هل كلمة مرورك آمنة حقاً؟ هذه الأداة تكسرها في دقائق — دليل John the Ripper الشامل

GloSecLab

Password Cracking Hash Analysis Kali Linux Pentest

JOHN THE RIPPER

كسر كلمات المرور · Password Cracking

جون السفاح: الأداة التي
لا تصمد أمامها كلمات المرور

رحلة معمّقة في عالم كسر التشفير — من فهم آليات الهجوم إلى إتقان أخطر أداة في ترسانة خبراء اختبار الاختراق، وصولاً إلى بناء دفاعات لا تُخترق.

📅 2026 ⏱ ~14 دقيقة 🎯 مبتدئ → محترف 🔑 كسر كلمات المرور · أمن المعلومات · اختبار الاختراق

// فهرس المحتوى

• 01 وهم كلمة المرور القوية
• 02 ما هو John the Ripper؟
• 03 أنماط الهجوم الأربعة
• 04 الهاشات والمنصات المدعومة
• 05 التثبيت والإعداد
• 06 الدليل العملي للأوامر
• 07 التوعية والوقاية
• 08 الجانب الأخلاقي والقانوني

01 //وهم كلمة المرور القوية

دعني أحكي لك قصة تتكرر يومياً في غرف العمليات الأمنية حول العالم. يجلس المحلل أمام شاشته، ويفتح ملفاً يحتوي على آلاف الهاشات المسرّبة من موقع ما. يشغّل أداته المفضلة، يشرب قهوته، ويعود بعد ساعة ليجد أن 70% من كلمات المرور قد انكسرت — بما فيها تلك التي يعتقد أصحابها أنها "قوية جداً".

الحقيقة المؤلمة هي أن مفهوم "كلمة المرور القوية" كما يفهمه معظم الناس هو مجرد وهم مريح. كلمة كـ P@ssw0rd123! تبدو معقدة للإنسان، لكنها في قاموس أي أداة كسر كلمات مرور محترفة تُكسر في ثوانٍ — لأن المهاجمين يعرفون تماماً أنماط التفكير البشري عند اختيار كلمات المرور.

هنا يبرز دور John the Ripper — ليس كأداة للشر، بل كمرآة صادقة يُمسكها خبراء الأمن لتُري الشركاتِ والأفرادَ حجمَ هشاشة دفاعاتهم. إذا استطاعت JtR كسر كلمة مرور ما، فذلك يعني أن المهاجم يستطيع ذلك أيضاً — والأفضل أن تعرف ذلك قبله.

📊

// إحصائية صادمة

تشير الدراسات إلى أن 81% من حوادث اختراق البيانات مرتبطة بكلمات مرور ضعيفة أو مسروقة. وأن أكثر كلمة مرور شيوعاً في العالم لا تزال هي 123456 — بعد كل هذه السنوات.

◆ ◆ ◆

02 //ما هو John the Ripper؟ السكين السويسري للمختبرين

في عام 1996، أطلقت مجموعة Openwall مشروعاً مفتوح المصدر سيغيّر مسار أمن كلمات المرور إلى الأبد. أطلقوا عليه اسماً مثيراً للجدل: John the Ripper — مستوحىً من لقب القاتل الغامض "جاك السفاح". الرسالة كانت واضحة: هذه الأداة تُمزّق كلمات المرور بلا رحمة.

لكن على عكس ما يوحي به الاسم، JtR هي أداة دفاعية في جوهرها. وُلدت لتساعد مديري الأنظمة على اختبار متانة كلمات مرور مستخدميهم، وتطوّرت على مدى ثلاثة عقود لتصبح المرجع الأول في مجال تحليل الهاشات وكسر التشفير.

ما يجعل JtR استثنائية هو مزيجها الفريد: تدعم مئات أنواع الهاشات، تعمل على كل أنظمة التشغيل الرئيسية، تستغل قدرات المعالج (CPU) و(GPU) بكفاءة عالية، وتأتي بنسختين — النسخة المجانية الأساسية، ونسخة Jumbo المجتمعية الموسّعة التي تتضمن دعماً لمئات الصيغ الإضافية.

