গুডবাই পাসওয়ার্ড, হ্যালো পাসকি: প্রমাণীকরণের ভবিষ্যত

Passkeys এর ভূমিকা

পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণ বহু বছর ধরে ডিফল্ট মোড। কিন্তু কে তাদের নিবন্ধন করা প্রতিটি ওয়েবসাইটের পাসওয়ার্ড মনে রাখতে চায়? বেশিরভাগ লোকেরা একই পাসওয়ার্ড অনেক জায়গায় ব্যবহার করে, যা মনে রাখা সহজ। পাসওয়ার্ড ম্যানেজাররা স্বয়ংক্রিয়ভাবে শংসাপত্রগুলি পূরণ করা সহজ করে তোলে, কিন্তু তারা নকশার মাধ্যমে পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণ সিস্টেমে উপস্থিত নিরাপত্তা উদ্বেগগুলি কাটিয়ে উঠতে পারে না। পাসকি আসে। এগুলি নিরাপদ এবং ব্যবহার করা সহজ, প্রমাণীকরণের জায়গায় একটি নতুন দৃষ্টিভঙ্গি সহ পাসওয়ার্ডহীন প্রমাণীকরণ প্রদান করে যা আশাব্যঞ্জক বলে মনে হয়।

সবকিছুর মতো, পাসকিগুলিও তাদের সুবিধা এবং চ্যালেঞ্জগুলি নিয়ে আসে যা আমরা এই নিবন্ধে এই প্রমাণীকরণের মোডটি কীভাবে কাজ করে, এটি কতটা নিরাপদ এবং আরও অনেক কিছু নিয়ে আলোচনা করতে যাচ্ছি।

কিভাবে পাসকি কাজ করে?

পাসকিগুলি একটি একক স্ট্রিং-ভিত্তিক পাসওয়ার্ডের উপর নির্ভর না করে একটি প্রমাণীকরণ প্রবাহ তৈরি করতে পাবলিক কী ক্রিপ্টোগ্রাফি ব্যবহার করে। ব্যবহারকারীর ডিভাইস একটি পাবলিক/প্রাইভেট কী জোড়া তৈরি করে এবং সার্ভারে সর্বজনীন কী পাঠায় যা এটি সংরক্ষণ করে এবং পরে ব্যবহারকারীকে প্রমাণীকরণের জন্য কী ব্যবহার করে, ব্যক্তিগত কী ব্যবহারকারীর ডিভাইসে সংরক্ষণ করা হয়।

নিবন্ধন প্রবাহ

• ব্যবহারকারীর ডিভাইস ওয়েব পরিষেবার সাথে আবদ্ধ একটি পাবলিক/প্রাইভেট কী জোড়া তৈরি করে।
• সর্বজনীন কী ওয়েব পরিষেবাতে পাঠানো হয় এবং ব্যক্তিগত কী ব্যবহারকারীর ডিভাইসে সংরক্ষণ করা হয়।
• ওয়েব সার্ভিস তাদের ডাটাবেসে ব্যবহারকারীর বিরুদ্ধে পাবলিক কী সংরক্ষণ করে।

প্রমাণীকরণ প্রবাহ

• ওয়েব পরিষেবা ক্লায়েন্টের কাছে একটি চ্যালেঞ্জ ননস পাঠায়।
• ব্যক্তিগত কী অ্যাক্সেস করার জন্য ব্যবহারকারীরা বায়োমেট্রিক্স, পিন ইত্যাদির মতো যেকোনো পদ্ধতি ব্যবহার করে স্থানীয়ভাবে নিজেদের প্রমাণীকরণ করে।
• ব্যবহারকারী ডিভাইস সেই নির্দিষ্ট ওয়েব পরিষেবার জন্য ব্যক্তিগত কী ব্যবহার করে চ্যালেঞ্জে স্বাক্ষর করে।
• ওয়েব পরিষেবা স্বাক্ষরিত চ্যালেঞ্জ গ্রহণ করে এবং পাবলিক কী ব্যবহার করে তা যাচাই করে। এটি নিশ্চিত করে যে ক্লায়েন্ট ডিভাইসের প্রকৃতপক্ষে ব্যক্তিগত কী অ্যাক্সেস রয়েছে।
• সফল যাচাইকরণের পরে, ওয়েব পরিষেবা ব্যবহারকারীকে প্রমাণীকরণ করে।

