अपने पासवर्ड को टूटने से बचाना: गणित की अवधारणाओं को समझना

एक पासवर्ड एक गुप्त वाक्यांश या शब्द है जो अकेले उपयोगकर्ता या उपयोगकर्ताओं के प्रतिबंधित समूह के लिए जाना जाता है। अनगिनत वेबसाइटों को उपयोगकर्ताओं के खातों को सुरक्षित करने के लिए पासवर्ड की आवश्यकता होती है। पासवर्ड के लिए न्यूनतम संख्या में वर्ण या एक प्रतीक और एक संख्या संयोजन की आवश्यकता हो सकती है।

लेकिन क्या यह सुरक्षित पासवर्ड की गारंटी देता है?

वेब उपयोगकर्ताओं के इरादों के बावजूद, नीतियां अक्सर उन्हें भयानक पासवर्ड चुनने के लिए मजबूर करती हैं। साक्ष्य दर्शाता है कि जब मनमानी प्रक्रियाओं के अनुक्रम लागू किए जाते हैं, तो उपयोगकर्ता चिढ़ जाते हैं और भयानक पासवर्ड चुनते हैं। यह आंशिक रूप से इसलिए होता है क्योंकि अधिकांश लोगों को यह पता नहीं होता है कि उनके पासवर्ड का उपयोग कैसे किया जा सकता है।

साइबर सुरक्षा समुदाय से बार-बार चेतावनियों के बावजूद, कई लोग सोचते हैं कि उनके संख्यात्मक संस्करण के लिए अक्षरों को बदलना - जैसे "3ebra" - उनके पासवर्ड को किसी हमले के दौरान क्रैक करना अधिक चुनौतीपूर्ण बना देता है जब यह कुछ नहीं करता है। एक बार ऐसा होने पर, उपयोगकर्ताओं को दो समस्याएं होती हैं: एक असुरक्षित पासवर्ड और सुरक्षा का भ्रम क्योंकि पासवर्ड उन्हें मुश्किल लगता है लेकिन कंप्यूटर के लिए समझने में आसान है।

पासवर्ड से छेड़छाड़ और इसमें शामिल गणित को बेहतर ढंग से समझकर आप दूसरों को अच्छे पासवर्ड सेट करना या बनाना सिखा सकते हैं।

सभी एक ही जगह

यह मानकर कि एक जेबकतरे ने आपका क्रेडिट कार्ड चुरा लिया है और फिर इसका उपयोग आपके खाते तक पहुँचने के लिए करने की कोशिश की। (आइए यह भी सोचें कि आपका बैंक पांच या अधिक असफल प्रयासों के बाद चोरी हुए क्रेडिट कार्ड को फ्रीज नहीं करेगा, जैसा कि आजकल किया जाता है)। अधिकांश बैंकों की तरह, एटीएम से पैसे निकालने के लिए 4-अंकीय पिन का उपयोग किया जाता है। तो क्या संभावना है कि आपका पैसा सुरक्षित है?

क्या संभावना है कि वह केवल संयोग से ही आपके पासवर्ड का सफलतापूर्वक अनुमान लगा लेगा?

दस संभावित संयोजन हैं क्योंकि आपके पिन का पहला अंक 0 से 9 तक कोई भी संख्या हो सकता है। दस विकल्प भी हैं क्योंकि दूसरे अंक के लिए कोई सीमा नहीं है जो उसकी संभावनाओं को सीमित कर दे (उदाहरण के लिए, यदि आप ' पुनरावर्ती संख्याओं वाले पिन का उपयोग न करें)। वही तीसरे और चौथे अंक के लिए जाता है।

10,000 संभावित पासवर्ड हैं, जिनमें से एक आपका हो सकता है: 10 x 10 x 10 x 10 = 10,000। 10,000 पासवर्ड के एक यादृच्छिक नमूने में एक हमलावर द्वारा आपके पासवर्ड की सटीक भविष्यवाणी करने की 10,000 में से 1 संभावना होगी।

