دليل الأمان

مفاتيح المرور مقابل كلمات المرور

قارن بين مفاتيح المرور وكلمات المرور، بما في ذلك مقاومة التصيد، الاسترداد، ثقة الجهاز، ومتى لا تزال كلمات المرور القوية ضرورية.

ملخص

تستخدم مفاتيح المرور تشفير المفتاح العام ويمكن أن تقلل من خطر التصيد لأن المفتاح الخاص لا يُكتب في موقع ويب. كلمات المرور هي أسرار مشتركة: إذا كتبتها في صفحة خاطئة، يمكن التقاطها. عندما تدعم الخدمة مفاتيح المرور بشكل جيد، يمكن أن تكون طريقة تسجيل دخول أساسية أقوى.

لماذا لا تزال كلمات المرور مهمة

لا تزال العديد من الحسابات تحتفظ بكلمة مرور احتياطية، أو كلمات مرور استرداد، أو كلمات مرور تطبيقات، أو أجهزة أقدم. إذا بقيت كلمة مرور مرتبطة بالحساب، فيجب أن تظل طويلة وعشوائية وفريدة ومحمية بـ MFA حيثما أمكن.

الاسترداد جزء من الأمان

تعتمد مفاتيح المرور على أمان الجهاز، وموفري المزامنة، واسترداد الحساب. فقدان الوصول إلى الأجهزة أو الاعتماد على قنوات استرداد ضعيفة يمكن أن يخلق خطرًا. سجل أكثر من خيار استرداد واحد عند الاقتضاء واحمِ حساب البريد الإلكتروني المستخدم للاسترداد.

توصيات عملية

استخدم مفاتيح المرور حيثما كانت مدعومة ومفهومة.
اجعل أي كلمة مرور احتياطية فريدة وقوية.
احمِ طرق فتح الجهاز.
راجع إعدادات البريد الإلكتروني والهاتف للاسترداد.
خزّن رموز الاسترداد بأمان.

إرشادات مفصلة

يركز هذا الدليل على مقارنة مفاتيح المرور وكلمات المرور لتسجيل الدخول إلى الحسابات. هو مكتوب للأشخاص الذين يقررون ما إذا كانوا سيستمرون في استخدام كلمات المرور عند تقديم مفاتيح المرور، لذا فإن الهدف العملي ليس إنشاء ادعاء أمني دراماتيكي. الهدف هو اختيار عادة كلمة مرور يمكنها البقاء في الاستخدام اليومي: نماذج تسجيل الدخول، مديري كلمات المرور، لوحات المفاتيح المحمولة، استرداد الحساب، الأجهزة المشتركة، والخدمة العرضية ذات قواعد التحقق الغريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.

أكثر نقطة بداية أمانًا هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة يتم اختيارها من مساحة كبيرة بواسطة مصدر عشوائي مناسب تشفيريًا، وليس اختراعها من عيد ميلاد، أو اسم حيوان أليف، أو نمط لوحة مفاتيح، أو اقتباس مفضل. التفرد يعني أن نفس كلمة المرور لا تُستخدم في أي مكان آخر. كلمة مرور طويلة ولكن معاد استخدامها يمكن أن تفشل بسرعة بعد اختراق واحد غير ذي صلة، بينما كلمة مرور عشوائية فريدة تحد من الضرر إلى الحساب الفردي حيث استُخدمت.

لهذا الموضوع، الإعداد العملي هو مفاتيح المرور حيثما كانت مدعومة، وكلمات مرور قوية فريدة حيثما تظل كلمات المرور مطلوبة. يمكنك تطبيق هذا الإعداد باستخدام دليل MFA مقابل كلمة المرور القوية ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. يقوم PwdGen بتوليد القيم محليًا في المتصفح باستخدام Web Crypto؛ لا يتم إرسال كلمة المرور المولدة إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. إضافة متصفح ضارة، جهاز مخترق، صفحة تصيد، أو معالجة حافظة غير آمنة يمكن أن تكشف السر بعد توليده.

