دليل الأمان

هل يجب استخدام الرموز في كلمات المرور؟

تعرف على متى تساعد الرموز، ومتى تسبب مشاكل في التوافق، ولماذا الطول والعشوائية أكثر أهمية من التعقيد البصري.

ملخص

يمكن أن تساعد الرموز لأنها تزيد عدد الأحرف الممكنة. لكنها ليست سحرية. كلمة مرور قصيرة تحتوي على رمز متوقع لا تزال ضعيفة، بينما كلمة مرور أطول عشوائية بدون رموز يمكن أن تكون قوية.

جرب الإعدادات المسبقة مع الرموز و بدون رموز.

متى تساعد الرموز

تساعد الرموز عندما يختارها المولد عشوائيًا ويقبلها الخدمة. يمكنها تلبية قواعد سياسة كلمة المرور وزيادة مساحة البحث النظرية.

متى تضر الرموز بسهولة الاستخدام

يمكن أن تسبب الرموز مشاكل في النماذج القديمة، ولوحات مفاتيح الجوال، وسلاسل الاتصال، وبيئات shell، وملفات التكوين، والنسخ اليدوي. إذا كان يجب تخطي رمز أو كان من السهل قراءته بشكل خاطئ، فقد يخلق خطرًا تشغيليًا.

توصيات عملية

قم بتضمين الرموز عندما يتم قبولها.
استخدم الإعدادات المسبقة بدون رموز للتوافق.
زد الطول عندما تكون الأبجدية مقيدة.
تجنب تحرير كلمة المرور المولدة يدويًا.
استخدم الإعدادات المسبقة بدون أحرف غامضة لكلمات المرور المطبوعة أو المملة.

إرشادات مفصلة

يركز هذا الدليل على تحديد ما إذا كانت الرموز تساعد أو تضر بسياسة كلمة المرور. هو مكتوب للأشخاص الذين يعملون مع خدمات تتطلب أو ترفض الأحرف الخاصة، لذا فإن الهدف العملي ليس إنشاء ادعاء أمني دراماتيكي. الهدف هو اختيار عادة كلمة مرور يمكنها البقاء في الاستخدام اليومي: نماذج تسجيل الدخول، ومديري كلمات المرور، ولوحات مفاتيح الجوال، واستعادة الحساب، والأجهزة المشتركة، والخدمة العرضية ذات قواعد التحقق الغريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.

نقطة البداية الأكثر أمانًا هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة تم اختيارها من مساحة كبيرة بواسطة مصدر عشوائي مناسب للتشفير، وليس اختراعها من عيد ميلاد، أو اسم حيوان أليف، أو نمط لوحة مفاتيح، أو اقتباس مفضل. التفرد يعني أن نفس كلمة المرور لا تُستخدم في أي مكان آخر. كلمة مرور طويلة ولكن معاد استخدامها يمكن أن تفشل بسرعة بعد اختراق واحد غير ذي صلة، بينما كلمة مرور فريدة عشوائية تحد من الضرر إلى الحساب الوحيد الذي استخدمت فيه.

لهذا الموضوع، الإعداد المسبق العملي هو تمكين الرموز عندما يقبلها الوجهة، مع طول أطول عندما يتم رفضها. يمكنك تطبيق هذا الإعداد باستخدام مولد كلمات المرور مع الرموز ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. يقوم PwdGen بتوليد القيم محليًا في المتصفح باستخدام Web Crypto؛ لا يتم إرسال كلمة المرور المولدة إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. إضافة متصفح ضارة، أو جهاز مخترق، أو صفحة تصيد، أو معالجة حافظة غير آمنة يمكن أن تكشف السر بعد توليده.