क्योंकि मनुष्य यादृच्छिक संख्या या कुछ और उत्पन्न नहीं कर सकता, यह वास्तविकता में पूरी तरह से सच नहीं है। हमारे दिमाग में पूर्वाग्रह हमें बंदी बना लेते हैं। यहां तक कि ऐसा लगता है कि हम यादृच्छिक रूप से संख्याओं के साथ आए हैं, हम अनुक्रमिक संख्याओं का उपयोग करते हैं और दो या चार संख्याओं के समूहों में अधिक बार सोचते हैं।

व्यवहार में, उन 10,000 संभावनाओं का एक सबसेट वास्तविक दुनिया में काफी अधिक बार होता है। उदाहरण के लिए, 1234 या 1111, 7148 की तुलना में बहुत अधिक नियमित रूप से दिखाई देते हैं।

हालांकि यह असंभव है कि अपराधी के पास एटीएम में 10,000 संयोजनों को इनपुट करने के लिए पर्याप्त समय होगा, एक मानक कंप्यूटर प्रति सेकंड दसियों अरबों प्रयास कर सकता है। एक हमलावर आसानी से 4 अंकों का पिन डीकोड कर सकता है।

हालाँकि, यह संभावना नहीं है कि अपराधी के पास एटीएम में 10,000 संयोजन टाइप करने के लिए पर्याप्त समय होगा, एक नियमित कंप्यूटर आज प्रति सेकंड दसियों अरबों परीक्षण कर सकता है। 4 अंकों का पिन तेजी से क्रैक हो जाएगा। जितना हो सके अपने पासवर्ड का नमूना स्थान बढ़ाने से इसे तोड़ना मुश्किल हो सकता है; एक हजार की तुलना में एक ट्रिलियन संयोजनों में से सही पासवर्ड निकालना अधिक कठिन है।

पासवर्ड स्पेस क्या है?

पासवर्ड स्पेस एक विशिष्ट वर्णमाला, वर्णों के सेट और अधिकतम पासवर्ड लंबाई के लिए संभावित पासवर्ड संयोजनों की कुल संख्या है। यह यादृच्छिक अनुमानों की संख्या की गणना करके पासवर्ड की सुरक्षा और भेद्यता को मापता है जो एक क्रूर बल हमले के दौरान पासवर्ड खोजने के लिए किया जा सकता है।

अनुमत वर्णों का आकार (अक्षर, संख्या, प्रतीक, आदि) और पासवर्ड की लंबाई निर्धारित करती है कि संभावित पासवर्ड स्थान कितना बड़ा है। नतीजतन, लंबे और अधिक जटिल पासवर्ड का उपयोग किया जाता है, विरोधियों के लिए कुछ हद तक अचूक पासवर्ड को मजबूर करना अधिक चुनौतीपूर्ण हो जाता है क्योंकि पासवर्ड स्थान चौड़ा हो जाता है।

पासवर्ड नमूना स्थान की गणना कैसे करें

पहले चर्चा किए गए क्रेडिट कार्ड उदाहरण से, हमने अनुमत अंकों के लिए अनुमत वर्णों की संख्या को गुणा करके पिन के नमूना स्थान की गणना की। प्रत्येक अंक के लिए दस पात्र वर्ण इनपुट थे; 10 x 10 x 10 x 10 या 104।

पासवर्ड नमूना स्थान की गणना करने के लिए, हम सूत्र S = CN . का उपयोग कर सकते हैं

कहाँ पे:

एस = नमूना स्थान में संभावित पासवर्ड की कुल संख्या

सी = उपलब्ध वर्णों के पूल में वर्णों की संख्या

एन = हमारे पासवर्ड में वर्णों की संख्या।

• यदि आप ऐसे पासवर्ड का उपयोग करते हैं जिसमें केवल अपरकेस अक्षर हैं, तो C =26 • यदि आप ऐसे पासवर्ड का उपयोग करते हैं जिसमें अपरकेस और कम से कम एक लोअरकेस अक्षर है, तो C =52 • यदि आप अपरकेस अक्षरों वाले पासवर्ड का उपयोग करते हैं, तो कम से कम एक लोअरकेस अक्षर, और संख्याएँ, फिर C =62 • यदि आप सभी वर्णों में फैले पासवर्ड का उपयोग करते हैं, तो C =95 अब, आइए विभिन्न पासवर्डों की तुलना करें और देखें कि उनका नमूना स्थान एक दूसरे से कैसे भिन्न होगा: उदाहरण: YGMEOH C = 26 (केवल अपरकेस)N=6 S = 308,915,776 या लगभग 309 मिलियन पासवर्ड संयोजन

