دليل الأمان
شرح إنتروبيا كلمة المرور
افهم إنتروبيا كلمة المرور، مساحة البحث، حجم الأبجدية، الطول، ولماذا البتات النظرية هي مجرد تقدير أعلى.
ملخص
إنتروبيا كلمة المرور هي طريقة لوصف حجم مساحة البحث التي يحتاج المهاجم لاستكشافها. بالنسبة لكلمة مرور عشوائية بشكل منتظم، صيغة التقدير الأعلى المفيدة هي:
bits = length × log2(alphabet size)استخدم حاسبة وقت اختراق كلمة المرور لمقارنة الافتراضات.
حجم الأبجدية
حجم الأبجدية هو عدد الأحرف الممكنة. الأحرف الصغيرة تعطي 26 خيارًا. الأحرف الكبيرة والصغيرة معًا تعطي 52. إضافة الأرقام تعطي 62. الرموز يمكن أن تزيد المجموعة أكثر، ولكن فقط إذا كانت الخدمة تقبلها والمولد يختارها عشوائيًا.
الطول
الطول يضاعف مساحة البحث. كلمة مرور أطول عشوائية عادةً ما توفر تحسنًا عمليًا أكبر من كلمة مرور قصيرة مزينة برموز يمكن توقعها.
تحذير التقدير الأعلى
تفترض الصيغة أن كل موضع يتم اختياره بشكل منتظم من الأبجدية. لا تنطبق على العبارات البشرية، كلمات المرور المعاد استخدامها، كلمات القاموس، التواريخ، مسارات لوحة المفاتيح، بيانات الاعتماد المسربة، أو المخرجات المعدلة. كما أنها لا تمثل التجزئة من جانب الخدمة أو حدود المعدل عبر الإنترنت.
توصيات عملية
- تعامل مع الإنتروبيا كأداة مقارنة، وليس ضمانًا.
- فضل القيم المولدة عشوائيًا.
- استخدم طولًا أكبر للأبجديات المقيدة.
- اجعل كل كلمة مرور فريدة.
- خزّن النتائج بأمان.
إرشادات مفصلة
يركز هذا الدليل على تفسير إنتروبيا كلمة المرور دون مبالغة. هو مكتوب للقراء الذين يقارنون الطول، حجم الأبجدية، وقوائم كلمات العبارة السرية، لذا فإن الهدف العملي ليس إنشاء ادعاء أمني دراماتيكي. الهدف هو اختيار عادة كلمة مرور يمكنها البقاء في الاستخدام اليومي: نماذج تسجيل الدخول، مديري كلمات المرور، لوحات المفاتيح المحمولة، استعادة الحساب، الأجهزة المشتركة، والخدمات العرضية ذات قواعد التحقق الغريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.
نقطة البداية الأكثر أمانًا هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة تم اختيارها من مساحة كبيرة بواسطة مصدر عشوائي مناسب للتشفير، وليس اختراعها من عيد ميلاد، اسم حيوان أليف، نمط لوحة مفاتيح، أو اقتباس مفضل. التفرد يعني أن نفس كلمة المرور لا تُستخدم في أي مكان آخر. كلمة مرور طويلة ولكن معاد استخدامها يمكن أن تفشل بسرعة بعد اختراق واحد غير ذي صلة، بينما كلمة مرور فريدة عشوائية تحد من الضرر إلى الحساب الوحيد الذي استخدمت فيه.
لهذا الموضوع، الإعداد العملي هو الطول مضروبًا في log2 لحجم الأبجدية العشوائية لكلمات المرور العشوائية بشكل منتظم. يمكنك تطبيق هذا الإعداد باستخدام مدقق قوة كلمة المرور ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. يقوم PwdGen بتوليد القيم محليًا في المتصفح باستخدام Web Crypto؛ كلمة المرور المولدة لا تُرسل إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. إضافة متصفح ضارة، جهاز مخترق، صفحة تصيد، أو معالجة حافظة غير آمنة يمكن أن تكشف السر بعد توليده.
