రహస్య సంకేత పదం

వికీపీడియా నుండి
ఇక్కడికి గెంతు: మార్గసూచీ, వెతుకు

గుప్త పదాలు లేదా రకరకాల గుర్తులను వాడి తమ అధికారికతను, గుర్తింపును నిరూపించుకోవడానికి ఉపయోగించే పదాలనే రహస్య సంకేత పదం అంటారు. (ఉదాహరణకు: ప్రేవేశ సంకేతం అనేది ఒక రకమైన రహస్య సంకేత పదం). ఈ రహస్య సంకేత పదాలను ప్రవేశం లేని వారి నుంచి రహస్యముగా ఉంచవలెను.

ఈ రహస్య సంకేతాలు పూర్వ కాలం నుంచి వాడుకలో ఉన్నవి. కాపలా భటులు ఈ రహస్య సంకేతాలు లేదా రహస్య పదాలు చెప్పమని లోపలికి వచ్చే వారిని గద్ధించేవారు. కాపలా భటులు రహస్య సంకేతాలను చెప్పిన వారినే లోపలికి అనుమతించేవారు. ప్రస్తుత కాలంలో వినియోగదారుని పేరు మరియు రహస్య సంకేతాలు వాడడం సర్వ సాధారణం అయిపోయింది. ప్రజలు తమ కంప్యూటర్ ఆపరేటింగ్ వ్యవస్థలు, మొబైల్ ఫోన్, కేబుల్ టి.వి డి కోడర్స్,తమంతట తాము పనిచేసే టెల్లర్ యంత్రాలు (ATMs), తదితర వాటిలోకి ప్రవేశం పొందడానికి వీటిని వాడతారు. ఒక సాధారణ కంప్యూటర్ వినియోగదారుడు ఈ రహస్య పదాలని చాలాా రకాలుగా వాడతాడు : కంప్యూటర్ లో ప్రేవేశం కొరకు, ఈ-మెయిల్ పొందడానికి, సమాచార గిడ్డంగులు, నెట్వర్క్, వెబ్ సైట్స్, ఆఖరికి తమ ఆన్ లైన్ వార్త పత్రికలు చదువుకోవడానికి కూడా వినియోగిస్తారు.

పేరుతో సంబంధం లేకుండా రహస్య సంకేతాలలో పదాలు మాత్రమే ఉండక్కర్లేదు; రహస్య సంకేతాలలో వాస్తవమైన పదాలు కాకుండా వేరేవి వాడితే ఉహించడానికి కష్టంగా ఉంటుంది. ఇది ఒక కోరుకున్న ఆస్తి వంటిది. కొన్ని రహస్య సంకేతాలు కొన్ని పదాల సమూహం నుంచి తాయారు చేయబడి ఉంటాయి. వీటిని ప్రేవేశ పదాలు అని అనవచ్చు. రహస్య సమాచారం పూర్తిగా సంఖ్యలను కలిగి ఉన్నప్పుడు ప్రేవేశ సంకేతం అనే పదాన్ని వినియోగిస్తారు, ఉదాహరణకి ATM వినియోగానికి సాధారణంగా వినియోగించే వ్యక్తిగత గుర్తింపు సంఖ్య (PIN). రహస్య సంకేతాలు చిన్నగా ఉండి సులువుగా గుర్తుపెట్టుకునేవి మరియు వాడగలిగేవిగా ఉంటాయి.

మోసగించటానికి చాలాా కష్టమైన క్రిప్తోగ్రఫిక్ నిభంధనల ఆధారంగా పనిచేస్తున్న ధృవీకరణ వ్యవస్థలతో పోలిస్తే ఒక కంప్యూటింగ్ పరికరం నుండి మరొక దానిని గుర్తించటానికి వినియోగించే ఖచ్చితమైన ధృవీకరణ గుర్తించదగిన ప్రతికూలతలను కలిగి ఉంది (వీటిని తస్కరించవచ్చు, గుర్తించవచ్చు, మరిచిపోవచ్చు లేదా ఇంకా ఏమైనా కావచ్చు).

విషయ సూచిక

సులభముగా గుర్తుపెట్టుకునేవి, ఊహించటానికి కష్టంగా ఉండేవి[మార్చు]

వినియోగదారుడు ఎంత సరళ రహస్య సంకేత పదం వాడితే అంతే సులువుగా దొంగ ఊహకు అందుతుంది[1]. కష్టమైన రహస్య సంకేత పదాలు వ్యవస్థ భద్రతను తగ్గిస్తాయి, ఎందుకంటే (ఏ) వినియోగదారులు వాటిని ఎక్కడైనా రాసుకోవాలి లేదా ఎలక్ట్రానిక్ పరికరాల్లో దాయవలసి వస్తుంది, (బి)వినియగాదారులు తరచుగా రహస్య పదాలను పునఃనిర్దేశం చేయవలసి వస్తుంది మరియు (సి)వినియోగదారులు తరచుగా ఒకే రహస్య పదాలను వాడతారు. అదే విధముగా ఎంత క్లిష్టమైన రహస్య పదాలని వాడితే అంట సమర్ధమైన రక్షణ ఉంటుంది, ఉదాహరణకి "పెద్ద అక్షరాలు లేదా చిన్న అక్షరాలు మరియు సంఖ్యలు కలిపి తయారుచేయాలి", లేదా "నెలకు ఒక సరి అయినా మార్చాలి" ఇది అతిశయముగా ఉంటే వినియోగదారులు వ్యవస్థనును నాశనం చేయటానికి అవకాశం ఉంది[2].

జేఫ్ఫ్ యాన్ మొదలైనవారు వ్రాసిన మేమరబిలిటి అండ్ సెక్యూరిటీ ఆఫ్ పాస్వర్డ్స్[3] లో వినియోగదారులకు మంచి రహస్య పదాలను ఎలా తయారుచేయవచ్చో సూచించారు. వారు కనుకున్నదేమిటంటే వచనాలని ఉపయోగించి వాటి మొదటి అక్షరాలను వాడితే, అవి సులువుగా గుర్తుంచుకొనే విధంగా ఉన్నాయి, ఇవి సాధారణ పద్దతిలో తయారుచేసిన పదాల వలె సునాయాసంగా ఊహకందని విధంగా లేవు. రెండు సంబంధం లేని పదాలను కలపడం ఒక మంచి పద్ధతి. సొంతగా తాయారు చేసిన "అల్గోరిథం"తో రహస్య పదాలు తాయారు చేసుకోవడం మంచి పద్ధతి.

అయినప్పటికీ, వినియోగదారులను "పెద్ద అక్షరాలు మరియు చిన్న అక్షరాల" మేళవింపుతో తాయారు చేసిన రహస్య పదాలను ఒక క్రమ పద్దతిలో అమర్చి గుర్తుంచుకోమంటే అవి గుర్తుంచుకోవడానికి క్లిష్టంగా ఉన్నాయి, కొద్దిగా కష్టపడితే వాటిని సులువుగా ఊహించవచ్చును. (ఉదాహరణకి, 7 అక్షరాల రహస్య పదాలు 128 శాతం కష్టంగా ఉంటాయి, ఎన్ని అక్షారాలు తక్కువగా ఉంటే అంతే సులువుగా కనిపెట్టవచ్చును). వినియోగదారులని "అక్షరాలు మరియు సంఖ్యలు" తో కూడిన పదాలని వాడమనప్పుడు వారు సులువుగా గుర్తించే ప్రత్యామ్నాయాలు వాడారు ఉదా; 'E'--->'3' మరియు 'I' --> '1', ఈ ప్రత్యామ్నాయాలు పైన దొంగలకు అవగహన చాలా ఎక్కువ. అదే విధంగా కీ బోర్డు కి ఒక వరస పైన సంకేత పదాన్ని టైప్ చేయడం దొంగలు ఉపయోగించే సాధారణ కుతంత్రం.

రహస్య సంకేత పదాల రక్షణ తత్వాలు[మార్చు]

రహస్య సంకేత పదాల పైన ఆధారపడిన వ్యవస్థ రక్షణ రకరకాల విషయాల ఫై ఆధారపడి ఉన్నాయి. మొత్తానికి ఏదిఎమైనప్పటికి వ్యవస్థ చాలా పకడ్బంది రక్షణతో తాయారుచేయబడాలి. అది కంప్యూటర్ వైరస్ నుంచే కాకుండా మనుషుల ఆక్రమణల నుంచి కూడా రక్షణ కల్పించాలి. వ్యక్తిగత రక్షణ కూడా ఆలోచించవలసిన విషయం, షోల్డర్ సర్ఫింగ్ ఇదే కాకుండా ప్రస్తుతమున్న వ్యక్తిగత భయాలు అయినా విడియో కెమెరాలు మరియు కీ బోర్డు తస్కరులు నుంచి పటిష్టమైన రక్షణ అవసరం. మరియు రహస్య పదాలను ఎలా ఎంచుకోవాలంటే అవి తస్కరులకు అంతుపట్టనవిగా ఉండాలి, అంతే కాకుండా తస్కరులు ఉపయోగించే స్వయం చాలాక పద్ధతులకు కూడా అందకుండా ఉండాలి. రహస్య పదాల బలం, కంప్యూటర్ రక్షణ, మరియు కంప్యూటర్ బలహీనత అనేవి ముఖ్యంగా మనం చూడవలసిన విషయాలు.

