ما هو فاحص قوة كلمة المرور؟
أداة فحص قوة كلمة المرور تحلل كلمة مرورك في الوقت الفعلي لتقييم مدى مقاومتها لمحاولات الاختراق. تتحقق من الأنماط الشائعة وكلمات القاموس والعشوائية لتمنحك تقييمًا دقيقًا للقوة. استخدمها للتأكد من أن كلمات مرورك تستوفي معايير الأمان الحديثة.
يعتمد المحلّل على zxcvbn، نفس المكتبة التي أصدرتها Dropbox مفتوحة المصدر، وتعرف 30 ألف كلمة سر شائعة وقواعد بيانات تسريبات وقواميس إنجليزية وأسماء عائلات، ونمط متوقّع مثل التواريخ ومسارات لوحة المفاتيح وبدائل l33t. النتيجة من 0 إلى 4 مع أربعة سيناريوهات هجوم: من إنترنت مع تحديد سرعة إلى مزارع GPU خارج الاتصال.
كيفية الاستخدام
- اكتب أو الصق كلمة المرور في حقل الإدخال لبدء التحليل
- راجع درجة القوة والوقت المقدر للاختراق والملاحظات المحددة حول نقاط الضعف
- حسّن كلمة مرورك بناءً على الاقتراحات حتى تصل إلى تصنيف قوية أو قوية جدًا
متى تستخدم
- اختبار كلمة سر سهلة الحفظ قبل اعتمادها كلمة سر رئيسية لمدير كلمات السر.
- اختبار سياسة كلمات السر في الشركة: هل «اسم_الشركة_2024!» يجتاز معاييركم فعلاً؟
- تبيان لقريب لا يهتم بالتقنية لماذا اعتماد اسم حيوانه الأليف كلمة سر فكرة سيئة.
النتيجة
أدخل 'Tr0ub4dor&3' لترى أنها تحصل على تقييم متوسط — رغم استخدامها لأحرف متنوعة، إلا أنها تتبع نمط استبدال متوقع. قارنها بعبارة عشوائية مثل 'correct-horse-battery-staple' التي تحصل على تقييم أعلى رغم استخدامها لأحرف صغيرة وشرطات فقط.
الأسئلة الشائعة
- ماذا تعني درجة القوة من 0 إلى 4 فعلياً؟
- 0 يُكسَر بأقل من ثانية تحت أي هجوم. 1 يحتاج ساعات أونلاين أو ثوانٍ أوفلاين. 2 يصمد أمام الأونلاين ويسقط أوفلاين. 3 معقول. 4 يحتاج قرناً حتى لمزرعة GPU تجرّب 10 مليار تخمين في الثانية.
- لماذا تكون «Tr0ub4dor&3» أضعف من «correct horse battery staple»؟
- تتبع الأولى نمطاً معروفاً: كلمة قاموس + بدائل متوقّعة (0 بدل o، 4 بدل a) + رمز خاص + رقم. قوائم القواعد عند المهاجمين تجرّب هذه التركيبات أولاً. أربع كلمات شائعة عشوائية تعطي إنتروبيا أعلى بكثير لأن عدد التراكيب يفوق بكثير عدد البدائل.
- هل تُرسَل كلمة السر إلى أي خادم عند كتابتها هنا؟
- حساب القوة يجري بالكامل على جهازك، داخل JavaScript الصفحة، ولا يُرسَل أي طلب شبكة أثناء الكتابة. الاستثناء الوحيد الاختياري هو فحص التسريبات: عند الضغط عليه تُرسَل أول 5 أحرف فقط من بصمة SHA-1 لكلمة السر (k-anonymity)، فكلمة السر نفسها لا تغادر حقل الإدخال أبداً. ولا يُسجَّل شيء عند إغلاق التبويب.
- التنبيه يقول إن كلمة سرّي ضمن تسريب، هل هذا دقيق؟
- هناك طبقتان. التنبيه الفوري يأتي من قائمة zxcvbn المدمجة بأكثر 30 ألف كلمة سر استخداماً من تسريبات مثل RockYou، تُطابَق دون اتصال. وللحصول على نتيجة حيّة، اضغط «ابحث في التسريبات» — يستعلم من قاعدة HaveIBeenPwned باستخدام k-anonymity (يُرسِل أول 5 أحرف فقط من البصمة) ويخبرك كم مرة ظهرت كلمة السر في تسريبات حقيقية.
- أي سيناريو لزمن الكسر يجب أن أعتمده هدفاً؟
- في معظم الحسابات يهمّ سيناريو «hashing بطيء أوفلاين» لأنه ما يحدث فعلاً عند تسرّب قاعدة بيانات وتشغيل hashcat. اهدف لـ «قرون» على الأقل، ما يعني عادة درجة 3-4 وطولاً 12 محرفاً فأكثر.