كلمة المرور

حقل كلمة المرور في نموذج تسجيل الدخول

كلمة المرور ، التي تُسمى أحيانًا رمز المرور ، هي بيانات سرية، عادةً ما تكون سلسلة من الأحرف، تُستخدم عادةً لتأكيد هوية المستخدم . [ 1 ] تقليديًا، كان يُتوقع حفظ كلمات المرور عن ظهر قلب ، [ 2 ] ولكن العدد الكبير من الخدمات المحمية بكلمات مرور التي يستخدمها الفرد العادي قد يجعل حفظ كلمات مرور فريدة لكل خدمة أمرًا غير عملي. [ 3 ] باستخدام مصطلحات إرشادات الهوية الرقمية الصادرة عن المعهد الوطني للمعايير والتكنولوجيا (NIST) ، [ 4 ] يحتفظ بالسر طرف يُسمى المُطالب، بينما يُسمى الطرف الذي يتحقق من هوية المُطالب بالمُدقِّق . عندما يُثبت المُطالب بنجاح معرفته بكلمة المرور للمُدقِّق من خلال بروتوكول مصادقة مُعتمد، [ 5 ] يستطيع المُدقِّق استنتاج هوية المُطالب.

بشكل عام، كلمة المرور هي سلسلة من الأحرف تتضمن حروفًا وأرقامًا ورموزًا أخرى. إذا اقتصرت الأحرف المسموح بها على الأرقام، يُطلق على السر المقابل أحيانًا اسم رقم التعريف الشخصي (PIN).

على الرغم من اسمها، لا يشترط أن تكون كلمة المرور كلمة حقيقية؛ بل قد يصعب تخمين كلمة غير موجودة في القاموس، وهي ميزة مرغوبة في كلمات المرور. يُطلق أحيانًا على السر المحفوظ الذي يتكون من سلسلة من الكلمات أو نص آخر مفصول بمسافات اسم عبارة مرور . تشبه عبارة المرور كلمة المرور في الاستخدام، ولكنها عادةً ما تكون أطول لزيادة الأمان. [ 6 ]

تاريخ

استُخدمت كلمات المرور منذ العصور القديمة. كان الحراس يطلبون من الراغبين في دخول منطقة ما تقديم كلمة مرور أو كلمة سرية ، ولا يسمحون لأي شخص أو مجموعة بالمرور إلا إذا كانوا يعرفون كلمة المرور. يصف بوليبيوس نظام توزيع الكلمات السرية في الجيش الروماني على النحو التالي:

يتم تأمين كلمة السر الليلية على النحو التالي: من الكتيبة العاشرة لكل فئة من المشاة والفرسان، وهي الكتيبة المعسكرة في الطرف السفلي من الشارع، يُختار رجل مُعفى من واجب الحراسة، ويحضر كل يوم عند غروب الشمس إلى خيمة القائد ، ويستلم منه كلمة السر - وهي عبارة عن لوح خشبي منقوش عليه الكلمة - ثم ينصرف، وعند عودته إلى مقره، يُمرر كلمة السر واللوح أمام شهود إلى قائد الكتيبة التالية، الذي بدوره يُمررها إلى الكتيبة التي تليها. ويستمر الجميع على هذا المنوال حتى تصل الكلمة إلى الكتائب الأولى، وهي تلك المعسكرة بالقرب من خيام القادة. هؤلاء القادة مُلزمون بتسليم اللوح إلى القادة قبل حلول الظلام. وهكذا، إذا ما أُعيدت جميع الألواح المُسلّمة، يعلم القائد أن كلمة السر قد سُلّمت إلى جميع الكتائب، وأنها مرت عبرها جميعًا في طريق عودتها إليه. إذا فُقد أيٌّ منها، فإنه يستفسر على الفور، لأنه يعرف من العلامات من أي جهة لم تعد اللوحة، ومن كان مسؤولاً عن التوقف ينال العقاب الذي يستحقه. [ 7 ]

تطورت كلمات المرور المستخدمة في المجال العسكري لتشمل، بالإضافة إلى كلمة المرور الأساسية، كلمة مرور وكلمة مرور مضادة؛ فعلى سبيل المثال، في الأيام الأولى لمعركة نورماندي ، استخدم المظليون التابعون للفرقة 101 المحمولة جواً الأمريكية كلمة مرور - فلاش - كانت تُعرض كتحدٍ، ويُجاب عليها بالرد الصحيح - ثاندر . وكان يتم تغيير التحدي والرد كل ثلاثة أيام. كما اشتهر المظليون الأمريكيون باستخدامهم جهازًا يُعرف باسم "الصرصور" في يوم الإنزال بدلاً من نظام كلمات المرور كوسيلة تعريف فريدة مؤقتة؛ حيث كان يُقابل كل نقرة معدنية يصدرها الجهاز، بدلاً من كلمة المرور، بنقرتين. [ 8 ]

استُخدمت كلمات المرور مع الحواسيب منذ بدايات الحوسبة. وكان نظام المشاركة الزمنية المتوافق (CTSS)، وهو نظام تشغيل طُرح في معهد ماساتشوستس للتكنولوجيا عام 1961، أول نظام حاسوبي يُطبّق تسجيل الدخول بكلمة مرور. [ 9 ] [ 10 ] احتوى نظام CTSS على أمر LOGIN الذي يطلب كلمة مرور المستخدم. "بعد كتابة كلمة المرور، يُعطّل النظام آلية الطباعة، إن أمكن، ليتمكن المستخدم من كتابة كلمة مروره بسرية تامة." [ 11 ] في أوائل سبعينيات القرن العشرين، طوّر روبرت موريس نظامًا لتخزين كلمات مرور تسجيل الدخول بصيغة مُشفّرة كجزء من نظام التشغيل يونكس . استند النظام إلى محاكاة لآلة تشفير دوارة من نوع هاجلين، وظهر لأول مرة في الإصدار السادس من يونكس عام 1974. استخدمت نسخة لاحقة من خوارزميته، المعروفة باسم crypt(3) ، قيمة ملح (Salt) مكونة من 12 بت، واستدعت صيغة مُعدّلة من خوارزمية DES 25 مرة لتقليل مخاطر هجمات القاموس المُحسوبة مسبقًا . [ 12 ]

في العصر الحديث، تُستخدم أسماء المستخدمين وكلمات المرور بشكل شائع من قبل الأشخاص أثناء عملية تسجيل الدخول التي تتحكم في الوصول إلى أنظمة تشغيل الكمبيوتر المحمية ، والهواتف المحمولة ، وأجهزة فك تشفير التلفزيون الكبلي ، وأجهزة الصراف الآلي ، وما إلى ذلك. يمتلك مستخدم الكمبيوتر العادي كلمات مرور لأغراض متعددة: تسجيل الدخول إلى الحسابات، واسترجاع البريد الإلكتروني ، والوصول إلى التطبيقات، وقواعد البيانات، والشبكات، ومواقع الويب، وحتى قراءة الصحيفة الصباحية عبر الإنترنت. [ 13 ]

اختيار كلمة مرور آمنة وسهلة التذكر

بشكل عام، كلما كان تذكر كلمة المرور أسهل على المستخدم، كان تخمينها أسهل على المهاجم . [ 14 ] مع ذلك، قد تُقلل كلمات المرور صعبة التذكر من أمان النظام، لأن: (أ) المستخدمين قد يحتاجون إلى تدوين كلمة المرور أو تخزينها إلكترونيًا، (ب) سيحتاج المستخدمون إلى إعادة تعيين كلمات المرور بشكل متكرر، (ج) من المرجح أن يُعيد المستخدمون استخدام كلمة المرور نفسها في حسابات مختلفة. وبالمثل، كلما كانت متطلبات كلمة المرور أكثر صرامة، مثل "استخدام مزيج من الأحرف الكبيرة والصغيرة والأرقام" أو "تغييرها شهريًا"، زادت احتمالية اختراق المستخدمين للنظام. [ 15 ] ويرى آخرون أن كلمات المرور الأطول توفر أمانًا أكبر (مثلًا، عنصر المفاجأة ) من كلمات المرور الأقصر التي تحتوي على مجموعة متنوعة من الأحرف. [ 16 ]

في دراسة بعنوان "سهولة تذكر كلمات المرور وأمانها" ، قام جيف يان وزملاؤه بدراسة تأثير النصائح المقدمة للمستخدمين حول اختيار كلمة مرور جيدة. ووجدوا أن كلمات المرور التي تعتمد على التفكير في عبارة واختيار الحرف الأول من كل كلمة تكون سهلة التذكر تمامًا مثل كلمات المرور المختارة ببساطة، ويصعب اختراقها بنفس قدر صعوبة اختراق كلمات المرور المولدة عشوائيًا. [ 17 ]

يُعدّ دمج كلمتين أو أكثر غير مترابطتين وتغيير بعض حروفهما إلى رموز خاصة أو أرقام طريقة جيدة أخرى، [ 18 ] لكن استخدام كلمة واحدة من القاموس ليس كذلك. كما يُعدّ امتلاك خوارزمية مصممة خصيصًا لتوليد كلمات مرور غامضة طريقة جيدة أخرى. [ 19 ]

مع ذلك، فإن مطالبة المستخدمين بتذكر كلمة مرور تتكون من "مزيج من الأحرف الكبيرة والصغيرة" تُشبه مطالبتهم بتذكر سلسلة من البتات: يصعب تذكرها، ويصعب اختراقها قليلاً فقط (على سبيل المثال، يصعب اختراق كلمات المرور المكونة من 7 أحرف بمقدار 128 مرة فقط، وأقل من ذلك إذا قام المستخدم ببساطة بكتابة أحد الأحرف بحرف كبير). غالبًا ما تؤدي مطالبة المستخدمين باستخدام "الأحرف والأرقام معًا" إلى استبدالات يسهل تخمينها مثل 'E' → '3' و'I' → '1'، وهي استبدالات معروفة جيدًا للمهاجمين. وبالمثل، فإن كتابة كلمة المرور في صف أعلى من لوحة المفاتيح حيلة شائعة يعرفها المهاجمون. [ 20 ]

في عام 2013، أصدرت جوجل قائمة بأنواع كلمات المرور الأكثر شيوعًا، والتي تعتبر جميعها غير آمنة لأنها سهلة التخمين للغاية (خاصة بعد البحث عن شخص ما على وسائل التواصل الاجتماعي)، والتي تشمل: [ 21 ]

  • اسم حيوان أليف أو طفل أو أحد أفراد الأسرة أو شخص عزيز
  • تواريخ الذكرى السنوية وأعياد الميلاد
  • مكان الميلاد
  • اسم العطلة المفضلة
  • شيء متعلق بفريق رياضي مفضل
  • كلمة "كلمة المرور"

بدائل للحفظ

أصبحت النصيحة التقليدية بحفظ كلمات المرور وعدم تدوينها تحديًا نظرًا للعدد الهائل من كلمات المرور التي يُتوقع من مستخدمي الحواسيب والإنترنت الاحتفاظ بها. خلصت إحدى الدراسات إلى أن المستخدم العادي لديه حوالي 100 كلمة مرور. [ 3 ] وللحد من انتشار كلمات المرور، يستخدم بعض المستخدمين كلمة المرور نفسها لحسابات متعددة، وهي ممارسة خطيرة لأن اختراق بيانات أحد الحسابات قد يُعرّض باقي الحسابات للخطر. تشمل البدائل الأقل خطورة استخدام برامج إدارة كلمات المرور ، وأنظمة تسجيل الدخول الموحد ، والاحتفاظ بقوائم ورقية لكلمات المرور الأقل أهمية. [ 22 ] يمكن لهذه الممارسات أن تُقلل عدد كلمات المرور التي يجب حفظها، مثل كلمة المرور الرئيسية لبرنامج إدارة كلمات المرور، إلى عدد يُمكن إدارته بسهولة أكبر.

