اختبار قوة كلمة المرور (الإنتروبيا + وقت الاختراق)

ما معنى 'الإنتروبيا' لكلمات المرور

تقيس الإنتروبيا عدم القدرة على التنبؤ بالبتات. كلمة مرور بـ 30 بت إنتروبيا تحتاج ~2³⁰ ≈ مليار تخمين في المتوسط للاختراق. 70+ بت قوي عموماً؛ 80+ ممتاز.

الصيغة: الإنتروبيا = الطول × log₂(حجم_مجموعة_الأحرف). 'abcdefgh' (8 أحرف، صغيرة فقط) = 8 × log₂(26) ≈ 37.6 بت. 'aA1!aaaa' (8 أحرف، كل المجموعات) = 8 × log₂(95) ≈ 52.6 بت — لكن وقت الاختراق أسوأ بكثير مما يوحي به 52 بت لأن 'aaaa' نمط شائع.

لماذا تتفاوت أوقات الاختراق كثيراً

GPU غير إنترنت: تجزئة كلمة مرور مسرّبة تُهاجَم دون اتصال. وحدات GPU الحديثة تستطيع تخمين 10⁹+ تجزئة MD5 في الثانية؛ تجزئات bcrypt فقط 10⁴-10⁵/ثانية. يستخدم التقدير هنا افتراض التجزئة السريعة لـ GPU.

إنترنت سريع: مهاجم يقتحم واجهة برمجة تسجيل الدخول مباشرةً. معظم واجهات API لها قيد على المعدل؛ 1000 محاولة/ثانية تقدير مرتفع لنقطة وصول ضعيفة الحماية.

إنترنت بطيء: نقطة وصول محمية بشكل صحيح مع قيود معدل صارمة وقفل الحساب وCAPTCHA. 100 محاولة/ثانية كريمة؛ كثير من الأنظمة تسمح بـ 5-10 دقيقياً فقط.

تتجاهل هذه التقديرات عوامل الواقع كهجمات القاموس (التي تجد كلمات المرور الشائعة أسرع بكثير من القوة الغاشمة) وإعادة استخدام كلمات المرور (اختراق تسريب موقع يساعد في اختراق مواقع أخرى).

ما الذي يجعل كلمة المرور قوية

الطول فوق التعقيد: عبارة مرور من 16 حرفاً كـ 'أحب القهوة صباحاً مع الكتاب' أقوى من كلمة مرور معذّبة من 8 أحرف كـ 'P@ssw0rd!'. الطول يتفوق بشكل لا رحمة فيه في توسيع فضاء البحث.

تجنب الأنماط: التواريخ والأسماء و'123' و'qwer' والأحرف المتكررة جميعها تقلل الإنتروبيا الفعلية دون قيمة الصيغة. تتضمن أدوات الهجوم تحويلات 'قائمة على القواعد' المكثفة (مثلاً 'password' → 'P@ssw0rd!').

استخدم مدير كلمات مرور: البشر يختارون أنماطاً؛ المديرون لا. Bitwarden و1Password وKeePass تولد كلمات مرور عشوائية حقيقية لكل موقع بـ 16+ حرفاً عبر جميع مجموعات الأحرف. كلمة المرور الوحيدة التي تحتاج حفظها هي كلمة المرور الرئيسية — وتلك يجب أن تكون عبارة مرور طويلة سهلة التذكر.