প্রধান টেকওয়ে
- সাইবারসিকিউরিটি বিশেষজ্ঞরা পরামর্শ দেন যে পাসওয়ার্ডগুলিকে নিজেরাই, অ্যাকাউন্টগুলি সুরক্ষিত করার জন্য পর্যাপ্ত হিসাবে বিবেচনা করা উচিত নয়৷
- ব্যবহারকারীদের মাল্টি-ফ্যাক্টর অথেন্টিকেশন (MFA) সক্ষম করা উচিত যেখানেই সম্ভব৷
- তবে, দুর্বল পাসওয়ার্ড তৈরির অজুহাত হিসেবে MFA ব্যবহার করা উচিত নয়।
যখন আপনার অনলাইন পরিষেবা প্রদানকারী তাদের সার্ভারে ভুল কনফিগারেশনের কারণে আপনার শংসাপত্রগুলি ফাঁস করে তখন সবচেয়ে শক্তিশালী পাসওয়ার্ড এবং সবচেয়ে কঠোর পাসওয়ার্ড নীতিগুলি খুব একটা কাজে আসে না৷
আপনি যদি মনে করেন যে এই ধরনের ঘটনা একটি বিরল ঘটনা হবে, তাহলে জেনে রাখুন যে 2021 সালে অনেক বড় ডেটা ফাঁস হয়েছে পরিষেবা প্রদানকারীদের প্রযুক্তিগত ত্রুটির কারণে। আসলে, 2021 সালের ডিসেম্বরে, সাইবার নিরাপত্তা বিশেষজ্ঞরা Sega-এর মালিকানাধীন Amazon Web Services' S3 বাকেট-এ এই ধরনের একটি ভুল কনফিগারেশন প্লাগ করতে সাহায্য করেছিলেন, যাতে পাসওয়ার্ড সহ সব ধরনের সংবেদনশীল তথ্য ছিল।
"পাসওয়ার্ড ব্যবহার অপ্রচলিত হওয়া উচিত, এবং আমাদের অ্যাকাউন্টে লগ ইন করার জন্য বিভিন্ন উপায় সন্ধান করা উচিত," নিরাপত্তা বিক্রেতা গুরুকুলের সিইও, সার্যু নায়ার, ইমেলের মাধ্যমে লাইফওয়্যারকে বলেছেন৷
পাসওয়ার্ডের সমস্যা
ডিসেম্বর মাসে, দ্য সান রিপোর্ট করেছে যে যুক্তরাজ্যের ন্যাশনাল ক্রাইম এজেন্সি (এনসিএ) জনপ্রিয় হ্যাভ আই বিন পাউন্ড (HIBP) পরিষেবাতে 500 মিলিয়নেরও বেশি পাসওয়ার্ড সরবরাহ করেছে, যা এটি একটি তদন্তের সময় উন্মোচিত হয়েছিল৷
HIBP ব্যবহারকারীদের তাদের পাসওয়ার্ডগুলি কোনও লঙ্ঘন করে ফাঁস হয়েছে কিনা এবং হ্যাকারদের দ্বারা অপব্যবহারের প্রবণতা পরীক্ষা করতে সক্ষম করে৷ HIBP এর প্রতিষ্ঠাতা, ট্রয় হান্টের মতে, NCA দ্বারা সরবরাহ করা 200 মিলিয়নেরও বেশি পাসওয়ার্ড ইতিমধ্যেই ডাটাবেসে বিদ্যমান ছিল না৷
যদিও ব্রাউজারগুলির অ্যাকাউন্টের শংসাপত্র সংরক্ষণের বৈশিষ্ট্যটি খুবই সুবিধাজনক… ব্যবহারকারীদের এটি ব্যবহার করা থেকে বিরত থাকার পরামর্শ দেওয়া হচ্ছে।
