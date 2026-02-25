প্রযুক্তি

পাসওয়ার্ড ম্যানেজার ব্যবহার করে হ্যাকারদেরই সাহায্য করছেন কি

লেখা:
অনিক রায়
পাসওয়ার্ড ম্যানেজার কি আসলেই আমাদের পাসওয়ার্ড সুরক্ষিত রাখছেন?ছবি: মোহাম্মদ হাসান / পিক্সাবে

ডিজিটাল দুনিয়ায় আমাদের প্রত্যেকের জীবন এখন অজস্র তালাবদ্ধ দরজার মতো। ফেসবুক, জিমেইল, অফিস, ব্যাংকসহ প্রায় সবখানেই ঢোকার জন্য চাই চাবি, অর্থাৎ পাসওয়ার্ড। নিরাপত্তার খাতিরে বলা হয়, প্রতিটি পাসওয়ার্ড হতে হবে আলাদা, কঠিন এবং এতই বিদঘুটে যে হ্যাকাররা যেন তা অনুমানও করতে না পারে।

কিন্তু মুশকিল হলো, মানুষের মস্তিষ্ক তো আর সুপার কম্পিউটার নয়! ২০২৪ সালের এক জরিপে দেখা গেছে, একজন সাধারণ মানুষের গড়ে প্রায় ১৬০টি অনলাইন অ্যাকাউন্টের পাসওয়ার্ড মনে রাখতে হয়। ১৬০টি হিজিবিজি কোড মনে রাখা কি চাট্টিখানি কথা? তাই আমাদের মতো সাধারণ মানুষ শরণাপন্ন হয় পাসওয়ার্ড ম্যানেজারের। লাস্টপাস, বিটওয়ার্ডেন, বা ওয়ানপাসওয়ার্ডের মতো এই সেবাগুলো আমাদের হয়ে সব পাসওয়ার্ড মনে রাখে। শুধু একটা মাস্টার পাসওয়ার্ড মনে রাখলেই কেল্লাফতে। মানে পাসওয়ার্ড ম্যানেজারে যে পাসওয়ার্ড ব্যবহার করে সুরক্ষিত রেখেছেন, শুধু সেটা মনে রাখলেই হলো।

লাস্টপাস বা বিটওয়ার্ডেনের মতো অ্যাপগুলো আমাদের হয়ে সব পাসওয়ার্ড মনে রাখে
ছবি: সাইবার নিউজ

পাসওয়ার্ড ম্যানেজার সেবা দেওয়া এসব অ্যাপ দাবি করে, আপনার তথ্য তারা এনক্রিপ্ট বা সাংকেতিক ভাষায় রূপান্তর করে তাদের ক্লাউড সার্ভারে জমা রাখে। মানে আপনার পাসওয়ার্ড তারা দেখতে পায় না। কিন্তু সম্প্রতি জার্মানির ইটিএইচ জুরিখ এবং লুগানো বিশ্ববিদ্যালয়ের একদল গবেষক জানালেন, এসব কথার পুরোটা সত্যি নয়। তাঁরা জনপ্রিয় চারটি পাসওয়ার্ড ম্যানেজার নিয়ে রীতিমতো কঠিন পরীক্ষা চালিয়েছেন। পরীক্ষায় এমন কিছু দুর্বলতা বা লুপহোল খুঁজে পেয়েছেন, যার মাধ্যমে হ্যাকাররা চাইলে আপনার সব গোপন তথ্যের নাড়িভুঁড়ি বের করে ফেলতে পারে!

আরও পড়ুন

চুরি ঠেকাতে পাসওয়ার্ডবিহীন অথেন্টিকেশন

২০২৪ সালের এক জরিপে দেখা গেছে, একজন সাধারণ মানুষের গড়ে প্রায় ১৬০টি অনলাইন অ্যাকাউন্টের পাসওয়ার্ড মনে রাখতে হয়।

