पासवर्ड एक बहुत पुराने सवाल का जवाब है: क्या तुम हममें से हो?
इसे कंप्यूटर ने नहीं बनाया। पॉलीबियस ने दूसरी सदी ईसा पूर्व में लिखा कि रोमन सेना हर रात लकड़ी की एक तख़्ती — tessera — पर लिखा शब्द एक टुकड़ी से दूसरी तक घुमाती और वह कमान तक लौट आता। जो उसे जानता था, वह अपना था। जो नहीं, वह नहीं।
दो हज़ार साल बाद हम बिलकुल वही कर रहे हैं। बदला सिर्फ़ इतना है कि पूछ कौन रहा है, और वह कितनी तेज़ी से जवाब का अनुमान लगा सकता है।
1961 पासवर्ड कंप्यूटर में आता है
नवंबर 1961 में MIT ने CTSS (Compatible Time-Sharing System) का प्रदर्शन किया, जिसकी अगुवाई फ़र्नांडो कोर्बातो कर रहे थे। यह नया विचार था: एक ही, बेहद महँगा कंप्यूटर, जिसे कई लोग एक साथ साझा करें।
और वहीं समस्या आई। अगर मशीन सबकी है, तो हर एक की फ़ाइलें उसी की रहनी चाहिए। कंप्यूटर को यह जानने का तरीक़ा चाहिए था कि टाइप कौन कर रहा है। हल सबसे स्पष्ट था, और सबसे रोमन भी: हर उपयोगकर्ता को अपना एक शब्द दे दो।
ठीक-ठीक कहना ज़रूरी है: कोर्बातो ने पासवर्ड का आविष्कार नहीं किया। उन्होंने बहु-उपयोगकर्ता कंप्यूटर पर प्रति-उपयोगकर्ता पासवर्ड का आविष्कार किया, जो और बात है। बुढ़ापे में उन्होंने ख़ुद कहा कि यह सब «एक दु:स्वप्न» बन गया।
1962 पहली सेंध, और वजह थी मशीन-समय
एक साल बाद, उसी MIT के शोध-छात्र एलन शेर के सामने बहुत सांसारिक समस्या थी: उन्हें हफ़्ते में सिर्फ़ चार घंटे कंप्यूटर मिलता था और शोध-प्रबंध के लिए और चाहिए था।
तो उन्होंने सिस्टम से कहा कि पासवर्ड की फ़ाइल छाप दे। बस इतना। वह वहीं थी, सादे पाठ में, और किसी ने सोचा ही नहीं था कि कोई उसे माँगेगा। छपी हुई सूची हाथ में लेकर उन्होंने दूसरों के खाते इस्तेमाल कर काम जारी रखा।
दिलचस्प तरकीब नहीं है। मक़सद है: इतिहास की पहली पासवर्ड सेंध किसी अपराधी ने नहीं लगाई, बल्कि उस आदमी ने जो काम करता रहना चाहता था। साठ साल बाद भी ज़्यादातर सुरक्षा-छेद वहीं से जन्मते हैं: समझदार लोग छोटा रास्ता खोजते हुए।
1979 किसी को समझ आता है कि इन्हें रखना ही नहीं चाहिए
क़रीब दो दशक तक कई सिस्टम पासवर्ड जस के तस रखते रहे। जो फ़ाइल पढ़ लेता, सब ले जाता।
1979 में रॉबर्ट मॉरिस और केन थॉम्पसन ने Communications of the ACM में «Password Security: A Case History» शीर्षक से लेख छापा, उस पर जो उन्होंने यूनिक्स में किया था। दो विचार, जिन पर आज सब कुछ टिका है:
- पासवर्ड मत रखो, उसका हैश रखो। सिस्टम को यह जानने की ज़रूरत नहीं कि तुम्हारा पासवर्ड क्या है; उसे बस जाँचना है कि तुमने अभी जो लिखा, वह वही नतीजा देता है या नहीं।
- नमक: हैश करने से पहले हर पासवर्ड में एक यादृच्छिक मान जोड़ना, ताकि एक ही पासवर्ड वाले दो लोगों का हैश एक न हो, और कोई पहले से तालिका बनाकर सबको एक साथ न तोड़ सके।
आज जब हम कहते हैं कि किसी सेवा को «तुम्हारा पासवर्ड पता नहीं होना चाहिए», तो हम 1979 के एक लेख को उद्धृत कर रहे होते हैं।
2003 वे नियम जो हम सबने सीखे, और वे आए कहाँ से
2003 में अमेरिकी NIST के बिल बर ने वह दस्तावेज़ लिखा जो तय करने लगा कि आधी दुनिया पासवर्ड कैसे माँगेगी: SP 800-63। जो कुछ तुम तुरंत पहचानते हो, सब वहीं से आया:
