مولّد كلمات المرور

ما الذي ينتجه مولّد كلمات المرور

يُنشئ مولّد كلمات المرور كلمات مرور قوية عشوائية جاهزة للإسقاط في أي حساب أو مدير كلمات مرور. اضغط Generate وستحصل على شيء مثل:

كل كلمة مرور بطول 16 حرفًا افتراضيًا — طويلة بما يكفي لمقاومة هجمات القوة الغاشمة، قصيرة بما يكفي للكتابة إن اضطررت يومًا. الطول، فئات الأحرف (كبيرة، صغيرة، أرقام، رموز)، والكمية كلها قابلة للضبط. يعمل المولّد بالكامل في متصفحك؛ لا شيء يعبر الشبكة ولا تُحفظ أي كلمة مرور أبدًا.

لماذا تستخدم مولّد كلمات مرور بدلًا من اختراع واحدة

البشر سيئون بشكل متوقع في العشوائية. تجد دراسات قواعد كلمات المرور المسرّبة باستمرار نفس الأنماط: سنوات الميلاد، الأسماء، تسلسلات من لوحة المفاتيح (qwerty، 12345)، كلمات قاموس مفردة مع إضافة رقم وعلامة تعجب. اختر أي سلسلة "عشوائية" بنفسك وثمة احتمال كبير أن مهاجمًا رأى النمط من قبل.

مولّد كلمات المرور يحل ثلاث مشاكل دفعة واحدة:

• عشوائية حقيقية — تُولَّد المخرجات من عشوائية تشفيرية، لا من أي شيء يمكنك تخمينه عن مصدرها
• الامتثال لفئة الأحرف — تتطلب معظم الحسابات حرفًا كبيرًا واحدًا، رقمًا واحدًا، ورمزًا واحدًا على الأقل؛ يفي المولّد بهذه تلقائيًا
• السرعة — يمكنك إنتاج كلمة مرور جديدة في أقل من ثانية ولصقها مباشرة في مدير كلمات مرور، بلا إغراء بإعادة الاستخدام

مشكلة "إعادة الاستخدام" تهم أكثر مما يدركه الناس. نحو 65% من مستخدمي الإنترنت يعترفون بإعادة استخدام نفس كلمة المرور عبر مواقع متعددة. بمجرد اختراق موقع واحد، يجرّب المهاجمون تلك الأوراق المسرّبة ضد كل خدمة كبرى أخرى — تشكّل هجمات حشو الاعتماد الغالبية العظمى من هجمات الاستيلاء الآلية. يزيل المولّد الاحتكاك الذي يجعل إعادة الاستخدام مغرية في المقام الأول.

كيف يعمل المولّد

تحت الغطاء، يستخدم مولّد كلمات المرور crypto.getRandomValues() — مولّد الأرقام العشوائية الآمن تشفيريًا في متصفحك. هذا مختلف جوهريًا عن Math.random()، الذي هو حتمي وغير مناسب لأغراض الأمن.

يجري التوليد حرفًا بحرف: يأخذ المولّد عينة موحدة عشوائيًا من الأبجدية المختارة، يطبّق أي قيود تضبطها (يجب تضمين رمز، يجب تضمين رقم)، ويُلصق النتيجة. إن طلبت كلمة مرور جديدة، يأخذ عينة من جديد — لا توجد علاقة بين المخرجات المتتالية.

تفصيل مهم: يضمن المولّد افتراضيًا أن تحتوي كلمة مرورك على حرف واحد على الأقل من كل فئة مفعّلة. بدون هذا الضمان، قد لا تحتوي كلمة مرور بطول 16 حرفًا من الأبجدية ASCII الكاملة (94 حرفًا) أحيانًا على رمز، مما يفشل متطلبات التعقيد التي يفرضها الموقع.

تخصيص المخرجات

الإعدادات الافتراضية تعمل لمعظم الحالات، لكن كل خيار يهم في سيناريوهات محددة:

لمعظم المواقع، 16 حرفًا عبر فئات الأحرف الأربع كثير. الرياضيات: 16 حرفًا × ~94 رمزًا محتملًا لكل موضع ≈ 10³¹ تركيبة محتملة. مزرعة GPU حديثة تشغّل ~100 مليار تخمين في الثانية ستحتاج لاستنفاد المساحة إلى ترليونات السنوات.

