আমাদের অনলাইন অ্যাকাউন্ট সুরক্ষিত রাখা এখন আর শুধু আইটি বিশেষজ্ঞদের কাজ নয়, এটি একটি দৈনন্দিন প্রয়োজনীয়তা। ডিজিটাল ব্যাংকিং, নিরাপদ ইমেইলসোশ্যাল মিডিয়া, ক্লাউড কম্পিউটিং, ব্যবসায়িক ব্যবস্থাপনা সফটওয়্যার, এবং মেসেজিং পরিষেবা—আমরা এমন সব পরিষেবা দ্বারা পরিবেষ্টিত যা তথ্য সংরক্ষণ করে। অত্যন্ত সংবেদনশীল ব্যক্তিগত, আর্থিক এবং পেশাগত তথ্যযখন একটি অ্যাকাউন্ট ভুল হাতে পড়ে, তখন সমস্যা খুব কমই সেখানেই থেমে থাকে: অনেকগুলো অ্যাকাউন্ট একে অপরের সাথে সংযুক্ত হয়ে যায়, যা পরিচয় চুরি, আর্থিক জালিয়াতি এবং আমাদের সুনামের গুরুতর ক্ষতির পথ সুগম করে।
এই প্রেক্ষাপটে, প্রচলিত পাসওয়ার্ড যথেষ্ট নয়। পাসকি, মাল্টি-ফ্যাক্টর অথেন্টিকেশন, ফিজিক্যাল টোকেন এবং FIDO2 স্ট্যান্ডার্ডের মতো প্রযুক্তিগুলো একটি বিকল্প সমাধান দিতে আবির্ভূত হয়েছে। শক্তিশালী প্রমাণীকরণ এবং পরিচয়পত্র ও অ্যাক্সেস কী-এর উন্নত ব্যবস্থাপনাএই নির্দেশিকায় আমরা শান্তভাবে কিন্তু স্পষ্টভাবে ব্যাখ্যা করব এই সবকিছুর অর্থ কী, এটি অভ্যন্তরীণভাবে কীভাবে কাজ করে, বর্তমান মান ও আইন কী দাবি করে, এবং সর্বোপরি, ব্যক্তিগতভাবে ও প্রতিষ্ঠানে বাস্তবে এটি কীভাবে প্রয়োগ করতে হয়।
কেন একটি পাসওয়ার্ড এখন আর যথেষ্ট নয়
ডিজিটাল অ্যাকাউন্টগুলো আমাদের অনলাইন জীবনের কেন্দ্রবিন্দুতে পরিণত হয়েছে। আমাদের প্রয়োজনীয় সবকিছুই এগুলোতে সংরক্ষিত থাকে। ব্যাংকিং তথ্য, ইমেইলের ইতিহাস, ব্যক্তিগত কথোপকথন (উদাঃ আরও নিরাপদ করার জন্য WhatsApp কনফিগার করুনছবি, কর্পোরেট নথি এবং স্বাস্থ্য সংক্রান্ত তথ্য। যদি কেউ এই অ্যাকাউন্টগুলোর মধ্যে একটিতেও প্রবেশাধিকার পায়, তবে তারা শুধু আড়িপাতাই করতে পারবে না, বরং আমাদের ছদ্মবেশ ধারণ করে কেনাকাটা, অর্থ স্থানান্তর, ঋণ গ্রহণ, এমনকি সংবেদনশীল তথ্য দিয়ে আমাদের ব্ল্যাকমেলও করতে পারবে।
তাছাড়া, অনেক প্ল্যাটফর্মই পরস্পর সংযুক্ত: ইমেইলে অননুমোদিত অ্যাক্সেসের মাধ্যমে সোশ্যাল মিডিয়া, ব্যাংকিং বা ক্লাউড সার্ভিসের পাসওয়ার্ড রিসেট করা যেতে পারে। এই ধরনের 'ডমিনো এফেক্ট'-এর অর্থ হলো যে পরিচয় ও প্রমাণপত্রের সুরক্ষা বৈশ্বিক নিরাপত্তার একটি গুরুত্বপূর্ণ উপাদান। যেকোনো ব্যক্তি বা সংস্থা থেকে।
আরও একটি বিষয় আছে যা প্রায়শই উপেক্ষা করা হয়: সুনাম। যখন কেউ কোনো অ্যাকাউন্টের নিয়ন্ত্রণ নেয়, তখন তারা আমাদের পক্ষ থেকে বিষয়বস্তু প্রকাশ করা, গ্রাহক বা পরিবারের সদস্যদের কাছে প্রতারণামূলক ইমেল পাঠানো, ব্যক্তিগত সামগ্রী বিতরণ করা এবং পরিশেষে, আমাদের ওপর বা আমাদের ব্র্যান্ডের ওপর অন্যদের যে আস্থা রয়েছে, তা নষ্ট করে দেয়।
সুতরাং, “আপনার পাসওয়ার্ড শেয়ার করবেন না” এই সাধারণ পরামর্শটি এখন আর যথেষ্ট নয়। এর সাথে সমন্বয় করা অপরিহার্য। উচ্চ-এনট্রপি পাসওয়ার্ড, পাসওয়ার্ড ম্যানেজার, মাল্টি-ফ্যাক্টর অথেনটিকেশন, এবং পাসওয়ার্ডবিহীন প্রযুক্তি যেমন অ্যাক্সেস কীসুস্পষ্ট ব্যবস্থাপনা ও পুনরুদ্ধার নীতিমালার পাশাপাশি।
নিরাপদ পাসওয়ার্ডের নতুন মানদণ্ড
বছরের পর বছর ধরে আমাদের উপর "বড় হাতের অক্ষর, ছোট হাতের অক্ষর, সংখ্যা এবং প্রতীক ব্যবহার করুন" বা "প্রতি ৯০ দিন পর পর আপনার পাসওয়ার্ড পরিবর্তন করুন"-এর মতো নিয়মকানুন চাপিয়ে দেওয়া হয়েছে। আজ, NIST (তাদের SP 800-63B নথিতে) এবং INCIBE-এর মতো সংস্থাগুলো এটা স্পষ্ট করে দিয়েছে যে যথেচ্ছ জটিলতার চেয়ে দৈর্ঘ্য এবং অনিশ্চয়তা অনেক বেশি গুরুত্বপূর্ণ।.
