বহু-ধাপের প্রমাণীকরণ
বহু-ধাপের প্রমাণীকরণ (এমএফএ/MFA ; দুই-ধাপের প্রমাণীকরণ, বা ২এফএ/2FA, অনুরূপ পদ সহ) একটি ইলেকট্রনিক প্রমাণীকরণ পদ্ধতি যেখানে একজন ব্যবহারকারীকে একটি প্রমাণীকরণ প্রক্রিয়ায় সফলভাবে দুই বা ততোধিক প্রমাণ (বা কারণ) উপস্থাপন করার পরেই একটি ওয়েবসাইট বা অ্যাপ্লিকেশনে প্রবেশাধিকার দেওয়া হয়। বহু-ধাপের প্রমাণীকরণ একটি অননুমোদিত তৃতীয় পক্ষের দ্বারা প্রবেশাধিকার করা থেকে ব্যক্তিগত তথ্যকে রক্ষা করে (যার মধ্যে ব্যক্তিগত শনাক্তকরণ বা আর্থিক সম্পদ অন্তর্ভুক্ত থাকতে পারে), যে তৃতীয় পক্ষ উক্ত তথ্য উদঘাটন করতে সক্ষম হতে পারে, উদাহরণস্বরূপ, একটি একক পাসওয়ার্ড৷
একটি তৃতীয়-পক্ষের প্রমাণীকরণকারী (টিপিএ/TPA) অ্যাপ প্রমাণীকরণে ব্যবহার করার জন্য সাধারণত একটি এলোমেলোভাবে তৈরি করা এবং ঘন ঘন পরিবর্তন করা কোড দেখিয়ে দুই-ধাপের প্রমাণীকরণ সক্ষম করে।
ধাপ
[সম্পাদনা]প্রমাণীকরণ ঘটে যখন কেউ একটি কম্পিউটার সংস্থান (যেমন একটি কম্পিউটার নেটওয়ার্ক, যন্ত্র বা অ্যাপ্লিকেশন) লগ ইন করার চেষ্টা করে। সংস্থানটির জন্য ব্যবহারকারীকে সেই পরিচয় সরবরাহ করতে হবে যার মাধ্যমে ব্যবহারকারী সংস্থানের কাছে পরিচিত, সেই পরিচয়ে ব্যবহারকারীর দাবির সত্যতার প্রমাণ সহ পরিচয় সরবরাহ করতে হবে। সহজ প্রমাণীকরণের জন্য শুধুমাত্র একটি প্রমাণের (ধাপ) প্রয়োজন, সাধারণত একটি পাসওয়ার্ড। অতিরিক্ত নিরাপত্তার জন্য সংস্থানের একাধিক ধাপ–বহু-ধাপের প্রমাণীকরণ প্রয়োজন হতে পারে, বা দুই-ধাপের প্রমাণীকরণের ক্ষেত্রে ঠিক দুটি প্রমাণ সরবরাহ করতে হবে।[১]
একজনের পরিচয় প্রমাণ করার জন্য একাধিক প্রমাণীকরণ কারণের ব্যবহার এই ভিত্তির উপর নির্ভর করে যে একজন অননুমোদিত অভিনেতা প্রবেশাধিকারের জন্য প্রয়োজনীয় উপাদানগুলি সরবরাহ করতে সক্ষম হবেন না। যদি, প্রমাণীকরণের প্রচেষ্টায় উপাদানগুলির মধ্যে অন্তত একটি অনুপস্থিত থাকে বা ভুলভাবে সরবরাহ করা হয়, তবে ব্যবহারকারীর পরিচয় পর্যাপ্ত নিশ্চিততার সাথে প্রতিষ্ঠিত হয় না এবং বহু-ধাপের প্রমাণীকরণ দ্বারা সুরক্ষিত সংস্থানে (যেমন, একটি স্থাপন, বা উপাত্ত) প্রবেশাধিকার অবরুদ্ধ থাকে। একটি বহু-ধাপের প্রমাণীকরণ পদ্ধতির প্রমাণীকরণ কারণগুলির মধ্যে অন্তর্ভুক্ত থাকতে পারে:[২]
- ব্যবহারকারীর কাছে আছে এমন কিছু: ব্যবহারকারীর দখলে থাকা যেকোনো ভৌত বস্তু, যেমন একটি নিরাপত্তা প্রতীক (ইউএসবি স্টিক), একটি ব্যাঙ্ক কার্ড, একটি চাবি ইত্যাদি৷
- ব্যবহারকারীর জানা কিছু: নির্দিষ্ট কিছু জ্ঞান শুধুমাত্র ব্যবহারকারীর কাছে পরিচিত, যেমন একটি পাসওয়ার্ড, পিন, পাক ইত্যাদি।
