كيف تُسرّب كلمات المرور فعلياً: ما وراء أسطورة القراصنة
Last updated: أبريل 9, 2026
شرح حقيقي لكيفية تسرب كلمات المرور. ليس الأمر عن القراصنة الذين يكسرون الأقفال — بل عن قواعد البيانات والتصيد والبرامج الخبيثة وإعادة استخدام كلمات المرور.
تخيّل أن لديك صندوق بريد آمن جداً أمام منزلك. القفل قوي، والمعادن سميكة. لكن الساعي البريدي الذي يأتي كل يوم لديه مفتاح، وفي أحد الأيام يترك الصندوق مفتوحاً بالخطأ — أو شخص ما يرتدي زياً يشبه زي الساعي ويستخدم هذه الفرصة ليسرق رسائلك. هذا أقرب إلى الواقع أكثر من فكرة شخص ما يكسر القفل بقوة.
عندما تسمع عن تسرب كلمات المرور، غالباً ما تتخيل صورة هوليوودية: قراصنة ماهرون يجلسون أمام شاشات سوداء، يكتبون أكواداً سحرية لكسر الحماية. الحقيقة أقل درامية وأكثر إحباطاً: معظم كلمات المرور لا تُسرّب لأن شخصاً ما كسر شيئاً بارعاً، بل لأن الشيء الذي يحميها فُتح بالفعل، أو لأن شخصاً ما خدعك لإعطاؤهم إياها، أو لأنك استخدمت نفس كلمة المرور في أماكن متعددة.
أكبر مصدر للتسريب: قاعدة البيانات المُخترقة
تخزّن الخدمات التي تستخدمها — الشبكات الاجتماعية، المتاجر الإلكترونية، تطبيقات البريد — كلمات مرورك في قاعدة بيانات ضخمة. لا يحفظونها بصيغتك الأصلية، بل يحولونها إلى رمز غير قابل للعكس يدعى "هاش" (hash). فكّر فيه كبصمة إصبع: كل كلمة مرور لها هاش فريد، لكنك لا تستطيع تحويل الهاش مرة أخرى إلى كلمة المرور الأصلية. هذا جيد — لولاه لكان كل شخص في الشركة قادراً على قراءة كلمتك.
لكن عندما يخترق شخص ما قاعدة البيانات (غالباً عبر ثغرات أمان في الموقع نفسه، أو من خلال موظف غير أمين)، يحصل على ملايين الهاشات. ثم يحاول عكس هذا: يأخذ قائمة ضخمة من كلمات مرور شائعة (مثل "123456" أو "password")، يحسب هاشها، ويقارنها مع الهاشات المسروقة. إذا تطابقت، عرف كلمة مرورك. هذا يسمى "القاموس" أو "brute force". إنه بطيء للكلمات الطويلة القوية — قد يستغرق سنوات. لكن للكلمات الضعيفة؟ دقائق فقط.
هذا يوضح نقطة مهمة: حتى إذا استخدمت كلمة مرور قوية جداً، فإن خرق قاعدة البيانات يبقى مشكلة. لكن هذا لا يعني أن القوة لا تهم — بل تهم كثيراً، لكن ليست هذه هي المشكلة الرئيسية.
التصيد: خدعة أقدم من الإنترنت
في بعض الأحيان، لا يحتاج المهاجم إلى اختراق أي شيء. يكفي أن يخدعك.
تتلقى بريداً إلكترونياً يبدو أنه من حسابك البنكي، أو من خدمة تستخدمها. الرسالة تقول إن هناك مشكلة أمنية وعليك التحقق من هويتك "الآن". الرابط يبدو صحيحاً تماماً. تنقر عليه، تدخل كلمة مرورك — وفي لحظة، أعطيتها لشخص ما. الصفحة المزيفة تسجلها. الآن لديهم وصول حقيقي إلى حسابك الحقيقي.
هذا يسمى "التصيد" (phishing)، والإحصائيات تظهر أنه ينجح أكثر من أي هجوم تقني. السبب بسيط: البشر غير متوقعين. حتى الأشخاص الذكيون يقعون في هذا عندما يكونون مشغولين أو متسرعين أو قلقين قليلاً.
البرامج الخبيثة والأجهزة المخترقة
إذا دخل برنامج خبيث (malware) إلى جهازك — ربما من موقع غير آمن، أو من رسالة بريد مزيفة، أو من تطبيق مزيف — فإنه يستطيع مراقبة كل شيء تفعله. عندما تكتب كلمة مرورك، يراها. هذا نهائي. لا توجد حماية تقنية تساعد هنا — إذا قام الشخص بمراقبة لوحة المفاتيح، فقد حصل على ما يريد.
إعادة الاستخدام: حلقة الضعف
هنا يبدأ كل شيء سيء يصبح أسوأ: استخدام نفس كلمة المرور في مواقع متعددة.
