تولیدکننده رمز عبور – ساخت رمزهای عبور تصادفی قوی
رمزهای عبور قوی و تصادفی با هر طولی بسازید. با حروف بزرگ، کوچک، اعداد و کاراکترهای خاص سفارشی کنید. رایگان، نتایج فوری.
میزان شانون رمز عبور: علم رمز های قوی
قوت رمز عبور در واحد بیت های شانون اندازه گیری می شود — لگاریتم (پایه 2) از تعداد رمز های ممکن. بیشتر شانون به معنای رمز عبوری سخت تر برای شکستن است. درک شانون کلید به ایجاد رمز های عبور است که مقاومت در برابر حملات فورس بریک و روش های شکستن لغت دار دارند.
فرمول: شانون = لگاریتم (C^L) = L × لگاریتم (C)، جایی که C = اندازه مجموعه کاراکترها و L = طول رمز عبور.
| نوع رمز عبور | اندازه مجموعه کاراکترها | طول | شانون (بیت) | زمان فورس بریک * |
|---|---|---|---|---|
| فقط حروف کوچک (a–z) | 26 | 8 | 37.6 | دقیقه ها تا ساعت ها |
| حروف ترکیبی (a–z, A–Z) | 52 | 8 | 45.6 | ساعت ها تا روز ها |
| حروف ترکیبی + اعداد | 62 | 10 | 59.5 | روز ها تا ماه ها |
| همه کاراکترهای قابل چاپ | 94 | 12 | 78.7 | هزاران سال |
| همه کاراکترهای قابل چاپ | 94 | 16 | 104.8 | فقط به نظر می رسد بی نهایت |
| همه کاراکترهای قابل چاپ | 94 | 20 | 131.0 | بeyond مرگ ناشی از مرگ گرمایی جهان |
| رمز عبور 4 کلمه ای (7,776 لیست) | 7,776 | 4 کلمه | 51.7 | مقایسه ای با رمز عبور 8 کاراکتر |
| رمز عبور 6 کلمه ای (7,776 لیست) | 7,776 | 6 کلمه | 77.5 | مقایسه ای با رمز عبور 12 کاراکتر |
*با فرض 100 میلیارد حدس و گمان در ثانیه با سخت افزار GPU مدرن. کارشناسان امنیتی توصیه می کنند حداقل 80 بیت شانون برای حساب های عمومی و 128+ برای حساب های مهم مانند رمز عبور اصلی ایمیل، بانک و کلید های رمزنگاری.
مجموعه های کاراکتر و چه چیزی به قوت می افزاید
درج هر مجموعه کاراکتر اضافی چند برابر فضای جستجو را برای حمله کننده افزایش می دهد. در اینجا چگونگی هر مجموعه کاراکتر به قوت رمز عبور اضافه می کند:
| مجموعه کاراکتر | کاراکترها | تعداد | بیت های کاراکتر |
|---|---|---|---|
| حروف کوچک | a–z | 26 | 4.70 |
| حروف بزرگ | A–Z | 26 | 4.70 |
| اعداد | 0–9 | 10 | 3.32 |
| کاراکترهای معمولی | !@#$%^&*()-_+= | 14 | 3.81 |
| کاراکترهای گسترش یافته | []{}|;:',".<>?/`~ | 18 | 4.17 |
| همه کاراکترهای قابل چاپ ترکیب شده | همه موارد بالا | 94 | 6.55 |
بهترین ارتقاء به هر رمز عبور افزایش طول است. از 12 به 16 کاراکتر با مجموعه کامل ASCII 4 × 6.55 = 26.2 بیت شانون اضافی اضافه می کند — معادل چند برابر 80 میلیون فضای جستجو. طول همیشه مهم تر از پیچیدگی است जब هر دو نمی توانند به طور همزمان حداکثر شوند.
با این حال، استفاده از همه انواع کاراکترها (حروف بزرگ، کوچک، اعداد و کاراکترها) در طول مشخص شده حداکثر شانون را برای هر کاراکتر فراهم می کند. رمز عبوری 12 کاراکتر فقط با حروف کوچک 56.4 بیت شانون دارد؛ طول مشابه با همه کاراکترها 78.7 بیت — یک بهبود 40 درصدی بدون افزودن یک کاراکتر اضافی.