প্রযুক্তিগত দৃষ্টিকোণ থেকে, একটি পাসওয়ার্ডের শক্তি তার এনট্রপি দ্বারা পরিমাপ করা হয়, অর্থাৎ, ব্রুট-ফোর্স এবং ডিকশনারি অ্যাটাক প্রতিরোধ করার ক্ষমতা দ্বারা। INCIBE উল্লেখ করেছে যে, অনেক ক্ষেত্রে, প্রায় ৪ বা তার বেশি এলোমেলো শব্দের একটি বাক্যাংশ এটি “P@ssw0rd!”-এর মতো চিহ্নে ভরা একটি ছোট পাসওয়ার্ডের চেয়ে বেশি সুরক্ষিত এবং মনে রাখাও সহজ হতে পারে।
নিরাপত্তা লঙ্ঘনের কোনো প্রমাণ ছাড়াই ব্যবহারকারীদের নির্দিষ্ট সময় অন্তর পাসওয়ার্ড পরিবর্তন করতে বাধ্য করে এমন নীতির বিরুদ্ধে NIST কঠোরভাবে পরামর্শ দেয়। দেখা গেছে যে, এর ফলে ব্যবহারকারীরা ক্ষতিকর পাসওয়ার্ড তৈরির মতো বিপজ্জনক কাজে লিপ্ত হয়। একই প্যাটার্নের অনুমানযোগ্য বিভিন্ন রূপ (পাসওয়ার্ড১, পাসওয়ার্ড২…) অথবা অসুরক্ষিত ওয়েবসাইটে পাসওয়ার্ড লিখে রাখা। INCIBE একমত এবং সুপারিশ করে যে, শুধুমাত্র ডেটা লঙ্ঘনের যুক্তিসঙ্গত সন্দেহ থাকলেই পাসওয়ার্ড পরিবর্তন করা উচিত; উদাহরণস্বরূপ, কোনো ডেটা লঙ্ঘনের বিষয়ে জানার পর অথবা Have I Been Pwned-এর মতো পরিষেবাগুলিতে পাসওয়ার্ড ফাঁস হয়েছে কিনা তা পরীক্ষা করার পর।
আরেকটি গুরুত্বপূর্ণ বিষয় হলো: পাসওয়ার্ড সংরক্ষণকারী পরিষেবাটি যদি সমানভাবে শক্তিশালী না হয়, তবে খুব শক্তিশালী পাসওয়ার্ড থাকাও বৃথা। বর্তমান মান অনুযায়ী, সিস্টেমগুলোকে অবশ্যই শক্তিশালী পাসওয়ার্ড ব্যবহার করে পাসওয়ার্ড সংরক্ষণ করতে হবে। আর্গন২ বা পিবিকেডিএফ২-এর মতো শক্তিশালী বাইপাস ফাংশন, এবং প্রতি ব্যবহারকারীর জন্য একটিমাত্র সল্ট।INCIBE এবং ENISA যেমনটা উল্লেখ করেছে, সেগুলোকে সাধারণ টেক্সটে বা অপ্রচলিত অ্যালগরিদম ব্যবহার করে সংরক্ষণ করার পরিবর্তে।
তারা কীভাবে আমাদের পরিচয়পত্র চুরি করে
সাইবার অপরাধীরা কীভাবে ক্রেডেনশিয়াল আক্রমণ করে তা বুঝতে পারলে, আমাদের আরও উন্নত প্রমাণীকরণ ব্যবস্থার প্রয়োজন কেন তা অনুধাবন করা সহজ হয়। বর্তমানে, সবচেয়ে সাধারণ পরিস্থিতিগুলোর মধ্যে রয়েছে: ব্রুট-ফোর্স অ্যাটাক, ডিকশনারি অ্যাটাক এবং ব্যাপক ফিশিং ক্যাম্পেইন.
ব্রুট-ফোর্স অ্যাটাকে, আক্রমণকারী একটি মিল খুঁজে না পাওয়া পর্যন্ত অক্ষরের সমস্ত সম্ভাব্য সংমিশ্রণ পদ্ধতিগতভাবে চেষ্টা করে। আধুনিক হার্ডওয়্যার (জিপিইউ, ক্লাউড ক্লাস্টার) দিয়ে, প্রতীকসহ একটি ৮-অক্ষরের পাসওয়ার্ডও ব্যবহার করা যায়। যুক্তিসঙ্গত সময়সীমার মধ্যে ঝুঁকিপূর্ণ হয়ে উঠতে পারেবিশেষ করে যদি পাসওয়ার্ড ডেটাবেস ফাঁস হয়ে গিয়ে থাকে।
ডিকশনারি অ্যাটাক হলো এর একটি আরও 'চতুর' রূপ: এতে আক্রমণকারী বিশাল তালিকা ব্যবহার করে সাধারণ শব্দ, প্রচলিত বাক্যাংশ এবং ইতিমধ্যে ফিল্টার করা পাসওয়ার্ডঅনেকেই এখনও “123456”, “qwerty” বা “Barcelona2024”-এর মতো খুব অনুমানযোগ্য সংমিশ্রণ ব্যবহার করেন, যা আক্রমণকারীর কাজকে অনেক সহজ করে তোলে।
এছাড়াও অক্ষরের ভিন্নতা ব্যবহার করে ডিকশনারি অ্যাটাক করা হয়, যেখানে “@”-এর জায়গায় “a” বা “3”-এর জায়গায় “e”-এর মতো প্রতিস্থাপন পরীক্ষা করা হয় (যেমন, “p@ssw0rd”)। এক্ষেত্রেও, যদি পাসওয়ার্ডটি একটি সাধারণ প্যাটার্ন অনুসরণ করে, আধুনিক অ্যালগরিদমগুলো প্রায় নিশ্চিতভাবেই এটিকে পরীক্ষার তালিকায় অন্তর্ভুক্ত করবে।.