المشاكل الأكثر شيوعًا التي يجب تجنبها هي تطبيق الصيغة البسيطة على كلمات المرور التي يختارها البشر، تجاهل إعادة الاستخدام، والتعامل مع التقديرات كضمانات. هذه المشاكل مهمة لأن المهاجمين نادرًا ما يحتاجون إلى تجربة كل كلمة مرور ممكنة عندما تعطيهم العادات البشرية اختصارًا. حشو بيانات الاعتماد، التصيد، قوائم كلمات المرور المسربة، وإساءة استخدام استعادة الحساب غالبًا ما تكون أكثر واقعية من بحث رياضي بحت. لهذا السبب تجمع أفضل نصيحة بين جودة كلمة المرور وضوابط على مستوى الحساب مثل MFA، مفاتيح المرور، تخزين رموز الاسترداد، والمراجعة المنتظمة لإعدادات البريد الإلكتروني أو الهاتف للاسترداد.
استخدم قائمة التحقق هذه عند تطبيق التوصية:
- استخدم الإنتروبيا فقط للتوليد العشوائي.
- استخدم فحوصات zxcvbn-style للإدخال البشري.
- زد الطول عندما تنطبق قيود الأبجدية.
- تذكر أن تجزئة التخزين تؤثر على سرعة الهجوم.
إذا رفض موقع ويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدويًا. اضبط متغيرًا واحدًا في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام مفعلة وزد الطول. إذا كان الحد الأقصى للطول منخفضًا، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ، طباعتها، أو كتابتها على شاشة تلفزيون أو راوتر، فكر في استبعاد الأحرف المربكة وزيادة الطول لتعويض الأبجدية الأصغر.
أخيرًا، تذكر حدود نصيحة كلمة المرور. كلمة مرور قوية هي طبقة دفاع واحدة، وليست ضمانًا. لا يمكنها جعل صفحة تصيد آمنة، إصلاح برمجيات خبيثة، أو تعويض خدمة تخزن بيانات الاعتماد بشكل سيء. العادة المفيدة مملة لكنها دائمة: توليد قيمة فريدة، تخزينها بأمان، حماية مسار الاسترداد، واستبدالها بسرعة إذا اشتبهت في التعرض.
خطوة تالية آمنة
بعد قراءة هذا الدليل، قم بتدقيق حساب صغير واحد بدلاً من محاولة إصلاح كل شيء دفعة واحدة. اختر الحساب الذي قد يسبب أكبر مشكلة إذا تم الاستيلاء عليه، تأكد من أن كلمة مروره فريدة، وتحقق من البريد الإلكتروني للاسترداد، هاتف الاسترداد، طريقة MFA، وتخزين رموز النسخ الاحتياطي. إذا كان أي جزء من هذه السلسلة ضعيفًا، حسّن ذلك الجزء قبل الانتقال إلى الحسابات منخفضة المخاطر. هذا الترتيب يحافظ على العمل manageable ويحمي الحسابات التي من المرجح أن يستخدمها المهاجمون كنقطة انطلاق. بالنسبة لشرح إنتروبيا كلمة المرور، أفضل نتيجة هي عادة قابلة للتكرار: توليد محلي، تخزين بحذر، وتجنب إعادة الاستخدام.
الأسئلة الشائعة
ما هي صيغة الإنتروبيا البسيطة؟
للأحرف العشوائية بشكل منتظم، صيغة التقدير الأعلى الشائعة هي الطول مضروبًا في log2 لحجم الأبجدية.
لماذا الإنتروبيا مجرد تقدير؟
تفترض اختيارًا عشوائيًا منتظمًا ولا تأخذ في الاعتبار إعادة الاستخدام، التسريبات، التعديلات البشرية، الأجهزة المخترقة، أو تخزين الوجهة.
هل تضيف الرموز دائمًا إنتروبيا أكثر؟
الرموز تزيد حجم الأبجدية عند اختيارها عشوائيًا، لكن إضافة الطول غالبًا ما تعطي فائدة أكبر وأسهل في الاستخدام.