بهترین روش های رمز عبور
راهنمایی های فعلی از NIST (مطبوعات ویژه 800-63B)، محققان امنیتی و استانداردهای صنعت به شدت از توصیه های قدیمی تغییر کرده است. در اینجا بهترین روش ها هستند:
- طول در برابر پیچیدگی: رمز عبوری 20 کاراکتر تصادفی قوی تر و قابل یادآوری تر از رمز عبوری 12 کاراکتر پر از نماد است. NIST حداقل 8 کاراکتر را توصیه می کند، اما کارشناسان امنیتی حداقل 12-16 کاراکتر را برای حساب های استاندارد و 20+ برای حساب های مهم توصیه می کنند.
- رمز عبور های یکتا برای هر سایت: تقریباً 85% از حملات نفوذ شامل پرش کردن کلمه عبور است — حمله کننده ها از ترکیب های کلمه عبور و نام کاربری که در یک نفوذ منتشر شده است، در خدمات دیگر تست می کنند. هر حساب نیاز به رمز عبور یکتا دارد.
- استفاده از یک مدیر رمز عبور: ابزارهای مانند Bitwarden (بلاگر، آزاد)، 1Password، KeePass، یا Dashlane رمز عبور های یکتا را ایجاد و ذخیره می کنند. فقط یک رمز عبور اصلی را باید به یاد آورید. مدیران رمز عبور ارتقاء موثرترین به امنیت شخصی است.
- فعال کردن دو مرحله ای (2FA): حتی رمز عبور تقلب شده نیز با 2FA سخت تر می شود. از یک برنامه احراز هویت (Google Authenticator، Authy یا کلید سخت افزاری مانند YubiKey) استفاده کنید. از 2FA مبتنی بر SMS اجتناب کنید، زیرا در برابر حملات تقلب SIM آسیب پذیر است.
- بررسی دیتابیس های نفوذ: از haveibeenpwned.com برای بررسی اینکه آیا ایمیل یا رمز عبور شما در دیتابیس های شناخته شده نفوذ شده است، استفاده کنید. اگر رمز عبور در دیتابیس نفوذی ظاهر شود، آن را فوراً تغییر دهید، حتی اگر به نظر قوی باشد.
- رمز عبور را به صورت دوره ای عوض نکنید: راهنمایی های جدید NIST به طور صریح توصیه می کند که تغییر رمز عبور را به صورت دوره ای اجتناب کنید. چرخش دوره ای منجر به تغییرات قابل پیش بینی ("Password1" → "Password2") می شود. رمز عبور را فقط در صورت شواهد نفوذ تغییر دهید.
خطاهای رایج در رمزگذاری و چگونه از آنها جلوگیری کنید
تکاوران از حمله لغت نامه ای (آزمایش کلمات رایج، نام ها و الگوها) قبل از استفاده از حمله قوی استفاده می کنند. ابزارهای قوی برای شکستن رمزها از مجموعه های پیچیده ای استفاده می کنند که رفتار های انسانی را پیش بینی می کنند. از این خطاها جلوگیری کنید:
| خطا | نمونه | چرا ضعیف است | گزینه بهتر |
|---|---|---|---|
| کلمات رایج | password, admin, welcome | در هر دیکشنری قوی | کاراکترهای تصادفی یا passphrase |
| اطلاعات شخصی | john1985, fluffy123 | آسان است که در رسانه های اجتماعی پیدا شود | هیچ داده ای شخصی در رمزها وجود ندارد |
| الگوهای صفحه کلید | qwerty, 123456, asdfgh | در میان اولین الگوهای آزمایش شده قرار دارد | انتخاب تصادفی کامل از کاراکترها |
| تجاوزات قابل پیش بینی | p@ssw0rd, h3llo | قوانین استاندارد لیت اسپیک در همه قوی ها وجود دارد | تولید تصادفی کامل |
| رمزهای کوتاه | هر کلمه ای کمتر از 8 کاراکتر | قابل شکستن در ثانیه ها تا دقیقه ها | حداقل 12 کاراکتر |
| تکرار رمزها | رمز یکسان در ایمیل و بانک | یک حمله یک حساب را به خطر می اندازد | رمز یکتا برای هر سرویس |
| تغییرات اندک | Summer2024 → Summer2025 | تکاوران تغییرات متوالی را آزمایش می کنند | رمز کاملا جدید تصادفی |
| افزودن اعداد به انتها | password123 | افزودن اعداد یک قانون استاندارد است | عدد ها در طول رمز پخش شده اند |
رمزهای شکسته شده رایج ترین در سراسر جهان (بر اساس تجزیه و تحلیل دیتابیس های حمله) 123456، password، 123456789، qwerty، 12345678، 111111، 1234567890، 1234567، password1 و qwerty123 هستند. اگر رمز شما شبیه به یکی از این الگوها باشد، آن را تغییر دهید.