এই কোম্পানিগুলো তাদের মার্কেটিংয়ে একটা গালভরা বুলি আউড়ায়—জিরো নলেজ এনক্রিপশন। সোজা বাংলায় এর মানে হলো, আপনার পাসওয়ার্ডের সিন্দুকটা এমনভাবে তালা দেওয়া যে, খোদ কোম্পানিও যদি চায়, তবুও তারা সেটা খুলতে পারবে না। অর্থাৎ, সার্ভারের কাছে আপনার তথ্যের কোনো নলেজ নেই।

লাস্টপাস বা বিটওয়ার্ডেনের ওয়েবসাইটেও বড় বড় করে লেখা থাকে, ‘আমরা নিজেরাও আপনার ডেটা পড়তে পারি না।’ কিন্তু গবেষকেরা বলছেন, এই দাবিটা পুরোপুরি সত্যি নয়। তাঁরা গবেষণায় লাস্টপাস, বিটওয়ার্ডেন, ড্যাশলেন এবং ওয়ানপাসওয়ার্ড নিয়ে পরীক্ষা চালিয়েছেন। গবেষকেরা অবশ্য গুগল বা অ্যাপলকে এই তালিকায় রাখেননি স্বার্থের সংঘাত এড়াতে।

হ্যাকার যদি কোম্পানিগুলোর সার্ভার নিয়ন্ত্রণে নিয়ে নেয়, তবে সে ব্যবহারকারীর সব তথ্য হাতিয়ে নিতে পারে
ছবি: অ্যাভাস্ট

গবেষণায় দেখা গেছে, যদি কোনো হ্যাকার এই কোম্পানিগুলোর মেইন সার্ভারের নিয়ন্ত্রণ নিয়ে নিতে পারে, তবে সে ব্যবহারকারীকে বোকা বানিয়ে তার সব তথ্য হাতিয়ে নিতে পারবে। গবেষকেরা মোট ২৭টি ভিন্ন ভিন্ন উপায় খুঁজে পেয়েছেন, যা দিয়ে হ্যাকাররা আপনার সিন্দুক ভেঙে ফেলতে পারে।

সমস্যাটা আসলে কোথায়? গবেষক দলের প্রধান অধ্যাপক কেনেথ প্যাটারসন বলছেন, কোম্পানিগুলো ব্যবহারকারীদের সুবিধার জন্য যেসব বাড়তি ফিচার যোগ করেছে, সেটাই এখন গলার কাঁটা হয়ে দাঁড়িয়েছে। যেমন ধরুন, পাসওয়ার্ড শেয়ার করার সুবিধা।

আরও পড়ুন

কিউআর কোড থেকে সাবধান!

গবেষণায় দেখা গেছে, যদি কোনো হ্যাকার এই কোম্পানিগুলোর মেইন সার্ভারের নিয়ন্ত্রণ নিয়ে নিতে পারে, তবে সে ব্যবহারকারীকে বোকা বানিয়ে তার সব তথ্য হাতিয়ে নিতে পারবে।

সাধারণত এসব ক্ষেত্রে পাবলিক কি ক্রিপ্টোগ্রাফি ব্যবহার করা হয়। ধরুন, আপনি আপনার বন্ধুর সঙ্গে একটা পাসওয়ার্ড শেয়ার করবেন। নিয়ম অনুযায়ী, সার্ভার আপনার বন্ধুর পাবলিক কি আপনাকে দেবে, যা দিয়ে আপনি তথ্যটা এনক্রিপ্ট করে পাঠাবেন। কিন্তু সার্ভার যদি নিজেই দুষ্টু হয়? সে যদি বন্ধুর চাবির বদলে হ্যাকারের চাবি ধরিয়ে দেয়? আপনি সরল মনে সেই চাবি দিয়েই তথ্য লক করে পাঠাবেন, আর হ্যাকার সেটা লুফে নিয়ে নিজের চাবি দিয়ে খুলে ফেলবে! প্যাটারসনের ভাষায়, তখন আর কিছুই করার থাকবে না। গেম ওভার!

