पासवर्ड जनरेटर

अपने ब्राउज़र में crypto.getRandomValues() का उपयोग करके क्रिप्टोग्राफ़िक रूप से रैंडम पासवर्ड बनाएँ — कोई पासवर्ड न भेजा जाता है, न संग्रहीत। अंतिम समीक्षा 2026-06-19।

8 32 64 128

पासवर्ड की मज़बूती कैसे मापी जाती है

मज़बूती एन्ट्रॉपी से निकाली जाती है — पासवर्ड में अप्रत्याशितता के बिट्स की संख्या। N संभावित कैरेक्टरों के पूल से लिया गया हर कैरेक्टर log₂(N) बिट्स जोड़ता है; इसलिए L लंबाई के पासवर्ड में कुल L × log₂(N) बिट्स होती हैं।

एन्ट्रॉपीरेटिंगअनुमानित क्रैक समय (तेज़ GPU)
< 40 बिट्सकमज़ोरसेकंड से घंटे
40–59 बिट्सठीक-ठाकघंटे से हफ़्ते
60–79 बिट्समज़बूतसदियों
≥ 80 बिट्सबहुत मज़बूतब्रह्मांड की आयु से भी अधिक

उदाहरण: 86 कैरेक्टरों के मिश्रित पूल (बड़े + छोटे अक्षर + अंक + चिह्न) से बना 16-कैरेक्टर का पासवर्ड 16 × log₂(86) ≈ 102.8 बिट्स रखता है — आराम से "बहुत मज़बूत" श्रेणी में और किसी भी मौजूदा हार्डवेयर से ब्रूट-फ़ोर्स करना अव्यावहारिक।

पासवर्ड सुरक्षा के सुझाव

उपयोग किए गए कैरेक्टर सेट

सेटकैरेक्टरपूल आकार
बड़े अक्षरA–Z26 (भ्रामक हटाकर 24)
छोटे अक्षरa–z26 (भ्रामक हटाकर 23)
संख्याएँ0–910 (भ्रामक हटाकर 8)
चिह्न !@#$%^&*()-_=+[]{}|;:,.? 24

आधुनिक पासवर्ड मार्गदर्शन वास्तव में क्या कहता है (NIST SP 800-63B)

पासवर्ड नियमों का आधिकारिक संदर्भ अमेरिकी राष्ट्रीय मानक एवं प्रौद्योगिकी संस्थान का स्पेशल पब्लिकेशन 800-63B है (नवीनतम संशोधन, SP 800-63B-4, 2024 में अंतिम रूप दिया गया)। इसकी सलाह ने दशकों की कष्टदायक आदतों को पलट दिया, और इसे जानना उपयोगी है क्योंकि यह बताता है कि यह जनरेटर इसी तरह क्यों बना है:

मूल बात सरल है: एक लंबा, अनूठा, रैंडम रहस्य किसी छोटे, "जटिल" रहस्य से बेहतर है — और यह टूल ठीक यही बनाता है।

पासफ़्रेज़: मज़बूत और याद रखने योग्य

रैंडम कैरेक्टर स्ट्रिंग तब आदर्श होती हैं जब कोई पासवर्ड मैनेजर उन्हें आपके लिए याद रखे। पर जिन गिने-चुने पासवर्डों को आपको ख़ुद याद रखना ज़रूरी है — आपका डिवाइस लॉगिन, आपका पासवर्ड-मैनेजर मास्टर पासवर्ड — उनके लिए एक रैंडम पासफ़्रेज़ अक्सर बेहतर होता है, क्योंकि समान मज़बूती पर इसे याद रखना कहीं आसान है। मानक तरीक़ा Diceware है: 7,776 शब्दों की सूची (यानी 65, पाँच पासों के परिणाम) में से रैंडम शब्द चुनें। इलेक्ट्रॉनिक फ़्रंटियर फ़ाउंडेशन की शब्द-सूची प्रति शब्द लगभग 12.9 बिट्स एन्ट्रॉपी जोड़ती है, इसलिए छह-शब्दों का पासफ़्रेज़ लगभग 77 बिट्स रखता है — आराम से मज़बूत — और फिर भी कुछ ऐसा जिसे आप वाकई याद रख सकें। प्रसिद्ध xkcd उदाहरण "correct horse battery staple" (चार शब्द) इस विचार को दर्शाता है, हालाँकि चार शब्दों पर यह केवल लगभग 44–52 बिट्स है; छह शब्द आधुनिक सिफ़ारिश है। सबसे अहम शर्त यह है कि शब्द रैंडम रूप से चुने जाएँ — आपका ख़ुद गढ़ा वाक्यांश, या कोई उद्धरण, शब्द-गिनती के सुझाव से कहीं कम एन्ट्रॉपी रखता है, क्योंकि वह अनुमानित होता है।

