ما هو تشتت كلمة المرور؟

يُقاس التشتت (الإنتروبي) مدى عدم التنبؤ بسرد كلمة المرور. ويُحسب كالتالي: H = L × log₂(N)، حيث يُمثل L طول كلمة المرور وN حجم المجموعة المكونة من الأحرف. كلما زاد التشتت، زادت الحاجة إلى محاولات لاختراقها. يمتلك كلمة مرور عشوائية من 16 حرفًا مُكوّنة من كل الأحرف المطبقة في مجموعة ASCII تقريبًا 105 بت من التشتت، وهو ما يفوق بكثير كلمة تحتوي على تبديلات ل33ت.

هل تُعتبر الجملة المُختصرة أكثر أمانًا من كلمة مرور معقدة؟

نعم، إذا تم اختيار الكلمات عشوائيًا. تمتلك عبارة مكونة من 4 كلمات من نظام Diceware حوالي 51 بت من التباين — مماثلة أو أفضل من معظم الأوصاف المعقدة التي يُصنعها الناس فعليًا، وتحقيق هذا التباين في الممارسة يعتمد على أن الألعاب التصنيعية عشوائية حقًا. أما الكلمة التي تُستخدم فيها تغييرات، فهي ليست عشوائية، حتى لو كانت مُظهرة معقدة.

ما يُقوله NIST حول تعقيد كلمة المرور؟

توصي معايير NIST SP 800-63B (2017) بتجنب إلزام القواعد المعقدة والدوران الدوري. وتوصي بطول كلمة كعامل رئيسي، وفحص كلمات المرور ضد قواعد البيانات المُختلَفة، وتمكين كلمات مرور تصل إلى 64+ حرفًا. لا تزال معظم سياسات المؤسسات تُبقي خلف هذه المبادئ.

لماذا تجعل تغيير الأذونات المُجبرة الأمور أسوأ؟

عندما يُجبر الناس على تغيير كلمات المرور وفقًا لجدول زمني، فإنهم يُغيّرونها بطرق متوقعة تدريجياً: كلمة المرور1 → كلمة المرور2، أو إضافة الموسم الحالي والعام. وتم تسجيل هذا الظاهرة بشكل واسع في بيانات الاختراق. ويتضمن الآن توصية نيس تجنب تغيير كلمات المرور وفقًا لجدول زمني إلا في حالة وجود دليل محدد على اختراق.

لا تحب الإعلانات؟ يذهب خالية من الإعلانات اليوم 

لماذا لا يُعتبر P@ssword1 آمنًا في الواقع

تحديث في 6 يونيو 2026

كانت قواعد تعقيد كلمة المرور مُفترضة لتكون أمانًا أفضل. لكنها أنتجت "Password1!" في كل مكان. إليك ما يعنيه التباين الفعلي، لماذا يفوق الطول التعقيد، وما اكتشفه NIST في عام 2017.

إعلان · حذف؟

تُتبع سياسة كلمة المرور في معظم الشركات شيئًا من هذا النوع: 8 أحرف على الأقل، وحرف كبير على الأقل، وحرف صغير على الأقل، ورقم على الأقل، ورمز خاص على الأقل. وفي مكان ما، يعتقد مدير تقنية المعلومات أن هذا يُعتبر وسيلة لتأمين الأمور.

بينما تُحقق "Password1!" كل متطلبات هذه الأحكام، كذلك "P@ssw0rd1"، و"Summer2024!". تظهر هذه الأوصاف بشكل منتظم في قواعد بيانات الاختراق — ليس على الرغم من قواعد التعقيد، بل جزئيًا بسببها.

لماذا تفشل قواعد التعقيد؟

عندما يُطلب من الناس إضافة حرف كبير، ورقم، ورمز، فإنهم لا يخلقون عشوائية، بل يلتزمون بأنماط. يُحَدِّد الحرف الأول بحروف كبيرة. يُستبدل 'a' بـ '@' و'و' بـ '0'. يُنتهي بـ '1!' أو السنة الحالية. تشمل كل قواعد تحليل كلمات المرور هذه التحولات. تُستخدم "القائمة المُسبقة + التبديلات الشائعة + إضافة أرقام ورموز" على قواعد بيانات كلمات مُختلَفة كأداة هجوم، وتعمل لأنها هي بالضبط ما تدربه السياسة على الناس لفعله.