প্যাটারসন এই পুরো ব্যাপারটাকে অর্থনীতির ভাষায় মার্কেট ফর লেমনসের সঙ্গে তুলনা করেছেন। এর মানে হলো, ক্রেতা জানে না সে কী কিনছে, কিন্তু বিক্রেতা জানে পণ্যের আসল মান কতটা খারাপ। কোম্পানিগুলো যে মানের নিরাপত্তা দেওয়ার কথা বলছে, আসলে দিচ্ছে তারচেয়ে অনেক নিম্নমানের।

স্বাভাবিকভাবেই এই গবেষণার ফলাফল মেনে নিতে নারাজ পাসওয়ার্ড ম্যানেজার কোম্পানিগুলো। তাদের দাবি, গবেষকেরা যে পরিস্থিতির কথা কল্পনা করেছেন, তা বাস্তবে ঘটা খুবই কঠিন। লাস্টপাস ও ওয়ানপাসওয়ার্ডের মতে, হ্যাকারকে যদি সফল হতে হয়, তবে তাকে পুরো সার্ভারের ওপর পূর্ণ নিয়ন্ত্রণ নিতে হবে। আর সে জন্য কোম্পানিগুলো কোটি কোটি ডলার খরচ করে নিরাপত্তা বলয় তৈরি করে রেখেছে।

আরও পড়ুন

কণ্ঠস্বরই কি আপনার গোপনীয়তার সবচেয়ে বড় হুমকি

অর্থনীতির ভাষায় মার্কেট ফর লেমনস বলতে বোঝায়, ক্রেতা জানে না সে কী কিনছে, কিন্তু বিক্রেতা জানে পণ্যের আসল মান কতটা খারাপ।

ড্যাশলেন আগে দাবি করেছিল, সার্ভার হ্যাক হলেও তথ্য চুরি করা সম্ভব নয়। কিন্তু এই গবেষণার পর তারা সেই ডকুমেন্ট সরিয়ে ফেলেছে এবং নতুন করে লিখেছে ‘সার্ভার হ্যাক হলে তথ্য চুরির সম্ভাবনা কম’। মানে বুঝতে পারছেন, সুরটা একটু নরম করেছে।

কিন্তু আমাদের উপায় কী? আমরা কি পাসওয়ার্ড ম্যানেজার ব্যবহার করা ছেড়ে দেব? খাতায় লিখে রাখব সব পাসওয়ার্ড? হয়তো এখনই আতঙ্কিত হওয়ার কিছু নেই। গবেষকেরা যে হ্যাকিংয়ের পদ্ধতির কথা বলেছেন, তা বেশ জটিল এবং এর জন্য হ্যাকারদের অনেক কাঠখড় পোড়াতে হবে।

পাসওয়ার্ড ম্যানেজারগুলোর শতভাগ নিরাপত্তা হয়তো নেই, তবুও এখন এটির চেয়ে সুবিধাজনক ও নিরাপদ বিকল্পও আমাদের হাতে নেই
ছবি: এন্ডসাইট

তা ছাড়া ১৬০টি পাসওয়ার্ড মনে রাখাও তো সম্ভব নয়, যদি না সব জায়গায় একই পাসওয়ার্ড ব্যবহার করেন। সব জায়গায় একই পাসওয়ার্ড ব্যবহার করাটা এর চেয়েও বেশি বিপজ্জনক। খাতা কলমে লিখে রাখাটাও ভালো সমাধান নয়। ক্লাউড-ভিত্তিক পাসওয়ার্ড ম্যানেজারগুলোর শতভাগ নিরাপত্তা হয়তো নেই, কিন্তু বর্তমানে এর চেয়ে সুবিধাজনক এবং নিরাপদ কোনো বিকল্পও আমাদের হাতে নেই।

তবে একটা বিষয় পরিষ্কার, চোখ বন্ধ করে কোনো প্রযুক্তির ওপরই শতভাগ ভরসা করা বোকামি। কোম্পানিগুলো তাদের বিজ্ঞাপনে যা-ই বলুক না কেন, নিরাপত্তার চাবিটা শেষমেশ নিজের হাতে রাখাটাই বুদ্ধিমানের কাজ।

লেখক: ফ্রন্টেন্ড ডেভলপার, সফটভেঞ্চ

সূত্র: আইএফএল সায়েন্স

আরও পড়ুন

অনলাইনে নিরাপদ থাকার সাত উপায়

প্রযুক্তি থেকে আরও পড়ুন