S= CN S= 266 = 308,915,776 संयोजन सभी वर्णों का उपयोग करते हुए और पासवर्ड की लंबाई 6 वर्णों पर छोड़ते हुए, हमारे पास है:

उदाहरण: @ क्यू: टी -2

सी = 95

एन = 6

S = 735,091,890,625 या लगभग 735 बिलियन पासवर्ड संयोजन

एस= सीएन एस= 956 = 735,091,890,625 संयोजन।

केवल अपरकेस अक्षरों का उपयोग करना और लंबाई को 16 वर्णों तक बढ़ाना, हमारे पास है

उदाहरण: tfucbxqhjyepvgmw सी = 26

एन = 16 एस = 43,608,742,899,428,874,059,776 पासवर्ड संयोजन, हमारे पिछले उदाहरण @Q:t-2 से लगभग 59 बिलियन गुना अधिक। एस= सीएन एस= 2616 = 43,608,742,899,428,874,059,776 संयोजन। उपरोक्त दृष्टांत से, यह स्पष्ट है कि नमूना स्थान एक पासवर्ड को क्रैक करना कठिन बनाता है, न कि प्रतीकों या संख्याओं को शामिल करना। आप अधिक वर्णों के साथ नमूना स्थान का आकार लंबाई में बढ़ा सकते हैं।

पासवर्ड की ताकत को कैसे मापें: एन्ट्रॉपी

इस संबंध में एंट्रॉपी किसी विशेष पासवर्ड के नमूना स्थान के आकार का एक माप है, अर्थात, पासवर्ड की ताकत का एक उपाय। यह मापना आसान नहीं है कि पासवर्ड कैसे बनाया गया था, यह जाने बिना उसे क्रैक करना कितना मुश्किल हो सकता है। फिर भी, एक संख्या - एन्ट्रापी के बिट्स में व्यक्त - यह दर्शाता है कि पासवर्ड आसान हो सकता है या क्रैक करना मुश्किल हो सकता है। एन्ट्रापी जितनी अधिक होगी, पासवर्ड को क्रैक करना उतना ही कठिन होगा; एन्ट्रापी जितनी कम होगी, दरार करना उतना ही आसान होगा। याद रखें कि दशमलव अंकों में दस संभावनाएँ होती हैं; 0 से 9 लेकिन एक द्विआधारी अंक - जिसे बिट के रूप में भी जाना जाता है - में केवल दो संभावनाएं हैं जो 0 और 1 हैं; यानी, दशमलव अंक के लिए S=CN 10N है, लेकिन थोड़ी देर के लिए, यह 2E है; जहां ई बिट्स की संख्या है। इसलिए, यदि बिट दो संभावनाओं के एक नमूना स्थान का प्रतिनिधित्व करता है, तो 50 बिट्स की एन्ट्रॉपी 250 = 2 x 2 x 2 x ... संभावनाओं के स्थान को परिभाषित करेगी। इसलिए, 250 अद्वितीय पासवर्ड के पूल से 50 बिट एंट्रॉपी का पासवर्ड प्राप्त किया जाएगा। इसी तरह, 251 के संग्रह से 51 बिट्स वाला पासवर्ड प्राप्त किया जाएगा, जिससे 50-बिट पासवर्ड की तुलना में इसे क्रैक करना कठिन हो जाएगा। नीचे दिए गए सूत्र का उपयोग पासवर्ड की एन्ट्रॉपी ई = लॉग 2 (सीएन) या ई = एन एक्स लॉग 2 (सी) की गणना के लिए किया जा सकता है उदाहरण के लिए, आइए बर्बेक्यूई201 की एन्ट्रॉपी की गणना करें यहां सी = 26 +26 + 10 = 62 एन = 11 ई = N x log2 (C) E = 11 x log2 (62) = 11 x 5.9541 E = 65.5 बिट्स S से = 2E S = 265.5 S = 52,175,271,301,331,128,849.398 संयोजन Berbecue2(!0>}}} के लिए एन्ट्रॉपी E = N x होगी log2 (C) E = 16 x log2 (95) = 16 x 6.5698 E = 105.1 बिट्स S= 2E S से = 2105.1 S = 43,476,296,738,970,232,553,127,150,068,066.389 संयोजन उपरोक्त उदाहरण इस बात की पुष्टि करते हैं कि एन्ट्रापी जितनी अधिक होगी, ऐसे पासवर्ड को क्रैक करना उतना ही कठिन होगा। । तो एन्ट्रापी दिखाता है कि एक पासवर्ड को बलपूर्वक लागू करने के लिए कितने परीक्षण प्रयास होंगे। सांख्यिकीय रूप से, एक विरोधी को अंतिम प्रयास की तुलना में पहले पासवर्ड मिल जाएगा; उन्हें सही संयोजन प्राप्त करने से पहले सभी संयोजनों से गुजरने की आवश्यकता नहीं है। इसलिए गणना करते समय पासवर्ड की ताकत, अनुमानों की अपेक्षित संख्या पर विचार किया जाता है; यह अक्सर सही अनुमान लगाने के प्रयासों की संख्या का 50% होता है . 105.1 बिट पासवर्ड के लिए, S= 2E - 1 S = 2105.1 - 1 S = 21,738,148,369,485,116,276,563,575,034,033.194 संयोजन।

