एक मज़बूत पासवर्ड कैसे बनाएँ (सही तरीक़े से)

एक मज़बूत पासवर्ड बनाने के लिए, उसे लंबा और अनियमित (रैंडम) बनाएँ: किसी क्रिप्टोग्राफ़िक रूप से सुरक्षित स्रोत द्वारा बनाए गए कम से कम 16 कैरेक्टर का लक्ष्य रखें, और हर अकाउंट के लिए एक अलग पासवर्ड इस्तेमाल करें। हमलावरों को असल में लंबाई और अप्रत्याशितता ही रोकती है — न कि आप कितने विस्मयादिबोधक चिह्न ठूँस देते हैं। एक पासवर्ड पाने का सबसे तेज़ तरीक़ा है किसी टूल को उसे बनाने देना, जैसे Andev का Password Generator, जो पासवर्ड सीधे आपके ब्राउज़र में बनाता है और उन्हें कभी कहीं नहीं भेजता।

एक पासवर्ड को असल में क्या मज़बूत बनाता है

एक पासवर्ड तब मज़बूत होता है जब उसका अनुमान लगाना और उसे ज़ोर-आज़माइश (ब्रूट-फ़ोर्स) से तोड़ना मुश्किल हो। दो चीज़ें इसे चलाती हैं:

• लंबाई। हर अतिरिक्त कैरेक्टर उन संभावित संयोजनों की संख्या को कई गुना बढ़ा देता है जिन्हें किसी हमलावर को आज़माना पड़ता है। यह गुणन घातांकीय (एक्सपोनेंशियल) होता है, इसलिए आप जो हर कैरेक्टर जोड़ते हैं वह पिछले वाले से ज़्यादा मायने रखता है।
• अनियमितता। कैरेक्टर का सचमुच अप्रत्याशित होना ज़रूरी है। किसी शब्द, नाम, जन्मदिन, या कीबोर्ड पैटर्न से बना पासवर्ड सॉफ़्टवेयर के लिए अनुमान लगाना आसान होता है, चाहे वह दिखने में कितना भी लंबा क्यों न हो।

सीधी बात: एक लंबा, अनियमित पासवर्ड मज़बूत होता है। एक छोटा, “चतुर” पासवर्ड नहीं। बाकी सब कुछ — आप कौन-से चिह्न इस्तेमाल करते हैं, बड़ा अक्षर कहाँ रखते हैं — इन दो कारकों के सामने एक मामूली सी बात है।

लंबाई-बनाम-जटिलता का मिथक

सालों तक, मानक सलाह थी “एक जटिल पासवर्ड इस्तेमाल करें”: बड़े अक्षर, छोटे अक्षर, संख्याएँ और चिह्न मिलाएँ। उस सलाह ने P@ssw0rd! जैसे पासवर्ड पैदा किए — जो जटिल दिखते हैं पर असल में कमज़ोर हैं, क्योंकि हमलावर ठीक-ठीक जानते हैं कि लोग कौन-सी अदला-बदली करते हैं (a बन जाता है @, o बन जाता है 0, अंत में एक विस्मयादिबोधक चिह्न लग जाता है)।

गणित एक साफ़ कहानी बयान करता है। किसी पासवर्ड में एक और कैरेक्टर जोड़ना, हमलावर को चाहिए होने वाले अनुमानों की संख्या को आपके कैरेक्टर सेट के आकार से गुणा कर देता है। एक विशेष चिह्न जोड़ना उस सेट को थोड़ा-सा ही चौड़ा करता है। इसलिए एक लंबा पासवर्ड लगभग हमेशा एक छोटे “जटिल” पासवर्ड को मात देता है — जैसा ऊपर का चित्र दिखाता है, लंबाई कठिनाई को इधर-उधर विराम-चिह्न छिड़कने की तुलना में कहीं तेज़ी से ऊपर धकेल देती है।

यही वजह है कि कई अनियमित शब्दों वाला एक पासफ़्रेज़ मज़बूत और याद रखने योग्य, दोनों हो सकता है। असंबंधित, अनियमित रूप से चुने गए शब्दों की एक माला लंबी होती है, अनुमान लगाना मुश्किल होती है, और चिह्नों की दीवार की तुलना में टाइप करना आसान होती है। मुख्य शब्द है अनियमित: एक ऐसा वाक्यांश जिसे आपने इसलिए चुना क्योंकि वह आपके लिए सार्थक है, ठीक वैसी ही चीज़ है जो किसी हमलावर की शब्द-सूची में पहले से मौजूद होती है।