العوامل المؤثرة في أمان نظام كلمات المرور

يعتمد أمان النظام المحمي بكلمة مرور على عدة عوامل. يجب تصميم النظام ككل لضمان أمان متين، مع توفير الحماية ضد فيروسات الحاسوب وهجمات الوسيط وما شابهها. كما تُعدّ مسائل الأمان المادي مصدر قلق، بدءًا من ردع التجسس البصري وصولًا إلى التهديدات المادية الأكثر تطورًا مثل كاميرات الفيديو وبرامج تحليل لوحة المفاتيح. ينبغي اختيار كلمات المرور بحيث يصعب على المهاجم تخمينها واكتشافها باستخدام أي من أساليب الهجوم الآلي المتاحة. [ 23 ]

في الوقت الحاضر، بات من الممارسات الشائعة في أنظمة الحاسوب إخفاء كلمات المرور أثناء كتابتها. والهدف من هذا الإجراء هو منع المتطفلين من قراءة كلمة المرور؛ إلا أن البعض يرى أن هذه الممارسة قد تؤدي إلى أخطاء وتوتر، مما يشجع المستخدمين على اختيار كلمات مرور ضعيفة. وكبديل، ينبغي أن يُتاح للمستخدمين خيار إظهار أو إخفاء كلمات المرور أثناء كتابتها. [ 23 ]

قد تُجبر أحكام التحكم الفعّالة في الوصول المجرمين على اتخاذ تدابير قاسية للحصول على كلمة مرور أو رمز بيومتري. [ 24 ] وتشمل التدابير الأقل قسوة الابتزاز ، وتحليل الشفرات باستخدام تقنية "الخرطوم المطاطي" ، وهجوم القناة الجانبية .

فيما يلي بعض المشكلات المحددة المتعلقة بإدارة كلمات المرور والتي يجب مراعاتها عند التفكير في كلمة المرور واختيارها والتعامل معها.

معدل محاولة المهاجم لتخمين كلمات المرور

يُعدّ معدل محاولات إدخال كلمات المرور المُخمنة من قِبل المُهاجم عاملاً أساسياً في تحديد أمان النظام. تفرض بعض الأنظمة مهلة زمنية لعدة ثوانٍ بعد عدد قليل (مثلاً، ثلاث) من محاولات إدخال كلمة المرور الفاشلة، وهو ما يُعرف أيضاً بالتقييد. [ 25 ] في حال عدم وجود ثغرات أمنية أخرى، يُمكن تأمين هذه الأنظمة بفعالية باستخدام كلمات مرور بسيطة نسبياً إذا تم اختيارها بعناية ولم يكن من السهل تخمينها. [ 26 ]

تخزن العديد من الأنظمة تجزئة تشفيرية لكلمة المرور. إذا تمكن مهاجم من الوصول إلى ملف كلمات المرور المُجزأة، يُمكنه تخمينها دون اتصال بالإنترنت، واختبار كلمات المرور المُحتملة بسرعة مقابل قيمة التجزئة لكلمة المرور الحقيقية. في مثال خادم الويب ، لا يستطيع المهاجم المتصل بالإنترنت التخمين إلا بمعدل استجابة الخادم، بينما يستطيع المهاجم غير المتصل بالإنترنت (الذي يتمكن من الوصول إلى الملف) التخمين بمعدل لا يحده سوى إمكانيات الجهاز الذي يُنفذ عليه الهجوم وقوة الخوارزمية المستخدمة لإنشاء التجزئة.

يمكن أن تتعرض كلمات المرور المستخدمة لتوليد مفاتيح التشفير (مثل تشفير الأقراص أو أمان شبكات الواي فاي ) لمحاولات تخمين عالية السرعة، تُعرف باسم اختراق كلمات المرور . وتتوفر قوائم كلمات المرور الشائعة على نطاق واسع، مما يُسهّل هجمات كلمات المرور. يعتمد الأمان في مثل هذه الحالات على استخدام كلمات مرور أو عبارات مرور ذات تعقيد كافٍ، مما يجعل هذا النوع من الهجمات غير عملي حسابيًا بالنسبة للمهاجم. تقوم بعض الأنظمة، مثل PGP و Wi-Fi WPA ، بتطبيق تجزئة حسابية مُكثفة على كلمة المرور لإبطاء هذه الهجمات، في تقنية تُعرف باسم تمديد المفتاح .

حدود عدد محاولات تخمين كلمة المرور

يُعدّ تقييد العدد الإجمالي لمحاولات تخمين كلمة المرور بديلاً عن الحدّ من معدل محاولات المهاجمين. يمكن تعطيل كلمة المرور، ما يستلزم إعادة تعيينها، بعد عدد قليل من المحاولات الخاطئة المتتالية (خمس مثلاً)؛ وقد يُطلب من المستخدم تغيير كلمة المرور بعد عدد أكبر من المحاولات الخاطئة التراكمية (ثلاثين مثلاً)، لمنع المهاجم من القيام بعدد كبير من المحاولات الخاطئة بشكل عشوائي عن طريق إدخالها بين المحاولات الصحيحة التي يقوم بها صاحب كلمة المرور. [ 27 ] في المقابل، قد يستغل المهاجمون معرفتهم بهذا الإجراء الوقائي لتنفيذ هجوم حجب الخدمة ضد المستخدم عن طريق منعه عمداً من الوصول إلى جهازه؛ وقد يفتح هذا الحجب طرقاً أخرى للمهاجم للتلاعب بالموقف لصالحه عبر الهندسة الاجتماعية .

شكل كلمات المرور المخزنة

تُحفظ كلمات المرور المُدخلة في بعض أنظمة الحاسوب كنص عادي، أي أنها غير مُشفّرة أو محمية بأي شكل من الأشكال. يقوم النظام ببساطة بمقارنة كلمة المرور التي يُدخلها المستخدم مع هذه القائمة غير المحمية عند تسجيل الدخول. هذه الطريقة بالغة الخطورة، إذ يُمكن لأي شخص يتمكن من الوصول إلى مخزن كلمات المرور رؤية جميع كلمات مرور المستخدمين فورًا، مما يُعرّض جميع الحسابات على النظام للخطر. إضافةً إلى ذلك، قد تتعرض حسابات المستخدمين الذين أعادوا استخدام كلمات مرورهم على مواقع أو خدمات أخرى للاختراق، مما قد يُؤدي إلى خرق أمني أكبر بكثير.

تُخزّن الأنظمة الأكثر أمانًا كل كلمة مرور بصيغة محمية تشفيرًا، مما يجعل الوصول إلى كلمة المرور الأصلية صعبًا على المتطفلين الذين يحصلون على صلاحيات داخلية في النظام، مع إمكانية التحقق من محاولات وصول المستخدم. أما الأنظمة الأكثر أمانًا فلا تُخزّن كلمات المرور إطلاقًا، بل تستخدم اشتقاقًا أحادي الاتجاه، مثل متعدد الحدود أو المعامل أو دالة تجزئة متقدمة . [ 16 ] ابتكر روجر نيدهام الأسلوب الشائع حاليًا لتخزين صيغة "مُجزأة" فقط من كلمة المرور الأصلية. [ 28 ] [ 29 ] عندما يُدخل المستخدم كلمة مرور على مثل هذا النظام، يُشغّل برنامج معالجة كلمات المرور خوارزمية تجزئة تشفيرية، وإذا تطابقت قيمة التجزئة المُولّدة من إدخال المستخدم مع التجزئة المخزنة في قاعدة بيانات كلمات المرور، يُسمح للمستخدم بالوصول. تُنشأ قيمة التجزئة بتطبيق دالة تجزئة تشفيرية على سلسلة تتكون من كلمة المرور المُدخلة، وفي بعض التطبيقات، قيمة أخرى تُعرف باسم " الملح" . تمنع خاصية الملح (Salt) المهاجمين من إنشاء قائمة بقيم التجزئة لكلمات المرور الشائعة بسهولة، كما تمنع جهود اختراق كلمات المرور من التوسع لتشمل جميع المستخدمين. [ 30 ] تُستخدم دالتا التجزئة MD5 و SHA1 بشكل متكرر، ولكن لا يُنصح باستخدامهما لتجزئة كلمات المرور إلا إذا استُخدمتا كجزء من بنية أكبر مثل PBKDF2 . [ 31 ]

تُخزَّن البيانات المخزنة - والتي تُسمى أحيانًا "مدقق كلمة المرور" أو "تجزئة كلمة المرور" - غالبًا بتنسيق التشفير المعياري أو تنسيق التجزئة RFC 2307، وأحيانًا في الملف /etc/passwd أو الملف /etc/shadow . [ 32 ]

تتضمن طرق التخزين الرئيسية لكلمات المرور: النص العادي، والتشفير المجزأ، والتشفير المجزأ مع إضافة ملح، والتشفير العكسي. [ 33 ] إذا تمكن المهاجم من الوصول إلى ملف كلمات المرور، وكان مخزنًا كنص عادي، فلا حاجة لفك تشفيره. أما إذا كان مجزأً بدون إضافة ملح، فإنه يكون عرضة لهجمات جداول قوس قزح (وهي أكثر فعالية من فك التشفير). في حالة التشفير العكسي، إذا حصل المهاجم على مفتاح فك التشفير مع الملف، فلا حاجة لفك التشفير، أما إذا لم يتمكن من الحصول على المفتاح، فلا يمكن فك التشفير. وبالتالي، من بين تنسيقات التخزين الشائعة لكلمات المرور، يكون فك التشفير ضروريًا وممكنًا فقط عندما تكون كلمات المرور مشفرة ومُضافة إليها ملح. [ 33 ]

إذا صُممت دالة التشفير التجزئية بشكل جيد، يصبح من المستحيل حسابيًا عكسها لاستعادة كلمة المرور الأصلية . مع ذلك، يمكن للمهاجم استخدام أدوات متاحة على نطاق واسع لمحاولة تخمين كلمات المرور. تعمل هذه الأدوات عن طريق تجزئة كلمات المرور المحتملة ومقارنة نتيجة كل تخمين بتجزئات كلمات المرور الفعلية. إذا وجد المهاجم تطابقًا، فإنه يعلم أن تخمينه هو كلمة المرور الفعلية للمستخدم المعني. يمكن لأدوات اختراق كلمات المرور العمل بالقوة الغاشمة (أي تجربة كل تركيبة ممكنة من الأحرف) أو عن طريق تجزئة كل كلمة من قائمة؛ وتتوفر قوائم كبيرة من كلمات المرور المحتملة بلغات متعددة على نطاق واسع على الإنترنت. [ 16 ] يتيح وجود أدوات اختراق كلمات المرور للمهاجمين استعادة كلمات المرور المختارة بشكل سيئ بسهولة. على وجه الخصوص، يمكن للمهاجمين استعادة كلمات المرور القصيرة، أو كلمات القاموس، أو الاختلافات البسيطة لكلمات القاموس، أو التي تستخدم أنماطًا يسهل تخمينها. [ 34 ] استُخدمت نسخة معدلة من خوارزمية DES كأساس لخوارزمية تجزئة كلمات المرور في أنظمة يونكس المبكرة. [ 12 ] استخدمت خوارزمية التشفير قيمة ملح مكونة من 12 بت لضمان تفرد تجزئة كل مستخدم، وكررت خوارزمية DES 25 مرة لإبطاء دالة التجزئة، وكلا الإجراءين يهدفان إلى إحباط هجمات التخمين الآلي. [ 12 ] استُخدمت كلمة مرور المستخدم كمفتاح لتشفير قيمة ثابتة. تستخدم أنظمة يونكس أو الأنظمة الشبيهة بيونكس الأحدث (مثل لينكس أو أنظمة BSD المختلفة ) خوارزميات تجزئة كلمات مرور أكثر أمانًا مثل PBKDF2 و bcrypt و scrypt ، والتي تتميز بقيم ملح كبيرة وتكلفة أو عدد تكرارات قابل للتعديل. [ 35 ] يمكن لدالة تجزئة مصممة بشكل سيئ أن تجعل الهجمات ممكنة حتى مع اختيار كلمة مرور قوية. تُعد تجزئة LM مثالًا شائع الاستخدام وغير آمن. [ 36 ]