🔬

// JtR مقابل Hashcat

السؤال الشائع: ما الفرق بين JtR وHashcat؟ الإجابة: Hashcat أسرع لأنه يستغل GPU بشكل أمثل، لكن JtR أكثر مرونة في الكشف التلقائي لنوع الهاش وسهولة الاستخدام — لهذا يستخدم المحترفون الاثنتين معاً.

◆ ◆ ◆

03 //أنماط الهجوم: أربعة أسلحة في يد واحدة

يُخطئ كثيرون حين يظنون أن كسر كلمات المرور يعني "تجربة كل التوليفات الممكنة". الحقيقة أن JtR تمتلك أربعة أنماط هجومية مختلفة تماماً في فلسفتها وفعاليتها، ويختار المختبر المحترف بينها بناءً على السياق والهدف.

💥

Brute Force

الهجوم الشامل

يجرّب كل التوليفات الممكنة من الأحرف والأرقام والرموز. مضمون 100% لكنه بطيء جداً — كلمة مرور من 8 خانات قد تحتاج سنوات.

🐢 الأبطأ · الأشمل

📖

Dictionary Attack

هجوم القاموس

يستخدم قوائم كلمات مرور حقيقية مسرّبة مثل RockYou (14 مليون كلمة). الأسرع والأكثر نجاحاً في الواقع العملي.

⚡ سريع جداً · فعّال

🎯

Single Crack

النمط الفردي

يستخدم معلومات المستخدم نفسه (اسمه، اسم المستخدم، تاريخ ميلاده) لتوليد كلمات مرور محتملة. مفيد حين تعرف هوية الهدف.

🎯 دقيق · شخصي

⚙️

Rules Mode

نمط القواعد

يطبّق تحويلات ذكية على قاموس الكلمات (مثل: استبدال a بـ @، إضافة أرقام في النهاية). يجمع بين سرعة القاموس وذكاء Brute Force.

🧠 ذكي · متوازن

💡

// استراتيجية المختبر الذكي

في الاختبارات الاحترافية، الترتيب الأمثل هو: Single Crack أولاً (ثوانٍ) ← Dictionary + Rules ثانياً (دقائق) ← Brute Force أخيراً (ساعات/أيام). هذا يعطيك أقصى نتائج بأقل وقت.

◆ ◆ ◆

04 //الهاشات والمنصات: تعددية لا حدود لها

الهاش (Hash) هو البصمة الرقمية لكلمة المرور — نظام التشفير الأحادي الاتجاه الذي تخزّنه قواعد البيانات بدلاً من كلمة المرور الأصلية. لا يمكن نظرياً "فك" الهاش، لكن يمكن "تخمين" المدخل الأصلي عبر المقارنة. وهنا تبرز قدرة JtR في التعامل مع عشرات أنواع الهاشات.

نوع الهاش / النظام	مثال على الاستخدام	مستوى الأمان	السرعة
MD5	قواعد بيانات قديمة، ملفات PHP	ضعيف جداً	⚡ سريع جداً
SHA-1	تطبيقات ويب قديمة	ضعيف	⚡ سريع
SHA-256 / SHA-512	Linux /etc/shadow	متوسط	🔶 متوسط
bcrypt	WordPress, Laravel, PHP modern	قوي	🐢 بطيء جداً
NTLM / LM	Windows Active Directory	ضعيف (LM)	⚡ سريع جداً
/etc/shadow (Unix)	أنظمة Linux/Unix	متوسط→قوي	🔶 يعتمد على النوع
ZIP / RAR / PDF	ملفات محمية بكلمة مرور	متوسط	🔶 متوسط
WPA/WPA2	شبكات Wi-Fi	قوي	🐢 بطيء

نسخة JtR Jumbo (المدمجة في Kali Linux) تدعم أكثر من 400 نوع هاش، مما يجعلها المرجع الشامل لأي مختبر اختراق يتعامل مع أنظمة متنوعة.

