চুরি ঠেকাতে পাসওয়ার্ডবিহীন অথেন্টিকেশন
একটি শক্তিশালী পাসওয়ার্ড মনে রাখা যতটা কঠিন, একটা সোজা পাসওয়ার্ড ব্যবহার করা ততটাই অনিরাপদ। একটু বুঝিয়ে বলি।
শক্তিশালী একটি পাসওয়ার্ড তৈরি করতে কয়েকটা জিনিসের প্রতি খেয়াল রাখতে হয়। প্রথমত, পাসওয়ার্ডটি হতে হবে কমপক্ষে ৮ ক্যারেক্টারের। ক্যারেক্টারগুলোর মধ্যে থাকতে হবে লেটার, নাম্বার ও যতিচিহ্ন বা স্পেশাল ক্যারেক্টার। বর্ণ ব্যবহারের ক্ষেত্রে ছোট ও বড় হাতের ইংরেজি বর্ণের মিশ্রণ থাকতে হবে। তা ছাড়া কোনো অবভিয়াস শব্দ, যেমন নিজের বা অন্য কারও নাম, জন্মমাস এসবের ব্যবহার করা যাবে না।
এতগুলো শর্ত মেনে যদি পাসওয়ার্ড তৈরি করা হয়, তবে তা দেখতে অনেকটা এমন হবে jG.y7IG@HJ$8 বা 5k7#6w;7KH এ রকম। এ ধরনের একটি শক্তিশালী পাসওয়ার্ড যে মনে রাখা কষ্টকর, তা পাসওয়ার্ডগুলো দেখলেই অনুমান করা যায়।
অপর দিকে যদি আপনি এমন কোনো পাসওয়ার্ড ব্যবহার করেন, যা খুব সহজেই আপনি মনে রাখতে পারবেন, যেমন আপনার জন্মতারিখ 06Feb2000 বা আপনার ফোন নম্বর 01234567891, সোশ্যাল ইঞ্জিনিয়ারিং দিয়ে বা ব্রুট ফোর্স ব্যবহার করে খুব সহজেই এসব পাসওয়ার্ড ক্র্যাক করে ফেলতে পারবে হ্যাকাররা।
আপাতদৃষ্টে টু স্টেপ অথেন্টিকেশন একটা সলিউশন মনে হলেও হ্যাকাররা খুব সহজেই আপনার নম্বর ক্লোন করে এসএমএসে ওটিপি কোড নিয়ে নিতে পারে। তা ছাড়া সার্ভার থেকে ডাটা ব্রিচ ও ফিশিং লিংকের মাধ্যমে পাসওয়ার্ড চুরির ভয় তো আছেই। এসব কিছু মিলিয়ে গতানুগতিক পাসওয়ার্ড বেজড অথেন্টিকেশন যে আসলে শতভাগ কার্যকর নয়, তা টেক জায়ান্টগুলো অনেক আগেই উপলব্ধি করতে পেরেছিল।
সে জন্য পাসওয়ার্ড বেজড অথেন্টিকেশনের এই সীমাবদ্ধতা দূর করতে টেক ইন্ডাস্ট্রির ত্রিমূর্তি; গুগল, অ্যাপল ও মাইক্রোসফট ফাইডো (First IDentity Online—Fido) অ্যালায়েন্সের সঙ্গে মিলে ব্যবহারকারীদের জন্য এনেছে পাসকিজ (Passkeys)।
এ বছর ৫ মে বিশ্ব পাসওয়ার্ড দিবসে গুগল ও মাইক্রোসফট উভয় কোম্পানিই তাদের সব ডিভাইস ও সার্ভিসে ফাইডো অ্যালায়েন্স এবং ওয়ার্ল্ডওয়াইড ওয়েব কনসোর্টিয়ামের (W3C) যৌথ প্রচেষ্টার ফল এই পাসকি বা পাসকিজ সাপোর্টের কথা ঘোষণা করেছে। সবশেষ অ্যাপল এ বছর জুনে তাদের বার্ষিক ওয়ার্ল্ডওয়াইড ডেভেলপারস কনফারেন্সে (WWDC) সব অ্যাপল ডিভাইসে ও ডিভাইসগুলোর মাধ্যমে ব্যবহার করা ওয়েবসাইট ও অ্যাপে পাসকিজ ব্যবহার নিয়ে বিশদ প্রেজেন্টেশন দিয়েছে।
এই তিন ইন্ডাস্ট্রি লিডারের পাশাপাশি আরও অসংখ্য কোম্পানি তাদের ডিভাইস ও সার্ভিসে পাসকিজ সাপোর্ট নিয়ে কাজ করছে, যার ফলাফল এ বছরের শেষেই গুগলের ওয়েব প্রোডাক্ট ও অ্যান্ড্রয়েড ডিভাইসে আসছে পাসকিজ। অ্যাপলও এ বছরই আইওএস ১৬-এর সঙ্গে বাজারে আনছে এই পাসওয়ার্ডলেস অথেন্টিকেশন।
কিন্তু কী এই পাসকিজ (Passkeys)?
