টু ফ্যাক্টর অথেনটিকেশন হিসেবে SMS কেন একটি ব্যাড আইডিয়া? [বেস্ট কোনটি?]

ইন্টারনেট একদিকে যেমন আমাদের ডিজিটাল লাইফকে সহজ করছে ঠিকই কিন্তু আগে যেমন আমাদেরকে এনালগ সিকুরিটি নিয়ে চিন্তা করতে হতো বর্তমানে আমাদেরকে ডিজিটাল সিকুরিটি নিয়ে চিন্তা করতে হয়। অনলাইনে সুরক্ষিত থাকার জন্য বর্তমান ডিজিটাল যুগের সিকিউরিটি এক্সপার্টরা আমাদেরকে “Two-factor” অথেনটিকেশন সিস্টেমকে ব্যবহার করতে বলে থাকেন। টু-ফ্যাক্টর সিস্টেমটি অবশ্যই একটি সুরক্ষিত সিস্টেম সেটা নিয়ে আজ কথা বলবো না, আজ কথা বলবো টু-ফ্যাক্টর অথেনটিকেশন সিস্টেম হিসেবে কেন আপনাকে SMS পদ্ধতিকে ব্যবহার করা উচিত নয়।

SMS এবং Two-Factor অথেটিকেশন

এসএমএস পদ্ধতিকে নিয়ে সমালোচনা শুরু করার আগে একটি কথা পরিস্কার করা উচিত। আর সেটা হলো কোনো প্রকার টু-ফ্যাক্টর অথেনটিকেশন সিস্টেম ব্যবহার একদমই না করার চাইতে কিন্তু SMS পদ্ধতি ব্যবহার করা কিন্তু উত্তম। অর্থাৎ “নাই মামার থেকে কানা মামা ভালো”! আপনি যখন টু-ফ্যাক্টর অথেনটিকেশন সিস্টেম ব্যবহার করবেন না তখন আপনার একাউন্টে লগ ইন করার জন্য অন্য যেকারো শুধুমাত্র আপনার পাসওর্য়াডটা জানার প্রয়োজন হবে। আর বর্তমান যুগে পাসওর্য়াড হ্যাক করা বা উদ্ধার করা কোনো কঠিন কিছু নয়।

অন্যদিকে আপনি যখন SMS পদ্ধতির টু-ফ্যাক্টর অথেনটিকেশন সিস্টেম ব্যবহার করবেন তখন অন্য যেকেউকে আপনার একাউন্টে লগ ইন করার জন্য “পাসওর্য়াড” এর সাথে সাথে আপনার মোবাইলের এসএমএসয়েও একসেস করতে হবে। এভাবে সহজ ভাষায় বোঝা গেল যে কোনো প্রকার two-factor সিস্টেম ব্যবহার না করার চাইতে sms পদ্ধতিটি ব্যবহার করা উত্তম। আপনার একাউন্টে two-factor অথেনটিকেশন পদ্ধতিগুলোতে যদি শুধুমাত্র SMS অপশনটি থাকে তাহলে এটাকেই ব্যবহার করুন; তবে এটা ছাড়া যদি আরো অন্য পদ্ধতি থাকে তাহলে কেন SMS কে বাদ দিয়ে অন্য পদ্ধতি ব্যবহার করবেন সেটা নিচে আমি বুঝিয়ে দিচ্ছি।

SIM Swaps

উপরের চিত্রে আপনারা দেখতে পারছেন যে একটি গুগল ইমেইল (জিমেইল) একাউন্টে SMS টু-ফ্যাক্টর অথেনটিকেশন সিস্টেমটি চালু করা রয়েছে। ইমেইল এড্রেস এবং তার পাসওর্য়াড সঠিকভাবে এন্ট্রি করার পরে এই উইন্ডোটি আসবে। তখন গুগল থেকে একটি কোড ওই একাউন্টের মালিকের মোবাইল নাম্বারে sms আকারে পাঠানো হবে। ওই এসএমএস কোডটি সঠিকভাবে প্রবেশ করার পরেই একাউন্টে প্রবেশ করা যাবে।

সাধারণভাবে আপনি যদি চিন্তা করেন যে আপনার মোবাইলে SMS কোড যাবে এবং সেটা এন্ট্রি করানোর আগ পর্যন্ত কেউই আপনার একাউন্টে প্রবেশ করতে পারবে না! এটা অবশ্যই পাসওর্য়াড এন্ট্রির থেকে বেশ সুরক্ষিত একটি পদ্ধতি। তবে আপনি যদি মনে করেন আপনার স্মার্টফোনে একসেস করা ছাড়া আপনার মোবাইল নাম্বারে কেউ একসেস করতে পারবে না তাহলে আপনার ধারণা ভূল!

আমাদের দেশে মোবাইল নাম্বার চেঞ্জ করার জন্য বা পাল্টানোর জন্য বা নতুন সীমে টান্সফারের জন্য আমরা কি করি? জাস্ট আমাদের ন্যাশনাল ভোটার আইডি কার্ডটি নিয়ে সীম কোম্পানির আউটলেটে যাই; সেখানে গিয়ে আইডিটি দেখাই আর আমাদের মোবাইল নাম্বারটি বলি। আর কিছুক্ষণের মধ্যেই তারা একই নাম্বারের নতুন সীম আপনাকে দিয়ে দেয়। একে বলে সীম রিপ্লেসমেন্ট। কিন্তু একজন হ্যাকারও এই কাজটি করতে পারে যদি তার কাছে আপনার মোবাইল নাম্বার এবং আপনার ন্যাশনাল আইডির ইনফোগুলির একসেস থাকে।