طرق التحقق من كلمة المرور عبر الشبكة

نقل كلمة المرور ببساطة

تكون كلمات المرور عرضة للاختراق (أي "التجسس") أثناء نقلها إلى جهاز أو شخص المصادقة. إذا نُقلت كلمة المرور كإشارات كهربائية عبر أسلاك مادية غير مؤمنة بين نقطة وصول المستخدم والنظام المركزي الذي يتحكم في قاعدة بيانات كلمات المرور، فإنها عرضة للتجسس باستخدام أساليب التنصت . أما إذا نُقلت كبيانات مُجمّعة عبر الإنترنت، فيمكن لأي شخص قادر على مراقبة الحزم التي تحتوي على معلومات تسجيل الدخول التجسس عليها باحتمالية ضئيلة للكشف.

يُستخدم البريد الإلكتروني أحيانًا لتوزيع كلمات المرور، لكن هذه الطريقة غير آمنة عمومًا. نظرًا لأن معظم رسائل البريد الإلكتروني تُرسل كنص عادي ، فإن أي رسالة تحتوي على كلمة مرور يمكن قراءتها بسهولة أثناء النقل من قِبل أي متطفل. علاوة على ذلك، تُخزَّن الرسالة كنص عادي على جهازين على الأقل: جهاز المُرسِل وجهاز المُستلِم. وإذا مرت الرسالة عبر أنظمة وسيطة أثناء انتقالها، فمن المحتمل أن تُخزَّن عليها أيضًا، ولو لفترة من الوقت، وقد تُنسخ إلى ملفات النسخ الاحتياطي أو ذاكرة التخزين المؤقت أو سجلات التصفح على أي من هذه الأنظمة.

لن يحمي استخدام التشفير من جانب العميل سوى عملية الإرسال من خادم نظام معالجة البريد إلى جهاز العميل. أما عمليات إعادة توجيه البريد الإلكتروني السابقة أو اللاحقة فلن تكون محمية، ومن المرجح أن يتم تخزين البريد الإلكتروني على أجهزة كمبيوتر متعددة، وبالتأكيد على جهازي الإرسال والاستقبال، وغالبًا ما يكون بنص عادي.

الإرسال عبر قنوات مشفرة

يمكن تقليل خطر اعتراض كلمات المرور المرسلة عبر الإنترنت، من بين أمور أخرى، باستخدام الحماية التشفيرية . وأكثرها شيوعًا هي ميزة أمان طبقة النقل (TLS، والتي كانت تُسمى سابقًا SSL ) المدمجة في معظم متصفحات الإنترنت الحديثة . تُنبه معظم المتصفحات المستخدم إلى وجود تبادل بيانات محمي بواسطة TLS/SSL مع الخادم من خلال عرض رمز قفل مغلق، أو علامة أخرى، عند استخدام TLS. وهناك العديد من التقنيات الأخرى المستخدمة.

أساليب التحدي والاستجابة القائمة على التجزئة

يوجد تعارض بين كلمات المرور المخزنة المشفرة ومصادقة التحدي والاستجابة القائمة على التشفير ؛ إذ تتطلب الأخيرة من العميل إثبات معرفته بالكلمة السرية المشتركة (أي كلمة المرور) للخادم، وللقيام بذلك، يجب أن يكون الخادم قادرًا على استخراج هذه الكلمة السرية من شكلها المخزن. في العديد من الأنظمة (بما في ذلك أنظمة يونكس ) التي تُجري المصادقة عن بُعد، عادةً ما تُصبح الكلمة السرية المشتركة هي شكلها المشفر، وهذا يُعرّض كلمات المرور لهجمات التخمين دون اتصال بالإنترنت، وهو ما يُشكّل قيدًا خطيرًا. إضافةً إلى ذلك، عندما تُستخدم القيمة المشفرة ككلمة سرية مشتركة، لا يحتاج المهاجم إلى كلمة المرور الأصلية للمصادقة عن بُعد؛ بل يحتاج فقط إلى القيمة المشفرة.

إثباتات كلمات المرور بتقنية المعرفة الصفرية

بدلاً من إرسال كلمة المرور، أو إرسال تجزئة كلمة المرور، يمكن لأنظمة اتفاقية المفاتيح المعتمدة على كلمة المرور إجراء إثبات كلمة المرور بدون معرفة مسبقة ، مما يثبت معرفة كلمة المرور دون الكشف عنها.

وبالانتقال إلى مستوى أعلى، تتجنب الأنظمة المُعززة لاتفاقية المفاتيح المُصادق عليها بكلمة المرور (مثل AMP و B-SPEKE و PAK-Z و SRP-6 ) كلاً من تعارض وقيود الطرق القائمة على التجزئة. يسمح النظام المُعزز للعميل بإثبات معرفته بكلمة المرور للخادم، حيث لا يعرف الخادم سوى كلمة مرور مُجزأة (ليست مُجزأة تمامًا)، وحيث تكون كلمة المرور غير المُجزأة مطلوبة للوصول.

إجراءات تغيير كلمات المرور

عادةً، يجب أن يوفر النظام طريقة لتغيير كلمة المرور، إما لاعتقاد المستخدم بأن كلمة المرور الحالية قد تم اختراقها (أو يُحتمل اختراقها)، أو كإجراء احترازي. إذا تم إدخال كلمة مرور جديدة إلى النظام بصيغة غير مشفرة، فقد تُفقد الحماية (مثلاً، عبر التنصت ) قبل حتى تثبيت كلمة المرور الجديدة في قاعدة بيانات كلمات المرور ، وإذا تم إعطاء كلمة المرور الجديدة لموظف مخترق، فلن يُحقق النظام فائدة تُذكر. بعض المواقع الإلكترونية تُضمّن كلمة المرور التي يختارها المستخدم في رسالة تأكيد بريد إلكتروني غير مشفرة ، مما يزيد من مخاطر الاختراق بشكل واضح.

تُستخدم أنظمة إدارة الهوية بشكل متزايد لأتمتة إصدار كلمات المرور البديلة المفقودة، وهي ميزة تُسمى إعادة تعيين كلمة المرور ذاتيًا . يتم التحقق من هوية المستخدم من خلال طرح أسئلة ومقارنة الإجابات بالإجابات المخزنة مسبقًا (أي عند فتح الحساب).

تطلب بعض أسئلة إعادة تعيين كلمة المرور معلومات شخصية يمكن العثور عليها على وسائل التواصل الاجتماعي، مثل اسم عائلة الأم قبل الزواج. ونتيجة لذلك، ينصح بعض خبراء الأمن إما باختلاق أسئلة خاصة أو تقديم إجابات خاطئة. [ 37 ]

مدة صلاحية كلمة المرور

تُعدّ خاصية "تغيير كلمة المرور دوريًا" ميزةً في بعض أنظمة التشغيل، تُجبر المستخدمين على تغيير كلمات مرورهم بشكل متكرر (مثلًا، كل ثلاثة أشهر، أو شهريًا، أو حتى بوتيرة أسرع). عادةً ما تُثير هذه السياسات اعتراضات المستخدمين، بل وتُثير استياءهم في أسوأ الأحوال. [ 38 ] غالبًا ما يزداد عدد الأشخاص الذين يُدوّنون كلمة المرور ويتركونها في مكان يسهل الوصول إليه، بالإضافة إلى ازدياد عدد الاتصالات بقسم الدعم الفني لإعادة تعيين كلمة مرور منسية. قد يلجأ المستخدمون إلى استخدام كلمات مرور أبسط، أو ابتكار أنماط مختلفة ضمن موضوع ثابت لتسهيل تذكر كلمات مرورهم. [ 39 ] وبسبب هذه المشكلات، يدور جدل حول مدى فعالية خاصية تغيير كلمة المرور دوريًا. [ 40 ] لن يمنع تغيير كلمة المرور إساءة الاستخدام في معظم الحالات، إذ غالبًا ما يكون إساءة الاستخدام ملحوظة فورًا. مع ذلك، إذا كان شخص ما قد تمكّن من الوصول إلى كلمة المرور بطريقة ما، مثل مشاركة جهاز كمبيوتر أو اختراق موقع آخر، فإن تغيير كلمة المرور يُقلّل من فرص إساءة الاستخدام. [ 41 ]

عدد المستخدمين لكل كلمة مرور

يُفضّل تخصيص كلمات مرور منفصلة لكل مستخدم في النظام على استخدام كلمة مرور واحدة مشتركة بين المستخدمين المصرح لهم، لا سيما من وجهة نظر أمنية. ويعود ذلك جزئيًا إلى أن المستخدمين أكثر استعدادًا لإخبار شخص آخر (قد لا يكون مصرحًا له) بكلمة مرور مشتركة بدلًا من كلمة مرور خاصة بهم. كما أن تغيير كلمة المرور الواحدة أصعب بكثير، إذ يتطلب إبلاغ عدة أشخاص في الوقت نفسه، ويجعل إلغاء صلاحية وصول مستخدم معين أكثر صعوبة، كما في حالة التخرج أو الاستقالة. وغالبًا ما تُستخدم حسابات تسجيل دخول منفصلة لأغراض المساءلة، مثل معرفة من قام بتغيير البيانات.

