منشئ كلمات المرور (مشفر تشفيراً قوياً، مع مقياس القوة)
تبني كلمات المرور باستخدام crypto.getRandomValues — نفس المصدر الذي تستخدمه البنوك، لا Math.random. اضبط الطول وأصناف الأحرف؛ يعرض مقياس الإنتروبيا مدى قوة النتيجة فعلاً.
كيف تعمل
لماذا هذا المنشئ آمن فعلاً
معظم 'منشئي كلمات المرور' على الويب يستخدمون Math.random()، وهو غير مشفر تشفيراً قوياً — يمكن للمهاجم التنبؤ بمخرجاته إذا رأى بعض القيم السابقة. يستخدم هذا المنشئ crypto.getRandomValues من Web Crypto API، نفس المكون الأساسي الذي يدعم جلسات HTTPS وسلاسل المفاتيح على مستوى نظام التشغيل. كل حرف يُسحب من توزيع موحد على الأبجدية المختارة.
يحدث التوليد كلياً في متصفحك. لا تنتقل كلمة المرور عبر الشبكة ولا تلمس خوادمنا. حتى لو تعرض نطاقنا للاختراق، لن يجد المهاجم شيئاً لسرقته لأنه لا شيء مُخزَّن.
كيف يعمل مقياس القوة
تُحسب درجة القوة من الإنتروبيا: البتات = log₂(حجم_الأبجدية) × الطول. كلمة مرور من 10 أحرف صغيرة فقط لها log₂(26) × 10 ≈ 47 بت — قابلة للاختراق من مهاجم مصمم في غير الإنترنت. كلمة مرور من 16 حرفاً باستخدام الأصناف الأربعة لها نحو 105 بت — قوية بما يكفي لمعظم الاستخدامات. النطاقات: أقل من 50 ضعيفة، 50-80 متوسطة، 80-128 قوية، 128+ ممتازة.
تتوافق هذه العتبات تقريباً مع: ضعيف = قابل للتخمين في أيام من مهاجم معتدل؛ متوسط = يستغرق سنوات لشبكة روبوتات؛ قوي = لا مهاجم واقعي اليوم؛ ممتاز = هامش مريح ضد المهاجمين المستقبليين بما فيهم اعتبارات الحوسبة الكمومية.
الطول يتفوق على التعقيد
الرياضيات لا هوادة فيها هنا: إضافة حرف واحد لكلمة مرورك تضاعف فضاء البحث تقريباً (حسب الأبجدية). إضافة صنف أحرف آخر تُوسّعه قليلاً فقط. كلمة مرور من 20 حرفاً صغيراً لها إنتروبيا أعلى من كلمة مرور مختلطة من 12 حرفاً مع رموز، وأسهل في الكتابة. إذا فضلت الحفظ، اختر أربع كلمات عشوائية من قائمة 7000 كلمة — هذا 51 بت، مشابه لكلمة مرور مختلطة قوية من 8 أحرف.
خيار 'تجنب المتشابهة' يستثني الأحرف التي تشبه أحرفاً أخرى في كثير من الخطوط (0/O، I/l/1). هذا يجعل كلمة المرور أضعف قليلاً لكن أسهل قراءةً أو نسخاً. استخدمه عند الحاجة لكتابة كلمة المرور من قائمة مطبوعة.
أسئلة شائعة
›هل هذا المنشئ آمن فعلاً؟
نعم. نستخدم مصدر العشوائية الآمن من Web Crypto API، لا Math.random(). التنفيذ الذي يوفره المتصفح مُدقَّق ومطابق لما يقوم عليه HTTPS.
›هل تغادر كلمة المرور متصفحي؟
أبداً. التوليد وحساب الإنتروبيا والنسخ للحافظة يحدثان جميعاً محلياً. لا توجد لدينا نقطة وصول خادم تستقبلها حتى لو أردنا.
›هل 16 حرفاً كافٍ؟
للحسابات الإلكترونية، نعم — في الغالب دائماً. لكلمات المرور الرئيسية في مدير كلمات المرور أو مفاتيح التشفير، اذهب لـ 24+ حرفاً أو استخدم عبارة مرور مكونة من 6 كلمات.
›لماذا مقياس القوة لا يُعجَب بكلمة مروري الطويلة؟
يعرف فقط أصناف الأحرف التي مكّنتها. إذا مكّنت الأحرف الصغيرة فقط، الأبجدية 26 فقط — الكلمات الطويلة لا تزال قوية لكن لا تنمو بالسرعة ذاتها.
›ما معنى 'بتات الإنتروبيا'؟
هو log₂ لعدد كلمات المرور الممكنة التي يمكن لإعداداتك إنتاجها. 80 بت ≈ 1.2 × 10²⁴ احتمال — أبعد بكثير عن متناول القوة الغاشمة اليوم.
›هل يجب تضمين الرموز؟
نعم عند السماح بها. كل رمز يضيف تقريباً إنتروبيا مجموع رقم وحرف. بعض المواقع القديمة ترفضها؛ إذا كان كذلك، زد الطول تعويضاً.
›هل يستحق 'تجنب المتشابهة' الاستخدام؟
استخدمه فقط عند الحاجة لقراءة أو كتابة كلمة المرور يدوياً. أبقِه معطلاً لمديري كلمات المرور — تكلفة سهولة القراءة مهدرة هناك.
›هل يمكن توليد نفس كلمة المرور مرتين؟
نظرياً نعم، لكن مع 50 بت إنتروبيا حتى الاحتمال لكل زوج من عمليات التوليد هو 1 في 2⁵⁰ ≈ 10¹⁵. مستحيل عملياً.
أدوات ذات صلة
آخر تحديث: