প্রতি বছর, নিরাপত্তা গবেষকরা সবচেয়ে বেশি ব্যবহৃত পাসওয়ার্ডের তালিকা প্রকাশ করেন। প্রতি বছর, "123456" এবং "password" এখনও শীর্ষের কাছে থাকে। এদিকে, ডেটা ব্রিচ প্রতি বছর কোটি কোটি ক্রেডেনশিয়াল প্রকাশ করে। মানুষ যা করা উচিত বলে জানে এবং তাদের পাসওয়ার্ড নিয়ে আসলে যা করে তার মধ্যে ব্যবধান বিশাল।
এই গাইড ২০২৬ সালে শক্তিশালী পাসওয়ার্ড তৈরি এবং পরিচালনা সম্পর্কে আপনার যা জানা দরকার সবকিছু কভার করে, যেসব নতুন বিকল্প অবশেষে পাসওয়ার্ড সম্পূর্ণভাবে প্রতিস্থাপন করতে পারে সেগুলোসহ।
কেন পাসওয়ার্ড এখনও গুরুত্বপূর্ণ
বায়োমেট্রিক্স এবং পাসকির অগ্রগতি সত্ত্বেও, পাসওয়ার্ড বিশাল সংখ্যাগরিষ্ঠ অনলাইন সেবার জন্য প্রাথমিক প্রমাণীকরণ পদ্ধতি হিসাবে রয়ে গেছে। আপনার ইমেইল, ব্যাংক অ্যাকাউন্ট, ক্লাউড স্টোরেজ, সোশ্যাল মিডিয়া এবং কাজের টুলস সবই পাসওয়ার্ডের উপর নির্ভর করে। একটি দুর্বল বা পুনরায় ব্যবহৃত পাসওয়ার্ড প্রায়ই সেই একক ব্যর্থতার বিন্দু যা একটি অ্যাকাউন্ট আপোষ হওয়ার দিকে নিয়ে যায়।
পরিণতি গুরুতর হতে পারে: পরিচয় চুরি, আর্থিক ক্ষতি, ব্যক্তিগত যোগাযোগের প্রকাশ, এবং পেশাদার প্রসঙ্গে, ব্রিচ যা একটি সম্পূর্ণ প্রতিষ্ঠানকে প্রভাবিত করে।
একটি শক্তিশালী পাসওয়ার্ডের গঠন
একটি শক্তিশালী পাসওয়ার্ডের তিনটি অপরিহার্য গুণ রয়েছে:
- দৈর্ঘ্য। এটি সবচেয়ে গুরুত্বপূর্ণ একক ফ্যাক্টর। প্রতিটি অতিরিক্ত ক্যারেক্টার সম্ভাব্য সমন্বয়ের সংখ্যাকে এক্সপোনেনশিয়ালি গুণ করে। একটি ১৬-ক্যারেক্টারের পাসওয়ার্ড একটি ৮-ক্যারেক্টারের থেকে জ্যোতির্বিদ্যাগতভাবে কঠিন ক্র্যাক করতে।
- এলোমেলোতা। পাসওয়ার্ডে অভিধানের শব্দ, নাম, তারিখ বা পূর্বানুমানযোগ্য প্যাটার্ন থাকা উচিত নয়। প্রকৃত এলোমেলোতাই ব্রুট-ফোর্স আক্রমণকে অবাস্তব করে তোলে।
- স্বতন্ত্রতা। প্রতিটি অ্যাকাউন্টের নিজস্ব পাসওয়ার্ড থাকা উচিত। পাসওয়ার্ড পুনরায় ব্যবহার করার মানে হলো একটি সেবায় ব্রিচ হলে সেই পাসওয়ার্ড শেয়ার করা প্রতিটি সেবা আপোষ হয়।
| পাসওয়ার্ডের ধরন | উদাহরণ | ক্র্যাক করতে সময় |
|---|---|---|
| ৬ ডিজিট | 481937 | তাৎক্ষণিক |
| সাধারণ শব্দ | sunshine | তাৎক্ষণিক |
| শব্দ + সংখ্যা | Monkey12 | সেকেন্ড |
| ১২ অক্ষর মিশ্র | kP7$mN2@xL9q | শতাব্দী |
| ১৬ অক্ষর র্যান্ডম | vB8#nR4&jF6!wQ1% | লক্ষ লক্ষ বছর |
| ৫-শব্দের পাসফ্রেজ | correct horse battery staple green | শতাব্দী |
