دليل الأمان

كيفية إنشاء كلمة مرور قوية

دليل عملي لإنشاء كلمات مرور قوية وفريدة باستخدام التوليد المحلي ومديري كلمات المرور والمصادقة متعددة العوامل وعادات الاسترداد الآمنة.

ملخص

كلمة المرور القوية ليست مجرد سلسلة “تبدو معقدة”. بل هي طويلة بما يكفي للاستخدام، ومولدة عشوائيًا، وفريدة لحساب واحد، ومخزنة بأمان. سير العمل اليومي الأكثر موثوقية بسيط: قم بتوليد قيمة عشوائية فريدة، واحفظها في مدير كلمات مرور، وقم بتفعيل المصادقة متعددة العوامل (MFA) أو مفتاح المرور (passkey) عندما تدعم الخدمة ذلك.

استخدم مولد كلمات المرور العشوائي المجاني أو مولد كلمات المرور المكونة من 16 حرفًا عندما تحتاج إلى كلمة مرور لحساب جديد.

ما الذي يجعل كلمة المرور قوية

أقوى كلمات المرور العملية يتم اختيارها بواسطة عملية عشوائية، وليس اختراعها بواسطة شخص. غالبًا ما تحتوي كلمات المرور التي ينشئها البشر على أسماء وتواريخ ومسارات لوحة مفاتيح وعلامات تجارية وكلمات أغاني أو استبدالات مألوفة. يعرف المهاجمون هذه الأنماط ويجربونها مبكرًا.

التوليد العشوائي يغير الموقف. كلمة المرور المولدة مثل قيمة مكونة من 16 أو 20 أو 32 حرفًا ليس لها قصة شخصية ولا تاريخ تقويم ولا بنية قاموس ملائمة. تظل مفيدة فقط إذا بقيت فريدة وخاصة.

توصيات عملية

1. قم بتوليد كلمة مرور جديدة لكل حساب.
2. يُفضل استخدام 15–16 حرفًا عشوائيًا على الأقل للحسابات العادية.
3. استخدم 20 حرفًا أو أكثر للبريد الإلكتروني والخدمات المصرفية والعمل ووصول المسؤول عندما يُقبل ذلك.
4. قم بتضمين الرموز عندما يقبلها الموقع الهدف.
5. قم بتخزين كلمات المرور في مدير كلمات مرور موثوق.
6. قم بتفعيل المصادقة متعددة العوامل (MFA) أو مفاتيح المرور (passkeys).
7. راجع إعدادات استرداد الحساب، لأن المهاجمين غالبًا ما يستهدفون مسارات الاسترداد.

ما يحله التوليد المحلي وما لا يحله

يقوم PwdGen بتوليد القيم محليًا باستخدام Web Crypto ولا يقوم بتحميل كلمات المرور المولدة. هذا يحمي من قيام الموقع بجمع القيمة المولدة عن قصد. لكنه لا يحمي من إضافة متصفح مخترقة أو مدير حافظة غير آمن أو برمجيات خبيثة أو صفحة تصيد أو خدمة تسيء التعامل مع تخزين كلمات المرور.

إرشادات مفصلة

يركز هذا الدليل على إنشاء كلمة مرور قوية من الصفر. إنه مكتوب للأشخاص الذين يستبدلون كلمات مرور ضعيفة أو معاد استخدامها، لذا فإن الهدف العملي ليس إنشاء ادعاء أمني دراماتيكي. الهدف هو اختيار عادة كلمة مرور يمكنها الصمود في الاستخدام اليومي: نماذج تسجيل الدخول ومديري كلمات المرور ولوحات مفاتيح الهاتف المحمول واسترداد الحساب والأجهزة المشتركة والخدمات العرضية ذات قواعد التحقق الغريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.