পাসকিজ হলো একধরনের ফাইডো ক্রেডেনশিয়াল, যা মূলত বায়োমেট্রিকস দিয়ে ব্যবহারকারীকে শনাক্ত করে। অনেকটা অ্যাপলের ফেসআইডি বা টাচআইডি ও মাইক্রোসফট হ্যালোর মতোই। এই তিন রকমের অথেন্টিকেশনই ফিঙ্গারপ্রিন্টিং বা ফেসিয়াল রিকগনিশন প্রযুক্তি ব্যবহার করে ব্যবহারকারীকে শনাক্ত করা হয়।
তবে এই প্রযুক্তিগুলো এত দিন শুধু অ্যাপল ও মাইক্রোসফটের ডিভাইসগুলো আনলক করতে ও পেমেন্টের অনুমোদন দেওয়ার জন্যই ব্যবহৃত হতো। কিন্তু পাসকিজের মাধ্যমে ডিভাইস আনলক করাসহ ফেসবুক, টুইটারের মতো ওয়েবসাইট বা অ্যাপে লগইন করার জন্যও ব্যবহৃত হবে এই বায়োমেট্রিক অথেন্টিকেশন।
মূলত পাসকিজের কাজ হলো, পাসওয়ার্ডের বদলে এনক্রিপ্টেড বায়োমেট্রিক সিগনেচার তৈরি করা যা প্রতিটা ওয়েবসাইটের জন্য ইউনিক থাকবে এবং যে ডাটা স্টোর করা হবে ডিভাইসটিতেই, দূরের কোনো সার্ভারে নয়। অর্থাৎ আপনি যদি ফেসবুকে লগইনের জন্য পাসকিজ চালু করেন আপনার ডিভাইস থেকে, আপনার ফোন সেই ওয়েবসাইটের জন্য একটা ইন-ডিভাইস কি তৈরি করে ফেলবে, যা অ্যাকসেস করা যাবে আপনার ফিঙ্গারপ্রিন্ট বা ফেসিয়াল স্ট্রাকচার ভেরিফাই করার পর। পরবর্তী সময়ে যখনই আপনি ওই ওয়েবসাইট বা অ্যাপে পুনরায় প্রবেশ করতে যাবেন, আপনাকে সরাসরি ফিঙ্গারপ্রিন্ট দিয়ে বা ফেসিয়াল রেকগনিশনের মাধ্যমে ভেরিফাই করে লগইন করতে হবে।
যেহেতু ওয়েবসাইটে প্রবেশ করার জন্য কোনো পাসওয়ার্ড লিখতে হচ্ছে না, তাই আপনার পাশে কেউ বসে আপনাকে সাইন ইন করতে দেখলে বা আপনার অজান্তে আপনাকে লগইন করতে দেখলেও অ্যাকাউন্ট হারানোর কোনো ঝুঁকি থাকবে না। কেননা ওই ওয়েবসাইটে আপনার অ্যাকাউন্টে প্রবেশ করতে হলে আপনাকে খোদ উপস্থিত থেকে আপনারই ডিভাইস দিয়ে ভেরিফাই করতে হবে।
পাসকিজের ডাটা ও এনক্রিপশন কি যেহেতু শুধু আপনার ফোনে থাকবে, কোনো হ্যাকার চাইলেও আপনার ব্যবহার করা ওয়েবসাইট যেমন ফেসবুক, টুইটার, উইকিপিডিয়ার সার্ভার হ্যাক করে আপনার অ্যাকাউন্টে প্রবেশ করার জন্য প্রয়োজনীয় তথ্য পাবে না। তাই বলা চলে, এই পাসকিজ হবে হ্যাকপ্রুফড।
