في 2025، تم تسريب أكثر من 3.2 مليار حساب عبر الإنترنت — أرقام قياسية جديدة في خروقات البيانات. ومع ذلك، لا تزال كلمة المرور الأكثر استخداماً في العالم هي "123456" للسنة العاشرة على التوالي، وفقاً لتقرير NordPass السنوي. في هذا الدليل، سنشرح لك كيف تصنع كلمة مرور لا يمكن اختراقها، وكيف تحمي حساباتك في عالم يزداد فيه التهديد الإلكتروني يوماً بعد يوم.
ما الذي يجعل كلمة المرور قوية حقاً؟
قوة كلمة المرور تقاس بثلاثة عوامل رئيسية:
1. الطول — العامل الأهم
كل حرف إضافي في كلمة المرور يضاعف عدد الاحتمالات بشكل هائل. كلمة مرور من 8 أحرف صغيرة فقط لديها 26⁸ = 208 مليار احتمال. كلمة من 12 حرفاً (أحرف كبيرة + صغيرة + أرقام + رموز) لديها 94¹² = 4.7 × 10²³ احتمال — رقم فلكي. التوصية الحالية من معهد المعايير والتقنية الأمريكي (NIST) هي 12 حرفاً كحد أدنى، ويفضل 16 حرفاً أو أكثر للحسابات الحساسة.
2. التعقيد — تنوع الأحرف
كلمة مرور قوية تستخدم مزيجاً من:
- أحرف كبيرة (A-Z)
- أحرف صغيرة (a-z)
- أرقام (0-9)
- رموز خاصة (!@#$%^&*)
كل نوع إضافي يوسع مساحة الاحتمالات بشكل كبير. كلمة من 10 أحرف صغيرة فقط = 26¹⁰ احتمال. نفس الطول مع كل الأنواع = 94¹⁰ احتمال — أكثر بـ 36 مرة.
3. عدم القدرة على التخمين — العشوائية الحقيقية
أضعف كلمات المرور هي تلك التي تعتمد على معلومات شخصية: اسمك، تاريخ ميلادك، اسم ابنك، رقم هاتفك. المخترق يستطيع جمع هذه المعلومات من وسائل التواصل الاجتماعي في دقائق. كلمة مثل "Ahmed1985" يمكن تخمينها في أقل من ثانية باستخدام أدوات التخمين الآلي.
كيف تعمل هجمات كسر كلمات المرور؟
لفهم لماذا بعض كلمات المرور ضعيفة، يجب أن تعرف كيف يحاول المخترقون كسرها:
هجوم القوة العمياء (Brute Force Attack)
يحاول المخترق كل الاحتمالات الممكنة حرفاً حرفاً. مع كلمة من 4 أرقام (مثل PIN)، هناك 10,000 احتمال فقط — يمكن تجربتها كلها في ثوانٍ. لكن مع كلمة من 16 حرفاً عشوائياً، حتى أسرع حاسوب في العالم سيحتاج مليارات السنين لتجربة كل الاحتمالات. لهذا السبب الطول هو خط الدفاع الأول.
هجوم القاموس (Dictionary Attack)
بدلاً من تجربة كل الاحتمالات، يستخدم المخترق قوائم بالكلمات الشائعة وتعديلاتها: "password"، "123456"، "qwerty"، "admin"، "iloveyou"، وأيضاً كلمات عربية شائعة مثل "مرحبا" و"سر" و"الله". هذه الهجمات فعالة جداً لأن أغلب الناس يستخدمون كلمات حقيقية. قاعدة بيانات Have I Been Pwned تحتوي على أكثر من 700 مليون كلمة مرور مسربة — أي كلمة موجودة فيها تعتبر غير آمنة فوراً.
هجمات الهندسة الاجتماعية (Social Engineering)
أخطر هجوم وأصعبه دفاعاً. المخترق لا يكسر كلمة المرور — بل يخدعك أنت لتسليمها له. عبر رسائل التصيد (Phishing)، مكالمات وهمية، أو مواقع مزيفة. لهذا السبب حتى أقوى كلمة مرور لا تحميك إذا وقعت في فخ التصيد.
أخطاء شائعة في كلمات المرور — تجنبها فوراً
- استخدام نفس كلمة المرور في كل مكان: إذا تسربت من موقع ضعيف، كل حساباتك مكشوفة. هذا ما حدث في خرق موقع LinkedIn 2021 حيث تسرب 700 مليون كلمة مرور.
- استبدال الحروف بأرقام (Leet Speak): "P@ssw0rd" — هذا النمط معروف لأدوات التخمين منذ 20 سنة. لا يخدع أحداً.
- كلمات المرور القصيرة جداً: أقل من 8 أحرف يمكن كسرها في دقائق حتى لو كانت معقدة.
- الكلمات الموجودة في القاموس: حتى مع إضافة رقم في النهاية، مثل "Football2026" يمكن كسرها بسرعة.
- الأنماط الواضحة على لوحة المفاتيح: "qwerty123" أو "1qaz2wsx" — سهلة التخمين.
- معلومات شخصية: اسم الشارع، اسم المدرسة، اسم الحيوان الأليف — كلها متاحة على وسائل التواصل.
كيف تصنع كلمة مرور قوية — عملياً
هناك طريقتان مجربتان:
الطريقة 1: كلمة مرور عشوائية بالكامل
استخدم مولد كلمات المرور لإنشاء كلمة من 16-20 حرفاً عشوائياً. هذه هي الطريقة الأكثر أماناً. المولد يستخدم مولد أرقام عشوائية آمن (CSPRNG) لضمان عدم وجود نمط يمكن توقعه. مثال: kF9#mP2$xL7@qR4!vB1 — هذه الكلمة ستأخذ تريليونات السنين لكسرها بالقوة العمياء.
