دليل الأمان

كلمة المرور مقابل عبارة المرور

مقارنة بين كلمات المرور العشوائية وعبارات المرور العشوائية، بما في ذلك سهولة التذكر والإنتروبيا والتخزين وحالات الاستخدام الآمنة.

ملخص

كلمة المرور عادة ما تكون سلسلة من الأحرف العشوائية. عبارة المرور عادة ما تكون تسلسلاً من الكلمات. يمكن لأي منهما أن يكون قوياً إذا تم إنشاؤه عشوائياً وفريداً وتم تخزينه أو حفظه بأمان. يعتمد الاختيار الصحيح على ما إذا كنت بحاجة إلى أقصى قدر من الاكتناز أو سهولة الكتابة أو سهولة التذكر.

استخدم مولد عبارات المرور عندما تريد كلمات عشوائية، أو مولد كلمات المرور عندما يتوقع الموقع كلمة مرور مكونة من أحرف.

كلمات المرور المكونة من أحرف عشوائية

كلمات المرور المكونة من أحرف عشوائية فعالة: كل حرف يمكن أن يضيف مساحة بحث. إنها مثالية لمديري كلمات المرور ولوحات الإدارة وشبكات WiFi والخدمات المصرفية والبريد الإلكتروني وأسرار المطورين. الجانب السلبي هو صعوبة حفظها وعدم راحة كتابتها على لوحات المفاتيح الصغيرة.

عبارات المرور المكونة من كلمات عشوائية

عبارات المرور أسهل في القراءة والكتابة. الكلمة المهمة هي “عشوائية”. الجملة التي تبتكرها، أو اقتباس، أو كلمات أغنية، أو عبارة مألوفة قد يتم تخمينها بواسطة أدوات تعتمد على الأنماط. يجب أن تتكون عبارة المرور من كلمات مختارة بشكل مستقل من قائمة كبيرة بما يكفي.

توصيات عملية

استخدم كلمات مرور عشوائية لمعظم الحسابات المخزنة في مدير كلمات المرور.
استخدم عبارات مرور لبيانات الاعتماد التي قد تحتاج إلى تذكرها.
لا تعيد استخدام أي من التنسيقين.
تجنب العبارات الشخصية والاقتباسات والأسماء والتواريخ.
تحقق مما إذا كانت المسافات أو الفواصل مقبولة من قبل الوجهة.

إرشادات مفصلة

يركز هذا الدليل على الاختيار بين كلمات المرور العشوائية وعبارات المرور العشوائية. إنه مكتوب للأشخاص الذين يحتاجون إلى كل من كلمات المرور الآمنة المخزنة وأسرار تسجيل الدخول التي يمكن تذكرها، لذا فإن الهدف العملي ليس إنشاء ادعاء أمني دراماتيكي. الهدف هو اختيار عادة كلمة مرور يمكنها الصمود في الاستخدام اليومي: نماذج تسجيل الدخول، ومديري كلمات المرور، ولوحات المفاتيح المحمولة، واستعادة الحساب، والأجهزة المشتركة، والخدمة العرضية ذات قواعد التحقق الغريبة. التوصية الآمنة مفيدة فقط إذا كان بإمكان شخص حقيقي اتباعها باستمرار.

نقطة البداية الأكثر أماناً هي العشوائية بالإضافة إلى التفرد. العشوائية تعني أن القيمة يتم اختيارها من مساحة كبيرة بواسطة مصدر عشوائي مناسب للتشفير، وليس اختراعها من تاريخ ميلاد أو اسم حيوان أليف أو نمط لوحة مفاتيح أو اقتباس مفضل. التفرد يعني عدم استخدام نفس كلمة المرور في أي مكان آخر. كلمة المرور الطويلة ولكن المعاد استخدامها يمكن أن تفشل بسرعة بعد اختراق غير ذي صلة، بينما كلمة المرور العشوائية الفريدة تحد من الضرر إلى الحساب الوحيد الذي استخدمت فيه.

