पासवर्ड on Arpokrat https://arpokrat.com/hi/blog/tags/%E0%A4%AA%E0%A4%BE%E0%A4%B8%E0%A4%B5%E0%A4%B0%E0%A5%8D%E0%A4%A1/ Recent content in पासवर्ड on Arpokrat Hugo -- gohugo.iohiWed, 03 Jun 2026 00:00:00 +0000 पासवर्ड और एन्ट्रॉपी: आपकी सुरक्षा के पीछे का विज्ञान https://arpokrat.com/hi/blog/password-entropy-shannon-security/ Wed, 03 Jun 2026 00:00:00 +0000 https://arpokrat.com/hi/blog/password-entropy-shannon-security/ <p>« आपके पासवर्ड में 8 अक्षर, एक बड़ा अक्षर, एक छोटा अक्षर, एक संख्या और एक विशेष वर्ण होना चाहिए। »</p> <p>हम सभी इस नियम को जानते हैं। और फिर भी, साइबर सुरक्षा में, इसे &ldquo;सुरक्षा थिएटर (security theater)&rdquo; कहा जाता है। <code>P@ssw0rd1!</code> जैसा पासवर्ड इन सभी नियमों का पालन करता है, लेकिन किसी भी आधुनिक हैकिंग सॉफ़्टवेयर द्वारा पलक झपकते ही क्रैक कर लिया जाएगा।</p> <p>सच्ची सुरक्षा मनमाने दृश्य नियमों पर आधारित नहीं है, बल्कि एक क्षमा न करने वाली गणितीय वास्तविकता पर आधारित है: <strong>एन्ट्रॉपी (entropy)</strong>।</p> <h2 id="कलड-शनन-क-अनसर-एनटरप">क्लॉड शैनन के अनुसार एन्ट्रॉपी</h2> <p>पासवर्ड की ताकत को समझने के लिए, हमें सूचना सिद्धांत (information theory) के जनक क्लॉड शैनन की ओर देखना चाहिए। एन्ट्रॉपी सूचना की अनिश्चितता या अप्रत्याशितता की डिग्री को मापती है।</p> <p>पासवर्ड पर लागू होने पर, एन्ट्रॉपी की गणना <strong>बिट्स (bits)</strong> में की जाती है। बिट्स की संख्या जितनी अधिक होगी, कंप्यूटर के लिए पासवर्ड उतना ही अप्रत्याशित होगा। बेतरतीब ढंग से जनरेट किए गए पासवर्ड की एन्ट्रॉपी (E) का सरलीकृत सूत्र है:</p> <p><strong>E = L × log2(R)</strong></p> <ul> <li><strong>L</strong> पासवर्ड की <strong>लंबाई (length)</strong> है।</li> <li><strong>R</strong> <strong>पूल का आकार (pool size)</strong> है (छोटे अक्षरों के लिए 26, बड़े अक्षरों और संख्याओं के साथ 62, प्रतीकों के साथ 94)।</li> </ul> <p>पूल का आकार (प्रतीक जोड़ना) बढ़ाने से एन्ट्रॉपी बढ़ती है, लेकिन लंबाई (अक्षर जोड़ना) बढ़ाने से यह बहुत अधिक तीव्रता से बढ़ती है। <strong>हालाँकि, लंबाई केवल एक ही शर्त पर जटिलता को हराती है: पासवर्ड पूरी तरह से बेतरतीब ढंग से जनरेट किया जाना चाहिए।</strong></p> <h2 id="बरट-फरस-बनम-डकशनर-अटक">ब्रूट फोर्स बनाम डिक्शनरी अटैक</h2> <p>यदि आप शब्दों या अनुमानित संरचनाओं का उपयोग करते हैं, तो शुद्ध लंबाई का नियम ढह जाता है।</p> <p>हैकिंग सॉफ़्टवेयर एक-एक करके सभी अक्षर संयोजनों की कोशिश नहीं करते हैं (इसे <strong>ब्रूट फोर्स / Brute Force</strong> कहा जाता है)। वे बड़े पैमाने पर डेटाबेस का उपयोग करते हैं जिनमें अरबों मौजूदा शब्द, सामान्य वाक्यांश और पिछले डेटा लीक शामिल होते हैं। यह <strong>डिक्शनरी अटैक (Dictionary Attack)</strong> है।</p> <p>यदि आपका पासवर्ड लंबा है, लेकिन डिक्शनरी के शब्दों या अनुमानित प्रतिस्थापनों से बना है, तो इसकी वास्तविक एन्ट्रॉपी इसकी सैद्धांतिक गणितीय एन्ट्रॉपी से नाटकीय रूप से कम है।