ప్రస్తుత కాలంలో కంపూటర్లు రహస్యపదాలను టైప్ చేస్తునప్పుడే దాస్తున్నాయి. దీని ఉద్దేశ్యం పక్కన ఉన్న వాళ్ళకి రహస్య పదాలు గ్రహించడానికి వీలుకలగకుండా చెయ్యడమే. అయినప్పటికీ, కొంతమంది ఈ పద్దతిని ఆమోదించుటలేదు, వారు అనేదేమిటంటే ఈ పద్ధతి వల్ల తరచుగా తప్పులు దొర్లుతాయి మరియు వినియోగదారులు బలహీనమైన రహస్య పదాలను ఎంచుకుంటారు. దీనికి ప్రత్యామ్నాయంగా వినియోగదారులు రహస్య పదాలు టైప్ చేసినప్పుడు అది కనిపించాలా వద్దా అనే విషయాన్ని ఎంపిక చేసుకొనే అవకాశం వారికే ఇవ్వాలి.[4]

బలీయమైన రక్షణ పద్దతుల వల్ల నేరస్థులు రహస్య పదాలు కానీ బయో మెట్రిక్ గుర్తులు[5] కానీ తస్కరించడం క్లిష్టమౌతుంది, ఫలితంగా వారు విపరీతమైన చర్యలు తీసుకోవటానికి ఒత్తిడి ఏర్పడుతుంది. బలవంతంగా చొరబడుట, రబ్బర్ హొస్ క్రిప్టానలిసిస్, మరియు సైడ్ ఛానల్ ఆక్రమణ మొదలైనవి తస్కరులు వాడే కొన్ని ద్వితీయ శ్రేణి పద్దతులు.

ఇక్కడ రహస్యపదాలను ఎలా ఎంచుకోవాలో, ఎలా ఆలోచించాలో, మరియు ఎలా వినియోగించాలో విశేషంగా పొందుపరిచారు.

ఊహించిన రహస్య పదాలు తస్కరులు ప్రయత్నించే శాతం[మార్చు]

వ్యవస్థ యొక్క రక్షణ బలం నిర్ధారించటంలో, ఊహించిన పదాలను తస్కరులు ఎంత వేగంతో వ్యవస్థకు అందిస్తారు అనే విషయం కీలక పాత్ర పోషిస్తుంది. కొన్ని వ్యవస్థలు కొద్దిపాటి సంఖ్యలో (ఉదా., మూడు) విఫలం అయిన రహస్య సంకేత పద ప్రవేశ ప్రయత్నాల తరువాత అనేక క్షణాల పాటు పనిచెయ్యవు. వేరే ఇతర భయాలు లేనప్పుడు, ఇటువంటి వ్యవస్థలు సరళమైన రహస్యపదాలను కూడా చక్కగా రక్షిస్తాయి, అయితే అవి తస్కరుల ఊహకి అందని విధంగా ఉండాలి[6].

చాలా వ్యవస్థలు రహస్య పదం యొక్క క్రిప్టోగ్రాఫిక్ హాష్ ను దాస్తాయి లేదా ప్రసారం చేస్తాయి, దీని వల్ల అవి తస్కరులకు అందుబాటులోకి వస్తాయి. ఇదే జరిగినప్పుడు మరియు అలా జరగటం సాధారణం అయినప్పుడు, ఒక తస్కరుడు అఫ్ఫ్-లైన్ పని చెయ్యడానికి వీలుకలుగుతుంది, అభ్యర్ధి యొక్క రహస్య పదాలను సరైన రహస్యపదాల హాష్ విలువలకు సరిపోల్చి చూస్తాడు. క్రిప్టోగ్రాఫిక్ కీస్ తాయారు చేయడానికి ఉపయోగించే రహస్యపదాలు (ఉదా, డిస్క్ ఎన్క్రిప్షన్ లేదా వై-ఫై రక్షణ) చాలా విరివిగా ఊహించవచ్చు. రహస్యపదాల జాబితా విరివిగా దొరుకుతుంది మరియు పకడ్బందిగా ఆక్రమణ చేయవచ్చు. (రహస్య పదాల చేధన చూడుము.) అటువంటి పరిస్థితుల్లో రహస్యపదాలు కానీ రహస్య వాక్యము కానీ ఎంత క్లిష్టంగా ఉంటే తస్కరులకు దానిని ఊహించటం అంత క్లిష్టంగా ఉంటుంది. కొన్ని వ్యవస్థలు,PGP మరియు వై-ఫై WPA, కంప్యూటర్ ఆధారిత సంక్లిష్టమైన హాష్ పద్దతిని వాడతాయి, దీని వల్ల ఆక్రమణలు నెమ్మదిస్తాయి. కీ ను బలోపేతం చెయ్యటం చూడండి.

నిల్వ చేసిన రహస్యపదాల నమూనా[మార్చు]

కొన్ని వ్యవస్థలు వినియోగాదరుని యొక్క ప్రవేశాలతో సరిపోల్చడానికి వినియోగదారుల రహస్యపదాలను క్లియర్ టెక్స్ట్ రూపంలో నిల్వ చేస్తాయి. ఒక వేళ తస్కరులకు ఇవి అందుబాటులోకి వచ్చినట్టుయితే అన్ని రహస్య పదాల నిల్వలు మరియు అదే విధంగా వినియోగదారుల ఖాతాలు- భాహిర్గతమౌతాయి. ఒక వేళ వినియోగదారుడు ఒకే రహస్యపదాన్ని వేరే ఖాతాలకు కూడా వాడినట్టు అయితే మిగతా ఖాతాలకు కూడా ప్రమాదం.

చాలా మటుకు వ్యవస్థలు క్రిప్టో గ్రాఫిక్ రక్షణ రూపంలో రహస్యపదాలను నిల్వచేసుకుంటాయి, దీనివల్ల తస్కరులు వ్యవస్థలో చొరబడినప్పటికి రహస్యపదాలను దొంగాలించడం కష్టం అవుతుంది,అదే సమయంలో వినియోగదారుడు తమ ఖాతాను వాడవచ్చును.

"హష్ద్" పద్దతిలో సామాన్యంగా రహస్యపదాలు నిల్వ చేయబడతాయి. వినియోగదారుడు ఎప్పుడైతే తన రహస్యపదాన్ని వడతాడో అప్పుడు ఆ వ్యవస్థలో ఉన్న రహస్యపదాల సాఫ్ట్ వేర్ క్రిప్టో గ్రాఫిక్ హాష్ అల్గోరిథం ద్వారా చాలితమయి, వినియోగదారుడు పొందుపరిచిన పదాలను నిల్వలో ఉన్న పదాలతో సరిపోల్చిచూసి, అది సరిపోయినచో వినియోగదారునికి అనుమతినిస్తుంది. సమర్పించిన సంకేత పదమును మరియు సాధారణంగా సాల్ట్ అని పిలువబడే మరొక విలువ కలిగి ఉన్న స్త్రింగ్ కి ఒక హాష్ ధర్మం అనువర్తించటం ద్వారా హాష్ విలువ తయారుచేయబడుతుంది (గరిష్టంగా విరోధించడానికి ఇది క్రిప్టో గ్రాఫిక్ హాష్ పద్ధతి). ఈ సాల్ట్ తస్కరులను రహస్య పదాలను దొంగలించకుండా నిలువరిస్తుంది. MD5 మరియు SHA1 తరచుగా వాడే క్రిప్తో గ్రాఫిక్ హాష్ పద్దతులు.

ఆదిలో వాడిన యునిక్స్ వ్యవస్థలో దీని కోసం సవరించబడిన DES అల్గోరిథం వాడేవారు. యునిక్స్ DES పద్ధతిని, హాష్ పద్దతితో సమానంగా చోరబాటులను తగ్గించటానికి తాయారుచేసారు, ఇది స్వయం ఊహాచాలిత చోరబాటులను నియంత్రిస్తుంది, అదే విధంగా రహస్య పదాలను స్థిర విలువతో మరుగుపరుస్తుంది. ఈ పద్ధతి వల్ల రహస్యపదాల నిల్వ పైన మరొక చొరబాటు జరగకుండా అరికడుతుంది. నిల్వ చేసిన సంకేత పదం యొక్క దస్త్రాలను దాడుల నుంచి కాపాడటానికి చాలా ఆధునిక యునిక్స్ లేదా యునిక్స్ లాంటి వ్యవస్థలు (ఉదా,లైనక్స్ లేదా రకరకాల BSD వ్యవస్థలు) ఇప్పటికీ నమ్మకమైన, ప్రభవశాలిమైన MD5,SHA1,బ్లో ఫిష్,టుఫిష్ పద్దతులను లేదా రకరకాల ఆల్గోరిథమ్స్ ను వాడుతున్నారు.[7]

హాష్ పద్ధతి పటిష్టంగా తాయారు చేసినట్టు అయితే, ఒక సాధారణ రహస్య పదాన్ని స్వయం చాలిత చొరబాటులు కూడా గ్రహించడం కష్టతరమౌతుంది. ఏది ఏమైనప్పటికీ చాలా మటుకు వ్యవస్థలు సక్రమంగా తమ హాష్ విలువ ఆధారిత రహస్యపదాలను కాపాడలేవు, ఎప్పుడైతే చొరబాటుదారుడికి అవి అందుబాటులోకి వస్తాయో అప్పుడు అతను ఈ హాష్ విలువలని డిక్షనరీ వంటి కొన్ని జాబితాలలో ఉన్న ప్రతీ పదంతో పోల్చి చూస్తాడు (చాలా మటుకు ఇంటర్నెట్ లోనే అందుబాటులో ఉండవచ్చును). పెద్ద సంఖ్యలో రహస్యపదాల జాబితాలు వివిధ భాషల్లో విరివిగా ఇంటర్నెట్ లో అందుబాటులో ఉన్నాయి, చాలా మటుకు సాఫ్ట్ వేర్లు సామాన్య మార్పులతో పని చేస్తాయి. ఈ నిఘంటువు దాడి సాధనాలు మనుగడలో ఉండటం వల్ల వాడకందారులకు రహస్యపదాల ఎన్నిక కష్టం అవుతుంది; ఆ రహస్య పదాలను జాబితాల్లో లేని విధంగా తాయారు చేసుకోవాలి. సహజముగా, జాబితాలో ఉన్న పదాలను రహస్యపదాలుగా వాడరాదు. కీ స్త్రెచ్చింగ్ హాష్ అయిన PBKDF2 లాంటివి ఈ అపాయం తగ్గించడానికి తాయారు చేయబడ్డాయి.

