دليل الأمان

ما هو وقت اختراق كلمة المرور؟

تعرف على معنى تقديرات وقت اختراق كلمة المرور، ولماذا تفترض معدلات الهجوم، ولماذا التقديرات ليست ضمانات.

ملخص

وقت اختراق كلمة المرور هو تقدير للمدة التي قد يستغرقها هجوم التخمين في ظل نموذج معين. النموذج مهم. التخمين عبر الإنترنت ضد خدمة حية يختلف عن الاختراق دون اتصال لهاش كلمة مرور مسربة. رقم عالمي “وقت الاختراق” مضلل بدون افتراضات.

استخدم حاسبة وقت اختراق كلمة المرور ومدقق القوة لمقارنة السيناريوهات محليًا.

التخمين عبر الإنترنت

التخمين عبر الإنترنت محدود بالخدمة. حدود المعدل، الإغلاق، المراقبة، المصادقة متعددة العوامل (MFA)، وكشف الشذوذ يمكن أن تبطئ أو توقف الهجمات. قد يكون رقم PIN قصير مقبولًا فقط لأن النظام يحد من المحاولات.

الاختراق دون اتصال

الاختراق دون اتصال يحدث عندما يكون لدى المهاجمين هاشات كلمات المرور أو مواد مشفرة. تعتمد السرعة على خوارزمية الهاش، عامل التكلفة، الملح (salt)، الأجهزة، واستراتيجية الهجوم. هاش كلمات المرور البطيء مثل Argon2id أو bcrypt أو PBKDF2 يهدف إلى تقليل التخمينات في الثانية.

العشوائية والأنماط

حسابات وقت الاختراق ذات معنى فقط عندما تكون كلمة المرور عشوائية بالفعل. Password123! قد تبدو معقدة، لكنها تظهر مبكرًا في التخمين القائم على الأنماط. كلمة مرور عشوائية مكونة من 20 حرفًا مختلفة لأنها تفتقر إلى البنية البشرية.

إرشادات مفصلة

يركز هذا الدليل على قراءة تقديرات وقت اختراق كلمة المرور بمسؤولية. هو مكتوب للمستخدمين الذين يرون تقديرات تعتمد على السنوات ويريدون معرفة ما تعنيه حقًا، لذا الهدف العملي ليس إنشاء ادعاء أمني دراماتيكي. الهدف هو اختيار عادة كلمة مرور يمكنها البقاء في الاستخدام اليومي: نماذج تسجيل الدخول، مديري كلمات المرور، لوحات المفاتيح المحمولة، استرداد الحساب، الأجهزة المشتركة، والخدمات العرضية ذات قواعد التحقق الغريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.

أكثر نقطة بداية أمانًا هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة تم اختيارها من مساحة كبيرة بواسطة مصدر عشوائي مناسب تشفيريًا، وليس اختراعها من تاريخ ميلاد، اسم حيوان أليف، نمط لوحة مفاتيح، أو اقتباس مفضل. التفرد يعني أن نفس كلمة المرور لا تُستخدم في أي مكان آخر. كلمة مرور طويلة لكنها معاد استخدامها يمكن أن تفشل بسرعة بعد اختراق واحد غير ذي صلة، بينما كلمة مرور عشوائية فريدة تحد من الضرر إلى الحساب الوحيد الذي استخدمت فيه.

لهذا الموضوع، الإعداد العملي هو تقديرات قائمة على السيناريو للحدود عبر الإنترنت، الهاشات البطيئة، والتخمين السريع دون اتصال. يمكنك تطبيق هذا الإعداد باستخدام حاسبة وقت اختراق كلمة المرور ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. PwdGen يولد القيم محليًا في المتصفح باستخدام Web Crypto؛ كلمة المرور المولدة لا تُرسل إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. إضافة متصفح ضارة، جهاز مخترق، صفحة تصيد، أو معالجة غير آمنة للحافظة يمكن أن تكشف السر بعد توليده.