لكلمات مرور مدير كلمات المرور الرئيسية، عبارات بذور محافظ التشفير، وأوراق اعتماد عالية المخاطر مماثلة، رفع الطول إلى 20–24 معقول. تكلفة تذكّر كلمة مرور إضافية طويلة (لديك واحدة فقط) أقل بكثير من تكلفة كسرها.

أفضل الممارسات والاعتبارات

كلمة مرور قوية ضرورية لكن غير كافية. يتعامل مولّد كلمات المرور مع جزء "اجعلها عشوائية وقوية"؛ الصورة الكاملة لها بضع قطع أخرى:

• كلمة مرور فريدة لكل موقع. إعادة الاستخدام هي السبب الأول للحسابات المخترقة حتى عندما تكون كلمات المرور الفردية قوية.
• استخدم مدير كلمات مرور. 1Password، Bitwarden، KeePass — كلها. الهدف الكامل من المولّد أن لا تضطر لتذكّر مخرجاته؛ المدير يفعل ذلك.
• شغّل المصادقة الثنائية. حتى كلمة مرور مسرّبة لا تمنح الوصول إن كان 2FA مفعّلًا. تطبيقات المصادقة تتفوق على SMS حيث مدعومة.
• تخطّى "أسئلة تعقيد كلمة المرور." عبارات مرور لا تُنسى لكن غامضة (أربع كلمات عشوائية من قاموس، ~25 حرفًا) جيدة للحسابات القليلة جدًا التي تحتاج فعلًا كتابتها — تسجيل دخول حاسوبك، رمز هاتفك. السلاسل العشوائية المولَّدة لكل شيء آخر.
• لا تكتب كلمات المرور في ملفات نصية واضحة، أو ملاحظات لاصقة، أو تطبيقات ملاحظات غير مشفّرة. مدير كلمات المرور موجود لهذا السبب.

شيء آخر: لا تثق في مقاييس قوة كلمة المرور على صفحات التسجيل. معظمها فجّة — تكافئ "P@ssw0rd!" لأنها تحتوي على فئات الأحرف المطلوبة، لكنها واحدة من أكثر كلمات المرور المكسورة في الوجود. كلمة المرور القوية حقًا هي طويلة وغير متوقعة، ومقياس القوة لا يستطيع التحقق إلا من النصف الأول. مخرجات مولّد كلمات المرور غير متوقعة بالبناء، فأي كلمة مرور ينتجها ستجتاز أي مقياس قوة تواجهه بسهولة.

يستحق معرفة عبارات المرور: سلسلة من أربع أو خمس كلمات إنجليزية عشوائية (correcthorsebatterystaple هي المثال الشهير) يمكن أن تكون لا تُنسى وآمنة معًا، بنحو 50–70 بت من الإنتروبيا. مفيدة للمجموعة الصغيرة من كلمات المرور التي تضطر فعلًا لكتابتها من الذاكرة — كلمة المرور الرئيسية لمدير كلمات المرور، تسجيل دخول حاسوبك، رمز هاتفك. لكل شيء آخر، السلاسل المولَّدة عشوائيًا من مولّد كلمات المرور أقصر، وأكثر توافقًا مع متطلبات الموقع، وقوية بشكل متساوٍ. استخدم كليهما: عبارات مرور للقلائل التي تتذكرها، سلاسل مولَّدة للمئات التي لا تتذكرها.

مولّدات ذات صلة

تبني مجموعة أدوات أمن أو إعدادات اختبار؟ بعض مولّدات Microapp ذات الصلة تكملها:

• مولّد UUID — لمعرّفات فريدة في قواعد البيانات، طلبات API، وتتبع الجلسات. v4 عشوائي افتراضيًا؛ مناسب تشفيريًا.
• مولّد الأرقام العشوائية — عندما تحتاج أرقامًا عشوائية محدودة (رمي النرد، اختيارات يانصيب، أحجام عينات) بدلًا من سلاسل حروف.
• مولّد هاش MD5 و مولّد SHA-256 — لتجزئة كلمات المرور، الملفات، أو السلاسل (ملاحظة: لا تخزّن كلمات مرور المستخدم كـ MD5/SHA-256 خام؛ استخدم bcrypt أو argon2 من جانب الخادم).
• مولّد البريد الإلكتروني — عناوين وهمية للاختبار. استخدم العناوين المولَّدة مع مخرجات مولّد كلمات المرور لإعدادات اختبار كاملة.