passphrase ها: جایگزینی قابل یادآوری
passphrase یک رشته کلمات تصادفی استفاده شده به عنوان رمز است. passphrase ها در مقایسه با رمزهای سنتی طولانی تر هستند و بنابراین سخت تر برای شکستن هستند، در حالی که به طور قابل توجهی آسان تر برای یادآوری هستند. مفهوم توسط کمیکس معروف XKCD "horse battery staple" به وجود آمد.
| نوع passphrase | نمونه | انرژی (بیت) | قابل یادآوری |
|---|---|---|---|
| سه کلمه تصادفی (7,776 لیست) | blanket-topaz-furnace | 38.8 | آسان برای یادآوری |
| چهار کلمه تصادفی (7,776 لیست) | correct-horse-battery-staple | 51.7 | تعادل خوب |
| پنج کلمه تصادفی (7,776 لیست) | blanket-topaz-furnace-mango-cliff | 64.6 | کوشش متوسط |
| شش کلمه تصادفی (7,776 لیست) | six-word-phrase-requires-more-effort | 77.5 | سخت اما قابل مدیریت |
| چهار کلمه + عدد + نماد | correct-Horse-battery7-staple! | ~65+ | با تغییر خوب |
نیاز اصلی برای امنیت passphrase این است که کلمات باید تصادفی انتخاب شوند — نه یک جمله معنادار، نقل قول، شعر یا جمله ای که طبیعی است که می گویید. "من به سگم خیلی دوست دارم" یک passphrase بد است زیرا قابل پیش بینی است. "blanket-topaz-furnace-mango" عالی است زیرا ترکیب کلمات تصادفی و غیر منتظره است.
برای تولید یک passphrase، از روش Diceware استفاده کنید: پنج دایس را به دست بیاورید تا عدد پنج رقمی را بدست آورید، سپس کلمه متناظر را در لیست کلمات Diceware (که 7,776 کلمه دارد) پیدا کنید. برای هر کلمه تکرار کنید. Alternatively، از یک generator passphrase در مدیر رمز خود استفاده کنید که این فرآیند را به طور امن خودکار انجام می دهد.
مدیران رمز: مرکز امنیت شما
مدیر رمز نرم افزاری است که رمزها را برای هر حساب شما تولید، ذخیره و خودکار وارد می کند. این ابزار امنیتی محبوب ترین توصیه شده توسط هر سازمان امنیتی بزرگ است. این یک مقایسه از گزینه های محبوب ترین است:
| مدیر رمز | قیمت | بازنویسی باز | پلتفرم ها | ویژگی کلیدی |
|---|---|---|---|---|
| Bitwarden | رایگان (پریمیم $10/سال) | بله | همه پلتفرم ها + مرورگر | بهترین گزینه رایگان؛ قابل نصب در سرور |
| 1Password | $36/سال | نه | همه پلتفرم ها + مرورگر | مراقبت از حمله |
| KeePass / KeePassXC | رایگان | بله | دستگاه های دسکتاپ (پلتفرم های چندگانه) | ذخیره سازی محلی؛ بدون هماهنگی در ابر |
| Dashlane | $60/سال | نه | همه پلتفرم ها + مرورگر | VPN داخلی؛ مراقبت از وب تاریک |
| Apple Keychain | رایگان | نه | پلتفرم های اپل فقط | هماهنگ در iPhone، iPad، Mac |
| مدیر رمز Google | رایگان | نه | Chrome + اندروید | هماهنگ در مرورگر Chrome |
در حال انتخاب مدیر رمز، اولویت دهید: رمزنگاری بدون دانش صفر (شرکت نمی تواند رمزها را بخواند)، دسترسی پلتفرم های چندگانه، تولید رمزهای امن و مراقبت از حمله. رمز اصلی شما — رمز یکتا که باید به یاد بیاورید — باید یک passphrase قوی با 5+ کلمه تصادفی با حداقل 70 بیت انرژی باشد.
