About
العرض باللغة العربية التبديل إلى الإنجليزية

مولّد كلمات المرور

أنشئ كلمات مرور عشوائية قوية. يستخدم Web Crypto API — نفس مصدر العشوائية الذي تستخدمه المتصفحات لمفاتيح TLS.

  1. حرّك شريط الطول لاختيار عدد الأحرف (من 4 إلى 128).
  2. علّم فئات الأحرف التي تريد تضمينها — الأحرف الكبيرة والصغيرة والأرقام والرموز.
  3. اختياريًا علّم "تجنّب المتشابهة" لتخطّي I l 1 O 0.
  4. انقر توليد لكلمة مرور جديدة (أي تغيير يعيد التوليد تلقائيًا أيضًا).
  5. انقر نسخ لوضعها في الحافظة، ثم ألصقها في مدير كلمات المرور لديك.
ماذا تفعل؟

يبني المولّد كلمة المرور باختيار كل حرف بشكل مستقل من الأبجدية التي اخترتها، باستخدام Web Crypto API في المتصفح مصدرًا للعشوائية. وهذا هو المصدر المُؤمَّن تشفيريًا ذاته الذي يستعمله المتصفح لتوليد مفاتيح جلسات TLS — وليس Math.random() المتحيّز الذي تعتمد عليه معظم المولّدات المرتجلة. يضمن حلقة أخذ العينات مع الرفض (rejection sampling) أن كل رمز في الأبجدية له احتمال متساوٍ، لذا تصمد تقديرات الإنتروبيا فعليًا.

مثال

الطول 20، الفئات الأربع، مع السماح بالمتشابهة:

G7#vQ2xP!mK9nR4sT&bL

الطول 24، أحرف وأرقام فقط (للمواقع التي ترفض الرموز):

k3Hq8RmZ5nPv2WyTb6JsXfLd

أخطاء شائعة عند استخدام كلمة مرور مولَّدة

  • الموقع يرفض بعض الرموز. بعض المواقع تزيل بصمت أو ترفض <، >، علامات الاقتباس أو المسافات. إذا لم تُقبل كلمة المرور، عطِّل فئة "الرموز" وزد الطول إلى 24 فأكثر للتعويض.
  • النسخ واللصق يُضيف مسافة في النهاية. قد تأخذ التحديدات بالنقر المزدوج مسافة إضافية في بعض الأنظمة. إذا فشل تسجيل الدخول، ألصقها أولاً في حقل نص عادي وتحقق من الطول.
  • قصيرة جدًا "للراحة". كلمة مرور من 8 أحرف إنتروبيتها 50 بت تقريبًا — قابلة للكسر بلا اتصال في ساعات على GPU حديث. استخدم 16+ للحسابات العادية، و20+ لأي شيء يُشفِّر بيانات ساكنة.
  • استخدام كلمة مرور واحدة لعدة حسابات. كلمة المرور القوية إذا أُعيد استخدامها في موقع مُخترَق تظل مكشوفة. ولِّد واحدة فريدة لكل حساب واحفظها في مدير كلمات مرور.
  • نسيان سياسات تغيير كلمة المرور. بعض أنظمة الشركات تفرض تغييرًا كل 90 يومًا. احفظ كلمة المرور المولَّدة في مديرك لتؤكد تطابقها تمامًا إذا طلب الموقع إعادة إدخالها.
  • لقطات الشاشة أو سجل الحافظة. يحتفظ macOS وWindows وعدة مديري حافظات بالسجل. امسح الحافظة أو انسخ شيئًا آخر بعد تخزين كلمة المرور.
الأسئلة الشائعة

هل هذا المولّد آمن تشفيريًا؟

نعم. تأتي العشوائية من crypto.getRandomValues()، أي Web Crypto API في المتصفح التي تدعم مفاتيح جلسات TLS. إنها ليست Math.random()، وهو مولّد شبه عشوائي قابل للتنبؤ وغير مناسب للأسرار. يُستخرج كل حرف بأسلوب أخذ العينات مع الرفض ليكون لكل رمز في الأبجدية احتمال متساوٍ.

ما الطول المناسب لكلمة المرور؟

للحسابات عبر الإنترنت ذات تحديد المعدل، 16 حرفًا من فئات مختلطة يكفي. لحماية بيانات مشفَّرة بلا اتصال (مديرو كلمات المرور، تشفير القرص، النسخ الاحتياطية) استخدم 20 أو أكثر. كلمة مرور من 20 حرفًا تجمع الفئات الأربع تبلغ نحو 130 بت من الإنتروبيا، وهي خارج متناول الهجوم الشامل.

هل تحفظون كلمات المرور التي تولّدها هذه الأداة؟

لا. لا نحفظ كلمات المرور التي تولِّدها هنا. تظهر كل كلمة مرة واحدة وتبقى في حقل الإدخال فقط، ثم تزول بمجرد تحديث أو إغلاق التبويب. لا يُكتب شيء في التخزين ولا يُسجَّل لدينا. يمكنك التأكد من ذلك في أدوات مطوّري المتصفح إن أردت المزيد من الاطمئنان.

ما هي الإنتروبيا وكم بت أحتاج؟

الإنتروبيا تقيس صعوبة التنبؤ بالبتات. كل بت يضاعف عدد التخمينات التي يحتاجها المهاجم. 60 بت تقاوم الهجمات العرضية بلا اتصال، و80 بت تقاوم المحاولات الجادة، و128 بت هي المعيار الحديث للمفاتيح القوية. كلمة مرور من 20 حرفًا على أبجدية من 90 رمزًا تعادل نحو 130 بت.

هل أستخدم عبارة مرور بدلًا من كلمة عشوائية؟

عبارة المرور من 5 أو 6 كلمات قاموس عشوائية أسهل كتابةً وحفظًا، وقد تبلغ إنتروبيا مشابهة (نحو 65 إلى 80 بت). لكن للكلمات التي تحفظها في مدير ولا تكتبها أبدًا، كلمة المرور القائمة على أحرف عشوائية أقصر لنفس القوة. تولِّد هذه الأداة النوع الثاني.

لماذا يرفض بعض المواقع الرموز في كلمة المرور المولَّدة؟

ترفض بعض المواقع رموزًا مثل <، >، علامات الاقتباس أو المسافات بسبب سوء معالجة المدخلات لديها. عند الرفض، ألغِ تحديد "الرموز" وولِّد كلمة أطول بالأحرف والأرقام فقط. يعوِّض الطول صِغَر الأبجدية من حيث الإنتروبيا.