প্রযুক্তি

পাসওয়ার্ড ম্যানেজার ব্যবহার করে হ্যাকারদেরই সাহায্য করছেন কি

লেখা:
অনিক রায়
পাসওয়ার্ড ম্যানেজার কি আসলেই আমাদের পাসওয়ার্ড সুরক্ষিত রাখছেন?ছবি: মোহাম্মদ হাসান / পিক্সাবে

ডিজিটাল দুনিয়ায় আমাদের প্রত্যেকের জীবন এখন অজস্র তালাবদ্ধ দরজার মতো। ফেসবুক, জিমেইল, অফিস, ব্যাংকসহ প্রায় সবখানেই ঢোকার জন্য চাই চাবি, অর্থাৎ পাসওয়ার্ড। নিরাপত্তার খাতিরে বলা হয়, প্রতিটি পাসওয়ার্ড হতে হবে আলাদা, কঠিন এবং এতই বিদঘুটে যে হ্যাকাররা যেন তা অনুমানও করতে না পারে।

কিন্তু মুশকিল হলো, মানুষের মস্তিষ্ক তো আর সুপার কম্পিউটার নয়! ২০২৪ সালের এক জরিপে দেখা গেছে, একজন সাধারণ মানুষের গড়ে প্রায় ১৬০টি অনলাইন অ্যাকাউন্টের পাসওয়ার্ড মনে রাখতে হয়। ১৬০টি হিজিবিজি কোড মনে রাখা কি চাট্টিখানি কথা? তাই আমাদের মতো সাধারণ মানুষ শরণাপন্ন হয় পাসওয়ার্ড ম্যানেজারের। লাস্টপাস, বিটওয়ার্ডেন, বা ওয়ানপাসওয়ার্ডের মতো এই সেবাগুলো আমাদের হয়ে সব পাসওয়ার্ড মনে রাখে। শুধু একটা মাস্টার পাসওয়ার্ড মনে রাখলেই কেল্লাফতে। মানে পাসওয়ার্ড ম্যানেজারে যে পাসওয়ার্ড ব্যবহার করে সুরক্ষিত রেখেছেন, শুধু সেটা মনে রাখলেই হলো।

লাস্টপাস বা বিটওয়ার্ডেনের মতো অ্যাপগুলো আমাদের হয়ে সব পাসওয়ার্ড মনে রাখে
ছবি: সাইবার নিউজ

পাসওয়ার্ড ম্যানেজার সেবা দেওয়া এসব অ্যাপ দাবি করে, আপনার তথ্য তারা এনক্রিপ্ট বা সাংকেতিক ভাষায় রূপান্তর করে তাদের ক্লাউড সার্ভারে জমা রাখে। মানে আপনার পাসওয়ার্ড তারা দেখতে পায় না। কিন্তু সম্প্রতি জার্মানির ইটিএইচ জুরিখ এবং লুগানো বিশ্ববিদ্যালয়ের একদল গবেষক জানালেন, এসব কথার পুরোটা সত্যি নয়। তাঁরা জনপ্রিয় চারটি পাসওয়ার্ড ম্যানেজার নিয়ে রীতিমতো কঠিন পরীক্ষা চালিয়েছেন। পরীক্ষায় এমন কিছু দুর্বলতা বা লুপহোল খুঁজে পেয়েছেন, যার মাধ্যমে হ্যাকাররা চাইলে আপনার সব গোপন তথ্যের নাড়িভুঁড়ি বের করে ফেলতে পারে!

আরও পড়ুন

চুরি ঠেকাতে পাসওয়ার্ডবিহীন অথেন্টিকেশন

২০২৪ সালের এক জরিপে দেখা গেছে, একজন সাধারণ মানুষের গড়ে প্রায় ১৬০টি অনলাইন অ্যাকাউন্টের পাসওয়ার্ড মনে রাখতে হয়।