এই সবকিছুর সাথে ফিশিংও যুক্ত, যেখানে ব্যবহারকারীদের প্রতারিত করে তাদের লগইন তথ্য টাইপ করতে বাধ্য করা হয়। ভুয়া ওয়েবসাইট যা বৈধ পরিষেবার অনুকরণ করেশক্তিশালী ও অনন্য পাসওয়ার্ড থাকা সত্ত্বেও, ব্যবহারকারী যদি কোনো ক্ষতিকারক ওয়েবসাইটে সেগুলো টাইপ করেন, তাহলে অ্যাকাউন্টটি ঝুঁকিতে পড়ে। এখানেই প্রযুক্তির মতো বিষয়গুলোর ভূমিকা রয়েছে, যেমন FIDO2 অ্যাক্সেস কী এবং ফিশিং-প্রতিরোধী মাল্টি-ফ্যাক্টর অথেনটিকেশন তারা বিরাট পরিবর্তন আনেন।
পাসওয়ার্ড ম্যানেজার: আপনার ডিজিটাল সুরক্ষার মস্তিষ্ক
বাস্তবতাটা খুবই সহজ: কোনো সাধারণ মানুষের পক্ষে কয়েক ডজন বা শত শত দীর্ঘ, স্বতন্ত্র এবং এলোমেলো পাসওয়ার্ড মনে রাখা সম্ভব নয়। একারণেই INCIBE-এর মতো সংস্থাগুলো ব্যবহার করার পরামর্শ দেয়। পাসওয়ার্ড ম্যানেজার যা স্থানীয়ভাবে AES-256 বা উচ্চতর পাসওয়ার্ড দিয়ে ডাটাবেস এনক্রিপ্ট করেএকটি শক্তিশালী মাস্টার পাসওয়ার্ড অথবা ডিভাইস বায়োমেট্রিক্স দ্বারা সুরক্ষিত।
একটি ভালো পাসওয়ার্ড ম্যানেজার প্রতিটি সার্ভিসের জন্য স্বতন্ত্র কী তৈরি ও সংরক্ষণ করে, যা এর পুনঃব্যবহার রোধ করে, এমন একটি অভ্যাস যা সিসিএন-সার্ট-এর প্রতিবেদন অনুসারে, বিশ্লেষণ করা প্রায় ৬৫% লিকেজে এর উপস্থিতি থাকবে।সুপরিচিত পাসওয়ার্ড ম্যানেজারগুলোর মধ্যে রয়েছে লাস্টপাস, ওয়ানপাসওয়ার্ড, ড্যাশলেন, বিটওয়ার্ডেন, অথবা নেটউইক্স পাসওয়ার্ড সিকিওর-এর মতো কর্পোরেট সলিউশন, যা ব্যবসায়িক পরিবেশে পাসওয়ার্ড নীতি প্রয়োগ করতেও সাহায্য করে।
এই এনক্রিপ্টেড স্টোরেজ সুবিধাগুলিতে শুধু পাসওয়ার্ডই নয়, বরং ক্রমবর্ধমানভাবে আরও অনেক কিছু পরিচালনা করা যায়। অ্যাক্সেস কী (পাসকী) এবং অন্যান্য আধুনিক পরিচয়পত্রপ্রকৃতপক্ষে, বেশ কিছু বিক্রেতা FIDO2 এবং অ্যাক্সেস কী-এর জন্য পূর্ণ সমর্থন অন্তর্ভুক্ত করছে, যা ডিভাইসগুলোর মধ্যে নিরাপদ সিঙ্ক্রোনাইজেশন, দুর্বল পাসওয়ার্ড নিরীক্ষা এবং ফাঁস হওয়া কী তালিকার সাথে স্বয়ংক্রিয়ভাবে যাচাই করার সুবিধা প্রদান করে।
সংস্থাগুলির জন্য এটি গুরুত্বপূর্ণ যে এই সরঞ্জামগুলি ডিরেক্টরি এবং প্রোভিশনিং পরিষেবাগুলির সাথে সমন্বিত হয় (উদাহরণস্বরূপ, SCIM-এর মতো প্রোটোকল ব্যবহার করে), যাতে পাসওয়ার্ড নীতিমালা, শর্তসাপেক্ষ মেয়াদোত্তীর্ণতা এবং অ্যাক্সেস নিরীক্ষা কেন্দ্রীয়ভাবে পরিচালনা করা যায়। Netwrix Password Secure বা অনুরূপ সমাধানগুলো অ্যাকাউন্ট লকআউট, রিয়েল-টাইম অ্যালার্ট, কমপ্লায়েন্স রিপোর্ট এবং দুর্বল বা পুনঃব্যবহৃত ক্রেডেনশিয়াল শনাক্তকরণের সুবিধা দেয়।
মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA): অপরিহার্য অতিরিক্ত স্তর
মাল্টি-ফ্যাক্টর অথেনটিকেশন একটি অতিরিক্ত স্তর যোগ করে, যার জন্য নিম্নলিখিত বিভাগগুলি থেকে দুই বা ততোধিক আইটেমের প্রয়োজন হয়: এমন কিছু যা আপনি জানেন (পাসওয়ার্ড বা পিন), এমন কিছু যা আপনার কাছে আছে (মোবাইল ফোন, ভৌত টোকেন), এবং এমন কিছু যা আপনি নিজেই (বায়োমেট্রিক ডেটা)যুক্তিটা স্পষ্ট: পাসওয়ার্ড চুরি হয়ে গেলেও, দ্বিতীয় উপাদানটি না থাকলে দরজাটি তালাবদ্ধই থাকে।
বিভিন্ন ধরণের এমএফএ (MFA) রয়েছে: এসএমএস-এর মাধ্যমে পাঠানো কোড, টিওটিপি (TOTP) অ্যাপ্লিকেশন (যেমন গুগল অথেনটিকেটর বা অথি), পুশ নোটিফিকেশন, ভৌত নিরাপত্তা কী FIDO2/U2F (যেমন YubiKey, Google Titan) অথবা ডিভাইসে সমন্বিত বায়োমেট্রিক প্রমাণীকরণ। CCN-CERT এবং ENISA এসএমএস-ভিত্তিক পদ্ধতিগুলোকে সবচেয়ে দুর্বল বলে মনে করে, কারণ এগুলো সিম সোয়াপিং আক্রমণের ঝুঁকিতে থাকে, অন্যদিকে FIDO2/U2F টোকেন ফিশিংয়ের বিরুদ্ধে অত্যন্ত উচ্চ প্রতিরোধ ক্ষমতা প্রদান করে।
