https://arpokrat.com/ar/blog/tags/%D8%A7%D9%84%D8%A5%D9%86%D8%AA%D8%B1%D9%88%D8%A8%D9%8A%D8%A7/ Recent content in الإنتروبيا on Arpokrat Hugo -- gohugo.ioarWed, 03 Jun 2026 00:00:00 +0000 https://arpokrat.com/ar/blog/password-entropy-shannon-security/ Wed, 03 Jun 2026 00:00:00 +0000 https://arpokrat.com/ar/blog/password-entropy-shannon-security/ <p>« يجب أن تحتوي كلمة المرور الخاصة بك على 8 أحرف، حرف كبير، حرف صغير، رقم، ورمز خاص. »</p> <p>جميعنا نعرف هذه القاعدة. ومع ذلك، في مجال الأمن السيبراني، يُطلق على هذا اسم &ldquo;مسرح الأمن&rdquo;. كلمة مرور مثل <code>P@ssw0rd1!</code> تحترم كل هذه القواعد، ولكن سيتم اختراقها في غمضة عين بواسطة أي برنامج قرصنة حديث.</p> <p>الأمان الحقيقي لا يعتمد على قواعد بصرية تعسفية، بل على حقيقة رياضية لا ترحم: <strong>الإنتروبيا</strong>.</p> <h2 id="الإنتروبيا-وفقا-لكلود-شانون">الإنتروبيا وفقاً لكلود شانون</h2> <p>لفهم قوة كلمة المرور، يجب أن نلجأ إلى كلود شانون، والد نظرية المعلومات. تقيس الإنتروبيا درجة عدم اليقين أو عدم إمكانية التنبؤ بالمعلومات.</p> <p>عند تطبيقها على كلمات المرور، يتم حساب الإنتروبيا بـ <strong>البتات (bits)</strong>. كلما زاد عدد البتات، كانت كلمة المرور أكثر صعوبة في التنبؤ بالنسبة للكمبيوتر. الصيغة المبسطة للإنتروبيا (E) لكلمة مرور تم إنشاؤها عشوائيًا هي:</p> <p><strong>E = L × log2(R)</strong></p> <ul> <li><strong>L</strong> هو <strong>طول</strong> كلمة المرور.</li> <li><strong>R</strong> هو <strong>حجم المجموعة</strong> (26 للأحرف الصغيرة، 62 مع الأحرف الكبيرة والأرقام، 94 مع الرموز).</li> </ul> <p>زيادة حجم المجموعة (إضافة رموز) تزيد من الإنتروبيا، لكن زيادة الطول (إضافة أحرف) تزيدها بشكل أكثر قوة. <strong>ومع ذلك، لا يتفوق الطول على التعقيد إلا بشرط واحد: أن يتم إنشاء كلمة المرور بشكل عشوائي تمامًا.</strong></p> <h2 id="القوة-الغاشمة-مقابل-هجوم-القاموس">القوة الغاشمة مقابل هجوم القاموس</h2> <p>إذا استخدمت كلمات أو هياكل يمكن التنبؤ بها، تنهار قاعدة الطول النقي.</p> <p>برامج القرصنة لا تجرب جميع مجموعات الحروف واحدة تلو الأخرى (ما يسمى بـ <strong>القوة الغاشمة</strong>). بل تستخدم قواعد بيانات ضخمة تحتوي على مليارات الكلمات الموجودة والعبارات الشائعة وتسريبات البيانات السابقة. هذا هو <strong>هجوم القاموس</strong>.</p> <p>إذا كانت كلمة المرور الخاصة بك طويلة، ولكنها تتكون من كلمات القاموس أو استبدالات يمكن التنبؤ بها، فإن الإنتروبيا الفعلية لها أقل بكثير من الإنتروبيا الرياضية النظرية.</p> <p>إليك أوقات الاختراق المقدرة أمام مجموعة من بطاقات الرسومات الحديثة (GPU)، مع إبراز أسرع مسار تم العثور عليه بسبب نقاط الضعف الهيكلية بالخط العريض:</p> <table> <thead> <tr> <th style="text-align: left">كلمة المرور</th> <th style="text-align: left">الإنتروبيا النظرية</th> <th style="text-align: left">ضد القوة الغاشمة</th> <th style="text-align: left">ضد القاموس</th> </tr> </thead> <tbody> <tr> <td style="text-align: left"><code>password123</code></td> <td style="text-align: left">~15 بت</td> <td style="text-align: left">بضع ساعات</td> <td style="text-align: left"><strong>فوري</strong></td> </tr> <tr> <td style="text-align: left"><code>S3cr3t!99</code></td> <td style="text-align: left">~40 بت</td> <td style="text-align: left">بضع سنوات</td> <td style="text-align: left"><strong>بضع ساعات / أيام (عبر الطفرات)</strong></td> </tr> <tr> <td