"এটি সমস্যার নিখুঁত আকারের দিকে নির্দেশ করে, সমস্যাটি হল পাসওয়ার্ড, একজনের সত্যতা প্রমাণের একটি প্রাচীন পদ্ধতি৷ যদি কখনও পাসওয়ার্ডগুলি নির্মূল করার এবং বিকল্পগুলি সন্ধান করার জন্য কাজ করার আহ্বান জানানো হয়, তবে এটি করতে হবে এটা হোক, " বাবের আমিন, ডিজিটাল পরিচয় বিশেষজ্ঞদের সিওও, ভেরিডিয়াম লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন, HIPB-তে NCA-এর সাম্প্রতিক অবদানের প্রতিক্রিয়ায়।
আমিন যোগ করেছেন যে ফাঁস হওয়া শংসাপত্রগুলি কেবল বিদ্যমান অ্যাকাউন্টগুলির সাথে আপোস করে না, কারণ হ্যাকাররা এখন সেগুলিকে এআই-ভিত্তিক বিশ্লেষণী সরঞ্জামগুলির সাথে ব্যবহার করে যাতে একজন ব্যক্তি কীভাবে পাসওয়ার্ড তৈরি করে তার নিদর্শনগুলি সনাক্ত করতে পারে৷ মোটকথা, ফাঁস হওয়া শংসাপত্রগুলি অন্যান্য অ-আপসহীন অ্যাকাউন্টগুলির নিরাপত্তাকেও বিপন্ন করে৷
পাসওয়ার্ড এবং আরো
পাসওয়ার্ডের চেয়ে একটি ভাল সুরক্ষা ব্যবস্থার পক্ষে কথা বলে, নায়ার পরামর্শ দেন যে ব্যবহারকারীদের কাছে তাদের অ্যাকাউন্টে মাল্টি-ফ্যাক্টর প্রমাণীকরণ সেট আপ করার বিকল্প রয়েছে।
রন ব্র্যাডলি, শেয়ার্ড অ্যাসেসমেন্টের ভিপি, একটি সদস্যপদ সংস্থা যা তৃতীয়-পক্ষের ঝুঁকির নিশ্চয়তার জন্য সর্বোত্তম অনুশীলন বিকাশে সহায়তা করে, সম্মত হন৷ "যেখানে সম্ভব মাল্টি-ফ্যাক্টর প্রমাণীকরণ চালু করুন, বিশেষ করে যে অ্যাপগুলি অর্থ স্থানান্তর করে।"
একক পাসওয়ার্ড দিয়ে একটি অ্যাকাউন্ট সুরক্ষিত করা একক-ফ্যাক্টর প্রমাণীকরণ হিসাবে পরিচিত। মাল্টি-ফ্যাক্টর প্রমাণীকরণ বা MFA এর উপরে তৈরি করে এবং ব্যবহারকারীদের কাছে অন্য তথ্যের জন্য জিজ্ঞাসা করে সাইন-ইন প্রক্রিয়ায় একটি অতিরিক্ত পদক্ষেপ যোগ করে অ্যাকাউন্টগুলিকে সুরক্ষিত করে। বেশ কয়েকটি ব্যাঙ্ক সহ অনেক পরিষেবা, ব্যাঙ্কে নিবন্ধিত ব্যবহারকারীর মোবাইল নম্বরে একটি যাচাইকরণ কোড পাঠিয়ে MFA কার্যকর করে৷
তবে, এই যাচাইকরণ পদ্ধতিটি সিম সোয়াপ অ্যাটাক নামে পরিচিত একটি আক্রমণ প্রক্রিয়ার প্রবণ, যেখানে আক্রমণকারীরা আক্রমণকারীর সিম কার্ডে নম্বরটি পুনরায় বরাদ্দ করার জন্য মালিকের ক্যারিয়ারকে প্রতারণা করে একটি লক্ষ্যের মোবাইল ফোন নম্বর নিয়ন্ত্রণ করে৷