بنية أمان كلمات المرور

تشمل التقنيات الشائعة المستخدمة لتحسين أمان أنظمة الكمبيوتر المحمية بكلمة مرور ما يلي:

  • عدم عرض كلمة المرور على شاشة العرض أثناء إدخالها أو إخفائها أثناء كتابتها باستخدام علامات النجمة (*) أو النقاط (•).
  • السماح بكلمات مرور ذات طول مناسب. (بعض أنظمة التشغيل القديمة ، بما في ذلك الإصدارات المبكرة من يونكس وويندوز، كانت تحد من كلمات المرور إلى 8 أحرف كحد أقصى، [ 42 ] [ 43 ] [ 44 ] مما يقلل من الأمان.)
  • مطالبة المستخدمين بإعادة إدخال كلمة المرور الخاصة بهم بعد فترة من عدم النشاط (سياسة تسجيل الخروج الجزئي).
  • تطبيق سياسة كلمات المرور لزيادة قوة كلمات المرور وأمانها.
    • تعيين كلمات مرور مختارة عشوائياً.
    • اشتراط الحد الأدنى لطول كلمة المرور . [ 31 ]
    • تتطلب بعض الأنظمة استخدام أحرف من فئات مختلفة في كلمة المرور، على سبيل المثال، "يجب أن تحتوي على حرف كبير واحد على الأقل وحرف صغير واحد على الأقل". ومع ذلك، فإن كلمات المرور التي تتكون من أحرف صغيرة فقط أكثر أمانًا لكل ضغطة مفتاح من كلمات المرور التي تحتوي على أحرف كبيرة وصغيرة مختلطة. [ 45 ]
    • استخدم قائمة سوداء لكلمات المرور لمنع استخدام كلمات المرور الضعيفة والتي يسهل تخمينها
    • توفير بديل لإدخال البيانات عبر لوحة المفاتيح (مثل كلمات المرور المنطوقة أو المعرفات البيومترية ).
    • يتطلب الأمر أكثر من نظام مصادقة واحد، مثل المصادقة الثنائية (شيء يمتلكه المستخدم وشيء يعرفه المستخدم).
  • استخدام الأنفاق المشفرة أو اتفاقيات المفاتيح المعتمدة على كلمة المرور لمنع الوصول إلى كلمات المرور المرسلة عبر الهجمات الشبكية
  • يُحدَّد عدد المحاولات الفاشلة المسموح بها خلال فترة زمنية محددة (لمنع تكرار تخمين كلمة المرور). بعد الوصول إلى الحد الأقصى، ستفشل جميع المحاولات اللاحقة (بما في ذلك محاولات إدخال كلمة المرور الصحيحة) حتى بداية الفترة الزمنية التالية. مع ذلك، فإن هذا النظام عرضة لنوع من هجمات حجب الخدمة .
  • إدخال تأخير بين محاولات إدخال كلمة المرور لإبطاء برامج تخمين كلمات المرور الآلية.

قد تشكل بعض إجراءات إنفاذ السياسات الأكثر صرامة خطراً يتمثل في تنفير المستخدمين، مما قد يؤدي إلى انخفاض مستوى الأمان نتيجة لذلك.

إعادة استخدام كلمة المرور

من الشائع بين مستخدمي الحاسوب إعادة استخدام كلمة المرور نفسها على مواقع متعددة. يُشكل هذا خطرًا أمنيًا كبيرًا، إذ يكفي المهاجم اختراق موقع واحد للوصول إلى المواقع الأخرى التي يستخدمها الضحية. وتتفاقم هذه المشكلة بإعادة استخدام أسماء المستخدمين أيضًا ، وبوجود مواقع تتطلب تسجيل الدخول عبر البريد الإلكتروني، مما يُسهّل على المهاجم تتبع المستخدم الواحد عبر مواقع متعددة. يمكن تجنب إعادة استخدام كلمات المرور أو الحد منها باستخدام تقنيات التذكر ، أو كتابة كلمات المرور على ورقة ، أو استخدام مدير كلمات المرور . [ 46 ]

جادل باحثا ريدموند، ديني فلورينسيو وكورماك هيرلي، بالتعاون مع بول سي. فان أورشوت من جامعة كارلتون بكندا، بأن إعادة استخدام كلمات المرور أمر لا مفر منه، وأنه ينبغي على المستخدمين إعادة استخدام كلمات المرور للمواقع الإلكترونية ذات الأمان المنخفض (التي تحتوي على القليل من البيانات الشخصية ولا تحتوي على معلومات مالية، على سبيل المثال)، والتركيز بدلاً من ذلك على تذكر كلمات مرور طويلة ومعقدة لعدد قليل من الحسابات المهمة، مثل الحسابات المصرفية. [ 47 ] وقدّمت مجلة فوربس حججًا مماثلة ، تدعو إلى عدم تغيير كلمات المرور بالقدر الذي ينصح به بعض "الخبراء"، نظرًا للقيود نفسها في الذاكرة البشرية. [ 39 ]

أظهرت دراسة أجرتها هيئة تنظيم الاتصالات (Ofcom) ونُشرت في 2 أبريل 2026، أن 26% من البالغين الذين يستخدمون الإنترنت يعيدون استخدام كلمات المرور، وأن 13% من هؤلاء البالغين قد تعرضوا لاختراق حساباتهم على وسائل التواصل الاجتماعي أو البريد الإلكتروني. [ 48 ]

كتابة كلمات المرور على الورق

تاريخيًا، نصح العديد من خبراء الأمن بحفظ كلمات المرور عن ظهر قلب، قائلين: "لا تكتب كلمة المرور أبدًا". وفي الآونة الأخيرة، أوصى العديد من خبراء الأمن، مثل بروس شناير، باستخدام كلمات مرور معقدة يصعب حفظها، وكتابتها على ورقة، والاحتفاظ بها في محفظة. [ 49 ] [ 50 ] [ 51 ] [ 52 ] [ 53 ] [ 54 ] [ 55 ]

يمكن لبرامج إدارة كلمات المرور أيضاً تخزين كلمات المرور بشكل آمن نسبياً، في ملف مشفر ومختوم بكلمة مرور رئيسية واحدة. [ 56 ]

بعد الموت

لتسهيل إدارة التركة، من المفيد أن يوفر الأشخاص آليةً لإبلاغ كلمات مرورهم للأشخاص الذين سيتولون إدارة شؤونهم في حال وفاتهم. وفي حال إعداد سجل للحسابات وكلمات المرور، يجب الحرص على ضمان أمان هذه السجلات لمنع السرقة أو الاحتيال. [ 57 ]

المصادقة متعددة العوامل

تجمع أنظمة المصادقة متعددة العوامل بين كلمات المرور (كـ"عوامل معرفة") ووسيلة أو أكثر من وسائل المصادقة الأخرى لجعل المصادقة أكثر أمانًا وأقل عرضة لاختراق كلمات المرور. على سبيل المثال، قد يرسل نظام تسجيل دخول بسيط بخطوتين رسالة نصية أو بريدًا إلكترونيًا أو مكالمة هاتفية آلية أو تنبيهًا مشابهًا عند محاولة تسجيل الدخول، وقد يتضمن رمزًا يجب إدخاله بالإضافة إلى كلمة المرور. [ 58 ] وتشمل العوامل الأكثر تطورًا أشياءً مثل الرموز المادية والأمان البيومتري.

تغيير كلمة المرور

يُعدّ تغيير كلمات المرور سياسة شائعة التطبيق بهدف تعزيز أمن الحاسوب . وفي عام 2019، صرّحت مايكروسوفت بأن هذه الممارسة "قديمة وعفا عليها الزمن". [ 59 ] [ 60 ]

قواعد كلمة المرور

تُحدد معظم المؤسسات سياسة كلمات المرور التي تُحدد متطلبات تكوين كلمات المرور واستخدامها، وعادةً ما تُحدد الحد الأدنى للطول، والفئات المطلوبة (مثل الأحرف الكبيرة والصغيرة، والأرقام، والرموز الخاصة)، والعناصر المحظورة (مثل استخدام اسم الشخص، وتاريخ ميلاده، وعنوانه، ورقم هاتفه). ولدى بعض الحكومات أُطر مصادقة وطنية [ 61 ] تُحدد متطلبات مصادقة المستخدمين للخدمات الحكومية، بما في ذلك متطلبات كلمات المرور.

تفرض العديد من المواقع الإلكترونية قواعد قياسية كالحد الأدنى والحد الأقصى للطول، ولكنها تتضمن أيضًا قواعد تركيبية، مثل احتواء النص على حرف كبير واحد على الأقل ورقم/رمز واحد على الأقل. استندت هذه القواعد الأخيرة، الأكثر تحديدًا، إلى حد كبير إلى تقرير صادر عام 2003 عن المعهد الوطني للمعايير والتكنولوجيا (NIST)، من تأليف بيل بور. [ 62 ] اقترح التقرير في الأصل استخدام الأرقام والرموز غير الشائعة والأحرف الكبيرة، مع ضرورة التحديث بانتظام. وفي مقال نُشر عام 2017 في صحيفة وول ستريت جورنال ، أعرب بور عن ندمه على هذه المقترحات، معترفًا بأنه أخطأ عندما أوصى بها. [ 63 ]

بحسب نسخة مُعدّلة من تقرير المعهد الوطني للمعايير والتكنولوجيا (NIST) لعام ٢٠١٧، فإنّ العديد من المواقع الإلكترونية لديها قواعد تُؤثّر سلبًا على أمان مستخدميها. يشمل ذلك قواعد تكوين كلمات مرور مُعقّدة، بالإضافة إلى تغيير كلمات المرور الإجباري بعد فترات زمنية مُحدّدة. ورغم شيوع هذه القواعد منذ زمن، إلا أنّها تُعتبر مُزعجة وغير فعّالة من قِبل المستخدمين وخبراء الأمن السيبراني على حدّ سواء. [ ٦٤ ] يُوصي المعهد الوطني للمعايير والتكنولوجيا (NIST) باستخدام عبارات أطول ككلمات مرور (وينصح المواقع الإلكترونية برفع الحد الأقصى لطول كلمة المرور) بدلًا من كلمات المرور التي يصعب تذكّرها والتي تُوحي بـ"تعقيد زائف" مثل "pA55w+rd". [ ٦٥ ] قد يختار المستخدم الذي مُنع من استخدام كلمة المرور "password"، إذا طُلب منه تضمين رقم وحرف كبير، ببساطة "Password1". هذا، بالإضافة إلى تغيير كلمات المرور الدوري الإجباري، قد يُؤدّي إلى كلمات مرور يصعب تذكّرها ولكن يسهل اختراقها. [ ٦٢ ]

أوضح بول غراسي، أحد مؤلفي تقرير المعهد الوطني للمعايير والتكنولوجيا لعام 2017، قائلاً: "يعلم الجميع أن علامة التعجب هي الرقم 1، أو الحرف I، أو الحرف الأخير من كلمة المرور. وعلامة الدولار ($) هي الحرف S أو الرقم 5. إذا استخدمنا هذه الحيل المعروفة، فلن نخدع أي خصم. نحن ببساطة نخدع قاعدة البيانات التي تخزن كلمات المرور لتظن أن المستخدم قد فعل شيئًا جيدًا." [ 64 ]

تمكن بييريس تسوكيس وإليانا ستافرو من تحديد بعض استراتيجيات بناء كلمات المرور الضعيفة من خلال بحثهما وتطويرهما لأداة توليد كلمات المرور. وقد توصلا إلى ثماني فئات من استراتيجيات بناء كلمات المرور بناءً على قوائم كلمات المرور المكشوفة، وأدوات اختراق كلمات المرور، والتقارير المنشورة على الإنترنت التي تُشير إلى كلمات المرور الأكثر استخدامًا. تشمل هذه الفئات معلومات المستخدم، ومجموعات وأنماط لوحة المفاتيح، واستراتيجية وضع الأحرف، ومعالجة النصوص، والاستبدال، واستخدام الأحرف الكبيرة والصغيرة، وإضافة التواريخ، ومزيج من الفئات السابقة. [ 66 ]

اختراق كلمات المرور

محاولة اختراق كلمات المرور بتجربة أكبر عدد ممكن من الاحتمالات، حسب الوقت والمال المتاحين، تُعرف بهجوم القوة الغاشمة . وهناك طريقة مشابهة، وأكثر فعالية في معظم الحالات، وهي هجوم القاموس . في هجوم القاموس، تُختبر جميع الكلمات في قاموس واحد أو أكثر، كما تُختبر عادةً قوائم كلمات المرور الشائعة.

