فحوصات أمنية

قوة كلمة المرور بالزمن

أدخل طول كلمة المرور ومجموعة أحرفها وسرعة المهاجم لترى متوسط وقت الاختراق بالقوة العمياء. اضبط سرعة الهجوم لمقارنة تسجيلات الدخول الإلكترونية المحدودة المعدل مقابل سيناريوهات اختراق التجزئة مباشرةً. للاستخدام التعليمي — لإيضاح لماذا الطول والعشوائية هما دفاعك الأساسي.

آخر مراجعة في ١٤‏/٠٥‏/٢٠٢٦ بواسطة فريق ToolSpilo التحريري.

طريقة المراجعة: تمت المراجعة مقابل إرشادات NIST SP 800-63B وOWASP لتخزين كلمات المرور والمصادقة. تم الحفاظ على نموذج وقت الاختراق الحالي وتخفيف لغة توقيت bcrypt لأن السرعات تختلف حسب التنفيذ والعتاد.

أداة الحاسبة

كيف تعمل هذه الحاسبة

استخدم الشرح لفهم طريقة الحساب والافتراضات وحدود النتيجة العملية قبل الاعتماد عليها.

نموذج القوة العمياء

يجرّب هجوم القوة العمياء كل تركيب ممكن حتى يجد كلمة المرور الصحيحة. إجمالي فضاء البحث هو:

S=NLS = N^L

حيث:

  • SS = إجمالي كلمات المرور الممكنة
  • NN = حجم مجموعة الأحرف (الأحرف المختلفة التي يأخذها المهاجم في الحسبان)
  • LL = طول كلمة المرور

متوسط وقت الاختراق يفترض أن المهاجم يعثر على كلمة المرور في منتصف فضاء البحث:

T=S×pGT = \frac{S \times p}{G}

حيث:

  • TT = متوسط وقت الاختراق بالثواني
  • pp = نسبة فضاء البحث المفحوص (عادةً 50% للمتوسط)
  • GG = تخمينات المهاجم في الثانية

سرعة الهجوم حسب السيناريو

المتغير الأهم هو GG — الذي يعتمد كلياً على سيناريو الهجوم:

السيناريوسرعة الهجوممثال
تسجيل دخول إلكتروني (بدون تحديد معدل)~100/ثانيةنموذج ويب بدون قفل
تسجيل دخول إلكتروني (محدود المعدل)~10/ثانيةتأخيرات مفروضة بثانية
تجزئة MD5 مباشرةً~101010^{10}/ثانيةGPU حديث مفرد
تجزئة SHA-256 مباشرةً~10910^9/ثانيةGPU حديث مفرد
bcrypt (تكلفة 12) مباشرةً~10410^4/ثانيةنفس GPU — أبطأ 100,000 مرة
مزرعة GPU موزعة~101410^{14}/ثانيةجهة حكومية أو إجرامية

bcrypt (وArgon2 وscrypt) مصممة لتكون بطيئة. التحقق بـ bcrypt لمدة ثانية واحدة بـ GPU واحد يسمح بـ ~1,000 تخمين فقط في الثانية. نفس كلمة المرور خلف MD5 يستغرق ميكروثانية لكل تخمين — مما يجعل bcrypt cost 12 مقابل MD5 فرقاً بمقدار 6 رتب في المقاومة الحقيقية.

مثال عملي

كلمة المرور: 10 أحرف، حروف + أرقام + رموز (N=94N = 94) سرعة الهجوم: 101010^{10} تخمين/ثانية (MD5 مباشرةً)

S=94105.39×1019S = 94^{10} \approx 5.39 \times 10^{19}

T=5.39×1019×0.510102.7×109 ثانية85 سنةT = \frac{5.39 \times 10^{19} \times 0.5}{10^{10}} \approx 2.7 \times 10^9 \text{ ثانية} \approx 85 \text{ سنة}

نفس كلمة المرور ضد تسجيل دخول إلكتروني محدود المعدل (G=10G = 10/ثانية):

T5.39×1019×0.5102.7×1018 ثانيةT \approx \frac{5.39 \times 10^{19} \times 0.5}{10} \approx 2.7 \times 10^{18} \text{ ثانية}

نفس كلمة المرور المكونة من 10 أحرف تصبح غير قابلة للاختراق عملياً ضد نموذج محدود المعدل — ليس لأن كلمة المرور أقوى، بل لأن سرعة الهجوم انخفضت بـ 9 رتب.

