By 
যতোদিন যাচ্ছে, ততোবেশি মানুষ ধীরেধীরে আরো অনলাইন নির্ভরশীল হয়ে পড়ছে। আজ আমাদের জীবিকা নির্বাহ, ব্যাংক অ্যাকাউন্ট, ই-কমার্স সাইট অ্যাকাউন্ট (শপিং) ইত্যাদি সবকিছুই অনলাইন নির্ভরশীল হয়ে পড়েছে, আর এই ক্ষেত্রে সিকিউরিটি হয়ে উঠছে অনেক গুরুত্বপূর্ণ ব্যাপার। আপনার অনলাইন অ্যাকাউন্ট গুলোকে নিরাপদ রাখতে আপনি কি করেন? —মস্তবড় লম্বা আর কঠিন পাসওয়ার্ড লাগিয়ে রেখেছেন অ্যাকাউন্ট গুলোতে? আর এই পাসওয়ার্ড শুধু আপনার মস্তিষ্কেই রয়েছে? —বিশ্বাস করুন আর নাই বা করুন, তারপরেও আপনার অ্যাকাউন্ট পাসওয়ার্ড হ্যাক হয়ে যেতে পারে। আপনার অ্যাকাউন্ট গুলোকে সত্যিকারের নিরাপদ করার জন্য প্রয়োজন টু-ফ্যাক্টর অথেনটিকেশন (Two-factor authentication) সিস্টেম, যেটা এমন এক ধরনের লক, যার কোড বারবার পরিবর্তন হতে থাকে। এই পর্যন্ত সাইবার সিকিউরিটি নিয়ে যতোগুলো পোস্ট লিখেছি, প্রায় প্রত্যেকটি পোস্টে এই টার্মটি উল্লেখ্য করেছি। এই আর্টিকেলে সবকিছু বিস্তারিত জানবো…
কেন শুধু পাসওয়ার্ড নিরাপদ নয়?
আমাদের যতো প্রকারের অনলাইন অ্যাকাউন্ট আছে, প্রায় সব গুলো অ্যাকাউন্ট অ্যাক্সেস করার জন্য আমরা পাসওয়ার্ড ব্যবহার করে থাকি। কোন অ্যাকাউন্টে ইউজার নেম আর পাসওয়ার্ড প্রবেশ করালাম মানে ঐ অ্যাকাউন্টের অ্যাক্সেস পেয়ে গেলাম। এই পদ্ধতিকে ওয়ান-ফ্যাক্টর অথেনটিকেশন (One-Factor Authentication) বলা হয়, কেনোনা ঐ সিস্টেম অ্যাক্সেস করার জন্য আপনার মাত্র একটি জিনিষ জানা প্রয়োজন। আজকের দিনে যেমন অনলাইন পরিষেবা বাড়ছে, তার পাশাপাশি অনলাইন অ্যাকাউন্ট গুলোও বাড়বে সেটা স্বাভাবিক। কিন্তু বিভিন্ন অ্যাকাউন্টের বিভিন্ন পাসওয়ার্ড মনে রাখা সত্যিই অনেক কঠিন কাজ। অনেকে এক পাসওয়ার্ড তাদের সব অ্যাকাউন্টে ব্যবহার করে, আবার অনেকে মনে রাখার জন্য অনেক সহজ পাসওয়ার্ড নির্বাচন করে (তাদের নিজের নাম, মাতা-পিতার নাম ইত্যাদি ব্যবহার করে) যেগুলো অনুমান করা অনেক সহজ। তাছাড়া আপনি যদি সাইবার ক্যাফে বা কলেজের পাবলিক কম্পিউটার গুলো ব্যবহার করে অনলাইন অ্যাকাউন্ট লগিন করেন সেক্ষেত্রে আপনার অ্যাকাউন্ট হ্যাক হওয়ার সুযোগ অনেক গুনে বেড়ে যায়।
আপনার কম্পিউটারে হ্যাকার ম্যালওয়্যার ইন্সটল করিয়ে দিতে পারে, ফলে আপনার সকল পাসওয়ার্ড হ্যাকার চুরি করতে পারবে। তাছাড়া কি-লগার ইন্সটল করিয়ে দেওয়ার মাধ্যমে আপনি কম্পিউটারে কি টাইপ করছেন, সবকিছু তথ্য হ্যাকারের কাছে চলে যেতে পারে। তাই আপনার পাসওয়ার্ড যতো শক্তিশালী আর লম্বা হোক না কেন সেটা হ্যাকার হাতিয়ে নিতে পারে আরামে, এমনকি আপনি বুঝতেও পারবেন না, আপনার পাসওয়ার্ডটি চুরি হয়ে গেছে। তাছাড়া আপনি যে সাইটে পাসওয়ার্ড প্রবেশ করাচ্ছেন সেখানে অ্যাক্সেস পাওয়ার জন্য, আপনার ওয়াইফাই নেটওয়ার্ক হ্যাক করার মাধ্যমে, ঐ সাইটে আপনার পাসওয়ার্ড পৌছার আগেই হ্যাকারের কাছে পাসওয়ার্ড পৌঁছে যেতে পারে, একে ম্যান-ইন-দ্যা-মিডিল (Man-in-the-Middle) অ্যাটাক বলা হয়।