</p> <p>यहाँ आधुनिक ग्राफिक्स कार्ड (GPU) के एक क्लस्टर के खिलाफ अनुमानित क्रैकिंग समय दिया गया है, जिसमें संरचनात्मक कमजोरियों का फायदा उठाकर पाए गए सबसे तेज़ मार्ग को बोल्ड में उजागर किया गया है:</p> <table> <thead> <tr> <th style="text-align: left">पासवर्ड</th> <th style="text-align: left">सैद्धांतिक एन्ट्रॉपी</th> <th style="text-align: left">ब्रूट फोर्स के खिलाफ</th> <th style="text-align: left">डिक्शनरी के खिलाफ</th> </tr> </thead> <tbody> <tr> <td style="text-align: left"><code>password123</code></td> <td style="text-align: left">~15 बिट्स</td> <td style="text-align: left">कुछ घंटे</td> <td style="text-align: left"><strong>तुरंत</strong></td> </tr> <tr> <td style="text-align: left"><code>S3cr3t!99</code></td> <td style="text-align: left">~40 बिट्स</td> <td style="text-align: left">कुछ वर्ष</td> <td style="text-align: left"><strong>कुछ घंटे / दिन (म्यूटेशन के माध्यम से)</strong></td> </tr> <tr> <td style="text-align: left"><code>correct horse battery staple</code></td> <td style="text-align: left">~130 बिट्स</td> <td style="text-align: left">अरबों वर्ष</td> <td style="text-align: left"><strong>कुछ घंटे / दिन</strong></td> </tr> <tr> <td style="text-align: left"><code>gL7!pQ9z#vX2</code></td> <td style="text-align: left">~78 बिट्स</td> <td style="text-align: left"><strong>~3,000 वर्ष</strong></td> <td style="text-align: left">विफलता (ब्रूट फोर्स पर वापस)</td> </tr> </tbody> </table> <h3 id="leetspeak-क-भरम-और-मयटशन-नयम">Leetspeak का भ्रम और म्यूटेशन नियम</h3> <p><code>S3cr3t!99</code> का उदाहरण लें। देखने में, यह जटिल और मजबूत लगता है। फिर भी, यह केवल डिक्शनरी का शब्द &ldquo;secret&rdquo; है, जहाँ &rsquo;e&rsquo; को &lsquo;3&rsquo; से बदल दिया गया है, जिसमें एक बहुत ही सामान्य प्रत्यय जोड़ा गया है (<code>!99</code>)। इसे <strong>leetspeak</strong> कहा जाता है।</p> <p>डिक्शनरी अटैक के खिलाफ, यह पासवर्ड केवल कुछ घंटों, या यहाँ तक कि मिनटों तक ही टिक पाएगा। आधुनिक क्रैकिंग सॉफ़्टवेयर (जैसे Hashcat) केवल स्थिर शब्द सूचियों का परीक्षण नहीं करते हैं; वे स्वचालित रूप से <strong>म्यूटेशन नियम (mutation rules)</strong> लागू करते हैं। वे अपने डिक्शनरी में हर शब्द लेंगे, सभी संभावित leetspeak संयोजनों का परीक्षण करेंगे, बड़े अक्षरों को स्वैप करेंगे, और वर्ष या प्रतीक जोड़ेंगे। Leetspeak सुरक्षा का झूठा एहसास प्रदान करता है।</p> <h2 id="कबरड-शफट-टरक-keyboard-shift">कीबोर्ड शिफ्ट ट्रिक (Keyboard Shift)</h2> <p>एक यादगार वाक्यांश को जटिल बनाने के लिए, कुछ लोग कीबोर्ड लेआउट शिफ्ट ट्रिक का उपयोग करते हैं। उदाहरण के लिए, आप <code>my-cat</code> जैसे वाक्यांश को याद करते हैं। लेकिन इसे टाइप करते समय, आप अपनी उंगलियों को भौतिक QWERTY कीबोर्ड पर रखते हैं जबकि आपका ऑपरेटिंग सिस्टम AZERTY (फ्रेंच) पर कॉन्फ़िगर किया गया है।