پاس ورڈ کی مضبوطی کی ریاضی

پاس ورڈ کی مضبوطی ایک عدد ہے۔ کلاڈ شینن نے 1948 میں اسے انفارمیشن اینٹروپی کے طور پر باقاعدہ بنایا، جسے بٹس میں ماپا جاتا ہے۔ ہر بٹ ان ممکنہ امتزاجات کی تعداد کو دوگنا کر دیتا ہے جو حملہ آور کو آزمانے پڑتے ہیں۔ 76 حروف (بڑے حروف، چھوٹے حروف، ہندسے، اور 14 علامتیں) سے بے ترتیب طور پر منتخب کیا گیا پاس ورڈ فی حرف تقریباً 6.25 بٹس اینٹروپی رکھتا ہے۔ اس لیے 16 حروف کا پاس ورڈ تقریباً 100 بٹس اینٹروپی پر مشتمل ہوتا ہے: 2¹⁰⁰ ممکنہ امتزاجات، ایک 31 ہندسوں والا عدد۔

عملی نتیجہ تیزی سے بڑھنے والا (ایکسپونینشل) ہے۔ اس جنریٹر سے بنایا گیا 20 حروف کا پاس ورڈ تقریباً 125 بٹس اینٹروپی رکھتا ہے، یعنی حملہ آور کو اسے تلاش کرنے کی ضمانت کے لیے تقریباً 10³⁷ امتزاجات آزمانے ہوں گے۔ فی سیکنڈ ایک ٹریلین اندازوں کی رفتار سے، متوقع تلاش کا وقت کائنات کی موجودہ عمر سے اربوں گنا زیادہ ہے۔ طوالت سب سے اہم متغیر ہے۔ چار حروف کا اضافہ حروف تہجی سے حروف و اعداد پر تبدیل ہونے سے زیادہ سیکیورٹی فراہم کرتا ہے۔

طوالت تیزی سے جیتتی ہے

بے ترتیب پاس ورڈ میں ایک حرف کا اضافہ تلاش کی جگہ کو 76 سے ضرب دیتا ہے۔ چار حروف کا اضافہ اسے 76⁴ سے ضرب دیتا ہے، جو تقریباً 33 ملین ہے۔ یہ ایکسپونینشل پیمانہ اس وجہ ہے کہ طوالت ہوشیار تبدیلیوں سے کہیں زیادہ اہمیت رکھتی ہے۔ انسان کے چنے ہوئے پاس ورڈ میں "a" کو "@" سے تبدیل کرنا عملی طور پر صفر اینٹروپی شامل کرتا ہے کیونکہ حملہ آور پہلے سے ہی اس تبدیلی کو اپنی ڈکشنریوں میں شامل کرتے ہیں۔ چار واقعی بے ترتیب حروف کا اضافہ 25 بٹس اینٹروپی شامل کرتا ہے۔ 25 بٹس کا مطلب ہے کہ حملہ آور کو تلاش کی جگہ تلاش کرنے میں 33 ملین گنا زیادہ وقت درکار ہے۔

2024 کی NIST خصوصی اشاعت 800-63B پیچیدگی کے اصولوں کی بجائے پاس ورڈ کی طوالت کو ترجیح دینے کی سفارش کرتی ہے۔ اس ہدایت نامے کے پیچھے تحقیق سے معلوم ہوا کہ پیچیدگی کی شرائط (ایک بڑا حرف، ایک ہندسہ، ایک علامت) پیش گوئی کے قابل نمونے پیدا کرتی ہیں: Password1! ہر اصول پر پورا اترتا ہے جبکہ لاکھوں لیک ہونے والے اسناد کے ڈیٹابیسز میں موجود ہے۔ مکمل طور پر بے ترتیب 16 حروف کی سٹرنگ کسی انسانی نمونے کو پورا نہیں کرتی کیونکہ اس میں کوئی نمونہ ہے ہی نہیں۔ یہ جنریٹر ہر پاس ورڈ کے لیے چاروں حروف کی اقسام کی ضمانت دیتا ہے، پھر پوزیشنز کو اسی کرپٹوگرافک بے ترتیب ذریعے سے شفل کرتا ہے تاکہ کوئی پوزیشن پیش گوئی کے قابل نہ ہو۔

