مولد كلمات مرور آمن: مجاني، دون اتصال، عشوائي تشفيرياً

Q: هل مولد كلمات المرور هذا آمن فعلاً؟

نعم. نستخدم حصرياً Web-Crypto-API (crypto.getRandomValues)، مولّد الأرقام العشوائية الآمن تشفيرياً (CSPRNG) الذي يوفّره المتصفح. بالإضافة إلى ذلك، يُستخدم Rejection Sampling الذي يتجنب انحياز Modulo التقليدي في التطبيقات الأخرى، بحيث يكون لكل حرف مسموح به نفس احتمال الظهور بدقة.

Q: ما هي "الأحرف المتشابهة"؟

أحرف مثل l (حرف L الصغير) و1 وI وO و0 تبدو متشابهة جداً حسب نوع الخط. من ينسخ كلمة مرور من ورقة أو شاشة يستفيد من استبعاد هذه الأحرف. تنخفض Entropie قليلاً بذلك، وتزيد سهولة الاستخدام.

أنشئ بنقرة واحدة كلمات مرور قوية مباشرة في متصفحك. افتراضياً 32 حرفاً، عشوائية آمنة تشفيرياً (CSPRNG)، بدون رحلة إلى الخادم، بدون تخزين، بدون تتبع.

يستخدم crypto.getRandomValues مع Rejection Sampling، بحيث يكون لكل حرف مسموح به نفس الاحتمال بدقة.

تم النسخ

القوة: ...

...

الطول

موصى به: 20+ حرفاً للحسابات الحساسة

أحرف كبيرة (A bis Z)

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

أحرف صغيرة (a bis z)

a b c d e f g h i j k l m n o p q r s t u v w x y z

أرقام (0 bis 9)

كل رقم، حتى 0، باحتمال متساوٍ تماماً (Rejection Sampling، بدون انحياز Modulo).

رموز خاصة

! @ # $ % & * - _ = + ? . , : ; ( ) [ ] { } / \ | ~ ^

تضمين Y وZ

مفيد عندما تُكتب كلمة المرور على لوحات مفاتيح QWERTZ وQWERTY على حد سواء.

استبعاد الأحرف المتشابهة

يزيل مثلاً l 1 I O 0، مفيد عند النسخ يدوياً.

الإعدادات غير محفوظة

كم هي عشوائية "العشوائية"؟ يستخدم هذا المولد Web-Crypto-API الخاصة بمتصفحك (CSPRNG) وآلية Rejection Sampling التي تتجنب انحياز Modulo التقليدي. بذلك يكون لكل حرف مسموح به، سواء كان A أو z أو 5 أو 0، نفس احتمال الظهور بدقة. لا يحدث أي اتصال شبكي على الإطلاق.

ما الذي يميّز مولد كلمات المرور هذا عن غيره

كثير من المولدات عبر الإنترنت تنشئ كلمات المرور من جانب الخادم (كلمة المرور تغادر جهازك) أو تستخدم Math.random()، وهي ليست آمنة تشفيرياً. كلاهما غير مناسب للأمان الحقيقي.

عشوائية حقيقية: crypto.getRandomValues يقدّم أرقاماً موثوقة تشفيرياً، مدعوماً بـ Rejection Sampling ضد انحياز Modulo.
دون اتصال تماماً: بدون fetch، بدون سكربت طرف ثالث، بدون CDN، بدون cookies، بدون LocalStorage.
ملف واحد: فقط HTML وCSS وJavaScript. يمكنك حفظ الصفحة واستخدامها بدون إنترنت.
شفاف: الكود المصدري ظاهر وقابل للقراءة (نقرة يمين، "عرض مصدر الصفحة").
بدون تخزين: بعد إغلاق التبويب تختفي كلمة المرور، بدون سجل، بدون آثار.

كيف تختار كلمة مرور آمنة فعلاً

أهم قاعدة أولاً: الطول يتفوق على التعقيد. كلمة المرور الطويلة آمنة رياضياً أكثر من القصيرة المليئة بالرموز الخاصة.

16 حرفاً على الأقل للحسابات العادية، 24 إلى 32 حرفاً للبريد الإلكتروني، البنوك، كلمات المرور الرئيسية وأذونات الخوادم.
كلمة مرور خاصة لكل خدمة. إذا تعرّض مزوّد للاختراق، تبقى حساباتك الأخرى آمنة.
استخدم مدير كلمات مرور (مثل KeePassXC، Bitwarden، 1Password). لن تحتاج إلا لتذكّر كلمة مرور رئيسية واحدة قوية.
فعّل المصادقة الثنائية أينما أمكن.
لا تعد استخدام نفس كلمة المرور أبداً ولا تبنِها وفق نمط (مثلاً Sommer2024!)، فهذه يكسرها هجوم القاموس في ثوانٍ.