- ব্যবহারকারী হয় এমন কিছু: ব্যবহারকারীর কিছু শারীরিক বৈশিষ্ট্য (বায়োমেট্রিক্স), যেমন আঙুলের ছাপ, চোখের আইরিস, কণ্ঠস্বর, টাইপিং গতি, কী চাপার ব্যবধানে নমুনা, ইত্যাদি।
দুই-ধাপের প্রমাণীকরণের একটি উদাহরণ হল এটিএম থেকে টাকা তোলা; যা শুধুমাত্র একটি ব্যাঙ্ক কার্ড (ব্যবহারকারীর কাছে থাকা কিছু) এবং একটি পিন (ব্যবহারকারীর জানা কিছু) এর সঠিক সমন্বয়ই লেনদেন সম্পন্ন করতে দেয়। আরো দুটি উদাহরণ হল ব্যবহারকারী-নিয়ন্ত্রিত পাসওয়ার্ডের সাথে একটি একবার ব্যবহারযোগ্য ওয়ান-টাইম পাসওয়ার্ড (ওটিপি/OTP) বা প্রমাণীকরণকারীর (যেমন একটি নিরাপত্তা প্রতীক বা স্মার্টফোন) দ্বারা তৈরি করা বা প্রাপ্ত কোডের পরিপূরক যা শুধুমাত্র ব্যবহারকারীরই আছে।[৩]
একটি তৃতীয় পক্ষের প্রমাণীকরণকারী অ্যাপ সাধারণত একটি এলোমেলোভাবে তৈরি করা এবং ক্রমাগত শোধনকারী কোড দেখানোর মাধ্যমে একটি ভিন্ন উপায়ে দুই-ধাপের প্রমাণীকরণ সক্ষম করে, যা ব্যবহারকারী একটি এসএমএস পাঠানো বা অন্য পদ্ধতি ব্যবহার করার পরিবর্তে ব্যবহার করতে পারে। এই অ্যাপগুলির একটি বড় সুবিধা হল যে তারা সাধারণত ইন্টারনেট সংযোগ ছাড়াই কাজ করতে থাকে। তৃতীয় পক্ষের প্রমাণীকরণকারী অ্যাপ্লিকেশনগুলির উদাহরণের মধ্যে রয়েছে গুগল প্রমাণীকরণকারী, প্রমাণীকরণকারী এবং মাইক্রোসফ্ট প্রমাণীকরণকারী; কিছু পাসওয়ার্ড পরিচালকও এ পরিষেবা প্রদান করে।[৪]
জ্ঞান
[সম্পাদনা]জ্ঞানের ধাপ প্রমাণীকরণের একটি প্রকার। এই প্রকারে ব্যবহারকারীকে প্রমাণীকরণের জন্য একটি গোপন জ্ঞান প্রমাণ করতে হবে।
একটি পাসওয়ার্ড হল একটি গোপন শব্দ বা অক্ষরের ধারা যা ব্যবহারকারীর প্রমাণীকরণের জন্য ব্যবহৃত হয়। এটি প্রমাণীকরণের সর্বাধিক ব্যবহৃত পদ্ধতি।[২] অনেক বহু-ধাপের প্রমাণীকরণ কৌশল প্রমাণীকরণের একটি কারণ হিসাবে পাসওয়ার্ডের উপর নির্ভর করে। ভিন্নতার মধ্যে রয়েছে একাধিক শব্দ (একটি পাসফ্রেজ) থেকে গঠিত দীর্ঘ এবং ছোট, বিশুদ্ধভাবে সংখ্যাসূচক, পিন যা সাধারণত এটিএম প্রবেশাধিকারের জন্য ব্যবহৃত হয়। ঐতিহ্যগতভাবে, পাসওয়ার্ডগুলি মুখস্থ করা হবে বলে আশা করা হয়, তবে এটি একটি লুকানো কাগজ বা টেক্সট ফাইলেও লেখা যেতে পারে।
দখল
[সম্পাদনা]দখল ধাপ ("এমন কিছু যা শুধুমাত্র ব্যবহারকারীরই আছে") বহু শতাব্দী ধরে প্রমাণীকরণের জন্য তালার চাবি আকারে ব্যবহার করা হয়েছে। এর মূল নীতিটি হল চাবিটি একটি গোপনীয়তাকে মূর্ত করে যা তালা এবং চাবির মধ্যে ভাগ করা হয় এবং একই নীতিটি কম্পিউটার সিস্টেমে দখল ধাপের প্রমাণীকরণের অন্তর্গত। একটি নিরাপত্তা প্রতীক একটি দখল ধাপের একটি উদাহরণ।