कम से कम एक बड़ा अक्षर, एक अंक और एक चिह्न। हर 90 दिन में बदलो।
यह विज्ञान जैसा लगता था। था नहीं। बर के पास असली पासवर्डों का अच्छा डेटा नहीं था — था ही नहीं — इसलिए उन्होंने जो था उस पर टेक लगाई और जो समझदारी लगती थी उसी ओर तर्क किया: ज़्यादा तरह के अक्षर, ज़्यादा संयोजन, ज़्यादा सुरक्षा।
दिक़्क़त यह है कि लोग यादृच्छिक जनरेटर नहीं हैं। बड़ा अक्षर माँगो, वह सबसे आगे
आएगा। अंक माँगो, वह आख़िर में जाएगा। चिह्न माँगो, वह ! होगा। और तीन महीने में
बदलने को मजबूर करो, तो Garmi2024! बनकर Sardi2024! हो जाएगा।
नतीजा: पासवर्डों की पूरी एक पीढ़ी जो जटिल दिखती है और मामूली है, और थके हुए उपयोगकर्ता जो उन्हें हर जगह दोहराते हैं क्योंकि अब बस नहीं होता।
2017 NIST पलटता है, और बर भी
2017 में NIST ने SP 800-63B छापा और लगभग हर बात से पीछे हट गया:
- लंबाई जटिलता से ज़्यादा मायने रखती है।
- सेंध के संकेत न हों तो ज़बरदस्ती बदलवाना नहीं।
- चिह्न माँगने के बजाय पासवर्ड को लीक सूचियों से मिलाकर देखना।
उसी साल बर ने Wall Street Journal से कहा कि जो उन्होंने लिखा था, उसके बड़े हिस्से पर उन्हें अफ़सोस है। यह कंप्यूटर सुरक्षा की सबसे ईमानदार सुधार-स्वीकृतियों में से एक है — और आज भी हज़ारों फ़ॉर्म तुमसे एक चिह्न माँगते हैं, एक ऐसे दस्तावेज़ के कारण जिसे उसके अपने लेखक ने नकार दिया।
यह पुराना इतिहास क्यों नहीं है
इस सबका एक बहुत ठोस नतीजा है, और तुम उसे यहीं देख सकते हो।
हमारा अपना चेकर कुछ समय पहले तक 2003 के तर्क पर चलता था: वह बड़े
अक्षर, अंक और चिह्न गिनता था। वह Contraseña1! को — जो शब्दश: स्पेनिश में
«पासवर्ड» है — 92 % «बहुत मज़बूत» देता था, और पाँच यादृच्छिक शब्दों के वाक्यांश
को, जो बेमिसाल बेहतर है, 0 % «बहुत कमज़ोर»।
वह ठीक उसी चीज़ को इनाम दे रहा था जो नहीं करनी चाहिए। हमने बदल दिया: अब वह तुम्हारा पासवर्ड शब्दों, नामों, शहरों और कीबोर्ड-पैटर्न की शब्दावलियों में खोजता है और बताता है कि सचमुच वह कितनी देर टिकेगा।
और इसीलिए जनरेटर तुम्हें प्रतिशत नहीं, एन्ट्रॉपी के बिट दिखाता है। प्रतिशत का कोई मतलब नहीं। बिट का है: वह यह है कि तुम्हारे बारे में कुछ न जानने वाले को कितनी बार कोशिश करनी पड़ेगी।
क्या करें, दो पंक्तियों में
- लंबा, टेढ़े से बेहतर। चार-पाँच यादृच्छिक शब्द
P@ssw0rdको कई गुना पीछे छोड़ देते हैं। - हर जगह अलग, और एक मैनेजर में। 2003 का यही एक नियम है जो अब भी खड़ा है — और यही है जिसे हमने सबसे कम माना।
सवाल वही है जो दूसरी सदी के रोम में था: क्या तुम हममें से हो? बदला यह है कि अब पूछने वाला हर सेकंड एक अरब जवाब आज़मा सकता है। बेहतर हो कि तुम्हारा जवाब शब्दकोश में न हो।
स्रोत: F. J. कोर्बातो और CTSS (MIT, 1961) · 1962 पर ख़ुद एलन शेर का वृत्तांत · R. मॉरिस और K. थॉम्पसन, «Password Security: A Case History», Communications of the ACM, 1979 · NIST SP 800-63 (2003) और SP 800-63B (2017) · बिल बर के Wall Street Journal को दिए बयान, अगस्त 2017।