তাছাড়া ব্রুট ফোর্স অ্যাটাক করার মাধ্যমে কেউ কম্পিউটার দ্বারা আপনার পাসওয়ার্ড বারবার অনুমান করবে, আর সঠিক পাসওয়ার্ড পেয়ে গেলে আপনার অ্যাকাউন্ট সহজেই লগইন করে ফেলতে পারবে। এই জন্যই ব্যাংক অ্যাকাউন্ট সার্ভিস গুলোতে শুধু পাসওয়ার্ড দিয়ে কাজ হয় না, তারা আপনার কাছে সিকিউরিটি প্রশ্নের উত্তর চায় অথবা আপনার জন্ম তারিখ কিংবা আলাদা গোপন বিবরন সেখানে শেয়ার করার প্রয়োজন পরে। কিন্তু তারপরেও ওয়ান-ফ্যাক্টর অথেনটিকেশন বা শুধু ইউজার নেম আর পাসওয়ার্ড কখনোই নিরাপদ সিকিউরিটি ব্যবস্থা নয়।
টু-ফ্যাক্টর অথেনটিকেশন
যদি আপনাকে কোন টাকা ভর্তি সিন্দুক সর্বউচ্চ নিরাপদে রাখতে বলা হয়, তবে আপনি কি করবেন? অবশ্যই তো শুধু সিন্দুকের তালার উপর নির্ভরশীল থাকবেন না, তাই না? আপনি হয়তো কোন সুরক্ষিত রুমে সিন্দুকটি রাখবেন এবং রুমটিতেও অনেক তালা লাগাবেন, সাথে হয়তো রুমের বাইরে একটি সিকিউরিটি গার্ড বসিয়ে দেবেন, পাহারা দেবার জন্য। কোন ব্যক্তির যদি ঐ সিন্দুক থেকে টাকা নেওয়ার প্রয়োজন পরে, অবশ্যই প্রথমে সিকিউরিটি গার্ডের কাছে তার পরিচয় দিতে হবে, তারপর তার কাছে ঐ রুমের চাবি থাকতে হবে, এবং শেষে সিন্দুকের চাবি থাকলেই কেবল সে টাকা পর্যন্ত পৌছাতে পারবে। অনলাইন জগতে এই ধরনের বহুস্তর বিশিষ্ট সিকিউরিটি ব্যবস্থাকে ম্যাল্টি-ফ্যাক্টর অথেনটিকেশন (Multi-Factor Authentication) বা এমএফএ (MFA) বলা হয়, আবার একে টু-স্টেপ ভেরিফিকেসন ও বলা হয় —অর্থাৎ ঐ কম্পিউটার সিস্টেমে অ্যাক্সেস পাওয়ার জন্য আপনার অনেক সিকিউরিটি স্টেপ পার করতে হয়।
কিন্তু আজকের বেশিরভাগ সিকিউর সিস্টেম দুইটি ধাপে সিকিউরিটি নিশ্চিত করে কোন ইউজারকে সেই সিস্টেমের অ্যাক্সেস প্রদান করে। প্রথমে অবশ্যই আপনাকে আপনার ইউজার নেম এবং পাসওয়ার্ড প্রবেশ করাতে হবে এবং দ্বিতীয় ধাপে একটি স্পেশাল পাসওয়ার্ড প্রবেশ করাতে হয় যেটা বারবার পরিবর্তন হতেই থাকে। এখানে সিস্টেম অ্যাক্সেস করার জন্য দুইটি ধাপ থাকার কারণে একে টু-ফ্যাক্টর অথেনটিকেশন বলা হয়।
ওয়ান-টাইম পাসওয়ার্ড
তো একবার ইউজার নেম আর পাসওয়ার্ড প্রবেশ করানোর পরে আবার দ্বিতীয়ত কি স্পেশাল পাসওয়ার্ড প্রবেশ করাতে হয়? দ্বিতীয় পাসওয়ার্ডটি একটি টেম্পোরারি পাসওয়ার্ড হয়ে থাকে, যেটা কেবল কিছু সময়ের জন্য ভ্যালিড থাকে এবং একবার ব্যবহার করার পরেই নষ্ট হয়ে যায়, আবার নতুন পাসওয়ার্ড জেনারেট করার দরকার পড়ে। আর এই প্রত্যেকবার পরিবর্তনশীল পাসওয়ার্ডকে ওয়ান-টাইম পাসওয়ার্ড (One-Time Password) বা ওটিপি (OTP) বলা হয়। এই টেম্পোরারি পাসওয়ার্ড বিশেষ করে কয়েক সংখ্যা বা সিরিজের একটি সমন্বয় হয়, যার কোন অর্থই থাকে না। এটি কোন কম্পিউটার দিয়ে জেনারেট করা সিরিয়াল নাম্বার হয়ে থাকে, যেটা আপনি কোন সিস্টেমে একবার ইউজার নেম আর পাসওয়ার্ড দ্বারা লগইন করার পরে আপনার কাছে ইলেকট্রনিক মাধ্যমে পাঠিয়ে দেওয়া হয়।