تُعطي مطلب التعقيد وهمًا بخصوص الأمان، بينما توجه المستخدمين بشكل منهجي نحو أنماط قابلة للتنبؤ. إنها مسرحية أمان مع خطوات إضافية.

الانسجام: الشيء الذي يهم حقًا

تُعتمد قوة كلمة المرور على الانسجام — مقياس للعدم توقع. الصيغة بسيطة:

H = L × log₂(N)

حيث L هي طول كلمة المرور و ن هي حجم المجموعة المُستخدمة لاختيار الأحرف. كل بيت يزيد يزيد من عدد المحاولات المطلوبة ويُصبح أصعب التغلب عليه.

الكلمة المهمة هي مُستمدة من. تفترض هذه الصيغة أن كل حرف يتم اختياره عشوائيًا من بين N احتمالات. في اللحظة التي يختار فيها الإنسان الأحرف، تنتهي الأمل — لأن البشر غير متمكّنون من التصرف عشوائيًا.

الإحصائيات

إليك مقارنة بين استراتيجيات كلمات المرور الشائعة:

نوع كلمة المرور	مثال	الانسجام الأقصى النظري	الانسجام الفعلي في الواقع
8 أحرف "مُعقدة" (كلمة + تبديلات)	P@ssw0rd	~52 بت	~20 بت — يستخدم المهاجمون تحليلات مبنية على القواعد
10 أحرف "مُعقدة" (كلمة + رقم + رمز)	P@ssw0rd1!	~65 بت	~28 بت — نفس المشكلة، لكن أطول قليلاً
مُصطلحات 4 كلمات من Diceware	correct horse battery staple	~52 بت	~52 بت — إذا استخدمت الألعاب العشوائية
مُصطلحات عشوائية 16 حرف (مُطبقة كاملة)	Xk9#mP2vQw7&nZ4j	~105 بت	~105 بت — فقط يمكن تحقيقها باستخدام مدير كلمات المرور

"correct horse battery staple" و "P@ssw0rd" لديهما نفس الانسجام النظري على الورق — لكن فقط المُصطلحات تحقق هذا، لأن رمي الألعاب يُنتج عشوائية حقيقية، بينما "كلمة مرور مع استبدال o→0 و a→@" ليست كذلك. يعلم المهاجمون كل قواعد التبديل التي تعرفها.

ما اكتشفه NIST في 2017

أصدرت نشرة NIST 800-63B تغييرًا سريًا في مفهوم العقود القديمة. التغييرات الرئيسية في النسخة 2017:

لا توجد قواعد إلزامية للتعقيد. الإجبار على استخدام حروف كبيرة/صغيرة/أرقام/رموز لا يُحسن الأمان كما افترض الجميع.
لا توجد إجبارية للفترة المنتظمة. "تغيير كلمة المرور كل 90 يومًا" تُنتج Password1 → Password2 → Password3. ما لم تكن هناك دلائل على اختراق، فإن التغيير يسبب أضرارًا أكثر من فوائد.
الطول يفوق التعقيد. كلمة مرور أطول تكون أمانًا أفضل من كلمة مرور قصيرة مع تعقيد. يُوصي NIST بحد أدنى 8 أحرف، ويُقترح السماح بحد أقصى 64 حرفًا.
التحقق من كلمات المرور المُختلَفة. أوقف كلمات المرور التي تظهر في قواعد بيانات الاختراق. هذا أكثر فعالية من الطلب على رمز خاص.

الكثير من أقسام تقنية المعلومات في المؤسسات تُدير سياسات من عام 2003 حتى عام 2025. تغيرت التوجيهات. لم تُحدث واجهات كلمة المرور التغيير.

