ما هي حاسبة زمن كسر كلمة المرور؟
تقدّر هذه الأداة المدة التي يحتاجها المهاجم لكسر كلمة مرورك عبر هجوم القوة العمياء، أي تجربة كل التوليفات الممكنة واحدة تلو الأخرى. ويعتمد التقدير على طول كلمة المرور، وحجم مجموعة الأحرف التي تتكوّن منها، وعدد التخمينات التي يستطيع المهاجم تنفيذها في الثانية الواحدة. والنتيجة تقدير تقريبي مبني على نموذج رياضي فقط؛ ففي الواقع تستعين الهجمات غالبًا بقوائم الكلمات الشائعة والأنماط المتوقعة، ما يجعل كسر كلمات المرور الضعيفة أسرع بكثير.
كيفية الاستخدام
أدخِل طول كلمة المرور، ثم حدّد كل نوع من الأحرف المستخدمة فيها (حروف صغيرة، حروف كبيرة، أرقام، رموز)، واضبط معدل تخمين المهاجم. قد ينفّذ جهاز حديث مزوّد بكرت رسوميات قوي نحو 10 مليار (10,000,000,000) تخمين في الثانية على دوال التجزئة السريعة، بينما تحدّ دالة بطيئة مثل bcrypt من قدرة المهاجم لتصبح آلاف التخمينات فقط في الثانية.
شرح المعادلة
إجمالي عدد التوليفات الممكنة هو حجم مجموعة الأحرف C مرفوعًا إلى أُسّ الطول L، أي \(C^{L}\). وبقسمة هذا العدد على معدل التخمين g نحصل على زمن أسوأ الحالات. وبما أنه في المتوسط يُعثَر على كلمة المرور الصحيحة بعد البحث في نصف فضاء الاحتمالات، نقسم على اثنين:
$$t = \frac{C^{L}}{2g}$$أما الإنتروبيا مقاسةً بالبِتّات فهي \(L \times \log_{2} C\)، وكل بِتّ إضافي يُضاعف الجهد اللازم للبحث.
مثال تطبيقي
كلمة مرور من 8 أحرف صغيرة فقط تعتمد على مجموعة من 26 حرفًا، فيكون عدد التوليفات \(26^{8} = 208{,}827{,}064{,}576\) توليفة. وأمام مهاجم ينفّذ مليار تخمين في الثانية، يبلغ متوسط زمن الكسر:
$$\frac{208{,}827{,}064{,}576}{2 \times 1{,}000{,}000{,}000} \approx 104.4 \text{ ثانية}$$وعند إضافة الحروف الكبيرة والأرقام والرموز ترتفع مجموعة الأحرف إلى 94، فيزداد الزمن المطلوب بشكل هائل.
أحجام مجموعات الأحرف
القاعدة \(C\) من الصيغة هي عدد الأحرف المميزة التي يجب أن يأخذها المهاجم في الاعتبار لكل موضع. وهي مجموع أحجام كل فئة أحرف قد تستقطبها كلمة المرور الخاصة بك. التجميعات الشائعة:
| مجموعة الأحرف | الرمز | الحجم |
|---|---|---|
| الأحرف الصغيرة (a–z) | [a-z] | 26 |
| الأحرف الكبيرة (A–Z) | [A-Z] | 26 |
| الأرقام (0–9) | [0-9] | 10 |
| رموز ASCII الشائعة | [sym] | 32 |
| أحرف صغيرة + أرقام | [a-z0-9] | 36 |
| أحرف صغيرة + كبيرة | [a-zA-Z] | 52 |
| أحرف + أرقام (أبجدية رقمية) | [a-zA-Z0-9] | 62 |
| الفئات الأربع جميعها | [a-zA-Z0-9 sym] | 94 |
تعكس 32 "الرموز الشائعة" مجموعة علامات الترقيم القابلة للطباعة في ASCII !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ بالإضافة إلى المسافة، التي تجتمع مع 62 محرفاً أبجدياً رقمياً لتشكيل مجموعة ASCII القياسية المكونة من 94 حرفاً قابلاً للطباعة.