বেশিরভাগ সময়, আপনার সেলফোন নাম্বারে এই ওটিপি পাঠিয়ে দেওয়া হয়, যেটা আপনি প্রবেশের মাধ্যমে ঐ সিস্টেমটিতে অ্যাক্সেস করতে সক্ষম হোন। বর্তমানে ওটিপি জেনারেট করার জন্য অ্যাপ রয়েছে, যেটা আপনার মোবাইলে ইন্সটল করা থাকে, আর এটি নিজেই এলোমেলো নাম্বার জেনারেট করে, যেগুলো অ্যাকাউন্ট লগইন করার ক্ষেত্রে আপনি ব্যবহার করতে পারেন। আবার এখন সিকিউরিটি কী, ইউএসবি ইত্যাদির মাধ্যমেও টু-ফ্যাক্টর অথেনটিকেশন সম্পূর্ণ করা হয়।
টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার
পূর্বে ওয়েবসাইট গুলো শুধু ইউজার নেম এবং পাসওয়ার্ড ব্যবহার করেই তাদের সম্পূর্ণ অ্যাক্সেস প্রদান করতো। কিন্তু বর্তমানে ব্যাংকিং ওয়েবসাইট, মেইল সাইট, গুগল, ইয়াহু, পেপাল, অ্যাপেল ইত্যাদি সবাই নিরাপত্তার খাতিরে টু-ফ্যাক্টর অথেনটিকেশন সেবা প্রদান করে। এতে আপনার কাছে মনে রাখার মতো কিছু যেমন আপনার পাসওয়ার্ড থাকে এবং আপনার কাছে ফিজিক্যালি কিছু থাকে, যেমন- আরেকটি কোড, যা এসএমএস এর মাধ্যমে আপনার কাছে পাঠানো হয়। বর্তমানে গুগল অথেনটিকেটর নামে একটি অ্যাপ রয়েছে, যেখানে সার্ভার এবং ঐ অ্যাপে একই সময়ে ওটিপি সিঙ্ক হয় এবং প্রতি ৬ সেকেন্ড পরপর নতুন নতুন নাম্বার জেনারেট করা হয়। টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করার জন্য অবশ্যই আপনাকে অ্যাকাউন্ট থেকে সেটাকে এনাবল করে নিতে হবে। আর আশানুরূপভাবে বর্তমানে প্রায় সকল জনপ্রিয় সেবা প্রদানকারী’রাই এই ফিচারটি প্রদান করে থাকে। তাছাড়া আরো অনেক ইলেকট্রনিক গ্যাজেট ব্যবহার করেও ম্যাল্টি-ফ্যাক্টর অথেনটিকেশন সম্পূর্ণ করা হয়। সিকিউরিটি কী গুলোও ঠিকঠাক মতো কাজ করে।
শেষ কথা
প্রযুক্তির এই চরম যুগে এমন কোন সিস্টেম বা পদ্ধতি নেই যেটা হ্যাক করা সম্ভব নয়। কিন্তু তারপরেও টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার না করার কোন কারণ আমি দেখতে পাই না। এতে সত্যিই আপনার অ্যাকাউন্ট আরো এক সুরক্ষার নতুন স্তর পেয়ে যায়। ভবিষ্যতে আরো উন্নত পদ্ধতির মাধ্যমে হয়তো ম্যাল্টি-ফ্যাক্টর অথেনটিকেশন সম্পূর্ণ করা হবে, তবে বর্তমানে যেখানেই এটি এনাবল করার সুযোগ দেখতে পাবেন, সাথে সাথে এনাবল করে ফেলাই বুদ্ধিমানের কাজ হবে।
Just OSADHARON post bhai!! Mind blowing!! Awesome!! ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ki aar bolbo bhai apnar post porar por aar comment korar bhasha thake na…… ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤
Accha bhai, POLY AES 1305 CHACHA20 protocol eta ki rokom encryption? Aar ekbar encryption er details ta bojhaben bhai? Pls…………….. ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤
Pobitro EID er aagam subheccha bhai ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤ ❤
Khub nice. Cryptography niye kono post ace apnar? Kew janlelink plz…..
Woohhoo awesome post.