पासवर्ड को सुरक्षित रूप से कैसे संग्रहीत और संभाला जाना चाहिए?

Question

Accepted Answer

पासवर्ड को सुरक्षित रूप से संग्रहीत किया जाना चाहिए — **कभी plaintext में नहीं**, बल्कि एक मज़बूत, धीमे, salted पासवर्ड-हैशिंग एल्गोरिदम (bcrypt, Argon2, scrypt) के साथ **hashed**। उचित पासवर्ड हैंडलिंग महत्वपूर्ण है क्योंकि पासवर्ड उल्लंघन अत्यंत हानिकारक और सामान्य होते हैं।

## कभी plaintext संग्रहीत न करें; ठीक से hash करें

```text
❌ NEVER store passwords in plaintext (a breach exposes all passwords directly)
❌ Don't use fast/general hashes (MD5, SHA-256) alone — too fast → easily brute-forced
✅ HASH with a dedicated PASSWORD HASHING algorithm: BCRYPT, ARGON2, or scrypt:
  → SLOW by design (resistant to brute-force/GPU cracking)
  → SALTED (a unique random salt per password) → prevents rainbow-table attacks and
    identical passwords hashing the same
```

```js
// hashing with bcrypt (handles salting automatically)
const hash = await bcrypt.hash(password, 12);   // store the hash (with salt + cost)
// verifying at login
const valid = await bcrypt.compare(inputPassword, storedHash);   // compare securely
```

## ये एल्गोरिदम क्यों

```text
SALT → unique random value per password → identical passwords get DIFFERENT hashes;
  defeats precomputed (rainbow table) attacks
SLOW (work factor) → deliberately expensive to compute → brute-forcing millions of
  guesses becomes impractical (tunable cost factor as hardware improves)
→ bcrypt/Argon2/scrypt are designed for passwords; general hashes (SHA) are NOT.
```

## अन्य पासवर्ड प्रथाएँ

```text
✓ Enforce reasonable strength (length over complexity); check against breached-password lists
✓ MULTI-FACTOR authentication (MFA) → strong protection even if a password leaks
✓ HTTPS for transmission; rate-limit / lock out brute-force login attempts
✓ Secure password RESET (time-limited tokens); never email passwords; never log them
```

## यह क्यों महत्वपूर्ण है

सुरक्षित पासवर्ड संग्रहण और हैंडलिंग को समझना आवश्यक है क्योंकि **पासवर्ड उल्लंघन अत्यंत सामान्य और हानिकारक होते हैं**, और अनुचित पासवर्ड संग्रहण एक गंभीर, बार-बार होने वाली कमज़ोरी है, इसलिए यह ज़रूर जानने योग्य सुरक्षा ज्ञान है।

मौलिक नियम महत्वपूर्ण हैं: **पासवर्ड को कभी plaintext में संग्रहीत न करें** (एक उल्लंघन हर उपयोगकर्ता के पासवर्ड को सीधे उजागर कर देगा — विनाशकारी), और **तेज़ सामान्य हैश पर निर्भर न रहें** (MD5, SHA-256) जो बहुत तेज़ हैं और आसानी से brute-force किए जाते हैं।

इसके बजाय, **समर्पित पासवर्ड-हैशिंग एल्गोरिदम के साथ hash करें** (bcrypt, Argon2, scrypt) जो **डिज़ाइन से धीमे** हैं (brute-force और GPU cracking के प्रतिरोधी) और **salted** हैं (प्रति पासवर्ड एक अद्वितीय रैंडम salt, rainbow-table हमलों को रोकना और यह सुनिश्चित करना कि समान पासवर्ड को अलग हैश मिलें)।

**ये एल्गोरिदम क्यों** यह समझना — salting (precomputed हमलों को परास्त करना, समान पासवर्ड को अलग-अलग hash कराना) और धीमापन/work factor (बड़े पैमाने पर brute-forcing को अव्यावहारिक बनाना, जैसे-जैसे हार्डवेयर सुधरता है एक tunable cost के साथ) — सामान्य गलतियों (plaintext, तेज़ हैश, बिना salt) के विरुद्ध सही दृष्टिकोण को समझाता है।

**अन्य प्रथाओं** को समझना — उचित मज़बूती लागू करना (जटिलता पर लंबाई, breached-password सूचियाँ जाँचना), **MFA** (पासवर्ड लीक होने पर भी मज़बूत सुरक्षा), संचरण के लिए HTTPS, लॉगिन प्रयासों को rate-limit करना, सुरक्षित पासवर्ड रीसेट (समय-सीमित टोकन), और पासवर्ड को कभी लॉग या ईमेल न करना — व्यापक पासवर्ड सुरक्षा को दर्शाता है।

पासवर्ड हैंडलिंग एक ऊँचे दाँव वाला क्षेत्र है जहाँ गलतियाँ (plaintext संग्रहण, कमज़ोर हैशिंग) सीधे बड़े उल्लंघनों का कारण बनती हैं, जबकि उचित हैंडलिंग (मज़बूत salted हैशिंग, MFA) उपयोगकर्ताओं की काफ़ी रक्षा करती है।

चूँकि पासवर्ड उल्लंघन सामान्य और हानिकारक होते हैं और अनुचित संग्रहण एक गंभीर, बार-बार होने वाली कमज़ोरी है, और चूँकि सुरक्षित संग्रहण (कभी plaintext नहीं, bcrypt/Argon2 के साथ मज़बूत salted धीमी हैशिंग) और अच्छी प्रथाओं (MFA, rate-limiting) को समझना उपयोगकर्ताओं की रक्षा के लिए आवश्यक है, सुरक्षित पासवर्ड संग्रहण और हैंडलिंग को समझना आवश्यक, ज़रूर जानने योग्य सुरक्षा ज्ञान है — एक महत्वपूर्ण, ऊँचे दाँव वाला क्षेत्र जहाँ सही दृष्टिकोण (समर्पित पासवर्ड हैशिंग, salting, MFA) उन विनाशकारी पासवर्ड उल्लंघनों को रोकता है जो अनुचित हैंडलिंग का कारण बनते हैं, ऑथेंटिकेशन को संभालने वाले किसी भी डेवलपर के लिए मौलिक ज्ञान।