যেহেতু সার্ভারে পাসকিজের কোনো সেনসেটিভ লগইন ডিটেইলস লিপিবদ্ধ থাকে না, তাই এই সার্ভারগুলো থেকে ডাটা ব্রিচ হলেও আপনার চিন্তার কোনো কারণ থাকবে না। তা ছাড়া যেহেতু পাসকিজ প্রতিটি ওয়েবসাইটের জন্য ইউনিক কি ব্যবহার করে, আপনার লগইন ডিটেইলস ফিশিংয়ের মাধ্যমেও হাতিয়ে নেওয়া সম্ভব হবে না।
ফিশিং হলো একই রকম দেখতে একটি ডুপ্লিকেট সাইটে ব্যবহারকারীকে লগইন করিয়ে সেই পাসওয়ার্ড চুরি করা। যখন facebook.com এর বদলে হ্যাকার ঠিক এমনটাই দেখতে faceb00k.com—এ–জাতীয় একটা লিংক আপনাকে পাঠাবে। আপনি সেই লিংকে ক্লিক করে আপনার অ্যাকাউন্টে প্রবেশ করতে যাবেন, তখন পাসকিজ নিজেই তা প্রত্যাখ্যান করে দেবে। কেননা, আপনার তৈরি অ্যাকাউন্টের পাসকি শুধু facebook.com এর জন্যই কাজ করবে। এই ইউআরএলের বদলে অন্য কোনো ইউআরএলে পাসকিজ আপনার ফেসবুকের কি প্রবেশই করবে না। ফলে পাসকিজকে হ্যাকপ্রুফ ও ডাটা-ব্রিচ প্রুফের পাশাপাশি সম্পূর্ণ ফিশিংপ্রুফ বলা চলে।
তবে পাসকিজের সবচেয়ে বড় সুবিধা হলো, ব্যবহারকারীকে লগইন করার জন্য পাসওয়ার্ড বা এই জাতীয় কোনো কিছুই মনে রাখতে হবে না। যে ওয়েবসাইটে প্রবেশ করতে চান, সেখানে গিয়ে শুধু বায়োমেট্রিক ভেরিফাই করলেই আপনার ফোন সঠিক কি দিয়ে আপনাকে প্রবেশ করার ব্যবস্থা করে দেবে। পাসওয়ার্ড বা পিন কোনোকিছুই আর মনে রাখতে হবে না ব্যবহারকারীকে।
পাসওয়ার্ড স্মরণ রাখা ও টাইপ করার ঝামেলা নেই বলে পাসকিজের মাধ্যমে লগইনও হবে দ্রুত। তা ছাড়া যেহেতু অ্যাপল, গুগল, মাইক্রোসফট ও অন্যান্য টেক কোম্পানি ফাইডোর এই অথেন্টিকেশন সাপোর্ট করবে, তাই এই পাসকিজগুলো হবে ইউনিভার্সাল। অর্থাৎ আপনার ব্যক্তিগত ফোন যদি একটা আইফোন হয়, তবে শুধু সেটি দিয়েই আপনি মাইক্রোসফটের উইন্ডোজ চালিত কোনো কম্পিউটার বা অ্যান্ড্রয়েড ডিভাইসেও নিজের অ্যাকাউন্ট ব্যবহার করতে পারবেন পাসকিজের মাধ্যমে।
এ ক্ষেত্রে ব্যবহৃত হবে কিউআর কোড আর ব্লুটুথ প্রযুক্তি, যার মাধ্যমে আপনার ফোন অন্যান্য ডিভাইসের সঙ্গে কানেক্ট করে ওয়েবসাইটে প্রবেশ করার জন্য প্রয়োজনীয় তথ্য আদান–প্রদান করবে। এই ক্রস ডিভাইস গ্রহণযোগ্যতার কারণেই শিগগিরই পাসওয়ার্ড ও পিনের ব্যবহার হ্রাস পাবে এবং সেই পাসওয়ার্ডবিহীন ভবিষ্যতে গণিতের সূত্রের মতো পাসওয়ার্ড মুখস্থ করার এই বর্তমানকে শুধু এক দুঃস্বপ্নই মনে হবে।