حماية

كلمات مرور قوية لا تُنسى: كيفية استخدام مولد كلمات المرور بشكل صحيح

نُشر في ٢٢ أبريل ٢٠٢٦ - ٦ دقائق قراءة

قواعد كلمات المرور التي قدمها لك البنك عام ٢٠٠٨ خاطئة. أما الملاحظة اللاصقة أسفل لوحة المفاتيح فهي مجرد مزحة معروفة. وقد سحب المعهد الوطني للمعايير والتكنولوجيا (NIST) نصيحة تغيير كلمات المرور كل ٩٠ يومًا بهدوء منذ سنوات لأنها كانت تُعرّض الأمن للخطر. أسوأليس أفضل. ومع ذلك، ما زلنا هنا، نكتب. Summer2024! في مربعات تسجيل الدخول عبر الإنترنت.

هذا المنشور هو أقصر شرح صادق لماهية كلمة المرور الجيدة في الواقع، ولماذا تكون غرائزك حول "التعقيد" خاطئة في الغالب، وكيفية استخدام مولد كلمات المرور دون أن تجعل حياتك لا تطاق.

الخرافة: التعقيد هو ما يهم

لقد علّم جيل من التدريب الأمني الناس أن كلمة المرور القوية تجمع بين الأحرف الكبيرة والصغيرة والأرقام والرموز. P@ssw0rd! يستوفي جميع تلك الشروط. وهو أيضاً، كما هو معروف، من أوائل الأشياء التي يجربها أي قاموس للمخترقين. اتضح أن قواعد التعقيد هي وحدة القياس الخاطئة.

ما يهم حقاً هو إنتروبيا — إجمالي عدد الاحتمالات التي يتعين على المهاجم البحث فيها. يمكنك زيادة الإنتروبيا بإضافة أنواع الأحرف، نعم، ولكنك تزيدها بشكل أسرع بكثير بإضافة طولكل حرف إضافي يضاعف مساحة البحث تقريبًا.

المقارنة التي تجعل الأمر واضحاً

قصير و"معقد"
K9!mX$2
طويل وبسيط
دبوس بطارية حصان صحيح

تحتوي الكلمة القصيرة على حوالي 46 بت من العشوائية. أما الكلمة الطويلة فتحتوي على حوالي 44 بت إذا علم المهاجم أنك استخدمت كلمات إنجليزية شائعة - لكنها سهلة التذكر، وزيادتها إلى خمس أو ست كلمات ترفعها إلى أكثر من 60 بت، وهو ما يتجاوز بكثير قدرة هجوم حشو بيانات الاعتماد على التعامل معه.

الرسم الكاريكاتوري الشهير من موقع xkcd الذي روّج لهذا المفهوم - "كلمة مرور أساسية لبطارية الحصان الصحيحة" - صحيح تمامًا. أربع كلمات شائعة عشوائية أقوى وأسهل تذكرًا وأسرع كتابةً من معظم كلمات المرور "المعقدة".

ما الذي يجعل كلمة المرور قوية بالفعل في عام 2026؟

تتفق الإرشادات الحديثة الصادرة عن المعهد الوطني للمعايير والتكنولوجيا (NIST) والمركز الوطني للأمن السيبراني (NCSC) وكل فريق أمني جاد على ثلاث قواعد:

  1. الطول أهم من التعقيد. يُعدّ 14 حرفًا أو أكثر الحد الأدنى المناسب، و20 حرفًا أو أكثر أفضل. تُساعد الرموز، لكنها ليست بنفس الأهمية التي يعتقدها البعض.
  2. فريد لكل موقع. إن الخطر الأكبر ليس في كلمات المرور الضعيفة، بل في إعادة استخدام كلمات المرور. عندما يتم اختراق موقع ما، يحاول المهاجمون استخدام بيانات الاعتماد هذه في كل مكان آخر. كلمات المرور الفريدة تقطع هذه السلسلة.
  3. تم توليدها، وليس اختراعها. تتجمع كلمات المرور التي يختارها المستخدمون حول أنماط يمكن التنبؤ بها. يقوم مولد كلمات المرور بأخذ عينات من فضاء الإنتروبيا الكامل.