المشاكل الأكثر شيوعًا التي يجب تجنبها هي المبالغة في تقدير رمز واحد في كلمة مرور قصيرة، ومشاكل تخطي shell، وأخطاء التحقق من النماذج، وأخطاء الكتابة اليدوية. هذه المشاكل مهمة لأن المهاجمين نادرًا ما يحتاجون إلى تخمين كل كلمة مرور محتملة عندما تعطيهم العادات البشرية اختصارًا. حشو بيانات الاعتماد، والتصيد، وقوائم كلمات المرور المسربة، وإساءة استخدام استعادة الحساب غالبًا ما تكون أكثر واقعية من البحث الرياضي البحت. لهذا السبب تجمع أفضل نصيحة بين جودة كلمة المرور وضوابط على مستوى الحساب مثل MFA، ومفاتيح المرور، وتخزين رموز الاسترداد، والمراجعة المنتظمة للبريد الإلكتروني أو إعدادات الهاتف للاسترداد.

استخدم قائمة التحقق هذه عند تطبيق التوصية:

استخدم الرموز عندما يتم قبولها.
لا تعتمد على رمز واحد لإصلاح كلمة مرور ضعيفة.
استخدم الإعدادات المسبقة بدون رموز للأنظمة الصارمة.
زد الطول عند إيقاف تشغيل الرموز.

إذا رفض موقع الويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدويًا. اضبط متغيرًا واحدًا في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام مفعلة وزد الطول. إذا كان الحد الأقصى للطول منخفضًا، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ، أو طباعتها، أو كتابتها على شاشة تلفزيون أو جهاز توجيه، فكر في استبعاد الأحرف المربكة وزيادة الطول للتعويض عن الأبجدية الأصغر.

أخيرًا، تذكر حدود نصيحة كلمة المرور. كلمة مرور قوية هي طبقة واحدة من الدفاع، وليست ضمانًا. لا يمكنها جعل صفحة التصيد آمنة، أو إصلاح البرامج الضارة، أو تعويض خدمة تخزن بيانات الاعتماد بشكل سيء. العادة المفيدة مملة ولكنها دائمة: قم بتوليد قيمة فريدة، وخزنها بأمان، واحم مسار الاسترداد، واستبدلها بسرعة إذا اشتبهت في التعرض.

خطوة تالية آمنة

بعد قراءة هذا الدليل، قم بتدقيق حساب صغير واحد بدلاً من محاولة إصلاح كل شيء دفعة واحدة. اختر الحساب الذي سيتسبب في أكبر مشكلة إذا تم الاستيلاء عليه، وتأكد من أن كلمة مروره فريدة، وتحقق من البريد الإلكتروني للاسترداد، وهاتف الاسترداد، وطريقة MFA، وتخزين رمز النسخ الاحتياطي. إذا كان أي جزء من هذه السلسلة ضعيفًا، قم بتحسين ذلك الجزء قبل الانتقال إلى الحسابات منخفضة المخاطر. هذا الترتيب يحافظ على العمل قابلًا للإدارة ويحمي الحسابات التي من المرجح أن يستخدمها المهاجمون كنقطة انطلاق. بالنسبة لـ هل يجب استخدام الرموز في كلمات المرور؟، أفضل نتيجة هي عادة قابلة للتكرار: قم بالتوليد محليًا، وخزن بحذر، وتجنب إعادة الاستخدام.

الأسئلة الشائعة

هل تجعل الرموز كلمات المرور أقوى؟

يمكن للرموز زيادة حجم الأبجدية عند اختيارها عشوائيًا، لكن الطول والتفرد لا يزالان أكثر أهمية من التعقيد البصري.

ماذا لو رفض موقع الويب الرموز؟

استخدم كلمة مرور أطول بدون رموز واحتفظ بالأحرف الكبيرة والصغيرة والأرقام مفعلة إذا تم قبولها.

هل الأحرف الغامضة مشكلة؟

يمكن أن تكون، خاصة لكلمات المرور المطبوعة أو المملة أو المكتوبة يدويًا. استبعادها يحسن سهولة الاستخدام ولكنه يقلل حجم الأبجدية.

المصادر

NIST SP 800-63B — Passwords