এর কারণ হলো, এই নিরাপত্তা কীগুলো সার্ভারে পাসওয়ার্ড পাঠায় না, বরং ব্যবহার করে ডোমেন-বাউন্ড পাবলিক-কী ক্রিপ্টোগ্রাফিযদি ব্যবহারকারী কোনো নকল সাইটে প্রমাণীকরণের চেষ্টা করেন, তাহলে কী-টি শনাক্ত করে যে ডোমেইনটি মিলছে না এবং অপারেশনটি ব্যর্থ হয়। এমন কোনো স্থির গোপনীয় তথ্য নেই যা চুরি করে পুনরায় ব্যবহার করা যেতে পারে।
যেসব কর্পোরেট পরিবেশ ও পরিষেবা সংবেদনশীল তথ্য নিয়ে কাজ করে (যেমন স্বাস্থ্যসেবা, শিক্ষা, জনপ্রশাসন, ব্যাংকিং, ই-কমার্স), সেখানে এমএফএ আর ঐচ্ছিক থাকে না, বরং বাধ্যতামূলক হয়ে ওঠে। অপরিহার্য নিয়ন্ত্রক সম্মতি প্রয়োজনীয়তা এবং উত্তম অনুশীলনএটি GDPR, NIS2, PCI DSS, HIPAA, FERPA বা জাতীয় নিরাপত্তা প্রকল্পের বাধ্যবাধকতার সাথে সরাসরিভাবে সংযুক্ত, যেগুলোর জন্য শক্তিশালী প্রবেশাধিকার নিয়ন্ত্রণ প্রয়োজন।
অ্যাক্সেস কী (পাসকী): পাসওয়ার্ডবিহীন যুগের সূচনা
অ্যাক্সেস কী বা পাসকী হলো পরবর্তী যৌক্তিক পদক্ষেপ: এগুলি অনুমতি দেয় ডিভাইসে অ্যাসিমেট্রিক ক্রিপ্টোগ্রাফি এবং লোকাল অথেন্টিকেশন ব্যবহার করে পাসওয়ার্ড ছাড়াই ওয়েবসাইট ও অ্যাপে লগ ইন করুন। (ফিঙ্গারপ্রিন্ট, ফেস, পিন)। এগুলো FIDO অ্যালায়েন্সের ওপেন স্ট্যান্ডার্ডের উপর ভিত্তি করে তৈরি, তাই সামঞ্জস্যপূর্ণ প্ল্যাটফর্মগুলোর মধ্যে এগুলো আন্তঃকার্যকরী।
যখন আপনি কোনো পরিষেবার জন্য অ্যাক্সেস কী তৈরি করেন, তখন আপনার ডিভাইস একটি কী পেয়ার তৈরি করে: একটি প্রাইভেট কী যা ডিভাইসে বা কী ম্যানেজারে নিরাপদে সংরক্ষিত থাকে, এবং একটি পাবলিক কী যা সার্ভারে নিবন্ধিত থাকে।লগ ইন করার জন্য, সার্ভার একটি ক্রিপ্টোগ্রাফিক চ্যালেঞ্জ চালু করে যা শুধুমাত্র প্রাইভেট কী দিয়ে সমাধান করা যায়, কিন্তু সেই কী-টি ডিভাইস থেকে কখনোই বাইরে যায় না।
ব্যবহারকারীকে কিছুই টাইপ করতে হয় না: তারা কেবল আঙুলের ছাপ, মুখমণ্ডল শনাক্তকরণ বা স্থানীয় পিনের মাধ্যমে প্রবেশাধিকার নিশ্চিত করেন। এর বেশ কিছু বড় সুবিধা রয়েছে: পাসওয়ার্ড মুখস্থ করার কোনো ঝামেলা নেই, এটি অন্য সাইটে পুনরায় ব্যবহার করা যায় না, ব্রুট ফোর্স অ্যাটাকের মাধ্যমে অনুমান করা যায় না বা ফিশিংয়ের মাধ্যমে চুরি করা যায় না।কারণ কী-টি পরিষেবাটির নির্দিষ্ট ডোমেনের সাথে যুক্ত।
অ্যাক্সেস কীগুলো অ্যাপল, গুগল এবং মাইক্রোসফট ডিভাইসের সাথে সামঞ্জস্যপূর্ণ এবং আইক্লাউড কিচেইন ও গুগল পাসওয়ার্ড ম্যানেজারের মতো পাসওয়ার্ড ম্যানেজার ও পরিষেবাগুলোর সাথে সমন্বিত হয়। অনেক জনপ্রিয় পরিষেবা ইতিমধ্যেই এগুলো সমর্থন করে। গুগল (ইউটিউব সহ), মাইক্রোসফট ও এক্সবক্স, মেটা (ফেসবুক ও হোয়াটসঅ্যাপ), লিঙ্কডইন, অ্যামাজন, পেপ্যাল, টিকটক, ইয়াহু, ডিসকর্ড, গিটহাব, অ্যাডোবি ক্রিয়েটিভ ক্লাউড এবং অন্যান্যরা। অন্যরা, যেমন কিছু বড় এআই পরিষেবা, স্পটিফাই বা নির্দিষ্ট কিছু অনলাইন স্টোর, এখনও এই পদক্ষেপটি গ্রহণ করেনি।
পাসওয়ার্ডের তুলনায়, অ্যাক্সেস কী অ্যাকাউন্ট চুরির বিরুদ্ধে উন্নততর সুরক্ষা প্রদান করে। যেহেতু ব্যবহারকারীকে কোনো গোপন কী টাইপ করতে হয় না, প্রচলিত ফিশিং, কী-লগার বা ফাঁস হওয়া ডেটাবেসের মাধ্যমে এটি চুরি করার কোনো উপায় নেই।প্রতিটি কী একটি নির্দিষ্ট সাইটের জন্য অনন্য এবং অন্য কোনো পরিষেবার জন্য পুনরায় ব্যবহার করা যাবে না।