لنفترض أن موقعاً صغيراً (قد لا تهتم به كثيراً) تم اختراقه وسرّقت كلمة مرورك. لا تسمع بهذا لأشهر. لكن المهاجم يحاول نفس البريد الإلكتروني وكلمة المرور في موقعك البنكي. ويدخل. هذا يسمى "ملء بيانات الاعتماد" (credential stuffing) — أخذ أزواج البريد الإلكتروني/كلمة المرور المسروقة وتجربتها في أماكن أخرى. إنه مؤتمت وسريع.
كيف تحمي نفسك؟
الخطوة الأولى: كلمات مرور فريدة لكل موقع. هذا يعني أنك تحتاج إلى مكان لتتذكرها. مدير كلمات المرور (password manager) — تطبيق محلي أو قائم على السحابة — يحفظ كلمات مرورك مشفرة تحت قفل واحد قوي. لا تتذكر 50 كلمة مرور. تتذكر واحدة فقط. المدير ينشئ كلمات مرور عشوائية قوية لك ويملأها تلقائياً.
الخطوة الثانية: المصادقة متعددة العوامل (MFA) — خاصة مفاتيح الأمان. بعد إدخال كلمة مرورك، يطلب الموقع إثبات آخر: رمز من تطبيقك، أو نقرة على جهاز فيزيائي. حتى إذا سُرقت كلمة مرورك، يبقى الحساب محمياً. مفاتيح الأمان (جهازك الصغير الذي تنقر عليه) هي الأقوى لأن القراصنة الذين لا يملكون الجهاز الفعلي لا يستطيعون الدخول.
الخطوة الثالثة: حذر من البريد غير المتوقع. تحقق من عناوين البريد الإلكترونية بعناية. لا تنقر على روابط من الرسائل — اكتب عنوان الموقع مباشرة في المتصفح.
حقيقة غير مريحة: إذا اخترق شخص ما جهازك وقام بتثبيت برنامج خبيث، فلا شيء في هذه القائمة سيساعدك. الأمان الحقيقي يبدأ بجهازك نفسه: حافظ على نظام التشغيل والتطبيقات محدثة، استخدم برنامج مكافحة فيروسات، وكن حذراً من ما تحمّله وتثبته.
الخلاصة: كلمات المرور لا تُسرّب لأن الأقفال ضعيفة عادة، بل لأن صناديق البيانات مفتوحة، أو أننا نسلّم المفتاح للمهاجم بأنفسنا، أو أننا نستخدم نفس المفتاح في كل مكان. كلمات مرور فريدة وقوية، موقعة بمدير موثوق، مع مصادقة متعددة العوامل — هذا ينقذ حياتك من معظم الهجمات. ما بقي هو اليقظة والحذر. لا يوجد حل سحري، لكن هناك ممارسات تجعلك أصعب بكثير كهدف.
عندما تسمع عن تسرب كلمات المرور، غالباً ما تتخيل صورة هوليوودية: قراصنة ماهرون يجلسون أمام شاشات سوداء، يكتبون أكواداً سحرية لكسر الحماية. الحقيقة أقل درامية وأكثر إحباطاً: معظم كلمات المرور لا تُسرّب لأن شخصاً ما كسر شيئاً بارعاً، بل لأن الشيء الذي يحميها فُتح بالفعل، أو لأن شخصاً ما خدعك لإعطاؤهم إياها، أو لأنك استخدمت نفس كلمة المرور في أماكن متعددة.
أكبر مصدر للتسريب: قاعدة البيانات المُخترقة
تخزّن الخدمات التي تستخدمها — الشبكات الاجتماعية، المتاجر الإلكترونية، تطبيقات البريد — كلمات مرورك في قاعدة بيانات ضخمة. لا يحفظونها بصيغتك الأصلية، بل يحولونها إلى رمز غير قابل للعكس يدعى "هاش" (hash). فكّر فيه كبصمة إصبع: كل كلمة مرور لها هاش فريد، لكنك لا تستطيع تحويل الهاش مرة أخرى إلى كلمة المرور الأصلية. هذا جيد — لولاه لكان كل شخص في الشركة قادراً على قراءة كلمتك.
لكن عندما يخترق شخص ما قاعدة البيانات (غالباً عبر ثغرات أمان في الموقع نفسه، أو من خلال موظف غير أمين)، يحصل على ملايين الهاشات. ثم يحاول عكس هذا: يأخذ قائمة ضخمة من كلمات مرور شائعة (مثل "123456" أو "password")، يحسب هاشها، ويقارنها مع الهاشات المسروقة. إذا تطابقت، عرف كلمة مرورك. هذا يسمى "القاموس" أو "brute force". إنه بطيء للكلمات الطويلة القوية — قد يستغرق سنوات. لكن للكلمات الضعيفة؟ دقائق فقط.
