قوة كلمات المرور

قائمة خيارات أداة إنشاء كلمات المرور العشوائية في Bitwarden . يؤدي تمكين المزيد من مجموعات الأحرف الفرعية إلى زيادة قوة كلمات المرور المُنشأة بمقدار ضئيل، بينما يؤدي زيادة طولها إلى زيادة قوتها بمقدار كبير.

قوة كلمة المرور هي مقياس لمدى فعاليتها ضد محاولات التخمين أو هجمات القوة الغاشمة . في شكلها المعتاد، تُقدّر هذه القوة عدد المحاولات التي يحتاجها المهاجم، في المتوسط، لتخمين كلمة المرور بشكل صحيح، إذا لم يكن لديه وصول مباشر إليها. وتعتمد قوة كلمة المرور على طولها وتعقيدها وعدم إمكانية التنبؤ بها. [ 1 ]

يُقلل استخدام كلمات مرور قوية من المخاطر الإجمالية للاختراقات الأمنية، لكنها لا تُغني عن الحاجة إلى ضوابط أمنية فعّالة أخرى . [ 2 ] وتعتمد فعالية كلمة المرور، مهما بلغت قوتها، بشكل كبير على تصميم وتنفيذ عوامل المصادقة (المعرفة، والملكية، والهوية). ويُركز هذا المقال بشكل أساسي على العامل الأول.

يُعدّ معدل إدخال كلمات المرور المُخمنة من قِبل المُهاجم عاملاً أساسياً في تحديد أمان النظام. تفرض بعض الأنظمة مهلة زمنية لبضع ثوانٍ بعد عدد قليل (ثلاث مثلاً) من محاولات إدخال كلمة المرور الفاشلة. في حال عدم وجود ثغرات أخرى ، يُمكن تأمين هذه الأنظمة بفعالية باستخدام كلمات مرور بسيطة نسبياً. مع ذلك، تخزن الأنظمة معلومات حول كلمات مرور المستخدمين، وإذا لم تكن هذه المعلومات محمية وسُرقت (عن طريق اختراق أمان النظام مثلاً)، يُمكن حينها اختراق كلمات مرور المستخدمين بغض النظر عن قوة كلمة المرور.

في عام 2019، قام المركز الوطني للأمن السيبراني في المملكة المتحدة بتحليل قواعد البيانات العامة للحسابات المخترقة لمعرفة الكلمات والعبارات والسلاسل النصية التي استخدمها المستخدمون. وكانت كلمة المرور الأكثر شيوعًا هي "123456"، حيث ظهرت في 23.2 مليون كلمة مرور. تلتها في المرتبة الثانية "123456789"، التي ظهرت في 7.7 مليون كلمة مرور. أما الكلمات الأخرى ضمن قائمة الخمسة الأوائل فكانت " qwerty " و"password" و"1111111"، [ 3 ] حيث ظهرت في 3.8 مليون و3.6 مليون و3.1 مليون كلمة مرور على التوالي. [ 4 ]

إنشاء كلمة المرور

تُنشأ كلمات المرور إما تلقائيًا (باستخدام أجهزة توليد كلمات المرور العشوائية) أو يدويًا؛ والحالة الأخيرة هي الأكثر شيوعًا. في حين يمكن حساب قوة كلمات المرور المختارة عشوائيًا ضد هجمات التخمين العشوائي بدقة، فإن تحديد قوة كلمات المرور التي يُنشئها الإنسان أمرٌ صعب.

عادةً، يُطلب من المستخدمين اختيار كلمة مرور عند إنشاء حساب جديد على نظام حاسوبي أو موقع إلكتروني، وقد يسترشدون باقتراحات أو يتقيدون بمجموعة من القواعد. ولا يمكن تقدير قوة كلمة المرور إلا بشكل تقريبي، لأن المستخدمين يميلون إلى اتباع أنماط معينة في مثل هذه المهام، وهذه الأنماط قد تُسهّل على المهاجمين اختراق النظام. [ 5 ] إضافةً إلى ذلك، تتوفر قوائم بكلمات المرور الشائعة على نطاق واسع لاستخدامها في برامج تخمين كلمات المرور. وتشمل هذه القوائم العديد من القواميس الإلكترونية للغات البشرية المختلفة، وقواعد بيانات مخترقة لكلمات مرور نصية ومشفّرة من حسابات تجارية واجتماعية مختلفة على الإنترنت، إلى جانب كلمات مرور شائعة أخرى. وتُعتبر جميع كلمات المرور في هذه القوائم ضعيفة، وكذلك كلمات المرور التي تُعدّ تعديلات بسيطة عليها.

على الرغم من توفر برامج توليد كلمات المرور العشوائية المصممة لتكون سهلة الاستخدام، إلا أنها عادةً ما تُنتج كلمات مرور عشوائية يصعب تذكرها، مما يدفع المستخدمين في كثير من الأحيان إلى تفضيل اختيار كلمات مرورهم الخاصة. ومع ذلك، يُعدّ هذا الأمر غير آمن بطبيعته، لأن نمط حياة الشخص وتفضيلاته الترفيهية وغيرها من سماته الفردية الرئيسية تؤثر عادةً على اختيار كلمة المرور، في حين أن انتشار وسائل التواصل الاجتماعي سهّل الحصول على معلومات عن الأشخاص بشكل كبير.

التحقق من صحة تخمين كلمة المرور

يجب أن تمتلك الأنظمة التي تستخدم كلمات المرور للمصادقة آلية للتحقق من أي كلمة مرور يتم إدخالها للوصول إليها. إذا تم تخزين كلمات المرور الصحيحة ببساطة في ملف نظام أو قاعدة بيانات، فسيحصل المهاجم الذي يحصل على صلاحيات كافية في النظام على جميع كلمات مرور المستخدمين، مما يتيح له الوصول إلى جميع الحسابات على النظام المستهدف، وربما أنظمة أخرى يستخدم فيها المستخدمون كلمات مرور مماثلة. إحدى طرق تقليل هذا الخطر هي تخزين قيمة تجزئة تشفيرية لكل كلمة مرور بدلاً من كلمة المرور نفسها. يصعب للغاية عكس تشفير قيم التجزئة القياسية، مثل سلسلة خوارزمية التجزئة الآمنة (SHA)، لذا لا يستطيع المهاجم الذي يحصل على قيمة التجزئة استعادة كلمة المرور مباشرةً. مع ذلك، تُمكّن معرفة قيمة التجزئة المهاجم من اختبار التخمينات بسرعة دون اتصال بالإنترنت. تتوفر برامج اختراق كلمات المرور على نطاق واسع، والتي تختبر عددًا كبيرًا من كلمات المرور التجريبية مقابل قيمة تجزئة تشفيرية مسروقة.

تُسهم التحسينات المستمرة في تكنولوجيا الحوسبة في زيادة سرعة اختبار كلمات المرور المُخمنة. فعلى سبيل المثال، في عام 2010، طوّر معهد جورجيا للتكنولوجيا طريقةً لاستخدام معالجات الرسومات للأغراض العامة (GPGPU) لكسر كلمات المرور بسرعة أكبر بكثير. [ 6 ] وفي أغسطس 2007، ابتكرت شركة Elcomsoft استخدام بطاقات الرسومات الشائعة لاستعادة كلمات المرور بشكل أسرع، وسرعان ما سجّلت براءة اختراع في الولايات المتحدة. [ 7 ] وبحلول عام 2011، توفرت منتجات تجارية تدّعي قدرتها على اختبار ما يصل إلى 112,000 كلمة مرور في الثانية على جهاز كمبيوتر مكتبي عادي ، باستخدام معالج رسومات عالي الأداء. [ 8 ] يستطيع مثل هذا الجهاز كسر كلمة مرور مكونة من ستة أحرف (بحالة الأحرف الكبيرة والصغيرة) في يوم واحد. ويمكن توزيع هذه العملية على عدة أجهزة كمبيوتر لتحقيق تسريع إضافي يتناسب مع عدد أجهزة الكمبيوتر المتاحة المزودة بمعالجات رسومات مماثلة. كما تتوفر تقنيات خاصة لتمديد المفاتيح تستغرق وقتًا طويلاً نسبيًا للحساب، مما يقلل من سرعة التخمين. وعلى الرغم من أن استخدام تمديد المفاتيح يُعدّ من أفضل الممارسات ، إلا أن العديد من الأنظمة الشائعة لا تستخدمه.