সুবিধার দিক থেকে, পাসকি দিয়ে লগ ইন করা অনেক দ্রুততর: আপনাকে শুধু... ফিঙ্গারপ্রিন্ট রিডার স্পর্শ করুন, ক্যামেরার দিকে তাকান, অথবা ডিভাইসে একটি সংক্ষিপ্ত পিন প্রবেশ করান।লম্বা ক্রম মনে রাখার বা ম্যানেজারের কাছ থেকে পাসওয়ার্ড কপি-পেস্ট করার কোনো প্রয়োজন নেই।
তবে, এর সবই সুবিধা নয়। এর অন্যতম প্রধান অসুবিধা হলো যে যে কেউ আপনার ডিভাইসটি আনলক করতে পারলে আপনার অ্যাক্সেস কী এবং ফলস্বরূপ আপনার অ্যাকাউন্টগুলোতেও প্রবেশাধিকার পাবে।এটি বিশেষত বাড়িতে ব্যবহৃত যৌথ কম্পিউটার বা দুর্বলভাবে নিয়ন্ত্রিত পরিবেশে একটি সমস্যা।
আরেকটি সমস্যা দেখা দেয় যখন কী-গুলো ব্যাকআপ বা সিঙ্ক্রোনাইজেশন ছাড়া শুধুমাত্র একটি ডিভাইসে সংরক্ষণ করা হয়। যদি সেই ডিভাইসটি হারিয়ে যায়, ভেঙে যায় বা চুরি হয়ে যায়, আপনি আপনার অ্যাকাউন্টগুলোর অ্যাক্সেস হারাতে পারেন এবং দীর্ঘ ও জটিল পুনরুদ্ধার প্রক্রিয়ার সম্মুখীন হতে পারেন।যদি সেই অ্যাকাউন্টটি আপনার প্রাথমিক ইমেলও হয়ে থাকে (যেখানে অন্যান্য পরিষেবা থেকে পুনরুদ্ধারের লিঙ্ক আসে), তাহলে পরিস্থিতি আরও অনেক বেশি জটিল হয়ে যায়।
এর সাথে যুক্ত হয়েছে সামঞ্জস্যের সমস্যা: একাধিক ডিভাইস এবং ভিন্ন ভিন্ন অপারেটিং সিস্টেম (উইন্ডোজ, ম্যাকওএস, অ্যান্ড্রয়েড, আইওএস, লিনাক্স) ব্যবহারকারীরা সমস্যার সম্মুখীন হতে পারেন। সকল পরিবেশে সিঙ্ক্রোনাইজ করার সময় বা অ্যাক্সেস কী ব্যবহার করার সময় সৃষ্ট প্রতিবন্ধকতাএবং পুরোনো কম্পিউটার বা সেকেলে ব্রাউজারে এই অভিজ্ঞতাটি একেবারেই ব্যবহারযোগ্য নাও হতে পারে।
পাসকি সামঞ্জস্যতা: ইকোসিস্টেম এবং ব্রাউজার
কিছু সূক্ষ্ম পার্থক্য থাকলেও, অ্যাক্সেস কী এখন বেশিরভাগ আধুনিক অপারেটিং সিস্টেম এবং ব্রাউজারে কাজ করে। অপারেটিং সিস্টেমের ক্ষেত্রে, হালনাগাদ করা ব্রাউজার ব্যবহার করা হলে সাধারণ সামঞ্জস্যতা নিম্নরূপ:
উইন্ডোতেউইন্ডোজ ১১ ২২এইচ২ এবং তার পরবর্তী সংস্করণগুলোতে পাসকি স্বাভাবিকভাবেই সমর্থিত, এবং উইন্ডোজ ১০-এ গুগলের পাসওয়ার্ড ম্যানেজারসহ ক্রোমের মতো ব্রাউজার ব্যবহার করলে কিছু সীমাবদ্ধতাসহ এটি পাওয়া যায়।
ম্যাকওএস এবং আইওএস/আইপ্যাডওএস-এএটি macOS Ventura এবং iOS/iPadOS 16-এর সাথে সামঞ্জস্যপূর্ণ। কীগুলো iCloud Keychain-এ সংরক্ষিত থাকে এবং অ্যাপল ডিভাইসগুলোর মধ্যে সিঙ্ক হয়, যার ফলে আপনি সুবিধামত ওয়েবসাইট ও অ্যাপে লগ ইন করতে পারেন।
অ্যান্ড্রয়েডেভার্সন ৯ থেকে অ্যাক্সেস কী ব্যবহার করা যাবে, কিন্তু থার্ড-পার্টি পাসওয়ার্ড ম্যানেজার এবং এক্সটার্নাল পাসকি প্রোভাইডারদের সাথে উন্নত ইন্টিগ্রেশন শুধুমাত্র অ্যান্ড্রয়েড ১৪ থেকে পাওয়া যাবে। গুগলের পাসওয়ার্ড ম্যানেজার আপনার গুগল অ্যাকাউন্টের সাথে যুক্ত কীগুলো স্বয়ংক্রিয়ভাবে সিঙ্ক করে।
লিনাক্সেবেশিরভাগ ডিস্ট্রিবিউশনে এখনও নেটিভ সিস্টেম-লেভেল পাসকি সাপোর্ট নেই, কিন্তু Chrome, Edge, বা Firefox-এর মতো ব্রাউজারের সাথে একটি নির্দিষ্ট টুল ব্যবহার করে এটি ব্যবহার করা সম্ভব। সামঞ্জস্যপূর্ণ পাসওয়ার্ড ম্যানেজার অথবা একটি FIDO2 ইউএসবি টোকেনএটি কিছুটা কারুশিল্প-নির্ভর পরিবেশ, কিন্তু টেকসই।
ব্রাউজারগুলোর মধ্যে, ক্রোমিয়াম ১০৮-ভিত্তিক ক্রোম/এজ/অপেরা থেকে অপরিহার্য অ্যাক্সেস কী ফাংশনগুলো পাওয়া যায়, এবং সংস্করণ ১২৮ থেকে এতে উল্লেখযোগ্য উন্নতি সাধিত হয়েছে; ফায়ারফক্স সংস্করণ ১২২ থেকে সমর্থন প্রদান করে, যদিও সব সাইট সমানভাবে ভালোভাবে কাজ করে না; সাফারি সংস্করণ ১৬ থেকে এগুলো সমর্থন করে এবং সাফারি ১৮ থেকে এতে অতিরিক্ত বৈশিষ্ট্য যুক্ত হয়েছে।