పనికిమాలిన పద్దతిలో హాష్ ను తాయారుచేస్తే ఎంత క్లిష్టమైన రహస్యపదం వాడినా ఉపయోగం ఉండదు. ఉదాహరణకు, భద్రతలేని, విరివిగా వాడిన LM హాష్ ను చూడండి.[8]

నెట్వర్క్ లో రహస్యపదాలను సరిచూసే పద్దతులు[మార్చు]

నెట్వర్క్ లో రహస్యపదాలను సరిచూడటానికి చాలా రకాల పద్దతులు అందుబాటులో ఉన్నాయి:

రహస్యపదం యొక్క సరళతరమైన బదిలీ[మార్చు]

ఒక వ్యవస్థకు గాని వ్యక్తీకి గాని రహస్యపదాలను బదిలీ చేస్తునప్పుడు తస్కరించే (అనగా "స్నూపింగ్") అవకాశం ఎక్కువగా ఉంది. వినియోగదారుడు వాడే ప్రదేశం నుంచి కేంద్ర నియంత్రణకు రహస్యపదం గనుక విద్యుత్ సంకేత రూపంలో బదిలీ చేయబడితే, దానిని వైర్ టాపింగ్ పద్దతిలో తస్కరించవచ్చు. ఇదే కనుక ఇంటర్నెట్ ప్యాకెట్ సమాచార రూపంలో బదిలీ అయినప్పుడు ఎవరైనా ఈ పాకెట్లు గమనిస్తునట్టు అయితే దాంట్లో ఉన్న లాగిన్ వివరాలను అతి సునాయాసంగా తస్కరించే వీలు ఉంటుంది. ఇటువంటివారు శోధనకు దొరకరు.

ఈ-మెయిల్ రహస్యపదాల పంపిణీకి అప్పుడప్పుడు వాడబడతుంది. చాలా మటుకు ఈ-మెయిల్స్ సరళంగా (క్లియర్ టెక్స్ట్) పంపబడతాయి కాబట్టి తస్కరులకి అందుబాటులోకి రావు. అంతే కాకుండా ఈ-మెయిల్ పంపినవారి మరియు పొందినవారి రెండు కంప్యూటర్లలో కూడా క్లియర్ టెక్స్ట్ రూపంలో నిల్వ చేయబడుతుంది. అదే కనుక మధ్యలో వేరే వ్యవస్థలలో నుండి బదిలీ అయితే కొంత సమయం వాటిలో కూడా నిల్వ చేయబడుతుంది. ఈ-మెయిల్ ని తొలగించే ప్రయత్నం కొన్నిసార్లు సఫలం కావచ్చు లేదా విఫలం కావచ్చు, ఎందుకంటే చాలా వ్యవస్థల్లో బ్యాక్ అప్ లేదా హిస్టరీ ఫైల్స్ లేదా కేక్స్ లో ఈ-మెయిల్ ఉండవచ్చు. రూడిగా అటువంటి వ్యవస్థలను గుర్తించడం కష్టం కావచ్చు. ఈ-మెయిల్ చేయబడిన రహస్యపదాలు సాధారణంగా భద్రతలేని పంపిణీ పద్ధతిని సూచిస్తాయి.

క్లియర్ టెక్స్ట్ బదిలీ యొక్క ఉదాహరణగా వాస్తవ వికిపిడియా వెబ్ సైట్. మీ యొక్క వికీపిడియా ఖాతాలో ప్రవేశించిన మీదట మీ వినియోగ నామం మరియు రహస్య పదం మీ కంప్యూటర్ నుండి క్లియర్ టెక్స్ట్ రూపంలో ఇంటర్నెట్ లోకి పంపించబడుతుంది. ఇతిమిద్ధంగా, ఎవరైనా వాటిని చూసి మీలాగా మీ ఖాతాలోకి ప్రవేశించగలరు. వికిపిడియా సర్వర్లకు తస్కరులకు మరియు మీకు మధ్య తేడ గ్రహించే వ్యవస్థలేదు. ఇదే విధంగా చాలా ఎక్కువ సంఖ్యలో వ్యక్తులు ఇది చేయవచ్చు (ఉదా, మీ ఇంటర్నెట్ సర్విస్ ప్రొవైడర్ లోని ఉద్యోగులు, ఏదైనా వ్యవస్థలు గుండా ప్రయాణించే దాన్ని గమనించేవారు,తదితరులు). నూతనంగా వికిపిడియా సురక్షితమైన లాగిన్ పద్దతిని ప్రవేశపెట్టింది, ఇది చాలా మటుకు ఈ-కామర్స్ సైట్స్ లాగే SSL/(TLS) క్రిప్తో గ్రాఫ్ ఆధారిత నిబంధల అనుసారం పనిచేస్తుంది మరియు క్లియర్ టెక్స్ట్ బదిలీలను తొలగిస్తుంది. కానీ, ఎవరైనా వికిపిడియాలోకి లాగిన్ అవ్వకుండా ప్రవేశించి, కావలసిన వ్యాసాలను మార్పులు చేర్పులు చేయచ్చు కాబట్టి ఈ ప్రసారాలను మరుగుపరచడం వల్ల వచ్చే లాభం ఏమి లేదని ఒక వాదన. మిగత వెబ్ సైట్స్ (ఉదా., బ్యాంక్స్ మరియు ఆర్ధిక సంస్థలు)కు మాత్రం చాలా భిన్నమైన రక్షణ అవసరాలు ఉంటాయి, క్లియర్ టెక్స్ట్ బదిలీలు ఎట్టి పరిస్థితుల్లోను ఆమోదయోగ్యంకాదు.

ఖాతాదారుని వైపు ఎన్క్రిప్షన్ విధానం వల్ల మెయిల్ అనుసంధానించే వ్యవస్థ సర్వర్ నుండి ఖాతాదారుని వ్యవస్థ బదిలీని కాపాడవచ్చు. పూర్వపు లేదా తర్వాత జరిగే ఈ-మెయిల్ ప్రసారాలని కాపాడటం కష్టం అవ్వవచ్చు, ఎందుకంటే ఆ ఈ-మెయిలు ఒకటి లేదా అంత కంటే ఎక్కువ కంప్యూటర్ లలో నిల్వ చేయబడుతుంది, సాధారణంగా అది క్లియర్ టెక్స్ట్ రూపంలో ఉంటుంది.

మరుగుపరిచిన విధానాల ద్వారా బదిలీ[మార్చు]

ఇంటర్నెట్ లో ప్రసారం చేయబడిన రహస్య పదాలను క్రిప్టోగ్రాఫిక్ రక్షణ ద్వారా భద్రపరుచుకోవచ్చు. అత్యంత విరివిగా వాడే ట్రాన్స్ర్ట్ పోర్ట్ లేయర్ సెక్యూరిటీ(TLS, పూర్వం SSL గా వ్యవహరించేవారు) లక్షణాన్ని ప్రస్తుతం పనిచేస్తున్న ఇంటర్నెట్ బ్రోజర్స్ లో పొందుపరిచారు. చాలా బ్రౌజర్లు వినియోగదారుడిని TLS/SSL రక్షిత వినిమయం పై మూసి ఉన్న సూక్ష్మ చిత్రాలతో చైతన్యపరుస్తున్నాయి మరియు అంతే కాకుండా, ఇతర చిహ్నాలతో కూడా హెచ్చరిస్తాయి. చాలా రకాల ఇతర పద్దతులు కూడా ఆచరణలో ఉన్నాయి; క్రిప్టో గ్రాఫి చూడండి.

హాష్ ఆధారిత సవాలు-జవాబు పద్ధతి[మార్చు]

దురదృష్టం కొద్దీ నిల్వ ఉంచిన హాష్-రహస్యపదాలు మరియు హాష్ ఆధారిత సవాలు-జవాబు ప్రమాణీకరణ మధ్య సంఘర్షణ నెలకొని ఉంది, సవాలు-జవాబు ఆధారిత పద్దతిలో వినియోగదారుడు తనకు రహస్యపదం తెలుసనీ సర్వర్ కు నిరుపించుకోవలసి ఉంటుంది. ఇందుకోసం సర్వర్ తన నిల్వలో ఉన్న పరస్పర రహస్యం పొందగలిగే విధంగా ఉండాలి. చాలా వ్యవస్థలలో (యునిక్స్ లాంటి వ్యవస్థ) దూరం నించి వినియోగించినప్పుడు పరస్పర రహస్యపదాలు సాధారణంగా హాష్ రూపంలోకి మార్చబడతాయి, ఈ పధ్ధతి వల్ల ఆఫ్-లైన్ తస్కరులకు రహస్యపదం ఊహించడము కష్టం అవుతుంది. దీనితో పాటు,ఎప్పుడు అయితే హాష్ పరస్పర రహస్యంగా వాడబడుతుందో, తస్కరులకు అసలు రహస్యపదంతో పని ఉండదు, వారికి కావలిసినది హాష్ మాత్రమే.