انتقال به مدیر رمز نیاز نیست که همه یکجا اتفاق بیفتد. شروع کنید با افزودن حساب های مهم ترین (ایمیل، بانک، رسانه های اجتماعی) و به تدریج حساب های دیگر را اضافه کنید. اکثر مدیران رمز می توانند رمزهای موجود در مرورگرها را وارد کنند تا مهاجرت را تسریع کنند.
روش های دو مرحله ای برای احراز هویت
حتی رمز عبور قوی ترین، تنها یک لایه دفاعی را ارائه می دهد. احراز هویت دو مرحله ای، لایه ای اضافی را اضافه می کند که نیاز به چیزی است که شما دارید (تلفن یا کلید سخت افزاری) در کنار چیزی است که می دانید (رمز عبور خود).
| روش احراز هویت دو مرحله ای | سطح امنیت | راحتی | ضعف |
|---|---|---|---|
| کلید امنیتی سخت افزاری (یوبی کی، تایتان) | بالاترین | متوسط — نیاز به کلید فیزیکی | امن از فیشینگ |
| اپلیکیشن احراز هویت (TOTP) | بالا | بالا — کد در تلفن شما | در صورت تهدید تلفن |
| اعلامیه ایمیل (دوو، MS Authenticator) | بالا | خیلی بالا — تیک بزنید برای تأیید | حمله های "MFA fatigue" (پیشنهاد های تکراری) |
| پیغام متنی SMS | متوسط | خیلی بالا — نیاز به اپلیکیشن نیست | تبادل SIM، تهدید SS7 |
| کد ایمیل | پایین-متوسط | بالا | احراز هویت ایمیل |
| سوال های امنیتی | پایین | بالا | جواب ها اغلب در دسترس عموم است |
برای امنیت کامل، از کلید امنیتی سخت افزاری (FIDO2/WebAuthn) برای حساب های مهم ترین خود استفاده کنید. برای حساب های روزمره، یک اپلیکیشن احراز هویت مانند Google Authenticator، Authy یا Microsoft Authenticator، تعادل بسیار خوبی بین امنیت و راحتی ارائه می دهد. هر نوع 2FA، در مقایسه با احراز هویت با رمز عبور، بسیار بهتر است.
چگونگی شکسته شدن رمز عبور
فهمیدن چگونگی شکسته شدن رمز عبور، کمک می کند تا چرا رمز عبور های تصادفی و طولانی مهم هستند. شکسته شدن رمز عبور مدرن شامل چندین تکنیک است که هر کدام از ضعف های انتخاب رمز عبور را هدف قرار می دهند.