বাস্তবে, আপনার যদি একটি আধুনিক মোবাইল ফোন বা কম্পিউটার থাকে, তবে অ্যাক্সেস কী-তে স্যুইচ করা সাধারণত সহজ। বেশিরভাগ পরিষেবার ক্ষেত্রে, আপনাকে কেবল নির্দিষ্ট বিভাগে যেতে হবে। সিকিউরিটি বা অ্যাকাউন্টে, “অ্যাক্সেস কী” বা “পাসওয়ার্ড ছাড়া লগইন”-এর মতো অপশনটি খুঁজুন এবং “অ্যাক্সেস কী তৈরি করুন”-এ ক্লিক করুন।সেখান থেকে ব্রাউজার বা অ্যাপটি আপনাকে ফিঙ্গারপ্রিন্ট রিডার, ফেসিয়াল রিকগনিশন বা পিন ব্যবহার করার জন্য নির্দেশনা দেবে।
কীগুলো স্থানীয়ভাবে সংরক্ষিত থাকে: iOS এবং macOS-এ, Apple-এর Keychain-এ; Android-এ, Google-এর Password Manager বা প্রস্তুতকারকের সমাধানে (যেমন Samsung Pass); এবং Windows-এ, Windows Hello বা তৃতীয় পক্ষের ম্যানেজারের মাধ্যমে। ভবিষ্যতে, যখন আপনি লগ ইন করতে চাইবেন, তখন কেবল "অ্যাক্সেস কী দিয়ে সাইন ইন করুন" বিকল্পটি বেছে নিন এবং আপনার ডিভাইসের স্বাভাবিক যাচাইকরণ প্রক্রিয়াটি সম্পন্ন করুন।
আধুনিক ব্রাউজারগুলোতে একটি অতিরিক্ত সুবিধা রয়েছে: যদি আপনার কোনো সাইটের জন্য সংরক্ষিত পাসওয়ার্ড থাকে এবং সেই সাইটটিতে আগে থেকেই পাসকি ব্যবহারের সুবিধা থাকে, তবে লগ ইন করার পর সাইটটি আপনাকে একটি নতুন পাসওয়ার্ড দিতে পারে। স্বয়ংক্রিয়ভাবে সেই পাসওয়ার্ডটিকে একটি অ্যাক্সেস কী-তে রূপান্তর করুন এবং ভবিষ্যতের পাসওয়ার্ডবিহীন লগইনের জন্য এটি সংরক্ষণ করুন।এটি রূপান্তরকে ব্যাপকভাবে ত্বরান্বিত করে।
বিশেষ করে গুগলের ক্ষেত্রে, আপনি গুগলের পাসওয়ার্ড ম্যানেজার ব্যবহার করে সরাসরি আপনার গুগল অ্যাকাউন্টের সাথে যুক্ত পাসওয়ার্ড তৈরি ও সংরক্ষণ করতে পারেন, যা আপনাকে যেকোনো ডিভাইসে সেগুলো ব্যবহার করার সুযোগ দেয়। সেই একই অ্যাকাউন্ট দিয়ে Chrome বা Android-এ সাইন ইন করুন।এই সুরক্ষা ব্যবস্থাটি ম্যানেজারের জন্য নির্দিষ্ট একটি পিন দ্বারা আরও জোরদার করা হয়েছে, যা আপনাকে চাবি ব্যবহার করার সময় প্রবেশ করাতে হবে।
সিঙ্ক্রোনাইজেশন এবং ক্রেডেনশিয়াল ব্যবস্থাপনা
যখন একাধিক ডিভাইস জড়িত থাকে, তখন মূল চ্যালেঞ্জটি হলো কী-গুলো কীভাবে সিঙ্ক বা ট্রান্সফার করা যায়। যদি আপনার সম্পূর্ণ ইকোসিস্টেমটি সমজাতীয় হয় (উদাহরণস্বরূপ, শুধুমাত্র অ্যাপল ডিভাইস, অথবা শুধুমাত্র অ্যান্ড্রয়েড এবং ক্রোমওএস), তবে বিষয়টি সহজ: iCloud Keychain অথবা Google Password Manager-এ সিঙ্কিং চালু করুন এবং বাকি কাজ সিস্টেমকে করতে দিন।.
iPhone এবং Mac-এ, আপনি Settings → iCloud → Saved in iCloud → Passwords & Keychain-এ গিয়ে এবং সংশ্লিষ্ট অপশনটি চালু করে সিঙ্ক হচ্ছে কিনা তা পরীক্ষা করতে পারেন। Android-এ, Google key manager-এর সাথে যুক্ত কী এবং পাসওয়ার্ডগুলি আপনার অ্যাকাউন্টের সাথে স্বয়ংক্রিয়ভাবে সিঙ্ক হয়ে যায়।
উইন্ডোজ এবং লিনাক্সে বর্তমানে ডিভাইসগুলোর মধ্যে অ্যাক্সেস কী সিঙ্ক্রোনাইজ করার জন্য এমন কোনো সমন্বিত নেটিভ টুল নেই, যদিও মাইক্রোসফট জানিয়েছে যে তারা এটি নিয়ে কাজ করছে। এই পরিবেশে, এবং বিশেষ করে যখন একাধিক সিস্টেমকে একত্রিত করা হয় (যেমন উইন্ডোজ + অ্যান্ড্রয়েড, ম্যাকওএস + অ্যান্ড্রয়েড ইত্যাদি), Passkeys সমর্থনসহ থার্ড-পার্টি পাসওয়ার্ড ম্যানেজারগুলো সবচেয়ে সার্বজনীন বিকল্প হয়ে উঠেছে।.