الأسئلة الشائعة

هل هذه كلمات المرور آمنة فعلًا لحسابات حقيقية؟

نعم. يستخدم المولّد crypto.getRandomValues()، وهو نفس RNG الآمن المستخدم لتوليد رموز الجلسة ومفاتيح التشفير في تطبيقات الإنتاج. كلمة مرور بطول 16 حرفًا من هذا المولّد لها نحو 10³¹ قيمة محتملة — أبعد بكثير مما تستطيع الأجهزة الحالية كسره بالقوة الغاشمة. للحسابات اليومية، كلمات المرور الرئيسية لمديري كلمات المرور، وعبارات بذور محافظ التشفير، المخرجات مناسبة.

هل تُرسَل كلمة المرور المولَّدة إلى أي خادم؟

لا. يعمل التوليد بالكامل في متصفحك باستخدام JavaScript. لا شيء يعبر الشبكة. ليس لدى خادم Microapp سجل لأي كلمة مرور وُلِّدت يومًا.

إن ولّدت نفس الخيارات مرتين، هل سأحصل على نفس كلمة المرور؟

لا — هذا هو المقصود. تنتج كل نقرة عينة عشوائية جديدة. لا توجد علاقة بين المخرجات المتتالية، حتى بإعدادات متطابقة.

هل يجب أن أستخدم نفس كلمة المرور المولَّدة لحسابات متعددة؟

أبدًا. إعادة استخدام كلمات المرور عبر المواقع هي السبب الرائد لهجمات حشو الاعتماد (حيث تُجرّب الأوراق المسرّبة من اختراق ضد خدمات أخرى). ولّد واحدة لكل حساب واحفظها في مدير كلمات مرور.

ما الإعداد الأقوى؟

للحسابات النموذجية، 16 حرفًا بفئات الأحرف الأربع كافٍ. لكلمات المرور الرئيسية، مفاتيح التشفير، أو أي شيء ستعتبره كارثيًا إن تعرّض للخطر، ادفع إلى 20–24 حرفًا بكل الفئات مفعّلة. بعد ذلك يتقلّص المكسب الأمني الحدي.

لماذا يرفض بنكي كلمة المرور المولَّدة؟

لبعض المواقع قيود قديمة على مجموعة الأحرف — يرفضون رموزًا محددة (غالبًا $، %، &) أو يحدّون الطول بـ 12. أوقف الرموز وارفع الطول إلى 20+ للتعويض. يعطيك ذلك قوة معادلة تقريبًا باستخدام الحروف والأرقام فقط.

ماذا عن "عبارات المرور" — أربع كلمات عشوائية؟

عبارات المرور (بأسلوب correcthorsebatterystaple) رائعة لكلمات المرور القلائل جدًا التي يجب كتابتها من الذاكرة: تسجيل دخول الحاسوب، كلمة مرور مدير كلمات المرور الرئيسية، رمز الهاتف. لكل شيء آخر، سلسلة عشوائية من هذا المولّد أقصر، أكثر توافقًا مع متطلبات الموقع، وقوية بشكل متساوٍ. استخدم كليهما — الأداة المناسبة للوظيفة المناسبة.

لماذا بعض كلمات المرور المولَّدة أسهل كتابة من غيرها؟

مجرد صدفة. يأخذ المولّد عينات موحدة من الأبجدية المختارة، فقد تخلط أي كلمة مرور فردية أحرفًا متشابهة (الكثير من O و 0) أو تتناوب بشكل محرج بين الحالات. إن كنت ستكتب كلمة المرور يدويًا بدلًا من نسخها، ولّد بضعة واختر واحدة تشعر بأنها مناسبة — أو فعّل خيار "تجنّب الأحرف الغامضة" لتصفية أصعب التركيبات.