أكثر نقطة بداية أمانًا هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة يتم اختيارها من مساحة كبيرة بواسطة مصدر عشوائي مناسب للتشفير، وليس اختراعها من تاريخ ميلاد أو اسم حيوان أليف أو نمط لوحة مفاتيح أو اقتباس مفضل. التفرد يعني أن نفس كلمة المرور لا تُستخدم في أي مكان آخر. كلمة المرور الطويلة ولكن المعاد استخدامها يمكن أن تفشل بسرعة بعد اختراق واحد غير ذي صلة، بينما كلمة المرور العشوائية الفريدة تحد من الضرر إلى الحساب الوحيد الذي استُخدمت فيه.

لهذا الموضوع، الإعداد المسبق العملي هو 20 حرفًا، أحرف كبيرة وصغيرة وأرقام ورموز عندما يُقبل ذلك. يمكنك تطبيق هذا الإعداد المسبق باستخدام مولد كلمات المرور المكونة من 20 حرفًا ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. يقوم PwdGen بتوليد القيم محليًا في المتصفح باستخدام Web Crypto؛ لا يتم إرسال كلمة المرور المولدة إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. إضافة متصفح خبيثة أو جهاز مخترق أو صفحة تصيد أو معالجة غير آمنة للحافظة يمكن أن تكشف السر بعد توليده.

المشكلات الأكثر شيوعًا التي يجب تجنبها هي الأسماء الشخصية وتواريخ الميلاد ومسارات لوحة المفاتيح والنهايات المعاد استخدامها والاستبدالات المتوقعة مثل استبدال a بـ @. هذه المشكلات مهمة لأن المهاجمين نادرًا ما يحتاجون إلى تخمين كل كلمة مرور محتملة عندما تعطيهم العادات البشرية اختصارًا. حشو بيانات الاعتماد والتصيد وقوائم كلمات المرور المسربة وإساءة استخدام استرداد الحساب غالبًا ما تكون أكثر واقعية من البحث الرياضي البحت. لهذا السبب تجمع أفضل نصيحة بين جودة كلمة المرور والضوابط على مستوى الحساب مثل MFA ومفاتيح المرور وتخزين رموز الاسترداد والمراجعة المنتظمة لإعدادات البريد الإلكتروني أو الهاتف للاسترداد.

استخدم قائمة التحقق هذه عند تطبيق التوصية:

• استخدم قيمة مختلفة لكل حساب.
• يُفضل التوليد العشوائي على الأنماط الشخصية.
• قم بتخزين النتيجة في مدير كلمات مرور.
• قم بتفعيل MFA أو مفاتيح المرور عندما تكون متاحة.

إذا رفض موقع الويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدويًا. اضبط متغيرًا واحدًا في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام وقم بزيادة الطول. إذا كان الحد الأقصى للطول منخفضًا، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ أو طباعتها أو كتابتها على شاشة تلفزيون أو جهاز توجيه، فكر في استبعاد الأحرف المربكة وزيادة الطول للتعويض عن الأبجدية الأصغر.

أخيرًا، تذكر حدود نصائح كلمة المرور. كلمة المرور القوية هي طبقة واحدة من الدفاع، وليست ضمانًا. لا يمكنها جعل صفحة التصيد آمنة أو إصلاح البرمجيات الخبيثة أو تعويض خدمة تخزن بيانات الاعتماد بشكل سيء. العادة المفيدة مملة ولكنها دائمة: قم بتوليد قيمة فريدة، وخزنها بأمان، واحم مسار الاسترداد، واستبدلها بسرعة إذا اشتبهت في التعرض.

الأسئلة المتكررة

ما هي أبسط قاعدة لكلمة مرور قوية؟

استخدم كلمة مرور طويلة وعشوائية وفريدة لكل حساب وقم بتخزينها في مدير كلمات مرور موثوق.

هل كلمة المرور القصيرة المعقدة أفضل من كلمة مرور طويلة عشوائية؟

عادة لا. الطول وعدم القدرة على التوقع أهم من الاستبدالات المألوفة مثل استبدال الحروف بالرموز.

هل يجب أن أستخدم MFA مع كلمة مرور قوية؟

نعم. تضيف MFA أو مفاتيح المرور حماية عندما يتم اختراق كلمة المرور عبر التصيد أو إعادة استخدامها في مكان آخر أو كشفها بسبب اختراق خدمة.