قوة كلمة المرور هي احتمال عدم إمكانية تخمينها أو اكتشافها، وتختلف باختلاف خوارزمية الهجوم المستخدمة. غالبًا ما يشير علماء التشفير وعلماء الحاسوب إلى القوة أو "الصلابة" من حيث الإنتروبيا . [ 16 ]

تُصنّف كلمات المرور التي يسهل اكتشافها على أنها ضعيفة أو عرضة للاختراق ، بينما تُعتبر كلمات المرور التي يصعب أو يستحيل اكتشافها قوية . تتوفر العديد من البرامج لاختراق كلمات المرور (أو حتى لمراجعتها واستعادتها من قِبل موظفي الأنظمة)، مثل L0phtCrack و John the Ripper و Cain ؛ بعضها يستغل ثغرات تصميم كلمات المرور (كما هو الحال في نظام Microsoft LANManager) لزيادة الكفاءة. يستخدم مديرو الأنظمة هذه البرامج أحيانًا للكشف عن كلمات المرور الضعيفة التي يقترحها المستخدمون.

أظهرت دراسات أنظمة الحواسيب الإنتاجية باستمرار أن نسبة كبيرة من كلمات المرور التي يختارها المستخدمون يمكن تخمينها تلقائيًا بسهولة. [ 12 ] على سبيل المثال، وجدت جامعة كولومبيا أن 22% من كلمات مرور المستخدمين يمكن استعادتها بجهد قليل. [ 67 ] ووفقًا لبروس شناير ، الذي فحص بيانات من هجوم تصيد احتيالي عام 2006 ، فإن 55% من كلمات مرور ماي سبيس يمكن اختراقها في غضون 8 ساعات باستخدام مجموعة أدوات استعادة كلمات المرور المتوفرة تجاريًا والقادرة على اختبار 200,000 كلمة مرور في الثانية عام 2006. [ 68 ] كما أفاد بأن كلمة المرور الأكثر شيوعًا كانت password1 ، مما يؤكد مرة أخرى عدم توخي الحذر في اختيار كلمات المرور بين المستخدمين. (ومع ذلك، أكد، استنادًا إلى هذه البيانات، أن الجودة العامة لكلمات المرور قد تحسنت على مر السنين - على سبيل المثال، وصل متوسط ​​طولها إلى ثمانية أحرف من أقل من سبعة في الدراسات الاستقصائية السابقة، وأقل من 4% منها كانت كلمات من القاموس. [ 69 ] )

الحوادث

  • في 16 يوليو 1998، أبلغ مركز الاستجابة لحوادث أمن الحاسوب (CERT) عن حادثة تمكن فيها مهاجم من العثور على 186,126 كلمة مرور مشفرة. عند اكتشاف المهاجم، كان قد تم بالفعل اختراق 47,642 كلمة مرور. [ 70 ]
  • في سبتمبر/أيلول 2001، وبعد وفاة 658 من أصل 960 موظفًا في نيويورك جراء هجمات 11 سبتمبر/أيلول ، قامت شركة الخدمات المالية "كانتور فيتزجيرالد"، عبر شركة مايكروسوفت، باختراق كلمات مرور الموظفين المتوفين للوصول إلى الملفات اللازمة لخدمة حسابات العملاء. [ 71 ] استخدم الفنيون هجمات القوة الغاشمة، وتواصل المحققون مع عائلات الضحايا لجمع معلومات شخصية قد تُقلل من وقت البحث عن كلمات مرور أضعف. [ 71 ]
  • في ديسمبر 2009، وقع اختراق أمني كبير لموقع Rockyou.com ، أسفر عن تسريب 32 مليون كلمة مرور. قام المخترق بنشر القائمة الكاملة لهذه الكلمات (دون أي معلومات تعريفية أخرى) على الإنترنت. كانت كلمات المرور مخزنة كنص عادي في قاعدة البيانات، وتم استخراجها عبر ثغرة حقن SQL . أجرى مركز Imperva للدفاع عن التطبيقات (ADC) تحليلًا لمدى قوة كلمات المرور. [ 72 ]
  • في يونيو/حزيران 2011، تعرض حلف شمال الأطلسي ( الناتو ) لاختراق أمني أدى إلى تسريب أسماء المستخدمين وكلمات المرور لأكثر من 11,000 مستخدم مسجل في متجر الكتب الإلكترونية التابع له. وقد سُرّبت هذه البيانات ضمن عملية "أنتي سيك" ، وهي حركة تضم مجموعات "أنونيموس" و "لولز سيك" ، بالإضافة إلى مجموعات وأفراد آخرين في مجال القرصنة. تهدف "أنتي سيك" إلى كشف المعلومات الشخصية والحساسة والمقيدة للعالم، باستخدام أي وسيلة ممكنة. [ 73 ]
  • في 11 يوليو/تموز 2011، تعرضت خوادم شركة بوز ألين هاملتون ، وهي شركة استشارية تعمل لصالح البنتاغون ، للاختراق من قبل مجموعة أنونيموس، وسُربت البيانات في اليوم نفسه. وشمل التسريب، الذي أُطلق عليه اسم "انهيار الجيش يوم الاثنين"، 90 ألف عملية تسجيل دخول لأفراد عسكريين، من بينهم أفراد من القيادة المركزية الأمريكية (USCENTCOM) ، وقيادة العمليات الخاصة (SOCOM) ، وسلاح مشاة البحرية ، ومنشآت مختلفة تابعة للقوات الجوية ، ووزارة الأمن الداخلي ، وموظفين في وزارة الخارجية ، بالإضافة إلى ما يبدو أنه متعاقدون من القطاع الخاص. [ 74 ] وقد تم تشفير كلمات المرور المسربة باستخدام خوارزمية SHA1، ثم قام فريق ADC في شركة إمبيرفا بفك تشفيرها وتحليلها ، مما كشف أن حتى الأفراد العسكريين يبحثون عن طرق مختصرة للتحايل على متطلبات كلمات المرور. [ 75 ]
  • في 5 يونيو 2012، أسفر اختراق أمني في موقع لينكدإن عن سرقة 117 مليون كلمة مرور وبريد إلكتروني. ونُشرت ملايين من كلمات المرور لاحقًا على منتدى روسي. وعرض مخترق يُدعى "بيس" كلمات مرور إضافية للبيع. وقام لينكدإن بإعادة ضبط جميع الحسابات المخترقة بشكل إلزامي. [ 76 ]

بدائل كلمات المرور للمصادقة

أدت الطرق المتعددة التي يمكن من خلالها اختراق كلمات المرور الدائمة أو شبه الدائمة إلى تطوير تقنيات أخرى. بعض هذه التقنيات غير كافية عمليًا، وعلى أي حال، لم يصبح سوى القليل منها متاحًا عالميًا للمستخدمين الذين يبحثون عن بديل أكثر أمانًا. [ 77 ] تتناول ورقة بحثية نُشرت عام 2012 [ 78 ] [ 79 ] أسباب صعوبة استبدال كلمات المرور (على الرغم من التوقعات المتكررة بأنها ستصبح قريبًا من الماضي [ 80 ] )؛ ومن خلال دراسة ثلاثين بديلًا مقترحًا من حيث الأمان وسهولة الاستخدام والتطبيق، خلصت الورقة إلى أنه "لا يوجد أي منها يحتفظ بمجموعة المزايا الكاملة التي توفرها كلمات المرور التقليدية".

  • كلمات المرور ذات الاستخدام الواحد . إن استخدام كلمات مرور صالحة لمرة واحدة فقط يحدّ من فعالية العديد من الهجمات المحتملة. يجد معظم المستخدمين كلمات المرور ذات الاستخدام الواحد غير مريحة للغاية. ومع ذلك، فقد تم تطبيقها على نطاق واسع في الخدمات المصرفية الإلكترونية الشخصية ، حيث تُعرف باسم أرقام مصادقة المعاملات (TANs). ولأن معظم المستخدمين المنزليين لا يُجرون سوى عدد قليل من المعاملات أسبوعيًا، فإن مشكلة الاستخدام الواحد لم تُؤدِّ إلى استياء كبير من العملاء في هذه الحالة.
  • تتشابه كلمات المرور لمرة واحدة المتزامنة مع الوقت في بعض النواحي مع كلمات المرور ذات الاستخدام الواحد، ولكن يتم عرض القيمة المراد إدخالها على عنصر صغير (يمكن وضعه في الجيب عمومًا) وتتغير كل دقيقة تقريبًا.
  • المصادقة بدون كلمة مرور، حيث يمكن للمستخدم تسجيل الدخول إلى نظام حاسوبي دون الحاجة إلى إدخال كلمة مرور أو أي بيانات سرية أخرى . في معظم التطبيقات الشائعة، يُطلب من المستخدمين إدخال مُعرّفهم العام (اسم المستخدم، رقم الهاتف، عنوان البريد الإلكتروني ، إلخ)، ثم إكمال عملية المصادقة بتقديم دليل هوية آمن عبر جهاز أو رمز مميز مُسجّل. تعتمد معظم التطبيقات على بنية تشفير المفتاح العام، حيث يُقدّم المفتاح العام أثناء التسجيل إلى خدمة المصادقة (خادم بعيد، تطبيق، أو موقع ويب)، بينما يُحفظ المفتاح الخاص على جهاز المستخدم (حاسوب، هاتف ذكي، أو رمز أمان خارجي )، ولا يمكن الوصول إليه إلا من خلال تقديم توقيع بيومتري أو أي عامل مصادقة آخر غير قائم على المعرفة. [ 81 ]
  • تُستخدم كلمات مرور PassWindow لمرة واحدة ككلمات مرور للاستخدام الفردي، ولكن الأحرف الديناميكية التي يجب إدخالها لا تظهر إلا عندما يقوم المستخدم بوضع مفتاح مرئي مطبوع فريد فوق صورة التحدي التي تم إنشاؤها بواسطة الخادم والتي تظهر على شاشة المستخدم.
  • تعتمد ضوابط الوصول على التشفير بالمفتاح العام، مثل بروتوكول SSH . عادةً ما تكون المفاتيح اللازمة كبيرة جدًا بحيث يصعب حفظها (انظر اقتراح Passmaze) [ 82 ] ، ويجب تخزينها على جهاز كمبيوتر محلي، أو رمز أمان ، أو جهاز تخزين محمول، مثل ذاكرة فلاش USB أو حتى قرص مرن . يمكن تخزين المفتاح الخاص على مزود خدمة سحابية، وتفعيله باستخدام كلمة مرور أو مصادقة ثنائية.
  • تعد الطرق البيومترية بالتحقق من الهوية بناءً على خصائص شخصية غير قابلة للتغيير، ولكن اعتبارًا من عام 2008تتميز بمعدلات خطأ عالية وتتطلب أجهزة إضافية للمسح الضوئي،على سبيل المثال، بصمات الأصابع ، وقزحية العين ، وما إلى ذلك. لقد ثبت سهولة تزييفها في بعض الحوادث الشهيرة التي اختبرت الأنظمة المتاحة تجاريًا، على سبيل المثال، عرض تزييف بصمات الأصابع باستخدام حلوى الجيلي، [ 83 ] ، ولأن هذه الخصائص غير قابلة للتغيير، فلا يمكن تغييرها في حالة اختراقها؛ وهذا اعتبار بالغ الأهمية في التحكم في الوصول لأن رمز الوصول المخترق يكون بالضرورة غير آمن.
  • يُزعم أن تقنية تسجيل الدخول الموحد تُغني عن الحاجة إلى كلمات مرور متعددة. إلا أن هذه الأنظمة لا تُعفي المستخدمين والمسؤولين من اختيار كلمات مرور موحدة مناسبة، ولا تُعفي مصممي الأنظمة أو المسؤولين من ضمان أمان معلومات التحكم في الوصول الخاصة المتبادلة بين الأنظمة التي تُفعّل تسجيل الدخول الموحد ضد الهجمات. وحتى الآن، لم يتم تطوير معيار مُرضٍ.
  • تُعدّ تقنية Envaulting طريقةً لتأمين البيانات على أجهزة التخزين القابلة للإزالة، مثل ذاكرة الفلاش USB، دون الحاجة إلى كلمات مرور. فبدلاً من كلمات مرور المستخدم، يعتمد التحكم في الوصول على صلاحيات المستخدم للوصول إلى موارد الشبكة.
  • كلمات المرور غير النصية، مثل كلمات المرور الرسومية أو كلمات المرور القائمة على حركة الماوس. [ 84 ] تُعد كلمات المرور الرسومية وسيلة بديلة للتحقق من الهوية عند تسجيل الدخول، وهي مصممة للاستخدام بدلاً من كلمات المرور التقليدية؛ إذ تستخدم الصور أو الرسومات أو الألوان بدلاً من الأحرف أو الأرقام أو الرموز الخاصة . يتطلب أحد الأنظمة من المستخدمين اختيار سلسلة من الوجوه ككلمة مرور، مستفيدًا من قدرة الدماغ البشري على تذكر الوجوه بسهولة. [ 85 ] في بعض التطبيقات، يُطلب من المستخدم الاختيار من بين سلسلة من الصور بالتسلسل الصحيح للوصول. [ 86 ] حل آخر لكلمات المرور الرسومية يُنشئ كلمة مرور لمرة واحدة باستخدام شبكة صور مُولّدة عشوائيًا. في كل مرة يُطلب من المستخدم التحقق من الهوية، يبحث عن الصور التي تتناسب مع فئاته المختارة مسبقًا، ويُدخل الحرف الأبجدي الرقمي المُولّد عشوائيًا الذي يظهر في الصورة لتكوين كلمة المرور لمرة واحدة. [ 87 ] [ 88 ] حتى الآن، تُعد كلمات المرور الرسومية واعدة، ولكنها ليست شائعة الاستخدام. أُجريت دراسات حول هذا الموضوع لتحديد مدى سهولة استخدامها في الواقع. فبينما يعتقد البعض أن كلمات المرور الرسومية ستكون أصعب في الاختراق ، يشير آخرون إلى أن احتمالية اختيار الناس للصور أو التسلسلات الشائعة ستكون مماثلة لاحتمالية اختيارهم لكلمات المرور الشائعة.
  • المفتاح ثنائي الأبعاد (2D Key) [ 89 ] هو طريقة إدخال مفتاح تشبه المصفوفة ثنائية الأبعاد، ويحتوي على أنماط مفاتيح مثل عبارة المرور متعددة الأسطر، والكلمات المتقاطعة، وفن ASCII/Unicode، مع ضوضاء دلالية نصية اختيارية، لإنشاء كلمة مرور/مفتاح كبير يتجاوز 128 بت لتحقيق MePKC (التشفير بالمفتاح العام القابل للتذكر) [ 90 ] باستخدام مفتاح خاص قابل للتذكر بالكامل على تقنيات إدارة المفاتيح الخاصة الحالية مثل المفتاح الخاص المشفر، والمفتاح الخاص المنقسم، والمفتاح الخاص المتجول.
  • تستخدم كلمات المرور المعرفية أزواجًا من الأسئلة والأجوبة للتحقق من الهوية.

