كيف يجب تخزين والتعامل مع كلمات المرور بشكل آمن؟

Question

Accepted Answer

يجب تخزين كلمات المرور بشكل آمن — **لا أبداً بنص عادي**، بل **مُجزأة** باستخدام خوارزمية تجزئة قوية وبطيئة وممملحة (bcrypt, Argon2, scrypt). التعامل الصحيح مع كلمات المرور حرج لأن انتهاكات كلمات المرور شديدة الضرر وشائعة جداً.

## عدم تخزين النص العادي؛ تجزئة صحيحة

```text
❌ NEVER store passwords in plaintext (a breach exposes all passwords directly)
❌ Don't use fast/general hashes (MD5, SHA-256) alone — too fast → easily brute-forced
✅ HASH with a dedicated PASSWORD HASHING algorithm: BCRYPT, ARGON2, or scrypt:
  → SLOW by design (resistant to brute-force/GPU cracking)
  → SALTED (a unique random salt per password) → prevents rainbow-table attacks and
    identical passwords hashing the same
```

```js
// hashing with bcrypt (handles salting automatically)
const hash = await bcrypt.hash(password, 12);   // store the hash (with salt + cost)
// verifying at login
const valid = await bcrypt.compare(inputPassword, storedHash);   // compare securely
```

## لماذا هذه الخوارزميات

```text
SALT → unique random value per password → identical passwords get DIFFERENT hashes;
  defeats precomputed (rainbow table) attacks
SLOW (work factor) → deliberately expensive to compute → brute-forcing millions of
  guesses becomes impractical (tunable cost factor as hardware improves)
→ bcrypt/Argon2/scrypt are designed for passwords; general hashes (SHA) are NOT.
```

## ممارسات أخرى لكلمات المرور

```text
✓ Enforce reasonable strength (length over complexity); check against breached-password lists
✓ MULTI-FACTOR authentication (MFA) → strong protection even if a password leaks
✓ HTTPS for transmission; rate-limit / lock out brute-force login attempts
✓ Secure password RESET (time-limited tokens); never email passwords; never log them
```

## لماذا هذا مهم

فهم التخزين الآمن للكلمات المرور والتعامل معها أمر حتمي لأن **انتهاكات كلمات المرور شائعة جداً وضارة**، والتخزين غير الصحيح لكلمات المرور هو ثغرة أمان خطيرة وشائعة، لذا فهو معرفة أمان لا بد منها.

القواعد الأساسية حاسمة: **لا تخزن كلمات المرور في نص عادي أبداً** (الانتهاك قد يعرض كلمة مرور كل مستخدم مباشرة — كارثة)، و**لا تعتمد على التجزئات السريعة العامة** (MD5, SHA-256) التي تكون سريعة جداً وسهلة الكسر بالقوة الغاشمة.

bدلاً من ذلك، **قم بالتجزئة باستخدام خوارزميات تجزئة كلمات المرور المخصصة** (bcrypt, Argon2, scrypt) التي تكون **بطيئة بالتصميم** (مقاومة للهجمات بالقوة الغاشمة والكسر بـ GPU) و**ممملحة** (ملح عشوائي فريد لكل كلمة مرور، يمنع هجمات جداول قوس القزح ويضمن أن كلمات المرور المتطابقة تحصل على تجزئات مختلفة).

فهم **لماذا هذه الخوارزميات** — الملح (يهزم الهجمات المحسوبة مسبقاً، يجعل كلمات المرور المتطابقة تُجزأ بشكل مختلف) والبطء/عامل العمل (يجعل كسر القوة الغاشمة الضخم غير عملي، مع تكلفة معايرة مع تحسن الأجهزة) — يشرح النهج الصحيح مقابل الأخطاء الشائعة (النص العادي، التجزئات السريعة، بدون ملح).

فهم **الممارسات الأخرى** — فرض قوة معقولة (الطول على التعقيد، التحقق من قوائم كلمات المرور المخترقة)، **المصادقة متعددة العوامل** (حماية قوية حتى لو تسرّبت كلمة المرور)، HTTPS للإرسال، تحديد معدل محاولات تسجيل الدخول، إعادة تعيين كلمة المرور الآمنة (رموز محدودة الوقت)، وعدم تسجيل أو إرسال كلمات المرور بالبريد الإلكتروني — يعكس أمان كلمات المرور الشامل.

التعامل مع كلمات المرور هو منطقة عالية المخاطر حيث الأخطاء (تخزين النص العادي، التجزئات الضعيفة) تسبب مباشرة انتهاكات كبرى، بينما التعامل الصحيح (التجزئة الممملحة القوية البطيئة، المصادقة متعددة العوامل) يحمي المستخدمين بشكل كبير.

لأن انتهاكات كلمات المرور شائعة وضارة والتخزين غير الصحيح هو ثغرة خطيرة وشائعة، ولأن فهم التخزين الآمن (لا أبداً نص عادي، تجزئة ممملحة قوية بطيئة مع bcrypt/Argon2) والممارسات الجيدة (المصادقة متعددة العوامل، تحديد المعدل) أمر حتمي لحماية المستخدمين، فهم التخزين الآمن والتعامل مع كلمات المرور أمر حتمي ومعرفة لا بد منها — منطقة حرجة عالية المخاطر حيث النهج الصحيح (تجزئة كلمات المرور المخصصة، الملح، المصادقة متعددة العوامل) يمنع انتهاكات كلمات المرور الكارثية التي يسببها التعامل غير الصحيح، معرفة أساسية لأي مطور يتعامل مع المصادقة.