هناك حالة أخرى يُمكن فيها التخمين السريع، وهي عندما تُستخدم كلمة المرور لتكوين مفتاح تشفير . في مثل هذه الحالات، يستطيع المهاجم التحقق بسرعة مما إذا كانت كلمة المرور المُخمنة قادرة على فك تشفير البيانات المُشفرة بنجاح. على سبيل المثال، يدّعي أحد المنتجات التجارية أنه يختبر 103,000 كلمة مرور WPA PSK في الثانية الواحدة. [ 9 ]

إذا كان نظام كلمات المرور يخزن فقط تجزئة كلمة المرور، فيمكن للمهاجم حساب قيم التجزئة مسبقًا لأنواع كلمات المرور الشائعة وجميع كلمات المرور الأقصر من طول معين، مما يسمح باستعادة كلمة المرور بسرعة فائقة بمجرد الحصول على تجزئتها. يمكن تخزين قوائم طويلة جدًا من تجزئات كلمات المرور المحسوبة مسبقًا بكفاءة باستخدام جداول قوس قزح . يمكن إحباط هذه الطريقة من الهجوم عن طريق تخزين قيمة عشوائية، تُسمى ملح التشفير ، مع التجزئة. يُدمج الملح مع كلمة المرور عند حساب التجزئة، لذا سيتعين على المهاجم الذي يحسب جدول قوس قزح مسبقًا تخزين تجزئة كل كلمة مرور مع كل قيمة ملح ممكنة. يصبح هذا غير عملي إذا كان للملح نطاق واسع بما يكفي، كأن يكون رقمًا مكونًا من 32 بت. لا تستخدم العديد من أنظمة المصادقة الشائعة الملح، وتتوفر جداول قوس قزح على الإنترنت للعديد من هذه الأنظمة.

الإنتروبيا كمقياس لقوة كلمة المرور

تُحدد قوة كلمة المرور بمقدار إنتروبيا المعلومات ، والتي تُقاس بوحدة شانون (Sh)، وهي مفهوم من نظرية المعلومات . يُمكن اعتبارها الحد الأدنى لعدد البتات اللازمة لحفظ المعلومات في كلمة مرور من نوع مُحدد. ويُعدّ اللوغاريتم الثنائي لعدد المحاولات اللازمة للعثور على كلمة المرور بيقين مقياسًا ذا صلة، ويُشار إليه عادةً باسم "بتات الإنتروبيا". [ 10 ] تكون كلمة المرور ذات إنتروبيا 42 بتًا بنفس قوة سلسلة من 42 بتًا مختارة عشوائيًا، على سبيل المثال عن طريق رمي عملة معدنية عادلة . بعبارة أخرى، تتطلب كلمة المرور ذات إنتروبيا 42 بتًا 2^ 42 (4,398,046,511,104) محاولة لاستنفاد جميع الاحتمالات خلال بحث القوة الغاشمة . وبالتالي، فإن زيادة إنتروبيا كلمة المرور ببت واحد تُضاعف عدد المحاولات المطلوبة، مما يجعل مهمة المُهاجم أصعب بمرتين. في المتوسط، سيتعين على المهاجم تجربة نصف عدد كلمات المرور الممكنة قبل العثور على كلمة المرور الصحيحة. [ 5 ]

كلمات مرور عشوائية

تتكون كلمات المرور العشوائية من سلسلة من الرموز ذات طول محدد، يتم اختيارها من مجموعة رموز معينة باستخدام عملية اختيار عشوائية، حيث يكون لكل رمز احتمال متساوٍ للاختيار. يمكن أن تكون هذه الرموز أحرفًا فردية من مجموعة أحرف (مثل مجموعة أحرف ASCII )، أو مقاطع لفظية مصممة لتكوين كلمات مرور سهلة النطق، أو حتى كلمات من قائمة كلمات (وبذلك تُشكل عبارة مرور ).

تعتمد قوة كلمات المرور العشوائية على مستوى العشوائية الفعلي لمولد الأرقام المستخدم؛ إلا أن هذه الأرقام غالبًا ما تكون شبه عشوائية. تستخدم العديد من مولدات كلمات المرور المتاحة للعموم مولدات أرقام عشوائية موجودة في مكتبات البرمجة، والتي توفر مستوى عشوائية محدودًا. مع ذلك، توفر معظم أنظمة التشغيل الحديثة مولدات أرقام عشوائية قوية تشفيرًا، مناسبة لتوليد كلمات المرور. كما يمكن استخدام النرد العادي لتوليد كلمات مرور عشوائية . غالبًا ما تضمن برامج كلمات المرور العشوائية توافق كلمة المرور الناتجة مع سياسة كلمات المرور المحلية ؛ على سبيل المثال، من خلال إنتاج مزيج من الأحرف والأرقام والرموز الخاصة دائمًا.

بالنسبة لكلمات المرور المُولَّدة بعملية تختار عشوائيًا سلسلة من الرموز بطول L من مجموعة N رمزًا مُحتملًا، يُمكن إيجاد عدد كلمات المرور المُحتملة برفع عدد الرموز إلى القوة L ، أي N = L. زيادة L أو N تُقوّي كلمة المرور المُولَّدة. قوة كلمة المرور العشوائية، كما تُقاس بإنتروبيا المعلومات، هي ببساطة اللوغاريتم الثنائي (log₂ ) لعدد كلمات المرور المُحتملة، بافتراض أن كل رمز في كلمة المرور مُنتَج بشكل مُستقل. وبالتالي، تُعطى إنتروبيا المعلومات لكلمة المرور العشوائية، H ، بالصيغة التالية:

ح=سجل2شمالل=لسجل2شمال=لسجلشمالسجل2{\displaystyle H=\log _{2}N^{L}=L\log _{2}N=L{\log N \over \log 2}}

حيث N هو عدد الرموز الممكنة و L هو عدد الرموز في كلمة المرور. يُقاس H بالبتات . [ 5 ] [ 11 ] في التعبير الأخير، يمكن أن يكون اللوغاريتم لأي أساس .

عادةً ما يتم التعبير عن البايت الثنائي باستخدام حرفين سداسيين عشريين.

لإيجاد الطول L اللازم لتحقيق قوة H المطلوبة، باستخدام كلمة مرور يتم اختيارها عشوائيًا من مجموعة من N رمزًا، يتم حساب ما يلي:

ل=حسجل2شمال{\displaystyle L={\left\lceil {\frac {H}{\log _{2}N}}\right\rceil }}

أين {\displaystyle \left\lceil \ \right\rceil }يشير إلى دالة السقف الرياضية ، أي التقريب إلى العدد الصحيح الأكبر التالي .

كلمات المرور التي أنشأها البشر

من المعروف أن الناس لا يجيدون توليد مستوى كافٍ من العشوائية لإنتاج كلمات مرور مُرضية. ووفقًا لدراسة شملت نصف مليون مستخدم، قُدِّر متوسط ​​عشوائية كلمة المرور بـ 40.54 بت. [ 12 ]

وهكذا، في تحليلٍ لأكثر من 3 ملايين كلمة مرور مكونة من ثمانية أحرف، استُخدم الحرف "e" أكثر من 1.5 مليون مرة، بينما استُخدم الحرف "f" 250 ألف مرة فقط. ولو كان التوزيع منتظمًا، لكان كل حرف قد استُخدم حوالي 900 ألف مرة. أما الرقم الأكثر استخدامًا فهو "1"، بينما الأحرف الأكثر شيوعًا هي a وe وo وr. [ 13 ]

نادراً ما يستغل المستخدمون مجموعات الأحرف الكبيرة بشكل كامل عند تكوين كلمات المرور. على سبيل المثال، كشفت نتائج اختراق عملية تصيد احتيالي على موقع ماي سبيس عام 2006 عن 34000 كلمة مرور، لم يستخدم منها سوى 8.3% مزيجاً من الأحرف الكبيرة والصغيرة والأرقام والرموز. [ 14 ]

لا تتحقق القوة الكاملة المرتبطة باستخدام مجموعة أحرف ASCII الكاملة (الأرقام، والأحرف الكبيرة والصغيرة، والرموز الخاصة) إلا إذا كان احتمال كل كلمة مرور ممكن متساوياً. وهذا يوحي بأن جميع كلمات المرور يجب أن تحتوي على أحرف من كل فئة من فئات الأحرف، ربما الأحرف الكبيرة والصغيرة، والأرقام، والأحرف غير الأبجدية الرقمية. يُعد هذا الشرط نمطًا في اختيار كلمات المرور، ومن المتوقع أن يقلل من "عامل الجهد" الذي يبذله المهاجم (بحسب مصطلحات كلود شانون ). وهذا يُضعف "قوة" كلمة المرور. والشرط الأفضل هو اشتراط ألا تحتوي كلمة المرور على أي كلمة من قاموس إلكتروني، أو قائمة أسماء، أو أي نمط لوحة ترخيص من أي ولاية (في الولايات المتحدة) أو دولة (كما هو الحال في الاتحاد الأوروبي). إذا كانت الخيارات النمطية مطلوبة، فمن المرجح أن يستخدمها البشر بطرق يمكن التنبؤ بها، مثل كتابة حرف كبير، وإضافة رقم أو رقمين، ورمز خاص. هذه القدرة على التنبؤ تعني أن الزيادة في قوة كلمة المرور طفيفة مقارنةً بكلمات المرور العشوائية.

