আপনার পাসওয়ার্ড কি সত্যিই নিরাপদ? বেশিরভাগ মানুষ যেসব ভুল করে
একটা অস্বস্তিকর প্রশ্ন দিয়ে শুরু করা যাক: আপনার কতগুলো অনলাইন অ্যাকাউন্টে একই পাসওয়ার্ড ব্যবহার করেন?
যদি উত্তর একের বেশি হয়, আপনি একা নন। গবেষণায় বারবার দেখা গেছে যে গড়ে একজন ব্যক্তি কমপক্ষে পাঁচটি অ্যাকাউন্টে একই পাসওয়ার্ড ব্যবহার করে। অনেকে একই পাসওয়ার্ড, বা তার সামান্য পরিবর্তিত সংস্করণ, ডজনখানেক সার্ভিসে ব্যবহার করে। এটি সবচেয়ে বড় নিরাপত্তা ঝুঁকিগুলোর একটি যা বেশিরভাগ মানুষ অনলাইনে মুখোমুখি হয়, এবং এটি সম্পূর্ণরূপে প্রতিরোধযোগ্য।
আসল বিপদ: ডেটা ব্রিচ এবং ক্রেডেনশিয়াল স্টাফিং
বেশিরভাগ মানুষ মনে করে হ্যাকিং মানে কেউ বিশেষভাবে তাদের টার্গেট করছে, তাদের পাসওয়ার্ড অনুমান করছে, বা তাদের অ্যাকাউন্টে ব্রুট-ফোর্স আক্রমণ করছে। বাস্তবতা অনেক ভিন্ন।
বেশিরভাগ অ্যাকাউন্ট হ্যাক হয় ডেটা ব্রিচের মাধ্যমে। আপনার অ্যাকাউন্ট আছে এমন একটি কোম্পানি হ্যাক হয়। তাদের ইউজারনেম এবং পাসওয়ার্ডের ডেটাবেস চুরি হয়ে অনলাইনে প্রকাশ করা হয় বা ডার্ক ওয়েবে বিক্রি হয়। এটি বড় বড় কোম্পানিগুলোর সাথে উদ্বেগজনক নিয়মিততায় ঘটে।
এখানেই পাসওয়ার্ড পুনঃব্যবহার বিপর্যয়কর হয়ে ওঠে। আক্রমণকারীরা ফাঁস হওয়া ইমেইল-পাসওয়ার্ড কম্বিনেশন নিয়ে স্বয়ংক্রিয়ভাবে শত শত অন্য সার্ভিসে চেষ্টা করে: Gmail, Amazon, ব্যাংকিং সাইট, সোশ্যাল মিডিয়া। এটাকে বলা হয় ক্রেডেনশিয়াল স্টাফিং, এবং এটা কাজ করে কারণ অনেক মানুষ সব জায়গায় একই পাসওয়ার্ড ব্যবহার করে।
সতর্কতা যদি আপনি একটি ছোট অনলাইন ফোরামে যেটা হ্যাক হয়েছে এবং আপনার প্রধান ইমেইল অ্যাকাউন্টে একই পাসওয়ার্ড ব্যবহার করেন, তাহলে ফোরামের ডেটাবেস পাওয়া আক্রমণকারীর কাছে আপনার ইমেইলের অ্যাক্সেস আছে। আপনার ইমেইল থেকে, তারা আপনার মালিকানাধীন প্রায় প্রতিটি অ্যাকাউন্টের পাসওয়ার্ড রিসেট করতে পারে।
সবচেয়ে সাধারণ পাসওয়ার্ড ভুলগুলো
১. পাসওয়ার্ড পুনঃব্যবহার