كم يستغرق المهاجم لكسر كلمة المرور؟

في هجوم دون اتصال (يحصل المخترق على hash مسرّب لكلمة المرور ويجرّب محلياً جميع التركيبات)، يمكن لـ GPU rigs الحديثة تجربة نحو تريليون محاولة في الثانية (لخوارزميات hash الضعيفة مثل MD5 أو SHA-1). أما مع الخوارزميات الجيدة مثل bcrypt أو Argon2 فالعدد أقل بكثير، لكننا نحسب هنا بشكل متحفّظ.

الطول	مجموعة الأحرف	الاحتمالات	وقت الكسر (1 تريليون/ث)
8	أحرف صغيرة فقط	2 · 10¹¹	0.2 ثانية
8	أحرف + أرقام	2 · 10¹⁴	3 دقائق
12	أحرف + أرقام	3 · 10²¹	100 سنة
16	أحرف + أرقام	5 · 10²⁸	1.5 مليار سنة
20	أحرف + أرقام	7 · 10³⁵	10²² سنة
32	أحرف + أرقام (افتراضي)	2 · 10⁵⁷	غير محدود عملياً

القيم مقرّبة، بناءً على 62 حرفاً ممكناً (a إلى z، A إلى Z، 0 إلى 9) و10¹² محاولة في الثانية.

الأسئلة الشائعة

هل مولد كلمات المرور هذا آمن فعلاً؟

نعم. نستخدم حصرياً Web-Crypto-API (crypto.getRandomValues)، مولّد الأرقام العشوائية الآمن تشفيرياً (CSPRNG) الذي يوفّره المتصفح. بالإضافة إلى ذلك، يُستخدم Rejection Sampling الذي يتجنب انحياز Modulo التقليدي في التطبيقات الأخرى، بحيث يكون لكل حرف مسموح به نفس احتمال الظهور بدقة.

هل يتم حفظ كلمات المرور أو نقلها؟

لا. تجري عملية التوليد بالكامل محلياً في متصفحك. لا توجد طلبات شبكية، لا cookies، لا LocalStorage ولا سجلات.

ما هو الطول المناسب لكلمة مرور آمنة؟

للحسابات العادية على الإنترنت تكفي 16 حرفاً مع مجموعات أحرف مختلطة. للأذونات الحرجة كالبريد الإلكتروني والبنوك وكلمات المرور الرئيسية نوصي بـ 24 إلى 32 حرفاً. الافتراضي في هذا المولد هو 32 حرفاً، مما ينتج أكثر من 190 Bit من Entropie ويصمد حتى أمام الهجمات المستقبلية.

هل أحتاج للرموز الخاصة بالضرورة؟

ليس بالضرورة. الطول يتفوق على التعقيد: كلمة مرور من 24 حرفاً تتكون من أحرف وأرقام أكثر أماناً بكثير من كلمة مرور من 8 أحرف بها رموز خاصة. الرموز الخاصة مفيدة عندما تشترطها الخدمة أو عندما يكون الطول محدوداً.

ماذا يعني خيار "تضمين Y وZ"؟

على لوحات مفاتيح QWERTZ الألمانية، تتبادل y وz مواقعهما مقارنة بلوحات QWERTY الإنجليزية. من يكتب كلمات المرور أحياناً على لوحات إنجليزية، يمكنه استبعاد هذه الأحرف اختيارياً لتجنب الأخطاء الإملائية.

ما هي "الأحرف المتشابهة"؟

أحرف مثل l و1 وI وO و0 تبدو متشابهة جداً حسب نوع الخط. من ينسخ كلمة مرور من ورقة أو شاشة يستفيد من استبعاد هذه الأحرف.

هل يعمل مولد كلمات المرور دون اتصال؟

نعم. بعد التحميل الأول يمكنك استخدام الصفحة دون اتصال بالإنترنت. يمكنك حفظ الصفحة محلياً عبر "حفظ باسم" واستخدامها حينها أيضاً.

ما المتصفحات المدعومة؟

جميع المتصفحات الحديثة (Chrome، Firefox، Edge، Safari، Brave، Opera) منذ نحو 2017 تقريباً. الشرط هو دعم Web-Crypto-API.

جميع منتجات KernelHost

هل تحتاج إلى أكثر من مجرد أدوات؟ اطلع على باقات الاستضافة التجارية لدينا.

KVM-Rootserver ابتداءً من 4,99 €/شهر Dedicated-Server ابتداءً من 69,99 €/شهر Minecraft-Server ابتداءً من 4,00 €/شهر Webhosting ابتداءً من 3,99 €/شهر Private VPN-Server IP مخصص حماية DDoS 3.2 Tbps Arbor