الاختراق في أقل من دقيقة: كلمة مرور من بين كل اثنتين (تقريبًا)

تتسرب سنويًا مئات الملايين من كلمات مرور المستخدمين الحقيقية إلى شبكة الويب المظلمة. وقد حللنا 231 مليون كلمة مرور فريدة من تسريبات هذه الشبكة بين عامي 2023 و2026، وجاءت الاستنتاجات قاتمة: الغالبية العظمى منها ضعيفة للغاية. ولاختراق 60% من هذه الكلمات، لا يحتاج المخترق إلا ساعة واحدة وبضعة دولارات في جيبه. علاوة على ذلك، يتسارع اختراق كلمات المرور عامًا تلو الآخر؛ ففي دراستنا المماثلة لعام 2024، كانت نسبة كلمات المرور المعرضة للاختراق أقل.

نسلط الضوء اليوم على مدى موثوقية كلمة المرور العادية (تنبيه: النتائج ليست جيدة حقًا)، وكيف يمكنك تأمين بياناتك وحساباتك باستخدام طرق أكثر قوة. وفي الوقت ذاته، سنبرز الأنماط الأكثر شيوعًا التي نجدها في كلمات مرور المستخدمين الفعلية.

كيفية اختراق كلمات المرور

في دراستنا السابقة، تناولنا بالتفصيل طرق تخزين كلمات المرور واختراقها، ولكننا سنقدم هنا مراجعة سريعة للمبادئ الأساسية.

في وقتنا الحالي، لا تُخزن كلمات المرور بصيغة نصية عادية أبدًا. على سبيل المثال، إذا أنشأت حسابًا بكلمة المرور “Password123!”، فلن يخزنها الخادم كما هي؛ بل تُشفر كلمة المرور باستخدام خوارزميات محددة لتحويلها إلى سلسلة نصية ثابتة الطول من الحروف والأرقام تُعرف باسم التجزئة، وهو ما يُحفظ فعليًا على الخادم. على سبيل المثال، إليك شكل تجزئة MD5 لكلمة المرور “Password123!”:

2c103f2c4ed1e59c0b4e2e01821770fa.

في كل مرة يدخل فيها المستخدم كلمة مروره، يتم تحويلها إلى تجزئة ومقارنتها بالتجزئة المخزنة على الخادم؛ وإذا تطابقات التجزئتان، تكون كلمة المرور صحيحة. وإذا وضع المهاجم يده على هذه التجزئة، فإنه يضطر إلى فك تشفيرها لاستعادة كلمة المرور الأصلية – وهذا ما يُعرف باسم “اختراق كلمات المرور”. ويحدث ذلك عادةً باستخدام وحدات معالجة رسومات مملوكة أو مستأجرة، ويمكن اتباع عدة طرق لتنفيذ عملية الاختراق:

• التعداد الشامل (التخمين المنهجي). يجرب الكمبيوتر كل مجموعة ممكنة من الأحرف، ويحسب التجزئة لكل منها. وتعد هذه الطريقة أسهل وسيلة لاختراق كلمات المرور القصيرة، أو تلك التي تتكون من مجموعة أحرف واحدة (مثل الأرقام فقط).
• جداول قوس قزح. تمثل كابوسًا حقيقيًا لكل من يستخدم كلمة مرور بسيطة؛ فهي تعمل أساسًا مثل “دليل هاتف” لكلمات المرور التي تم كسر قيم التجزئة الخاصة بها مسبقًا عبر الهجوم الشامل أو الخوارزميات الذكية. وكل ما على المهاجم فعله هو العثور على تجزئة مطابقة ومعرفة كلمة المرور المقابلة لها.
• الاختراق الذكي. يتم تدريب هذه الخوارزميات على قواعد بيانات لكلمات المرور المسربة. وهي تدرك مدى تكرار تركيبات الأحرف المختلفة، وتجري عمليات فحصها بدءًا من التسلسلات الأكثر احتمالاً وصولاً إلى الأقل شيوعًا. وهي تضع في اعتبارها كلمات القاموس واستبدالات الأحرف (تحويل a إلى @ أو s إلى $)، ووتراعي هياكل كلمات المرور الشائعة مثل “كلمة قاموس + رقم + حرف خاص”، أثناء التحقق من التجزئة مقابل جداول قوس قزح. ويؤدي الجمع بين هذه الطرق إلى تسريع عملية الاختراق بشكل كبير.