المشكلات الأكثر شيوعًا التي يجب تجنبها هي ادعاءات وقت الاختراق العالمية، افتراضات الأجهزة فقط، الهاشات المسربة، التخزين الضعيف، والأنماط المتوقعة للمستخدم. هذه المشكلات مهمة لأن المهاجمين نادرًا ما يحتاجون إلى تخمين كل كلمة مرور محتملة عندما تعطيهم العادات البشرية اختصارًا. حشو بيانات الاعتماد (credential stuffing)، التصيد، قوائم كلمات المرور المسربة، وإساءة استخدام استرداد الحساب غالبًا ما تكون أكثر واقعية من البحث الرياضي البحت. لهذا السبب تجمع أفضل نصيحة بين جودة كلمة المرور وضوابط على مستوى الحساب مثل MFA، مفاتيح المرور (passkeys)، تخزين رموز الاسترداد، والمراجعة المنتظمة لإعدادات البريد الإلكتروني أو الهاتف للاسترداد.

استخدم قائمة التحقق هذه عند تطبيق التوصية:

قارن أكثر من سيناريو هجوم.
لا تعامل الرقم الكبير كضمان.
تجنب كلمات المرور المعاد استخدامها بغض النظر عن التقدير.
استخدم MFA للحسابات التي تدعمها.

إذا رفض موقع الويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدويًا. اضبط متغيرًا واحدًا في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام مفعلة وزد الطول. إذا كان الحد الأقصى للطول منخفضًا، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ، طباعتها، أو كتابتها على شاشة تلفزيون أو راوتر، فكر في استبعاد الأحرف المربكة وزيادة الطول للتعويض عن الأبجدية الأصغر.

أخيرًا، تذكر حدود نصيحة كلمة المرور. كلمة مرور قوية هي طبقة دفاع واحدة، وليست ضمانًا. لا يمكنها جعل صفحة تصيد آمنة، إصلاح برمجيات خبيثة، أو تعويض خدمة تخزن بيانات الاعتماد بشكل سيء. العادة المفيدة مملة لكنها دائمة: توليد قيمة فريدة، تخزينها بأمان، حماية مسار الاسترداد، واستبدالها بسرعة إذا اشتبهت في التعرض.

خطوة تالية آمنة

بعد قراءة هذا الدليل، قم بتدقيق حساب صغير واحد بدلاً من محاولة إصلاح كل شيء دفعة واحدة. اختر الحساب الذي قد يسبب أكبر مشكلة إذا تم الاستيلاء عليه، تأكد من أن كلمة مروره فريدة، وتحقق من البريد الإلكتروني للاسترداد، هاتف الاسترداد، طريقة MFA، وتخزين رموز النسخ الاحتياطي. إذا كان أي جزء من هذه السلسلة ضعيفًا، قم بتحسين ذلك الجزء قبل الانتقال إلى الحسابات منخفضة المخاطر. هذا الترتيب يحافظ على العمل قابلًا للإدارة ويحمي الحسابات التي من المرجح أن يستخدمها المهاجمون كنقطة انطلاق. بالنسبة لـ “ما هو وقت اختراق كلمة المرور؟”، أفضل نتيجة هي عادة قابلة للتكرار: توليد محليًا، تخزين بعناية، وتجنب إعادة الاستخدام.

الأسئلة الشائعة

لماذا تختلف حاسبات وقت الاختراق؟

تستخدم افتراضات مختلفة حول العشوائية، نوع الهاش، الأجهزة، الحدود عبر الإنترنت، وما إذا كانت كلمة المرور معروفة بالفعل من الاختراقات.

هل الاختراق دون اتصال أسرع من التخمين عبر الإنترنت؟

عادةً نعم. يمكن للمهاجمين دون اتصال تجربة التخمينات بدون حدود معدل، بينما يمكن للأنظمة عبر الإنترنت تقييد المحاولات وإغلاقها ومراقبتها.

هل يجب أن أثق بنتيجة “مليون سنة” واحدة؟

تعامل معها كتقدير في ظل افتراضات محددة، وليس ضمانًا للسلامة.

المصادر

OWASP Password Storage Cheat Sheet