لاحظ ما ينقص تلك القائمة: التغيير الإجباري. إذا كانت كلمة مرورك قوية وفريدة، فإن تغييرها كل 90 يومًا لن يؤدي إلا إلى تدريبك على اختيار كلمات مرور أضعف يمكنك تذكرها. لا تُغيرها إلا إذا كنت تشك في اختراقها.

نوعان من كلمات المرور المُولّدة

مزيج الرموز (لكل شيء لا تكتبه يدويًا)

بالنسبة لحسابات تسجيل الدخول التي تستخدمها عبر مدير كلمات المرور - وهو ما ينطبق على معظمها - استخدم كلمات مرور عشوائية تمامًا تتكون من رموز. فهي غير قابلة للقراءة، وغير قابلة للتذكر، وهذا جيد لأنك لن تكتبها أبدًا. يقوم الكمبيوتر بنسخها ولصقها.

مثال على مزيج الرموز
fT9m-p2Kq!z7X$nWv3RaHc

٢٢ حرفًا من الأحرف الكبيرة والصغيرة والأرقام والرموز. مستحيل اختراقها بالقوة الغاشمة أو باستخدام القاموس. مخزنة في مدير ملفاتك، وتُملأ تلقائيًا على الموقع، ولا تراها عيناك أبدًا. مولد كلمات مرور جيد ينتج هذه مع crypto.getRandomValues — مصدر عشوائي آمن تشفيرياً للمتصفح — لذا فإن الناتج آمن للاستخدام الحقيقي، وليس مجرد لعبة.

عبارة المرور (للأشياء التي تكتبها)

هناك عدد قليل من كلمات المرور التي تحتاج حقًا إلى حفظها: كلمة المرور الرئيسية لمدير كلمات المرور، وكلمة مرور جهاز الكمبيوتر المحمول، ورمز استعادة البريد الإلكتروني. يجب أن تكون هذه الكلمات سهلة التذكر. و قوي. عبارات المرور هي مفتاح الفوز.

مثال على عبارة المرور
تعريشة عصفور ماهوجني كليبر تسعة

خمس كلمات شائعة عشوائية، مجموعها 35 حرفًا، قوتها تُعادل تقريبًا مزيجًا من 14 حرفًا من الرموز. يسهل تذكرها بفضل الصور البصرية البسيطة - فكلمة "عصفور التعريشة" صورةٌ مرئية. كتابتها سهلة للغاية مقارنةً بمزيج الرموز.

لبناء واحدة، لست بحاجة فعليًا إلى أداة مخصصة. يمكنك توليد كلمات عشوائية باستخدام أي مصدر للكلمات العشوائية، أو اختيارها عن طريق الخلط العشوائي. مُبدِّل القوائم تتيح لك قائمة الكلمات الملصقة إمكانية اختيار خمس كلمات عشوائية. قم بربط الكلمات غير المترابطة وانتهى الأمر.

كيفية استخدام المولد الكهربائي بشكل فعلي يومياً

أسلوب العمل ممل، وهذا هو الهدف:

  1. قم بتثبيت برنامج لإدارة كلمات المرور. أي من البرامج الشهيرة: 1Password، Bitwarden، Apple Keychain، Google Password Manager. لا تُعقّد الأمر.
  2. اصنع واحدة قوية عبارة المرور استخدمها ككلمة مرورك الرئيسية. احفظها جيداً.
  3. في كل مرة تقوم فيها بالتسجيل في موقع جديد، قم بإنشاء حساب جديد مزيج الرموز كلمة المرور واحفظها في مدير الملفات. لا تكتبها أبداً؛ دع خاصية التعبئة التلقائية تقوم بالمهمة.
  4. خلال الأشهر القليلة القادمة، قم بتسجيل الدخول إلى المواقع التي تستخدمها بشكل متكرر، وقم بتغيير كلمات المرور القديمة المعاد استخدامها واحدة تلو الأخرى إلى كلمات مرور جديدة تم إنشاؤها، واحفظ كل كلمة في مدير كلمات المرور.
  5. تشغيل المصادقة الثنائية أينما كان ذلك متاحاً. هذا الأمر أهم من كلمات المرور للحسابات المهمة فعلاً (البريد الإلكتروني، الحساب البنكي، أي شيء يحتوي على تفاصيل الدفع).
لا تفعل هذا: قم بإنشاء كلمة مرور "جيدة" واحدة وأعد استخدامها في جميع المواقع. الهدف من إنشاء كلمة مرور هو أن تكون كل كلمة مرور فريدة. إعادة استخدام حتى كلمة مرور قوية يُفقد العملية برمتها جدواها.