علاوةً على ذلك، يمكن للمهاجمين أيضًا اعتراض كلمات المرور وهي في صيغة نصية عادية. وتتعدد الطرق المتبعة لتحقيق ذلك، بدءًا من التصيد الاحتيالي (حيث يتم استدراج الضحية إلى صفحة ويب مزيفة ليدخل كلمة مروره طواعية)، وبرامج تسجيل ضغطات المفاتيح التي ترصد كل ما يُكتب، وصولاً إلى برامج السرقة أو فيروسات حصان طروادة التي تسرق المستندات وملفات تعريف الارتباط وبيانات الحافظة وغيرها. وللأسف، يحتفظ العديد من المستخدمين بكلمات مرورهم كنصوص مجردة في الملاحظات وتطبيقات المراسلة والمستندات، أو يحفظونها في المستعرضات حيث يستطيع المهاجمون استخراجها خلال ثوانٍ معدودة.

نتتبع سنويًا ما يقرب من مئة مليون تسريب لكلمات المرور بصيغتها النصية العادية. ونستخدم قواعد البيانات هذه لتحذير Kaspersky Password Manager من المستخدمين في حال تعرض بياناتهم للخطر. وللإجابة على السؤال الأكثر شيوعًا بهذا الخصوص: لا، نحن لا نعرف كلمات مرور مستخدمينا. وقد شرحنا بلغة غير تقنية كيف نقارن كلمات مرورك بالكلمات المسربة دون معرفتها فعليًا، ولماذا لا تخرج كلمات المرور المخزنة في Kaspersky Password Manager – ولا حتى قيم التجزئة الخاصة بها – من جهازك أبدًا، وذلك ضمن نظرتنا العامة لتقنية تحليل التسريبات والبنية الداخلية لمدير كلمات المرور الخاص بنا. وندعوك للاطلاع عليها؛ وستندهش من مدى أناقة هذا التصميم.

اختراق 60% من كلمات المرور خلال أقل من ساعة

وسعنا قاعدة البيانات الخاصة بدراستنا السابقة بإضافة 38 مليون كلمة مرور حقيقية نشرها المهاجمون على منتديات شبكة الويب المظلمة، ثم قارنا النتائج. وأُجريت الاختبارات باستخدام بطاقة رسومات واحدة من طراز RTX 5090 لكلمات المرور المشفرة بخوارزمية MD5. وحصلنا على بيانات التحليل من خدمة Digital Footprint Intelligence الخاصة بنا. ويمكنك مراجعة الخوارزمية التي استخدمناها لتقييم قوة كلمة المرور في مقالنا المنشور على Securelist.

للأسف، لا تزال كلمات المرور ضعيفة كما كانت دائمًا، في حين يزداد اختراقها سرعةً وسهولةً مع مرور كل عام. واليوم، يمكن اختراق 60% من كلمات المرور خلال أقل من ساعة؛ بينما كانت هذه النسبة 59% قبل عامين. لكن الجزء المخيف حقًا هو أمر آخر: يمكن اختراق ما يقرب من نصف كلمات المرور (48%) في أقل من دقيقة واحدة.

وقت الاختراق	النسبة المئوية لكلمات المرور القابلة للاختراق خلال هذا الوقت في عام 2024	النسبة المئوية لكلمات المرور القابلة للاختراق خلال هذا الوقت اليوم
أقل من دقيقة	45%	48%
أقل من ساعة	59% (+14%)	60% (+12%)
أقل من 24 ساعة	67% (+8%)	68% (+8%)
أقل من شهر	73% (+6%)	74% (+6%)
أقل من عام	77% (+4%)	77% (+3%)
أكثر من عام	23%	23%

يدين المهاجمون بالفضل في هذه الزيادة في السرعة إلى معالجات الرسومات، التي تزداد قوة عامًا بعد عام. وبينما كانت بطاقة RTX 4090 في عام 2024 قادرة على كسر تجزئات MD5 بمعدل 164 جيجاهاش (مليار تجزئة) في الثانية، رفعت بطاقة RTX 5090 الجديدة تلك السرعة بنسبة 34% – لتصل إلى 220 جيجاهاش في الثانية.

