টু-ফ্যাক্টর অথেনটিকেশন কি? কেন জরুরী? — বিস্তারিত

যতোদিন যাচ্ছে, ততোবেশি মানুষ ধীরেধীরে আরো অনলাইন নির্ভরশীল হয়ে পড়ছে। আজ আমাদের জীবিকা নির্বাহ, ব্যাংক অ্যাকাউন্ট, ই-কমার্স সাইট অ্যাকাউন্ট (শপিং) ইত্যাদি সবকিছুই অনলাইন নির্ভরশীল হয়ে পড়েছে, আর এই ক্ষেত্রে সিকিউরিটি হয়ে উঠছে অনেক গুরুত্বপূর্ণ ব্যাপার। আপনার অনলাইন অ্যাকাউন্ট গুলোকে নিরাপদ রাখতে আপনি কি করেন? —মস্তবড় লম্বা আর কঠিন পাসওয়ার্ড লাগিয়ে রেখেছেন অ্যাকাউন্ট গুলোতে? আর এই পাসওয়ার্ড শুধু আপনার মস্তিষ্কেই রয়েছে? —বিশ্বাস করুন আর নাই বা করুন, তারপরেও আপনার অ্যাকাউন্ট পাসওয়ার্ড হ্যাক হয়ে যেতে পারে। আপনার অ্যাকাউন্ট গুলোকে সত্যিকারের নিরাপদ করার জন্য প্রয়োজন টু-ফ্যাক্টর অথেনটিকেশন (Two-factor authentication) সিস্টেম, যেটা এমন এক ধরনের লক, যার কোড বারবার পরিবর্তন হতে থাকে। এই পর্যন্ত সাইবার সিকিউরিটি নিয়ে যতোগুলো পোস্ট লিখেছি, প্রায় প্রত্যেকটি পোস্টে এই টার্মটি উল্লেখ্য করেছি। এই আর্টিকেলে সবকিছু বিস্তারিত জানবো…

---

কেন শুধু পাসওয়ার্ড নিরাপদ নয়?

আমাদের যতো প্রকারের অনলাইন অ্যাকাউন্ট আছে, প্রায় সব গুলো অ্যাকাউন্ট অ্যাক্সেস করার জন্য আমরা পাসওয়ার্ড ব্যবহার করে থাকি। কোন অ্যাকাউন্টে ইউজার নেম আর পাসওয়ার্ড প্রবেশ করালাম মানে ঐ অ্যাকাউন্টের অ্যাক্সেস পেয়ে গেলাম। এই পদ্ধতিকে ওয়ান-ফ্যাক্টর অথেনটিকেশন (One-Factor Authentication) বলা হয়, কেনোনা ঐ সিস্টেম অ্যাক্সেস করার জন্য আপনার মাত্র একটি জিনিষ জানা প্রয়োজন। আজকের দিনে যেমন অনলাইন পরিষেবা বাড়ছে, তার পাশাপাশি অনলাইন অ্যাকাউন্ট গুলোও বাড়বে সেটা স্বাভাবিক। কিন্তু বিভিন্ন অ্যাকাউন্টের বিভিন্ন পাসওয়ার্ড মনে রাখা সত্যিই অনেক কঠিন কাজ। অনেকে এক পাসওয়ার্ড তাদের সব অ্যাকাউন্টে ব্যবহার করে, আবার অনেকে মনে রাখার জন্য অনেক সহজ পাসওয়ার্ড নির্বাচন করে (তাদের নিজের নাম, মাতা-পিতার নাম ইত্যাদি ব্যবহার করে) যেগুলো অনুমান করা অনেক সহজ। তাছাড়া আপনি যদি সাইবার ক্যাফে বা কলেজের পাবলিক কম্পিউটার গুলো ব্যবহার করে অনলাইন অ্যাকাউন্ট লগিন করেন সেক্ষেত্রে আপনার অ্যাকাউন্ট হ্যাক হওয়ার সুযোগ অনেক গুনে বেড়ে যায়।

আপনার কম্পিউটারে হ্যাকার ম্যালওয়্যার ইন্সটল করিয়ে দিতে পারে, ফলে আপনার সকল পাসওয়ার্ড হ্যাকার চুরি করতে পারবে। তাছাড়া কি-লগার ইন্সটল করিয়ে দেওয়ার মাধ্যমে আপনি কম্পিউটারে কি টাইপ করছেন, সবকিছু তথ্য হ্যাকারের কাছে চলে যেতে পারে। তাই আপনার পাসওয়ার্ড যতো শক্তিশালী আর লম্বা হোক না কেন সেটা হ্যাকার হাতিয়ে নিতে পারে আরামে, এমনকি আপনি বুঝতেও পারবেন না, আপনার পাসওয়ার্ডটি চুরি হয়ে গেছে। তাছাড়া আপনি যে সাইটে পাসওয়ার্ড প্রবেশ করাচ্ছেন সেখানে অ্যাক্সেস পাওয়ার জন্য, আপনার ওয়াইফাই নেটওয়ার্ক হ্যাক করার মাধ্যমে, ঐ সাইটে আপনার পাসওয়ার্ড পৌছার আগেই হ্যাকারের কাছে পাসওয়ার্ড পৌঁছে যেতে পারে, একে ম্যান-ইন-দ্যা-মিডিল (Man-in-the-Middle) অ্যাটাক বলা হয়।