الأسئلة الشائعة التي تظهر بالفعل

"هل من الآمن إنشاء كلمات المرور باستخدام أداة المتصفح؟"

نعم، بشرط أن تقوم الأداة بإنشاء جانب العميل باستخدام المتصفح crypto.getRandomValues واجهة برمجة التطبيقات (API) ولا يتم إرسال أي شيء إلى الخادم. مولد كلمات المرور يفعل ذلك تمامًا - الصفحة عبارة عن HTML ثابت، ويتم إنشاؤها في متصفحك، ولا تغادر كلمة المرور جهازك أبدًا. افتح أدوات مطوري المتصفح وتحقق بنفسك إن كنت لا تثق بنا؛ فهذا هو الهدف الأساسي من أدوات جانب العميل.

"ماذا عن المواقع التي تطلب رموزاً ولكنها تحظر أيضاً رموزاً معينة؟"

الواقع المحبط لعام 2026 هو أن العديد من البنوك والأنظمة القديمة لا تزال تفرض قواعد غريبة - "يجب أن يحتوي على رمز ولكن ليس &"، "الحد الأقصى للطول 12"، "يجب أن يبدأ بحرف". يتيح لك مولد الرموز الجيد تحديد مجموعة الرموز المراد تضمينها وتحديد الطول بدقة. التزم بقواعد الموقع وانتقل إلى الخطوة التالية. هذه القيود تُعرّض حسابك المصرفي للخطر. أقل آمن، ولكن لا يمكنك فعل أي شيء حيال ذلك، مستخدم واحد في كل مرة.

"هل يجب عليّ الاستمرار في تغيير كلمات المرور بانتظام؟"

لا يُستخدم التناوب الدوري إلا عند اختراق موقع إلكتروني (فعّل تنبيهات الاختراق - معظم المدراء يستخدمونها) أو عند الاشتباه في اختراق حساب معين. وقد أُلغي التناوب الدوري من إرشادات الأمن الأساسية منذ سنوات.

"ماذا لو نسيت كلمة المرور الرئيسية الخاصة بي؟"

دوّن كلمة المرور وضعها في خزنة آمنة، أو شاركها مع شخص تثق به في ظرف مغلق. نعم، هذا صحيح. إن احتمال وقوع تهديد لكلمة مرور مكتوبة في خزنة بمنزلك هو "لص يعرف تمامًا ما يبحث عنه" - وهو احتمال نادر للغاية مقارنةً باحتمال "نسيانك لكلمة المرور الرئيسية وفقدان كل شيء".

أنشئ كلمة مرور الآن

مولد كلمات المرور — آمن، يعمل من جانب العميل، قابل للتخصيص

مُبدِّل القوائم — أنشئ عبارة مرور من قائمة كلمات

مولد أسماء عشوائية - مصدر سريع للكلمات التي لا تُنسى

النسخة المكونة من جملة واحدة

استخدم مدير كلمات مرور، وأنشئ كلمة مرور طويلة وفريدة لكل موقع، واحفظ عبارة مرور قوية واحدة لتكون كلمة مرورك الرئيسية، وفعّل المصادقة الثنائية لأي شيء مهم، وتوقف عن تغيير كلمات المرور إلا في حالة حدوث مشكلة. هذا كل شيء.

كل شيء آخر مجرد ضجيج.