</p> <ul> <li><strong>सोचा गया शब्द:</strong> <code>my-cat</code></li> <li><strong>टाइप किया गया परिणाम:</strong> <code>,y)cqt</code> (&rsquo;m&rsquo; कुंजी &lsquo;,&rsquo; बन जाती है; &lsquo;-&rsquo; कुंजी &lsquo;)&rsquo; बन जाती है; &lsquo;a&rsquo; कुंजी &lsquo;q&rsquo; बन जाती है)।</li> </ul> <p><strong>क्या OPSEC में यह एक अच्छा विचार है? नहीं, यदि इसे अकेले उपयोग किया जाए तो यह तरीका पर्याप्त नहीं है।</strong> बिल्कुल leetspeak की तरह, उन्नत क्रैकिंग सॉफ़्टवेयर हार्डवेयर म्यूटेशन नियमों को एकीकृत करते हैं जो स्वचालित रूप से अंतर्राष्ट्रीय कीबोर्ड शिफ्ट (QWERTY, AZERTY, QWERTZ, Dvorak) का परीक्षण करते हैं। OPSEC में, यह अस्पष्टता द्वारा सुरक्षा है: यह एक शौकिया हमलावर को विलंबित करता है, लेकिन एक लक्षित और सुसज्जित हमले को नहीं रोकेगा।</p> <p>हालाँकि, <strong>यदि इस तकनीक को एक ऐसे पासवर्ड के साथ जोड़ा जाता है जो पहले से ही अपने मूल में मजबूत है</strong> (जैसे एक बहुत लंबा यादगार पासफ़्रेज़), तो यह एक पहले से ही मजबूत संरचना के भीतर अप्रत्याशित विशेष वर्णों को पेश करके एन्ट्रॉपी को फिर से काफी बढ़ा देता है।</p> <h2 id="आदरश-पसवरड-क-नरमण-250-बटस">आदर्श पासवर्ड का निर्माण (~250 बिट्स)</h2> <p>यदि शब्द सूचियों, leetspeak और टाइपिंग ट्रिक्स की अपनी सीमाएँ हैं, तो हम सही मास्टर पासवर्ड कैसे बनाएँ? <strong>इष्टतम सुरक्षा</strong> प्राप्त करने और अगली पीढ़ी के कंप्यूटिंग उपकरणों का विरोध करने के लिए, वर्तमान लक्ष्य लगभग <strong>250 बिट्स एन्ट्रॉपी</strong> को लक्षित करना है।</p> <p>आपकी आवश्यकताओं के आधार पर इसे प्राप्त करने के दो तरीके हैं:</p> <h3 id="1-शदध-यदचछक-वकलप-पसवरड-मनजर-क-लए-आदरश">1. शुद्ध यादृच्छिक विकल्प (पासवर्ड मैनेजर के लिए आदर्श)</h3> <p>पूरी तरह से बेतरतीब ढंग से उत्पन्न एक वर्ण स्ट्रिंग, जिससे मशीन के लिए अनुमान लगाना बेहद मुश्किल हो जाता है: <code>k9$Yz2!pL#8vQx5@mN7*jW4&amp;hC1%bF3^tR9(dZ6</code> <em>संपूर्ण प्रतीक पूल का उपयोग करते हुए 39 यादृच्छिक वर्ण।</em></p> <h3 id="2-हइबरड-पसफरज-वकलप-एक-यदगर-मसटर-पसवरड-क-लए-आदरश">2. हाइब्रिड पासफ़्रेज़ विकल्प (एक यादगार मास्टर पासवर्ड के लिए आदर्श)</h3> <p>बेतरतीब ढंग से उत्पन्न डिक्शनरी शब्दों का एक क्रम, संख्याओं और प्रतीकों के साथ सख्ती से संयुक्त: <code>Sovereign_Crypto_99_Privacy_Zero_Knowledge_Secure_2026_Key_Lock_Cloud_Act_Grover</code> <em>यह विधि एक विशाल गणितीय अवरोध को बनाए रखते हुए, एक मानव को दृष्टिगत या पेशीय रूप से एक संरचना को याद रखने की अनुमति देती है।</em></p> <h2 id="कवटम-खतर-गरवर-क-एलगरथम">क्वांटम खतरा: ग्रोवर का एल्गोरिथम</h2> <p>250 बिट्स का लक्ष्य क्यों रखें जबकि 128 बिट्स आज के सुपर कंप्यूटरों को पहले ही ब्लॉक कर देते हैं? इसका उत्तर क्वांटम कंप्यूटिंग के आगमन में निहित है।</p> <p>क्रिप्टोग्राफी में, ग्रोवर का एल्गोरिथ्म (Grover&rsquo;s algorithm) एक क्वांटम कंप्यूटर को क्लासिकल कंप्यूटर की तुलना में बहुत तेज़ी से अनसॉर्टेड डेटाबेस को खोजने की अनुमति देता है। संक्षेप में, ग्रोवर एक सममित कुंजी (symmetric key) या पासवर्ड के <strong>प्रभावी सुरक्षा स्तर को आधा कर देता है</strong>।