এমন একটি আক্রমণ স্বীকার করে যা তার কিছু গ্রাহককে লক্ষ্য করে, টি-মোবাইল বলেছে যে সিম অদলবদল আক্রমণ একটি সাধারণ এবং শিল্প-ব্যাপী ঘটনা হয়ে দাঁড়িয়েছে৷
পরিবর্তে, MFA সক্ষম করার জন্য একটি ভাল বিকল্প হল Duo Security, Google Authenticator, Authy, Microsoft Authenticator এবং এই ধরনের অন্যান্য ডেডিকেটেড MFA অ্যাপ ব্যবহার করা।
পাসওয়ার্ড ছড়ানো
তবে, আমরা যে সকল সাইবার নিরাপত্তা বিশেষজ্ঞদের সাথে কথা বলেছি তারা সতর্ক করে দিয়েছিলেন যে MFA ব্যবহার করা পাসওয়ার্ড সুরক্ষিত করার জন্য পর্যাপ্ত পদক্ষেপ না নেওয়ার অজুহাত হওয়া উচিত নয়।
"এক-শতকরা তাদের অংশ হোন যাদের ব্যাঙ্কের পাসওয়ার্ড কী তা জানেন না কারণ এটি খুব দীর্ঘ এবং জটিল," ব্র্যাডলি পরামর্শ দিয়েছেন৷
তিনি যোগ করেছেন যে ব্যবহারকারীদের পাসওয়ার্ড ম্যানেজারে বিনিয়োগ করার কথা বিবেচনা করা উচিত যখন এটি পাসওয়ার্ড আসে। যদিও ফ্রি পাসওয়ার্ড ম্যানেজারদের কোনো অভাব নেই, এবং আপনার ওয়েব ব্রাউজারে একটি অন্তর্নির্মিতও রয়েছে, বিশেষজ্ঞরা পরামর্শ দেন যে একটি ফ্রি পাসওয়ার্ড ম্যানেজার না থাকার চেয়ে ভাল, তবে ব্যবহারকারীদের একটি ব্যবহার করার সময় সতর্কতা অবলম্বন করা উচিত।
এক-শতাংশের অংশ হোন যাদের ব্যাঙ্কের পাসওয়ার্ড কী তা জানেন না কারণ এটি খুব দীর্ঘ এবং জটিল৷
একটি কোম্পানির অভ্যন্তরীণ নেটওয়ার্কের সাম্প্রতিক লঙ্ঘনের তদন্ত করার সময়, AhnLab-এর সাইবার নিরাপত্তা গবেষকরা আবিষ্কার করেছেন যে কোম্পানির নেটওয়ার্কে ভাঙার জন্য ব্যবহৃত VPN অ্যাকাউন্টটি একজন দূরবর্তী কর্মরত কর্মীর পিসি থেকে ফাঁস হয়েছে৷
এই পিসিটি বিভিন্ন ম্যালওয়্যার দ্বারা সংক্রমিত হয়েছিল, যার মধ্যে একটি বিশেষভাবে ক্রোমিয়াম-ভিত্তিক ওয়েব ব্রাউজার যেমন গুগল ক্রোম এবং মাইক্রোসফ্ট এজ-এর মধ্যে তৈরি পাসওয়ার্ড পরিচালকদের কাছ থেকে পাসওয়ার্ড বের করার জন্য ডিজাইন করা হয়েছে৷
"যদিও ব্রাউজারগুলির অ্যাকাউন্টের শংসাপত্রগুলি সংরক্ষণ করার বৈশিষ্ট্যটি খুব সুবিধাজনক, যেহেতু ম্যালওয়্যার সংক্রমণের কারণে অ্যাকাউন্টের শংসাপত্রগুলি ফাঁস হওয়ার ঝুঁকি রয়েছে, ব্যবহারকারীদের এটি ব্যবহার করা থেকে বিরত থাকার পরামর্শ দেওয়া হচ্ছে, " AhnLab গবেষকদের সতর্ক করুন৷