مشاريع التوعية بأمان كلمات المرور

طوّرت جوجل لعبة Interland التفاعلية على الإنترنت لتعليم الأطفال السلامة على الإنترنت، وتغطي مواضيع مثل التنمر الإلكتروني، والاختراق الأساسي، وأمن المعلومات . في فصل " برج الكنز" على سبيل المثال، يُنصح باستخدام أسماء غير مألوفة مقترنة بأحرف مثل (₺&@#%) في اللعبة. [ 15 ]

منشور خاص من المعهد الوطني للمعايير والتكنولوجيا رقم 800-63-2

اقترحت النشرة الخاصة NIST 800-63 الصادرة في يونيو 2004 (المراجعة الثانية) مخططًا لتقريب إنتروبيا كلمات المرور التي أنشأها الإنسان: [ 5 ]

باستخدام هذه الطريقة، يُقدَّر أن كلمة مرور مكونة من ثمانية أحرف يختارها المستخدم، خالية من الأحرف الكبيرة والأحرف غير الأبجدية، أو تحتوي على أيٍّ من مجموعتي الأحرف المذكورتين، تمتلك 18 بتًا من الإنتروبيا. ويقر منشور المعهد الوطني للمعايير والتكنولوجيا (NIST) بأنه في وقت تطوير هذه الطريقة، كانت المعلومات المتوفرة حول اختيار كلمات المرور في الواقع العملي قليلة. وقد أظهرت أبحاث لاحقة حول إنتروبيا كلمات المرور التي يختارها المستخدمون، باستخدام بيانات واقعية متاحة حديثًا، أن طريقة المعهد الوطني للمعايير والتكنولوجيا لا تُقدِّم مقياسًا صالحًا لتقدير إنتروبيا كلمات المرور التي يختارها المستخدمون. [ 16 ] وقد تخلّى التعديل الصادر في يونيو 2017 من معيار SP 800-63 (التعديل الثالث) عن هذا النهج. [ 17 ]

اعتبارات سهولة الاستخدام والتنفيذ

نظراً لاختلاف تطبيقات لوحات المفاتيح بين الدول، لا يمكن استخدام جميع الأحرف الـ 94 القابلة للطباعة في نظام ASCII في كل مكان. قد يُشكل هذا مشكلةً للمسافر الدولي الذي يرغب في تسجيل الدخول إلى نظام بعيد باستخدام لوحة مفاتيح على جهاز كمبيوتر محلي . تتطلب العديد من الأجهزة المحمولة، مثل أجهزة الكمبيوتر اللوحية والهواتف الذكية ، تسلسلات معقدة من مفاتيح Shift أو تبديل تطبيقات لوحة المفاتيح لإدخال الأحرف الخاصة.

تختلف برامج المصادقة فيما يتعلق بقائمة الأحرف المسموح بها في كلمات المرور. فبعضها لا يفرق بين الأحرف الكبيرة والصغيرة (مثلاً، يُعتبر الحرف "E" الكبير مكافئاً للحرف "e" الصغير)، بينما يحظر البعض الآخر بعض الرموز الأخرى. وقد سمحت الأنظمة خلال العقود القليلة الماضية باستخدام المزيد من الأحرف في كلمات المرور، ولكن لا تزال هناك قيود. كما تختلف الأنظمة أيضاً فيما يتعلق بالحد الأقصى المسموح به لطول كلمات المرور.

من الناحية العملية، يجب أن تكون كلمات المرور معقولة وسهلة الاستخدام للمستخدم النهائي، وقوية بما يكفي للغرض المقصود. كلمات المرور التي يصعب تذكرها، وهي مشكلة تتفاقم مع متطلبات تعقيد كلمات المرور، قد تُنسى، وبالتالي يُرجح كتابتها على الورق، مما يُشكل خطرًا أمنيًا إذا لم يتم تأمين الورقة بشكل صحيح. [ 18 ] [ 19 ] [ 20 ] في المقابل، يرى بروس شناير أن إجبار المستخدمين على تذكر كلمات المرور دون مساعدة لا يُجدي نفعًا سوى في دعم كلمات المرور الضعيفة، مما يُشكل خطرًا أمنيًا أكبر، ومعظم الناس بارعون في تأمين محافظهم أو حقائبهم، وهي "مكان مثالي" لحفظ كلمة المرور المكتوبة. [ 21 ]

وحدات الإنتروبيا المطلوبة

يعتمد الحد الأدنى لعدد بتات الإنتروبيا اللازمة لكلمة المرور على نموذج التهديد للتطبيق المُحدد. وللحد من فعالية هجمات القوة الغاشمة، يوصي المعهد الوطني للمعايير والتكنولوجيا (NIST) مديري الأنظمة بتخزين كلمات المرور دائمًا باستخدام دالة اشتقاق مفتاح تُجري عملية تمديد للمفتاح ، بدلًا من تخزينها كنص عادي أو باستخدام دالة تجزئة تشفيرية فقط . [ 20 ] كما تُوفر تفاصيل التنفيذ الأخرى، مثل الحد من عدد محاولات إدخال كلمة المرور الخاطئة، حماية إضافية. [ 22 ] وفي حال عدم استخدام هذه الأساليب، يلزم استخدام كلمات مرور ذات إنتروبيا أعلى. ومن الجدير بالذكر أيضًا أنه مع تزايد القدرة الحاسوبية باستمرار، يجب زيادة عدد بتات الإنتروبيا المطلوبة بمرور الوقت لمنع الهجمات غير المتصلة بالإنترنت.

تُقدّم وثيقة RFC 4086، بعنوان "متطلبات العشوائية للأمان"، والمنشورة في يونيو 2005، بعض نماذج التهديدات وكيفية حساب الإنتروبيا المطلوبة لكل منها. [ 23 ] وتتراوح الإجابات بين 29 بتًا من الإنتروبيا المطلوبة في حالة توقع الهجمات الإلكترونية فقط، وما يصل إلى 96 بتًا من الإنتروبيا المطلوبة لمفاتيح التشفير المهمة المستخدمة في تطبيقات مثل التشفير، حيث يجب أن يكون كلمة المرور أو المفتاح آمنًا لفترة طويلة ولا يُمكن تطبيق تمديده. وذكرت ورقة بحثية من مؤتمر USENIX عام 2007 أنه مع وجود الضمانات المناسبة، فإن 20 بتًا من الإنتروبيا كافية للحماية من التهديدات الإلكترونية العملية. [ 22 ] وأوصت دراسة أجراها معهد جورجيا للتكنولوجيا للأبحاث عام 2010 ، استنادًا إلى مفاتيح غير ممتدة ، بأن يكون الحد الأدنى لطول كلمة المرور العشوائية 12 حرفًا. [ 6 ] [ 24 ]

يرتبط الحد الأعلى لتوصيات إنتروبيا كلمات المرور بالمتطلبات الصارمة لاختيار المفاتيح المستخدمة في التشفير. ففي عام 1999، تمكن مشروع تابع لمؤسسة الحدود الإلكترونية من كسر تشفير DES ذي 56 بت في أقل من يوم باستخدام أجهزة مصممة خصيصًا لهذا الغرض. [ 25 ] وفي عام 2002، تمكن موقع distributed.net من كسر مفتاح ذي 64 بت في 4 سنوات و9 أشهر و23 يومًا. [ 26 ] وفي 12 أكتوبر 2011، قدر موقع distributed.net أن كسر مفتاح ذي 72 بت باستخدام الأجهزة الحالية سيستغرق حوالي 45,579 يومًا أو 124.8 سنة. [ 27 ] ونظرًا للقيود المعروفة حاليًا في الفيزياء الأساسية، لا يُتوقع أن يكون أي حاسوب رقمي (أو مجموعة حواسيب) قادرًا على كسر تشفير ذي 256 بت عبر هجوم القوة الغاشمة. [ 28 ] ولا يزال من غير المعروف ما إذا كانت الحواسيب الكمومية ستتمكن من فعل ذلك عمليًا، على الرغم من أن التحليل النظري يشير إلى مثل هذه الاحتمالات. [ 29 ]

إنشاء كلمات مرور قوية

التوصيات الشائعة

تهدف التوصيات الخاصة باختيار كلمات المرور الجيدة إلى جعلها أكثر صعوبة في الاكتشاف باستخدام أساليب التخمين العشوائي والذكي. وتوصي كل من إدارات الأمن السيبراني في الولايات المتحدة والمملكة المتحدة باستخدام كلمات مرور طويلة وسهلة التذكر بدلاً من كلمات المرور القصيرة والمعقدة. [ 30 ] [ 31 ]

ازدادت التوصيات المتعلقة بطول كلمات المرور على مر السنين. ففي عام 1999، كان يُعتبر الحد الأدنى 6 أحرف، ولم تكن العديد من أنظمة التشغيل الرئيسية تدعم كلمات مرور أطول من 8 أحرف. [ 32 ] وفي العقد الأول من الألفية الثانية، كانت التوصيات تشير إلى أن الحد الأدنى لطول كلمة المرور هو حوالي 8 أحرف، عند استخدام مزيج من الأحرف والأرقام والرموز؛ مع العلم أنه حتى في ذلك الوقت، كان يُعتبر طول كلمة المرور المثالي حوالي 14 حرفًا. [ 33 ] اعتبارًا من عام 2026توصي NIST بكلمات مرور لا تقل عن 15 حرفًا. [ 5 ]

حدد خبراء الأمن أنماطًا وعادات معينة تُسهّل اختراق كلمة مرورك أو تخمينها بشكل كبير. في مقاله المنشور عام 2007 في مجلة Wired، ينصح بروس شناير بإدخال رموز أو أرقام في منتصف كلمة المرور (بدلاً من نهايتها أو بدايتها)، وتجنب الاستبدالات الشائعة - أي، إذا أردت استبدال حرف بعلامة الدولار ($)، فاختر حرفًا آخر غير "s"؛ وإذا أردت استبدال حرف بالرقم واحد (1)، فاختر حرفًا آخر غير حرف اللام الصغير (l). [ 34 ]

كانت إرشادات كلمات المرور تركز سابقًا على تضمين أنواع معينة من الرموز (مثل اشتراط استخدام الأحرف الكبيرة والصغيرة والأرقام وعلامات الترقيم)، وقد دعمت العديد من المواقع والأنظمة البارزة تطبيق قواعد مختلفة ذات صلة. مع ذلك، ينتج عن ذلك كلمات مرور يصعب تذكرها، ويُشتت التركيز عن أهم عنصر في أي كلمة مرور آمنة: طولها. [ 5 ] وقد يُسهّل ذلك اختراقها. [ 20 ] علاوة على ذلك، فإن فرض كلمات مرور مثل "pqZ%rw5j" يُضيف نقاط ضعف أخرى، مثل صعوبة تذكرها.

