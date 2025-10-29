প্রযুক্তি

চুরি ঠেকাতে পাসওয়ার্ডবিহীন অথেন্টিকেশন

লেখা:
রিফাত আহমেদ

একটি শক্তিশালী পাসওয়ার্ড মনে রাখা যতটা কঠিন, একটা সোজা পাসওয়ার্ড ব্যবহার করা ততটাই অনিরাপদ। একটু বুঝিয়ে বলি।

শক্তিশালী একটি পাসওয়ার্ড তৈরি করতে কয়েকটা জিনিসের প্রতি খেয়াল রাখতে হয়। প্রথমত, পাসওয়ার্ডটি হতে হবে কমপক্ষে ৮ ক্যারেক্টারের। ক্যারেক্টারগুলোর মধ্যে থাকতে হবে লেটার, নাম্বার ও যতিচিহ্ন বা স্পেশাল ক্যারেক্টার। বর্ণ ব্যবহারের ক্ষেত্রে ছোট ও বড় হাতের ইংরেজি বর্ণের মিশ্রণ থাকতে হবে। তা ছাড়া কোনো অবভিয়াস শব্দ, যেমন নিজের বা অন্য কারও নাম, জন্মমাস এসবের ব্যবহার করা যাবে না।

এতগুলো শর্ত মেনে যদি পাসওয়ার্ড তৈরি করা হয়, তবে তা দেখতে অনেকটা এমন হবে jG.y7IG@HJ$8 বা 5k7#6w;7KH এ রকম। এ ধরনের একটি শক্তিশালী পাসওয়ার্ড যে মনে রাখা কষ্টকর, তা পাসওয়ার্ডগুলো দেখলেই অনুমান করা যায়।

অপর দিকে যদি আপনি এমন কোনো পাসওয়ার্ড ব্যবহার করেন, যা খুব সহজেই আপনি মনে রাখতে পারবেন, যেমন আপনার জন্মতারিখ 06Feb2000 বা আপনার ফোন নম্বর 01234567891, সোশ্যাল ইঞ্জিনিয়ারিং দিয়ে বা ব্রুট ফোর্স ব্যবহার করে খুব সহজেই এসব পাসওয়ার্ড ক্র্যাক করে ফেলতে পারবে হ্যাকাররা।

আপাতদৃষ্টে টু স্টেপ অথেন্টিকেশন একটা সলিউশন মনে হলেও হ্যাকাররা খুব সহজেই আপনার নম্বর ক্লোন করে এসএমএসে ওটিপি কোড নিয়ে নিতে পারে। তা ছাড়া সার্ভার থেকে ডাটা ব্রিচ ও ফিশিং লিংকের মাধ্যমে পাসওয়ার্ড চুরির ভয় তো আছেই। এসব কিছু মিলিয়ে গতানুগতিক পাসওয়ার্ড বেজড অথেন্টিকেশন যে আসলে শতভাগ কার্যকর নয়, তা টেক জায়ান্টগুলো অনেক আগেই উপলব্ধি করতে পেরেছিল।

সে জন্য পাসওয়ার্ড বেজড অথেন্টিকেশনের এই সীমাবদ্ধতা দূর করতে টেক ইন্ডাস্ট্রির ত্রিমূর্তি; গুগল, অ্যাপল ও মাইক্রোসফট ফাইডো (First IDentity Online—Fido) অ্যালায়েন্সের সঙ্গে মিলে ব্যবহারকারীদের জন্য এনেছে পাসকিজ (Passkeys)।

এ বছর ৫ মে বিশ্ব পাসওয়ার্ড দিবসে গুগল ও মাইক্রোসফট উভয় কোম্পানিই তাদের সব ডিভাইস ও সার্ভিসে ফাইডো অ্যালায়েন্স এবং ওয়ার্ল্ডওয়াইড ওয়েব কনসোর্টিয়ামের (W3C) যৌথ প্রচেষ্টার ফল এই পাসকি বা পাসকিজ সাপোর্টের কথা ঘোষণা করেছে। সবশেষ অ্যাপল এ বছর জুনে তাদের বার্ষিক ওয়ার্ল্ডওয়াইড ডেভেলপারস কনফারেন্সে (WWDC) সব অ্যাপল ডিভাইসে ও ডিভাইসগুলোর মাধ্যমে ব্যবহার করা ওয়েবসাইট ও অ্যাপে পাসকিজ ব্যবহার নিয়ে বিশদ প্রেজেন্টেশন দিয়েছে।