</p> <p>ग्रोवर के एल्गोरिथ्म को चलाने वाले क्वांटम कंप्यूटर के खिलाफ, 128 बिट्स की एन्ट्रॉपी वाला पासवर्ड केवल 64 बिट्स (जो क्रैक करने योग्य हो जाता है) के बराबर प्रतिरोध प्रदान करेगा।</p> <p>नतीजतन, पोस्ट-क्वांटम दुनिया में सच्ची 128-बिट सुरक्षा बनाए रखने के लिए, प्रारंभिक एन्ट्रॉपी को दोगुना करना आवश्यक है। यह <a href="https://arpokrat.com/hi/blog/harvest-now-decrypt-later-hndl-zero-knowledge/">Harvest Now, Decrypt Later (HNDL)</a> अवधारणा के स्तंभों में से एक है: राज्य के हमलावर आज एन्क्रिप्टेड डेटा को कल तोड़ने के लिए वैक्यूम कर रहे हैं। दीर्घावधि में आपकी मास्टर कुंजियों की सुरक्षा के लिए 250 बिट्स एन्ट्रॉपी का लक्ष्य न्यूनतम मानक है।</p> <h2 id="arpokrat-password-generator-इस-सवय-जच">Arpokrat Password Generator: इसे स्वयं जांचें</h2> <p>अपनी पहुंच की सुरक्षा को संयोग पर न छोड़ें। हमने एक आंतरिक उपकरण विकसित किया है जो आपको क्रिप्टोग्राफ़िक रूप से मजबूत पासवर्ड (पोस्ट-क्वांटम सहित) उत्पन्न करने की अनुमति देता है, और सबसे बढ़कर आपके स्वयं के पासवर्ड की <strong>वास्तविक एन्ट्रॉपी का मूल्यांकन</strong> करने की अनुमति देता है।</p> <p>👉 <strong><a href="https://arpokrat.com/hi/password-generator">Arpokrat Password Generator</a></strong></p> <p>अपने वर्तमान पासवर्ड का परीक्षण करके देखें कि क्या वे आधुनिक कंप्यूटिंग शक्ति का सामना कर सकते हैं। यह टूल आपके ब्राउज़र में 100% स्थानीय रूप से काम करता है, नेटवर्क पर कोई डेटा प्रसारित नहीं होता है।</p> <h2 id="अतम-कमजर-कड-पनरचकरण-और-पहच-परबधन">अंतिम कमजोर कड़ी: पुनर्चक्रण और पहुंच प्रबंधन</h2> <p>गणितीय एन्ट्रॉपी मानवीय भूल से नहीं बचाती है। 250-बिट पासवर्ड बेकार है यदि इसे कई साइटों पर पुन: उपयोग किया जाता है (एक हमला जिसे <em>Credential Stuffing</em> कहा जाता है) या यदि यह दूसरे प्रमाणीकरण कारक (2FA) द्वारा सुरक्षित नहीं है।</p> <p>डिजिटल स्वच्छता का सुनहरा नियम यह है कि आपको केवल <strong>एक ही पासवर्ड</strong> याद रखना होगा: आपका 250-बिट मास्टर पासवर्ड (हाइब्रिड पासफ़्रेज़ के रूप में)। आपके अन्य सभी एक्सेस (बैंक, सोशल नेटवर्क, सर्वर) को विशेष रूप से उनके लिए जनरेट किए गए शुद्ध एन्ट्रॉपी (यादृच्छिक वर्ण स्ट्रिंग) के 250 बिट्स के अद्वितीय पासवर्ड का उपयोग करना चाहिए।</p> <p>अपने दिमाग में याद रखने के लिए असंभव कुंजियों की इस मात्रा को संग्रहीत और प्रबंधित करने के लिए, <strong>Zero-Knowledge पासवर्ड मैनेजर</strong> का उपयोग आवश्यक है। वर्तमान में सबसे अच्छे मानकों में से एक <strong><a href="https://proton.me/pass">Proton Pass</a></strong> है। स्विट्जरलैंड में स्थित, ओपन-सोर्स और एंड-टू-एंड एन्क्रिप्टेड, यह गारंटी देता है कि इसके अपने इंजीनियर भी आपके वॉल्ट की सामग्री को नहीं पढ़ सकते हैं। यह Arpokrat द्वारा उत्पन्न अति-शक्तिशाली कुंजियों को संग्रहीत करने के लिए आदर्श साथी है, जो आपके संपूर्ण डिजिटल जीवन को एक वास्तविक गणितीय अवरोध के पीछे लॉक कर देता है।</p>