الطول مقابل التعقيد: الأثر الحقيقي

نفس مجموعة الأحرف (N=94N = 94) وأطوال مختلفة، MD5 مباشرةً:

الطولفضاء البحثوقت الاختراق @ 101010^{10}/ثانية
86.1×10156.1 \times 10^{15}~3.5 أيام
105.4×10195.4 \times 10^{19}~85 سنة
124.8×10234.8 \times 10^{23}~750,000 سنة
144.2×10274.2 \times 10^{27}~13 مليار سنة

كل حرف إضافي يضرب فضاء البحث في N=94N = 94. إضافة حرفَين تُغير وقت الاختراق من أيام إلى قرون.

ما لا تستوعبه هذه الحاسبة

هجمات القاموس — الهجمات الحقيقية تبدأ بقوائم الكلمات ومجموعات القواعد قبل القوة العمياء. Password1! لديها وقت اختراق نظري بمئات السنين لكنها تسقط في ثوانٍ أمام هجوم قاموس.

حشو بيانات الاعتماد — إذا ظهرت كلمة المرور في اختراق سابق فستُكسَر فوراً بغض النظر عن إنتروبيتها.

التمليح — التمليح الصحيح يمنع هجمات جداول قوس قزح المحسوبة مسبقاً. تجزئات MD5 غير المملّحة قابلة للاختراق بجداول بحث بحساب قريب من الصفر.

الأسئلة الشائعة

هل يجب إدخال كلمة مروري الحقيقية؟

لا. لا تُدخل كلمة مرور حقيقية في أي أداة إلكترونية. اختبر نمطاً بنفس الطول وأنواع الأحرف — مثلاً إذا كانت كلمة مرورك الفعلية 14 حرفاً بحالات مختلطة ورموز، أدخل أي تركيب من 14 حرفاً لنمذجة البنية دون الكشف عن بيانات الاعتماد الفعلية.

لماذا يكون bcrypt أبطأ بكثير في الاختراق من MD5؟

MD5 وSHA-256 دوال تجزئة للأغراض العامة مصممة لتكون سريعة. أما bcrypt فهو دالة تجزئة كلمات مرور مصممة عمدًا بمعامل تكلفة يجعل كل محاولة تحقق أبطأ.

السرعة الدقيقة تختلف حسب العتاد والتنفيذ وإعداد التكلفة وهل الاختبار إلكتروني أم دون اتصال. الدرس العملي ثابت: التجزئات السريعة تجعل حملات التخمين الواسعة أسهل، بينما صممت دوال مثل bcrypt وArgon2id وscrypt لرفع تكلفة كل تخمين.

لتخزين كلمات المرور، اتبع الإرشادات الأمنية الحديثة وتجنب تخزينها كتجزئات MD5 أو SHA-1 أو SHA-256 غير مملحة.

ما سرعة الهجوم التي يجب استخدامها لسيناريوهي؟

استخدم سرعة الهجوم المناسبة لنموذج التهديد لديك:

  • حسابات إلكترونية مع تحديد معدل المحاولات: 10–100 تخمين/ثانية. معظم الحسابات لديها سياسات قفل — هذا يمثل أعلى تهديد إلكتروني واقعي.
  • MD5/SHA-1 مباشرةً: 10910^9101010^{10}/ثانية — واقعي إذا سُرّبت قاعدة التجزئة وكانت التجزئات غير مملّحة.
  • bcrypt مباشرةً (تكلفة 10–12): 10310^310410^4/ثانية — المعيار لقواعد بيانات كلمات المرور المؤمّنة بشكل صحيح.
  • مجموعات GPU كبيرة: حتى 101410^{14}/ثانية للتجزئات السريعة — ينطبق على أهداف عالية القيمة تحت هجمات متطورة.
لماذا تهم الإنتروبيا أكثر من قواعد التعقيد؟

قواعد التعقيد الإلزامية (حرف كبير + رقم + رمز) انتشرت بسبب توجيه NIST قديم تم سحبه لاحقاً. السبب: الأنماط المتوقعة ليست إنتروبيا. البشر الذين يجب عليهم تضمين حرف كبير ورمز ينتجون بشكل موثوق Capital1! أو P@ssw0rd — أنماط موجودة في كل قاموس كلمات مرور حديث.

NIST SP 800-63B (التوجيه الحالي) يوصي بالطول على قواعد التعقيد. كلمة مرور عشوائية من 16 حرفاً بأحرف صغيرة فقط توفر ~75 بتاً من الإنتروبيا — كافٍ لمقاومة أي هجوم مباشر واقعي. عدم القدرة على التنبؤ هو المهم، لا توزيع أنواع الأحرف.