أداة كلمات المرور

اختر البلد والمنطقة واللغة

لن يؤدي تغيير اللغة إلى تغيير كلمات المرور الحالية أو إعادة إنشائها.

الأمريكتان

أوروبا والشرق الأوسط وأفريقيا

آسيا والمحيط الهادئ

الإصدارات الإقليمية والعالمية

إصدارات 60 دولة ومنطقة وعالمية · ابحث في الأسماء المحلية والإنجليزية RTL: AFBROMYIT / العربية · تظل كلمات المرور LTR

مولد سر توقيع JWT

قم بإنشاء سر توقيع JWT آمن لـ URL بطول 64 حرفًا محليًا وتعلم كيف يؤثر طول مفتاح HMAC، متغيرات البيئة، مديري الأسرار، وتدوير المفاتيح على أمان النشر.

تُنشأ محليًا · لا تُرفع ولا تُحفظ

كلمات المرور المُنشأة

الافتراضي 10 أحرف · 10 كلمات مرور · أحرف كبيرة + أحرف صغيرة + أرقام

تحليل محلي شفاف

العشوائية وتوزيع الأحرف

يلخص هذا الرسم البياني الدفعة الحالية المُنشأة دون كشف نص كلمة المرور الخاصة بها. لا يمكن لعينة صغيرة إثبات جودة الأرقام العشوائية.

العشوائية وتوزيع الأحرف
حجم العينة0
سقف الإنتروبيا النظري
أحرف كبيرة0
أحرف صغيرة0
أرقام0
رموز0
كلمات عبارة المرور المتكررة0

يفترض السقف أن نموذج المولد المُختار منتظم. وهو ليس ضمانًا لكلمة مرور مُعاد استخدامها أو مُختارة بشريًا أو مكشوفة.

مساحة عمل أمان محلية

سجل التوليد والتصدير للجلسة فقط

تحتفظ هذه اللوحة ببيانات الدفعة الوصفية فقط في تخزين الجلسة. يبقى نص كلمة المرور في الذاكرة ويتم تصديره فقط إذا اخترت ذلك صراحةً.

تحذير: قد تحتوي الملفات المصدرة على كلمات مرور حساسة. احفظها فقط في مكان موثوق.

الدفعات المحلية الأخيرة

الدفعات المحلية الأخيرة
الوقتالوضعالعددالطولالإنتروبيا

قم بتوليد دفعة كلمات مرور لرؤية البيانات الوصفية المحلية هنا.

فحص الأمن المحلي

مقدر وقت كسر كلمة المرور

تعرف على مدى تأثير الكلمات والأنماط والطول الشائع على وقت الهجوم المقدر.

تقييمها فقط في هذا المتصفح. لم يتم تحميلها أو تسجيلها أو حفظها مطلقًا.

الوقت المقدر · التجزئة السريعة دون الاتصال بالإنترنت (10 مليار تخمين/ثانية)

أدخل كلمة مرور للتقدير

قارن بين أربعة سيناريوهات للهجوم
عبر الإنترنت، السعر محدود (100/ساعة)
عبر الإنترنت، لا يوجد حد للسعر (10/الثانية)
غير متصل، تجزئة بطيئة (10000/الثانية)
غير متصل، تجزئة سريعة (10 مليار/ثانية)

تقدير فقط - وليس ضمانا. يعتمد الوقت الفعلي على تخزين كلمة المرور، وتكلفة التجزئة، وأجهزة المهاجم، وما إذا كان سيتم إعادة استخدام كلمة المرور أو كشفها.

حول هذا المولد

يقوم هذا الإعداد المسبق بإنشاء قيمة عالية الإنتروبيا آمنة لـ URL لتوقيع HMAC JWT. إنه سر مطور، وليس كلمة مرور مستخدم، ولا يغادر هذا المتصفح أبدًا.

تبدأ هذه الإعدادات المسبقة بوضع url-safe وتنتج 10 نتيجة مستقلة في كل مرة. تظل جميع الإعدادات المرئية قابلة للتعديل، ولا يتم إرسال القيم المُنشأة إلى PwdGen.