উল্লেখ্য পয়েন্ট

• পাবলিক/প্রাইভেট কী জোড়া প্রতিটি পরিষেবা/ওয়েবসাইটের জন্য অনন্য।
• পাবলিক কী শুধুমাত্র একবার নিবন্ধনের সময় নেটওয়ার্কের মাধ্যমে ওয়েব পরিষেবাতে প্রেরণ করা হয়।
• ব্যক্তিগত কী সর্বদা ব্যবহারকারীর ডিভাইসে থাকে এবং নেটওয়ার্কের মাধ্যমে প্রেরণ করা হয় না। (ব্যতিক্রম হল যখন আপনি পাসওয়ার্ড ম্যানেজার ব্যবহার করে পাসকিগুলি সিঙ্ক করেন)
• ব্যবহারকারীর ডিভাইস দ্বারা উত্পন্ন স্বাক্ষরিত পেলোড নেটওয়ার্কের মাধ্যমে প্রেরণ করা হয়, সেশন-নির্দিষ্ট, এবং প্রতিবার ব্যবহারকারীর প্রমাণীকরণের সময় পরিবর্তন হয়।

তারা কতটা নিরাপদ এবং কিভাবে তারা পাসওয়ার্ডের চেয়ে ভালো বিকল্প প্রদান করতে পারে?

বর্ধিত নিরাপত্তা মানে সাধারণত ব্যবহারের সহজতা হ্রাস কিন্তু পাসকিগুলির ক্ষেত্রে এটি সত্য নয়। রেজিস্ট্রেশন পর্ব সম্পূর্ণ হয়ে গেলে এগুলি ব্যবহার করা সহজ। পাসওয়ার্ড মনে রাখার কোন ভার নেই, প্রমাণীকরণ দ্রুত, সহজ এবং নিরাপদ।

পাসকিগুলি আক্রমণের পৃষ্ঠকে হ্রাস করে এবং পাসওয়ার্ডগুলির জন্য কিছু সাধারণ হুমকি দূর করে। পাসওয়ার্ড সাধারণত একটি ডাটাবেসে এনক্রিপ্ট করা আকারে সংরক্ষণ করা হয়। যখন আপনি একটি ওয়েব পরিষেবাতে লগইন করার জন্য একটি প্লেইন টেক্সট পাসওয়ার্ড ব্যবহার করেন, তখন তারা একই এনক্রিপ্ট করা টেক্সট তৈরি করে এবং এটিকে তাদের ইতিমধ্যে থাকা একটির সাথে তুলনা করে, এইভাবে ব্যবহারকারীদের প্রমাণীকরণ করা হয়। এখন এটি আমাদের দুটি সবচেয়ে সাধারণ হুমকি দিয়ে ফেলেছে।

• ডাটাবেস লঙ্ঘন
• ফিশিং আক্রমণ

ডেটাবেস লঙ্ঘন সাধারণ এবং যখন কোনও পরিষেবার ডেটা চুরি করা হয়, এটি প্রায়শই ডার্ক ওয়েবে বিক্রি হয়। ক্ষতিকারক অভিনেতা যাদের ডেটাতে অ্যাক্সেস রয়েছে তারা অফলাইনে এনক্রিপশন ভাঙ্গার চেষ্টা করতে পারে এবং আজ উপলব্ধ কম্পিউটিং শক্তির সাথে এটি এনক্রিপশনের উপর নির্ভর করে কয়েক সপ্তাহ থেকে মাস পর্যন্ত সময় নিতে পারে। পাসকিগুলি এই হুমকিটি দূর করে কারণ সঞ্চয় করার জন্য কোনও পাসওয়ার্ড নেই। একটি ফাঁসের ক্ষেত্রে, শুধুমাত্র পাবলিক কী উন্মুক্ত করা হয় যা দূষিত অভিনেতাদের জন্য খুব বেশি কাজে আসে না।

ফিশিং আক্রমণে, লক্ষ্যযুক্ত ওয়েবসাইটের একটি ক্লোন তৈরি করা হয় এবং ব্যবহারকারীকে একটি আসল সাইটের জন্য ভুল করে তাদের শংসাপত্রগুলি প্রবেশ করতে প্রতারিত করা হয়। যদিও এটি পাসকিগুলির সাথে কাজ করতে ব্যর্থ হয় কারণ চুরি করার কোনও প্রমাণপত্র নেই৷ ম্যান ইন মিডল এর সাথে মিলিত অত্যাধুনিক ফিশিং আক্রমণগুলি এখনও কার্যকর হতে পারে তবে আক্রমণের পৃষ্ঠটি অনেকাংশে হ্রাস পেয়েছে।