এই তিন ইন্ডাস্ট্রি লিডারের পাশাপাশি আরও অসংখ্য কোম্পানি তাদের ডিভাইস ও সার্ভিসে পাসকিজ সাপোর্ট নিয়ে কাজ করছে, যার ফলাফল এ বছরের শেষেই গুগলের ওয়েব প্রোডাক্ট ও অ্যান্ড্রয়েড ডিভাইসে আসছে পাসকিজ। অ্যাপলও এ বছরই আইওএস ১৬-এর সঙ্গে বাজারে আনছে এই পাসওয়ার্ডলেস অথেন্টিকেশন।

কিন্তু কী এই পাসকিজ (Passkeys)?

পাসকিজ হলো একধরনের ফাইডো ক্রেডেনশিয়াল, যা মূলত বায়োমেট্রিকস দিয়ে ব্যবহারকারীকে শনাক্ত করে। অনেকটা অ্যাপলের ফেসআইডি বা টাচআইডি ও মাইক্রোসফট হ্যালোর মতোই। এই তিন রকমের অথেন্টিকেশনই ফিঙ্গারপ্রিন্টিং বা ফেসিয়াল রিকগনিশন প্রযুক্তি ব্যবহার করে ব্যবহারকারীকে শনাক্ত করা হয়।

তবে এই প্রযুক্তিগুলো এত দিন শুধু অ্যাপল ও মাইক্রোসফটের ডিভাইসগুলো আনলক করতে ও পেমেন্টের অনুমোদন দেওয়ার জন্যই ব্যবহৃত হতো। কিন্তু পাসকিজের মাধ্যমে ডিভাইস আনলক করাসহ ফেসবুক, টুইটারের মতো ওয়েবসাইট বা অ্যাপে লগইন করার জন্যও ব্যবহৃত হবে এই বায়োমেট্রিক অথেন্টিকেশন।

মূলত পাসকিজের কাজ হলো, পাসওয়ার্ডের বদলে এনক্রিপ্টেড বায়োমেট্রিক সিগনেচার তৈরি করা যা প্রতিটা ওয়েবসাইটের জন্য ইউনিক থাকবে এবং যে ডাটা স্টোর করা হবে ডিভাইসটিতেই, দূরের কোনো সার্ভারে নয়। অর্থাৎ আপনি যদি ফেসবুকে লগইনের জন্য পাসকিজ চালু করেন আপনার ডিভাইস থেকে, আপনার ফোন সেই ওয়েবসাইটের জন্য একটা ইন-ডিভাইস কি তৈরি করে ফেলবে, যা অ্যাকসেস করা যাবে আপনার ফিঙ্গারপ্রিন্ট বা ফেসিয়াল স্ট্রাকচার ভেরিফাই করার পর। পরবর্তী সময়ে যখনই আপনি ওই ওয়েবসাইট বা অ্যাপে পুনরায় প্রবেশ করতে যাবেন, আপনাকে সরাসরি ফিঙ্গারপ্রিন্ট দিয়ে বা ফেসিয়াল রেকগনিশনের মাধ্যমে ভেরিফাই করে লগইন করতে হবে।

যেহেতু ওয়েবসাইটে প্রবেশ করার জন্য কোনো পাসওয়ার্ড লিখতে হচ্ছে না, তাই আপনার পাশে কেউ বসে আপনাকে সাইন ইন করতে দেখলে বা আপনার অজান্তে আপনাকে লগইন করতে দেখলেও অ্যাকাউন্ট হারানোর কোনো ঝুঁকি থাকবে না। কেননা ওই ওয়েবসাইটে আপনার অ্যাকাউন্টে প্রবেশ করতে হলে আপনাকে খোদ উপস্থিত থেকে আপনারই ডিভাইস দিয়ে ভেরিফাই করতে হবে।

পাসকিজের ডাটা ও এনক্রিপশন কি যেহেতু শুধু আপনার ফোনে থাকবে, কোনো হ্যাকার চাইলেও আপনার ব্যবহার করা ওয়েবসাইট যেমন ফেসবুক, টুইটার, উইকিপিডিয়ার সার্ভার হ্যাক করে আপনার অ্যাকাউন্টে প্রবেশ করার জন্য প্রয়োজনীয় তথ্য পাবে না। তাই বলা চলে, এই পাসকিজ হবে হ্যাকপ্রুফড।