◆ ◆ ◆

05 //التثبيت والإعداد

على Kali Linux (مثبتة مسبقاً)

BASH · KALI LINUX

# التحقق من الإصدار
john --version

# تحديث الأداة
sudo apt update && sudo apt install john -y

# موقع ملفات الأداة
which john
/usr/sbin/john

# عرض قائمة الصيغ المدعومة (400+)
john --list=formats

تثبيت نسخة Jumbo من المصدر

BASH · BUILD FROM SOURCE

# تثبيت المتطلبات
sudo apt install git build-essential libssl-dev zlib1g-dev -y

# استنساخ نسخة Jumbo الكاملة
git clone https://github.com/openwall/john.git
cd john/src

# البناء والتثبيت
./configure && make -s clean && make -sj4

# اختبار التثبيت
../run/john --test

🧪

// بيئة تدريب آمنة

تدرّب على ملفات اختبار داخل JtR نفسها: john/run/password.lst — أو استخدم أدوات مثل DVWA أو HackTheBox لتطبيق المهارات في بيئة معتمدة وقانونية.

◆ ◆ ◆

06 //الدليل العملي: من الأساسي إلى المتقدم

استخراج هاشات Linux (/etc/shadow)

ملف /etc/shadow يحتوي على هاشات كلمات مرور كل مستخدمي النظام. الأداة المساعدة unshadow تدمج /etc/passwd و/etc/shadow معاً في صيغة يفهمها JtR:

BASH · LINUX PASSWORDS

# دمج ملفي passwd و shadow
unshadow /etc/passwd /etc/shadow > combined.txt

# كسر الهاشات باستخدام wordlist
john --wordlist=/usr/share/wordlists/rockyou.txt combined.txt

# عرض الكلمات المكسورة
john --show combined.txt

كسر كلمات مرور ملفات ZIP

BASH · ZIP CRACKING

# الخطوة 1: استخراج الهاش من ملف ZIP
zip2john protected.zip > zip_hash.txt

# الخطوة 2: كسر الهاش بـ wordlist
john --wordlist=/usr/share/wordlists/rockyou.txt zip_hash.txt

# الخطوة 3: عرض كلمة المرور المكتشفة
john --show zip_hash.txt
protected.zip:mypassword123::protected.zip::

كسر كلمات مرور ملفات RAR

BASH · RAR CRACKING

# استخراج الهاش من RAR
rar2john archive.rar > rar_hash.txt

# كسر الهاش
john --wordlist=/usr/share/wordlists/rockyou.txt rar_hash.txt

# للكسر بـ Brute Force (أبطأ لكن شامل)
john --incremental rar_hash.txt

كسر هاشات NTLM (Windows)

BASH · WINDOWS NTLM

# تحديد صيغة الهاش يدوياً
john --format=nt --wordlist=rockyou.txt ntlm_hashes.txt

# أو السماح لـ JtR بالكشف التلقائي
john --wordlist=rockyou.txt ntlm_hashes.txt

# تطبيق Rules لتحسين النتائج
john --wordlist=rockyou.txt --rules=best64 ntlm_hashes.txt

أوامر إدارية مفيدة

BASH · MANAGEMENT COMMANDS

# إيقاف الجلسة الحالية والاستئناف لاحقاً
# (اضغط Ctrl+C لإيقاف مؤقت)
john --restore                    # استئناف آخر جلسة

# عرض التقدم أثناء الكسر
# (اضغط Enter أثناء التشغيل لرؤية الإحصائيات)

# تشغيل متعدد الخيوط (أسرع)
john --wordlist=rockyou.txt --fork=4 hashes.txt

# كسر هاش محدد فقط
john --format=md5crypt hashes.txt

◆ ◆ ◆

07 //التوعية والوقاية: بناء جدار لا يُكسر

الهدف النهائي من فهم أدوات مثل JtR ليس الهجوم — بل بناء دفاعات حقيقية. إذا كنت مطوراً أو مسؤول أنظمة، هذه المبادئ ستجعل قاعدة بياناتك مقاومة حتى للأدوات الأكثر تطوراً:

1. استخدم Salting دائماً

   الـ Salt هو سلسلة عشوائية تُضاف لكلمة المرور قبل تشفيرها. يجعل كل هاش فريداً حتى لو كانت كلمتا المرور متطابقتين — مما يُبطل هجمات Rainbow Tables تماماً. مثال: bcrypt وArgon2 يطبقان Salt تلقائياً.