المشاكل الأكثر شيوعًا التي يجب تجنبها هي طرق الاسترداد الضعيفة، فقدان الجهاز، قفل الحساب، الخدمات غير المدعومة، وافتراض أن مفاتيح المرور تزيل كل مخاوف الأمان. هذه المشاكل مهمة لأن المهاجمين نادرًا ما يحتاجون إلى تخمين كل كلمة مرور محتملة عندما تعطيهم العادات البشرية اختصارًا. حشو بيانات الاعتماد، التصيد، قوائم كلمات المرور المسربة، وإساءة استخدام استرداد الحساب غالبًا ما تكون أكثر واقعية من بحث رياضي بحت. لهذا السبب تجمع أفضل نصيحة بين جودة كلمة المرور وضوابط على مستوى الحساب مثل MFA، مفاتيح المرور، تخزين رموز الاسترداد، والمراجعة المنتظمة لإعدادات البريد الإلكتروني أو الهاتف للاسترداد.

استخدم قائمة التحقق هذه عند تطبيق التوصية:

استخدم مفاتيح المرور للحسابات الرئيسية عندما تكون مرتاحًا.
حافظ على أمان خيارات الاسترداد.
استخدم كلمات مرور قوية للخدمات التي لا تحتوي على مفاتيح مرور.
لا تعيد استخدام كلمات المرور الاحتياطية.

إذا رفض موقع ويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدويًا. اضبط متغيرًا واحدًا في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام مفعلة وزد الطول. إذا كان الحد الأقصى للطول منخفضًا، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ، أو طباعتها، أو كتابتها على شاشة تلفزيون أو راوتر، فكر في استبعاد الأحرف المربكة وزيادة الطول للتعويض عن الأبجدية الأصغر.

أخيرًا، تذكر حدود نصيحة كلمة المرور. كلمة المرور القوية هي طبقة دفاع واحدة، وليست ضمانًا. لا يمكنها جعل صفحة التصيد آمنة، أو إصلاح البرامج الضارة، أو تعويض خدمة تخزن بيانات الاعتماد بشكل سيء. العادة المفيدة مملة لكنها دائمة: توليد قيمة فريدة، تخزينها بأمان، حماية مسار الاسترداد، واستبدالها بسرعة إذا اشتبهت في التعرض.

خطوة تالية آمنة

بعد قراءة هذا الدليل، قم بتدقيق حساب صغير واحد بدلاً من محاولة إصلاح كل شيء دفعة واحدة. اختر الحساب الذي قد يسبب أكبر مشكلة إذا تم الاستيلاء عليه، وتأكد من أن كلمة مروره فريدة، وتحقق من البريد الإلكتروني للاسترداد، وهاتف الاسترداد، وطريقة MFA، وتخزين رمز النسخ الاحتياطي. إذا كان أي جزء من هذه السلسلة ضعيفًا، حسّن ذلك الجزء قبل الانتقال إلى الحسابات منخفضة المخاطر. هذا الترتيب يحافظ على العمل manageable ويحمي الحسابات التي من المرجح أن يستخدمها المهاجمون كنقطة انطلاق. بالنسبة لمفاتيح المرور مقابل كلمات المرور، أفضل نتيجة هي عادة قابلة للتكرار: التوليد محليًا، التخزين بعناية، وتجنب إعادة الاستخدام.

الأسئلة الشائعة

هل مفاتيح المرور أفضل من كلمات المرور؟

يمكن أن توفر مفاتيح المرور مقاومة أقوى للتصيد، لكن استرداد الحساب، والوصول إلى الجهاز، ودعم المنصة لا تزال مهمة.

هل تلغي مفاتيح المرور كلمات المرور تمامًا؟

ليس في كل مكان. لا تزال العديد من الخدمات تستخدم كلمات المرور كبيانات اعتماد احتياطية أو استرداد أو توافق.

هل يجب أن أستخدم كلمة مرور قوية حيثما تتوفر مفاتيح المرور؟

إذا كان الحساب لا يزال يحتوي على كلمة مرور احتياطية، اجعل تلك الكلمة فريدة وقوية.

المصادر

FIDO Alliance — Passkeys