كما أكدت التوجيهات السابقة على تجنب تكرار الأحرف، وأنماط لوحة المفاتيح، وكلمات القاموس، وأسماء الأقارب أو الحيوانات الأليفة، والمعلومات الشخصية، وأجزاء من اسم المستخدم، والأحرف أو الأرقام المتسلسلة. وقد دعت شركات التكنولوجيا الكبرى في أوقات مختلفة إلى استخدام كلمات مرور تعتمد على تقنيات محددة اعتبارًا من عام 2026.هذه المعلومات قديمة. في عام 2008، أوصت جوجل بتضمين جميع المعلومات المذكورة أعلاه عند إنشاء كلمة المرور الخاصة بك. [ 35 ]

اعتبارًا من عام 2026لم تعد مؤسسة NIST توصي باستخدام الأحرف والأرقام الخاصة في كلمات المرور. فبينما يُصعّب إضافتها تخمين كلمة المرور، إلا أنها قد تُوهم المستخدمين بأن كلمات المرور الأقصر آمنة. تُذكّر NIST المستخدمين بأن أهم ما يُميّز كلمة المرور هو طولها. [ 5 ] على سبيل المثال، إذا اخترت عبارة المرور "My son Aiden is three years old"، فلا تختصرها إلى "msaityo"، بل استخدمها كما هي: "mysonaidenis3yearsold"، وهي كلمة مرور مكونة من 21 حرفًا.

مع تطور تقنيات التشفير، اكتسبت النصائح التي توصي باستخدام عبارات مرور أطول لا تحتوي على علامات ترقيم خاصة سوى المسافات (مثل "cassette lava baby") رواجًا. فهي أسهل في التذكر، كما يصعب اختراقها نظرًا لطولها. وقد أقرّ خبراء الأمن بأن الناس يميلون إلى تدوين كلمات مرورهم، لذا من الأفضل ألا تكون سهلة التعرّف عليها فورًا. [ 5 ]

كانت مواقع الويب تقدم "أسئلة سرية" (مثل "ما اسم حيوانك الأليف الأول؟") لاستعادة كلمات المرور المنسية. ومع ذلك، كانت هذه الآليات أسهل اختراقاً في كثير من الأحيان من كلمات المرور نفسها. [ 34 ]

كما دعمت العديد من الأنظمة أو فرضت استبدال كلمات المرور بشكل مستمر. كان يُعتقد أن هذا يزيد من الأمان، لكنه غالبًا ما حقق عكس ذلك، حيث كان المستخدمون يضيفون ببساطة عددًا متزايدًا من الأحرف إلى كلمة مرورهم المفضلة ("teddy1"، "teddy2"، "teddy3"، ...)، مما لا يؤدي إلى زيادة حقيقية في قوة كلمة المرور، بل يزيد بشكل كبير من احتمالية نسيانها.

رجل فريد

ينصح خبراء الأمن بأن يكون لكل حساب كلمة مرور مختلفة. فاستخدام كلمات مرور متعددة لحسابات مختلفة يزيد من خطر الاختراق في حال تعرض إحدى الخدمات لهجوم.

كان فرض استخدام الأحرف الصغيرة والكبيرة والأرقام والرموز في كلمات المرور سياسة شائعة، ولكن تبيّن أنها تُضعف الأمان، إذ تُسهّل اختراقها. وقد أظهرت الأبحاث مدى سهولة التنبؤ بالاستخدام الشائع لهذه الرموز، ولذا تنصح إدارات الأمن السيبراني في الولايات المتحدة [ 20 ] والمملكة المتحدة [ 36 ] بعدم فرض استخدامها في سياسات كلمات المرور. كما أن الرموز المعقدة تُصعّب تذكّر كلمات المرور، مما يزيد من كتابتها وإعادة تعيينها وإعادة استخدامها، وكل ذلك يُضعف أمان كلمات المرور بدلًا من تحسينه. [ 19 ] وقد اعتذر بيل بور، واضع قواعد تعقيد كلمات المرور، واعترف بأنها تُضعف الأمان، كما أظهرت الأبحاث؛ وقد نُشر هذا على نطاق واسع في وسائل الإعلام عام 2017. [ 37 ] كما يُؤيد باحثو الأمن الإلكتروني [ 38 ] والاستشاريون هذا التغيير [ 39 ] في أفضل ممارسات نصائح كلمات المرور. على الرغم من ذلك، لا تزال متطلبات التعقيد في سياسات كلمات المرور منتشرة على نطاق واسع: فقد وجدت دراسة أجريت عام 2023 على 20000 موقع ويب أن حوالي 20% منها لا تزال تشترط أن تحتوي كلمات المرور على أحرف من فئتين على الأقل من فئات الأحرف. [ 40 ]

تُوصي بعض التوصيات بعدم تدوين كلمات المرور، بينما تُشجع توصيات أخرى، نظرًا لكثرة الأنظمة المحمية بكلمات مرور التي يجب على المستخدمين الوصول إليها، على تدوين كلمات المرور شريطة حفظ قوائم كلمات المرور المكتوبة في مكان آمن. [ 21 ] ويوصي المركز الوطني للأمن السيبراني باستخدام مدير كلمات المرور . [ 41 ]

يمكن تقييد مجموعة الأحرف الممكنة لكلمة المرور من خلال مواقع الويب المختلفة أو من خلال نطاق لوحات المفاتيح التي يجب إدخال كلمة المرور عليها. [ 42 ]

أمثلة على كلمات مرور ضعيفة

كما هو الحال مع أي إجراء أمني، تختلف كلمات المرور في قوتها؛ فبعضها أضعف من غيرها. على سبيل المثال، قد يُكلف الفرق في القوة بين كلمة من القاموس وكلمة مُشفرة (كأن تُستبدل حروف كلمة المرور بأرقام مثلاً -وهو أسلوب شائع) جهازَ اختراق كلمات المرور بضع ثوانٍ إضافية؛ وهذا لا يُضيف قوة تُذكر. تُوضح الأمثلة أدناه طرقًا مختلفة لإنشاء كلمات مرور ضعيفة، وكلها تعتمد على أنماط بسيطة تُؤدي إلى انخفاض كبير في الإنتروبيا، مما يسمح باختبارها تلقائيًا بسرعات عالية: [ 13 ]

  • كلمات المرور الافتراضية (كما هو موضح من قبل بائع النظام والمفترض تغييرها وقت التثبيت): كلمة المرور ، الافتراضي ، المسؤول ، الضيف ، إلخ. تتوفر قوائم كلمات المرور الافتراضية على نطاق واسع على الإنترنت.
  • إعادة استخدام كلمات المرور: يجب أن تكون كلمات المرور فريدة لكل حساب على حدة. ولا يوفر تغيير كلمات المرور المعاد استخدامها، مثل تغيير بعض الأحرف أو الأرقام، مستوى أمان كافياً.
  • كلمات القاموس: الحرباء ، ريد سوكس ، أكياس الرمل ، قفزة الأرنب!، شجرة السلطعون المكثفة ، إلخ ، بما في ذلك الكلمات الموجودة في القواميس غير الإنجليزية.
  • يمكن اختبار الكلمات التي تحتوي على أرقام ملحقة: password1 ، deer2000 ، john1234 ، إلخ، بسهولة تلقائيًا مع القليل من الوقت الضائع.
  • يمكن اختبار كلمات المرور المُعدّلة (الكلمات التي تم تشفيرها بشكل بسيط): مثل p@ssw0rd و l33th4x0r و g0ldf1sh ، وغيرها، تلقائيًا بجهد إضافي بسيط. على سبيل المثال، أفادت التقارير أن كلمة مرور مسؤول نطاق تم اختراقها في هجوم DigiNotar كانت Pr0d@dm1n. [ 43 ]
  • الكلمات المكررة: crabcrab ، stopstop ، treetree ، passpass ، إلخ.
  • التسلسلات الشائعة من صف لوحة المفاتيح: qwerty ، 123456 ، asdfgh ، إلخ. بما في ذلك التسلسلات القطرية أو العكسية (qazplm، ytrewq، إلخ).
  • المتتاليات العددية القائمة على أرقام معروفة مثل 911 ( 9-1-1 ، 9/11 ) ، 314159... ( π ) ، 27182... ( e ) ، 112 ( 1-1-2 ) ، إلخ.
  • المعرفات: jsmith123 ، 1/1/1970 ، 555–1234 ، اسم المستخدم، إلخ.
  • كلمات المرور الضعيفة بلغات غير الإنجليزية، مثل contraseña (الإسبانية) و ji32k7au4a83 (ترميز لوحة المفاتيح bopomofo من الصينية) [ 44 ]
  • يمكن بسهولة اختبار أي شيء يتعلق شخصيًا بفرد ما: رقم لوحة السيارة، رقم الضمان الاجتماعي، أرقام الهواتف الحالية أو السابقة، هوية الطالب، العنوان الحالي، العناوين السابقة، تاريخ الميلاد، الفريق الرياضي، أسماء الأقارب أو الحيوانات الأليفة (أو الألقاب، تواريخ الميلاد، الأحرف الأولى، إلخ) تلقائيًا بعد إجراء تحقيق بسيط في تفاصيل الشخص.
  • التواريخ: تتبع التواريخ نمطاً معيناً، مما يجعل كلمة مرورك ضعيفة.
  • أسماء مواقع معروفة: نيويورك، تكساس، الصين، لندن، إلخ.
  • أسماء العلامات التجارية، والمشاهير، والفرق الرياضية، والفرق الموسيقية، والبرامج التلفزيونية، والأفلام، وما إلى ذلك.
  • كلمات المرور القصيرة: حتى لو لم تكن كلمة المرور تحتوي على أي من نقاط الضعف المذكورة أعلاه، فإذا كانت قصيرة جدًا، يمكن اختراقها بسهولة.