2. أضف Pepper لطبقة حماية إضافية

   الـ Pepper هو سر ثابت يُضاف للهاش لكنه لا يُخزَّن في قاعدة البيانات — بل في ملف إعداد المخدّم. حتى لو سرّب المهاجم قاعدة البيانات كاملة، لن يتمكن من الكسر بدون الـ Pepper.

3. اختر خوارزمية تشفير حديثة

   تجنب MD5 و SHA-1 تماماً لكلمات المرور. استخدم bcrypt أو Argon2id أو scrypt — هذه الخوارزميات مصممة لتكون بطيئة عمداً لإعاقة هجمات Brute Force.

4. فرض سياسة كلمات مرور ذكية

   بدلاً من التعقيد المصطنع (رموز + أرقام + أحرف كبيرة)، الأفضل الطول. عبارة مرور من 4 كلمات عشوائية مثل horse-battery-staple-correct أقوى بكثير من P@ss123! لأنها أطول وأصعب تخميناً.

5. فعّل المصادقة الثنائية (2FA) في كل مكان

   حتى لو انكسرت كلمة المرور، الـ 2FA تجعل الاختراق شبه مستحيل. استخدم تطبيقات مثل Authy أو Google Authenticator — وتجنب SMS كلما أمكن (عرضة لـ SIM Swapping).

6. اختبر قاعدة بياناتك بنفسك دورياً

   شغّل JtR على هاشات نظامك كل ربع سنة على الأقل. إذا انكسرت كلمة مرور في ساعة، فذلك يعني أن مستخدمك بحاجة إلى تغييرها فوراً. ما تجده أنت اليوم لن يجده المهاجم غداً.

◆ ◆ ◆

08 //الجانب الأخلاقي: الخط الفاصل بين الحماية والجريمة

⚖️

// تحذير قانوني صريح

استخدام John the Ripper على أنظمة أو ملفات لا تملك صلاحية قانونية صريحة للوصول إليها هو جريمة جنائية في معظم دول العالم. العقوبات تتراوح بين الغرامات المالية الضخمة وأحكام السجن. هذا المقال للتعليم والبحث الأمني فقط.

في مجتمع الأمن السيبراني، هناك مسافة فاصلة بين White Hat (القبعة البيضاء) وBlack Hat (القبعة السوداء) — وهذه المسافة اسمها الإذن والنية. المهاجم والمدافع يستخدمان نفس الأدوات، لكن ما يُحدد أيهما ستكون هو السياق القانوني الذي تعمل فيه.

الـ Penetration Tester المحترف يعمل دائماً ضمن عقد موقّع يُحدد الأنظمة المسموح باختبارها، والمدة، وآلية تسليم التقرير. خارج هذا الإطار، حتى اختبار نظامك الشخصي أمر مشروع — لكن استهداف شبكة الجار أو موقع لم تحصل على إذن باختباره هو خط أحمر لا يُتجاوز.

🎓

// تطوير مهاراتك بشكل قانوني

منصات مثل HackTheBox، TryHackMe، وPentesterLab توفر بيئات تدريبية واقعية ومعتمدة. هناك أيضاً شهادات معترف بها مثل OSCP تُرسّخ مهاراتك في سياق أخلاقي ومهني.

الأمن السيبراني مجال يحتاج إلى محترفين يفهمون كيف يفكر المهاجم — لكن يختارون أن يقفوا على الجانب الصحيح. أداة JtR في يد شخص أخلاقي هي درع. في يد شخص آخر، هي جريمة. الفارق بينهما أنت.

🔐 هل اختبرت كلمات مرورك اليوم؟

الأمن الحقيقي لا يبدأ بشراء جدار حماية — بل بفهم كيف يفكر المهاجم. شارك هذا المقال مع كل مطور ومسؤول أنظمة تعرفه، واترك تعليقك أسفل المقال: ما أكثر نوع هاش صادفته في اختباراتك؟

💬 أضف تعليقك 📤 شارك المقال

GloSecLab — Penetration Testing · Password Security · Kali Linux · أمن المعلومات

© 2026 GloSecLab · للأغراض التعليمية البحثية فقط · استخدام مسؤول وأخلاقي