এই সমাধানগুলি আপনাকে প্রদানকারীর এনক্রিপ্টেড ক্লাউডে আপনার কীগুলি সংরক্ষণ এবং সিঙ্ক্রোনাইজ করার সুযোগ দেয়। যদি আপনি আপনার একমাত্র ডিভাইসটি হারিয়ে ফেলেন, আপনি পারবেন মাস্টার পাসওয়ার্ড এবং, প্রযোজ্য ক্ষেত্রে, দ্বিতীয় ফ্যাক্টর দিয়ে প্রমাণীকরণের পর আপনার সমস্ত কী একটি নতুন কী-তে পুনরুদ্ধার করুন।তবে, নির্বিঘ্ন অভিজ্ঞতার জন্য আপনাকে আপনার সব কম্পিউটারে ম্যানেজার এবং এর ব্রাউজার এক্সটেনশনটি ইনস্টল করতে হবে।
আরেকটি বিকল্প হলো ডেডিকেটেড হার্ডওয়্যারে অ্যাক্সেস কী সংরক্ষণ করা, যেমন FIDO2-কম্প্যাটিবল ইউএসবি সিকিউরিটি কী (YubiKey, Titan, ইত্যাদি)। এটি একটি অত্যন্ত নির্ভরযোগ্য পদ্ধতি। কর্পোরেট পরিবেশ, উচ্চ-ঝুঁকিপূর্ণ প্রবেশাধিকার, বা পাবলিক কম্পিউটারে ব্যবহারতবে, এর একটি অসুবিধা হলো, যদি আপনি আসল চাবিটি হারিয়ে ফেলেন বা রিসেট করেন, তবে এতে সংরক্ষিত পাসকিগুলো পুনরুদ্ধার করা যায় না।
পাসওয়ার্ডের মতোই, অ্যাক্সেস কী-গুলোও পরিচালনা করা প্রয়োজন: আপনি কোন কী-গুলো, কোন পরিষেবার জন্য, কোন ডিভাইস থেকে তৈরি করেছেন তা পর্যালোচনা করুন এবং যেগুলোর আর প্রয়োজন নেই সেগুলো বাতিল করে দিন। প্রতিটি প্ল্যাটফর্ম তার নিজস্ব কেন্দ্রীভূত মেনু সরবরাহ করে।
iOS-এ (সংস্করণ ১৭ পর্যন্ত) আপনি ক্রেডেনশিয়ালগুলি পরিচালনা করতে পারেন সেটিংস → পাসওয়ার্ডযদিও iOS 18 এবং macOS Sequoia-তে ইতিমধ্যেই একটি ডেডিকেটেড 'পাসওয়ার্ড' অ্যাপ রয়েছে, macOS-এর আগের সংস্করণগুলিতে এই অপশনগুলি সিস্টেম সেটিংস-এর 'পাসওয়ার্ড' বিভাগের অধীনে পাওয়া যায়।
অ্যান্ড্রয়েডে, ডিভাইসের ব্র্যান্ডের উপর নির্ভর করে এর পথ ভিন্ন হয়, তবে এটি সাধারণত মেনুগুলোর মধ্যে পাওয়া যায়। পাসওয়ার্ড, অ্যাক্সেস কী ও অ্যাকাউন্ট, পাসওয়ার্ড ম্যানেজার অথবা স্যামসাং পাস-এর মতো নির্দিষ্ট অ্যাপ্লিকেশনগুলিতে।Windows 11-এ, এই বিভাগটি Settings → Accounts → Access keys-এ অবস্থিত।
আপনি যদি গুগল পাসওয়ার্ড ম্যানেজার ব্যবহার করেন, তাহলে ক্রোম থেকে (মেনু → পাসওয়ার্ড ও অটোফিল → গুগল পাসওয়ার্ড ম্যানেজার) অথবা ওয়েবের মাধ্যমে এটি অ্যাক্সেস করতে পারবেন। সেখানে আপনি সক্ষম হবেন কীগুলি দেখুন, সম্পাদনা করুন, মুছুন, আপনার ম্যানেজার পিন পরিবর্তন করুন, অথবা স্বয়ংক্রিয় পাসকি তৈরি নিষ্ক্রিয় করুন। সংরক্ষিত পাসওয়ার্ড দিয়ে লগ ইন করার সময়।
তৃতীয় পক্ষের পাসওয়ার্ড ম্যানেজার ব্যবহার করার ক্ষেত্রে, এর প্রশাসন সম্পূর্ণরূপে তাদের অ্যাপ্লিকেশন এবং ওয়েব ড্যাশবোর্ডের মাধ্যমেই করা হয়: যেমন কী যোগ করা ও মুছে ফেলা, এক্সপোর্ট/ব্যাকআপ করা, ব্রাউজার ইন্টিগ্রেশন, এবং এন্টারপ্রাইজ পরিবেশে, ব্যবহার, সময়কাল ও জটিলতা নীতিমালা, লঙ্ঘিত পাসওয়ার্ড শনাক্তকরণ এবং নিয়ন্ত্রক সম্মতি সংক্রান্ত বিস্তারিত প্রতিবেদন।.
