فحوصات أمنية

فاحص قوة كلمة المرور

أدخل طول كلمة المرور وأنواع أحرفها لترى الإنتروبيا المقدّرة بالبتات والتقييم وخطوات التحسين القابلة للتطبيق. يعمل كلياً على جهازك — لا يُرسَل أي مدخل ولا يُخزَّن. اضبط هدف الإنتروبيا القوية ليتوافق مع سياسة الأمان لديك.

آخر مراجعة في ١٤‏/٠٥‏/٢٠٢٦ بواسطة فريق ToolSpilo التحريري.

طريقة المراجعة: تمت المراجعة مقابل إرشادات NIST SP 800-63B وOWASP للمصادقة. تم الحفاظ على بنية الإنتروبيا الحالية وتوضيح أن عبارات المرور يجب أن تستخدم كلمات عشوائية وأنه لا ينبغي إدخال كلمات مرور حقيقية.

أداة الحاسبة

كيف تعمل هذه الحاسبة

استخدم الشرح لفهم طريقة الحساب والافتراضات وحدود النتيجة العملية قبل الاعتماد عليها.

كيف تقيس الإنتروبيا قوة كلمة المرور؟

تُقاس قوة كلمة المرور بـبتات الإنتروبيا — عدد التخمينات الثنائية التي يحتاجها المهاجم لاستنفاد فضاء البحث. المعادلة:

H=log2(N)×LH = \log_2(N) \times L

حيث:

  • HH = الإنتروبيا بالبتات
  • NN = حجم مجموعة الأحرف (عدد الأحرف المختلفة التي يأخذها المهاجم في الحسبان)
  • LL = طول كلمة المرور

يفترض هذا أن كلمة المرور مختارة عشوائياً من مجموعة الأحرف. كلمات المرور غير العشوائية (أنماط لوحة المفاتيح، الكلمات، الاستبدالات) تمتلك إنتروبيا فعلية أقل.

أحجام مجموعات الأحرف

مجموعة الأحرفحجم المجموعة NNإنتروبيا لكل حرف
أحرف صغيرة فقط (a–z)264.70 بت
صغيرة + كبيرة525.70 بت
حروف + أرقام625.95 بت
جميع ASCII القابلة للطباعة946.55 بت

إضافة الأحرف الكبيرة إلى كلمة مرور صغيرة فقط يُضيف بتاً واحداً لكل حرف. إضافة الرموز تُضيف 0.6 بت إضافياً لكل حرف. الطول يضرب هذا — ولهذا قد تتفوق كلمة مرور أطول وبسيطة على أخرى أقصر ومعقدة.

مثال عملي

بنية كلمة المرور: 16 حرفاً، صغيرة + كبيرة + أرقام + رموز → N=94N = 94

H=log2(94)×16=6.55×16104.8 بتH = \log_2(94) \times 16 = 6.55 \times 16 \approx 104.8 \text{ بت}

بسرعة 101210^{12} تخميناً/ثانية (مجموعة GPU حديثة)، يستغرق استنفاد فضاء 104 بت تقريباً 2104/10122.5×10192^{104} / 10^{12} \approx 2.5 \times 10^{19} ثانية — يتجاوز بكثير أي أفق هجوم عملي.

للمقارنة: 8 أحرف، حروف + أرقام فقط → N=62N = 62، H=5.95×8=47.6H = 5.95 \times 8 = 47.6 بت. بنفس سرعة الهجوم، يستغرق استنفاد كامل فضاء البحث نحو 4 أيام.

عتبات التقييم

الإنتروبياالتقييممناسب لـ
< 20 بتضعيف جداًلا تستخدم أبداً
20–40 بتضعيفتطبيقات منخفضة الحساسية وقصيرة الأمد
40–60 بتمقبولحسابات شخصية مع تحديد معدل المحاولات
60–80 بتقويمعظم التطبيقات
80+ بتقوي جداًحسابات حساسة ومفاتيح التشفير

NIST SP 800-63B (المعيار الأمريكي) يوصي بـ8 أحرف على الأقل لكلمات مرور المستخدمين ولا يشترط قواعد تعقيد إلزامية — الطول والتفرد أهم من الاستبدالات المفروضة.