وعلى الرغم من أن بطاقة فيديو متطورة كهذه تُباع حاليًّا بآلاف الدولارات، إلا أن هذا السعر لا يشكل عائقًا كبيرًا؛ فهناك الكثير من الخدمات السحابية الرخيصة المتاحة لاستئجار قوة الحوسبة لمعالجات الرسومات. ووفقًا للإعدادات والطراز، تتراوح تكاليف الاستئجار من بضعة سنتات إلى بضعة دولارات في الساعة. وكما رأينا، فإن ساعة واحدة هي كل ما يحتاجه المهاجم لاختراق ثلاث من كل خمس كلمات مرور يجدها في أي تسريب. بالإضافة إلى ذلك، بناءً على حجم المهمة، يمكنه دائمًا استئجار عشر أو حتى مئة بطاقة رسومات بدلًا من واحدة فقط…

من الجدير بالذكر أن اختراق جميع كلمات المرور في مجموعة بيانات معينة لا يستغرق وقتًا أطول بكثير من اختراق كلمة مرور واحدة فقط. وخلال كل تكرار، وبمجرد أن يحسب المهاجم التجزئة لتوليفة محددة من الأحرف، فإنه يتحقق مما إذا كانت هذه التجزئة نفسها موجودة في أي مكان ضمن مجموعة البيانات – وكلما زاد حجم مجموعة البيانات، أصبح من الأسهل العثور على تطابق. وإذا عُثر على تطابق، تُحدد كلمة المرور المقابلة بأنها “مخترقة”، وتنتقل الخوارزمية إلى الكلمة التالية.

ما هي كلمات المرور المعرضة للخطر؟

تعتمد قوة أي كلمة مرور على طولها، وتنوع محتواها، ومدى عشوائية ذلك المحتوى. وتعتبر كلمات المرور التي يبتكرها البشر هي الأقل صمودًا؛ فمن المؤسف أن البشر يتبعون أنماطًا يمكن التنبؤ بها تمامًا. ونستخدم كلمات القواميس وتوليفات الأحرف التي أتقنتها الخوارزميات الذكية منذ زمن بعيد، ونتجنب السلاسل النصية الطويلة والعشوائية، بل ويمكن العثور على أنماط محددة حتى في ضغطات المفاتيح التي نعتقد أنها عشوائية. ومن المثير للاهتمام أن كلمات المرور التي ينشئها الذكاء الاصطناعي لا تزال تحمل بصمات النهج البشري؛ وقد غطينا ذلك في منشور منفصل حول كيفية إنشاء كلمة مرور قويةً وسهلة التذكر في آنٍ واحد.

يُعد طول كلمة المرور هو العامل الأساسي الذي يؤثر في وقت الاختراق. وكما يتضح لك من الجدول أدناه، فإن اختراق أي كلمة مرور مكونة من ثمانية أحرف تقريبًا يستغرق أقل من 24 ساعةً.

لكن إمكانية التنبؤ بكلمة مرورك لا تقل أهميةً عن طولها. هل تظن أنك تعزز الأمان بإضافة رقم أو رمز خاص إلى كلمة سهلة التذكر؟ أنت تفعل ذلك بالفعل، لكن بنسبة ضئيلة جدًا. ويمكن توقع الأنماط التي يستخدمها الأشخاص لإنشاء كلمات المرور بسهولة، وهي في بعض الأحيان مثيرة للضحك حقًا – رُغم أن الأمر ليس مادة للمزاح إطلاقًا.

ما الذي تعلمناه عن أنماط كلمة المرور

كشف تحليل أكثر من 200 مليون كلمة مرور عن أنماط مميزة تسمح للخوارزميات الذكية باختراق كلمات مرور المستخدمين بسهولة تامة.

اختر رقمًا

تنتهي أكثر من نصف كلمات المرور (53%) برقم واحد أو أكثر، بينما تبدأ واحدة من كل ست كلمات تقريبًا (17%) برقم. وتتضمن كل ثماني كلمات مرور (12%) تسلسلات تشبه الأعوام تمامًا – تتراوح بين 1950 و2030 – كما تقع واحدة من كل عشر كلمات (10%) تحديدًا بين عامي 1990 و2026. ويحدث هذا على الأرجح لأن الأشخاص يضيفون سنة ميلادهم (أو ميلاد شخص مقرب)، أو عامًا آخر ذا أهمية، أو السنة التي أنشأوا فيها كلمة المرور أو الحساب. حقيقة ممتعة: يشير توزيع هذه التواريخ إلى أن مستخدمي الإنترنت الأكثر نشاطًا ولدوا بين عامي 2000 و2012.

مع ذلك، من بين جميع التوليفات الرقمية، تبين أن الأكثر شيوعًا هي… كما حزرت تمامًا: “1234”. وبشكلٍ عام، تظهر الأنماط التي تعتمد على ضغطات لوحة المفاتيح المتتالية (مثل “qwerty” و”ytrewq” وما شابهها) في 3% من كلمات المرور.