ऑनलाइन बनाम ऑफ़लाइन हमले: क्रैक समय इतना अलग क्यों होता है

ऊपर की तालिका के क्रैक-समय के आँकड़े एक ऑफ़लाइन हमले को मानते हैं — वही परिदृश्य जो तय करता है कि पासवर्ड को वास्तव में कितना मज़बूत होना चाहिए। दो बहुत अलग स्थितियों का अंतर समझना उपयोगी है:

ऑफ़लाइन रफ़्तार पूरी तरह इस पर भी निर्भर करती है कि साइट ने आपका पासवर्ड कैसे संग्रहीत किया। जिस साइट ने जानबूझकर धीमा, सॉल्टेड एल्गोरिदम (bcrypt, scrypt, Argon2) इस्तेमाल किया, वह शायद प्रति सेकंड केवल हज़ारों अनुमानों की अनुमति दे; जिस साइट ने बेवकूफ़ी से तेज़, बिना-सॉल्ट वाला हैश जैसे कच्चा MD5 या SHA-1 इस्तेमाल किया, वह अरबों की अनुमति देती है। किस साइट ने कौन-सा चुना, यह आप नियंत्रित नहीं कर सकते — यही असल वजह है कि हर पासवर्ड को लंबा और अनूठा बनाएँ: लंबाई आपको लापरवाह साइटों से भी बचाती है।

पासवर्ड कैसे संग्रहीत होने चाहिए: हैशिंग और सॉल्टिंग

एक अच्छी तरह बनी सेवा कभी आपका असली पासवर्ड संग्रहीत नहीं करती। बजाय इसके वह एक हैश रखती है — एक एकतरफ़ा फ़िंगरप्रिंट जिसे मूल पासवर्ड पाने के लिए उलटा नहीं किया जा सकता — जो Argon2, scrypt, bcrypt या PBKDF2 जैसे ख़ास पासवर्ड-हैशिंग फ़ंक्शन से बनाई जाती है। दो अतिरिक्त सामग्रियाँ इसे और मज़बूत करती हैं। एक सॉल्ट हर पासवर्ड में हैशिंग से पहले मिलाया गया एक अनूठा रैंडम मान है, जिससे एक-जैसे पासवर्ड भी अलग हैश देते हैं और आम हैशों की पहले से बनी "रेनबो टेबल" बेकार हो जाती है। एक पेपर डेटाबेस से अलग रखा गया एक अतिरिक्त रहस्य है। ये फ़ंक्शन जानबूझकर धीमे होते हैं, जिससे एक असली लॉगिन पर बमुश्किल असर पड़ता है पर अरबों अनुमान लगाने वाले हमलावर को अपंग कर देते हैं। जब आप पढ़ें कि किसी ब्रीच ने "हैश्ड और सॉल्टेड" पासवर्ड उजागर किए, तो यही सुरक्षा काम कर रही होती है — और यह एक और वजह है कि एक लंबा, रैंडम पासवर्ड ब्रीच के बाद भी आपको समय देता है।

एक मज़बूत पासवर्ड किन हमलों से बचाता है (और किनसे नहीं)

अलग-अलग ख़तरों के लिए अलग बचाव चाहिए, और यह ईमानदारी से समझना उचित है कि पासवर्ड की मज़बूती कहाँ मदद करती है और कहाँ नहीं:

दूसरे शब्दों में, एक मज़बूत, अनूठा पासवर्ड ज़रूरी है पर पर्याप्त नहीं। इसे 2FA और एक पासवर्ड मैनेजर के साथ जोड़ें और आप वे कमियाँ बंद कर देते हैं जिन्हें अकेली मज़बूती नहीं भर सकती।