التقادم

كلمة مرور لشبكة واي فاي في مقهى عام 2022

"كلمة المرور انتهت" فكرة متكررة في مجال أمن الحاسوب . وتشمل الأسباب المُقدمة عادةً الإشارة إلى مشاكل سهولة استخدام كلمات المرور، فضلاً عن مشاكلها الأمنية. وغالبًا ما تُصاحب هذه الفكرة حججًا مفادها أن استبدال كلمات المرور بوسيلة مصادقة أكثر أمانًا أمر ضروري وحتمي. وقد طرح هذا الادعاء عدد من الأشخاص منذ عام 2004 على الأقل. [ 91 ] [ 92 ] [ 93 ] [ 94 ] [ 95 ] تشمل بدائل كلمات المرور القياسات الحيوية ، والمصادقة الثنائية أو تسجيل الدخول الموحد ، و Cardspace من مايكروسوفت ، ومشروع هيغينز ، وتحالف ليبرتي ، و NSTIC ، وتحالف FIDO ، ومقترحات الهوية 2.0 المختلفة. [ 96 ] [ 97 ]

قارن بونو وزملاؤه بشكل منهجي كلمات مرور الويب بالحلول التقنية البديلة الأخرى. وقاموا بتقييم هذه الحلول من حيث سهولة الاستخدام، وقابلية النشر، والأمان. وأظهر تحليلهم أن معظم البدائل تتفوق على كلمات المرور من حيث الأمان، بينما يتفوق بعضها على كلمات المرور من حيث سهولة الاستخدام، ويتفوق بعضها الآخر من حيث سهولة النشر، في حين أن جميع البدائل تتفوق على كلمات المرور من حيث قابلية النشر. [ 98 ]

لعل هذا يفسر استمرار استخدام كلمات المرور لأكثر من عشرين عامًا بعد ظهور هذه الفكرة المتكررة، على الرغم من محاولات شركات التكنولوجيا تغيير هذا الوضع. ويشير بعض من يسلطون الضوء على هذه الظاهرة إلى أن المشكلة لا تكمن في نظام استخدام كلمات المرور نفسه، بل في كيفية استخدام الأفراد لها وإدارتها، وأنه "في عصر القوى العاملة المتفرقة، وشبكات الواي فاي المنزلية، والأجهزة المتعددة، استمر استخدام كلمات المرور في الازدياد". [ 99 ]