এটি পাসওয়ার্ড নিরাপত্তার সবচেয়ে বড় পাপ। যখন আপনি একটি পাসওয়ার্ড পুনঃব্যবহার করেন, একটি সার্ভিসে ব্রিচ হলে আপনি সেই পাসওয়ার্ড ব্যবহার করেছেন এমন প্রতিটি সার্ভিস ঝুঁকিতে পড়ে।
২. দুর্বল পাসওয়ার্ড ব্যবহার
বছরের পর বছর সচেতনতা প্রচারণা সত্ত্বেও, সবচেয়ে সাধারণ পাসওয়ার্ডগুলো এখনও হতবাকভাবে সহজ। "123456," "password," "qwerty," এবং "admin" ধারাবাহিকভাবে তালিকার শীর্ষে থাকে। এগুলো এক সেকেন্ডেরও কম সময়ে ক্র্যাক করা যায়।
৩. অনুমানযোগ্য প্যাটার্ন
অনেকে মনে করে তারা চালাকি করছে এই ধরনের প্যাটার্ন দিয়ে:
- সাধারণ শব্দের শেষে "1" বা "!" যোগ করা
- শুধু প্রথম অক্ষর বড় হাতের করা
- একটি মূল পাসওয়ার্ডের সাথে সাইটের নাম যোগ করা (যেমন, "MyPassword-facebook")
- অক্ষরের বদলে সংখ্যা বসানো ("p@ssw0rd")
আক্রমণকারীরা এই সব প্যাটার্ন জানে। তাদের টুলগুলো বিশেষভাবে এই বৈচিত্র্যগুলো চেষ্টা করার জন্য ডিজাইন করা। একটি পাসওয়ার্ড যা মানুষের কাছে জটিল মনে হয় তা একটি স্বয়ংক্রিয় ক্র্যাকিং টুলের কাছে অতি সহজ হতে পারে।
৪. ব্যক্তিগত তথ্য ব্যবহার
পোষা প্রাণীর নাম, জন্মদিন, বিবাহবার্ষিকী, সন্তানদের নাম, প্রিয় খেলার দল। এই সব তথ্য প্রায়ই সোশ্যাল মিডিয়ায় সর্বজনীনভাবে পাওয়া যায়। যদি আপনার পাসওয়ার্ড "fluffy2019" হয় এবং আপনার ইনস্টাগ্রাম #FluffyTheCat সহ বিড়ালের ছবিতে ভরা থাকে, তাহলে আপনি যতটা মনে করেন ততটা নিরাপদ নন।
৫. ফাঁস হওয়া পাসওয়ার্ড কখনো পরিবর্তন না করা
এমনকি ব্রিচের নোটিফিকেশন পাওয়ার পরেও, অনেকে তাদের পাসওয়ার্ড পরিবর্তন করে না। এটা আক্রমণকারীদের ফাঁস হওয়া শংসাপত্র ব্যবহার করার জন্য বর্ধিত সুযোগ দেয়।
আপনি কি জানতেন? সবচেয়ে বড় পরিচিত ডেটা ব্রিচে একটি মাত্র ফাঁসে ৩.২ বিলিয়নেরও বেশি ইমেইল এবং পাসওয়ার্ড কম্বিনেশন উন্মুক্ত হয়েছিল। আপনার অন্তত একটি পাসওয়ার্ড অতীতের কোনো ব্রিচে উন্মুক্ত হওয়ার সম্ভাবনা বেশ বেশি, এমনকি আপনাকে কখনো জানানো না হলেও।
একটি শক্তিশালী পাসওয়ার্ড কী করে?
