पासवर्ड स्ट्रेंथ चेकर
यह कैलकुलेटर क्या करता है
यह अनुमान लगाता है कि किसी पासवर्ड को ब्रूट-फोर्स (brute force) तरीके से अंदाज़ा लगाना कितना कठिन है, उसी एन्ट्रॉपी गणित का उपयोग करके जो सुरक्षा उपकरण आंतरिक रूप से इस्तेमाल करते हैं। यह जाँचता है कि आपके पासवर्ड में किस तरह के कैरेक्टर हैं, इसे सामान्य सुरक्षा मानदंडों (लंबाई, कैरेक्टर विविधता, सामान्य पासवर्ड सूचियों में न होना, दोहराए गए/क्रमबद्ध पैटर्न न होना) के आधार पर स्कोर करता है, और तीन अलग-अलग हमलावर परिदृश्यों के तहत इसे क्रैक करने में लगने वाले समय का अनुमान लगाता है - एक दर-सीमित लॉगिन फॉर्म से लेकर एक ऑफ़लाइन GPU क्रैकिंग रिग तक।
उपयोग किया गया सूत्र
चरण 1 - कैरेक्टर पूल आकार। कैलकुलेटर यह पता लगाता है कि आपके पासवर्ड में कौन-कौन से कैरेक्टर वर्ग मौजूद हैं और उनके पूल आकार को जोड़ता है:
- छोटे अक्षर (
a-z): 26 - बड़े अक्षर (
A-Z): 26 - अंक (
0-9): 10 - प्रतीक (
!@#$...आदि): 32 - कोई अन्य कैरेक्टर (जैसे गैर-लैटिन लिपि): पूल में 100 जोड़ता है
चरण 2 - एन्ट्रॉपी, बिट्स में, यह मानते हुए कि प्रत्येक कैरेक्टर उस पूल से स्वतंत्र रूप से यादृच्छिक चुना गया था:
चरण 3 - अपेक्षित क्रैक समय। किसी दिए गए दर पर अंदाज़ा लगाने वाले ब्रूट-फोर्स हमलावर के लिए, औसत स्थिति (सबसे खराब स्थिति नहीं) पूरी कीस्पेस का आधा होती है:
इसकी गणना तीन परिदृश्यों के लिए की जाती है:
| परिदृश्य | अनुमान/सेकंड | दर्शाता है |
|---|---|---|
| ऑनलाइन, दर-सीमित | 10 | लॉकआउट/थ्रॉटलिंग वाला एक लॉगिन फॉर्म |
| ऑफ़लाइन, धीमा हैश | 10,000 | bcrypt/Argon2/scrypt से हैश किया गया लीक डेटाबेस |
| ऑफ़लाइन, तेज़ हैश / GPU | 10,000,000,000 | तेज़, बिना-सॉल्ट हैश (जैसे MD5) से हैश किया गया और GPU हार्डवेयर पर क्रैक किया गया लीक डेटाबेस |
यदि आपका पासवर्ड (या उसका कोई नज़दीकी रूप) प्रसिद्ध सामान्य-पासवर्ड सूचियों में दिखाई देता है, तो कैलकुलेटर लंबाई की परवाह किए बिना एन्ट्रॉपी-आधारित स्कोर को अनदेखा करके इसे बेहद कमज़ोर बताता है - असली हमलावर ब्रूट फोर्स से पहले इन सूचियों को ही आज़माते हैं।
इसका उपयोग कैसे करें
- वह पासवर्ड दर्ज करें जिसे आप जाँचना चाहते हैं। वह पासवर्ड न लिखें जिसका आप वर्तमान में उपयोग करते हैं - इसके बजाय एक समान पैटर्न वाला विकल्प इस्तेमाल करें, क्योंकि यह मान स्कोर करने के लिए कैलकुलेटर को भेजा जाता है।
- वह हमला परिदृश्य चुनें जिसकी आपको सबसे ज़्यादा चिंता है (यह केवल हाइलाइट किए गए सारांश को प्रभावित करता है - नीचे दी गई तालिका हमेशा तीनों को दिखाती है)।
- अपनी एन्ट्रॉपी बिट्स में, समग्र स्ट्रेंथ स्कोर, आप किन सुरक्षा मानदंडों को पूरा करते हैं, और अनुमानित क्रैक समय देखने के लिए सबमिट करें।
उदाहरण
Tr0ub4dor&3 जैसे पासवर्ड (11 कैरेक्टर, सभी चार वर्गों को मिलाकर) का पूल आकार 26 + 26 + 10 + 32 = 94 है:
एक ऑफ़लाइन धीमे-हैश हमलावर (10,000 अनुमान/सेकंड) के खिलाफ:
यह कागज़ पर आश्वस्त करने वाला लगता है, लेकिन यह मानता है कि पासवर्ड वास्तव में यादृच्छिक है। व्यवहार में, शब्दों और प्रतिस्थापनों से बने असली पासवर्ड (इस जैसे) कच्ची एन्ट्रॉपी के सुझाव से कहीं ज़्यादा अनुमान लगाने योग्य होते हैं, क्योंकि हमलावर शुद्ध ब्रूट फोर्स के बजाय डिक्शनरी और पैटर्न नियमों का उपयोग करते हैं - यही कारण है कि लंबाई और सच्ची यादृच्छिकता (जैसे पासवर्ड मैनेजर का जनरेटर) चतुर दिखने वाले प्रतिस्थापनों से बेहतर होती है।
टिप्पणियाँ
- यह एक ब्रूट-फोर्स एन्ट्रॉपी अनुमान है, गारंटी नहीं - यह हर संभव पैटर्न (कीबोर्ड वॉक, लीटस्पीक शब्दकोश शब्द, व्यक्तिगत जानकारी) का पता नहीं लगाता जिसका असली क्रैकिंग टूल फ़ायदा उठाते हैं।
- आपके द्वारा दर्ज कुछ भी संग्रहीत नहीं किया जाता - इसका उपयोग केवल इस पृष्ठ पर दिखाए गए परिणाम की गणना के लिए किया जाता है।
- लंबे पासवर्ड जटिल दिखने वाले छोटे पासवर्ड से बेहतर होते हैं: 20 यादृच्छिक छोटे अक्षर (94 बिट्स) सभी चार कैरेक्टर वर्गों का उपयोग करने वाले 8-कैरेक्टर पासवर्ड (~52 बिट्स) से कहीं ज़्यादा मज़बूत होते हैं।