style="text-align: left"><code>correct horse battery staple</code></td> <td style="text-align: left">~130 بت</td> <td style="text-align: left">مليارات السنين</td> <td style="text-align: left"><strong>بضع ساعات / أيام</strong></td> </tr> <tr> <td style="text-align: left"><code>gL7!pQ9z#vX2</code></td> <td style="text-align: left">~78 بت</td> <td style="text-align: left"><strong>~3 000 سنة</strong></td> <td style="text-align: left">فشل (العودة للقوة الغاشمة)</td> </tr> </tbody> </table> <h3 id="وهم-leetspeak-وقواعد-الطفرات">وهم Leetspeak وقواعد الطفرات</h3> <p>لنأخذ مثال <code>S3cr3t!99</code>. من الناحية المرئية، تبدو معقدة وقوية. ومع ذلك، فهي ببساطة كلمة القاموس &ldquo;secret&rdquo;، حيث تم استبدال &rsquo;e&rsquo; بـ &lsquo;3&rsquo;، مع إضافة لاحقة شائعة جداً (<code>!99</code>). يُطلق على هذا اسم <strong>leetspeak</strong>.</p> <p>أمام هجوم القاموس، لن تصمد هذه الكلمة سوى بضع ساعات، أو حتى دقائق. لا تكتفي برامج الاختراق الحديثة (مثل Hashcat) باختبار قوائم الكلمات الثابتة؛ بل تطبق تلقائيًا <strong>قواعد الطفرات</strong>. فهي تأخذ كل كلمة من قاموسها، وتختبر جميع مجموعات leetspeak الممكنة، وتعكس الأحرف الكبيرة، وتضيف سنوات أو رموزاً. Leetspeak يعطي شعوراً كاذباً بالأمان.</p> <h2 id="خدعة-تبديل-لوحة-المفاتيح-keyboard-shift">خدعة تبديل لوحة المفاتيح (Keyboard Shift)</h2> <p>لتعقيد عبارة لا تُنسى، يستخدم البعض خدعة إزاحة تخطيط لوحة المفاتيح. على سبيل المثال، تتذكر عبارة مثل <code>my-cat</code>. ولكن في اللحظة التي تكتبها، تضع أصابعك على لوحة مفاتيح QWERTY مادية بينما يكون نظام التشغيل الخاص بك مضبوطاً على AZERTY (الفرنسي).</p> <ul> <li><strong>الكلمة في العقل:</strong> <code>my-cat</code></li> <li><strong>النتيجة المكتوبة:</strong> <code>,y)cqt</code> (يصبح مفتاح &rsquo;m&rsquo; عبارة عن &lsquo;,&rsquo;، و &lsquo;-&rsquo; يصبح &lsquo;)&rsquo;، و &lsquo;a&rsquo; يصبح &lsquo;q&rsquo;).</li> </ul> <p><strong>هل هذه فكرة جيدة في OPSEC؟ لا، هذه الطريقة ليست كافية إذا استخدمت وحدها.</strong> تمامًا كما هو الحال مع leetspeak، تتضمن برامج الاختراق المتقدمة قواعد طفرات للأجهزة تختبر تلقائيًا الإزاحات الدولية للوحات المفاتيح (QWERTY, AZERTY, QWERTZ, Dvorak). في OPSEC، هذا هو الأمان من خلال الغموض: إنه يؤخر مهاجماً هاوياً، لكنه لا يوقف هجوماً مستهدفاً ومجهزاً.</p> <p>ومع ذلك، <strong>إذا تم دمج هذه التقنية مع كلمة مرور قوية بالفعل في الأساس</strong> (مثل عبارة مرور طويلة جدًا يمكن تذكرها)، فإنها تزيد من الإنتروبيا بشكل كبير عن طريق إدخال أحرف خاصة غير متوقعة داخل هيكل قوي بالفعل.</p> <h2 id="بناء-كلمة-المرور-المثالية-250-بت">بناء كلمة المرور المثالية (~250 بت)</h2> <p>إذا كانت قوائم الكلمات و leetspeak وحيل الكتابة لها حدودها، فكيف نبني كلمة المرور الرئيسية المثالية؟ لتحقيق <strong>الأمان الأمثل</strong> ومقاومة أدوات الحوسبة من الجيل القادم، الهدف الحالي هو استهداف حوالي <strong>250 بت من الإنتروبيا</strong>.</p> <p>هناك طريقتان لتحقيق ذلك وفقًا لاحتياجاتك:</p> <h3 id="1-الخيار-العشوائي-البحت-مثالي-لمدير-كلمات-المرور">1. الخيار العشوائي البحت (مثالي لمدير كلمات المرور)</h3> <p>سلسلة من الأحرف التي تم إنشاؤها عشوائياً تماماً، مما يجعل تخمينها صعباً للغاية على الآلة: <code>k9$Yz2!pL#8vQx5@mN7*jW4&amp;hC1%bF3^tR9(dZ6</code> <em>39 حرفاً عشوائياً باستخدام كامل مجموعة الرموز.