| نوع حمله | چگونه کار می کند | سرعت | چه چیزی را شکست می دهد |
|---|---|---|---|
| حمله برUTE | همه ترکیبات ممکن را به صورت سیستماتیک امتحان می کند | میلیارد ها در ثانیه (GPU) | رمز عبور های کوتاه هر نوع |
| حمله لغوی | کلمات، نام ها و عبارات رایج را امتحان می کند | میلیون ها در ثانیه | هر رمز عبور بر اساس کلمات واقعی |
| حمله مبتنی بر قانون | ترکیبات لغوی را به صورت تبدیل می کند (کپیتال، اضافه کردن اعداد، لیت اسپیک) | میلیون ها در ثانیه | تغییرات قابل پیش بینی مانند "P@ssw0rd" |
| حمله پر کردن کredential | پارها نام کاربری/رمز عبور از تهدیدات دیگر سایت ها را امتحان می کند | هزاران در ثانیه | رمز عبور های تکراری در خدمات |
| جدول رنگی | استفاده از جداول پیش ساخته lookup از هش به رمز عبور | جستجوی نزدیک به لحظه ای | هش های رمز عبور بدون نمایه |
| فیشینگ | کاربر را به وارد کردن رمز عبور در یک سایت فیک می کند | N/A (فیشینگ اجتماعی) | هر رمز عبور بدون 2FA |
کلسترهای GPU مدرن که از ابزارهای مانند Hashcat استفاده می کنند، می توانند تا 100 میلیارد هش MD5 در ثانیه را امتحان کنند، یا تقریبا 10 میلیارد هش bcrypt در ثانیه با سخت افزار تخصصی. این است که چرا طول رمز عبور مهم است — هر کاراکتر اضافی، زمان مورد نیاز را چند برابر می کند. یک رمز عبور تصادفی 16 کاراکتری که از تمام کاراکترهای قابل چاپ استفاده می کند، طولانی تر از سن جهان است تا با استفاده از سخت افزار سریع ترین موجود در امروز شکسته شود. با این حال، هیچ رمز عبوری از هیچ طولی، در برابر فیشینگ محافظت نمی کند — که چرا احراز هویت دو مرحله ای، به عنوان یک لایه دفاعی مکمل، ضروری است.
سوالهای متداول
چه مدت طولانی باید رمز عبور باشد؟
حداقل 12 تا 16 کاراکتر برای حسابهای استاندارد. برای حسابهای مالی و مهم (ایمیل، بانک، رمز عبور مدیر رمز عبور)، استفاده از 20+ کاراکتر یا یک کلمه عبور چند کلمهای توصیه میشود. طول رمز مهمتر از پیچیدگی است — یک رمز عبور 20 کاراکتری با حروف کوچک دارای بیش از رمز عبور 10 کاراکتری با نمادها است.
رمز عبورهای تصادفی ایمن هستند؟
رمزهای عبور تولید شده باید در یک مدیر رمز عبور قابل اعتماد (Bitwarden، 1Password، KeePass) ذخیره شوند، نه در فایل متنی، ذخیرهسازی فقط در مرورگر یا روی نوتبوکهای چسبی. مدیران رمز عبور رمزگذاری را با رمز عبور اصلی شما انجام میدهند — حتی اگر سرویس مورد نظر به خطر افتاده باشد، رمزهای عبور فردی شما رمزگذاری شده و ایمن خواهند بود.
چه چیزی باعث میشود که رمز عبور برای کامپیوترها قابل شکستن باشد؟
طول کوتاه، کلمات یا الگوهای معمولی، اطلاعات شخصی و استفاده مجدد در سایتها. GPUهای مدرن میتوانند میلیاردین رمز عبور را در ثانیهای تست کنند. رمز عبور 8 کاراکتری با حروف کوچک فقط 208 میلیارد ترکیب دارد — قابل شکستن در ساعتها. رمز عبور 16 کاراکتری تصادفی با انواع کاراکترها حدوداً 10^31 ترکیب دارد — غیرممکن است که حتی با سختافزار اختصاصی در دههها شکستن شود.
آیا استفاده از یک کلمه عبور جایگزین رمز عبور پیچیده ایمن است؟
بله — کلمات عبور چند کلمهای که از 4 یا بیشتر کلمه انتخاب شده تصادفی (مانند "correct-horse-battery-staple") بسیار ایمن و قابل یادآوری هستند. یک کلمه عبور 4 کلمهای از لیست 7,776 کلمه Diceware 51.7 بیت انتروپی دارد؛ یک کلمه عبور 6 کلمهای 77.5 بیت انتروپی دارد. الزام اصلی این است که کلمات باید تصادفی انتخاب شوند، نه یک جمله معنادار که به طور طبیعی میگویید.
آیا باید رمزهای عبور خود را به طور منظم عوض کنم؟
راهنما فعلی NIST (SP 800-63B) میگوید تغییر رمز عبور به طور منظم بیفایده است — منجر به تغییرات پیشبینیپذیر ("Password1" → "Password2") و امنیت کلی ضعیفتر میشود. رمزهای عبور را فقط تغییر دهید اگر شواهد از نقض وجود داشته باشد، مانند اعلامیه نقض دادهها. رمزهای عبور قوی و منحصر به فردی که به طور نشده نقض نشدهاند نیازی به چرخش ندارند.