যেহেতু সার্ভারে পাসকিজের কোনো সেনসেটিভ লগইন ডিটেইলস লিপিবদ্ধ থাকে না, তাই এই সার্ভারগুলো থেকে ডাটা ব্রিচ হলেও আপনার চিন্তার কোনো কারণ থাকবে না। তা ছাড়া যেহেতু পাসকিজ প্রতিটি ওয়েবসাইটের জন্য ইউনিক কি ব্যবহার করে, আপনার লগইন ডিটেইলস ফিশিংয়ের মাধ্যমেও হাতিয়ে নেওয়া সম্ভব হবে না।

ফিশিং হলো একই রকম দেখতে একটি ডুপ্লিকেট সাইটে ব্যবহারকারীকে লগইন করিয়ে সেই পাসওয়ার্ড চুরি করা। যখন facebook.com এর বদলে হ্যাকার ঠিক এমনটাই দেখতে faceb00k.com—এ–জাতীয় একটা লিংক আপনাকে পাঠাবে। আপনি সেই লিংকে ক্লিক করে আপনার অ্যাকাউন্টে প্রবেশ করতে যাবেন, তখন পাসকিজ নিজেই তা প্রত্যাখ্যান করে দেবে। কেননা, আপনার তৈরি অ্যাকাউন্টের পাসকি শুধু facebook.com এর জন্যই কাজ করবে। এই ইউআরএলের বদলে অন্য কোনো ইউআরএলে পাসকিজ আপনার ফেসবুকের কি প্রবেশই করবে না। ফলে পাসকিজকে হ্যাকপ্রুফ ও ডাটা-ব্রিচ প্রুফের পাশাপাশি সম্পূর্ণ ফিশিংপ্রুফ বলা চলে।

তবে পাসকিজের সবচেয়ে বড় সুবিধা হলো, ব্যবহারকারীকে লগইন করার জন্য পাসওয়ার্ড বা এই জাতীয় কোনো কিছুই মনে রাখতে হবে না। যে ওয়েবসাইটে প্রবেশ করতে চান, সেখানে গিয়ে শুধু বায়োমেট্রিক ভেরিফাই করলেই আপনার ফোন সঠিক কি দিয়ে আপনাকে প্রবেশ করার ব্যবস্থা করে দেবে। পাসওয়ার্ড বা পিন কোনোকিছুই আর মনে রাখতে হবে না ব্যবহারকারীকে।

ছবি: রয়টার্স

পাসওয়ার্ড স্মরণ রাখা ও টাইপ করার ঝামেলা নেই বলে পাসকিজের মাধ্যমে লগইনও হবে দ্রুত। তা ছাড়া যেহেতু অ্যাপল, গুগল, মাইক্রোসফট ও অন্যান্য টেক কোম্পানি ফাইডোর এই অথেন্টিকেশন সাপোর্ট করবে, তাই এই পাসকিজগুলো হবে ইউনিভার্সাল। অর্থাৎ আপনার ব্যক্তিগত ফোন যদি একটা আইফোন হয়, তবে শুধু সেটি দিয়েই আপনি মাইক্রোসফটের উইন্ডোজ চালিত কোনো কম্পিউটার বা অ্যান্ড্রয়েড ডিভাইসেও নিজের অ্যাকাউন্ট ব্যবহার করতে পারবেন পাসকিজের মাধ্যমে।

এ ক্ষেত্রে ব্যবহৃত হবে কিউআর কোড আর ব্লুটুথ প্রযুক্তি, যার মাধ্যমে আপনার ফোন অন্যান্য ডিভাইসের সঙ্গে কানেক্ট করে ওয়েবসাইটে প্রবেশ করার জন্য প্রয়োজনীয় তথ্য আদান–প্রদান করবে। এই ক্রস ডিভাইস গ্রহণযোগ্যতার কারণেই শিগগিরই পাসওয়ার্ড ও পিনের ব্যবহার হ্রাস পাবে এবং সেই পাসওয়ার্ডবিহীন ভবিষ্যতে গণিতের সূত্রের মতো পাসওয়ার্ড মুখস্থ করার এই বর্তমানকে শুধু এক দুঃস্বপ্নই মনে হবে।

লেখক: ব্যবস্থাপক, ডেফ্টাইল্ড

সূত্র: ফাইডো অ্যালায়েন্স ও ওয়ার্ল্ড ওয়াইড ওয়েব কনসোর্টিয়াম

*লেখাটি ২০২২ সালে বিজ্ঞানচিন্তার জুলাই সংখ্যায় প্রকাশিত