انظر أيضاً

مراجع

  1. "كلمة المرور" . مركز موارد أمن الحاسوب: مسرد المصطلحات . المعهد الوطني للمعايير والتكنولوجيا . تم الاطلاع عليه بتاريخ 13 يوليو 2026 .
  2. رانجان، براتيك؛ أوم، هاري (6 مايو 2016). "نظام فعال للتحقق من كلمة مرور المستخدم عن بُعد قائم على نظام رابين للتشفير" . الاتصالات الشخصية اللاسلكية . 90 (1): 217-244 . doi : 10.1007/s11277-016-3342-5 . ISSN 0929-6212 . S2CID 21912076 .  
  3. 1 2 ويليامز، شانون (21 أكتوبر 2020). "يمتلك الشخص العادي 100 كلمة مرور - دراسة" . موجز أمني من نيوزيلندا . تيك داي . تم الاطلاع عليه في 28 أبريل 2021 .
  4. تيموشوك، ديفيد؛ براود-مادروغا، ديانا؛ تشونغ، يي-ين؛ غالوزو، رايان؛ غوبتا، سارباري؛ لاسال، كوني؛ ليفكوفيتز، نعومي؛ ريغنشايد، أندرو (1 أغسطس 2025). NIST SP 800-63-4:: إرشادات الهوية الرقمية (ملف PDF) (تقرير). غايثرسبيرغ، ماريلاند: المعهد الوطني للمعايير والتكنولوجيا . doi : 10.6028/NIST.SP.800-63-4 . تاريخ الاسترجاع: 27 مايو 2026 .
  5. "بروتوكول المصادقة" . مركز موارد أمن الحاسوب: مسرد المصطلحات . المعهد الوطني للمعايير والتكنولوجيا . تم الاطلاع عليه بتاريخ 13 يوليو 2026 .
  6. "عبارة المرور" . مركز موارد أمن الحاسوب: مسرد المصطلحات . المعهد الوطني للمعايير والتكنولوجيا . تم الاطلاع عليه بتاريخ 17 مايو 2019 .
  7. "النظام العسكري الروماني" . About.com . مؤرشف من الأصل في 4 مارس 2016. تم الاطلاع عليه في 27 مايو 2026 .
  8. مارك باندو (2007). الفرقة 101 المحمولة جواً: النسور الصارخة في الحرب العالمية الثانية . شركة إم بي آي للنشر. رقم ISBN 978-0-7603-2984-9أُرشف من الأصل في 2 يونيو 2013. تم الاطلاع عليه في 20 مايو 2012 .
  9. ماكميلان، روبرت (27 يناير 2012). "أول كلمة مرور حاسوبية في العالم؟ كانت عديمة الفائدة أيضاً" . مجلة وايرد . تم الاطلاع عليه بتاريخ 22 مارس 2019 .
  10. هانت، تروي (26 يوليو 2017). "تطور كلمات المرور: إرشادات المصادقة للعصر الحديث" . تم الاطلاع عليه بتاريخ 22 مارس 2019 .
  11. معهد ماساتشوستس للتكنولوجيا (1965). نظام المشاركة الزمنية المتوافق (ملف PDF) (الطبعة الثانية ). ص 282.  
  12. 1 2 3 4 موريس، روبرت وتومسون، كين (1979). " أمن كلمات المرور: دراسة حالة" . اتصالات جمعية آلات الحوسبة . 22 (11): 594-597 . CiteSeerX 10.1.1.135.2097 . doi : 10.1145/359168.359172 . S2CID 207656012. مؤرشف من الأصل في 22 مارس 2003.  
  13. طارق، منيب (26 مارس 2025). "10 استخدامات لكلمات المرور" . موقع Educate Computer . تاريخ الاسترجاع: 13 نوفمبر 2025 .
  14. فانس، آشلي (10 يناير 2010). "إذا كانت كلمة مرورك 123456، فاجعلها HackMe" . صحيفة نيويورك تايمز . مؤرشفة من الأصل في 11 فبراير 2017.
  15. "إدارة أمن الشبكة" . مؤرشف من الأصل في 2 مارس 2008. تم الاطلاع عليه في 31 مارس 2009 .{{cite web}}: CS1 maint: bot: حالة عنوان URL الأصلي غير معروفة ( رابط ) . فريد كوهين وشركاؤه. All.net. تم الاطلاع عليه بتاريخ 20 مايو 2012.
  16. 1 2 3 4 لوندين، لي (11 أغسطس 2013). "أرقام التعريف الشخصية وكلمات المرور، الجزء 2" . كلمات المرور . أورلاندو: سليوث سايرز.
  17. "سهولة تذكر كلمات المرور وأمانها: نتائج تجريبية" (ملف PDF) . كلية علوم الحاسوب بجامعة نيوكاسل . مؤرشف من النسخة الأصلية (ملف PDF) بتاريخ 14 أبريل 2012. تم الاطلاع عليه بتاريخ 27 مايو 2026 .
  18. مايكل إي. ويتمان؛ هربرت جيه. ماتورد (2014). مبادئ أمن المعلومات . سينجايج ليرنينج. ص 162. ISBN  978-1-305-17673-7.
  19. روبنكينج، نيل ج. (17 أبريل 2026). "تخليت عن مولدات كلمات المرور وصنعت واحدة أفضل في إكسل. إليك الطريقة" . مجلة PCMag . تم الاطلاع عليه بتاريخ 28 مايو 2026 .
  20. لويس، ديف (2011). Ctrl-Alt-Delete . Lulu.com (نُشر في 25 يناير 2017). ص 17. ISBN  978-1471019111.
  21. Techlicious / Fox Van Allen @techlicious (8 أغسطس 2013). "جوجل تكشف عن أسوأ 10 أفكار لكلمات المرور" . مجلة تايم . مؤرشف من الأصل في 22 أكتوبر 2013. تم الاطلاع عليه في 16 أكتوبر 2013 .
  22. فليشمان، جلين (24 نوفمبر 2015). "دوّن كلمات مرورك لتحسين الأمان - فكرة غير بديهية تجعلك أقل عرضة للهجمات عن بُعد، لا أكثر" . ماك وورلد . تم الاطلاع عليه في 28 أبريل 2021 .
  23. مدونة Lyquix : هل نحتاج إلى إخفاء كلمات المرور؟ مؤرشفة بتاريخ 25 أبريل 2012 في Wayback Machine . Lyquix.com. تم الاطلاع عليها بتاريخ 20 مايو 2012.
  24. كينت، جوناثان (31 مارس 2005). "لصوص سيارات في ماليزيا يسرقون إصبعًا" . بي بي سي نيوز . تم الاطلاع عليه بتاريخ 28 مايو 2026 .
  25. تيموشوك، ديفيد؛ فينتون، جيمس ل؛ تشونغ، يي-ين؛ ليفكوفيتز، نعومي؛ ريغنشايد، أندرو؛ غالوزو، رايان؛ ريتشر، جاستن ب (1 أغسطس 2025). NIST SP 800-63B-4:: إرشادات الهوية الرقمية - المصادقة وإدارة المصادقات (ملف PDF) (تقرير). غايثرسبيرغ، ماريلاند: المعهد الوطني للمعايير والتكنولوجيا . ص 30. doi : 10.6028/NIST.SP.800-63B-4 . تاريخ الاسترجاع: 27 مايو 2026 . 
  26. ستيوارت براون "أكثر عشر كلمات مرور استخداماً في المملكة المتحدة" . مؤرشف من الأصل في 8 نوفمبر 2006. تم الاطلاع عليه في 14 أغسطس 2007 .Modernlifeisrubbish.co.uk (26 مايو 2006). تم الاطلاع عليه بتاريخ 20 مايو 2012.
  27. ↑ براءة الاختراع الأمريكية رقم 8046827 ، كوريلا، فرانسيسكو، "التحكم في الوصول إلى سياق التفاعل للتطبيق"، نُشرت في 18 ديسمبر 2008 
  28. ويلكس، موريس ف. (1972). أنظمة الحاسوب ذات المشاركة الزمنية . دراسات في الحاسوب؛ [5]. نيويورك: ماكدونالد [ua] ISBN 978-0-356-03985-5.
  29. سكوفيلد، جاك (10 مارس 2003). "روجر نيدهام" . صحيفة الغارديان .
  30. مُعالج الثغرات: أهمية كلمات المرور. مؤرشف بتاريخ 2 نوفمبر 2013 في أرشيف الإنترنت . Bugcharmer.blogspot.com (20 يونيو 2012). تم الاطلاع عليه بتاريخ 30 يوليو 2013.
  31. ١ ٢ ألكسندر، ستيفن. (٢٠ يونيو ٢٠١٢) ساحر الثغرات: ما هو الطول الأمثل لكلمات المرور؟ مؤرشف في ٢٠ سبتمبر ٢٠١٢ على موقع Wayback Machine . Bugcharmer.blogspot.com. تم الاطلاع عليه في ٣٠ يوليو ٢٠١٣.
  32. "passlib.hash - Password Hashing Schemes" مؤرشف في 21 يوليو 2013 في Wayback Machine .
  33. 1 2 فلورنسيو، ديني؛ هيرلي، كورماك؛ فان أورشوت، بول سي. "دليل المسؤول للبحث عن كلمات مرور الإنترنت" (ملف PDF) . مايكروسوفت للأبحاث . مؤرشف من الأصل (ملف PDF) في 14 فبراير 2015. تم الاطلاع عليه في 27 مايو 2026 .
  34. قصة اختراق – كيف تمكنتُ من اختراق أكثر من 122 مليون كلمة مرور مشفرة باستخدام SHA1 وMD5 «  مدونة ثيريوس ( مؤرشفة في 30 أغسطس 2012 على موقع Wayback Machine ). Blog.thireus.com (29 أغسطس 2012). تم الاطلاع عليها في 30 يوليو 2013.
  35. حماية كلمة المرور لأنظمة التشغيل الحديثة. مؤرشف بتاريخ ١١ مارس ٢٠١٦ في أرشيف الإنترنت (ملف PDF). Usenix.org. تم الاطلاع عليه بتاريخ ٢٠ مايو ٢٠١٢.
  36. كيفية منع نظام ويندوز من تخزين تجزئة كلمة مرورك في Active Directory وقواعد بيانات SAM المحلية ( مؤرشف في 9 مايو 2006 على Wayback Machine ). support.microsoft.com (3 ديسمبر 2007). تم الاطلاع عليه في 20 مايو 2012.
  37. "لماذا يجب عليك الكذب عند إعداد أسئلة أمان كلمة المرور" . Techlicious. 8 مارس 2013. مؤرشف من الأصل في 23 أكتوبر 2013. تم الاطلاع عليه في 16 أكتوبر 2013 .
  38. شاي، ر.؛ كوماندوري، س.؛ كيلي، ب. ج.؛ ليون، ب. ج.؛ مازوريك، م. ل.؛ باور، ل.؛ كرانور، ل. ف. (2010). "مواجهة متطلبات كلمات مرور أكثر صرامة: مواقف المستخدمين وسلوكياتهم" . وقائع الندوة السادسة حول الخصوصية والأمان القابلين للاستخدام . ص 1-20 . doi : 10.1145/1837110.1837113 . تاريخ الاسترجاع: 30 أبريل 2025 . 
  39. 1 2 جوزيف شتاينبرغ (12 نوفمبر 2014). "فوربس: لماذا يجب عليك تجاهل كل ما قيل لك عن اختيار كلمات المرور" . فوربس . مؤرشف من الأصل في 12 نوفمبر 2014. تم الاطلاع عليه في 12 نوفمبر 2014 .
  40. "مشاكل فرض انتهاء صلاحية كلمات المرور بشكل دوري" . شؤون أمن المعلومات . مركز أمن المعلومات: ذراع أمن المعلومات التابع لوكالة الاستخبارات البريطانية. 15 أبريل 2016. مؤرشف من الأصل في 17 أغسطس 2016. تم الاطلاع عليه في 5 أغسطس 2016 .
  41. نقاش شناير حول الأمن بشأن تغيير كلمات المرور. مؤرشف في 30 ديسمبر 2010 على موقع Wayback Machine . Schneier.com. تم الاطلاع عليه في 20 مايو 2012.
  42. سيلتزر، لاري. (9 فبراير 2010) "أمريكان إكسبريس: ائتمان قوي، كلمات مرور ضعيفة". مؤرشف في 12 يوليو 2017 على موقع Wayback Machine . Pcmag.com. تم الاطلاع عليه في 20 مايو 2012.
  43. "عشر خرافات حول كلمات مرور ويندوز" : "مربعات حوار نظام التشغيل ويندوز NT ... تحد من كلمات المرور بحد أقصى 14 حرفًا"  
  44. «يجب عليك إدخال كلمة مرور يتراوح طولها بين حرف واحد وثمانية أحرف» . Jira.codehaus.org. تم الاطلاع عليه بتاريخ 20 مايو 2012. مؤرشف بتاريخ 21 مايو 2015 في أرشيف الإنترنت (Wayback Machine).
  45. "هل نستخدم الأحرف الكبيرة أم لا؟" مؤرشف في 17 فبراير 2009 في أرشيف الإنترنت . World.std.com. تم الاطلاع عليه في 20 مايو 2012.
  46. توماس، كير (10 فبراير 2011). "إعادة استخدام كلمات المرور أمر شائع للغاية، كما تُظهر الأبحاث" . بي سي وورلد . مؤرشف من الأصل في 12 أغسطس 2014. تم الاسترجاع في 10 أغسطس 2014 .
  47. باولي، دارين (16 يوليو 2014). "مايكروسوفت: أنت بحاجة إلى كلمات مرور ضعيفة، ويجب عليك إعادة استخدامها بكثرة" . ذا ريجستر . مؤرشف من الأصل في 12 أغسطس 2014. تم الاطلاع عليه في 10 أغسطس 2014 .
  48. "تقرير استخدام البالغين لوسائل الإعلام ومواقفهم لعام 2026" (ملف PDF) . أوفكوم . 2 أبريل 2026. الصفحات 21-22 . تاريخ الاطلاع: 26 مايو 2026. أكثر من ربع (26%) البالغين على الإنترنت يعيدون استخدام كلمات المرور في حسابات مختلفة... 13% من البالغين على الإنترنت الذين يعيدون استخدام كلمات المرور... أفادوا بتعرض حساباتهم على البريد الإلكتروني أو وسائل التواصل الاجتماعي للاختراق. 