এই কোম্পানিগুলো তাদের মার্কেটিংয়ে একটা গালভরা বুলি আউড়ায়—জিরো নলেজ এনক্রিপশন। সোজা বাংলায় এর মানে হলো, আপনার পাসওয়ার্ডের সিন্দুকটা এমনভাবে তালা দেওয়া যে, খোদ কোম্পানিও যদি চায়, তবুও তারা সেটা খুলতে পারবে না। অর্থাৎ, সার্ভারের কাছে আপনার তথ্যের কোনো নলেজ নেই।

লাস্টপাস বা বিটওয়ার্ডেনের ওয়েবসাইটেও বড় বড় করে লেখা থাকে, ‘আমরা নিজেরাও আপনার ডেটা পড়তে পারি না।’ কিন্তু গবেষকেরা বলছেন, এই দাবিটা পুরোপুরি সত্যি নয়। তাঁরা গবেষণায় লাস্টপাস, বিটওয়ার্ডেন, ড্যাশলেন এবং ওয়ানপাসওয়ার্ড নিয়ে পরীক্ষা চালিয়েছেন। গবেষকেরা অবশ্য গুগল বা অ্যাপলকে এই তালিকায় রাখেননি স্বার্থের সংঘাত এড়াতে।

হ্যাকার যদি কোম্পানিগুলোর সার্ভার নিয়ন্ত্রণে নিয়ে নেয়, তবে সে ব্যবহারকারীর সব তথ্য হাতিয়ে নিতে পারে
ছবি: অ্যাভাস্ট

গবেষণায় দেখা গেছে, যদি কোনো হ্যাকার এই কোম্পানিগুলোর মেইন সার্ভারের নিয়ন্ত্রণ নিয়ে নিতে পারে, তবে সে ব্যবহারকারীকে বোকা বানিয়ে তার সব তথ্য হাতিয়ে নিতে পারবে। গবেষকেরা মোট ২৭টি ভিন্ন ভিন্ন উপায় খুঁজে পেয়েছেন, যা দিয়ে হ্যাকাররা আপনার সিন্দুক ভেঙে ফেলতে পারে।

সমস্যাটা আসলে কোথায়? গবেষক দলের প্রধান অধ্যাপক কেনেথ প্যাটারসন বলছেন, কোম্পানিগুলো ব্যবহারকারীদের সুবিধার জন্য যেসব বাড়তি ফিচার যোগ করেছে, সেটাই এখন গলার কাঁটা হয়ে দাঁড়িয়েছে। যেমন ধরুন, পাসওয়ার্ড শেয়ার করার সুবিধা।

আরও পড়ুন

কিউআর কোড থেকে সাবধান!

গবেষণায় দেখা গেছে, যদি কোনো হ্যাকার এই কোম্পানিগুলোর মেইন সার্ভারের নিয়ন্ত্রণ নিয়ে নিতে পারে, তবে সে ব্যবহারকারীকে বোকা বানিয়ে তার সব তথ্য হাতিয়ে নিতে পারবে।

সাধারণত এসব ক্ষেত্রে পাবলিক কি ক্রিপ্টোগ্রাফি ব্যবহার করা হয়। ধরুন, আপনি আপনার বন্ধুর সঙ্গে একটা পাসওয়ার্ড শেয়ার করবেন। নিয়ম অনুযায়ী, সার্ভার আপনার বন্ধুর পাবলিক কি আপনাকে দেবে, যা দিয়ে আপনি তথ্যটা এনক্রিপ্ট করে পাঠাবেন। কিন্তু সার্ভার যদি নিজেই দুষ্টু হয়? সে যদি বন্ধুর চাবির বদলে হ্যাকারের চাবি ধরিয়ে দেয়? আপনি সরল মনে সেই চাবি দিয়েই তথ্য লক করে পাঠাবেন, আর হ্যাকার সেটা লুফে নিয়ে নিজের চাবি দিয়ে খুলে ফেলবে! প্যাটারসনের ভাষায়, তখন আর কিছুই করার থাকবে না। গেম ওভার!