सच्ची रैंडमनेस क्यों मायने रखती है: CSPRNG बनाम Math.random

एक पासवर्ड उतना ही अप्रत्याशित होता है जितनी उसके पीछे की रैंडमनेस। JavaScript का Math.random() एक तेज़ छद्म-रैंडम जनरेटर है जो कभी सुरक्षा के लिए नहीं बना — इसका आउटपुट अनुमानित या पुनरुत्पादित किया जा सकता है, इसलिए इसे रहस्य बनाने के लिए कभी इस्तेमाल नहीं करना चाहिए। यह टूल बजाय इसके crypto.getRandomValues() का उपयोग करता है, ब्राउज़र का क्रिप्टोग्राफ़िक रूप से सुरक्षित जनरेटर, जो उसी ऑपरेटिंग-सिस्टम एन्ट्रॉपी पर निर्भर है जो TLS और पासवर्ड मैनेजरों की रक्षा करती है। यह "मॉड्युलो बायस" से बचने के लिए रिजेक्शन सैंपलिंग भी लागू करता है: किसी रैंडम बाइट को सीधे कैरेक्टर पूल पर मैप करना कुछ कैरेक्टरों को थोड़ा ज़्यादा संभावित बना देता, इसलिए जो भी मान परिणाम को झुका सकता है उसे हटाकर फिर से खींचा जाता है। इसका असर यह है कि हर कैरेक्टर सचमुच बराबर संभावना से चुना जाता है — ठीक वही मान्यता जिस पर ऊपर का एन्ट्रॉपी गणित निर्भर करता है।

भविष्य: पासकी और WebAuthn

पासवर्ड की समस्याओं का दीर्घकालिक उत्तर है पासवर्ड का इस्तेमाल पूरी तरह बंद कर देना। पासकी, जो WebAuthn / FIDO2 मानकों पर बनी हैं, साझा रहस्यों की जगह सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी लाती हैं: आपका डिवाइस एक निजी कुंजी रखता है, साइट केवल मेल खाती सार्वजनिक कुंजी रखती है, और आप फ़िंगरप्रिंट, चेहरे या PIN से प्रमाणित होते हैं। चूँकि कुछ भी पुन:उपयोग-योग्य कभी नहीं भेजा जाता, पासकी स्वाभाविक रूप से फ़िशिंग और क्रेडेंशियल स्टफ़िंग के प्रति प्रतिरोधी हैं — चुराने, लीक होने या धोखे से टाइप करवाने के लिए कोई पासवर्ड ही नहीं होता। बड़े प्लेटफ़ॉर्मों में इसका अपनाव बढ़ रहा है, पर पासवर्ड सालों तक हर जगह बने रहेंगे, इसलिए हर खाते के लिए एक मज़बूत, अनूठा पासवर्ड बनाना — और उसे मैनेजर में रखना — आज भी आवश्यक है।

दो-कारक प्रमाणीकरण: दूसरी परत

चूँकि एक बिल्कुल सही पासवर्ड भी फ़िश या पकड़ा जा सकता है, किसी खाते में आप जो सबसे ज़रूरी चीज़ जोड़ सकते हैं वह है एक दूसरा कारक — पासवर्ड से परे कुछ। सबसे मज़बूत आम विकल्प एक हार्डवेयर सुरक्षा कुंजी (एक FIDO2/WebAuthn डिवाइस) या पासकी है, दोनों ही फ़िशिंग-प्रतिरोधी हैं क्योंकि वे केवल असली साइट पर ही प्रमाणित होंगी। अगला बेहतर विकल्प एक ऑथेंटिकेटर ऐप है जो समय-आधारित एक-बार के कोड (TOTP) बनाती है, जो कभी आपके डिवाइस से बाहर नहीं जाते। सबसे कमज़ोर, पर फिर भी कुछ न होने से कहीं बेहतर, SMS है — सुविधाजनक, पर SIM-स्वैपिंग और अवरोधन के प्रति संवेदनशील, इसलिए उच्च-मूल्य वाले खातों में जहाँ ऐप या कुंजी उपलब्ध हो, इससे बचें। जहाँ भी यह उपलब्ध हो वहाँ दूसरा कारक चालू करें, अपने ईमेल और पासवर्ड मैनेजर से शुरुआत करते हुए, क्योंकि वे बाक़ी सब कुछ खोलते हैं।