الطريقة 2: جملة طويلة (Passphrase)
إذا كنت لا تستطيع حفظ كلمة عشوائية، استخدم 4-5 كلمات عشوائية غير مترابطة. مثال: شمس-مفتاح-جبل-ساعة-قلم. هذه أسهل للحفظ لكنها طويلة بما يكفي لتكون آمنة. المهم أن تكون الكلمات عشوائية حقاً وليست جملة مفهومة.
مديرو كلمات المرور — لماذا تحتاج واحداً
لا يمكن للبشر تذكر 50 كلمة مرور مختلفة كل منها من 16 حرفاً عشوائياً. هنا يأتي دور مدير كلمات المرور (Password Manager). هذه التطبيقات تخزن كل كلمات مرورك في خزنة مشفرة، وتحتاج كلمة مرور رئيسية واحدة فقط لفتحها. التوصيات:
- Bitwarden — مفتوح المصدر، مجاني، متوفر على كل المنصات. الخيار الأفضل للأفراد.
- 1Password — مدفوع لكن سهل الاستخدام ويدعم Travel Mode لحماية كلمات مرورك عند السفر.
- KeePassXC — مجاني ومفتوح المصدر، يعمل محلياً بدون سحابة. مناسب للمستخدمين المتقدمين.
- Apple iCloud Keychain / Google Password Manager — مدمجان في النظام، مجانيان، لكن مقيدان بنظام تشغيل واحد.
لا تستخدم متصفحك فقط لحفظ كلمات المرور — مدير كلمات المرور المستقل أكثر أماناً ويتيح لك الوصول من أي جهاز.
المصادقة الثنائية (2FA) — خط الدفاع الثاني
حتى لو تسربت كلمة مرورك، المصادقة الثنائية تمنع المخترق من الدخول. 2FA تضيف طبقة ثانية من التحقق — عادة رمز مؤقت يتغير كل 30 ثانية. أنواع 2FA:
- TOTP (Time-based One-Time Password): تطبيقات مثل Google Authenticator و Authy و Microsoft Authenticator. الأفضل للأمان.
- SMS: إرسال رمز عبر رسالة نصية. أفضل من لا شيء لكنه أقل أماناً — هجمات SIM Swap يمكنها اعتراض الرسائل.
- مفاتيح الأمان الفيزيائية (Hardware Keys): مثل YubiKey و Google Titan. الأكثر أماناً على الإطلاق. تستخدم تشفيراً غير قابل للاعتراض.
فعّل 2FA على الأقل على: البريد الإلكتروني (هو مفتاح كل حساباتك)، حسابات البنوك، وسائل التواصل الاجتماعي، ومدير كلمات المرور نفسه.
كيف تتحقق من أمان كلمة مرورك الحالية
استخدم فاحص قوة كلمة المرور لاختبار أي كلمة مرور. الفاحص يحلل:
- الطول — هل يكفي؟
- التنوع — هل تستخدم كل أنواع الأحرف؟
- الأنماط — هل توجد أنماط يمكن توقعها؟
- التكرار — هل توجد أحرف متكررة أو متسلسلة؟
بعد ذلك، استخدم فاحص تسريب كلمة المرور للتأكد من أن كلمة مرورك لم تظهر في أي تسريب معروف. هذه الأداة تستخدم تقنية k-anonymity — ترسل أول 5 أحرف من هاش SHA-1 لكلمة مرورك فقط، ولا ترسل كلمة المرور نفسها أبداً. هذا يضمن خصوصيتك الكاملة.
أنشئ كلمة مرور قوية الآن
استخدم مولد كلمات المرور المجاني — أنشئ كلمة من 16-20 حرفاً عشوائياً في ثانية
🔐 افتح مولد كلمات المرورالأسئلة الشائعة
كم مرة يجب أن أغير كلمة المرور؟ التوصية القديمة بتغيير كلمة المرور كل 90 يوماً لم تعد سارية. NIST الآن توصي بتغيير كلمة المرور فقط إذا شككت في تعرضها للاختراق. تغيير كلمة المرور المتكرر يدفع الناس لاستخدام كلمات ضعيفة وسهلة التذكر.
هل كلمات المرور الطويلة أفضل من المعقدة؟ نعم. كلمة من 20 حرفاً صغيراً فقط (مثل جملة طويلة) أقوى من كلمة من 8 أحرف معقدة. الطول يوسع مساحة الاحتمالات أكثر من التعقيد. المثالي: طويلة + معقدة.
ما رأيك في بصمة الإصبع و Face ID؟ القياسات الحيوية (Biometrics) مريحة لكنها ليست بديلاً عن كلمة المرور — هي طبقة إضافية. لا يمكنك تغيير بصمة إصبعك إذا تسربت. استخدمها مع كلمة مرور قوية، لا بدلاً منها.
هل استخدام UUID ككلمة مرور آمن؟ مولد UUID ينتج معرفات مثل "550e8400-e29b-41d4-a716-446655440000" — 36 حرفاً عشوائياً. هذا ممتاز من حيث القوة، لكن UUIDs لها بنية معروفة (بعض البتات ثابتة)، لذا كلمة مرور عشوائية بالكامل أفضل. استخدم مولد كلمات المرور المخصص.
ماذا أفعل إذا اكتشفت أن كلمة مروري مسربة؟ غيّرها فوراً على كل المواقع التي استخدمتها فيها. فعّل 2FA على حساباتك المهمة. استخدم فاحص التسريبات بشكل دوري — مرة كل 3-6 أشهر.