প্যাটারসন এই পুরো ব্যাপারটাকে অর্থনীতির ভাষায় মার্কেট ফর লেমনসের সঙ্গে তুলনা করেছেন। এর মানে হলো, ক্রেতা জানে না সে কী কিনছে, কিন্তু বিক্রেতা জানে পণ্যের আসল মান কতটা খারাপ। কোম্পানিগুলো যে মানের নিরাপত্তা দেওয়ার কথা বলছে, আসলে দিচ্ছে তারচেয়ে অনেক নিম্নমানের।

স্বাভাবিকভাবেই এই গবেষণার ফলাফল মেনে নিতে নারাজ পাসওয়ার্ড ম্যানেজার কোম্পানিগুলো। তাদের দাবি, গবেষকেরা যে পরিস্থিতির কথা কল্পনা করেছেন, তা বাস্তবে ঘটা খুবই কঠিন। লাস্টপাস ও ওয়ানপাসওয়ার্ডের মতে, হ্যাকারকে যদি সফল হতে হয়, তবে তাকে পুরো সার্ভারের ওপর পূর্ণ নিয়ন্ত্রণ নিতে হবে। আর সে জন্য কোম্পানিগুলো কোটি কোটি ডলার খরচ করে নিরাপত্তা বলয় তৈরি করে রেখেছে।

আরও পড়ুন

কণ্ঠস্বরই কি আপনার গোপনীয়তার সবচেয়ে বড় হুমকি

অর্থনীতির ভাষায় মার্কেট ফর লেমনস বলতে বোঝায়, ক্রেতা জানে না সে কী কিনছে, কিন্তু বিক্রেতা জানে পণ্যের আসল মান কতটা খারাপ।

ড্যাশলেন আগে দাবি করেছিল, সার্ভার হ্যাক হলেও তথ্য চুরি করা সম্ভব নয়। কিন্তু এই গবেষণার পর তারা সেই ডকুমেন্ট সরিয়ে ফেলেছে এবং নতুন করে লিখেছে ‘সার্ভার হ্যাক হলে তথ্য চুরির সম্ভাবনা কম’। মানে বুঝতে পারছেন, সুরটা একটু নরম করেছে।

কিন্তু আমাদের উপায় কী? আমরা কি পাসওয়ার্ড ম্যানেজার ব্যবহার করা ছেড়ে দেব? খাতায় লিখে রাখব সব পাসওয়ার্ড? হয়তো এখনই আতঙ্কিত হওয়ার কিছু নেই। গবেষকেরা যে হ্যাকিংয়ের পদ্ধতির কথা বলেছেন, তা বেশ জটিল এবং এর জন্য হ্যাকারদের অনেক কাঠখড় পোড়াতে হবে।

পাসওয়ার্ড ম্যানেজারগুলোর শতভাগ নিরাপত্তা হয়তো নেই, তবুও এখন এটির চেয়ে সুবিধাজনক ও নিরাপদ বিকল্পও আমাদের হাতে নেই
ছবি: এন্ডসাইট

তা ছাড়া ১৬০টি পাসওয়ার্ড মনে রাখাও তো সম্ভব নয়, যদি না সব জায়গায় একই পাসওয়ার্ড ব্যবহার করেন। সব জায়গায় একই পাসওয়ার্ড ব্যবহার করাটা এর চেয়েও বেশি বিপজ্জনক। খাতা কলমে লিখে রাখাটাও ভালো সমাধান নয়। ক্লাউড-ভিত্তিক পাসওয়ার্ড ম্যানেজারগুলোর শতভাগ নিরাপত্তা হয়তো নেই, কিন্তু বর্তমানে এর চেয়ে সুবিধাজনক এবং নিরাপদ কোনো বিকল্পও আমাদের হাতে নেই।

তবে একটা বিষয় পরিষ্কার, চোখ বন্ধ করে কোনো প্রযুক্তির ওপরই শতভাগ ভরসা করা বোকামি। কোম্পানিগুলো তাদের বিজ্ঞাপনে যা-ই বলুক না কেন, নিরাপত্তার চাবিটা শেষমেশ নিজের হাতে রাখাটাই বুদ্ধিমানের কাজ।

লেখক: ফ্রন্টেন্ড ডেভলপার, সফটভেঞ্চ

সূত্র: আইএফএল সায়েন্স

আরও পড়ুন

অনলাইনে নিরাপদ থাকার সাত উপায়

প্রযুক্তি থেকে আরও পড়ুন