पासवर्ड मैनेजर कैसे काम करते हैं

एक पासवर्ड मैनेजर मूल दुविधा हल कर देता है — कि मज़बूत पासवर्ड, स्वभाव से, याद रखना असंभव होते हैं — उन सभी को एक एन्क्रिप्टेड वॉल्ट में एक ही मास्टर पासवर्ड के पीछे रखकर (वही एक पासफ़्रेज़ जो आप याद रखते हैं)। वॉल्ट सिंक होने से पहले ही आपके अपने डिवाइस पर एन्क्रिप्ट हो जाता है, इसलिए एक अच्छी तरह बना मैनेजर कभी आपके पासवर्डों तक नहीं पहुँच पाता; केवल आपका मास्टर पासवर्ड ही उन्हें डिक्रिप्ट कर सकता है। इससे आप हर साइट को एक अनूठा, लंबा, रैंडम रहस्य दे सकते हैं जैसा यह टूल बनाता है, दोहराव ख़त्म करते हुए — खाता हैक होने का असल दुनिया में सबसे बड़ा कारण — बिना किसी याददाश्त के बोझ के। भरोसेमंद विकल्पों में Bitwarden, 1Password, KeePass और आधुनिक ब्राउज़र व ऑपरेटिंग सिस्टम में बने मैनेजर शामिल हैं। एकमात्र पासवर्ड जिसे वाकई अच्छी तरह याद रखने लायक है, वह है वॉल्ट की रक्षा करने वाला मास्टर पासवर्ड।

लंबाई और पूल आकार मिलकर कैसे काम करते हैं

चूँकि एन्ट्रॉपी = लंबाई × log₂(पूल), दोनों लीवर मायने रखते हैं, पर लंबाई ज़्यादा ताक़तवर है। नीचे की तालिका पूरे 94-कैरेक्टर प्रिंट-योग्य-ASCII सेट से बने एक पूरी तरह रैंडम पासवर्ड की अनुमानित एन्ट्रॉपी कई लंबाइयों पर दिखाती है, और यह भी कि छोटे पासवर्ड चाहे कितने भी "जटिल" दिखें, क्यों नाकाम रहते हैं:

लंबाईएन्ट्रॉपी (94-कैरेक्टर पूल)रेटिंग
8 कैरेक्टर≈ 52 बिट्सठीक-ठाक — ऑफ़लाइन क्रैक करने योग्य
12 कैरेक्टर≈ 79 बिट्समज़बूत
16 कैरेक्टर≈ 105 बिट्सबहुत मज़बूत
20 कैरेक्टर≈ 131 बिट्सउच्च-मूल्य खातों के लिए एक समझदार डिफ़ॉल्ट

8 से 16 कैरेक्टर तक की छलांग एन्ट्रॉपी को दोगुने से ज़्यादा कर देती है और पासवर्ड को "मेहनत से तोड़ने योग्य" से "किसी भी संभावित हार्डवेयर से अव्यावहारिक" तक ले जाती है — इसीलिए सबसे बढ़िया चीज़ जो आप कर सकते हैं वह है अपने पासवर्ड लंबे बनाना।