لهذا الموضوع، الإعداد العملي هو أربع إلى ست كلمات عشوائية لسهولة التذكر، أو أحرف عشوائية لتخزين مدير كلمات المرور. يمكنك تطبيق هذا الإعداد باستخدام مولد عبارات المرور ثم تخزين القيمة النهائية في مدير كلمات مرور موثوق. يقوم PwdGen بإنشاء القيم محلياً في المتصفح باستخدام Web Crypto؛ لا يتم إرسال كلمة المرور المُنشأة إلى خادم PwdGen. هذا التصميم المحلي يقلل من التعرض من جانب الخادم، لكنه لا يحمي من كل تهديد. إضافة متصفح ضارة أو جهاز مخترق أو صفحة تصيد أو معالجة غير آمنة للحافظة يمكن أن تكشف السر بعد إنشائه.

المشكلات الأكثر شيوعاً التي يجب تجنبها هي العبارات المكتوبة بخط اليد والاقتباسات الشهيرة وكلمات الأغاني والشعارات الشخصية والعبارات من القاموس التي يختارها الإنسان. هذه المشكلات مهمة لأن المهاجمين نادراً ما يحتاجون إلى تجربة كل كلمة مرور محتملة عندما تعطيهم العادات البشرية اختصاراً. حشو بيانات الاعتماد والتصيد وقوائم كلمات المرور المسربة وإساءة استخدام استعادة الحساب غالباً ما تكون أكثر واقعية من البحث الرياضي البحت. لهذا السبب تجمع أفضل نصيحة بين جودة كلمة المرور والضوابط على مستوى الحساب مثل المصادقة متعددة العوامل ومفاتيح المرور وتخزين رموز الاستعادة والمراجعة المنتظمة لإعدادات البريد الإلكتروني أو الهاتف لاستعادة الحساب.

استخدم قائمة التحقق هذه عند تطبيق التوصية:

استخدم كلمات مختارة عشوائياً، وليس جملة تبتكرها.
حافظ على تناسق الفواصل مع نموذج الوجهة.
لا تعيد استخدام عبارة مرور عبر الحسابات.
استخدم مدير كلمات مرور لكلمات المرور الطويلة العشوائية.

إذا رفض موقع الويب الإعداد المثالي، لا تجبر كلمة المرور على نمط أضعف يدوياً. اضبط متغيراً واحداً في كل مرة. إذا تم رفض الرموز، احتفظ بالأحرف الكبيرة والصغيرة والأرقام مفعلة وقم بزيادة الطول. إذا كان الحد الأقصى للطول منخفضاً، استخدم أكبر طول مقبول وتأكد من أن القيمة فريدة. إذا كان يجب قراءة كلمة المرور بصوت عالٍ أو طباعتها أو كتابتها على شاشة تلفزيون أو جهاز توجيه، فكر في استبعاد الأحرف المربكة وزيادة الطول للتعويض عن الأبجدية الأصغر.

أخيراً، تذكر حدود نصيحة كلمة المرور. كلمة المرور القوية هي طبقة واحدة من الدفاع، وليست ضماناً. لا يمكنها جعل صفحة التصيد آمنة أو إصلاح البرامج الضارة أو التعويض عن خدمة تخزن بيانات الاعتماد بشكل سيء. العادة المفيدة مملة ولكنها دائمة: أنشئ قيمة فريدة، وخزنها بأمان، واحم مسار الاستعادة، واستبدلها بسرعة إذا اشتبهت في التعرض.

الأسئلة الشائعة

هل عبارة المرور دائماً أقوى من كلمة المرور؟

لا. يمكن أن تكون عبارة المرور العشوائية قوية، لكن الاقتباس المألوف أو الجملة ليس مكافئاً للكلمات المختارة عشوائياً.

متى يجب أن أختار عبارة مرور؟

اختر عبارة مرور عندما قد تحتاج إلى تذكرها أو كتابتها يدوياً، خاصةً لبيانات اعتماد مدير كلمات المرور الرئيسية.

كم عدد الكلمات التي يجب أن تستخدمها عبارة المرور؟

أربع كلمات عشوائية هي نقطة بداية عملية؛ أضف المزيد من الكلمات للاستخدامات عالية القيمة أو قوائم الكلمات الأصغر.

المصادر

NIST Digital Identity Guidelines