هناك العديد من الطرق الأخرى التي يمكن أن تكون بها كلمة المرور ضعيفة، [ 45 ] بما يتوافق مع نقاط قوة مخططات الهجوم المختلفة؛ المبدأ الأساسي هو أن كلمة المرور يجب أن تتمتع بإنتروبيا عالية (عادة ما تعتبر مكافئة للعشوائية) ولا يمكن استنتاجها بسهولة من خلال أي نمط "ذكي"، كما لا ينبغي خلط كلمات المرور بمعلومات تحدد هوية المستخدم.

إعادة النظر في توصيات كلمات المرور

في عام 2012، وكما وصفه ويليام تشيسويك في مقالٍ له في مجلة ACM، كان التركيز الأساسي لأمن كلمات المرور على استخدام كلمات مرور أبجدية رقمية تتكون من ثمانية أحرف أو أكثر. وقد استنتج الباحثون أن مثل هذه الكلمات قادرة على مقاومة عشرة ملايين محاولة اختراق في الثانية الواحدة لمدة 252 يومًا. إلا أنه بفضل معالجات الرسوميات (GPUs) المتوفرة آنذاك، انخفضت هذه المدة إلى حوالي تسع ساعات فقط، نظرًا لمعدل اختراق يصل إلى سبعة مليارات محاولة في الثانية. وقُدِّر أن كلمة مرور مكونة من 13 حرفًا قادرة على الصمود أمام محاولات الاختراق التي تحسبها معالجات الرسوميات لأكثر من 900 ألف عام. [ 46 ] [ 47 ]

في سياق تكنولوجيا الأجهزة لعام 2023، أصبح معيار عام 2012 لكلمات المرور المكونة من ثمانية أحرف وأرقام عرضةً للاختراق، حيث يمكن اختراقها في غضون ساعات قليلة. بينما انخفض الوقت اللازم لاختراق كلمة مرور مكونة من 13 حرفًا إلى بضع سنوات. وبالتالي، فقد تغير التركيز الحالي. لم يعد يُقاس مدى قوة كلمة المرور بمدى تعقيدها فحسب، بل بطولها أيضًا، مع توصيات تميل نحو كلمات مرور تتكون من 13 إلى 16 حرفًا على الأقل. شهد هذا العصر أيضًا بروز المصادقة متعددة العوامل (MFA) كإجراء تحصيني بالغ الأهمية. كما ساهم ظهور برامج إدارة كلمات المرور وانتشار استخدامها على نطاق واسع في مساعدة المستخدمين على إنشاء مجموعة من كلمات المرور القوية والفريدة والحفاظ عليها. [ 48 ]

سياسة كلمات المرور

سياسة كلمات المرور هي دليل لاختيار كلمات مرور مناسبة. وهي تهدف إلى:

  • مساعدة المستخدمين في اختيار كلمات مرور قوية
  • تأكد من أن كلمات المرور مناسبة للفئة المستهدفة
  • تقديم توصيات للمستخدمين بشأن كيفية التعامل مع كلمات المرور الخاصة بهم
  • فرض توصية بتغيير أي كلمة مرور مفقودة أو يُشتبه في اختراقها
  • استخدم قائمة سوداء لكلمات المرور لمنع استخدام كلمات المرور الضعيفة أو التي يسهل تخمينها.

كانت سياسات كلمات المرور السابقة تحدد الأحرف التي يجب أن تحتويها كلمات المرور، مثل الأرقام والرموز والأحرف الكبيرة والصغيرة. ورغم استمرار العمل بهذه السياسة، فقد أثبتت الأبحاث الجامعية [ 49 ] ، والجهة التي وضعتها [ 50 ] ، وإدارات الأمن السيبراني (وغيرها من الهيئات الأمنية الحكومية ذات الصلة [ 51 ] ) في الولايات المتحدة [ 20 ] والمملكة المتحدة [52] أنها أقل أمانًا. وكانت منصات كبرى مثل جوجل [ 53 ] وفيسبوك [ 54 ] تستخدم سابقًا قواعد تعقيد كلمات المرور التي تفرض استخدام رموز معينة، لكنها ألغت هذا الشرط بعد اكتشاف أنها في الواقع تُضعف الأمان. ويعود ذلك إلى أن العنصر البشري يُشكل خطرًا أكبر بكثير من الاختراق، وأن فرض التعقيد يدفع معظم المستخدمين إلى أنماط يسهل التنبؤ بها (مثل وضع رقم في النهاية، أو استبدال الحرف E بالرقم 3، إلخ)، مما يُسهل اختراق كلمات المرور. لذا، يُعدّ تبسيط كلمات المرور وطولها (عبارات المرور) أفضل الممارسات الحالية، ويُنصح بتجنب التعقيد. كما أن قواعد التعقيد المفروضة تزيد من تكاليف الدعم، وتزيد من صعوبة استخدام النظام، وتثني المستخدمين عن التسجيل.

كانت خاصية انتهاء صلاحية كلمة المرور موجودة في بعض سياسات كلمات المرور القديمة، ولكن تم دحضها [ 37 ] باعتبارها أفضل الممارسات، وهي غير مدعومة من قبل حكومتي الولايات المتحدة الأمريكية والمملكة المتحدة، أو من قبل شركة مايكروسوفت التي أزالت [ 55 ] خاصية انتهاء صلاحية كلمة المرور. وكانت خاصية انتهاء صلاحية كلمة المرور سابقًا تهدف إلى تحقيق غرضين: [ 56 ]

  • إذا كان الوقت المقدر لاختراق كلمة المرور هو 100 يوم، فإن أوقات انتهاء صلاحية كلمة المرور الأقل من 100 يوم قد تساعد في ضمان عدم كفاية الوقت للمهاجم.
  • إذا تم اختراق كلمة المرور، فإن اشتراط تغييرها بانتظام قد يحد من وقت وصول المهاجم.

ومع ذلك، فإن انتهاء صلاحية كلمة المرور له عيوبه: [ 57 ] [ 58 ]

  • إن مطالبة المستخدمين بتغيير كلمات المرور بشكل متكرر تشجع على استخدام كلمات مرور بسيطة وضعيفة.
  • إذا كان لديك كلمة مرور قوية حقاً، فلا داعي لتغييرها. تغيير كلمات المرور القوية أصلاً يُعرّضك لخطر أن تكون كلمة المرور الجديدة أضعف.
  • من المرجح أن يستخدم المهاجم كلمة المرور المخترقة فورًا لتثبيت باب خلفي ، غالبًا عبر رفع مستوى الصلاحيات . وبمجرد حدوث ذلك، لن تمنع تغييرات كلمة المرور المهاجمين المستقبليين من الوصول إليها.
  • إن الانتقال من عدم تغيير كلمة المرور مطلقًا إلى تغييرها في كل محاولة مصادقة (سواء نجحت أم فشلت) لا يؤدي إلا إلى مضاعفة عدد المحاولات التي يجب على المهاجم القيام بها في المتوسط ​​قبل تخمين كلمة المرور في هجوم القوة الغاشمة. وبالتالي، فإن زيادة طول كلمة المرور بحرف واحد فقط تُحقق أمانًا أكبر بكثير من تغييرها في كل مرة.

