पासवर्ड लगभग हर चीज़ की सुरक्षा करते हैं जो हम ऑनलाइन करते हैं—ईमेल, बैंकिंग, सोशल मीडिया, क्लाउड स्टोरेज, डेवलपर प्लेटफॉर्म और अधिक। एक पासवर्ड के लिए सही लंबाई (और संरचना) चुनना सुरक्षा में सुधार करने के सबसे सरल तरीकों में से एक है जो आपके दैनिक कार्यप्रवाह को बहुत अधिक नहीं बदलता है।
यह लेख समझाता है कि पासवर्ड कितना लंबा होना चाहिए, लंबाई क्यों महत्वपूर्ण है, प्रमुख मानक निकाय क्या अनुशंसा करते हैं, और कैसे मजबूत, अनोखे पासवर्ड बनाएं जो प्रबंधित करना आसान हों।
मजबूत पासवर्ड क्या है?
एक मजबूत पासवर्ड वह है जिसे हमलावर अनुमान नहीं लगा सकते या समझ नहीं सकते। मजबूती दो मुख्य घटकों से आती है:
- लंबाई: अधिक वर्णों से संभावित संयोजनों की संख्या में नाटकीय वृद्धि होती है।
- अप्रत्याशितता: यादृच्छिकता और सामान्य पैटर्न या व्यक्तिगत जानकारी से बचना।
जब ये दो कारक उपस्थित होते हैं, तो पासवर्ड ब्रूट-फोर्स आक्रमणों (प्रणालीगत संयोजनों का प्रयास), शब्दकोश आक्रमणों (सामान्य शब्दों और पैटर्न का प्रयास) और कई स्वचालित क्रैकिंग तकनीकों के खिलाफ दृढ़ होते हैं।
न्यूनतम पासवर्ड लंबाई: 16 वर्णों (या अधिक) का लक्ष्य रखें
सुरक्षा विशेषज्ञ लगातार लंबाई पर जोर देते हैं। अमेरिकी साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (CISA) अनुशंसा करती है कि पासवर्ड "लंबे—कम से कम 16 वर्ण लंबे (यहां तक कि अधिक लंबा बेहतर है)" होने चाहिए। आप उनका मार्गदर्शन यहां पढ़ सकते हैं: https://www.cisa.gov/secure-our-world/require-strong-passwords
नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (NIST) अपने डिजिटल आइडेंटिटी गाइडलाइन्स में समान रवैया रखता है, यह बताते हुए कि पासवर्ड की लंबाई पासवर्ड शक्ति को दर्शाती है और उपयोगकर्ताओं को लंबे पासवर्ड बनाने के लिए प्रोत्साहित किया जाना चाहिए जहां संभव हो। देखिए: https://pages.nist.gov/800-63-4/sp800-63b.html
व्यवहार में, 14 वर्णों को न्यूनतम सीमा माना जाना चाहिए, जबकि 16+ वर्ण बेहतर डिफॉल्ट होता है। विशेष रूप से संवेदनशील या दीर्घकालिक खातों के लिए, इसे अधिक लंबा बनाना फायदेमंद होता है—यदि साइट इसकी अनुमति देती है और आप पासवर्ड को सुरक्षित रूप से संग्रहीत कर सकते हैं।
क्या सबसे लंबा पासवर्ड हमेशा सबसे अच्छा होता है?
लंबे पासवर्ड लगभग हमेशा ब्रूट-फोर्स के खिलाफ मजबूत होते हैं। लेकिन कुछ व्यावहारिक विचार हैं:
- साइट की सीमाएँ: कुछ सेवाएँ अधिकतम लंबाई या कुछ पात्रों को प्रतिबंधित करती हैं। जब ऐसा होता है, उच्च यादृच्छिकता के साथ अनुमति दी गई सबसे लंबी लंबाई का उपयोग करें।
- उपयोगिता: यदि आप छोटे उपकरणों पर पासवर्ड टाइप कर रहे हैं या सीमित पर्यावरण में हैं, तो अत्यंत लंबे स्ट्रिंग कष्टकर हो सकते हैं—जब तक आप पासवर्ड प्रबंधक का उपयोग करके ऑटो-फिल नहीं करते।
- खतरा मॉडल: मजबूत दर सीमित और मल्टी-फैक्टर ऑथेंटिकेशन (MFA) वाले खातों के लिए, 20–24 वर्णों से आगे जाना घटती लाभ हो सकता है बजाय इसके कि आप MFA सक्षम करें और अनोखीता सुनिश्चित करें।
सार: उस साइट की नीति और आपके कार्यप्रवाह के अनुसार सबसे लंबा, सबसे यादृच्छिक पासवर्ड उपयोग करें—फिर उपलब्ध हो तो MFA जोड़ें।
क्या मुझे संख्याओं, बड़े अक्षरों और विशेष पात्रों की आवश्यकता है?