অন্যদিকে বিদেশেও প্রায় একই সিস্টেম চালু রয়েছে। যেখানে জাস্ট ন্যাশনাল আইডির স্থানে একটি স্পেশাল কোড ব্যবহার করা হয়; যাকে বলে “social security number” । যদি কেউ আপনার মোবাইল সিমের নাম্বারটি জেনে থাকে এবং উক্ত “সোশাল সিকুরিটি নাম্বার” টির সম্পূর্ণ না জেনেও যদি শুধুমাত্র শেষের 4 Digits  জেনে থাকে তাহলে আপনার নাম্বারটিকে কিন্তু আপনার অজান্তেই নতুন সিমে ট্রান্সফার করে ফেলতে পারবে। তারা জাস্ট আপনার সিম কোম্পানির সাথে যোগাযোগ করবে; প্রয়োজনীয় তথ্যাদি দিয়ে আপনার সিমের নাম্বারটি নতুন সিমে টান্সফার করে ফেলবে। তখন আপনার সিমের নাম্বারটি তাদের সিমেও কার্যকর এবং একটিভ থাকবে। একে বলা হয় “SIM Swap”।  এই পদ্ধতিতে যুক্তরাজ্যে বহু লোকের ব্যাংক একাউন্ট লুট করা হয়েছে;কারণ বিদেশের ব্যাংক সিস্টেমগুলো ৯০%ই হচ্ছে ডিজিটাল পদ্ধতিতে বানানো।

এখানে আমার মূল কথা হচ্ছে SMS হ্যাক করা তেমন কঠিন কিছু নয়। আর SMS মেসেজ সিস্টেমকেই হেভি সিকুরিটি দিয়ে তৈরি করা হয় নি; তাই সিকুরিটির জন্য SMS সিস্টেম ব্যবহার করা উচিতও নয়।

যে পদ্ধতি আপনার ব্যবহার করা উচিত

Two-factor অথেনটিকেশন সিস্টেম কিন্তু শুধুমাত্র SMS পদ্ধতির উপরই নির্ভর করে না। বিভিন্ন ধরণের Two-factor authentication পদ্ধতি রয়েছে; তাদের মধ্যে বর্তমানে জনপ্রিয় পদ্ধতি হলো কোড জেনারেট সিস্টেম। এই পদ্ধতির দুটি জনপ্রিয় সার্ভিস হলো Google Authenticator এবং Authy।

এটি SMS পদ্ধতির থেকেও বেশ হাই ফাই সিকুরিটি সমৃদ্ধ একটি পদ্ধতি। এই পদ্ধতিতে আপনি নিজেই আপনার ডিভাইসে আপনার একাউন্টের জন্য কোড তৈরি করতে পারবেন। এভাবে যদি কেউ আপনার সিমকে ডিজিটাল ভাবে হাইজ্যাকও করে নেয় তারপরেও তারা আপনার একাউন্টে প্রবেশ করতে পারবে না। কারণ সেখানে প্রবেশ করার জন্য আপনার মোবাইল ডিভাইসকেও দরকার হবে। এই পদ্ধতিতে উৎপাদিত কোডগুলো আপনার মোবাইল সিমের নেটওর্য়াকে থাকে না বরং আপনার স্মার্টফোনেই এনক্রিপ্ট করা থাকে তাই সিম নেটওর্য়াকে এই কোডগুলোর কোনো লিক হবার সম্ভাবনা থাকে না।

অন্যদিকে আরেকটি পদ্ধতি রয়েছে যেখানো কোনো প্রকার কোডই নেই! টুইটার, গুগল, মাইক্রোসফট, Steam এই সব বড় বড় সার্ভিসগুলো তাদের স্মার্টফোন অ্যাপে “app-based” টু-ফ্যাক্টর অথেনটিকেশন সিস্টেম ব্যবহার করার অপশন রেখেছে। এই পদ্ধতিতে আপনার স্মার্টফোনে উক্ত সার্ভিসের অ্যাপ থেকেই আপনি নতুন ডিভাইসে সাইন ইন করার সময় পপ আপ মেসেজ পাবেন এবং সেখানে আপনাকে ট্যাপ করে নতুন ডিভাইসে সাইন ইনের বৈধ্যতা দিতে হবে।

এছাড়াও একদমই নতুন two-factor অথেনটিকেশন সিস্টেম হিসেবে বড়সড় কোম্পানি যেমন গুগল এবং ড্রপবক্স “U2F” নামের একটি সিস্টেম চালু করেছে। এখানে ব্যবহৃত সিস্টেমটি “hardware-based” টু-ফ্যাক্টর অথেনটিকেশন সিস্টেম।

SMS কোড সিস্টেমের টু ফ্যাক্টর অথেনটিকেশন সিস্টেম টি আপনার কাছে সুরক্ষিত মনে হলেও এটা বেশ পুরাতন একটি পদ্ধতি এবং SMS সিস্টেমের সিকুরিটি ব্রেক করা তেমন কঠিন কিছু নয়। তাই বেশি সেন্সিটিভ ডিজিটাল তথ্যযুক্ত ক্ষেত্রগুলোতে আমাদের উচিত sms এর জায়গায় আরো উন্নত, আপগ্রেডেড two-factor অথেনটিকেশন পদ্ধতি ব্যবহার করা। তবে আগেও বলেছি এখনো বলছি, একে বারেই টু-ফ্যাক্টর সিস্টেমটি ব্যবহার না করার চাইতে sms সিস্টেমটি ব্যবহার করা ভালো। তবে যদি সম্ভব হয় তাহলে sms এর চাইতে আপগ্রেডেড টু-ফ্যাক্টর অথেনটিকেশন পদ্ধতি আপনি ব্যবহার করুন।