একটি শক্তিশালী পাসওয়ার্ডের তিনটি মূল বৈশিষ্ট্য আছে:
- দৈর্ঘ্য। এটি সবচেয়ে গুরুত্বপূর্ণ বিষয়। একটি ১৬-অক্ষরের পাসওয়ার্ড একটি ৮-অক্ষরের পাসওয়ার্ডের চেয়ে ক্র্যাক করা সূচকীয়ভাবে কঠিন, জটিলতা নির্বিশেষে।
- এলোমেলোতা। এতে ডিকশনারি শব্দ, নাম, তারিখ, বা চেনা প্যাটার্ন থাকা উচিত নয়।
- স্বতন্ত্রতা। এটি শুধুমাত্র একটি অ্যাকাউন্টের জন্য ব্যবহার করতে হবে।
পাসওয়ার্ডের দৈর্ঘ্য কীভাবে একটি এলোমেলো পাসওয়ার্ডের ক্র্যাকিং সময়কে প্রভাবিত করে:
| দৈর্ঘ্য | শুধু ছোট হাতের অক্ষর | মিশ্র কেস + সংখ্যা + প্রতীক |
|---|---|---|
| ৬ অক্ষর | তাৎক্ষণিক | ~৫ সেকেন্ড |
| ৮ অক্ষর | ~২ মিনিট | ~৮ ঘণ্টা |
| ১২ অক্ষর | ~২০০ বছর | ~৩৪,০০০ বছর |
| ১৬ অক্ষর | ~৩ মিলিয়ন বছর | কার্যত অভেদ্য |
মূল কথা পরিষ্কার: দৈর্ঘ্য জটিলতাকে হারায়। শুধু ছোট হাতের অক্ষর দিয়ে একটি ১৬-অক্ষরের এলোমেলো পাসওয়ার্ড বড় হাতের অক্ষর, সংখ্যা এবং প্রতীক সহ একটি ৮-অক্ষরের পাসওয়ার্ডের চেয়ে অনেক বেশি শক্তিশালী।
সমাধান: পাসওয়ার্ড ম্যানেজার এবং অনন্য পাসওয়ার্ড
প্রতিটি অ্যাকাউন্টের জন্য শক্তিশালী, অনন্য পাসওয়ার্ড ব্যবহার করার সবচেয়ে ব্যবহারিক উপায় হলো পাসওয়ার্ড ম্যানেজার ব্যবহার করা। একটি পাসওয়ার্ড ম্যানেজার আপনার সমস্ত পাসওয়ার্ড একটি এনক্রিপ্টেড ভল্টে সংরক্ষণ করে, যা একটি মাস্টার পাসওয়ার্ড দ্বারা সুরক্ষিত। আপনাকে শুধু একটি পাসওয়ার্ড মনে রাখতে হবে; বাকিটা ম্যানেজার সামলায়।
জনপ্রিয় পাসওয়ার্ড ম্যানেজারগুলোর মধ্যে আছে Bitwarden (বিনামূল্যে এবং ওপেন সোর্স), 1Password, এবং KeePass। বেশিরভাগ ব্রাউজারে বিল্ট-ইন পাসওয়ার্ড ম্যানেজারও আছে যা যথেষ্ট ভালো কাজ করে।
পাসওয়ার্ড ম্যানেজার কীভাবে কাজ করে
- যখন আপনি একটি অ্যাকাউন্ট তৈরি করেন বা পাসওয়ার্ড পরিবর্তন করেন, ম্যানেজার একটি দীর্ঘ, এলোমেলো পাসওয়ার্ড তৈরি করে।
- পাসওয়ার্ডটি আপনার এনক্রিপ্টেড ভল্টে সংরক্ষিত হয়।
- যখন আপনি একটি ওয়েবসাইটে যান, ম্যানেজার স্বয়ংক্রিয়ভাবে শংসাপত্র পূরণ করে।
- আপনাকে কখনো পৃথক পাসওয়ার্ড মনে রাখতে, টাইপ করতে বা দেখতে হবে না।
আজই পদক্ষেপ নিন: এখনই করতে পারেন এমন দুটি কাজ
আপনার পুরো ডিজিটাল জীবন একবারে পরিবর্তন করতে হবে না। এই দুটি কাজ দিয়ে শুরু করুন।
পদক্ষেপ ১: আপনার পাসওয়ার্ড ফাঁস হয়েছে কিনা পরীক্ষা করুন
অন্য কিছু করার আগে, জানুন আপনার বিদ্যমান পাসওয়ার্ডগুলো ইতিমধ্যে পরিচিত ডেটা ব্রিচে উন্মুক্ত হয়েছে কিনা। এটা আপনাকে বলবে কোন অ্যাকাউন্টগুলো তাৎক্ষণিক ঝুঁকিতে আছে।
