دليل الأمان

ما هو الطول المناسب لكلمة المرور؟

تعرف على متى تختار 12 أو 16 أو 20 أو 32 حرفًا، ولماذا يعتبر طول كلمة المرور وفرادتها وتخزينها أكثر أهمية من التعقيد البصري.

ملخص

بالنسبة لمعظم الحسابات الحديثة، 16 حرفًا عشوائيًا هو خط أساس عملي قوي. استخدم 20 حرفًا أو أكثر للحسابات الشخصية المهمة، والبريد الإلكتروني، والبنوك، والعمل، أو حسابات الإدارة. استخدم 32 حرفًا عندما يتم تخزين كلمة المرور في مدير كلمات مرور وتحمي وصولًا عالي القيمة.

جرب مولد 16 حرفًا أو 20 حرفًا أو 32 حرفًا.

نطاقات الطول

كلمات المرور القصيرة أسهل في التخمين لأن عدد التركيبات الممكنة أقل. ستة إلى تسعة أحرف عادة ما تكون قصيرة جدًا لأمان الحساب. عشرة إلى أربعة عشر حرفًا قد تكون مقبولة من قبل العديد من الخدمات، لكن لا ينبغي التعامل معها كوجهة مفضلة للحسابات المهمة.

ستة عشر حرفًا عشوائيًا هو افتراضي جيد عندما يخزن مدير كلمات المرور القيمة. عشرون حرفًا يضيف هامشًا مع البقاء متوافقًا مع العديد من المواقع. اثنان وثلاثون حرفًا مفيدة للوحات الإدارة، والملفات المشفرة، وبيانات اعتماد قاعدة البيانات، والأسرار المحلية.

الطول العشوائي مقابل الطول البشري

كلمة مرور عشوائية مكونة من 16 حرفًا تختلف تمامًا عن عبارة من 16 حرفًا من صنع الإنسان. غالبًا ما تتضمن الخيارات البشرية كلمات وتواريخ وأسماء ونهايات متوقعة. يختبر المهاجمون هذه الأنماط قبل محاولة القوة العمياء.

توصيات عملية

• استخدم 16 حرفًا كخط أساس عادي.
• استخدم 20–32 حرفًا للحسابات عالية القيمة.
• استخدم عبارة مرور إذا كانت القابلية للحفظ مهمة.
• استخدم الإعدادات المسبقة بدون رموز أو بدون غموض فقط عندما تتطلب التوافق.
• لا تعيد استخدام كلمة مرور لمجرد أنها طويلة.

إرشادات مفصلة

يركز هذا الدليل على اختيار طول كلمة المرور لمخاطر الحساب المختلفة. هو مكتوب للقراء الذين يقارنون بين خيارات 12 و16 و20 و24 و32 حرفًا، لذا فإن الهدف العملي ليس إنشاء ادعاء أمني دراماتيكي. الهدف هو اختيار عادة كلمة مرور يمكنها البقاء في الاستخدام اليومي: نماذج تسجيل الدخول، ومديري كلمات المرور، ولوحات المفاتيح المحمولة، واسترداد الحساب، والأجهزة المشتركة، والخدمة العرضية ذات قواعد التحقق الغريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.

أكثر نقطة بداية أمانًا هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة يتم اختيارها من مساحة كبيرة بواسطة مصدر عشوائي مناسب تشفيريًا، وليس اختراعها من تاريخ ميلاد أو اسم حيوان أليف أو نمط لوحة مفاتيح أو اقتباس مفضل. التفرد يعني أن نفس كلمة المرور لا تُستخدم في أي مكان آخر. كلمة مرور طويلة ولكن معاد استخدامها يمكن أن تفشل بسرعة بعد اختراق واحد غير ذي صلة، بينما كلمة مرور عشوائية فريدة تحد من الضرر إلى الحساب الفردي الذي استخدمت فيه.

لهذا الموضوع، الإعداد المسبق العملي هو 16 حرفًا للحسابات العادية، و20 أو أكثر للحسابات المهمة، و32 للأسرار التي يتم تخزينها بدلاً من كتابتها. يمكنك تطبيق هذا الإعداد المسبق باستخدام مولد كلمات المرور 32 حرفًا ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. يقوم PwdGen بتوليد القيم محليًا في المتصفح باستخدام Web Crypto؛ لا يتم إرسال كلمة المرور المولدة إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. إضافة متصفح ضارة، أو جهاز مخترق، أو صفحة تصيد، أو معالجة غير آمنة للحافظة يمكن أن تكشف السر بعد توليده.

المشاكل الأكثر شيوعًا التي يجب تجنبها هي القيم العشوائية القصيرة، وحدود الطول القصوى، والنماذج القديمة، وافتراض أن رقمًا ثابتًا آمن لكل نظام. هذه المشاكل مهمة لأن المهاجمين نادرًا ما يحتاجون إلى القوة العمياء لكل كلمة مرور محتملة عندما تعطيهم العادات البشرية اختصارًا. حشو بيانات الاعتماد، والتصيد، وقوائم كلمات المرور المسربة، وإساءة استخدام استرداد الحساب غالبًا ما تكون أكثر واقعية من البحث الرياضي البحت. لهذا السبب، أفضل نصيحة تجمع بين جودة كلمة المرور وضوابط مستوى الحساب مثل MFA ومفاتيح المرور وتخزين رموز الاسترداد والمراجعة المنتظمة لإعدادات البريد الإلكتروني أو الهاتف للاسترداد.

استخدم قائمة التحقق هذه عند تطبيق التوصية:

• استخدم طولًا أكبر عندما لا يُسمح بالرموز.
• تحقق من الحد الأقصى للطول الوجهة قبل الحفظ.
• تجنب تقصير كلمات المرور للراحة.
• استخدم عبارات المرور عندما تكون الحفظ مهمًا.

إذا رفض موقع الويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدويًا. اضبط متغيرًا واحدًا في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام ممكّنة وزد الطول. إذا كان الحد الأقصى للطول منخفضًا، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ أو طباعتها أو كتابتها على شاشة تلفزيون أو جهاز توجيه، فكر في استبعاد الأحرف المربكة وزيادة الطول للتعويض عن الأبجدية الأصغر.

أخيرًا، تذكر حدود نصيحة كلمة المرور. كلمة مرور قوية هي طبقة واحدة من الدفاع، وليست ضمانًا. لا يمكنها جعل صفحة التصيد آمنة، أو إصلاح البرامج الضارة، أو تعويض خدمة تخزن بيانات الاعتماد بشكل سيء. العادة المفيدة مملة لكنها دائمة: توليد قيمة فريدة، تخزينها بأمان، حماية مسار الاسترداد، واستبدالها بسرعة إذا اشتبه في التعرض.

الأسئلة الشائعة

هل 12 حرفًا كافية؟

كلمة مرور عشوائية مكونة من 12 حرفًا يمكن أن تكون مفيدة للتوافق، لكن 16 أو أكثر هو افتراضي أفضل عندما تقبل الخدمة ذلك.

متى يجب استخدام 20 أو 32 حرفًا؟

استخدم 20 أو أكثر للحسابات المهمة و32 لسير عمل الإدارة أو الملفات المشفرة أو أسرار المطور المخزنة في مدير كلمات مرور.

هل يمكن أن تكون كلمة المرور طويلة جدًا؟

بعض الخدمات تفرض أطوالًا قصوى أو ترفض الرموز. استخدم أطول قيمة عشوائية فريدة تقبلها الوجهة.