  49. بروس شناير : نشرة كريبتو-غرام، مؤرشفة في 15 نوفمبر 2011 على موقع Wayback Machine، 15 مايو 2001  
  50. "عشر خرافات حول كلمات مرور ويندوز" : الخرافة رقم 7. لا يجب عليك أبدًا كتابة كلمة مرورك  
  51. كوتاديا، منير (23 مايو 2005) خبير أمن مايكروسوفت: دوّن كلمات مرورك . News.cnet.com. تم الاطلاع عليه بتاريخ 20 مايو 2012.
  52. "معضلة كلمة المرور القوية" مؤرشفة في 18 يوليو 2010 في Wayback Machine بواسطة ريتشارد إي. سميث: "يمكننا تلخيص قواعد اختيار كلمة المرور الكلاسيكية على النحو التالي: يجب أن تكون كلمة المرور مستحيلة التذكر ولا يجب كتابتها أبدًا."
  53. بوب جينكينز (11 يناير 2013). "اختيار كلمات مرور عشوائية" . مؤرشف من الأصل في 18 سبتمبر 2010.
  54. "سهولة تذكر كلمات المرور وأمانها - بعض النتائج التجريبية" مؤرشف في 19 فبراير 2011 في Wayback Machine (pdf)
    "كلمة مرورك ... في مكان آمن، مثل الجزء الخلفي من محفظتك أو حقيبتك."
  55. "هل يجب عليّ تدوين عبارة المرور الخاصة بي؟" مؤرشف بتاريخ 17 فبراير 2009 في أرشيف الإنترنت (Wayback Machine ). World.std.com. تم الاطلاع عليه بتاريخ 20 مايو 2012.
  56. "أفضل برامج إدارة كلمات المرور المجانية لعام 2025: حماية بيانات اعتمادك" . TechRadar . 27 يوليو 2022. تم الاطلاع عليه بتاريخ 13 نوفمبر 2025 .
  57. ريدينغ، ديفيد إي.؛ قسم الميزات، AEP، نُشر في (19 أبريل 2019). "قد تواجه ممتلكاتك مشكلة خطيرة في كلمات المرور" . Kiplinger.com . تم الاطلاع عليه في 17 أغسطس 2024 .
  58. هاولي، دان (17 يونيو 2016). "هناك طريقة سريعة وسهلة لتعزيز أمانك على الإنترنت" . ياهو تك . مؤرشف من الأصل في 17 أكتوبر 2016. تم الاطلاع عليه في 28 مايو 2016 .
  59. غودين، دان (3 يونيو 2019). "تقول مايكروسوفت إن تغيير كلمة المرور الإلزامي "قديم وعفا عليه الزمن"" . Ars Technica . تم الاطلاع عليه في 1 نوفمبر 2022 .
  60. كريستين رانتا-هيكل ويلسون (9 مارس 2020). "النقاش حول سياسات تغيير كلمات المرور" . معهد SANS . مؤرشف من الأصل في 17 أكتوبر 2025. تم الاطلاع عليه في 31 أكتوبر 2022 .
  61. الفياض، بندر؛ ثورسهايم، بير؛ يوسانغ، أودون؛ كليفير، هينينغ. "تحسين سهولة استخدام إدارة كلمات المرور من خلال سياسات كلمات المرور الموحدة" (ملف PDF) . مؤرشف (PDF) من الأصل في 20 يونيو 2013. تم الاطلاع عليه في 12 أكتوبر 2012 .
  62. 1 2 تونغ، ليام (9 أغسطس 2017). "هل تكره قواعد كلمات المرور السخيفة؟ كذلك الشخص الذي وضعها" . ZDNet . مؤرشف من الأصل في 29 مارس 2018.
  63. ماكميلان، روبرت (7 أغسطس 2017). "الرجل الذي وضع قواعد كلمات المرور لديه نصيحة جديدة: N3v$r M1^d!" . صحيفة وول ستريت جورنال . مؤرشف من الأصل في 9 أغسطس 2017.
  64. ١ ٢ روبرتس، جيف جون (١١ مايو ٢٠١٧). "خبراء يقولون إنه يمكننا أخيرًا التخلص من قواعد كلمات المرور الغبية تلك" . مجلة فورتشن . مؤرشف من الأصل في ٢٨ يونيو ٢٠١٨.
  65. ويسنيوسكي، تشيستر (18 أغسطس 2016). "قواعد كلمات المرور الجديدة للمعهد الوطني للمعايير والتكنولوجيا - ما تحتاج إلى معرفته" . نيكد سكيورتي . مؤرشف من الأصل في 28 يونيو 2018.
  66. تسوكيس، بيريس؛ ستافرو، إليانا (يونيو 2018). "أداة لتوليد كلمات المرور لزيادة وعي المستخدمين باستراتيجيات بناء كلمات المرور الضعيفة". المؤتمر الدولي لعام 2018 حول الشبكات والحواسيب والاتصالات (ISNCC) . معهد مهندسي الكهرباء والإلكترونيات (IEEE). الصفحات 1-5 . Bibcode : 2018isnc.conf...35T . doi : 10.1109/ISNCC.2018.8531061 . ISBN  978-1-5386-3779-1.
  67. "كلمة المرور" . قسم علوم الحاسوب، جامعة كولومبيا . مؤرشف من الأصل بتاريخ 23 أبريل 2007. تم الاطلاع عليه بتاريخ 30 مايو 2026 .
  68. "كلمات المرور في العالم الحقيقي" . شناير حول الأمن . 14 ديسمبر 2006. تم الاطلاع عليه في 30 مايو 2026 .
  69. شناير، بروس (14 ديسمبر 2006). "كلمات مرور ماي سبيس ليست غبية إلى هذا الحد" . وايرد . مؤرشف من الأصل في 20 أغسطس 2019. تم الاطلاع عليه في 30 مايو 2026 .
  70. "CERT IN-98.03" . 16 يوليو 1998. مؤرشف من الأصل في 16 أكتوبر 2009. تم الاطلاع عليه في 9 سبتمبر 2009 .
  71. 1 2 أوربينا، إيان؛ ديفيس، ليزلي (23 نوفمبر 2014). "الحياة السرية لكلمات المرور" . صحيفة نيويورك تايمز . مؤرشف من الأصل في 28 نوفمبر 2014.
  72. "أسوأ ممارسات كلمات مرور المستهلك (ملف PDF)" (PDF) . مؤرشف (PDF) من الأصل بتاريخ 28 يوليو 2011.
  73. "اختراق موقع الناتو" . ذا ريجستر . 24 يونيو 2011. مؤرشف من الأصل في 29 يونيو 2011. تم الاطلاع عليه في 24 يوليو 2011 .
  74. بيدل، سام (11 يوليو 2011). "مجموعة أنونيموس تُسرّب 90 ألف حساب بريد إلكتروني عسكري في أحدث هجوم مضاد للأمن السيبراني" . جيزمودو . مؤرشف من الأصل في 14 يوليو 2017.
  75. "تحليل كلمات المرور العسكرية" . 12 يوليو 2011. مؤرشف من الأصل في 15 يوليو 2011.
  76. "اختراق لينكدإن عام 2012 أسفر عن سرقة 117 مليون بريد إلكتروني وكلمة مرور، وليس 6.5 مليون - أخبار أمنية" . تريند مايكرو . 18 مايو 2016. تاريخ الاطلاع: 11 أكتوبر 2023 .
  77. ووكر، ديل (14 أكتوبر 2019). "كيف يحصل المخترقون على كلمات مرورك؟" . IT Pro . تم ​​الاطلاع عليه بتاريخ 27 مايو 2026 .
  78. "السعي لاستبدال كلمات المرور: إطار عمل للتقييم المقارن لأنظمة مصادقة الويب" (ملف PDF) . معهد مهندسي الكهرباء والإلكترونيات. 15 مايو 2012. مؤرشف من الأصل (ملف PDF) في 19 مارس 2015. تم الاطلاع عليه في 11 مارس 2015 .
  79. بونو، جوزيف؛ هيرلي، كورماك؛ أورشوت، بول سي. فان؛ ستاجانو، فرانك (2012). السعي لاستبدال كلمات المرور: إطار عمل للتقييم المقارن لأنظمة مصادقة الويب (تقرير). جامعة كامبريدج، مختبر الحاسوب. doi : 10.48456/tr-817 .
  80. «غيتس يتوقع زوال كلمة المرور» . سي نت . ٢٥ فبراير ٢٠٠٤. مؤرشف من الأصل في ٢ أبريل ٢٠١٥. تم الاطلاع عليه في ١٤ مارس ٢٠١٥ .
  81. سينغال، نيدهي (17 سبتمبر 2021). "لا كلمة مرور لحساب مايكروسوفت: ماذا يعني المصادقة بدون كلمة مرور؟" . بزنس توداي . تم الاطلاع عليه بتاريخ 12 أبريل 2022 .
  82. براون، دانيال آر إل (2005)، استرجاع المستخدم الموجه للإنتروبيا السرية: بروتوكول Passmaze ، 2005/434 ، تم استرجاعه في 27 مايو 2026
  83. تي ماتسوموتو، إتش ماتسوموتو، كيه يامادا، إس هوشينو (2002). فان رينيس، رودولف إل (محرر). "تأثير الأصابع الاصطناعية 'المطاطية' على أنظمة بصمات الأصابع". وقائع SPIE . الأمن البصري وتقنيات مكافحة التزييف IV. 4677 : 275. Bibcode : 2002SPIE.4677..275M . doi : 10.1117/12.462719 . S2CID 16897825 . 
  84. وائل (18 سبتمبر 2005). "استخدام تقنية AJAX لكلمات مرور الصور - أمان AJAX، الجزء 1 من 3" . وائل شاتيلا . مؤرشف من الأصل في 16 يونيو 2006. تم الاطلاع عليه في 27 مايو 2026 .
  85. بتلر، ريك أ. (1 سبتمبر 2004). "وجه في الحشد" . مجلة مايكروسوفت للمحترفين المعتمدين على الإنترنت . مؤرشف من الأصل في 27 يونيو 2006. تم الاطلاع عليه في 27 مايو 2026 .
  86. "ما هي كلمة المرور الرسومية؟ - تعريف من Whatis.com - انظر أيضًا: GUA، مصادقة المستخدم الرسومية" . searchsecurity.techtarget.com . 4 يونيو 2007. مؤرشف من الأصل في 19 فبراير 2011. تم الاطلاع عليه في 27 مايو 2026 .
  87. إريكا تشيكوفسكي (3 نوفمبر 2010). "الصور قد تُغيّر صورة التوثيق" . دارك ريدينغ. مؤرشف من الأصل في 10 نوفمبر 2010.
  88. "شركة Confident Technologies تُقدّم نظام مصادقة متعدد العوامل قائم على الصور لتعزيز أمان كلمات المرور على المواقع الإلكترونية العامة" . marketwire . 28 أكتوبر 2010. مؤرشف من الأصل في 7 نوفمبر 2010.
  89. "دليل المستخدم لطريقة ونظام إدخال المفاتيح ثنائية الأبعاد (2D Key)" (ملف PDF) . xpreeli.com . 8 سبتمبر 2008. مؤرشف من النسخة الأصلية (PDF) في 18 يوليو 2011. تم الاطلاع عليه في 27 مايو 2026 .
  90. US20110055585A1 ، لي، كوك-واه، "طرق وأنظمة لإنشاء أسرار كبيرة قابلة للحفظ وتطبيقاتها في هندسة المعلومات"، نُشر في 3 مارس 2011 
  91. كوتاديا، منير (25 فبراير 2004). "غيتس يتوقع زوال كلمة المرور" . زد نت . تم الاطلاع عليه بتاريخ 8 مايو 2019 .
  92. "شركة آي بي إم تكشف عن خمسة ابتكارات ستغير حياتنا خلال خمس سنوات" . آي بي إم. ١٩ ديسمبر ٢٠١١. مؤرشف من الأصل في ١٧ مارس ٢٠١٥. تم الاطلاع عليه في ١٤ مارس ٢٠١٥ .
  93. مسؤول أمن جوجل: "كلمات المرور انتهت"" . سي نت . 25 فبراير 2004. مؤرشف من الأصل في 2 أبريل 2015. تم الاطلاع عليه في 14 مارس 2015. "
  94. "المصادقة على نطاق واسع" . معهد مهندسي الكهرباء والإلكترونيات. 25 يناير 2013. مؤرشف من الأصل في 2 أبريل 2015. تم الاطلاع عليه في 12 مارس 2015 .
  95. ميمز، كريستوفر (14 يوليو 2014). "كلمة المرور تتلاشى أخيرًا. إليكم كلمتي" . صحيفة وول ستريت جورنال . مؤرشف من الأصل في 13 مارس 2015. تم الاطلاع عليه في 14 مارس 2015 .
  96. «رئيس مركز NSTIC، جيريمي غرانت، يريد إلغاء كلمات المرور» . FedScoop . ١٤ سبتمبر ٢٠١٤. مؤرشف من الأصل في ١٨ مارس ٢٠١٥. تم الاطلاع عليه في ١٤ مارس ٢٠١٥ .
  97. "نظرة عامة على المواصفات" . تحالف FIDO. 25 فبراير 2014. مؤرشف من الأصل في 15 مارس 2015. تم الاطلاع عليه في 15 مارس 2015 .
  98. بونو، جوزيف؛ هيرلي، كورماك؛ أورشوت، بول سي. فان؛ ستاجانو، فرانك (مايو 2012). "السعي لاستبدال كلمات المرور: إطار عمل للتقييم المقارن لأنظمة مصادقة الويب". ندوة IEEE للأمن والخصوصية لعام 2012. الصفحات 553-567 . doi : 10.1109/SP.2012.44 . ISBN  978-1-4673-1244-8.
  99. لوري، كريغ (9 يونيو 2022). "لماذا لم يمت استخدام كلمة المرور؟" . مجلة أمن المعلومات . تم الاطلاع عليه بتاريخ 13 نوفمبر 2025 .