एक संगठन के लिए तो एक पासवर्ड नीति एक अच्छा और बुरा विचार दोनों है। पासवर्ड जनरेट करने की कोई भी प्रणाली वास्तव में बेतरतीब ढंग से उत्पन्न पासवर्ड की तुलना में छोटे सेट का कारण बनेगी। एक्सकेसीडी कहानी प्रणाली जैसी चीजों के साथ काम करने में मदद करने के लिए वे उपयोगकर्ता के बारे में व्यक्तिगत वस्तुओं से बचते हैं, जिन्हें ज्ञात या खोजा जा सकता है।
एक उदाहरण के रूप में, यह सुझाव देते हुए कि उपयोगकर्ता अपने नाम का उपयोग करते हैं, संख्याओं के लिए प्रतिस्थापित किए गए (a = 1, b = 2, आदि) से कुछ ऐसा उत्पन्न होगा जो औसत व्यक्ति को यादृच्छिक दिखता है लेकिन उसे तोड़ना आसान है। एक अन्य शब्द जैसे नौकरी शीर्षक, विभाग या माताओं का नाम शामिल करना प्रदर्शन में शामिल होगा, लेकिन आपके पास अभी भी मूल रूप से ऐसा कुछ है जिसे एक विवादास्पद हमले को उठाना चाहिए। यह सब हो सकता है कि अब आपने (पश्चिमी?) संस्कृति में उचित संज्ञाओं से शब्दकोश हमले के समय में वृद्धि की है।
थॉमससफ़ॉन्ग्वॉइनर Th4m1sS4ftw1r22g3n22r हो जाता है
यादृच्छिक लगता है, लेकिन एक सॉफ्टवेयर प्रोग्राम के लिए बहुत यादृच्छिक नहीं है। निश्चित रूप से एक को नहीं पता है कि उपयोगकर्ता थॉमस नामक एक सॉफ्टवेयर इंजीनियर है।
यदि आप उन स्टोरों के संग्रह में जोड़ते हैं जिन्हें लोग शामिल कर सकते हैं, तो कुछ यादगार लेकिन अस्पष्ट चीजें हो सकती हैं: - बचपन की यादें - सीक्रेट क्रश - नेमेसिस - पहली कारें - कार नंबर प्लेट - एक किताब से कथाएं जो वे चाहते हैं कि यह कुछ हो सके। थोड़ा और लंबा और पासवर्ड के लिए अब लगभग हमेशा बेहतर होता है। थॉमस के पास अपनी पहली कार के रूप में एक एस्ट्रा थी और उन्होंने इसे नदी में एक कांटे में डाल दिया ।
ThomasAstrafordriver
फिर से यह केवल 4 शब्द है, लेकिन यह यादगार होने लगता है। मैं उस कार को शामिल कर सकता हूं जिस वर्ष मुझे कार मिली थी या जिसे मैंने तोड़ दिया था।
ThomasAstra2005fordriver2006
मैं अंतरिक्ष के रूप में उपयोग करने के लिए कुछ प्रतीक चुनकर एन्ट्रापी को आगे बढ़ा सकता था, _ और - अच्छी तरह से जाना जाता है, लेकिन वे कुछ भी नहीं से बेहतर हैं और कुछ भी जिसे अनुमति दी जाती है उसे चुना जा सकता है।
थॉमस # एस्ट्रा # 2005 # चालक # 2006 के लिए #
अब यह यादगार है, एक उच्च एंट्रॉपी है और किसी को अनुमान लगाने में थोड़ा समय देना चाहिए। सभी अच्छे पासवर्ड के साथ मुझे इसे टाइप करने के लिए सीखने में कुछ समय लगेगा लेकिन अगर आप आसानी से पासवर्ड टाइप कर सकते हैं तो यह शायद अच्छा नहीं है।
अब मैं आपको किसी ऐसे पासवर्ड का उपयोग करने या टाइप करने की सलाह नहीं दूंगा, जिसकी आप वास्तव में किसी भी ब्राउज़र में परवाह करते हों, ताकि आप वास्तविक के बजाय इसी तरह का उपयोग करना चाहें, लेकिन ...