कई साइटें वस्त्र सेटों के मिक्स की आवश्यकता रखती हैं (छोटे अक्षर, बड़े अक्षर, अंक, प्रतीक)। कई सेटों को शामिल करने से सामान्यतः खोज स्थान में वृद्धि होती है और अनुमान हमलों में बाधा पड़ती है। हालाँकि, "जटिलता के नियम" की तुलना में लंबाई और यादृच्छिकता कम महत्वपूर्ण होते हैं। केवल अक्षरों का उपयोग करने वाला 20-वर्णों का यादृच्छिक पासवर्ड हर प्रकार के वर्ण मिलाकर बनाए गए 8-वर्णों की स्ट्रिंग से अधिक मजबूत हो सकता है।
यदि कोई साइट संरचना के नियम लागू करती है, तो अपने पासवर्ड प्रबंधक को एक ऐसा यादृच्छिक पासवर्ड उत्पन्न करने दें जो उन्हें संतुष्ट करता है। यदि ऐसा नहीं है, तो मजबूर जटिलता पर लंबाई और यादृच्छिकता को प्राथमिकता दें।
अक्सर संदर्भित चार वर्ण सेट हैं:
- अंक (0–9)
- छोटे अक्षर (a–z)
- बड़े अक्षर (A–Z)
- प्रतीक (जैसे, ! $ % & ? # @)
यादृच्छिकता: वास्तविक ताकत की कुंजी
अगर पासवर्ड अनुमानित पैटर्न का अनुसरण करता है तो केवल लंबाई पर्याप्त नहीं है। बचें:
- कीबोर्ड वॉक जैसे
1qaz2wsxयाqwertyuiop - सामान्य शब्द और वाक्यांश (यहां तक कि बहुत लंबे)
- व्यक्तिगत जानकारी (नाम, तिथियां, पते)
दो उत्कृष्ट तरीके जिन्हें आप यादृच्छिकता के साथ जी सकते हैं:
- यादृच्छिक पासवर्ड: एक पासवर्ड जनरेटर को 16–24 वर्णों के स्ट्रिंग उत्पन्न करने दें जो कई वर्ण सेटों को शामिल करें। उन्हें एक पासवर्ड प्रबंधक में संग्रहीत करें ताकि आपको कभी उन्हें याद नहीं करना पड़े।
- पासफ्रेज: 4–6 यादृच्छिक रूप से चुने गए शब्दों का उपयोग करें (किसी आम कहावत या गीत के बोल का नहीं)। यादृच्छिक शब्द पासफ्रेज जैसे
tunnel-magnet-silk-oxygen-duetलंबाई वाले और अधिक यादगार हो सकते हैं। विभाजक जोड़ें और, यदि अनुमति हो, तो एक प्रतीक या संख्या या दो जोड़ें।
क्यों "बहुत लंबा" भी कमजोर हो सकता है
कुछ लंबी स्ट्रिंग्स आसान लक्ष्य होते हैं क्योंकि वे स्पष्ट पैटर्न का पालन करती हैं या वे उल्लंघन डेटा सेट्स में पाई जाती हैं। उदाहरण के लिए, लंबे कीबोर्ड अनुक्रम, दोहराए गए वर्ण ब्लॉक, या व्यापक रूप से साझा "चालें" आधुनिक क्रैकिंग उपकरणों द्वारा सर्वप्रथम अनुमानित होते हैं। प्रभावशीलता के लिए लंबाई को अप्रत्याशितता के साथ जोड़ा जाना चाहिए।
पासवर्ड का उपयोग करने से पहले, यह बुद्धिमानी है कि यह ज्ञात उल्लंघन कोर्पस में प्रकट नहीं होता। कई पासवर्ड प्रबंधक और सुरक्षा उपकरण "क्या मैं उड़ा गया हूँ" जांच या समान स्क्रीनिंग प्रदान करते हैं। आप अपने पासवर्ड को मूल्यांकन करने के लिए पासवर्ड स्ट्रेंथ टेस्टर का भी उपयोग कर सकते हैं।
अनुमान के परे: फिशिंग और पुनः उपयोग जोखिम
सभी खाता टेकओवर में अनुमान शामिल नहीं होता। फिशिंग और पुनः उपयोग हैक के सामान्य कारण हैं:
- फिशिंग: 30-वर्णों का पासवर्ड भी चोरी हो सकता है अगर आप इसे एक नकली साइट पर दर्ज करते हैं। जहां संभव हो वहां MFA का उपयोग करें और उच्च मूल्य खातों के लिए हार्डवेयर सुरक्षा कुंजी पर विचार करें।