چه چیزی دو عاملی (2FA) است و آیا باید از آن استفاده کنم؟
دو عاملی نیاز به یک شکل تأیید اضافی به علاوه رمز عبور شما دارد — معمولاً یک کد از برنامه تأییدکننده یا یک کلید امنیتی سختافزاری. بله، باید 2FA را در هر حساب که پشتیبانی میکند فعال کنید. حتی اگر رمز عبور شما نقض شده باشد، حملهگر نمیتواند بدون فاکتور دوم دسترسی به حساب شما را داشته باشد. برنامههای تأییدکننده ترجیحاً بر روی کدهای SMS استفاده میشوند.
چطور مدیران رمز عبور کار میکنند؟
مدیران رمز عبور رمز عبورهای یکتا برای هر یک از حسابهای شما را تولید و در یک مخزن رمزگذاری شده ذخیره میکنند. شما با یک رمز عبور اصلی آن را باز میکنید. مدیر رمز عبور فرمهای ورود را خودکار پر میکند تا شما هرگز نیازی به یادآوری یا وارد کردن رمز عبورهای فردی نداشته باشید. اکثر آنها از رمزگذاری بدون دانش استفاده میکنند — یعنی حتی ارائه دهنده سرویس نیز نمیتواند رمزهای عبور ذخیره شده را بخواند.
اگر مدیر رمز عبور من نقض شود؟
مدیران رمز عبور قابل اعتماد از رمزگذاری بدون دانش استفاده میکنند — رمزهای عبور شما با رمز عبور اصلی شما رمزگذاری میشوند و قبل از ذخیرهسازی در سرورها. حتی در نقض سرور، حملهگر فقط دادههای رمزگذاری شده را بدست میآورد که نمیتواند بدون رمز عبور اصلی شما را بخواند. این است که چرا رمز عبور قوی و منحصر به فرد (به طور ایدهآل 5+ کلمه عبور) ضروری است. نقض 2022 LastPass نشان داد که این کار را انجام داد: در حالی که مخازن رمزگذاری شده دزدیده شدند، مخازن رمزگذاری شده با رمز عبور قوی و منحصر به فرد امن بودند.
آیا ایمن است که مرورگر رمزهای عبور را ذخیره کند؟
رمزهای عبور ذخیره شده در مرورگرها راحت است اما کمتر از مدیران رمز عبور امن است. مرورگرها رمزهای عبور را با رمزگذاری متصل به حساب کاربری OS ذخیره میکنند — بنابراین هر کسی که به جلسه کامپیوتر شما دسترسی دارد میتواند آنها را مشاهده کند. مدیران رمز عبور رمزگذاری قویتر، پشتیبانی از مرورگرهای مختلف، اشتراک گذاری امن، نظارت بر نقض و ویژگیهای خودکار را ارائه میدهند. برای امنیت حداکثری، از یک مدیر رمز عبور اختصاصی استفاده کنید و ذخیرهسازی رمز عبور مرورگر را غیرفعال کنید.
چطور میتوانم رمز عبور قوی و قابل یادآوری را بسازم؟
از روش Diceware استفاده کنید: پنج سکه را به دست بیاورید تا یک عدد پنج رقمی بدست بیاورید، کلمهای را در لیست کلمات Diceware پیدا کنید و برای 5-6 کلمه تکرار کنید. آنها را با هاش یا فاصلههای فضایی متصل کنید. مثال: "blanket-topaz-furnace-mango-cliff" حدوداً 64 بیت انتروپی دارد و نسبتاً قابل یادآوری است. چندین بار آن را تایپ کنید تا تا چندین روز تا آن را به طور خودکار یاد بگیرید.
{"@context":“https://schema.org”,"@type":“WebApplication”,“name”:“سازنده رمز”,“description”:“رمزهای قوی و تصادفی با هر طولی ایجاد کنید. با حروف بزرگ، کوچک، اعداد و کاراکترهای ویژه سفارشی کنید.”,“url”:“https://running-calculator.com/password-generator/","applicationCategory":"UtilityApplication","operatingSystem":"Any","offers":{"@type":"Offer","price":"0","priceCurrency":"USD"}}