जटिलता के नियमों की अब भी अपनी जगह है

कई साइटें कैरेक्टर के प्रकारों का मिश्रण ज़बरन लगवाती हैं, और एक जनरेट किया गया पासवर्ड उन नियमों को वैसे भी पूरा कर देगा। बात चिह्नों से बचने की नहीं है — बात उन पर अपनी मज़बूती के स्रोत के रूप में निर्भर रहना रोकने की है। लंबाई और अनियमितता को पहले सही कर लें, और जटिलता ख़ुद-ब-ख़ुद संभल जाती है।

“उसे जनरेट करना” क्यों “उसे सोचकर बनाने” से बेहतर है

इंसान बेहद घटिया रैंडम नंबर जनरेटर होते हैं। हम शब्दों, तारीख़ों, पालतू जानवरों के नामों और पैटर्नों की ओर बढ़ जाते हैं, और अकाउंटों में ख़ुद को दोहराते रहते हैं। हमलावर ठीक इन्हीं आदतों का फ़ायदा उठाते हैं।

एक अच्छा जनरेटर अनियमितता के एक क्रिप्टोग्राफ़िक रूप से सुरक्षित स्रोत से खींचकर अंदाज़ेबाज़ी को हटा देता है। किसी ब्राउज़र में, वह स्रोत है Web Crypto API — ख़ासकर crypto.getRandomValues() — जिसे अप्रत्याशित होने के लिए डिज़ाइन किया गया है। यह उन सादी “रैंडम” फ़ंक्शन से बहुत अलग है जो प्लेलिस्ट को फेरना (शफ़ल करना) जैसी चीज़ों के लिए इस्तेमाल होती हैं, जो इतनी अनुमानित होती हैं कि उन्हें सुरक्षा के लिए कभी इस्तेमाल नहीं किया जाना चाहिए।

Andev का Password Generator ठीक इसी पर बना है। यह पासवर्ड लोकल रूप से, आपके ब्राउज़र में, Web Crypto API का इस्तेमाल करते हुए बनाता है। चूँकि काम आपके डिवाइस पर होता है, जनरेट किया गया पासवर्ड कभी कहीं नहीं भेजा जाता — कोई सर्वर नहीं जो उसे देखे, उसे लॉग करे, या उसे लीक कर सके। आप किसी तीसरे पक्ष पर नतीजे का भरोसा किए बिना एक मज़बूत पासवर्ड पा लेते हैं।

एक व्यावहारिक चेकलिस्ट

इनका पालन करें और आपने उन चीज़ों को कवर कर लिया जो सचमुच मायने रखती हैं:

• लंबा रखें। कम से कम 16 कैरेक्टर इस्तेमाल करें। जितना ज़्यादा उतना बेहतर, और एक बार जब एक जनरेटर और पासवर्ड मैनेजर टाइपिंग संभाल लें, तो आप पर इसकी क़ीमत लगभग शून्य पड़ती है।
• इसे अनियमित बनाएँ। इसे ख़ुद गढ़ने के बजाय किसी क्रिप्टोग्राफ़िक रूप से सुरक्षित स्रोत से जनरेट करें।
• इसे कभी निजी जानकारी पर आधारित न करें। कोई नाम, जन्मदिन, पते, पसंदीदा टीमें, या कुछ भी ऐसा नहीं जिसे कोई आपके बारे में ढूँढ़ या अनुमान लगा सके।
• हर साइट के लिए एक अनोखा पासवर्ड इस्तेमाल करें। हर पासवर्ड पर एक अकाउंट। अगर कोई एक साइट सेंध का शिकार होती है, तो नुक़सान वहीं रुक जाता है।
• पासवर्ड कभी दोबारा इस्तेमाल न करें। दोबारा इस्तेमाल ही वह तरीक़ा है जिससे एक लीक हुआ पासवर्ड “क्रेडेंशियल स्टफ़िंग” के ज़रिए कई समझौता-शुदा अकाउंटों में बदल जाता है, जहाँ हमलावर लीक हुए लॉगिन को दूसरी साइटों पर आज़माते हैं।
• उन्हें किसी पासवर्ड मैनेजर में स्टोर करें। आपसे दर्जनों 16-कैरेक्टर वाली अनियमित स्ट्रिंग्स याद करने की उम्मीद नहीं है — यह मैनेजर का काम है। यह उन्हें आपके लिए भर भी देता है, इसलिए लंबाई असुविधाजनक नहीं रह जाती।
• टू-फ़ैक्टर ऑथेंटिकेशन (2FA) चालू करें। एक मज़बूत पासवर्ड आपकी बचाव की पहली पंक्ति है; 2FA एक दूसरा ताला है जो तब भी टिका रहता है जब पासवर्ड किसी तरह उजागर हो जाए।