क्यों उच्च एन्ट्रापी पर्याप्त नहीं है

सुरक्षित पासवर्ड चुनने में कई कारक शामिल होते हैं, जिसमें पासवर्ड एन्ट्रॉपी शामिल है। यदि दो पासवर्ड में समान एन्ट्रापी है, तो एक मध्यम रूप से मजबूत हो सकता है जबकि दूसरा अविश्वसनीय रूप से कमजोर हो सकता है। यह पासवर्ड डिक्शनरी के कारण है, जो इंटरनेट पर उपलब्ध लीक पासवर्ड के कैटलॉग हैं।

इस तरह के कैटलॉग का उपयोग डिक्शनरी अटैक के रूप में जाना जाता है, जहां कोई भी विरोधी आपके पासवर्ड को क्रैक करने का प्रयास करने से पहले एक क्रूर बल हमले का प्रयास करने से पहले पासवर्ड डिक्शनरी का प्रयास करेगा। इसलिए, यदि आप इस डिक्शनरी में पासवर्ड का उपयोग करते हैं, तो एंट्रॉपी के बिट्स की संख्या कोई मायने नहीं रखेगी क्योंकि पासवर्ड तेजी से क्रैक हो जाएगा।

पासवर्ड हैशिंग एल्गोरिदम

यदि वेब व्यवस्थापक अपने सर्वर पर सादे पाठ में पासवर्ड संग्रहीत करते हैं, तो हमलावरों के लिए पासवर्ड प्राप्त करना आसान होगा यदि वे वेब सर्वर तक पहुंच सकते हैं, भले ही पासवर्ड मजबूत हों। यही कारण है कि यह अत्यधिक अनुशंसा की जाती है कि पासवर्ड संग्रहीत करने से पहले उन्हें नमकीन और धोया जाना चाहिए। पासवर्ड को स्वयं संग्रहीत करने के बजाय, हैशिंग तंत्र के माध्यम से पासवर्ड का एक हस्ताक्षर तैयार किया जाता है, और हैश संग्रहीत किया जाता है।

पासवर्ड को सॉल्ट करने में पासवर्ड को हैश करने से पहले पासवर्ड में 32 या अधिक यादृच्छिक वर्णों की एक स्ट्रिंग जोड़ना शामिल है।

हैशिंग एल्गोरिदम एक तरफ़ा प्रक्रिया है जो हैश-हस्ताक्षर से पासवर्ड का पुनर्निर्माण करना कम्प्यूटेशनल रूप से असंभव बना देता है। यह एल्गोरिथ्म पासवर्ड को अपरिवर्तनीय संख्याओं और अक्षरों की एक अपारदर्शी श्रृंखला में बदल देता है। हैशिंग के लिए कई एल्गोरिदम का उपयोग किया जा सकता है, जिसमें bcrypt, MD5, SHA, NTLM, और इसी तरह शामिल हैं।