https://www.grc.com/haystack.htm
उपरोक्त वेबसाइट एक अच्छा प्रदान करता है एक पासवर्ड के लिए खोज स्थान का आकार देखने के लिए था। यह ताकत को मापता नहीं है, लेकिन यह आपको एक विचार देता है कि लंबाई महत्वपूर्ण है जैसे कि कैप्स, संख्या और प्रतीकों का उपयोग करना:
पासवर्ड खोज अंतरिक्ष आकार
थॉमससेंटर एंगाइनर 5.76 x 10 ^ 37
Th4m1sS4ftw1r22g3n22r 4.44 x 10 ^ 37
थॉमसएस्ट्राफर्ड्रिवर 2.13 x 10 ^ 34
थॉमसएस्ट्रा २००५फ़ोर्डिवर २००६ १.५६ x १० ^ ५०
थॉमस # एस्ट्रा # 2005 # # ड्राइवर # 2006 के लिए 1.86 x 10 ^ 65
मेरे द्वारा सुझाई गई अन्य बातें यह है कि आप उपयोगकर्ताओं के पासवर्ड लेते हैं और उन्हें एक स्थानीय, सुरक्षित, शक्तिशाली सर्वर के माध्यम से चलाते हैं, जिसमें पासवर्ड क्रैकिंग टूल होता है, जो शब्दकोश और ब्रूट फोर्स अटैक करता है। अगर आप एक हफ्ते में पासवर्ड क्रैक कर सकते हैं तो कोई और कर सकता है। जब आप इसे क्रैक करते हैं तो यह पासवर्ड समाप्त हो जाता है और उपयोगकर्ता को एक नया बनाने के लिए कहता है, संभवतः उन्हें हिट प्रदान करता है।
- सवाल का जवाब देने के लिए या "वास्तव में यादृच्छिक की तुलना में कितना कम सुरक्षित है" --- मैंने इसे टिप्पणी के रूप में रखा था, लेकिन यह उत्तर देने वाले के अतिरिक्त बेहतर है। मेरे उपर्युक्त उदाहरणों से लिया गया:
इन एकाधिक शब्द पासवर्डों की तुलना वास्तव में यादृच्छिक चरित्र पासवर्डों से कैसे की जाती है यह निर्भर करता है कि आप शब्दकोश शब्दों का इलाज कैसे करना चाहते हैं। हम एन्ट्रापी calcs का उपयोग करते हैं कि यहां बताया गया है: [ http://blog.shay.co/password-entropy][1]
H = Llog2N जहां L पासवर्ड की लंबाई है और N अक्षर का आकार है
हम चीजों को दो तरीकों से कर सकते हैं। यदि हमने प्रत्येक डिक्शनरी शब्द को वर्णमाला के एक प्रतीक के रूप में माना है तो ThomasSoftwareEngineer केवल L = 3 है लेकिन N क्या है? वैसे Google और OED का कहना है कि अंग्रेजी भाषा में लगभग 200,000 शब्द हैं, इसलिए हमें मिलता है: H = 3 * log [base2] * 200,000 = 52.83 जो 9-अल्फा-न्यूमेरिक चार पासवर्ड के समान है। यदि आप संख्याओं के साथ कुछ स्वरों के प्रतिस्थापन की अनुमति देते हैं तो आप अपने वर्णमाला के आकार को लगभग 400,000 तक दोगुना कर देते हैं, इसलिए यह H = 3 * log [base2] * 400,000 = 55.83 हो जाता है। XKCD कॉमिक 3 के बजाय 4 शब्द शब्दों का उपयोग करता है, ये हमें एक से लेते हैं। 3 शब्दों के लिए 52.8 का एन्ट्रापी (कोई अंक): एच = 4 * लॉग [बेस 2] * 200,000 = 70.44 70.4 एक 12 वर्ण वाले अल्फ़ान्यूमेरिक पासवर्ड (एच = 12) के रूप में एक ही एन्ट्रापी है [बेस 2] * 62 = 71। 45) तो सवाल यह है कि क्या आप 12 यादृच्छिक संख्याओं और अक्षरों को याद रख सकते हैं और साथ ही साथ 4 गैर-संबंधित अंग्रेजी शब्दों को भी याद रख सकते हैं? स्पष्ट रूप से एक लंबा पासवर्ड (अधिक शब्द) हमेशा बेहतर होने वाला है और आपको छोटे शब्दों से बचना चाहिए (जैसा कि 4 * 3-अक्षर वाले शब्द केवल 12 अल्फा वर्ण हैं जो 68.4 का एक एन्ट्रॉपी है)।
तो यहाँ आपको पासवर्ड की प्रत्येक शैली के लिए एंट्रिपीज़ हैं: न्यूमेरिक पासवर्ड (एन = 10) एन्ट्रॉपी (एच) लंबाई (एल) वर्णमाला आकार (एन) 9.965784285 3 10 13.28771238 4 10 16 16964047 5 10 10
Case Insensitive Alphabetic Passwords (N = 24)
13.7548875 3 24
18.33985 4 24
22.9248125 5 24
Case Sensitive Alphabetic Passwords (N = 52)
17.10131915 3 52
22.80175887 4 52
28.50219859 5 52
Case Sensitive Alpha-Numeric Passwords (N = 62)
17.86258893 3 62
23.81678524 4 62
29.77098155 5 62
Case Sensitive Alpha-Numeric Passwords with symbols on a QWERTY keyboard (N = 94)
19.66376656 3 94
26.21835541 4 94
32.77294426 5 94
Passwords formed using a random selection of 200,000 words from the English Language (N=200000)
52.82892142 3 200000
70.4385619 4 200000
88.04820237 5 200000
As above but assuming you know 20,000 words (N=20,000)
42.86313714 3 20000
57.15084952 4 20000
71.4385619 5 20000
नोट: 20,000 शब्द एक अनुमानित संख्या है जो एक शिक्षित अंग्रेजी उपयोगकर्ता को पता होगा इसलिए यह शायद एक बेहतर विकल्प है कि लोग क्या चुनते हैं। फिर भी यह दर्शाता है कि 3 सामान्य शब्द एक पासवर्ड बनाते हैं जो QWERTY कीबोर्ड से 5-char पूरी तरह से यादृच्छिक पासवर्ड से बेहतर है।
getRandomNumberबुरा है?