</em></p> <h3 id="2-العبارة-الهجينة-مثالية-لكلمة-مرور-رئيسية-يمكن-تذكرها">2. العبارة الهجينة (مثالية لكلمة مرور رئيسية يمكن تذكرها)</h3> <p>سلسلة من كلمات القاموس تم إنشاؤها عشوائياً، مدمجة بشكل صارم مع أرقام ورموز: <code>Sovereign_Crypto_99_Privacy_Zero_Knowledge_Secure_2026_Key_Lock_Cloud_Act_Grover</code> <em>تسمح هذه الطريقة للإنسان بتذكر بنية بصرياً أو عضلياً، مع الحفاظ على حاجز رياضي عملاق.</em></p> <h2 id="التهديد-الكمي-خوارزمية-غروفر">التهديد الكمي: خوارزمية غروفر</h2> <p>لماذا نستهدف 250 بت بينما 128 بت تحجب بالفعل الحواسيب العملاقة اليوم؟ تكمن الإجابة في ظهور الحوسبة الكمية.</p> <p>في التشفير، تسمح خوارزمية غروفر للكمبيوتر الكمي بالبحث في قاعدة بيانات غير مفروزة بشكل أسرع بكثير من الكمبيوتر الكلاسيكي. بشكل ملموس، <strong>يقلل غروفر مستوى الأمان الفعال</strong> للمفتاح المتماثل أو كلمة المرور إلى النصف.</p> <p>في مواجهة كمبيوتر كمي يقوم بتشغيل خوارزمية غروفر، فإن كلمة المرور ذات إنتروبيا 128 بت ستوفر فقط مقاومة تعادل 64 بت (والتي تصبح قابلة للكسر).</p> <p>وبالتالي، للحفاظ على أمان حقيقي يبلغ 128 بت في عالم ما بعد الكم، من الضروري مضاعفة الإنتروبيا في البداية. هذا أحد أركان مفهوم <a href="https://arpokrat.com/ar/blog/harvest-now-decrypt-later-hndl-zero-knowledge/">Harvest Now, Decrypt Later (HNDL)</a>: تقوم الجهات الفاعلة الحكومية بامتصاص البيانات المشفرة اليوم لكسرها غدًا. استهداف 250 بت من الإنتروبيا هو المعيار الأدنى لحماية مفاتيحك الرئيسية على المدى الطويل.</p> <h2 id="arpokrat-password-generator-اختبرها-بنفسك">Arpokrat Password Generator: اختبرها بنفسك</h2> <p>لا تترك أمان وصولك للصدفة. لقد قمنا بتطوير أداة داخلية تتيح لك إنشاء كلمات مرور قوية تشفيرًا (بما في ذلك ما بعد الكم)، وقبل كل شيء <strong>تقييم الإنتروبيا الحقيقية</strong> لكلمات المرور الخاصة بك.</p> <p>👉 <strong><a href="https://arpokrat.com/ar/password-generator">Arpokrat Password Generator</a></strong></p> <p>اختبر كلمات المرور الحالية لمعرفة ما إذا كانت ستصمد أمام قوة الحوسبة الحديثة. تعمل الأداة بنسبة 100% محلياً في متصفحك، ولا تنتقل أي بيانات عبر الشبكة.</p> <h2 id="الحلقة-الأضعف-الأخيرة-إعادة-الاستخدام-وإدارة-الوصول">الحلقة الأضعف الأخيرة: إعادة الاستخدام وإدارة الوصول</h2> <p>الإنتروبيا الرياضية لا تحمي من الخطأ البشري. كلمة المرور المكونة من 250 بت عديمة الفائدة إذا تمت إعادة استخدامها في مواقع متعددة (هجوم يسمى <em>Credential Stuffing</em>) أو إذا لم تكن محمية بعامل مصادقة ثانٍ (2FA).</p> <p>القاعدة الذهبية للنظافة الرقمية هي ألا تضطر إلا إلى تذكر <strong>كلمة مرور واحدة فقط</strong>: كلمة المرور الرئيسية الخاصة بك المكونة من 250 بت (في شكل عبارة مرور هجينة). يجب أن تستخدم جميع عمليات الوصول الأخرى (البنك، الشبكات الاجتماعية، الخوادم) كلمات مرور فريدة مكونة من 250 بت من الإنتروبيا النقية (سلاسل الأحرف العشوائية) التي تم إنشاؤها خصيصًا لها.</p> <p>لتخزين وإدارة هذا الحجم من المفاتيح التي يستحيل تذكرها في الرأس، فإن استخدام <strong>مدير كلمات مرور Zero-Knowledge</strong> أمر لا غنى عنه. أحد أفضل المعايير الحالية هو <strong><a href="https://proton.me/pass">Proton Pass</a></strong>. مقره في سويسرا، مفتوح المصدر ومشفر من طرف إلى طرف، فهو يضمن أنه حتى مهندسيه لا يمكنهم قراءة محتويات قبوك. إنه الرفيق المثالي لتخزين المفاتيح فائقة القوة التي أنشأتها Arpokrat، وإغلاق حياتك الرقمية بالكامل خلف حاجز رياضي حقيقي.</p>