تفسير وقت الكسر الخاص بك
وقت الكسر والإنتروبيا في كلمة المرور يقيسان نفس الشيء من زاويتين مختلفتين. الإنتروبيا بالبت لكلمة مرور عشوائية هي \(H = L\log_2 C\)؛ كل بت مضاف يضاعف عدد محاولات التخمين المطلوبة، وبالتالي يضاعف متوسط وقت الكسر بمعدل تخمين ثابت. قراءة تقريبية لعدد البتات:
- أقل من 40 بت — ضعيفة. هذا النطاق (على سبيل المثال، كلمة مرور من 8 أحرف بأحرف صغيرة فقط بـ \(\approx 37.6\) بت) ينهار في ثوان إلى أيام ضد الأجهزة غير المتصلة بالإنترنت السريعة ولا ينبغي أن يحمي أي شيء حساس.
- ~60–70 بت — معتدلة. تقاوم الهجمات غير المتصلة بالإنترنت العابرة لكنها تقع ضمن نطاق مجموعات GPU ذات الموارد الجيدة بمرور الوقت.
- 80 بت فما فوق — قوية. تعتبر غير قابلة للكسر بالقوة الغاشمة بالتكنولوجيا الحالية والمتوقعة؛ كلمة مرور من 12 حرفاً بجميع الفئات تصل إلى حوالي 78 بت وواحدة من 16 حرفاً حوالي 105 بت.
يؤكد التوجيه الرقمي للهوية من NIST (SP 800-63B) على الطول على قواعد الترابط الإجباري، وينصح بالسماح بعبارات مرور طويلة، ويشير إلى فحص كلمات المرور مقابل قوائم الخروق والقاموس بدلاً من فرض فئات أحرف مختلطة — بالضبط لأن وقت القوة الغاشمة أدناه يفترض كلمة مرور عشوائية حقاً.
تحذير مهم: هذه الأرقام هي حد أعلى. تفترض الصيغة أن كل حرف يتم اختياره بشكل موحد عشوائياً عبر المجموعة الكاملة. لا يبدأ المهاجمون الحقيقيون من "aaaaaaaa" — فهم يشغلون القواميس وقوائم كلمات المرور المسربة وأنماط لوحة المفاتيح والأسماء والتواريخ والاستبدالات المتوقعة أولاً. كلمة مرور مثل P@ssw0rd123 لها مجموعة أحرف اسمية طويلة لكنها تُكسر على الفور لأنها تظهر في قوائم الكلمات. تعامل مع الوقت المحسوب على أنه ذو مغزى فقط لكلمات المرور التي تم إنشاؤها بواسطة عملية عشوائية، وليس من اختيار الإنسان.
هذه معلومات أمان عامة، وليست ضماناً بالسلامة لأي حساب محدد؛ قم بدمج كلمات المرور الفريدة القوية مع المصادقة متعددة العوامل.
الأسئلة الشائعة
لماذا نقسم على اثنين؟ لأن هجوم القوة العمياء يعثر على كلمة المرور في مكان ما ضمن فضاء المفاتيح، وفي المتوسط يكون ذلك عند منتصف الفضاء، لذا فإن الزمن المتوقع يساوي نصف الزمن الأقصى.
هل هذا ضمان مؤكد؟ لا. تفترض الحاسبة أن كلمة المرور عشوائية تمامًا. أما كلمات المرور المُعاد استخدامها أو المستمدة من القواميس أو المبنية على أنماط، فتُكسر أسرع بكثير بغضّ النظر عن طولها.
أي حجم لمجموعة الأحرف أختار؟ حدّد فقط أنواع الأحرف الموجودة فعلًا في كلمة مرورك. والرموز هنا تُحتسب على أنها مجموعة من 32 علامة ترقيم شائعة.