సున్నా-పరిజ్ఞాన రహస్యపదాల రుజువులు[మార్చు]

రహస్యపదాన్ని కానీ హాష్ ని కానీ బదిలీ చెయ్యకుండా, రహస్యపదాల ధృవీకరణ పొందిన సంకేతాక్షరాల ఒడంబడిక సున్నా-పరిజ్ఞాన రహస్య సంకేత పదం యొక్క రుజువును ప్రదర్శిస్తుంది, ఫలితంగా రహస్యపదాన్ని వెల్లడించకుండా దాని యొక్క జ్ఞానాన్ని అది నిరూపిస్తుంది.

ఒక అడుగు ముందుకు వేసి, అభివృద్ది చెందిన వ్యవస్థలు అయిన రహస్యపదాల ధృవీకరణ పొందిన సంకేతాక్షరాల ఒడంబడిక(ఉదా,.AMP,B-SPEKE,PAK-Z,SRP-6) హాష్ ఆధారిత వ్యవస్థల లోటుపాట్లను సమర్ధంగా నివారిస్తాయి. ఒక అభివృద్ది చెందిన వ్యవస్థ సర్వర్ కు తన రహస్యపద జ్ఞానాన్ని నిరూపించుకునే అవకాశమును వినియోగదారుడికి ఇస్తుంది. సర్వర్ కి మాత్రం హాష్ రహస్యపదం మాత్రమే తెలుస్తుంది, హాష్ అవ్వని ప్రవేశ పదం మాత్రమే ప్రవేశానికి కావలిసి ఉంటుంది.

రహస్య సంకేతాలను మార్చే విధానాలు[మార్చు]

వినియోగదారుడు ప్రస్తుత రహస్యపదము తస్కరణకు గురియింది అని నమ్మినప్పుడు కానీ లేదా ముందు జాగ్రత్త చర్యగా కానీ ప్రస్తుత పదాన్ని మార్చాలనుకున్నపుడు సాధారణంగా, వ్యవస్థ రహస్యపదాన్ని మార్చే విధానం అందించాలి. కొత్త రహస్య సంకేతపదాన్ని కనుక మరుగుపరచకుండా వ్యవస్థలో బదిలీ చేస్తే, ప్రేవేశపదం నిల్వలో చేరే ముందే రక్షణ కరువు అవ్వవచ్చు(ఉదా,.వైర్ టాపింగ్). అంతే కాకుండా రాజీపడిన ఉద్యోగికి నూతన సంకేతపదం ఇచ్చినా పెద్దగా లాభం ఉండదు. కొన్ని వెబ్ సైట్స్ ఖాతాదారులు ఎంచుకున్న ప్రేవేశ పదాన్ని మరుగుపరచని ఈ-మెయిల్ లో బదిలీ చేస్తాయి, ఇందువల్ల తస్కరణ జరిగే అవకాశం ఎక్కువ.

గుర్తింపు వ్యవస్థలు వాడి స్వయంచాలితంగా పోయిన రహస్య పదాలను భర్తీ చేస్తారు. ఈ విశేషం కలిగిన వ్యవస్థను స్వయం సేవ రహస్య పదాల పునఃనిర్దేశక వ్యవస్థ అంటారు. వినియోగదారుని గుర్తింపును, ప్రశ్నలు అడిగి ఆ జవాబులను పూర్వం నిల్వ చేసిన(ఖాతా తెరిచిన సమయంలో) జవాబులతో సరిపోల్చి చూసి నిర్ధారిస్తారు. క్లిష్టమైన ప్రశ్నలు ఈ విధంగా ఉంటాయి: "మీరు ఎక్కడ జన్మించారు"?,"మీకు నచ్చిన చలన చిత్రం ఏమిటి?" లేదా "మీ పెంపుడు జంతువుపేరు ఏమిటి?". తస్కరులు చాలా సందర్భాలలో ఈ ప్రశ్నలకు జవాబులను పెద్దగా కష్టపడకుండా కానీ సామాజిక పరియచయాల ద్వారా కాని ఊహించే అవకాశం ఉంది. చాలా మంది వినియోగదారులకు తమ రహస్య పదాలని బహిరంగపరచకూడదని చెప్పినప్పటికీ, తమ పెంపుడు జంతువుల పేర్లు మరియు తమకు నచ్చిన చలన చిత్రాల గురించి బహిరంగపరచకుండా జగ్రత్త వహించలేరు.

రహస్యపదాల దీర్గాయువు[మార్చు]

"రహస్యపద వయస్సు" అనే విశేషత కొన్ని నిర్వహణ వ్యవస్థల్లో వినియోగదారులను తమ ప్రవేశ పదాలను తరచుగా మార్చడానికి బలవంతపెడతాయి(ఉదా,.త్రైమాసికం, మాసికం,లేదా ఇంకా తరచుగా), దీని ముఖ్యోద్దేశం తస్కరించబడిన ప్రేవేశ పదమును పనికిరాకుండా చెయ్యటం. కానీ ఇటువంటి విధానాలకి వినియోగదారుల నుంచి తీవ్ర వ్యతిరేకత ఎదురయ్యే ప్రమాదం ఉంది. వినియోగదారులు చిన్న చిన్న మార్పులతో తమ ప్రేవేశ పదాలను గుర్తుంచుకునే విధంగా తాయారు చేసుకునే అవకాశం ఉంది. అట్టి పరిస్థితులలో ఇది కొంతకాలం నిలిచినప్పటికీ, రక్షణ ఎక్కువగా ఉండదు, వీటిని మార్చేలోపే తస్కరులు దొంగలించే అవకాశం ఉంది. చాలా సందర్బాలలో, ప్రత్యేకంగా నిర్వాహక లేదా "మూల" ఖాతాల్లోకి కనుక తస్కరుడు చొరబడగలిగితే అతడు నిర్వహణ వ్యవస్థల్లో తనకు అనుకూలంగా మార్పులు చేసుకొని, ప్రస్తుత ప్రేవేశ పదం కాలం చెల్లినప్పటికీ దానిని భవిష్యత్తులో ప్రేవేశించడానికి అవకాశం ఎర్పరుచుకుంటాడు.(రూట్ కిట్ చూడండి). అటువంటి విధానం అమలుపరిచినప్పుడు మనుష్య తత్వాలు పరిగణలోకి తీసుకొనవలసి ఉంటుంది. IT వ్యవస్థల స్వభావం వలన వినియోగానికి సంకేతపదం అనుమతి ఇస్తుంది, అందువలన ఇది అవసరం; ఒకవేళ EUలో వ్యక్తిగత సమాచారం కూడా ఉంటే సమాచార భద్రతా సూచీ ఒత్తిడిని ఎదుర్కుంటుంది.

ఒక్కో ప్రవేశపదానికి ఉన్న వినియోగదారుల సంఖ్య[మార్చు]

కొన్నిసార్లు ఒకే ఒక రహస్య పదం పరికరంలోకి ప్రవేశాన్ని నియంత్రిస్తుంది, ఊదాహరణకి, నెట్వర్క్ రౌటర్, లేదా రహస్యపద-రక్షిత మొబైల్ ఫోన్. ఏది ఏమి అయినప్పటికీ, కంప్యూటర్ వ్యవస్థలో అయితే ప్రతీ వినియోగ ఖాతాకి వేరు వేరు రహస్య పదాలు నిల్వచేయబడతాయి, దీని వల్ల ప్రతీ ప్రవేశాన్ని ఆనవాలు పట్టగలుగుతారు (వినియోగదారులు రహస్య పదాలు మర్చుకునప్పుడు మాత్రం కాదు). ప్రతీ నూతన ఖాతాదారుడు ఖాతాను తెరిచే సమయంలో తప్పనిసరిగా వియోగాదారుని పేరు అదే విధంగా రహస్య పదం నమోదు చేయాలి మరియు ఆ తరువాత నిర్ణీత కాలంలో మారుస్తూ ఉండాలి. ఒకవేళ వినియోగదారుడు పంపిణీ చేసిన వినియోగదారుని పేరుకి సరిపోయే సంకేత పదాన్ని పంపిణీ చేస్తే అతను లేదా ఆమె ఆ కంప్యూటర్ వ్యవస్థను వినియోగించుకోవటానికి అనుమతి లభిస్తుంది. ఇది ద్రవ్య(డబ్బు) యంత్రము విషయంలో కూడా జరుగుతుంది, ఇక్కడ వినియోగదారుని పేరు బదులుగా బ్యాంకు కార్డులో పొందుపరిచిన ఖాతా సంఖ్య మరియు చిన్నగా ఉండే PIN (4 నుండి 6 సంఖ్యలు) ఉంటాయి.