مُصطلحات مُختلَفة مقابل كلمات مرور مُعقدة

الرسم البياني "correct horse battery staple" لم يكن مجرد سخرية — فإن الحساب يُثبت. تُنتج مُصطلحات مكونة من أربع كلمات عشوائية من كلمات شائعة حوالي 44-52 بت من الانسجام. هذا يفوق معظم كلمات المرور المُعقدة التي يُنتجها الناس في الواقع، ويُمكن أن يُذكرها الإنسان بسهولة.

الشرط: يجب أن تكون الكلمات عشوائية حقًا. "أنا حيوان مكسي يحب البيتزا" ليست مُصطلحًا — إنها جملة تحتوي على سياق شخصي تقلل من مساحة البحث بشكل كبير. اختر الكلمات باستخدام الألعاب (Diceware) أو مولد عشوائي مناسب، لا تستخدم عقلك.

الأساطير الشائعة حول أمان كلمات المرور

الأساطير: الرموز الخاصة تجعل كلمات المرور آمنة. فقط إذا كانت الكلمة الأساسية عشوائية. إضافة "!" إلى كلمة مرور مبنية على كلمة تضيف حوالي 6 بت من الانسجام، وتقريبًا لا شيء في هجوم مبني على القواعد.
الأساطير: كلمات المرور الطويلة صعبة الكتابة، لذا فهي أسوأ من حيث تجربة المستخدم. مُصطلح من 4 كلمات أطول من حيث الأحرف، لكنه غالبًا ما يكون أسهل في الكتابة من Tr0ub4dor&3.
الأساطير: التغيير المتكرر يُعدّ أفضل أمان. تُظهر بيانات الاختراق بشكل متكرر أن التغيير المُفرض يؤدي إلى تغييرات متوقعة. يُوصي NIST الآن بتجنبه ما لم تكن هناك دلائل على اختراق.
الأساطير: مدير كلمات المرور محفوف بالمخاطر لأنه إذا تم اختراقه، يُعرض كل شيء. الخيار البديل — إعادة استخدام كلمات ضعيفة عبر المواقع — يُعرض كل شيء عند اختراق أي خدمة تستخدمها. يتفوق مدير كلمات المرور من حيث القيمة المتوقعة.

ما الذي ينجح حقًا؟

استخدم مدير كلمات المرور وأذن له بإنشاء كلمات مرور طويلة وعشوائية (16+ حرف، مجموعة كاملة من الأحرف). تذكر كلمة مرور قوية واحدة؛ يُدير المدير باقي الأشياء. تُعتبر Bitwarden، 1Password، وKeePassXC خيارات منطقية حسب ما إذا كنت ترغب في التسجيل السحابي أو التسجيل المحلي فقط.

استخدم مُصطلحات Diceware لأي شيء تحتاجه لكتابة أو تذكره. رمي الألعاب الفعلية، وابحث عن الكلمات في قائمة الكلمات الكبيرة من EFF، وانسَب أربع أو خمسة كلمات معًا. لا تُغفل الألعاب — اختيار الكلمات بنفسك يُبطل الهدف تمامًا.

يمكنك التحقق من مكان تقع كلمة المرور على مقياس الانسجام باستخدام مُحلل قوة كلمة المرور — يُظهر وقت التفكك الحقيقي بدلًا من التظاهر الأخضر/الأصفر/الحمراء الذي تقدمه معظم المواقع. وإذا كنت بحاجة إلى كلمة مرور عشوائية مُولدة بشكل صحيح، فإن مولد كلمة السر يُمكنك تعيين الطول والمجموعة المُستخدمة ويُنتج شيئًا لا يشبه "Summer2025!".

الاستنتاج الحقيقي

أُثبتت قواعد التعقيد. هي مُدمجة في كل سياسة مؤسسية، في كل تسجيل حساب للمستهلك، في كل "يجب أن تحتوي كلمة المرور على...". لكنها فشلت أيضًا — تُملأ قواعد بيانات الاختراق بالكلمات المُحددة التي تُنتجها هذه القواعد.

الطول والانسجام الحقيقي هما العوامل التي تؤثر على الانسجام. كل شيء آخر هو مربع يُظهر أن كلمة المرور تُفعل شيئًا.