कुछ ही सेकंड में एक कैसे बनाएँ

1. Password Generator खोलें।
2. लंबाई 16 या उससे ज़्यादा पर सेट करें (जिन अकाउंटों की आपको वाकई परवाह है उनके लिए और लंबी)।
3. जो कैरेक्टर प्रकार आप चाहते हैं उन्हें चुनें — ज़्यादातर साइटें एक पूरे मिश्रण से ख़ुश रहती हैं।
4. जनरेट किए गए पासवर्ड को अपने पासवर्ड मैनेजर में कॉपी करें जब आप अकाउंट बनाते या अपडेट करते हैं।
5. जहाँ भी अकाउंट 2FA की सुविधा देता है, वहाँ इसे चालू करें।

यही पूरा वर्कफ़्लो है। जनरेटर अनियमितता संभालता है, पासवर्ड मैनेजर याददाश्त संभालता है, और आपको कभी कोई पासवर्ड न गढ़ना पड़ता है और न दोबारा इस्तेमाल करना पड़ता है।

संबंधित टूल पर एक नोट

पासवर्ड और हैशिंग को आपस में उलझा देना आसान है, इसलिए साफ़ रहना ज़रूरी है: एक पासवर्ड वह राज़ है जिसे आप रखते हैं और लॉग इन करने के लिए दोबारा इस्तेमाल करते हैं, जबकि एक हैश किसी डेटा का एकतरफ़ा फ़िंगरप्रिंट होता है, जो अक्सर आपको प्रमाणित करने के बजाय अखंडता (इंटिग्रिटी) की पुष्टि करने के लिए इस्तेमाल होता है। अगर आपको किसी फ़ाइल या स्ट्रिंग का चेकसम बनाना है, तो वह काम एक हैश जनरेटर का है — यह किसी मज़बूत, अनोखे पासवर्ड का विकल्प नहीं। अपने पासवर्ड को किसी हैशिंग टूल में यह उम्मीद करते हुए पेस्ट न करें कि वह उन्हें स्टोर करने के लिए सुरक्षित बना देगा; किसी अकाउंट लॉगिन के लिए पासवर्ड हैश करने में यह शामिल नहीं है।

मुख्य बातें

• लंबाई और अनियमितता जीतती हैं। ये ही दो ऐसे कारक हैं जो सार्थक रूप से तय करते हैं कि किसी पासवर्ड को तोड़ना कितना मुश्किल है।
• जटिलता का मिथक बस एक मिथक है। एक लंबा अनियमित पासफ़्रेज़ हर बार P@ssw0rd! जैसे छोटे “जटिल” पासवर्ड को मात देता है।
• इसे किसी सुरक्षित टूल से जनरेट कराएँ। किसी अनुमान लगाने योग्य या इंसान-द्वारा-चुनी गई स्ट्रिंग के बजाय Web Crypto API के crypto.getRandomValues() पर बने स्रोत का इस्तेमाल करें।
• हर साइट के लिए एक अनोखा पासवर्ड, हर बार। कभी दोबारा इस्तेमाल न करें, कभी इसे निजी जानकारी पर आधारित न करें, और उन्हें किसी पासवर्ड मैनेजर में स्टोर करें।
• एक दूसरा ताला जोड़ें। टू-फ़ैक्टर ऑथेंटिकेशन चालू करें ताकि एक अकेला उजागर हुआ पासवर्ड खेल ख़त्म न कर दे।

अपना अगला पासवर्ड एक मज़बूत पासवर्ड बनाएँ

Password Generator मुफ़्त है, इसे किसी साइन-अप की ज़रूरत नहीं, और यह पूरी तरह आपके ब्राउज़र में चलता है — आपका पासवर्ड Web Crypto API से लोकल रूप से बनता है और कभी आपके डिवाइस से बाहर नहीं जाता। एक क्लिक में एक 16-कैरेक्टर का अनियमित पासवर्ड जनरेट करें, उसे अपने पासवर्ड मैनेजर में डालें, और इसी निजी तरीक़े से और सुरक्षा संबंधी काम करने के लिए Andev के बाकी निजी, इन-ब्राउज़र टूल देखें।