ప్రతీ ఒక్క వినియోగదారునికి వేరు వేరు రహస్యపదాలు నిర్ణయించుట అనేది రక్షణ దృష్ట్యా మంచిది. ఎందుకంటే వినియోగదారుడు తమకు మాత్రమే పరిమితమవ్వాల్సిన రహస్య పదం కంటే భాగస్వామ్య రహస్య పదాలను వేరే వారితో(అనుమతి లేనివారు) పంచుకునే అవకాశం ఉంది. వ్యక్తిగత రహస్య పదాలు తరచూ మార్చడం ఇబ్బంది కలిగిస్తుంది, ఎందుకంటే ఒకేసారి చాలా మందికి ఏకకాలంలో ఆ విషయం చెప్పవలసి ఉంటుంది, దీనివల్ల వ్యక్తిగత ఖాతా ప్రేవేశం కష్టతరమౌతుంది. ఊదాహరణకి, క్రమవిభాగము చేసినప్పుడు కానీ రాజీనామా చేసినప్పుడు కానీ. వినియోగదారునికి వ్యక్తిగత రహస్యపదాల ఆవశ్యకత ఎందుకంటే, వినియోగదారులు వారు చేసిన పనులకు వారిని బాధ్యులుగా గుర్తించవచ్చు, వారు చేసిన ఆర్ధిక లావాదేవీలు లేదా వారి ఆరోగ్యసంబంధం అయిన చరిత్ర తెలుసుకోవడం సులభం అవుతుంది.

రక్షిత సాఫ్ట్ వేర్ యొక్క నమూనా[మార్చు]

రహస్యపద రక్షిత-సాఫ్ట్ వేర్ వ్యవస్థలలో రక్షణ పెంపొందించడానికి అనుసరించే ప్రక్రియలు ఇలా ఉంటాయి:

  • రహస్యపదం ప్రేవేశపెట్టేటప్పుడు, రహస్యపదానికి బదులుగా నక్షత్ర చిహ్నాలు(*) కానీ, చుక్కలు(.) కానీ కనిపించే ఏర్పాటు.
  • తగిన నిడివి కల రహస్య పదాలని మాత్రమే ఆమోదించుట. (కొన్ని పాత వ్యవస్థలు, యునిక్స్ మరియు విండోస్ యొక్క పూర్వపు ఉత్పత్తులు[which?] సంఖ్యా పరిమితి కలిగిన రహస్యపదాలని గరిష్టంగా 8 అక్షరాలకి పరిమితం చెయ్యటం వలన,[9][10][11][12]రక్షణ తక్కువ అయ్యింది.
  • వినియోగదారులు కొంత సేపు నిస్తేజముగా ఉన్న యెడల మరలా రహస్యపదాలు ప్రేవేశపెట్టవలసి వచ్చేది (ఒక పాక్షిక లాగ్-ఆఫ్ విధానం).
  • బలవంతంగా రహస్యపద విధానం అమలుపరిచి రహస్యపద బలాన్ని మరియు రక్షణని పెంపొందిస్తుంది.
    • సమయానుసారంగా రహస్యపదాలను మార్చవలసి వస్తుంది.
    • ఎంచుకున్న రహస్యపదాలను యదేచ్చగా కేటాయించడం.
    • తక్కువ నిడివి కల రహస్యపదాల ఏర్పాటు.
    • కొన్ని వ్యవస్థలు అనేక రకాల అక్షర తరగతులు ఆమోదిస్తాయి, ఉదాహరణకి, "తప్పక ఒక్కటైనా పెద్ద అక్షరం కానీ ద్వితీయ శ్రేణి అక్షరం కానీ కలిగి ఉండాలి". ఏది ఏమి అయినప్పటికీ ద్వితీయ శ్రేణి అక్షర రహస్యపదాలు, మిశ్రమ అక్షరాల రహస్యపదాల కంటే మరింత సురక్షితం.[13]
    • కీ బోర్డ్ ప్రవేశానికి ప్రత్యామ్నాయం కల్పించుట (ఉదా,.స్వర రహస్యపదాలు, లేదా బయోమెట్రిక్ రహస్యపదాలు).
  • మరుగుపరిచిన మార్గాలు లేదా రహస్యపదం ప్రమాణీకరించిన కీ విధానం వాడి ప్రసారం చేయబడ్డ రహస్యపదాలను నెట్వర్క్ తస్కరాల నుంచి కాపాడవచ్చు.
  • నియమిత కాలంలో వైఫల్యాలను అనుమతించుట వల్ల అరికట్టవచ్చును(పునరుక్త రహస్యపదాలు ఊహించకుండా నిరోధించటానికి). నియమిత వైఫల్యాలు చేసిన మీదట, మళ్లీ సరైన రహస్యపదం ప్రవేశపెట్టినప్పటికీ తదుపరి సమయ వ్యవధి వరకు అది అనుమతించబడదు. అయినప్పటికీ, ఇది ఒక రకమైన డినైల్ సర్విస్ అటాక్ కి గురికావచ్చు.
  • రహస్యపద ప్రవేశం జాప్యము చేయటం వల్ల స్వయంచాలిత ఊహా రహస్యపదాలను ప్రవేశపెట్టె వ్యవస్థలను నిలువరించవచ్చు.

కొన్ని కటినమైన విధానాలు అమలుపరుచుట వల్ల వినియోగదారులు దూరం అయ్యే ప్రమాదం ఉంది, అంతే కాకుండా దీనివల్ల రక్షణ తగ్గే ప్రమాదం ఉంది.

రహస్యపదాలను కాగితం మీద వ్రాయడం[మార్చు]

చాలా మంది భద్రతా నిపుణులు ప్రజలని తమ రహస్యపదాలని గుర్తుపెట్టుకోవాలని మరియు,"ఎట్టి పరిస్థితుల్లోను ఎక్కడా వ్రాయవద్దు" అని సూచించారు. చెప్రజలు గుర్తుంచుకోవడానికి క్లిష్టమైన రహస్యపదాలను వాడడమే కాకుండా, వాటిని వ్రాసి తమ జేబులో పెట్టుకుంటారు అని ఈ మధ్య కాలంలో బ్రూస్ స్కయనేర్ వంటి చాలా మంది భద్రతా నిపుణులు చెప్పారు.[14][15][16][17][18][19][20]

రహస్యపదాలను ఛేదించటం[మార్చు]

ఎన్ని రకాలుగా సమయం, డబ్బు అనుమతిస్తే అన్ని సార్లు రహస్యపదాలను ఛేదించడానికి ప్రయత్నించటాన్ని పశుబల తస్కరణ అంటారు. ఇటువంటిదే కానీ, దీని కన్నా మెరుగైన పద్ధతి నిఘంటువు తస్కరణ. ఒకటి లేదా వేరు వేరు నిఘంటువులోని పదాలను పరిక్షించడాన్ని నిఘంటువు తస్కరణ అంటారు. సాధారణ రహస్యపదాల జాబితాను కూడా సంక్లిష్టంగా పరీక్షిస్తారు.

రహస్యపద బలం ఒక రహస్యపదాన్ని ఊహించడం లేదా కనుక్కోవడాన్ని నివారిస్తుంది మరియు ఇది దాడికి వాడబడిన అల్గారిధంతో మార్పు చెందుతూ ఉంటుంది. సులువుగా కనుక్కోబడిన రహస్యపదాలను బలహీనమైన లేదా ప్రమాదకరమైనవి అని పిలుస్తారు. కనుక్కోవడానికి కష్టంగా ఉన్న లేదా సాధ్యపడని రహస్యపదాలని సమర్ధమైనవిగా భావిస్తారు. రహస్యపదాలను ఊహించడానికి చాలా రకాల వ్యవస్థలు ఉన్నాయి (పునరుద్దరణ మరియు లెక్కల ఉద్యోగులకు కూడా) అవి ఏమిటి అంటే లోఫ్ట్ క్రాక్, జాన్ ది పిప్పర్, కైన్; కొన్ని తమ సామర్ధ్యాన్ని పెంచుకోవటానికి రహస్య సంకేత పదం యొక్క లోపాలను వినియోగిస్తాయి(మైక్రో సాఫ్ట్ LAN మేనేజర్ లో ఉన్నటువంటివి). ఈ వ్యవస్థలను కొన్ని సార్లు వ్యవస్థ నిర్వాహకులు కూడా బలహీనమైన రహస్యపదాలని కనుక్కోవడానికి వాడతారు.

తయారీదారుల పరిశోదనల్లో తేలింది ఏమిటి అంటే వినియోగదారుడు ఎంచుకున్న రహస్యపదాలను పెద్ద నిష్పత్తిలో సులువుగా ఊహించవచ్చు. ఊదాహరణకి 22% వినియోగదారుల రహస్యపదాలను పెద్దగా కష్టపడకుండా పునరుద్దరించవచ్చు అని కొలంబియా విశ్వవిద్యాలయంలో కనుగొన్నారు.[21] 2006లో ప్రచురితమైన ఫిషింగ్ అటాక్ అనే పుస్తకంలో బ్రూస్ స్కయనేర్ 55% మై స్పేస్ రహస్యపదాలను బజారులో దొరికే రహస్యపదాల పునరుద్దరణ సదనంతో 8 గంటల్లో ఊహించవచ్చు అని చెప్పాడు, ఈ సదనం 2006 నాటికి సెకనుకు 200,000 రహస్యపదాలను పరిక్షించగల సామర్ధ్యాన్ని కలిగి ఉంది.[22] అత్యధికంగా వాడబడిన రహస్యపదం పాస్వార్డ్1 అని పేర్కొన్నాడు, ఇది సంకేత పదాలను ఎన్నుకోవటంలో వినియోగదారుల యొక్క సాధారణ అవగాహన లోపం అని చెప్పాడు. (అయినప్పటికీ అతడు, ఈ సమాచారాన్ని ఆధారం చేసుకుని తరువాతి కాలంలో రహస్యపదాలు మెరుగుపడిన విషయాన్నీ ప్రస్తావించలేదు - ఉదాహరణకి, సగటు రహస్యపద నిడివి ఎనిమిది అక్షరాలకు చేరటం మరియు పాత విచారణ పరంగా 4% లోపే నిఘంటువు పదాలు[23] వాడబడటం వంటివి).

