पासवर्ड जेनरेटर

यह जेनरेटर आपके चुने हुए वर्ण-समूह से हर वर्ण को स्वतंत्र रूप से निकालकर पासवर्ड बनाता है, और इसके लिए ब्राउज़र के Web Crypto API से रैंडमनेस लेता है। यह वही क्रिप्टोग्राफ़िकली सुरक्षित स्रोत है जिससे ब्राउज़र TLS सत्र कुंजियाँ बनाते हैं — यह अधिकांश अस्थायी जेनरेटरों में इस्तेमाल होने वाला पक्षपाती Math.random() नहीं है। रिजेक्शन सैंपलिंग लूप यह सुनिश्चित करता है कि वर्णमाला के हर प्रतीक की संभावना समान हो, ताकि एन्ट्रोपी अनुमान वास्तव में सही ठहरे।

उदाहरण

लंबाई 20, चारों वर्ग, मिलते-जुलते वर्ण अनुमत:

G7#vQ2xP!mK9nR4sT&bL

लंबाई 24, केवल अक्षर और अंक (प्रतीकों को अस्वीकार करने वाली साइटों के लिए):

k3Hq8RmZ5nPv2WyTb6JsXfLd

जेनरेट किए पासवर्ड इस्तेमाल करते समय आम दिक्कतें

• साइट कुछ प्रतीक अस्वीकार करती है। कुछ साइटें <, >, उद्धरण या स्पेस को चुपचाप हटा देती हैं या मना कर देती हैं। अगर पासवर्ड स्वीकार न हो, तो "प्रतीक" वर्ग बंद कर दें और लंबाई 24+ करके भरपाई करें।
• कॉपी-पेस्ट में अंत में एक स्पेस आ जाता है। कुछ ऑपरेटिंग सिस्टम में डबल-क्लिक सेलेक्शन अतिरिक्त स्पेस उठा लेता है। अगर लॉगिन फ़ेल हो, पहले सादे टेक्स्ट में पेस्ट करके लंबाई मिलाएँ।
• "सहूलियत के लिए" बहुत छोटा रखना। 8 वर्णों का पासवर्ड लगभग 50 बिट एन्ट्रोपी का है — आधुनिक GPU पर कुछ घंटों में ऑफ़लाइन क्रैक। सामान्य खातों के लिए 16+ और डेटा एन्क्रिप्शन के लिए 20+ उपयोग करें।
• कई खातों में एक ही पासवर्ड। मज़बूत पासवर्ड भी किसी एक भंगित साइट पर दोबारा इस्तेमाल होने पर समझौता हो जाता है। हर खाते के लिए अलग पासवर्ड बनाएँ और पासवर्ड मैनेजर में रखें।
• पासवर्ड रोटेशन पॉलिसी भूल जाना। कुछ कॉर्पोरेट सिस्टम हर 90 दिन में बदलाव ज़रूरी करते हैं। जेनरेट किया पासवर्ड मैनेजर में सहेजें ताकि साइट दोबारा माँगे तो ठीक वही मिला सकें।
• स्क्रीनशॉट या क्लिपबोर्ड इतिहास। macOS, Windows और कई क्लिपबोर्ड मैनेजर इतिहास रखते हैं। पासवर्ड स्टोर करने के बाद क्लिपबोर्ड साफ़ करें या कुछ और कॉपी करके ओवरराइट करें।

क्या यह पासवर्ड जेनरेटर क्रिप्टोग्राफ़िकली सुरक्षित है?

हाँ। रैंडमनेस crypto.getRandomValues() से आती है, यानी ब्राउज़र का Web Crypto API जो TLS सत्र कुंजियों का भी आधार है। यह Math.random() नहीं है — वह अनुमान-योग्य छद्म-रैंडम जेनरेटर है, गोपनीयता के लिए उपयुक्त नहीं। हर वर्ण रिजेक्शन सैंपलिंग से निकाला जाता है ताकि वर्णमाला का हर प्रतीक समान संभावना से आए।

मेरा पासवर्ड कितना लंबा होना चाहिए?

रेट-लिमिटिंग वाले ऑनलाइन खातों के लिए, मिश्रित वर्गों के 16 वर्ण काफ़ी हैं। ऑफ़लाइन एन्क्रिप्टेड डेटा (पासवर्ड मैनेजर, डिस्क एन्क्रिप्शन, बैकअप) के लिए 20 या अधिक उपयोग करें। चारों वर्गों के साथ 20 वर्ण का पासवर्ड लगभग 130 बिट एन्ट्रोपी का होता है, जो ब्रूट-फ़ोर्स की पहुँच से बाहर है।

क्या आप इस टूल से बनाए पासवर्ड सहेजते हैं?

नहीं। आप यहाँ जो पासवर्ड बनाते हैं, हम उन्हें सहेजते नहीं। हर पासवर्ड एक बार दिखता है, केवल आपके दिखाई देने वाले इनपुट फ़ील्ड में रहता है, और टैब रिफ्रेश या बंद होते ही चला जाता है। स्टोरेज में कुछ नहीं लिखा जाता, हमारी तरफ़ लॉग भी नहीं। आप चाहें तो ब्राउज़र डेवलपर टूल्स में पुष्टि कर सकते हैं।

एन्ट्रोपी क्या है और मुझे कितने बिट चाहिए?

एन्ट्रोपी बिट्स में अप्रत्याशितता को मापती है। हर बिट से हमलावर को लगने वाले अनुमान दोगुने हो जाते हैं। 60 बिट साधारण ऑफ़लाइन हमलों से, 80 बिट ज़िद्दी हमलों से बचाती है, और 128 बिट मज़बूत कुंजियों का आधुनिक मानक है। 90 प्रतीकों से बना 20 वर्ण का पासवर्ड लगभग 130 बिट होता है।

क्या मुझे रैंडम पासवर्ड की जगह पासफ़्रेज़ का इस्तेमाल करना चाहिए?

5 या 6 रैंडम शब्दकोश शब्दों का पासफ़्रेज़ टाइप और याद करने में आसान होता है और समान एन्ट्रोपी (लगभग 65 से 80 बिट) तक पहुँच सकता है। लेकिन जिन पासवर्डों को आप मैनेजर में रखते हैं और कभी टाइप नहीं करते, उनके लिए समान मज़बूती पर रैंडम-कैरेक्टर पासवर्ड छोटा रहता है। यह टूल बाद वाला बनाता है।

मेरे जेनरेट किए पासवर्ड के प्रतीक कुछ साइटें क्यों अस्वीकार करती हैं?

कुछ साइटें कमज़ोर इनपुट हैंडलिंग के कारण <, >, उद्धरण या स्पेस जैसे प्रतीकों को अस्वीकार कर देती हैं। पासवर्ड अस्वीकृत हो तो "प्रतीक" हटा दें और अक्षर-अंक का लंबा पासवर्ड बनाएँ। छोटी वर्णमाला की भरपाई लंबाई से हो जाती है।