شرح إنتروبيا كلمة المرور — ولماذا كلمة المرور "المعقدة" الخاصة بك أضعف من عبارة المرور

"اجعل كلمة مرورك معقدة" نصيحة عديمة الفائدة. تخبرك بإضافة رمز ورقم كما لو أن ذلك جعل كلمة المرور آمنة. إنه لا يفعل. المقياس الوحيد الصادق لقوة كلمة المرور هو الإنتروبيا، ومعظم كلمات المرور "المعقدة" تحقق درجات أسوأ فيها مما تعتقد.

ما الذي تقيسه الإنتروبيا بالفعل

الإنتروبيا هي عدد بتات العشوائية في كلمة مرورك — بعبارة أخرى، عدد المحاولات التي يحتاجها المهاجم في المتوسط لكسرها بالقوة الغاشمة. يتم حسابها كـ الطول × log₂(حجم المجموعة).

مثال: كلمة مرور من 10 أحرف تستخدم فقط أحروفاً صغيرة (المجموعة = 26) لها إنتروبيا 10 × log₂(26) ≈ 47 بت. كلمة مرور من 10 أحرف تستخدم أحروفاً صغيرة وكبيرة وأرقاماً ورموزاً (المجموعة = 88) لها 10 × log₂(88) ≈ 64.6 بت. نفس الطول، لكن المجموعة الأكبر تجعل كل حرف يعمل بجد أكثر.

كم عدد البتات "الآمنة"؟

عتبات حديثة تقريبية (بافتراض كلمة مرور مدمجة بشكل جيد تنجو من تسرب قاعدة البيانات — إذا كان الموقع يستخدم bcrypt أو argon2، وهو يجب أن يفعل):

• أقل من 40 بت: يمكن فكها في دقائق من قبل بطاقة رسومات واحدة.
• 40-60 بت: يمكن فكها في ساعات إلى أسابيع من قبل مهاجم جاد مع مزرعة بطاقات رسومات.
• 60-80 بت: آمنة ضد القوة الغاشمة دون الاتصال بالإنترنت اليوم. هدف جيد للحسابات الفردية.
• 80-100 بت: مقاومة لأي خصم حالي، بما في ذلك الدول القومية، طوال عمر الأجهزة الحالية.
• 100+ بت: أكثر من اللازم لأي نموذج تهديد واقعي.

استهدف 80 بت في أي شيء يحمي المال أو الهوية أو البنية التحتية. استهدف 100+ في كلمة مرور مدير كلمات المرور الرئيسية.

فخ كلمة المرور "المعقدة"

المستخدمون المطلوبون لإنشاء كلمة مرور "معقدة" يختارون أنماطاً متوقعة: تكبير الحرف الأول، إضافة رقم في النهاية، استبدال a بـ @. Password1! يبلغ 10 أحرف ويبدو معقداً لشخص ما. بالنسبة للمخترق، إنها تخمين واحد — يظهر في كل قاموس كلمات مرور مسرب.

الإنتروبيا الحقيقية لكلمات المرور المختارة من قبل المستخدم أقل بكثير مما يوحي به حجم المجموعة الخاصة بهم، لأن البشر لا يجيدون أن يكونوا عشوائيين. الدراسات تضعها باستمرار حول 20-30 بت بغض النظر عن التعقيد المزعوم.

لماذا عبارات المرور تنتصر

عبارة المرور هي 4-7 كلمات عشوائية متصلة بشرطات: garden-river-pencil-strong-sunset-bridge. ست كلمات عشوائية من قائمة بـ 512 كلمة لها 6 × log₂(512) = 54 بت من الإنتروبيا — أكثر مما يحققه معظم الناس مع كلمة مرورهم "المعقدة"، وأسهل بكثير في التذكر.

توسع إلى سبع كلمات وتتجاوز 63 بت. ثماني كلمات من قائمة بـ 7776 كلمة (Diceware) تعطي 103 بت. كل ذلك مع كونها سهلة الكتابة وسهلة التذكر ومحصنة ضد معظم هجمات القاموس (لأن الدمج عشوائي حتى لو كانت كل كلمة شائعة).

كلمات المرور القابلة للنطق: الحل الوسط

بالنسبة للسيناريوهات حيث يجب أن تُملى كلمة المرور عبر الهاتف، تتناوب كلمات المرور القابلة للنطق بين الحروف الساكنة والحروف المتحركة: baketomiloguno. كل مقطع (حرف ساكن + حرف متحرك) له log₂(21 × 5) ≈ 6.7 بت من الإنتروبيا، لذا ستة مقاطع تعطي ~40 بت.

أضعف من عبارات المرور ولكن أقوى من كلمات المرور المختارة من قبل الإنسان النموذجية، والأهم من ذلك أنها أسهل بكثير في قراءتها بصوت عالٍ دون السؤال "هل كان ذلك O أم صفر؟".

إنشاء كلمات مرور آمنة

لا تعتمد على العشوائية البشرية. استخدم أداة. منشئ كلمات مرور aukimi يوفر ثلاث أوضاع — عشوائي وعبارة مرور وقابل للنطق — مع عداد إنتروبيا حي حتى تتمكن من رؤية مدى قوة مخرجاتك بالضبط. يستخدم crypto.getRandomValues (مصدر عشوائي آمن من الناحية التشفيرية في المتصفح) ويطبق أخذ العينات بالرفض لاستبعاد الانحياز المعياري.

بشكل حاسم: يحدث الإنشاء بالكامل في متصفحك. لا يتم نقل أو تسجيل أو تخزين أي شيء. افتح علامة تبويب الشبكة في أدوات المطورين أثناء الإنشاء — ستشهد صفر طلبات تترك الصفحة.

القاعدة الوحيدة

استخدم مدير كلمات المرور. أنشئ كلمة مرور عشوائية طويلة لكل موقع (مدير كلمات المرور الخاص بك لا ينسى أبداً، لذا الطول لا يهم للاستخدام). استخدم عبارة مرور كلمة المرور الرئيسية لمدير كلمات المرور الخاص بك — تلك الكلمة التي يجب عليك تذكرها.

كل شيء آخر هو تحسين. احصل على هذا النمط الواحد بشكل صحيح وأنت متقدم على 95% من المستخدمين.