পরামর্শ আপনি এখনই বিনামূল্যে পরিচিত ব্রিচ ডেটাবেসে আপনার পাসওয়ার্ড আছে কিনা পরীক্ষা করতে পারেন: আপনার পাসওয়ার্ড ফাঁস হয়েছে কিনা পরীক্ষা করুন। পরীক্ষাটি নিরাপদে সম্পন্ন হয় — আপনার সম্পূর্ণ পাসওয়ার্ড কখনো কোথাও পাঠানো হয় না।
পদক্ষেপ ২: সবচেয়ে গুরুত্বপূর্ণ অ্যাকাউন্টগুলোর জন্য শক্তিশালী পাসওয়ার্ড তৈরি করুন
সবচেয়ে গুরুত্বপূর্ণ অ্যাকাউন্টগুলো দিয়ে শুরু করুন: আপনার প্রাথমিক ইমেইল, আপনার ব্যাংক, এবং পেমেন্ট তথ্য সংরক্ষণকারী যেকোনো অ্যাকাউন্ট। সেই পাসওয়ার্ডগুলো শক্তিশালী, এলোমেলোভাবে তৈরি পাসওয়ার্ড দিয়ে প্রতিস্থাপন করুন।
পরামর্শ আমাদের বিনামূল্যে পাসওয়ার্ড জেনারেটর ব্যবহার করে তাৎক্ষণিকভাবে শক্তিশালী, অনন্য পাসওয়ার্ড তৈরি করুন: একটি নিরাপদ পাসওয়ার্ড তৈরি করুন। আপনি যেকোনো সাইটের প্রয়োজনীয়তা অনুযায়ী দৈর্ঘ্য এবং অক্ষরের ধরন কাস্টমাইজ করতে পারেন।
পাসওয়ার্ডের বাইরে: টু-ফ্যাক্টর অথেন্টিকেশন চালু করুন
এমনকি সবচেয়ে শক্তিশালী পাসওয়ার্ডও যথেষ্ট নয় যদি এটি সংরক্ষণকারী সার্ভিস হ্যাক হয়। টু-ফ্যাক্টর অথেন্টিকেশন (2FA) সুরক্ষার দ্বিতীয় স্তর যোগ করে: আপনার পাসওয়ার্ড দেওয়ার পরে, আপনাকে আপনার ফোন, একটি অথেন্টিকেটর অ্যাপ, বা একটি ফিজিক্যাল সিকিউরিটি কী থেকেও একটি কোড দিতে হবে।
2FA চালু থাকলে, শুধু একটি ফাঁস হওয়া পাসওয়ার্ড দিয়ে আক্রমণকারী আপনার অ্যাকাউন্টে প্রবেশ করতে পারবে না। এটি প্রতিটি অ্যাকাউন্টে চালু করুন যেখানে এটি পাওয়া যায়, বিশেষ করে ইমেইল, ব্যাংকিং এবং সোশ্যাল মিডিয়া।
সতর্কতা SMS-ভিত্তিক 2FA (টেক্সট মেসেজে পাঠানো কোড) কিছু না করার চেয়ে ভালো কিন্তু SIM-সোয়াপিং আক্রমণের জন্য ঝুঁকিপূর্ণ। অথেন্টিকেটর অ্যাপ (Google Authenticator, Authy) বা হার্ডওয়্যার কী (YubiKey) উল্লেখযোগ্যভাবে বেশি নিরাপদ।
ভালো অভ্যাস গড়ে তোলা
পাসওয়ার্ড নিরাপত্তা একবারের সমাধান নয়। এটি একটি চলমান অনুশীলন:
- পাসওয়ার্ড ম্যানেজার ব্যবহার করুন সব অ্যাকাউন্টের জন্য।
- প্রতিটি নতুন অ্যাকাউন্টের জন্য একটি অনন্য পাসওয়ার্ড তৈরি করুন।
- যেখানে পাওয়া যায় 2FA চালু করুন।
- পর্যায়ক্রমে ব্রিচ পরীক্ষা করুন, বছরে অন্তত এক বা দুইবার।
- ব্রিচের নোটিফিকেশন পেলে তাৎক্ষণিকভাবে ফাঁস হওয়া পাসওয়ার্ড পরিবর্তন করুন।
আজই আপনার অ্যাকাউন্ট সুরক্ষিত করুন:
দুটি টুলই বিনামূল্যে, আপনার ব্রাউজারে চলে, এবং কখনো আপনার ডেটা কোথাও পাঠায় না।