هذا يوضح نقطة مهمة: حتى إذا استخدمت كلمة مرور قوية جداً، فإن خرق قاعدة البيانات يبقى مشكلة. لكن هذا لا يعني أن القوة لا تهم — بل تهم كثيراً، لكن ليست هذه هي المشكلة الرئيسية.
التصيد: خدعة أقدم من الإنترنت
في بعض الأحيان، لا يحتاج المهاجم إلى اختراق أي شيء. يكفي أن يخدعك.
تتلقى بريداً إلكترونياً يبدو أنه من حسابك البنكي، أو من خدمة تستخدمها. الرسالة تقول إن هناك مشكلة أمنية وعليك التحقق من هويتك "الآن". الرابط يبدو صحيحاً تماماً. تنقر عليه، تدخل كلمة مرورك — وفي لحظة، أعطيتها لشخص ما. الصفحة المزيفة تسجلها. الآن لديهم وصول حقيقي إلى حسابك الحقيقي.
هذا يسمى "التصيد" (phishing)، والإحصائيات تظهر أنه ينجح أكثر من أي هجوم تقني. السبب بسيط: البشر غير متوقعين. حتى الأشخاص الذكيون يقعون في هذا عندما يكونون مشغولين أو متسرعين أو قلقين قليلاً.
البرامج الخبيثة والأجهزة المخترقة
إذا دخل برنامج خبيث (malware) إلى جهازك — ربما من موقع غير آمن، أو من رسالة بريد مزيفة، أو من تطبيق مزيف — فإنه يستطيع مراقبة كل شيء تفعله. عندما تكتب كلمة مرورك، يراها. هذا نهائي. لا توجد حماية تقنية تساعد هنا — إذا قام الشخص بمراقبة لوحة المفاتيح، فقد حصل على ما يريد.
إعادة الاستخدام: حلقة الضعف
هنا يبدأ كل شيء سيء يصبح أسوأ: استخدام نفس كلمة المرور في مواقع متعددة.
لنفترض أن موقعاً صغيراً (قد لا تهتم به كثيراً) تم اختراقه وسرّقت كلمة مرورك. لا تسمع بهذا لأشهر. لكن المهاجم يحاول نفس البريد الإلكتروني وكلمة المرور في موقعك البنكي. ويدخل. هذا يسمى "ملء بيانات الاعتماد" (credential stuffing) — أخذ أزواج البريد الإلكتروني/كلمة المرور المسروقة وتجربتها في أماكن أخرى. إنه مؤتمت وسريع.
كيف تحمي نفسك؟
الخطوة الأولى: كلمات مرور فريدة لكل موقع. هذا يعني أنك تحتاج إلى مكان لتتذكرها. مدير كلمات المرور (password manager) — تطبيق محلي أو قائم على السحابة — يحفظ كلمات مرورك مشفرة تحت قفل واحد قوي. لا تتذكر 50 كلمة مرور. تتذكر واحدة فقط. المدير ينشئ كلمات مرور عشوائية قوية لك ويملأها تلقائياً.
الخطوة الثانية: المصادقة متعددة العوامل (MFA) — خاصة مفاتيح الأمان. بعد إدخال كلمة مرورك، يطلب الموقع إثبات آخر: رمز من تطبيقك، أو نقرة على جهاز فيزيائي. حتى إذا سُرقت كلمة مرورك، يبقى الحساب محمياً. مفاتيح الأمان (جهازك الصغير الذي تنقر عليه) هي الأقوى لأن القراصنة الذين لا يملكون الجهاز الفعلي لا يستطيعون الدخول.
الخطوة الثالثة: حذر من البريد غير المتوقع. تحقق من عناوين البريد الإلكترونية بعناية. لا تنقر على روابط من الرسائل — اكتب عنوان الموقع مباشرة في المتصفح.
حقيقة غير مريحة: إذا اخترق شخص ما جهازك وقام بتثبيت برنامج خبيث، فلا شيء في هذه القائمة سيساعدك. الأمان الحقيقي يبدأ بجهازك نفسه: حافظ على نظام التشغيل والتطبيقات محدثة، استخدم برنامج مكافحة فيروسات، وكن حذراً من ما تحمّله وتثبته.
الخلاصة: كلمات المرور لا تُسرّب لأن الأقفال ضعيفة عادة، بل لأن صناديق البيانات مفتوحة، أو أننا نسلّم المفتاح للمهاجم بأنفسنا، أو أننا نستخدم نفس المفتاح في كل مكان. كلمات مرور فريدة وقوية، موقعة بمدير موثوق، مع مصادقة متعددة العوامل — هذا ينقذ حياتك من معظم الهجمات. ما بقي هو اليقظة والحذر. لا يوجد حل سحري، لكن هناك ممارسات تجعلك أصعب بكثير كهدف.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ اختيار المحرر
★★★★★ 9.5/10 · 6,000+ servers · يعمل في الصين
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.