पासवर्ड सलाह की सीमा को याद रखें। एक मजबूत पासवर्ड सुरक्षा की एक परत है, गारंटी नहीं। यह फ़िशिंग पृष्ठ को सुरक्षित नहीं बना सकता, मैलवेयर को ठीक नहीं कर सकता, या उस सेवा की भरपाई नहीं कर सकता जो क्रेडेंशियल्स को खराब तरीके से संग्रहीत करती है। उपयोगी आदत उबाऊ लेकिन टिकाऊ है: एक अद्वितीय मान उत्पन्न करें, इसे सुरक्षित रूप से संग्रहीत करें, पुनर्प्राप्ति पथ की रक्षा करें, और यदि आपको एक्सपोज़र का संदेह हो तो इसे जल्दी से बदलें।

अक्सर पूछे जाने वाले प्रश्न

क्या पासफ्रेज़ हमेशा पासवर्ड से अधिक मजबूत होता है?

नहीं। एक यादृच्छिक पासफ्रेज़ मजबूत हो सकता है, लेकिन एक परिचित उद्धरण या वाक्य यादृच्छिक रूप से चुने गए शब्दों के बराबर नहीं है।

मुझे पासफ्रेज़ कब चुनना चाहिए?

पासफ्रेज़ चुनें जब आपको इसे मैन्युअल रूप से याद रखने या टाइप करने की आवश्यकता हो सकती है, विशेष रूप से पासवर्ड-मैनेजर मास्टर क्रेडेंशियल के लिए।

पासफ्रेज़ में कितने शब्द होने चाहिए?

चार यादृच्छिक शब्द एक व्यावहारिक शुरुआती बिंदु है; उच्च-मूल्य वाले उपयोगों या छोटी शब्द सूचियों के लिए और शब्द जोड़ें।

स्रोत

NIST Digital Identity Guidelines