পাসফ্রেজও কাজ করে। ৪-৬টি র্যান্ডম, সম্পর্কহীন শব্দের একটি ক্রম (যেমন "marble trumpet ocean bicycle") শক্তিশালী এবং মনে রাখার যোগ্য উভয়ই হতে পারে। দৈর্ঘ্য অভিধানের শব্দ ব্যবহারের ক্ষতিপূরণ করে, যতক্ষণ শব্দগুলো সত্যিই র্যান্ডমভাবে বাছাই করা হয়।
সবচেয়ে সাধারণ ভুলগুলো
- পাসওয়ার্ড পুনরায় ব্যবহার। যদি একটি সেবায় ব্রিচ হয়, আক্রমণকারীরা সেই পাসওয়ার্ড অন্য প্রতিটি সেবায় চেষ্টা করবে (এটি ক্রেডেনশিয়াল স্টাফিং নামে পরিচিত)।
- ব্যক্তিগত তথ্য। আপনার পোষা প্রাণীর নাম, জন্মদিন বা রাস্তার ঠিকানা সোশ্যাল মিডিয়ায় খুঁজে পাওয়া আক্রমণকারীদের জন্য সহজ।
- সাধারণ প্রতিস্থাপন। "a" কে "@" দিয়ে বা "o" কে "0" দিয়ে প্রতিস্থাপন করা আধুনিক ক্র্যাকিং টুলকে বোকা বানায় না। তারা এই বৈচিত্রগুলো স্বয়ংক্রিয়ভাবে পরীক্ষা করে।
- ছোট পাসওয়ার্ড। কম্পিউটিং ক্ষমতা বৃদ্ধির সাথে সাথে ১২ ক্যারেক্টারের কম যেকোনো কিছু ক্রমশ দুর্বল।
- কীবোর্ডে প্যাটার্ন। "qwerty," "asdfgh," এবং "zxcvbn" আক্রমণকারীদের প্রথম চেষ্টা করা সমন্বয়গুলোর মধ্যে।
পাসওয়ার্ড ম্যানেজার: ব্যবহারিক সমাধান
কেউ ডজনখানেক অনন্য, র্যান্ডম, ১৬-ক্যারেক্টারের পাসওয়ার্ড মুখস্থ করতে পারে না। এখানেই পাসওয়ার্ড ম্যানেজার কাজে আসে। একটি পাসওয়ার্ড ম্যানেজার আপনার সমস্ত পাসওয়ার্ড একটি একক মাস্টার পাসওয়ার্ড দ্বারা সুরক্ষিত এনক্রিপ্টেড ভল্টে সংরক্ষণ করে।
পাসওয়ার্ড ম্যানেজার ব্যবহারের সুবিধা:
- প্রতিটি অ্যাকাউন্টের জন্য শক্তিশালী, র্যান্ডম পাসওয়ার্ড তৈরি করে
- লগইন ফর্ম অটো-ফিল করে তাই আপনাকে কখনো পাসওয়ার্ড টাইপ করতে হবে না
- আপনার সমস্ত ডিভাইসে সিঙ্ক করে
- কোনো সংরক্ষিত পাসওয়ার্ড কোনো পরিচিত ব্রিচে দেখা গেলে সতর্ক করে
- সুরক্ষিত নোট, ক্রেডিট কার্ড এবং অন্যান্য সংবেদনশীল ডেটা সংরক্ষণ করে
জনপ্রিয় বিকল্পগুলোর মধ্যে রয়েছে Bitwarden (ওপেন-সোর্স, ফ্রি টিয়ার উপলব্ধ), 1Password এবং iOS ও Android-এর বিল্ট-ইন ম্যানেজার। গুরুত্বপূর্ণ বিষয় হলো একটি বেছে নেওয়া এবং ধারাবাহিকভাবে ব্যবহার করা।
টু-ফ্যাক্টর অথেন্টিকেশন (2FA)
একটি শক্তিশালী পাসওয়ার্ড আপনার প্রতিরক্ষার প্রথম লাইন। টু-ফ্যাক্টর অথেন্টিকেশন হলো আপনার দ্বিতীয়। 2FA সক্রিয় থাকলে, লগইন করতে আপনার পাসওয়ার্ড এবং একটি দ্বিতীয় ফ্যাক্টর উভয়ই প্রয়োজন, সাধারণত একটি অথেন্টিকেটর অ্যাপ থেকে একটি কোড বা একটি ফিজিক্যাল সিকিউরিটি কী।