کرپٹوگرافک ذریعہ

آپ کے پاس ورڈ کا ہر حرف crypto.getRandomValues() سے آتا ہے، یہ W3C کی مقرر کردہ Web Cryptography API ہے۔ یہ فنکشن آپ کے آلے میں ہارڈ ویئر سطح کے ذرائع سے اینٹروپی حاصل کرتا ہے: تھرمل شور، برقی وقت کا جِٹر، اور دیگر طبیعی عمل جو کوانٹم غیر یقینی صورتحال میں جڑے ہیں۔ نتیجہ NIST SP 800-22 اور TestU01 سمیت سخت شماریاتی ٹیسٹ سوئٹس سے گزرتا ہے۔

ضمانت الگورتھم سے گہری ہے۔ یہ وہی اینٹروپی ذریعہ ہے جو آپ کی آن لائن بینکنگ کی حفاظت کرنے والی سیشن کیز، ہر HTTPS کنکشن میں عارضی کیز، اور انکرپٹڈ میسجنگ میں ابتدائی ویکٹرز بناتا ہے۔ براؤزر فراہم کنندگان اس نفاذ کا بے لگام آڈٹ کرتے ہیں کیونکہ یہاں کمزوری ویب پر ہر محفوظ کنکشن کو خطرے میں ڈال دے گی۔ آپ کا پاس ورڈ اس پوری یقین دہانی کی زنجیر کا وارث ہے۔

انسانی عنصر

کارنیگی میلن کے محققین نے لیک ڈیٹابیسز سے لاکھوں حقیقی دنیا کے پاس ورڈز کا تجزیہ کیا اور ایک واضح نمونہ پایا۔ انسانوں کے چنے ہوئے پاس ورڈز چند ہزار عام ڈھانچوں کے گرد بھاری طور پر مرتکز ہوتے ہیں: نام کے بعد سال، ڈکشنری الفاظ پیش گوئی کے قابل تبدیلیوں کے ساتھ، کی بورڈ واکس جیسے qwerty123۔ یہ نمونے مؤثر اینٹروپی کو ظاہری طوالت سے قطع نظر 20-40 بٹس تک کم کر دیتے ہیں، کیونکہ حملہ آور بالکل انہی نمونوں سے ڈکشنریاں بناتے ہیں۔

مشین سے تیار کردہ پاس ورڈ انسانی عنصر کو مکمل طور پر ختم کر دیتا ہے۔ ہر حرف کی پوزیشن مکمل حروف کے ذخیرے سے یکساں امکان کے ساتھ آزادانہ طور پر منتخب ہوتی ہے۔ فائدہ اٹھانے کے لیے کوئی نمونہ نہیں، مشورے کے لیے کوئی ڈکشنری نہیں، پیش گوئی کے لیے کوئی نفسیاتی رجحان نہیں۔ باقی بچنے والا واحد حملہ پوری کی اسپیس میں مکمل تلاش ہے، اور ایکسپونینشل نمو کی ریاضی اسے کسی بھی معقول پاس ورڈ طوالت کے لیے ناممکن بنا دیتی ہے۔

بروٹ فورس حساب کتاب

اوپر مضبوطی کا تجزیاتی پینل تین حملے کی رفتاروں پر ریئل ٹائم کریک تخمینے دکھاتا ہے۔ آن لائن حملے کا منظرنامہ (1,000 اندازے فی سیکنڈ) شرح محدود ویب سروس کی نمائندگی کرتا ہے۔ تیز ہارڈ ویئر کا منظرنامہ (10 ارب فی سیکنڈ) آف لائن ہیشز کریک کرنے والے بہینہ GPU کلسٹر کی نمائندگی کرتا ہے۔ حکومتی سطح کا منظرنامہ (1 ٹریلین فی سیکنڈ) مخصوص انفراسٹرکچر کے ساتھ نظریاتی زیادہ سے زیادہ حد کی نمائندگی کرتا ہے۔ 100 بٹس اینٹروپی پر، حکومتی سطح کے منظرنامے کو بھی تقریباً 4 × 10¹⁸ سال درکار ہیں۔ سورج اپنا ہائیڈروجن ایندھن تقریباً 5 ارب سال میں ختم کر لے گا۔ آپ کا پاس ورڈ نظام شمسی سے زیادہ دیر تک قائم رہتا ہے۔