- पुनः उपयोग: यदि आप एक पासवर्ड का पुनः उपयोग करते हैं, तो एक साइट पर उल्लंघन अन्य साइटों तक फैल सकता है। अलग-अलग पासवर्ड हर साइट पर धमाका सीमा में रखते हैं।
लंबाई अनुमान के खिलाफ मदद करता है, लेकिन फिशिंग और पुनः उपयोग को MFA और एक पासवर्ड प्रबंधक द्वारा अनौखे क्रेडेंशियल्स के सहारे से कम किया जाता है।
मजबूत पासवर्ड के सर्वोत्तम अभ्यास
- पासवर्ड प्रबंधक का उपयोग करें: हर खाता के लिए अनौखे, यादृच्छिक पासवर्ड उत्पन्न और संग्रहीत करें। यह उन्हें याद रखने की आवश्यकता को समाप्त करता है और लंबे स्ट्रिंगों का उपयोग करने को सरल बनाता है।
- लंबाई और यादृच्छिकता को प्राथमिकता दें: 16+ वर्णों का लक्ष्य रखें। जहां तक संभव हो, कई वर्ण सेटों को शामिल करें, परंतु मनमाने नियमों की पूर्ति के लिए लंबाई को बलिदान न करें।
- हर जगह MFA चालू करें: ऐप-आधारित TOTP, पुश-आधारित प्रमाणीकरणकर्ता, या हार्डवेयर कुंजी जोखिम को काफी कम करते हैं।
- पासवर्ड का पुनः उपयोग न करें: एक साइट, एक पासवर्ड—हमेशा।
- व्यक्तिगत जानकारी और पैटर्न से बचें: न तो नाम, जन्मदिन, पते, या कीबोर्ड पथ।
- महत्वपूर्ण खातों की समय-समय पर समीक्षा करें: ईमेल, वित्तीय सेवाएं, डेवलपर प्लेटफॉर्म, और व्यवस्थापक कंसोल को अतिरिक्त ध्यान देने की आवश्यकता होती है।
प्रत्येक खाते के लिए सभी पासवर्ड को अनूठा और मजबूत प्रबंधित करना
अभ्यास में, 16–24 वर्णों के अनोखे पासवर्ड को दर्जनों (या सैकड़ों) साइटों पर स्केल करने का तरीका पासवर्ड प्रबंधक का उपयोग करना है। एक प्रबंधक के साथ, आप कर सकते हैं:
- प्रत्येक साइट की नीति के अनुसार मजबूत पासवर्ड उत्पन्न करें (हमारे पासवर्ड जनरेटर का प्रयास करें)
- गलत टाइपिंग से बचने के लिए ऑटो-फिल करें (और कंधे की झलकियां कम करें)
- उपकरणों के बीच सुरक्षित रूप से सिंक करें
- पुन: उपयोग किए गए, कमजोर, या उल्लंघनित पासवर्ड के लिए जाँच करें (हमारे पासवर्ड स्ट्रेंथ टेस्टर का उपयोग करें)
यदि कोई साइट लंबाई या प्रतीकों को सीमित करती है, तो जनरेटर को अनुकूलित करें—अभी भी अधिकतम लंबाई को प्राथमिकता देते समय।
त्वरित सिफारिशें
- दैनिक खातों के लिए: 16–20 यादृच्छिक वर्ण
- उच्च-मूल्य के खाते (ईमेल, बैंकिंग, क्लाउड व्यवस्थापक): 20–24 यादृच्छिक वर्ण + MFA
- लंबे समय तक रहस्य (एपीआई कुंजी, एसएसएच कुंजी): प्रबंधक भंडारण का उपयोग करें; प्लेटफ़ॉर्म मार्गदर्शन का पालन करें; केवल तभी पासफ्रेज का प्रयोग करें यदि वे वास्तव में यादृच्छिक हों
अंतिम विचार
पासवर्ड कितना लंबा होना चाहिए? जितना साइट की अनुमति हो—कम से कम 16 वर्णों का लक्ष्य रखें—और इसे यादृच्छिक और अनोखा बनाएं। मजबूत दूसरे स्तर के लिए MFA जोड़ें। पासवर्ड प्रबंधक पीढ़ी और भंडारण को संभाल कर, आप बिना अतिरिक्त संज्ञानात्मक भार के मजबूत सुरक्षा प्राप्त कर सकते हैं।