إنشاء كلمات المرور وإدارتها

أصعب كلمات المرور اختراقًا، بالنسبة لطول ومجموعة أحرف محددة، هي سلاسل الأحرف العشوائية؛ فإذا كانت طويلة بما يكفي، فإنها تقاوم هجمات القوة الغاشمة (لكثرة الأحرف) وهجمات التخمين (بسبب ارتفاع مستوى العشوائية). مع ذلك، عادةً ما تكون هذه الكلمات هي الأصعب تذكرًا. قد يشجع فرض شرط استخدام مثل هذه الكلمات في سياسة كلمات المرور المستخدمين على تدوينها، أو تخزينها في أجهزتهم المحمولة ، أو مشاركتها مع الآخرين كإجراء وقائي ضد فقدان الذاكرة. بينما يرى البعض أن كلًا من هذه الإجراءات يزيد من المخاطر الأمنية، يشير آخرون إلى سخافة توقع أن يتذكر المستخدمون كلمات مرور معقدة ومختلفة لكل حساب من عشرات الحسابات التي يستخدمونها. على سبيل المثال، في عام 2005، أوصى خبير الأمن بروس شناير بتدوين كلمة المرور.

ببساطة، لم يعد بإمكان الناس تذكر كلمات مرور قوية بما يكفي للدفاع بشكل موثوق ضد هجمات القاموس، ويكونون أكثر أمانًا إذا اختاروا كلمة مرور معقدة يصعب تذكرها ثم قاموا بتدوينها. جميعنا بارعون في حفظ الأوراق الصغيرة. أنصح بكتابة كلمات المرور على ورقة صغيرة، والاحتفاظ بها مع أوراقهم الصغيرة الثمينة الأخرى: في المحفظة. [ 21 ]

قد تساهم الإجراءات التالية في زيادة قبول متطلبات كلمات المرور القوية إذا تم استخدامها بعناية:

  • برنامج تدريبي. بالإضافة إلى تدريب محدّث لأولئك الذين لا يلتزمون بسياسة كلمات المرور (كلمات المرور المفقودة، كلمات المرور غير الكافية، إلخ).
  • مكافأة مستخدمي كلمات المرور القوية بتقليل معدل تغيير كلمات المرور أو إلغائه تمامًا (انتهاء صلاحية كلمة المرور). ويمكن تقدير قوة كلمات المرور التي يختارها المستخدمون بواسطة برامج آلية تفحص وتقيّم كلمات المرور المقترحة عند تعيين كلمة مرور أو تغييرها.
  • عرض تاريخ ووقت آخر تسجيل دخول لكل مستخدم على أمل أن يلاحظ المستخدم الوصول غير المصرح به، مما يشير إلى اختراق كلمة المرور.
  • يُتيح النظام للمستخدمين إعادة تعيين كلمات مرورهم تلقائيًا، مما يُقلل من حجم المكالمات الواردة إلى قسم الدعم الفني . مع ذلك، تُعاني بعض الأنظمة من عدم الأمان؛ فعلى سبيل المثال، تُؤدي الإجابات التي يُمكن تخمينها أو البحث عنها بسهولة لأسئلة إعادة تعيين كلمة المرور إلى إهدار مزايا نظام كلمات المرور القوي.
  • استخدام كلمات مرور يتم إنشاؤها عشوائياً ولا تسمح للمستخدمين باختيار كلمات المرور الخاصة بهم، أو على الأقل تقديم كلمات مرور يتم إنشاؤها عشوائياً كخيار.

تقنيات الذاكرة

تقترح سياسات كلمات المرور أحيانًا تقنيات للذاكرة للمساعدة في تذكر كلمات المرور:

  • كلمات المرور التذكيرية: يبتكر بعض المستخدمين عبارات تذكيرية ويستخدمونها لإنشاء كلمات مرور عشوائية إلى حد ما، ولكنها مع ذلك سهلة التذكر نسبيًا. على سبيل المثال، الحرف الأول من كل كلمة في عبارة يسهل تذكرها. تشير التقديرات إلى أن قوة كلمات المرور من هذا النوع تبلغ حوالي 3.7 بت لكل حرف، مقارنةً بـ 6.6 بت لكلمات المرور العشوائية المكونة من أحرف ASCII القابلة للطباعة. [ 59 ] قد تكون الكلمات غير المألوفة أسهل تذكرًا. [ 60 ] هناك طريقة أخرى لجعل كلمات المرور ذات المظهر العشوائي أسهل تذكرًا، وهي استخدام كلمات أو مقاطع عشوائية بدلًا من الأحرف المختارة عشوائيًا.
  • العبارات التذكيرية اللاحقة: بعد تحديد كلمة المرور، ابتكر عبارة تذكيرية مناسبة. [ 61 ] لا يشترط أن تكون العبارة منطقية أو معقولة، بل يكفي أن تكون سهلة التذكر. وهذا يسمح بأن تكون كلمات المرور عشوائية.
  • التمثيلات المرئية لكلمات المرور: تُحفظ كلمة المرور بناءً على تسلسل المفاتيح المضغوطة، وليس على قيم المفاتيح نفسها، على سبيل المثال، يُمثل التسلسل !qAsdE#2 شكلًا معينيًا على لوحة مفاتيح أمريكية. تُسمى طريقة إنشاء كلمات المرور هذه PsychoPass. [ 62 ] كلمات المرور المُنتجة بهذه الطريقة أضعف بكثير مما يوحي به طولها، لأن المفاتيح المتتالية ليست مستقلة، كما أن تسلسلات لوحة المفاتيح الشائعة مُدرجة في قواميس كلمات المرور. ولكن يُمكن إدخال بعض التحسينات. [ 63 ] [ 64 ]
  • أنماط كلمات المرور: أي نمط في كلمة المرور يجعل التخمين (آليًا أو غير آلي) أسهل ويقلل من عامل عمل المهاجم.
    • على سبيل المثال، تُسمى كلمات المرور التي تأتي على النحو التالي (دون مراعاة حالة الأحرف): حرف ساكن، حرف متحرك، حرف ساكن، حرف ساكن، حرف متحرك، حرف ساكن، رقم، رقم (مثل pinray45 ) بكلمات مرور Environ. وقد صُمم نمط الأحرف الساكنة والمتحركة بالتناوب لجعل كلمات المرور أسهل في النطق، وبالتالي أسهل في التذكر. يُقلل هذا النمط بشكل كبير من عشوائية معلومات كلمة المرور ، مما يجعل هجمات التخمين العشوائي أكثر فعالية. في المملكة المتحدة، في أكتوبر 2005، نُصح موظفو الحكومة البريطانية باستخدام كلمات مرور بهذا الشكل.

مديري كلمات المرور

يُعدّ تسجيل كلمات المرور في برنامج إدارة كلمات المرور حلاً وسطاً مناسباً للتعامل مع عدد كبير من كلمات المرور، والذي يتضمن تطبيقات مستقلة، أو إضافات لمتصفحات الويب، أو برنامجاً مدمجاً في نظام التشغيل. يسمح برنامج إدارة كلمات المرور للمستخدم باستخدام مئات كلمات المرور المختلفة، مع ضرورة تذكر كلمة مرور واحدة فقط، وهي التي تفتح قاعدة بيانات كلمات المرور المشفرة. [ 65 ] وبطبيعة الحال، يجب أن تكون هذه الكلمة قوية ومحمية جيداً (غير مسجلة في أي مكان). تستطيع معظم برامج إدارة كلمات المرور إنشاء كلمات مرور قوية تلقائياً باستخدام مولد كلمات مرور عشوائي آمن تشفيرياً ، بالإضافة إلى حساب إنتروبيا كلمة المرور المُنشأة. يوفر برنامج إدارة كلمات المرور الجيد حماية ضد هجمات مثل تسجيل ضغطات المفاتيح ، وتسجيل محتويات الحافظة، وتقنيات التجسس على الذاكرة الأخرى.