کلاس روم میں

پاس ورڈ اینٹروپی انفارمیشن تھیوری کا ایک قابل رسائی دروازہ فراہم کرتی ہے۔ طلبا سے کہیں کہ /password/8 دیکھیں اور اینٹروپی نوٹ کریں، پھر /password/16 دیکھیں اور مشاہدہ کریں کہ اینٹروپی بالکل دوگنی ہو جاتی ہے۔ ہر شامل حرف ایک مقررہ تعداد میں بٹس کا حصہ ڈالتا ہے۔ طوالت اور اینٹروپی کے درمیان یہ خطی تعلق طوالت اور سیکیورٹی کے درمیان ایک ایکسپونینشل تعلق پیدا کرتا ہے، ایک تصور جسے طلبا مختلف طوالتوں پر کریک ٹائم کے تخمینوں کا موازنہ کر کے تصدیق کر سکتے ہیں۔

مزید گہری مشق کے لیے، dice83 پاس ورڈز کا ڈائس ویئر پاس فریزز سے موازنہ کریں۔ چھ الفاظ کا پاس فریز تقریباً 77 بٹس اینٹروپی رکھتا ہے۔ 12 حروف کا بے ترتیب پاس ورڈ تقریباً 75 بٹس رکھتا ہے۔ دونوں بالکل مختلف طریقوں سے ملتی جلتی سیکیورٹی حاصل کرتے ہیں: پاس فریز بڑے ذخیرے (7,776 الفاظ) کو کم انتخاب کے ساتھ استعمال کرتا ہے؛ پاس ورڈ چھوٹے ذخیرے (76 حروف) کو زیادہ انتخاب کے ساتھ استعمال کرتا ہے۔ فرق یاد رکھنے کی صلاحیت بمقابلہ خالص مضبوطی کا ہے، اور اس فرق کو سمجھنا طلبا کو سکھاتا ہے کہ اینٹروپی دراصل کیسے کام کرتی ہے۔ یہ ٹول مکمل طور پر براؤزر میں چلتا ہے، کسی اکاؤنٹ کی ضرورت نہیں، اور طلبا کا کوئی ڈیٹا محفوظ نہیں کرتا۔

فن تعمیر کے لحاظ سے نجی

اس صفحے پر تیار کیا گیا ہر پاس ورڈ صرف آپ کے براؤزر کے اندر موجود ہوتا ہے۔ سرور HTML، CSS، اور JavaScript فراہم کرتا ہے جو ٹول بناتے ہیں۔ آپ کا آلہ تیار کرنے کا عمل انجام دیتا ہے۔ کسی بھی مقام پر کوئی پاس ورڈ، جزوی پاس ورڈ، یا پاس ورڈ سے متعلق ڈیٹا کسی نیٹ ورک کنکشن پر نہیں گزرتا۔ پاس ورڈ کا واحد مستقل ریکارڈ وہ ہے جہاں آپ کاپی کرنے کے بعد اسے پیسٹ کرنے کا فیصلہ کرتے ہیں۔

ٹول کا URL شیئر کرنا فطری طور پر محفوظ ہے۔ کسی کو لنک /password/20 بھیجنا انہیں وہی جنریٹر اسی ترتیب کے ساتھ دیتا ہے۔ ان کا براؤزر اپنے اینٹروپی ذریعے سے مکمل طور پر آزاد پاس ورڈز بناتا ہے۔ URL ٹول کی تفصیلات رکھتا ہے۔ آپ کا آلہ راز رکھتا ہے۔