1998 ఘటన[మార్చు]

జూలై 16, 1998[24]లో CERT ఇచ్చిన నివేదిక అనుసారం ఒక చొరబాటుదారుడు 186,126 ఖాతాల పేర్లు మరియు వాటి యొక్క రహస్యపదాలను తస్కరించాడు. ఈ ఘటన తెలిసే సరికి చొరబాటుదారుడు రహస్యపదాల ఊహించే సదనం ఉపయోగించి 47,642 (25.6%) రహస్య పదాలు ఊహించాడు. అందులో కొన్ని రహస్య పదాలు వేరు వేరు సైట్స్ నుంచి సంగ్రహించారు అని గుర్తించారు మరియు కొన్నింటిని గుర్తించలేకపోయారు. ఆ రోజు వరకు నివేదించబడిన అతి పెద్ద ఘటన ఇదే.[when?]

ప్రేవేశ నియంత్రణ కొరకు ఉన్న రహస్యపదాలకు ప్రత్యామ్నాయాలు[మార్చు]

శాశ్వతమైన లేదా పాక్షికంగా శాశ్వతమైన రహస్యపదాలను లెక్కలేనటువంటి పద్దతుల్లో ఊహించడం వల్ల, వేరు వేరు ప్రక్రియలు వృద్ధి పరచవలసిన అవసరం వచ్చింది. దురదృష్టవశాత్తూ, కొన్ని చాలా తక్కువగా వినియోగించబడుతున్నాయి, చాలా సందర్భాలలో ప్రపంచ వ్యాప్తంగా వినియోగదారులు భద్రమైన ప్రత్యామ్నాయం[citation needed] వెతుకుతున్నారు.

  • ఒకసారి మాత్రమే వాడే రహస్యపదం. ఒకసారి మాత్రమే వాడే రహస్యపదాలు వాడడం వల్ల చాలా చొరబాటు యత్నాలు నిష్ప్రయోజనం చెందుతాయి. చాలా మంది వినియోగదారులు ఒకసారి మాత్రమే వాడే రహస్యపదాలని అసౌకర్యంగా భావిస్తారు. ఏది ఏమి అయినప్పటికీ వారు, వ్యక్తిగత ఆన్ లైన్ బ్యాంకింగ్లో లావాదేవి ప్రమానీకరణ సంఖ్యలు (TAN)ను విస్తారంగా అమలుపరిచారు. చాలా మటుకు ఇంటిలోనించి వాడే వినియోగదారులు వారానికి కొన్ని లావాదేవీలు జరుపుతారు కాబట్టి వారు దీనిని పెద్దగా అసౌకర్యంగా భావించలేదు.
  • సమయ ఏకీకృతమైన ఒక సారి వాడే రహస్యపదం చాలామటుకు ఒకే వాడుక రహస్యపదాలకి సారూప్యం ఉంది, కానీ వాటిలో ప్రవేశపెట్టిన విలువలు చిన్న యంత్రంలో ప్రదర్శింపబడతాయి మరియు వాటి విలువ నిముషానికి ఒక సారి మారుతుంది.
  • ప్రవేశ గవాక్షం ఏక సమయ వినియోగ రహస్యపదాలు ఒకసారి మాత్రమే వాడే రహస్యపదాలుగా ఉపయోగపడతాయి, కానీ ప్రవేశపెట్టిన చలిత సంఖ్యలు, వినియోగదారుడు ప్రత్యేకంగా ముద్రించిన దృష్టి సంబంధమైన కీ ని సర్వర్ తాయారు చేసిన బొమ్మ మీద పెట్టినప్పుడే కనిపిస్తాయి.
  • పబ్లిక్ కీ క్రిప్టోగ్రాఫి ఆధారిత ప్రవేశ నియంత్రణలు ఉంటాయి.ఉదా,.ssh. అవసరమైన పదాలు సాధారణంగా గుర్తుపెట్టుకోవడానికి చాలా పెద్దవిగా ఉంటాయి(కానీ ప్రతిపాదిత పాస్ మేజ్ చూడండి) మరియు వీటిని స్థానిక కంప్యూటర్ లో కానీ, భద్రతా టోకెన్ లేదా పోర్టబుల్ మెమొరీ పరికరాలు అయిన USB ఫ్లాష్ డ్రైవ్ లేదా ఫ్లాపీ డిస్క్ లలో భద్రపరచాలి.
  • బయోమెట్రిక్ విధానము మార్పుచేయలేనటువంటి వ్యక్తిగత లక్షణాల ద్వారా దృవీకరణను ఏర్పరుస్తుంది కాని ప్రస్తుతము (2008)లో ఈ విధానములో చాలా లోపాలు ఉండి పరీక్షించుటకు అదనపు హార్డువేరు యొక్క అవసరాన్ని కలిగి ఉంది. ఉదాహరణకు వేళిముద్రలు, కనుపాపలు మొదలగునవి. వ్యాపారపరముగా అందుబాటులో ఉన్న అత్యంత ప్రముఖమైన పరికరములను పరీక్షించు సంఘటనలలో ఇవి చాలా సులువుగా చెరిపివేయుటకు అవకాశము ఉన్నవిగా తేలినది. ఉదాహరణకు బంకగా ఉన్న వేళిముద్రల చెరిపివేత ప్రదర్శన [25], ఎందువల్లనంటే ఈ లక్షణాలు మార్చలేనటువంటివి, ఒకవేళ పట్టించుకొకపోయినట్లయితే వాటిని మార్చలేరు; అందుబాటును నిరోదించుటకు ఇది ముఖ్యమైనది మరియు పట్టింపులేని అందుబాటు ఖచ్చితముగా రక్షణ లేనిది.
  • ఒకే ఒక్క సైన్ ఆన్ పరిజ్ఞానము అనేక రహస్య సంకేత పదాలను కలిగి ఉండవలసిన అవసరాన్ని తొలగిస్తుంది అని చెప్పబడుతుంది. అటువంటి పధకాలు, ఉపయోగించేవారిని మరియు నిర్వహించేవారిని కాని అనువైన ఒకే రహస్య సంకేత పదమును ఎన్నుకొనుట నుండి మినహాయింపును ఇవ్వవు, అదే విధంగా పరికరాన్ని రూపొందించేవారిని లేదా నిర్వహించేవారిని కాని, పరికరాల మధ్య ప్రయాణించినటువంటి వ్యక్తిగత అందుబాటును నియంత్రించే సమాచారానికి సింగిల్ సైన్ ఆన్ విధానము దాడుల నుండి భద్రతను ఇస్తుంది అని చెప్పలేము. ఇప్పటికి సంతృప్తికరమైన నాణ్యత అభివృద్ధి చేయబడలేదు.
  • అభివృద్ధి చెందుతున్న సాంకేతిక నైపుణ్యము రహస్య సంకేత పదము అవసరము లేకుండానే సమాచారమును రక్షించుకునే మార్గము కలిగి ఉంది, ఉదా; బయటకు తీయగలిగిన నిల్వ ఉంచు పరికరాలు అయిన USB ఫ్లాష్ డ్రైవ్స్ వంటివి. ఉపయోగించు వారి రహస్య సంకేత పదాలకు బదులుగా వినియోగ నియంత్రణ అనేది ఒక నెట్వర్క్ వనరుల వినియోగానికి వినియోగదారునికి ఉన్న అనుమతి పై ఆధారపడుతుంది.
  • గ్రాఫికల్ రహస్య సంకేత పదాలు లేదా మౌస్ కదలికల మీద ఆధారపడిన రహస్య సంకేత పదాలు వంటి పదాల మీద ఆధారపడని రహస్య సంకేత పదాలు.[26] వేరొక పద్దతి, మనిషి మెదడు సులభముగా [[ముఖం|ముఖము]]లను మననము చేసుకునే సామర్ధ్యమును బట్టి ఒక శ్రేణిలోని ముఖాలను రహస్య సంకేత పదముగా ఎన్నుకొను విధానాన్ని కలిగి ఉంది.[27] ఇప్పటి వరకు ఇవి సామర్ధ్యము కలవిగా ఉన్నాయి కాని ఇంకా బహుళ ప్రాచుర్యములోనికి రాలేదు. నిజ ప్రపంచములో వీటి యొక్క ఉపయోగ సామర్ధ్యమును గుర్తించుటకు ఈ విషయముపైన అధ్యయనాలు జరుగుతున్నవి.
  • గ్రాఫికల్ రహస్య సంకేత పదములు లాగిన్ ద్రువీకరించుట కొరకు సాంప్రదాయక రహస్య సంకేత పదములకు ప్రత్యామ్నాయముగా ఉపయోగించదగినవి; అవి ఆకారములను, గ్రాఫిక్స్ ను, లేదా రంగులను, అక్షరాలను, సంఖ్యలు లేదా ప్రత్యేకమైన అక్షరములకు బదులుగా ఉపయోగిస్తాయి. కొన్ని ఆచరణలలో వినియోగదారులు అనుమతి పొందుటకు ఒక శ్రేణి ఆకారాలను ఖచ్చితమైన వరుసలో ఎన్నుకొనవలసి ఉంటుంది.[28] కొంత మంది గ్రాఫికల్ రహస్య సంకేత పదములను దొంగిలించుట కష్టము అని నమ్మగా మరికొందరు సామాన్య రహస్య సంకేత పదములను ఏవిధముగానైతే ఎన్నుకొంటారో సామాన్య ఆకారాలను లేదా వరుసలను అదే విధముగా ఎన్నుకొనవచ్చునని సలహాయిస్తారు.[citation needed]
  • 2D తాళము (2-డైమెన్షనల్ తాళము)[29] అనేది అనేక రహస్య సంకేత పదాలు, క్రాస్ పదాలు, ASCII /యునికోడ్ కళ, ఎన్నుకోదగిన దిగ్బ్రాంతిని కలిగించే పదాలతో,MePKC ను తెలుసుకోవటానికి ఒక పెద్ద 128 బిట్ల కన్నా ఎక్కువ ఉన్న రహస్య సంకేత పదమును/తాళమును సృష్టించటానికి (గుర్తుంచుకోగలిగిన పబ్లిక్-కీ క్రిప్తోగ్రఫి)[30] సాకారము చేసి ప్రస్తుత వ్యక్తిగత కీ నిర్వహణ విధానాలైనటువంటి ఎన్క్రిప్టెడ్ వ్యక్తిగత తాళము, స్పిల్ట్ వ్యక్తిగత తాళము మరియు రోమింగు వ్యక్తిగత తాళములను ఉపయోగించే 2D మాట్రిక్స్ వంటి తాళము పెట్టె విధానం.
  • ఆలోచనా సరళికి చెందిన రహస్య సంకేత పదములు ప్రశ్న మరియు సమాధానము సంజ్ఞ/స్పందన వంటి జంటల దృవీకరణను నిర్ధారించుటకు ఉపయోగిస్తాయి.