انظر أيضاً

مراجع

  1. "نصيحة الأمن السيبراني ST04-002" . اختيار كلمات المرور وحمايتها . مركز الاستجابة للطوارئ الحاسوبية الأمريكي (US CERT). 21 مايو 2009. مؤرشف من الأصل في 7 يوليو 2009. تم الاطلاع عليه في 20 يونيو 2009 .
  2. جورج، تورستن (31 يناير 2019). "لماذا لا تكفي أسماء المستخدمين وكلمات المرور | SecurityWeek.Com" . SecurityWeek . مؤرشف من الأصل في 4 ديسمبر 2020. تم الاطلاع عليه في 31 أكتوبر 2020 .
  3. «دراسة أمنية تكشف أن الملايين يستخدمون كلمة المرور 123456» . بي بي سي نيوز . 21 أبريل 2019. مؤرشف من الأصل في 26 أبريل 2019. تم الاطلاع عليه في 24 أبريل 2019 .
  4. «الكشف عن أكثر كلمات المرور اختراقاً: مسح إلكتروني بريطاني يكشف عن ثغرات في الأمن الإلكتروني» . المركز الوطني للأمن السيبراني . 21 أبريل 2019. تاريخ الاطلاع: 30 مايو 2026 .
  5. 1 2 3 4 5 6 7 8 "SP 800-63 – دليل المصادقة الإلكترونية" (ملف PDF) . المعهد الوطني للمعايير والتكنولوجيا (NIST). مؤرشف من النسخة الأصلية (ملف PDF) بتاريخ 12 يوليو 2004. تم الاطلاع عليه بتاريخ 20 أبريل 2014 .
  6. ١ ٢ "مشاكل التيرافلوب: قوة وحدات معالجة الرسومات قد تهدد نظام أمان كلمات المرور العالمي" . معهد جورجيا للتكنولوجيا للأبحاث . مؤرشف من الأصل بتاريخ ٣٠ ديسمبر ٢٠١٠. تم الاطلاع عليه بتاريخ ٧ نوفمبر ٢٠١٠ .
  7. ↑ براءة الاختراع الأمريكية رقم 7929707 ، أندريه ف. بيلينكو، "استخدام معالجات الرسومات كمعالجات رياضية متوازية لاستعادة كلمة المرور"، الصادرة في 19-04-2011، والمخصصة لشركة Elcomsoft المحدودة. 
  8. Elcomsoft.com مؤرشف بتاريخ 17-10-2006 في Wayback Machine ،جدول سرعة استعادة كلمات مرور ElcomSoft ، كلمات مرور NTLM ، وحدة معالجة الرسومات Nvidia Tesla S1070، تم الوصول إليه بتاريخ 1-02-2011
  9. برنامج Elcomsoft Wireless Security Auditor، معالج الرسوميات HD5970. مؤرشف بتاريخ 19 فبراير 2011 على موقع Wayback Machine، تاريخ الوصول: 11 فبراير 2011
  10. جيمس ماسي (1994). "التخمين والإنتروبيا" (ملف PDF) . وقائع ندوة IEEE الدولية لنظرية المعلومات لعام 1994. IEEE. ص 204. مؤرشف (ملف PDF) من الأصل بتاريخ 1 يناير 2014. تم الاطلاع عليه بتاريخ 12 يوليو 2019 . 
  11. شناير، ب: التشفير التطبيقي ، الطبعة الثانية، الصفحة 233 وما بعدها. جون وايلي وأولاده.
  12. فلورنسيو، ديني؛ هيرلي، كورماك (8 مايو 2007). "دراسة واسعة النطاق لعادات كلمات مرور الويب" (ملف PDF) . وقائع المؤتمر الدولي السادس عشر حول شبكة الويب العالمية . ص 657. doi : 10.1145/1242572.1242661 . ISBN  9781595936547. S2CID 10648989 . مؤرشف (PDF) من الأصل في 27 مارس 2015. 
  13. 1 2 بورنيت، مارك (2006). كلايمان، ديف (محرر). كلمات مرور مثالية . روكلاند، ماساتشوستس: دار نشر سينغريس. ص 181. ISBN  978-1-59749-041-2.
  14. بروس شناير (14 ديسمبر 2006). "كلمات مرور ماي سبيس ليست غبية كما تبدو" . مجلة وايرد. مؤرشف من الأصل في 21 مايو 2014. تم الاطلاع عليه في 11 أبريل 2008 .
  15. ↑ " العب إنترلاند - كن رائعًا على الإنترنت" . تم الاطلاع عليه بتاريخ 10 سبتمبر 2024 .
  16. مات وير؛ سوسدير أغاروال؛ مايكل كولينز؛ هنري ستيرن (7 أكتوبر 2010). "اختبار مقاييس سياسات إنشاء كلمات المرور من خلال مهاجمة مجموعات كبيرة من كلمات المرور المكشوفة" (ملف PDF) . مؤرشف من الأصل في 6 يوليو 2012. تم الاطلاع عليه في 21 مارس 2012 .
  17. "SP 800-63-3 – إرشادات الهوية الرقمية" (ملف PDF) . المعهد الوطني للمعايير والتكنولوجيا. يونيو 2017. مؤرشف من الأصل في 6 أغسطس 2017. تم الاطلاع عليه في 6 أغسطس 2017 .
  18. أ. آلان. "كلمات المرور على وشك الانهيار" (ملف PDF) . غارتنر. مؤرشف من الأصل (ملف PDF) بتاريخ 27 أبريل 2006. تم الاطلاع عليه بتاريخ 10 أبريل 2008 .
  19. 1 2 نورمان، دونالد (2009-11-01). "عندما يعيق الأمن الطريق". تفاعلات ACM . 16 (6): 60-63 . doi : 10.1145/1620693.1620708 . تُجسّد كلمات المرور العديد من الصعوبات التي تواجه الأساليب الحالية لفرض الأمن. تُعدّ كلمات المرور أقلّ الآليات تكلفةً المعروفة لتأمين الأنظمة. لكنّ متطلبات كلمات المرور المُرهقة تُقلّل من الأمن وتزيد من التكاليف. فهي تُقلّل من الأمن لأنّ الكثير من الأشخاص إمّا يستخدمون خوارزميات بسيطة لإنشاء كلمات مرور يسهل تذكّرها، أو يكتبون كلمات مرورهم ويخزّنونها في أماكن يسهل الوصول إليها. كما أنّها تزيد من التكاليف لأنّه يجب توفير موظفين لمكاتب الدعم للتعامل مع العدد الكبير من المستخدمين الذين نسوا كلمات مرورهم ولم يعودوا قادرين على تسجيل الدخول. هذه المتطلبات تمنع المستخدمين الأخيار من الوصول دون ردع المُخترقين.
  20. 1 2 3 4 5 غراسي، بول أ.؛ فينتون، جيمس ل.؛ نيوتن، إيلين م.؛ بيرلنر، راي أ.؛ ريغنشايد، أندرو ر.؛ بور، ويليام إي.؛ ريتشر، جاستن ب.؛ ليفكوفيتز، نعومي ب.؛ دانكر، جيمي م.؛ تشونغ، يي-ين؛ غرين، كريستين ك.؛ ثيوفانوس، ماري ف. (2017). "منشور خاص 800-63ب - إرشادات الهوية الرقمية" . المعهد الوطني للمعايير والتكنولوجيا . doi : 10.6028/NIST.SP.800-63b . مؤرشف من الأصل في 21 أبريل 2017. تم الاسترجاع في 17 مايو 2021 .
  21. ١ ٢ ٣ بروس شناير (١٧ يونيو ٢٠٠٥). "شناير حول الأمن" . دوّن كلمة مرورك . مؤرشف من الأصل في ١٣ أبريل ٢٠٠٨. تم الاطلاع عليه في ١٠ أبريل ٢٠٠٨ .
  22. 1 2 فلورينسيو، ديني؛ هيرلي، كورماك؛ كوسكون، باريس (2007). هل تُحقق كلمات المرور القوية على الإنترنت أي فائدة؟ (ملف PDF) . ورشة عمل USENIX الثانية حول المواضيع الساخنة في مجال الأمن . بوسطن، ماساتشوستس.
  23. متطلبات العشوائية للأمان . IETF . doi : 10.17487/RFC4086 . RFC 4086 .
  24. "هل تريد ردع المتسللين؟ اجعل كلمة مرورك أطول" . أخبار إن بي سي . ١٩ أغسطس ٢٠١٠. مؤرشف من الأصل في ١١ يوليو ٢٠١٣. تم الاطلاع عليه في ٧ نوفمبر ٢٠١٠ .
  25. "آلة EFF DES Cracker تُضفي المصداقية على نقاش العملات الرقمية" . EFF. مؤرشف من الأصل في 1 يناير 2010. تم الاطلاع عليه في 27 مارس 2008 .
  26. "حالة مشروع المفتاح 64 بت" . Distributed.net. مؤرشف من الأصل في 10 سبتمبر 2013. تم الاطلاع عليه في 27 مارس 2008 .
  27. "حالة مشروع المفتاح ذي 72 بت" . Distributed.net. مؤرشف من الأصل في 9 أكتوبر 2018. تم الاطلاع عليه في 12 أكتوبر 2011 .
  28. بروس شناير. "الخداع: علامة تحذير رقم 5: أطوال مفاتيح سخيفة" . مؤرشف من الأصل في 18 أبريل 2008. تم الاطلاع عليه في 27 مارس 2008 .
  29. "الحوسبة الكمومية وكسر التشفير" . ستاك أوفرفلو. 27-05-2011. مؤرشف من الأصل في 21-05-2013 . تم الاطلاع عليه في 17-03-2013 .
  30. "سياسة كلمات المرور - تحديث نهجك" . المركز الوطني للأمن السيبراني في المملكة المتحدة. مؤرشف من الأصل بتاريخ 17 مايو 2021. تم الاطلاع عليه بتاريخ 17 مايو 2021 .
  31. "اختيار كلمات المرور وحمايتها" . وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA). ١٨ نوفمبر ٢٠١٩. تاريخ الاسترجاع: ١٠ أكتوبر ٢٠٢٣ .