الطول يتفوق على التعقيد

مقارنة بين كلمتَي مرور:

  • P@ssw0rd!1 — 10 أحرف، مجموعة 94 حرفاً → 65.5 بت
  • correct horse battery staple — 28 حرفاً، أحرف صغيرة فقط → 131.6 بت

عبارة المرور تمتلك إنتروبيا أعلى بمرتَين رغم أنها تبدو أبسط. المهاجمون يُشغّلون هجمات قاموسية مع مجموعات قواعد تكسر أنماط الاستبدال (@ بدل a، 0 بدل o) ببساطة. الطول بأحرف لا تتبع أنماطاً متوقعة هو الدفاع الأساسي.

ما لا يقيسه هذا الفاحص

  • هجمات القاموس أو الأنماطqwerty123 تحصل على تقييم مقبول للإنتروبيا لكنها تسقط في ثوانٍ أمام هجوم القاموس
  • التعرض لحوادث اختراق بيانات — كلمة مرور قوية تقنياً يُعاد استخدامها عبر مواقع متعددة تمثّل خطراً عالياً
  • وقت الاختراق الفعلي — الإنتروبيا خاصية بنيوية؛ وقت الاختراق الحقيقي يعتمد أيضاً على خوارزمية التجزئة والتمليح وتحديد معدل المحاولات

الأسئلة الشائعة

هل تُرسَل كلمة مروري لأي مكان؟

لا. يعمل الفاحص كلياً في متصفحك باستخدام JavaScript. لا يُرسَل أي نص لأي خادم ولا يُسجَّل في أي مكان. مع ذلك، أفضل ممارسة هي اختبار كلمة مرور بنفس البنية بدلاً من كلمتك الفعلية — مثلاً إذا كانت كلمة مرورك الحقيقية 14 حرفاً بحالات مختلطة ورموز، اختبر أي تركيب آخر من 14 حرفاً بنفس أنواع الأحرف.

هل الطول أهم من التعقيد؟

نعم، عندما يكون الطول المضاف غير متوقع. إضافة حرف عشوائي حقيقي إلى كلمة مرور تستخدم مجموعة من 94 حرفًا تضاعف مساحة البحث 94 مرة، أي نحو 6.5 بت من الإنتروبيا. أما إضافة رمز في نهاية كلمة مرور متوقعة ففائدتها أقل بكثير.

بالنسبة إلى كلمات المرور التي يحفظها الإنسان، يمكن أن تكون عبارة مرور من 4 إلى 6 كلمات مختارة عشوائيًا قوية وأسهل في الحفظ من كلمة مرور قصيرة ومعقدة. يجب أن تكون الكلمات عشوائية فعلًا؛ الاقتباس أو بيت الشعر أو الجملة الشخصية أو العبارة المشهورة لا تعامل كاختيار عشوائي.

قواعد التعقيد الإلزامية غالبًا تنتج أنماطًا متوقعة مثل Capital1!، وهذه الأنماط موجودة مسبقًا في قواعد التخمين الحديثة.

ما هدف الإنتروبيا المناسب لي؟

الهدف الافتراضي 100 بت حدٌّ عملي لمعظم الحسابات — بسرعات GPU الحديثة (101210^{12} تخمين/ثانية)، تستغرق كلمة مرور 100 بت 101810^{18} ثانية للاختراق بالقوة العمياء.

للسيناريوهات أقل حساسية مع نماذج تسجيل دخول محدودة المعدل، 60 بتاً كافٍ عادةً. لمفاتيح التشفير وكلمات مرور رئيسية أو بيانات اعتماد بدون تحديد للمعدل، اضبط الهدف على 128 بتاً.

لماذا تحصل بعض كلمات المرور 'المعقدة' على درجة أقل من كلمات المرور الطويلة البسيطة؟

الإنتروبيا تتحدد بـحجم المجموعة × الطول، لا بمدى بدو كلمة المرور معقدة للإنسان. كلمة مرور 8 أحرف تستخدم جميع 94 رمزاً ASCII تمتلك ~52 بتاً. كلمة مرور 12 حرفاً بأحرف صغيرة فقط تمتلك ~56 بتاً — وهي أصعب اختراقاً رغم بدوها أبسط.

الدرس العملي: استخدم مدير كلمات مرور لتوليد كلمات مرور عشوائية من 20+ حرفاً. لا حاجة لحفظها، والعشوائية تُلغي ثغرات الأنماط كلياً.