पासवर्ड कैसे क्रैक किया जा सकता है

1. नमूना स्थान में सभी संभावित पासवर्डों की हैशिंग चूंकि हैश किए गए पासवर्ड को सादे पाठ में वापस करना असंभव है, आप पासवर्ड को क्रैक करने के लिए क्या कर सकते हैं, उस नमूना स्थान के सभी संभावित पासवर्डों को हैश करना और अपने लक्ष्य से मेल खाने वाले हैश को ढूंढना है। यदि मिल जाता है, तो आपने पासवर्ड को सफलतापूर्वक क्रैक कर लिया है। हैशिंग पासवर्ड के लिए हैश रेट-कम्प्यूटेशनल पावर- की आवश्यकता होती है और कुछ हैशिंग एल्गोरिदम दूसरों की तुलना में गणना करना कठिन होता है, जिससे उन्हें समय लगता है या क्रैक करने में भी असमर्थ होते हैं। यही कारण है कि SHA-1 एल्गोरिथ्म एक खराब हैशिंग विकल्प है क्योंकि SHA-1 हैश की गणना कंप्यूटर द्वारा बहुत जल्दी की जाती है, जो इसे कमजोर बनाता है।

   जैसा कि पहले बताया गया है, आपका पासवर्ड का नमूना स्थान जितना अधिक व्यापक होगा, किसी भी हैश को खोजने से पहले एक हमलावर के पास हैश होने की उतनी ही अधिक संभावनाएं होंगी। कभी-कभी, अधिक विस्तृत नमूना स्थान आपके पासवर्ड को क्रैक करना असंभव बना सकता है, जिसे क्रैक करने में सैकड़ों-हजारों वर्ष लग सकते हैं।

   
   

2. ब्रूट फोर्स अटैक एक ब्रूट फोर्स अटैक तब होता है जब कोई हमलावर सैंपल स्पेस पर पासवर्ड संभावनाओं से सही पासवर्ड का अनुमान लगाने की कोशिश करता है। यह सही पासवर्ड मिलने तक कई पासवर्ड सबमिट करके किया जाता है। यह दृष्टिकोण अपेक्षाकृत असामान्य है क्योंकि यह इतना अप्रभावी है। यह केवल तभी काम करता है जब आपका पासवर्ड बहुत छोटा हो, जैसे आठ वर्णों से कम, या यदि हमलावर को पता हो कि आपने केवल एक विशेष वर्ण सेट (जैसे, संख्याएं, अक्षर, या केवल अल्फ़ान्यूमेरिक) का उपयोग किया है।

   
   

3. शब्दकोश हमला हमलावर आमतौर पर इस बारे में धारणा बनाते हैं कि लोग पासवर्ड कैसे बनाते हैं, विशेष रूप से लंबे पासवर्ड, जहां क्रूर बल हमला अक्षम है। जैसा कि मानव पूर्वाग्रहों के बारे में पहले उल्लेख किया गया है, हमारी पसंद कुछ व्यवहारों से प्रभावित होती है। इसलिए हमलावर आमतौर पर उपयोग किए जाने वाले वाक्यांशों, पैटर्न और पासवर्ड जैसे "mypassword" की एक सूची बनाते हैं और यह देखने की कोशिश करना शुरू करते हैं कि क्या उनके हैश उनके लक्ष्य से मेल खाते हैं। यदि ऐसा नहीं होता है, तो वे इसे थोड़ा समायोजित करते हैं, जैसे इसे "myp4ssword" में बदलना और फिर से प्रयास करना।

   
   

   इस प्रकार से उत्पन्न होने वाले किसी भी हमले को डिक्शनरी अटैक कहा जाता है, जहां कम्प्यूटेशनल शक्ति का उपयोग उन शब्दों से डमी पासवर्ड बनाने के लिए किया जाता है, जिनका अधिकांश लोग उपयोग करते हैं।