তাছাড়া ব্রুট ফোর্স অ্যাটাক করার মাধ্যমে কেউ কম্পিউটার দ্বারা আপনার পাসওয়ার্ড বারবার অনুমান করবে, আর সঠিক পাসওয়ার্ড পেয়ে গেলে আপনার অ্যাকাউন্ট সহজেই লগইন করে ফেলতে পারবে। এই জন্যই ব্যাংক অ্যাকাউন্ট সার্ভিস গুলোতে শুধু পাসওয়ার্ড দিয়ে কাজ হয় না, তারা আপনার কাছে সিকিউরিটি প্রশ্নের উত্তর চায় অথবা আপনার জন্ম তারিখ কিংবা আলাদা গোপন বিবরন সেখানে শেয়ার করার প্রয়োজন পরে। কিন্তু তারপরেও ওয়ান-ফ্যাক্টর অথেনটিকেশন বা শুধু ইউজার নেম আর পাসওয়ার্ড কখনোই নিরাপদ সিকিউরিটি ব্যবস্থা নয়।

টু-ফ্যাক্টর অথেনটিকেশন

যদি আপনাকে কোন টাকা ভর্তি সিন্দুক সর্বউচ্চ নিরাপদে রাখতে বলা হয়, তবে আপনি কি করবেন? অবশ্যই তো শুধু সিন্দুকের তালার উপর নির্ভরশীল থাকবেন না, তাই না? আপনি হয়তো কোন সুরক্ষিত রুমে সিন্দুকটি রাখবেন এবং রুমটিতেও অনেক তালা লাগাবেন, সাথে হয়তো রুমের বাইরে একটি সিকিউরিটি গার্ড বসিয়ে দেবেন, পাহারা দেবার জন্য। কোন ব্যক্তির যদি ঐ সিন্দুক থেকে টাকা নেওয়ার প্রয়োজন পরে, অবশ্যই প্রথমে সিকিউরিটি গার্ডের কাছে তার পরিচয় দিতে হবে, তারপর তার কাছে ঐ রুমের চাবি থাকতে হবে,  এবং শেষে সিন্দুকের চাবি থাকলেই কেবল সে টাকা পর্যন্ত পৌছাতে পারবে। অনলাইন জগতে এই ধরনের বহুস্তর বিশিষ্ট সিকিউরিটি ব্যবস্থাকে ম্যাল্টি-ফ্যাক্টর অথেনটিকেশন (Multi-Factor Authentication) বা এমএফএ (MFA) বলা হয়, আবার একে টু-স্টেপ ভেরিফিকেসন ও বলা হয় —অর্থাৎ ঐ কম্পিউটার সিস্টেমে অ্যাক্সেস পাওয়ার জন্য আপনার অনেক সিকিউরিটি স্টেপ পার করতে হয়।

কিন্তু আজকের বেশিরভাগ সিকিউর সিস্টেম দুইটি ধাপে সিকিউরিটি নিশ্চিত করে কোন ইউজারকে সেই সিস্টেমের অ্যাক্সেস প্রদান করে। প্রথমে অবশ্যই আপনাকে আপনার ইউজার নেম এবং পাসওয়ার্ড প্রবেশ করাতে হবে এবং দ্বিতীয় ধাপে একটি স্পেশাল পাসওয়ার্ড প্রবেশ করাতে হয় যেটা বারবার পরিবর্তন হতেই থাকে। এখানে সিস্টেম অ্যাক্সেস করার জন্য দুইটি ধাপ থাকার কারণে একে টু-ফ্যাক্টর অথেনটিকেশন বলা হয়।