পাসকির প্রকারভেদ

• একক ডিভাইস বা ডিভাইস আবদ্ধ
  • ব্যক্তিগত কী কখনও ডিভাইস ছেড়ে যায় না।
  • প্রমাণীকরণ শুধুমাত্র একটি নির্দিষ্ট ডিভাইসে করা যেতে পারে যেখানে ব্যক্তিগত কী বিদ্যমান।
  • যেহেতু কীটি শুধুমাত্র একটি ডিভাইসে বিদ্যমান, তাই ডিভাইসে অ্যাক্সেস হারিয়ে গেলে পুনরুদ্ধারের পথটি ট্রিগার করা প্রয়োজন।
• মাল্টি-ডিভাইস বা সিঙ্ক
  • ব্যক্তিগত কী ব্যবহারকারীর ডিভাইস জুড়ে সিঙ্ক করা হয়।
  • সাধারণ বিকল্পগুলির মধ্যে রয়েছে Google পাসওয়ার্ড ম্যানেজার, iCloud কীচেন ইত্যাদি ব্যবহার করা।
  • কীগুলি এন্ড-টু-এন্ড এনক্রিপ্ট করা হয় যার অর্থ প্রদানকারী আপনার কীগুলি দেখতে বা ব্যবহার করতে পারে না যদিও তারা সেগুলি সংরক্ষণ করে৷
  • এটি ব্যবহারযোগ্যতা বাড়ায় কারণ ব্যবহারকারীদের শুধুমাত্র একটি ডিভাইস নিবন্ধন করতে হবে এবং তাদের ডিভাইস জুড়ে একই কী পুনরায় ব্যবহার করতে পারে।

পাসকিগুলির বহনযোগ্যতা

যেমনটি আমরা ইতিমধ্যেই শেষ বিভাগে শিখেছি, পাসকিগুলি সমস্ত ডিভাইস জুড়ে সিঙ্ক করা যেতে পারে যাতে আমরা জানি যে সেগুলি বহনযোগ্য। যতক্ষণ আপনি প্রদানকারীর (Google, iCloud) সাথে সাইন ইন করে থাকবেন ততক্ষণ আপনি আপনার সমস্ত ডিভাইসে পাসকিগুলি ব্যবহার করতে পারেন৷ এটি আমাদের এই প্রশ্নে নিয়ে যায় যে আমরা কীভাবে এমন একটি ডিভাইসে পাসকিগুলি ব্যবহার করতে যাচ্ছি যা আপনার নয়, সম্ভবত একটি বন্ধুর কম্পিউটার বা লাইব্রেরি, মূলত যে কোনও ডিভাইস যেখানে আপনি এটি একবার ব্যবহার করতে চান৷ পাসকিগুলি এই ক্ষেত্রেও কভার করে, এটি কীভাবে কাজ করে যদি দুটি সিস্টেম পাসকি সমর্থন করে তবে তারা অ্যাক্সেস ভাগ করতে ব্লুটুথের মাধ্যমে একে অপরের সাথে যোগাযোগ করতে পারে। আসুন এটি কীভাবে কাজ করে তার ধাপে ধাপে ওয়াকথ্রু দেখুন।

• আপনি একটি ডেস্কটপে xyz.com একটি ওয়েবসাইট খোলেন যেখানে আপনার কাছে পাসকি নেই৷
• আপনি একটি ভিন্ন ডিভাইসে পাসকি দিয়ে সাইন ইন করার বিকল্পটি ব্যবহার করতে পারেন।
• ডেস্কটপ আপনাকে আশেপাশের উপলব্ধ ডিভাইস বা একটি QR কোডের বিকল্পগুলি দেখাবে৷
• আপনি ডিভাইসটি নির্বাচন করতে পারেন বা QR স্ক্যান করতে পারেন।
• এর পরে, আপনি নিজেকে প্রমাণীকরণ করতে আপনার মোবাইল ডিভাইস ব্যবহার করতে পারেন এবং ডেস্কটপকে আপনার মোবাইল থেকে পাসকি ব্যবহার করার অনুমতি দিতে পারেন।
• একবার প্রমাণীকরণ হয়ে গেলে, আপনি রেজিস্ট্রেশন প্রক্রিয়ার মধ্য দিয়ে না গিয়ে ডেস্কটপে একটি পাসকি তৈরি করার বিকল্পও পাবেন। যদি বেছে নেওয়া হয়, তাহলে পরের বার আপনার মোবাইল ডিভাইসের প্রয়োজন হবে না এবং ডেস্কটপের জন্য পাসকিগুলির একটি নতুন সেট তৈরি করা হবে।
• আপনি যদি শুধুমাত্র একবার ব্যবহার করতে চান, কোন নতুন পাসকি তৈরি করা হবে না।