వెబ్ సైట్ రహస్య సంకేతపద పద్ధతులు[మార్చు]

వెబ్ సైట్ ను ఉపయోగించువారి యొక్క అర్హతను నిర్ధారించుటకు వెబ్ సైట్ నందు రహస్య సంకేత పదాలు ఉపయోగించబడతాయి మరియు ఇవి వెబ్ సర్వర్ చేత నిర్వహించబడతాయి, అనగా దాని అర్ధము దూరములో ఉన్నటువంటి పరికరము, సర్వర్ కి రహస్య సంకేత పదమును పంపిస్తుంది (HTTP POST ద్వారా), సర్వర్ దానిని పరిశీలించి తగిన సమాచారమును (లేదా అందుబాటు అడ్డుకొనబడినది అను సమాచారము) వెనుకకు పంపిస్తుంది. రహస్య సంకేత పదమును నిర్దాయించుటకు ఉపయోగించినటువంటి కోడ్ స్థానిక పరికరములో ఉండదు కనుక ఈ పద్ధతి స్థానికంగా వస్తువు ఏ విధముగా పనిచేస్తుంది అనేదాన్ని గమనించి దానిని ఉపయోగించుటను నిరోధిస్తుంది.

బ్రౌజరు ద్వారా రహస్య సంకేత పదమును అక్షరాల రూపములో బదిలీ చేస్తున్నప్పుడు అది సరళ వచనంలో ఉంటె అది సర్వర్ వద్దకు ప్రయాణిస్తున్నప్పుడు దానిని స్వాధీనపరచుకొనవచ్చు. చాలా వెబ్ నిర్ధాయక విధానాలు బ్రౌజరుకి మరియు సర్వరుకి మధ్య ఎన్క్రిప్టెడ్ సెషన్ ని ఏర్పరచుటకు SSLను ఉపయోగిస్తాయి, మరియు ఈ విధముగా చేయుట వెనుక ఉన్న ముఖ్య ఉద్దేశ్యము "సురక్షిత వెబ్ సైట్ ను కలిగి ఉండుట" మాత్రమే. ఇది బ్రౌజరు చేత దానంతట అదే చేయబడుతుంది మరియు సెషన్ లో సరళతను ఏర్పరుస్తుంది, ఎక్కడా కుడా రాజి పడకుండా ఉంటుంది మరియు SSL /TLS ఉపయోగించినటువంటి అమలుపరచు విధానాలు అత్యంత నాణ్యత కలవి.

బాగా అమలులో ఉన్న వెబ్ సైట్ రహస్య సంకేత పదము మరియు సభ్యత్వ నిర్వహణ పద్ధతులు జావా లేదా క్లయింటు వైపు కోడ్ ఉన్న జావా స్క్రిప్టు ను కలిగి ఉంటాయి (అర్ధము సందర్శకుల వెబ్ బ్రౌజరు). క్లయింటు వైపు ఉన్న కోడ్ HTML ఆధారముగా గల కోడ్ (ఉదాహరణకు, ఆత్ ప్రో). అటువంటి విధానాలలో ఉన్న లోపాలు ఏమిటంటే జావా స్క్రిప్ట్ ను మరియు మెటా రిడైరెక్టస్ ను స్విచ్ ఆఫ్ చేయుట ద్వారా రక్షణ వలయమును దాటి వెళ్ళవచ్చు, తద్వారా రక్షణ కల్పించబడినటువంటి పేజీని చేరుకోవచ్చు. ఇతరులు సోర్సు కోడ్ ను బ్రౌజరుకు పంపే లోపలే సర్వరు వైపు ఉన్న స్క్రిప్టింగ్ భాషను ASP లేదా PHP వంటివి అవకాశముగా తీసుకొని దృవీకరించవచ్చును.

రహస్య సంకేత పదాల చరిత్ర[మార్చు]

రహస్య సంకేత పదాలు లేదా రక్షణ పదాలు అనేవి పురాతన కాలము నుండి ఉపయోగించబడుతున్నాయి. రోమను సైన్యములో రక్షక పదాలను పంచే విధానాన్ని పోలిబియస్ ఈ క్రింది విధముగా వర్ణిస్తాడు:

వాళ్ళు రాత్రి పూట ఏవిధముగా రక్షక పదాలను పొందుతారు అనేది ఈ క్రింది విధముగా ఉన్నది: పదవ సైనిక దళము పాదచార దళము మరియు వాహన దళము ఏదయితే వీధి చివర మకాము వేసినదో దానిలో రక్షణ బాధ్యత నుండి తప్పించబడిన ఒక వ్యక్తి ఎన్నుకొనబడతాడు, అతను ప్రతి రోజు సూర్యస్తమయము తరువాత అధికారి యొక్క టెంట్ వద్ద హాజరు అవుతాడు, అతని నుండి చెక్క పలక మీద పదము రాయబడిన రక్షక పదాన్ని తీసుకొని అక్కడి నుండి సెలవు తీసుకుంటాడు, మరియు అతని వసతి గృహమునకు తిరిగి వచ్చునపుడు రక్షక పదాన్ని కలిగి ఉన్న చెక్క ఫలకమును సాక్షుల ముందు, తరువాతి దళము యొక్క కమాండర్ కు అందచేస్తాడు మరియు కమాండరు దానిని అతని పక్కన ఉన్న వ్యక్తికి అందిస్తాడు. ప్రతి ఒక్కరు అది అధికారుల టెంట్ల వద్ద మకాము వేసిన మొదటి దళమునకు చేరు వరకు ఆ విధముగా చేస్తారు. దీనిని చీకటి పడక మునుపే అధికారులకు అందచేసే బాధ్యతను వహిస్తారు. ఒక వేళ ఇచ్చిన రక్షక పదాలన్ని తిరిగి వస్తే, అధికారి ప్రతి ఒక్క దళానికి రక్షక పదము ఇవ్వబదినదని మరియు అది అన్నిటి ద్వారా తిరిగి తన వద్దకు వచ్చినదని అర్ధము చేసుకుంటాడు. ఒక వేళ ఏదయినా రక్షక పదము తిరిగి రానట్లయితే, వెంటనే దాని పై విచారణ జరుపుతాడు, గుర్తుల ద్వారా ఏ గృహము నుండి అది రాలేదో తెలుసుకొని అందుకు బాధ్యులైన వారికి తగిన శిక్షను విధిస్తాడు.[31]