ওয়ান-টাইম পাসওয়ার্ড

তো একবার ইউজার নেম আর পাসওয়ার্ড প্রবেশ করানোর পরে আবার দ্বিতীয়ত কি স্পেশাল পাসওয়ার্ড প্রবেশ করাতে হয়? দ্বিতীয় পাসওয়ার্ডটি একটি টেম্পোরারি পাসওয়ার্ড হয়ে থাকে, যেটা কেবল কিছু সময়ের জন্য ভ্যালিড থাকে এবং একবার ব্যবহার করার পরেই নষ্ট হয়ে যায়, আবার নতুন পাসওয়ার্ড জেনারেট করার দরকার পড়ে। আর এই প্রত্যেকবার পরিবর্তনশীল পাসওয়ার্ডকে ওয়ান-টাইম পাসওয়ার্ড (One-Time Password) বা ওটিপি (OTP) বলা হয়। এই টেম্পোরারি পাসওয়ার্ড বিশেষ করে কয়েক সংখ্যা বা সিরিজের একটি সমন্বয় হয়, যার কোন অর্থই থাকে না। এটি কোন কম্পিউটার দিয়ে জেনারেট করা সিরিয়াল নাম্বার হয়ে থাকে, যেটা আপনি কোন সিস্টেমে একবার ইউজার নেম আর পাসওয়ার্ড দ্বারা লগইন করার পরে আপনার কাছে ইলেকট্রনিক মাধ্যমে পাঠিয়ে দেওয়া হয়।

বেশিরভাগ সময়, আপনার সেলফোন নাম্বারে এই ওটিপি পাঠিয়ে দেওয়া হয়, যেটা আপনি প্রবেশের মাধ্যমে ঐ সিস্টেমটিতে অ্যাক্সেস করতে সক্ষম হোন। বর্তমানে ওটিপি জেনারেট করার জন্য অ্যাপ রয়েছে, যেটা আপনার মোবাইলে ইন্সটল করা থাকে, আর এটি নিজেই এলোমেলো নাম্বার জেনারেট করে, যেগুলো অ্যাকাউন্ট লগইন করার ক্ষেত্রে আপনি ব্যবহার করতে পারেন। আবার এখন সিকিউরিটি কী, ইউএসবি ইত্যাদির মাধ্যমেও টু-ফ্যাক্টর অথেনটিকেশন সম্পূর্ণ করা হয়।

টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার

পূর্বে ওয়েবসাইট গুলো শুধু ইউজার নেম এবং পাসওয়ার্ড ব্যবহার করেই তাদের সম্পূর্ণ অ্যাক্সেস প্রদান করতো। কিন্তু বর্তমানে ব্যাংকিং ওয়েবসাইট, মেইল সাইট, গুগল, ইয়াহু, পেপাল, অ্যাপেল ইত্যাদি সবাই নিরাপত্তার খাতিরে টু-ফ্যাক্টর অথেনটিকেশন সেবা প্রদান করে। এতে আপনার কাছে মনে রাখার মতো কিছু যেমন আপনার পাসওয়ার্ড থাকে এবং আপনার কাছে ফিজিক্যালি কিছু থাকে, যেমন- আরেকটি কোড, যা এসএমএস এর মাধ্যমে আপনার কাছে পাঠানো হয়। বর্তমানে গুগল অথেনটিকেটর নামে একটি অ্যাপ রয়েছে, যেখানে সার্ভার এবং ঐ অ্যাপে একই সময়ে ওটিপি সিঙ্ক হয় এবং প্রতি ৬ সেকেন্ড পরপর নতুন নতুন নাম্বার জেনারেট করা হয়। টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করার জন্য অবশ্যই আপনাকে অ্যাকাউন্ট থেকে সেটাকে এনাবল করে নিতে হবে। আর আশানুরূপভাবে বর্তমানে প্রায় সকল জনপ্রিয় সেবা প্রদানকারী’রাই এই ফিচারটি প্রদান করে থাকে। তাছাড়া আরো অনেক ইলেকট্রনিক গ্যাজেট ব্যবহার করেও ম্যাল্টি-ফ্যাক্টর অথেনটিকেশন সম্পূর্ণ করা হয়। সিকিউরিটি কী গুলোও ঠিকঠাক মতো কাজ করে।

শেষ কথা

প্রযুক্তির এই চরম যুগে এমন কোন সিস্টেম বা পদ্ধতি নেই যেটা হ্যাক করা সম্ভব নয়। কিন্তু তারপরেও টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার না করার কোন কারণ আমি দেখতে পাই না। এতে সত্যিই আপনার অ্যাকাউন্ট আরো এক সুরক্ষার নতুন স্তর পেয়ে যায়। ভবিষ্যতে আরো উন্নত পদ্ধতির মাধ্যমে হয়তো ম্যাল্টি-ফ্যাক্টর অথেনটিকেশন সম্পূর্ণ করা হবে, তবে বর্তমানে যেখানেই এটি এনাবল করার সুযোগ দেখতে পাবেন, সাথে সাথে এনাবল করে ফেলাই বুদ্ধিমানের কাজ হবে।

Images: Shutterstock.com