متى يُستخدم

  • إنشاء بيانات اعتماد جديدة لحالة الاستخدام هذه
  • استبدال كلمة مرور معاد استخدامها أو ضعيفة
  • توليد القيم محليًا قبل التخزين الآمن

حجم الأبجدية والإنتروبيا وافتراضات القوة الغاشمة

يتم حساب سقف الإنتروبيا النظري كالتالي: H = L × log2(A)، حيث L هو الطول المُنشأ وA هو عدد الأحرف المسموح بها حاليًا.

الطولالأبجديةفضاء البحثسقف الإنتروبياالمتوسط عند 10 مليارات تخمين/ثانية
64646464384.0 بت6.24e97 years

هام: هذه تقديرات رياضية لقيم عشوائية موحدة. يمكن للمواضع المطلوبة، والأعداد المقيدة، وكلمات المرور المتكررة، والأنماط المعجمية، وبيانات الاعتماد المسربة، وتكاليف تجزئة كلمات المرور الحقيقية أن تغير النتيجة بشكل كبير. الرقم ليس ضمانًا أمنيًا.

إرشادات نشر مفتاح توقيع JWT

بالنسبة لـ HS256، استخدم على الأقل 256 بت من مادة المفتاح العشوائي الموحد. تستخدم HS384 وHS512 أحجام إخراج SHA-2 مختلفة، لكن اختيار خوارزمية أطول لا يصلح التحقق الضعيف أو المفاتيح المسربة أو أخطاء الخلط بين الخوارزميات.

التوليد المكافئ في الطرفية وNode.js

openssl rand -hex 32
import { randomBytes } from 'node:crypto';

const jwtSecret = randomBytes(32).toString('hex');

التخزين والتدوير

  • احتفظ بمفاتيح التوقيع خارج Git، وحزم الواجهة الأمامية، وعناوين URL، والتحليلات، وسجلات التطبيق.
  • استخدم مدير أسرار، أو Vault، أو KMS، أو متغير بيئة محمي.
  • استخدم استراتيجية kid مُتحكم بها عند تدوير المفاتيح.
  • اختر RS256 أو ES256 عندما يجب أن يحتفظ المدققون بمفتاح عام فقط.

Hex وBase64 وBase64URL هي ترميزات—وليست تشفيرًا. يأتي الأمان من البايتات العشوائية وكيفية حماية مفتاح التوقيع.

كيفية استخدام النتيجة بأمان

  1. تحقق من قواعد كلمة المرور الحالية للوجهة
  2. استخدم نتيجة فريدة وقم بتمكين MFA حيثما أمكن
  3. قم بتخزين رموز الاسترداد بشكل منفصل عن كلمة المرور
قيود مهمة: القيمة المُنشأة لا يمكنها إصلاح ارتباك الخوارزمية، تعرض المفتاح من جانب العميل، التحقق الضعيف، أو التوزيع غير الآمن للسر. يُفضل استخدام المفاتيح المُدارة والتوقيع غير المتماثل عندما تتطلب البنية ذلك.

طريقة التوليد والخصوصية

يستخدم الإعداد المسبق Web Crypto API في المتصفح للاختيار العشوائي. إعادة التوليد، وتغيير الإعدادات، والاختيار، والنسخ لا ترسل بيانات الاعتماد المُنشأة إلى PwdGen. كما أن مقدر وقت اختراق كلمة المرور يعمل محليًا وهو تقدير وليس ضمانًا.

مولد سر توقيع JWT FAQ

كم يجب أن يكون طول سر HS256 JWT؟

استخدم على الأقل 256 بت من مادة المفتاح العشوائي المنتظم لـ HS256. تقوم هذه الصفحة بإنشاء قيمة بطول 64 حرفًا من أبجدية Base64URL، مما يوفر مساحة بحث نظرية أكبر عند التوليد المنتظم.

هل يجب تخزين سر JWT في متغير بيئة؟

متغير البيئة أكثر أمانًا من كود المصدر ولكنه قد يتسرب من خلال فحص العملية، السجلات، أو أدوات النشر. يُفضل استخدام مخزن أسرار مُدار أو KMS للأنظمة الإنتاجية.

متى يجب استخدام RS256 أو ES256 بدلاً من HMAC؟

استخدم التوقيع غير المتماثل عندما لا يجب أن يمتلك المدققون مفتاح التوقيع الخاص أو عندما تحتاج خدمات متعددة إلى التحقق من المفتاح العام. احمِ المفتاح الخاص وقم بتدوير المفاتيح باستراتيجية معرف مفتاح مُتحكم بها.