अक्सर पूछे जाने वाले सवाल

क्या यह पासवर्ड जनरेटर वाकई रैंडम है?
हाँ। यह जनरेटर आपके ब्राउज़र के अंतर्निहित crypto.getRandomValues() API का उपयोग करता है, जो ऑपरेटिंग सिस्टम के CSPRNG (क्रिप्टोग्राफ़िक रूप से सुरक्षित छद्म-रैंडम नंबर जनरेटर) से एन्ट्रॉपी लेता है। Math.random() के विपरीत, जो सुरक्षा के लिए नहीं बना है, crypto.getRandomValues() वही मानक है जिसका उपयोग पासवर्ड मैनेजर, TLS और अन्य क्रिप्टोग्राफ़िक सॉफ़्टवेयर करते हैं।
क्या मेरा पासवर्ड ब्राउज़र से बाहर जाता है?
नहीं। पासवर्ड बनाने की पूरी प्रक्रिया आपके ब्राउज़र में ही, स्थानीय CPU और OS एन्ट्रॉपी का उपयोग करके होती है। कुछ भी अपलोड, ट्रांसमिट या लॉग नहीं किया जाता। एक बार लोड होने के बाद यह पेज ऑफ़लाइन भी काम करता है।
पासवर्ड कितना लंबा होना चाहिए?
लंबाई सबसे महत्वपूर्ण अकेला कारक है। मिश्रित पूल से लिया गया 16-कैरेक्टर का रैंडम पासवर्ड लगभग 100 बिट्स एन्ट्रॉपी देता है — जो किसी भी मौजूदा हार्डवेयर से व्यावहारिक रूप से अटूट है। ज़्यादातर सुरक्षा विशेषज्ञ आम उपयोग के लिए कम से कम 16 कैरेक्टर और उच्च-मूल्य वाले खातों के लिए 20+ कैरेक्टर की सलाह देते हैं। छोटे पासवर्ड (8 कैरेक्टर या उससे कम) जटिल कैरेक्टर सेट के बावजूद घंटों में ब्रूट-फ़ोर्स किए जा सकते हैं।
"भ्रामक कैरेक्टर हटाएँ" विकल्प क्या करता है?
यह उन कैरेक्टरों को हटा देता है जो कुछ फ़ॉन्ट में एक-जैसे दिखते हैं: बड़ा I (छोटे l या अंक 1 जैसा), बड़ा O (अंक 0 जैसा), छोटा l और अंक 1, छोटा o और अंक 0। इन्हें हटाने से पासवर्ड पढ़ना और, यदि कभी हाथ से टाइप करना पड़े, तो उतारना आसान हो जाता है। एन्ट्रॉपी में कमी बहुत कम होती है — आमतौर पर 3–5 बिट्स — और टाइप करते समय होने वाली ग़लतियों से बचने के मुक़ाबले यह आमतौर पर सही सौदा है।
पासवर्ड एन्ट्रॉपी क्या है और इसकी गणना कैसे होती है?
एन्ट्रॉपी, जिसे बिट्स में मापा जाता है, अप्रत्याशितता का गणितीय माप है। N अलग-अलग कैरेक्टरों के पूल से रैंडम चुने गए पासवर्ड में प्रति कैरेक्टर log₂(N) बिट्स एन्ट्रॉपी होती है; इसलिए L लंबाई के पासवर्ड में कुल L × log₂(N) बिट्स होती हैं। एक व्यावहारिक मार्गदर्शन: 40 बिट्स से नीचे कमज़ोर है (क्रैक करने में मिनट), 40–59 बिट्स ठीक-ठाक है (घंटे से दिन), 60–79 बिट्स मज़बूत है (मौजूदा हार्डवेयर से साल), और 80+ बिट्स बहुत मज़बूत है (किसी भी संभावित हार्डवेयर से अव्यावहारिक)।
क्या मुझे पासवर्ड मैनेजर का उपयोग करना चाहिए?
हाँ, ज़रूर। एक पासवर्ड मैनेजर (Bitwarden, 1Password, KeePass, Apple Passwords या इसी तरह का) आपके पासवर्डों को एक ही मास्टर पासवर्ड के पीछे एन्क्रिप्ट करके रखता है। इससे आप हर साइट के लिए एक अनूठा, लंबा, रैंडम पासवर्ड इस्तेमाल कर सकते हैं — जिससे क्रेडेंशियल दोहराव ख़त्म हो जाता है, जो खाता हैक होने का सबसे आम कारण है। हर खाते के लिए यहाँ एक नया पासवर्ड बनाएँ और मैनेजर को उसे याद रखने दें।

संबंधित टूल

और टूल्स देखें

सभी 69 टूल्स देखें →

इस टूल को अपनी साइट पर एम्बेड करें — मुफ़्त

सभी एम्बेड करने योग्य टूल्स →

Password Generator को किसी भी पेज, पोस्ट या टेम्पलेट में जोड़ें। यह हमेशा के लिए मुफ़्त है — कोई साइन-अप नहीं, विजेट के अंदर कोई विज्ञापन नहीं। केवल एक शर्त है: छोटा-सा दृश्यमान एट्रिब्यूशन लिंक बनाए रखें।

विजेट का पूर्वावलोकन करें