సైన్యములో రహస్య సంకేత పదాల వినియోగం కేవలం రహస్య సంకేత పదము కలిగి ఉండటానికి మాత్రమె మొదలవ్వలేదు, దానికి తగిన రహస్య సంకేత పదాన్ని మరియు ప్రతిరహస్య సంకేత పదాన్ని ఉపయోగించటము కూడా జరిగినది; ఉదాహరణకు నార్మన్డి యుద్దము ప్రారంభ దినాలలో యు.ఎస్ 101వ ఎయిర్ బోర్న్ డివిజన్ వైమానిక దళ సభ్యులు "ఉరుము" అనే రహస్య సంకేత పదమును ఉపయోగించారు-ఇది అవతలివారికి సవాలుగా ఉపయోగించటము జరిగినది మరియు అది సరైన సమాధానము అయినటువంటి "మెరుపు" ద్వారా జవాబియ్యబడినది. కాలక్రమేణా సవాలు మరియు జవాబు మార్పుచేయబడేవి. అమెరికన్ వైమానిక దళ సభ్యులు "క్రికెట్" అనే వస్తువును దాడి చేయవలసిన రోజులో ప్రఖ్యాతముగా ఉపయోగించారు మరియు దీనిని రహస్య సంకేత పదము స్థానములో ఒక తాత్కాలిక ప్రత్యేక గుర్తింపు పద్దతిగా ఉపయోగించటము జరిగినది; రహస్య సంకేత పదము బదులుగా వస్తువు మీద ఇవ్వబడిన ఒక లోహపు చిటికె రెండు చిటికెల ద్వారా జవాబును పొందాలి.[32]

కంప్యుటరులో రహస్య సంకేత పదాలను ఉపయోగించటము అనేది కంప్యుటరు వాడకం మొదలైన తొలి రోజుల నుండి ఉన్నది. MIT 's CTSS , 1961లో అమలులోకి తెచ్చిన మొట్టమొదటి పంచుకోగలిగిన పరికరములలో ఒకటి. ఇది ఉపయోగించువారిని రహస్య సంకేత పదమును అడిగే లాగ్ ఇన్ కమాండును కలిగి ఉన్నది. "రహస్య సంకేత పదమును రాసిన తరువాత సాధ్యమయితే, పరికరము ముద్రించు విధానాన్ని ఆపివేస్తుంది తద్వారా ఉపయోగించువారు తమ యొక్క రహస్య సంకేత పదమును స్వతంత్రముగా రాయగలుగుతారు.[33] యునిక్స్ నిర్వహణ వ్యవస్థలో భాగముగా రాబర్ట్ మోరిస్ లాగిన్ రహస్య సంకేత పదాలను సంక్షిప్త రూపములో నిలువ ఉంచే విధానాన్ని కనిపెట్టాడు. అతని యొక్క క్రిప్ట్(3)గా పిలవబడే ఒకదాని తరువాత ఒక సమస్యను పూరించే విధానములో 12 బిట్ సాల్ట్ ను ఉపయోగించాడు మరియు ఆధునీకరించబడిన DES ఒకదాని తరువాత ఒక సమస్యను పూరించే విధానమును ముందుగానే ఏర్పాటు చేసిన నిఘంటువు యొక్క దాడులను ఎదుర్కొనుటకు వీలుగా అమలులోనికి తెచ్చాడు.

వీటిని కూడా చూడండి[మార్చు]

  • ఉపయోగించు నియమము
  • దృవీకరణ
  • CAPTCHA
  • డైసివేర్
  • కేర్బెరోస్ (నిభందన)
  • ముఖ్యమైన ఫైలు
  • రహస్య పదము
  • రహస్య సంకేత పదమును నిర్వహించునది
  • రహస్య సంకేత పదము యొక్క విధానము
  • రహస్య సంకేత పదము యొక్క మనస్తత్వము
  • రహస్య సంకేత పదము యొక్క బలము
  • రహస్య సంకేత పదము యొక్క పొడవును నిర్దారించునది.
  • రహస్య సంకేత పదము బద్దలగుట
  • రహస్య సంకేత పదముతో విసుగు
  • రహస్య సంకేత పదము యొక్క అధికారిక ఒప్పందము
  • రహస్య సంకేత పదాన్ని తెలియచేసే ఈ-మెయిలు
  • రహస్య సంకేత పదాల మదింపు
  • ముందస్తుగా పంచుకోబడిన తాళం
  • రహస్య సంకేత పదాలను రాన్దము గా సృష్టించునది
  • ఇంధ్ర ధనస్సు పట్టిక
  • సెల్ఫ్-సర్వీసు పాస్ వర్డ్ రీసెట్
  • షిబ్బోలేత్

సూచనలు[మార్చు]

  1. Vance, Ashlee (January 20, 2010). "If Your Password Is 123456, Just Make It HackMe". The New York Times. 
  2. [1] ఫ్రెడ్ కోహెన్ మరియు భాగస్వాములు
  3. రహస్య సంకేత పదాలను గుర్తుంచుకోగలుగుట మరియు రక్షణ
  4. లిక్విక్స్ బ్లాగ్: మనము రహస్య సంకేత పదాలను దాచి పెట్టుకోనవలసిన అవసరము ఉందా?
  5. న్యూస్.bbc.co.uk:: మలేషియా కారు దొంగలు వేళిని దొంగిలించుట
  6. యునైటెడ్ కింగ్ డం లో ఉపయోగించిన అతి ఉత్తమ పది రహస్య సంకేత పదాలు
  7. నూతన కార్యక్రమ విధానములో రహస్య సంకేత పదాల రక్షణ
  8. http://support.microsoft.com/default.aspx?scid=KB;EN-US;q299656
  9. HP - UX రక్షణ తెల్ల కాగితము "రహస్య సంకేత పదాలు కేవలము అతి ముఖ్యమైన ఎనిమిది అక్షరాలకు పరిమితము"
  10. "అమెరికన్ ఎక్స్ ప్రెస్: స్ట్రాంగ్ క్రెడిట్, బలహీన రహస్య సంకేత పదాలు"
  11. "పది కిటికీల రహస్య సంకేత పదాల కాల్పనిక నమ్మకాలు":"NT డయలాగ్ బాక్సులు ... 14 అక్షరాలు కలిగిన రహస్య సంకేత పదాలు కొన్నిమాత్రమే ఉన్నాయి"
  12. "నీవు 1 నుండి 8 అక్షరాల పొడవు కలిగిన రహస్య సంకేత పదమును ఉపయోగించవలెను"
  13. "పెద్ద ఆంగ్ల అక్షరాలను ఉపయోగించటమా లేదా పెద్ద ఆంగ్ల అక్షరాలను ఉపయోగించక పోవటమా?"
  14. బ్రూస్ షిన్నియర్: క్రిప్టో-గ్రామ్ న్యూస్ లెటర్ మే 15 , 2001
  15. "పది కిటికీల రహస్య సంకేత పదాల కాల్పనిక నమ్మకాలు": కాల్పనిక నమ్మకము #7. నీవు ఎప్పటికీ నీయొక్క రహస్య సంకేత పదాన్ని రాయరాదు.
  16. "మైక్రోసాఫ్ట్ సెక్యురిటి గురు: మీయొక్క రహస్య సంకేత పదాలను టూకీగా రాసుకోండి"
  17. రిచర్డ్ ఇ.స్మిత్ యొక్క:"గొప్ప శక్తి వంతమైన రహస్య సంకేత పదము యొక్క సంధిగ్ధత" "మనము సాంప్రదాయక రహస్య సంకేత పదాల నియమాలను ఈ క్రింది విధముగా క్లుప్తీకరించవచ్చు: రహస్య సంకేత పదాలు గుర్తుంచుకొనుటకు సాధ్యము కానివిగా ఉండాలి మరియు ఎప్పుడు రాయబడ కూడదు."
  18. బాబ్ జెంకిన్స్ యొక్క "రహస్య సంకేత పదాలను యధేచ్చగా ఎన్నుకొనుట
  19. "రహస్య సంకేత పదాలను గుర్తుంచుకొనుట మరియు రక్షణ-- కొన్ని అనుభవ పూరితమైన ఫలితాలు"
    "మీ యొక్క రహస్య సంకేత పదము ... మీయొక్క సంచి లేదా పర్సు వలే రక్షిత స్థలము లో ఉన్నది."
  20. "నేను నా రహస్య వాఖ్యమును రాయవలెనా?"
  21. రహస్య సంకేత పదము
  22. షెనియర్, నిజ-ప్రపంచము యొక్క రహస్య సంకేతపదాలు
  23. మై స్పేస్ పాస్ వర్డ్స్ ఆర్ నాట్ సో డంబ్
  24. "CERT IN-98.03". Retrieved 2009-09-09. 
  25. టి మాట్సుమోతో హెచ్ మాత్సుమోటాట్, కే యమడ, మరియు హొషినో, వేళిముద్రల వ్యవస్థ పై కుత్రిమ 'గమ్మి' వేళ్ళ ప్రభావము ప్రోక్ SPIE , వాల్యూం 4677 ,ఆప్టికల్ సెక్యురిటి మరియు కవుంటర్ ఫీట్ డిటరెన్స్ టెక్నిక్స్ IV లేదా itu.int/itudoc/itu-t/workshop/security/resent/s5p4.pdf pg 356
  26. http://waelchatila.com/2005/09/18/1127075317148.html
  27. http://mcpmag.com/reviews/products/article.asp?EditorialsID=486
  28. http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1001829,00.html
  29. http://www.xpreeli.com/doc/manual_2DKey_2.0.pdf
  30. http://www.wipo.int/pctdb/en/wo.jsp?WO=2010010430
  31. రోమను సైన్యములో పోలిబియస్
  32. బండో, మార్క్ స్క్రీమింగ్ ఈగల్స్: రెండవ ప్రపంచ యుద్దములోని 101వ ఎయిర్బార్న్ డివిజన్ యొక్క కథలు .
  33. CTSS ప్రోగ్రామర్స్ మార్ఘదర్సి, 2nd Ed ., MIT ప్రెస్,1965

బాహ్య లింకులు[మార్చు]