الأحرف الخاصة ليست حلًا سحريًا

تتطلب معظم سياسات كلمات المرور في السنوات الأخيرة رمزًا خاصًا واحدًا على الأقل. ويعد المصدر الأبرز للفوز في هذه الفئة هو رمز “@”: يظهر في كلمة مرور واحدة من بين كل 10 كلمات مرور. وتأتي النقطة (.) في المرتبة الثانية، تليها علامة التعجب (!) في المركز الثالث.

الحب يحكم العالم… وظاهرة “Skibidi Toilet” تحكمه أيضًا

غالبًا ما تشكل الكلمات المشحونة عاطفيًا أساس كلمة المرور، ورغم كل شيء، فإن الكلمات الإيجابية هي الأكثر شيوعًا. ومن الأمثلة المتكررة بوضوح كلمات مثل “love” و”angel” و”team” و”mate” و”life” و”star”. ومع ذلك، تظهر الكلمات السلبية أيضًا – وغالبًا ما تكون في شكل كلمات بذيئة شائعة باللغة الإنجليزية.

من المثير للاهتمام أن “الميمز” واسعة الانتشار تنعكس في كلمات المرور أيضًا. وبين عامي 2023 و2026، قفز استخدام كلمة Skibidi في كلمات المرور بمقدار 36 ضعفًا. وبطبيعة الحال (انظر الرابط إذا لم يبدُ الأمر طبيعيًا)، شهدت كلمة “toilet” زيادةً هي الأخرى، وإن كان ذلك بدرجةٍ أقل.

يميل المستخدمون إلى ترك كلمات مرورهم دون تغيير لسنوات طويلة

تبين أن أكثر من نصف كلمات المرور (54%) التي حددناها في التسريبات الأخيرة قد ظهرت سابقًا. ويمكن تفسير جزء من هذا الأمر بانتقال البيانات نفسها من مجموعة بيانات إلى أخرى. ومع ذلك، هناك سبب آخر أكثر إثارةً للقلق: لم يغير العديد من المستخدمين ببساطة كلمات مرورهم منذ سنوات.

يُظهر تحليل التواريخ الموجودة داخل كلمات المرور أن التوليفات التي تحتوي على الأعوام من 2020 إلى 2024 لا تزال شائعة. ويبدو أن الأشخاص يضيفون السنة الحالية إلى كلمات مرورهم عند إنشائها – ثم ينسون أمرها لعدة سنوات. وهذا يسمح لنا فعليًا بحساب متوسط عمر كلمة المرور: يتراوح بين ثلاث إلى خمس سنوات تقريبًا.

يُعد هذا توجهًا خطيرًا. من ناحية، تستطيع الخوارزميات الذكية اختراق كلمات مرور أكثر تعقيدًا بكثير خلال إطار زمني كهذا. ومن ناحية أخرى، كلما طالت مدة بقاء كلمة مرورك دون تغيير، زاد احتمال تسريبها – سواء كان ذلك من خلال اختراق، أو إصابة ببرامج ضارة، أو هجوم تصيد احتيالي.

يزداد الوضع سوءًا عند استخدام كلمة المرور نفسها عبر حسابات متعددة. وفي هذه الحالة، لا يحتاج المهاجمون حتى إلى اختراق أي شيء؛ بل كل ما عليهم فعله هو العثور على كلمة مرورك في تسريب واحد وتجربتها في مواقع أخرى.

كيفية حماية كلمات مرورك وحساباتك

إذا أدركت أثناء قراءة هذا المقال أن كلمات مرورك تقع ضمن تلك التي يسهل اختراقها – فلا داعي للذعر. وقد أعددنا لك قائمة من النصائح البسيطة والأساسية في آنٍ واحد.

استخدام مدير كلمات المرور

تُعد كلمات المرور التي يبتكرها الأشخاص بأنفسهم هي الأضعف على الإطلاق. ويعد إنشاء وحفظ مئات التسلسلات المكونة من 16 إلى 20 حرفًا عشوائيًا (بما أن كل موقع يتطلب كلمة مرور فريدة وطويلة) هو مهمة شاقة وغير واقعية تمامًا.

لهذا السبب يجب عليك تفويض مهمة إنشاء كلمات المرور وتخزينها إلى Kaspersky Password Manager. ولا يكتفي بإنشاء وتخزين كلمات مرور معقدة وعشوائية بصيغةٍ مشفرة فحسب، بل يزامنها أيضًا عبر جميع أجهزتك. ولفك تشفير مخزنك، ما عليك سوى تذكر كلمة مرور رئيسية واحدة لا يعرفها أحد سواك – ويمكن لدليلنا حول كلمات المرور التي يمكن تذكرها مساعدتك في ذلك.