দত্তক নেওয়ার উপর Takeaways

পাসকিগুলি FIDO2 মানগুলির উপর ভিত্তি করে যা ক্লায়েন্ট টু অথেনটিকেটর প্রোটোকল (CTAP) কে ওয়েব প্রমাণীকরণ API (WebAuthn) এর সাথে একত্রিত করে এবং এটি FIDO জোট এবং W3C-এর মধ্যে একটি যৌথ প্রকল্প। এই প্রমিতকরণ প্রচেষ্টার লক্ষ্য গ্রহণ এবং যথাযথ বাস্তবায়ন বৃদ্ধি করা। ওএস এবং ব্রাউজার স্তরে গুগল, অ্যাপল মাইক্রোসফ্টের মতো কোম্পানিগুলি দ্বারা পাসকিগুলির জন্য স্থানীয় সমর্থন যোগ করা হয়েছে যা পাসকিগুলি গ্রহণকে উত্সাহিত করার জন্য একটি দীর্ঘ পথ নিয়ে যায়৷

শিল্পে পাসওয়ার্ডের উপর দীর্ঘ নির্ভরতার কারণে, পাসকিগুলি গ্রহণ করা কেবল একটি প্রযুক্তিগত চ্যালেঞ্জ নয় বরং একটি মনস্তাত্ত্বিকও। শেষ ব্যবহারকারীরা প্রাথমিকভাবে পাসকি সম্পর্কে অস্বস্তি বোধ করতে পারে কারণ তারা পাসওয়ার্ড-ভিত্তিক সিস্টেমের পরিচিতিতে অভ্যস্ত। যদিও পাসকিগুলি পাসওয়ার্ডের চেয়ে নিরাপদ এবং ব্যবহার করা সহজ, পরিচিত বিকল্পগুলির সাথে সান্ত্বনা বেশিরভাগ ক্ষেত্রেই জয়ী হয়৷ পাসকিগুলিকে বৃহৎ পরিসরে গৃহীত করার জন্য ব্যবহারকারী শিক্ষার প্রয়োজন, পুনরুদ্ধার এবং ব্যবহারের সহজতা সম্পর্কে প্রশ্ন প্রাথমিকভাবে থাকবে।

অন্যদিকে, কোম্পানিগুলি পাসকি প্রমাণীকরণ অফার করতে অনিচ্ছুক হতে পারে যদি তারা যথেষ্ট ব্যবহারকারী গ্রহণ না দেখে। সরকারি খাতে, সরকার নীতি পরিবর্তনের মাধ্যমে গ্রহণকে উৎসাহিত করতে পারে।

উপসংহার

পাসকিগুলির প্রমাণীকরণ স্থান পরিবর্তন করার সম্ভাবনা রয়েছে। তারা নিরাপদ এবং ব্যবহার করা সহজ. তারা পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণের সাথে বিদ্যমান সাধারণ হুমকিগুলি দূর করে, তবে, তারা তাদের চ্যালেঞ্জ এবং সীমাবদ্ধতাও নিয়ে আসে। অ্যাকাউন্ট পুনরুদ্ধার এবং শংসাপত্রের বহনযোগ্যতা এমন কিছু প্রশ্ন যা সঠিকভাবে সমাধান করা দরকার। আমি মনে করি পরের ধাপ হল প্রমাণীকরণের একটি হাইব্রিড মোড অর্থাৎ পাসওয়ার্ডের সাথে পাসকি ব্যবহার করা। বাস্তব বিশ্বে গ্রহণ যত বাড়বে আমরা দেখতে পাব আরও যুক্তি তৈরি হচ্ছে যা একটি সম্পূর্ণ পাসওয়ার্ডহীন ভবিষ্যতের দিকে যাওয়ার আগে পরবর্তী কোথায় যেতে হবে তা সিদ্ধান্ত নেওয়ার জন্য একটি ভাল পয়েন্ট হবে।

**