প্রবিধান ও প্রতিপালন: আইনগত বাধ্যবাধকতা হিসেবে নিরাপত্তা
শক্তিশালী প্রমাণীকরণ শুধু একটি প্রযুক্তিগত বিষয় নয়; এটি প্রবিধান দ্বারা সমর্থিত (এবং অনেক ক্ষেত্রে আবশ্যক)। জেনারেল ডেটা প্রোটেকশন রেগুলেশন (জিডিপিআর)-এর ৩২ নং অনুচ্ছেদে এর প্রয়োগ বাধ্যতামূলক করা হয়েছে। ব্যক্তিগত তথ্য সুরক্ষার জন্য “উপযুক্ত প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থা”স্প্যানিশ ডেটা প্রোটেকশন এজেন্সি (AEPD) সাধারণত শক্তিশালী পাসওয়ার্ড এবং এমএফএ (MFA)-এর প্রয়োজনীয়তাকে এভাবেই ব্যাখ্যা করে, বিশেষ করে সংবেদনশীল ডেটার ক্ষেত্রে।
রাজকীয় অধ্যাদেশ-আইন ১৫/২০২৩ দ্বারা স্প্যানিশ আইনে রূপান্তরিত NIS2 নির্দেশিকাটি, অত্যাবশ্যকীয় সংস্থা এবং বৃহৎ কোম্পানিগুলির উপর নিম্নলিখিত বাধ্যবাধকতা আরোপ করে: গুরুত্বপূর্ণ নেটওয়ার্ক ও সিস্টেমে দূরবর্তী অ্যাক্সেসের জন্য মাল্টি-ফ্যাক্টর অথেনটিকেশন প্রয়োগ করুন।সরকারি খাতে, জাতীয় নিরাপত্তা পরিকল্পনা (আরডি ৩১১/২০২২) পরিচয় ব্যবস্থাপনার উপর অত্যন্ত সুনির্দিষ্ট নিয়ন্ত্রণ প্রতিষ্ঠা করে, ডিফল্ট পাসওয়ার্ড নিষিদ্ধ করে এবং ন্যূনতম জটিলতার আবশ্যকতা নির্ধারণ করে।
অন্যান্য ক্ষেত্রে, মানদণ্ড যেমন PCI DSS (পেমেন্ট কার্ড ডেটার জন্য), HIPAA (মার্কিন যুক্তরাষ্ট্রে স্বাস্থ্যসেবা) বা FERPA (শিক্ষা) এগুলোর মধ্যে পাসওয়ার্ড সুরক্ষার আবশ্যকতা, প্রবেশাধিকার নিয়ন্ত্রণ এবং নিরীক্ষাও অন্তর্ভুক্ত। এগুলো মেনে চলতে ব্যর্থ হলে আর্থিক জরিমানা, সনদপত্র বাতিল এবং এমন সুনামহানি হতে পারে যা থেকে পুনরুদ্ধার করা কঠিন।
এছাড়াও, স্বেচ্ছামূলক কাঠামো রয়েছে যেমন NIST সাইবারসিকিউরিটি ফ্রেমওয়ার্ক বা ISO 27001 তথ্য নিরাপত্তা ব্যবস্থাপনা সিস্টেম স্থাপন ও পরিচালনার জন্য সর্বোত্তম অনুশীলনসমূহ প্রদান করে, যেখানে পাসওয়ার্ড নীতি, এমএফএ এবং অ্যাক্সেস কী ব্যবস্থাপনা প্রধান ভূমিকা পালন করে।
উপরোক্ত সমস্ত বিষয়কে বাস্তবসম্মতভাবে বিবেচনা করে, আমরা প্রধান সুপারিশগুলোকে কয়েকটি উত্তম অনুশীলনে সংক্ষেপ করতে পারি যা ব্যক্তিগত এবং প্রাতিষ্ঠানিক উভয় স্তরেই প্রযোজ্য।
প্রথমত, পাসওয়ার্ডের ক্ষেত্রে অগ্রাধিকার দিন দৈর্ঘ্য (ন্যূনতম ১২টি অক্ষর বা দীর্ঘ পাসফ্রেজ), বিভিন্ন পরিষেবা জুড়ে সম্পূর্ণ অনন্যতা, এবং পাসওয়ার্ড ম্যানেজার ব্যবহার করে এলোমেলোভাবে তৈরি করা।সুস্পষ্ট প্যাটার্ন পরিহার করুন এবং সামান্য পরিবর্তন সহও কী-গুলো পুনরায় ব্যবহার করবেন না।
দ্বিতীয়ত, এটি সক্ষম করে যখনই পরিষেবাটি অনুমতি দেয়, মাল্টি-ফ্যাক্টর অথেনটিকেশন।যথাসম্ভব, এসএমএস-এর পরিবর্তে ফিশিং-প্রতিরোধী পদ্ধতি, যেমন FIDO2 সিকিউরিটি কী, পাসকী এবং TOTP অ্যাপ্লিকেশনকে অগ্রাধিকার দেওয়া।
তৃতীয়ত, ধীরে ধীরে যেসব পরিষেবা কী প্রদান করে সেগুলিতে অ্যাক্সেস কী ব্যবহার করা শুরু করুন, কিন্তু একটি বিকল্প পরিকল্পনা রাখতে ভুলবেন না: রাখুন বিকল্প লগইন বা পুনরুদ্ধার পদ্ধতি (সুরক্ষিত পাসওয়ার্ড, ব্যাকআপ ইমেল বা ফোন, এনক্রিপ্টেড ক্লাউড ব্যাকআপ সহ পাসওয়ার্ড ম্যানেজার) মূল ডিভাইসটি বিকল হয়ে গেলে অ্যাক্সেস হারানোর ঝুঁকি এড়াতে।
পরিশেষে, প্রতিষ্ঠানগুলোতে সুস্পষ্ট নীতিমালা প্রতিষ্ঠা করা এবং ব্যবহারকারীদের প্রশিক্ষণ দেওয়া অত্যন্ত গুরুত্বপূর্ণ: পাসওয়ার্ড পুনরায় ব্যবহারের ঝুঁকিগুলো ব্যাখ্যা করুন, ফিশিং ইমেল কীভাবে শনাক্ত করা যায় এবং নিরাপত্তা লঙ্ঘনের সন্দেহ হলে কী করতে হবে তা জানান। এবং কীভাবে ক্রেডেনশিয়াল ম্যানেজার ও অ্যাক্সেস কী সঠিকভাবে ব্যবহার করতে হয়। Netwrix Password Secure বা এই জাতীয় মনিটরিং টুলগুলো বাস্তব প্রযুক্তিগত নিয়ন্ত্রণের মাধ্যমে এই নীতিগুলোকে আরও শক্তিশালী করতে সাহায্য করে।
শক্তিশালী পাসওয়ার্ড, ট্রাস্ট ম্যানেজার, মাল্টি-ফ্যাক্টর অথেনটিকেশন এবং সুপরিচালিত অ্যাক্সেস কী-এর সঠিক সমন্বয় সুরক্ষার স্তরকে ব্যাপকভাবে বৃদ্ধি করে, যা নিরাপত্তা লঙ্ঘন, পরিচয় চুরি এবং ব্যাপক ক্রেডেনশিয়াল চুরির ঝুঁকি হ্রাস করে এবং একই সাথে নিরাপত্তাকে বর্তমান নিয়ন্ত্রক প্রয়োজনীয়তার সাথে সামঞ্জস্যপূর্ণ রাখে।