لا تخزن كلمات المرور كنص عادي

أيًا كان ما تفعله، لا تدون كلمات المرور أبدًا في ملفات أو رسائل أو مستندات. وتفتقر هذه الوسائل إلى التشفير القوي الذي يوفره مدير كلمات المرور. علاوةً على ذلك، تقع هذه الأنواع من الملاحظات في أيدي المهاجمين فورًا إذا حدث وأُصيب جهازك بفيروس حصان طروادة أو ببرامج سرقة المعلومات.

لا تخزن كلمات المرور في المستعرض

يحفظ الكثير من المستخدمين كلمات مرورهم في المستعرضات – لا سيما وأنها تعرض فعل ذلك تلقائيًا وبشكلٍ مريح. وللأسف، تظهر الأبحاث أن البرامج الضارة تطورت لاستخراج هذه الكلمات من جميع المستعرضات الشهيرة فورًا تقريبًا. ويستطيع Kaspersky Password Manager مساعدتك في استيراد كلمات المرور المحفوظة من المستعرض المفضل لديك – ما عليك سوى اتباع دليلنا البسيط المكون من ثلاث خطوات لكي تفعل ذلك. والأهم من ذلك، لا تنسَ مسح مخزن كلمات المرور في المستعرض بمجرد اكتمال عملية الاستيراد.

التبديل إلى مفاتيح المرور

استخدم مفاتيح المرور أينما أمكن ذلك، فهي بديل تشفيري لكلمات المرور. وفي هذا النظام، تخزن الخدمة مفتاحًا عامًا، بينما يظل المفتاح الخاص على جهازك ولا يُنقل أبدًا. وأثناء تسجيل الدخول، يقوم الجهاز ببساطة بتوقيع طلب لمرة واحدة فقط. بالإضافة إلى ذلك، ترتبط مفاتيح المرور بنطاق محدد، مما يعني أن هجمات التصيد الاحتيالي التي تستخدم عناوين مزيفة لن تنجح. ويتيح لك Kaspersky Password Manager تخزين كلمات المرور ومفاتيح المرور معًا، مما يحل مشكلة مزامنتها عبر الأنظمة المختلفة، بما في ذلك Windows وAndroid وmacOS وiOS.

إعداد المصادقة ثنائية العوامل

قم بتفعيل المصادقة ثنائية العوامل أينما كان ذلك متاحًا. وحتى إذا تعرضت كلمة مرورك للاختراق، فإن إعداد المصادقة ثنائية العوامل المكون بشكل صحيح يجعل من الصعب للغاية على المهاجم الوصول إلى حسابك. وللحصول على أقصى قدر من الأمان، تخطَّ الرموز التي تُستخدم لمرة واحدة والمُرسلة عبر الرسائل النصية القصيرة واستخدم تطبيقات أداة التصديق بدلاً من ذلك – وبالطبع، يبرز دور Kaspersky Password Manager هنا ليكون مفيدًا تمامًا في هذا السياق أيضًا.

الالتزام بممارسات النظافة الرقمية الجيدة

تذكر أن تخزين كلمات مرورك بشكلٍ صحيح ليس سوى نصف المعركة. ومن الضروري اتباع قواعد النظافة الرقمية: تجنب تحميل الملفات غير الموثقة، والبرامج المقرصنة، وأدوات الغش، وبرامج الاختراق، ولا تنقر على روابط عشوائية. وقد ارتفع عدد هجمات برامج سرقة المعلومات باطراد في السنوات الأخيرة، مما يعني أنك بحاجة إلى حل أمان قوي للحصول على حماية كاملة. ونوصي بتطبيق Kaspersky Premium، فهو يحمي جميع أجهزتك من فيروسات حصان طروادة، والتصيد الاحتيالي، والتهديدات الأخرى. علاوةً على ذلك، يتضمن الاشتراك Kaspersky Password Manager الخاص بنا.

للراغبين جديًا في تعزيز أمان حساباتهم، ندعوكم للاطلاع على مجموعتنا من المقالات عن كلمات المرور ومفاتيح المرور والمصادقة ثنائية العوامل.

• مفاتيح المرور في 2025: دليلك الكامل لتسجيل الدخول بدون كلمة مرور
• مفاتيح المرور في عام 2025: نصائح للمستخدمين المحترفين
• إنشاء كلمة مرور لا تُنسى
• كيفية إنشاء كلمات مرور قوية وكيف يمكنك تخزينها
• التبديل إلى Kaspersky: دليل للترحيل خطوة بخطوة