  32. جامعة ميريلاند، اختيار كلمة مرور جيدة، مؤرشفة بتاريخ 14 يونيو 2014 في أرشيف الإنترنت (Wayback Machine).
  33. شركة مايكروسوفت، كلمات المرور القوية: كيفية إنشائها واستخدامها. مؤرشفة بتاريخ 1 يناير 2008 في أرشيف الإنترنت (Wayback Machine).
  34. ١ ٢ http://www.wired.com/news/columns/1,72458-0.html مؤرشف بتاريخ ١٣ يناير ٢٠٠٧ في أرشيف الإنترنت
  35. جوجل، ما مدى أمان كلمة مرورك؟ مؤرشف بتاريخ ٢٢ فبراير ٢٠٠٨ في أرشيف الإنترنت
  36. "إدارة كلمات المرور لأصحاب الأنظمة" . المركز الوطني للأمن السيبراني في المملكة المتحدة. مؤرشف من الأصل بتاريخ 17 مايو 2021. تم الاطلاع عليه بتاريخ 17 مايو 2021 .
  37. ١ ٢ "قواعد كلمات المرور - مؤسس موقع Password Complexity يعتذر!" . مؤرشف من الأصل بتاريخ ١٧ مايو ٢٠٢١. تم الاطلاع عليه بتاريخ ١٧ مايو ٢٠٢١ .
  38. "مختبر الخصوصية والأمان القابل للاستخدام (CUPS) التابع لـ CyLab" . جامعة كارنيجي ميلون (الولايات المتحدة الأمريكية) . تم الاطلاع عليه بتاريخ 17 مايو 2021 .
  39. بروس، شناير (10 أكتوبر 2017). "تغييرات في أفضل ممارسات كلمات المرور" . شناير حول الأمن. مؤرشف من الأصل في 13 مايو 2021. تم الاطلاع عليه في 17 مايو 2021 .
  40. الرومي، سعود؛ لي، فرانك (2023). قياس سياسات إنشاء كلمات مرور مواقع الويب على نطاق واسع . وقائع مؤتمر ACM SIGSAC لعام 2023 حول أمن الحاسوب والاتصالات. رابطة آلات الحوسبة. الصفحات 3108-3122 . arXiv : 2309.03384 . doi : 10.1145/3576915.3623156 . ISBN  9798400700507.
  41. "ما رأي المركز الوطني للأمن السيبراني في برامج إدارة كلمات المرور؟" . www.ncsc.gov.uk . مؤرشف من الأصل بتاريخ 2019-03-05.
  42. على سبيل المثال، بالنسبة للوحة مفاتيح تحتوي على 17 حرفًا غير أبجدي رقمي فقط، انظر إلى صورة مكبرة لهاتف بلاك بيري. مؤرشفة بتاريخ 6 أبريل 2011 على موقع Wayback Machine دعمًا لمراجعة ساندي بيرغر لهاتف بلاك بيري تور 9630 (فيريزون) الخلوي ، في موقع Hardware Secrets (31 أغسطس 2009). مؤرشفة بتاريخ 6 أبريل 2011 على موقع Wayback Machine ، وتم الوصول إليها بتاريخ 19 يناير 2010. يشير كانهيف، في مقالته "أغبياء لأسباب مختلفة " (30 يونيو 2009) (المنشور الرئيسي)، إلى أن بعض المواقع الإلكترونية لا تسمح بالأحرف غير الأبجدية الرقمية. مؤرشفة بتاريخ 6 أبريل 2011 على موقع Wayback Machine ، وتم الوصول إليها بتاريخ 20 يناير 2010.
  43. "مخترق كومودو مسؤول عن هجوم ديجي نوتار - أخبار القرصنة" . Thehackernews.com. 2011-09-06. مؤرشف من الأصل في 2013-05-17 . تم الاطلاع عليه في 2013-03-17 .
  44. ديف باسنر (8 مارس 2019). "إليكم السبب وراء شيوع كلمة المرور 'ji32k7au4a83' بشكلٍ مفاجئ" . مؤرشف من الأصل في 25 مارس 2019. تم الاطلاع عليه في 25 مارس 2019 .
  45. بيدويل، ص 87
  46. ويليام، تشيسويك (31 ديسمبر 2012). "نسخة HTML - إعادة النظر في كلمات المرور" . جمعية آلات الحوسبة (ACM) . مؤرشف من الأصل في 23 نوفمبر 2025. تم الاطلاع عليه في 3 نوفمبر 2019 .
  47. ويليام، تشيسويك (31-12-2012). "مكتبة ACM الرقمية - إعادة التفكير في كلمات المرور" . ACM Queue . 10 (12): 50–56 . doi : 10.1145/2405116.2422416 .
  48. "تقرير حالة أمن كلمات المرور لعام 2023 | موارد Bitwarden" . Bitwarden . مؤرشف من الأصل بتاريخ 11 أكتوبر 2023. تم الاطلاع عليه بتاريخ 24 سبتمبر 2023 .
  49. "توصيات عملية لكلمات مرور أقوى وأكثر سهولة في الاستخدام تجمع بين الحد الأدنى من القوة والحد الأدنى من الطول ومتطلبات قائمة الحظر" (ملف PDF) . جامعة كارنيجي ميلون . تم الاطلاع عليه بتاريخ 17 مايو 2021 .
  50. «بيل بور، مؤسس قواعد تعقيد كلمات المرور، يعتذر!» . مؤرشف من الأصل بتاريخ 17 مايو 2021. تم الاطلاع عليه بتاريخ 17 مايو 2021 .
  51. "كلمات المرور في الخدمات الإلكترونية" . مكتب مفوض المعلومات في المملكة المتحدة (ICO). مؤرشف من الأصل في 4 مايو 2021. تم الاطلاع عليه في 17 مايو 2021 .
  52. "إرشادات كلمة المرور" (ملف PDF) . الأمن السيبراني، مقر الاتصالات الحكومية البريطانية. مؤرشف (ملف PDF) من الأصل بتاريخ 17 مايو 2021. تم الاطلاع عليه بتاريخ 17 مايو 2021 .
  53. "إنشاء كلمة مرور قوية" . جوجل. مؤرشف من الأصل بتاريخ 17 مايو 2021. تم الاطلاع عليه بتاريخ 17 مايو 2021 .
  54. "مساعدة في تسجيل الدخول وكلمة المرور" . شركة فيسبوك. مؤرشف من الأصل بتاريخ 17 مايو 2021. تم الاطلاع عليه بتاريخ 17 مايو 2021 .
  55. "الأساس الأمني ​​(النهائي) لنظامي التشغيل Windows 10 الإصدار 1903 وWindows Server الإصدار 1903" . مايكروسوفت. 23 مايو 2019. مؤرشف من الأصل في 17 مايو 2021. تم الاطلاع عليه في 17 مايو 2021 .
  56. "دفاعًا عن انتهاء صلاحية كلمات المرور" . رابطة مديري الأنظمة المحترفين. مؤرشف من الأصل في 12 أكتوبر 2008. تم الاطلاع عليه في 14 أبريل 2008 .
  57. "مشاكل فرض انتهاء صلاحية كلمات المرور بشكل دوري" . شؤون أمن المعلومات . مركز أمن المعلومات: ذراع أمن المعلومات التابع لوكالة الاستخبارات البريطانية (GCHQ). 15 أبريل 2016. مؤرشف من الأصل في 17 أغسطس 2016. تم الاطلاع عليه في 5 أغسطس 2016 .
  58. يوجين سبافورد. "خرافات الأمن وكلمات المرور" . مركز التعليم والبحث في ضمان المعلومات والأمن. مؤرشف من الأصل في 11 أبريل 2008. تم الاطلاع عليه في 14 أبريل 2008 .
  59. يوهانس كيسل؛ بينو شتاين؛ ستيفان لوكس (2017). "تحليل واسع النطاق لنصائح كلمات المرور التذكيرية" (ملف PDF) . وقائع الندوة السنوية الرابعة والعشرين لأمن الشبكات والأنظمة الموزعة (NDSS 17) . جمعية الإنترنت. مؤرشف من الأصل (ملف PDF) بتاريخ 30 مارس 2017. تم الاطلاع عليه بتاريخ 30 مارس 2017 .
  60. وسائل التذكر (إنديانابوليس، إنديانا: مركز بيبكو للتعلم، كلية الجامعة) ، تم الاطلاع عليه في 19 يناير 2010، مؤرشف في 10 يونيو 2010، في أرشيف الإنترنت (Wayback Machine).
  61. تذكر كلمات المرور (ChangingMinds.org) مؤرشف بتاريخ 21 يناير 2010 على موقع Wikiwix ، تم الاطلاع عليه بتاريخ 19 يناير 2010
  62. سيبريسو، ب؛ غاجيولي، أ؛ سيرينو، س؛ سيبريسو، س؛ ريفا، ج (2012). "كيفية إنشاء كلمات مرور قوية وسهلة التذكر" . مجلة أبحاث الإنترنت الطبية . 14 (1): e10. doi : 10.2196/jmir.1906 . PMC 3846346. PMID 22233980 .  
  63. برومن، ب؛ هيريتشكو، م؛ روزمان، إ؛ هولبل، م (2013). "تحليل أمني وتحسينات على طريقة PsychoPass" . مجلة أبحاث الإنترنت الطبية . 15 (8): e161. doi : 10.2196/jmir.2366 . PMC 3742392. PMID 23942458 .  
  64. "zxcvbn: تقدير واقعي لقوة كلمة المرور" . مدونة دروب بوكس ​​التقنية . مؤرشف من الأصل بتاريخ 2015-04-05.
  65. "مدير كلمات المرور الجديد للإمبراطور: تحليل أمني لمديري كلمات المرور عبر الإنترنت | قسم الهندسة الكهربائية وعلوم الحاسوب في جامعة كاليفورنيا، بيركلي" . www2.eecs.berkeley.edu . تاريخ الاسترجاع: 1 أكتوبر 2023 .