এমনকি আক্রমণকারী আপনার পাসওয়ার্ড পেলেও, দ্বিতীয় ফ্যাক্টর ছাড়া তারা আপনার অ্যাকাউন্ট অ্যাক্সেস করতে পারবে না। প্রতিটি অ্যাকাউন্টে 2FA সক্রিয় করুন যা এটি সমর্থন করে, বিশেষ করে ইমেইল, ব্যাংকিং এবং ক্লাউড স্টোরেজ।
SMS-এর চেয়ে অথেন্টিকেটর অ্যাপ পছন্দ করুন। SMS-ভিত্তিক 2FA না থাকার চেয়ে ভালো, কিন্তু SIM-সোয়াপিং আক্রমণ দ্বারা এটি পরাজিত হতে পারে। অথেন্টিকেটর অ্যাপ (যেমন Aegis, Ente Auth, বা Google Authenticator) এবং হার্ডওয়্যার সিকিউরিটি কী (যেমন YubiKey) উল্লেখযোগ্যভাবে বেশি নিরাপদ।
পাসকি: অথেন্টিকেশনের ভবিষ্যৎ
পাসকি হলো Apple, Google এবং Microsoft সমর্থিত একটি নতুন প্রযুক্তি যা অবশেষে পাসওয়ার্ড সম্পূর্ণভাবে প্রতিস্থাপন করতে পারে। পাসকি হলো আপনার ডিভাইসে সংরক্ষিত একটি ক্রিপ্টোগ্রাফিক ক্রেডেনশিয়াল। আপনি লগইন করলে, আপনার ডিভাইস পাবলিক-কী ক্রিপ্টোগ্রাফি ব্যবহার করে আপনার পরিচয় প্রমাণ করে — কোনো পাসওয়ার্ড ট্রান্সমিট বা সার্ভারে সংরক্ষণ করা হয় না।
পাসকি ফিশ করা যায় না (এগুলো নির্দিষ্ট ওয়েবসাইটের সাথে আবদ্ধ), সেবা জুড়ে পুনরায় ব্যবহার করা যায় না, এবং মুখস্থ করার প্রয়োজন নেই। ২০২৬ সালের হিসাবে, পাসকি সমর্থন দ্রুত বাড়ছে এবং অনেক প্রধান সেবা এখন এটি একটি বিকল্প হিসাবে অফার করে।
আপনি কি ইতিমধ্যে ব্রিচ হয়েছেন?
আপনার ইমেইল এবং পাসওয়ার্ড ইতিমধ্যে ব্রিচ ডাটাবেসে ছড়িয়ে থাকতে পারে। Have I Been Pwned-এর মতো সেবাগুলো আপনাকে পরীক্ষা করতে দেয় আপনার ইমেইল ঠিকানা পরিচিত ব্রিচে দেখা যায় কিনা। যদি যায়, ক্ষতিগ্রস্ত অ্যাকাউন্টগুলোর পাসওয়ার্ড অবিলম্বে পরিবর্তন করুন এবং নিশ্চিত করুন যে আপনি সেই পাসওয়ার্ডগুলো অন্যত্র পুনরায় ব্যবহার করছেন না।
একটি সরল কর্মপরিকল্পনা
- একটি পাসওয়ার্ড ম্যানেজার ইনস্টল করুন এবং আপনার পাসওয়ার্ড সংরক্ষণ করা শুরু করুন
- প্রথমে আপনার সবচেয়ে গুরুত্বপূর্ণ পাসওয়ার্ড পরিবর্তন করুন (ইমেইল, ব্যাংকিং, ক্লাউড স্টোরেজ)
- প্রতিটি পাসওয়ার্ড কমপক্ষে ১৪ ক্যারেক্টার, র্যান্ডম এবং অনন্য করুন
- প্রতিটি অ্যাকাউন্টে 2FA সক্রিয় করুন যা এটি অফার করে
- যেখানে পাওয়া যায় পাসকি সেট আপ করুন
- নিয়মিত Have I Been Pwned পরীক্ষা করুন
আরও জানুন
ToolK.io শক্তিশালী পাসওয়ার্ড তৈরি এবং পাসওয়ার্ডের শক্তি পরীক্ষা করার বিনামূল্যে টুল অফার করে, সাথে টিউটোরিয়াল যা আপনাকে ধাপে ধাপে আপনার অ্যাকাউন্ট সুরক্ষিত করার পদ্ধতি দেখায়।