সংযোগ বিচ্ছিন্ন প্রতীকগুলোর ক্লায়েন্ট কম্পিউটারের সাথে কোন সংযোগ নেই৷ তারা সাধারণত উৎপন্ন প্রমাণীকরণ উপাত্ত প্রদর্শন করতে একটি অন্তর্নির্মিত পর্দা ব্যবহার করে, যা ব্যবহারকারী দ্বারা স্বয়ংক্রিয়ভাবে টাইপ করা হয়। এই ধরনের প্রতীক বেশিরভাগই একটি ওটিপি ব্যবহার করে যা শুধুমাত্র সেই নির্দিষ্ট অধিবেশনের জন্য ব্যবহার করা যেতে পারে।[৫]
সংযুক্ত প্রতীকগুলি এমন যন্ত্র যা ব্যবহার করার জন্য কম্পিউটারের সাথে শারীরিকভাবে সংযুক্ত থাকে। এই যন্ত্রগুলো স্বয়ংক্রিয়ভাবে উপাত্ত প্রেরণ করে।[৬] ইউএসবি প্রতীক, স্মার্ট কার্ড এবং ওয়্যারলেস ট্যাগ সহ বিভিন্ন প্রকারের সংখ্যা রয়েছে।[৬] ক্রমবর্ধমানভাবে ফিডো২ সক্ষম টোকেন, ফিডো অ্যালায়েন্স এবং ওয়ার্ল্ড ওয়াইড ওয়েব কনসোর্টিয়াম (W3C) দ্বারা সমর্থিত, যা ২০১৫ থেকে শুরু হওয়া মূলধারার ব্রাউজার সমর্থনের সাথে জনপ্রিয় হয়ে উঠেছে।
বহু-ধাপের প্রমাণীকরণ শারীরিক নিরাপত্তা ব্যবস্থায়ও প্রয়োগ করা যেতে পারে। এই শারীরিক নিরাপত্তা ব্যবস্থা পরিচিত এবং সাধারণভাবে প্রবেশাধিকার নিয়ন্ত্রণ হিসাবে উল্লেখ করা হয়। বহু-ধাপের প্রমাণীকরণ সাধারণত ব্যবহারের মাধ্যমে প্রবেশাধিকার নিয়ন্ত্রণ পদ্ধতিতে স্থাপন করা হয়, প্রথমত, একটি শারীরিক দখল (যেমন একটি ফোব, কীকার্ড, বা একটি যন্ত্রে প্রদর্শিত কিউআর-কোড) যা সনাক্তকরণের প্রমাণপত্র হিসাবে কাজ করে এবং দ্বিতীয়ত, একটি বৈধতা একজনের পরিচয় যেমন মুখের বায়োমেট্রিক্স বা রেটিনাল স্ক্যান। বহু-ধাপের প্রমাণীকরণের এই প্রকারটিকে সাধারণত মুখের যাচাই বা মুখের প্রমাণীকরণ হিসাবে উল্লেখ করা হয়।
অন্তর্নিহিত
[সম্পাদনা]এগুলি ব্যবহারকারীর সাথে যুক্ত কারণ এবং সাধারণত আঙুলের ছাপ, মুখ,[৭] কন্ঠস্বর বা কনীনিকা স্বীকৃতি সহ বায়োমেট্রিক পদ্ধতি। আচরণগত বায়োমেট্রিক্স যেমন কীস্ট্রোক ডায়নামিক্সও ব্যবহার করা যেতে পারে।
মোবাইল ফোন ভিত্তিক প্রমাণীকরণ
[সম্পাদনা]পাঠ্য বার্তার উপর দুই ধাপের প্রমাণীকরণ ১৯৯৬ সালের প্রথম দিকে বিকশিত হয়েছিল, যখন এটি&টি দ্বি-মুখী পেজারে কোডের বিনিময়ের ভিত্তিতে লেনদেন অনুমোদনের জন্য একটি পদ্ধতি বর্ণনা করেছিল।[৮][৯]
অনেক বহু-ধাপের প্রমাণীকরণ বিক্রেতারা মোবাইল ফোন-ভিত্তিক প্রমাণীকরণ প্রদান করে। কিছু পদ্ধতির মধ্যে রয়েছে পুশ-ভিত্তিক প্রমাণীকরণ, কিউআর কোড-ভিত্তিক প্রমাণীকরণ, ওয়ান-টাইম পাসওয়ার্ড প্রমাণীকরণ (ঘটনা-ভিত্তিক এবং সময়-ভিত্তিক), এবং এসএমএস-ভিত্তিক যাচাইকরণ। এসএমএস-ভিত্তিক যাচাইকরণ কিছু নিরাপত্তা উদ্বেগের কারণে ভোগে। ফোন অনুকৃতি করা যেতে পারে, অ্যাপগুলি বেশ কয়েকটি ফোনে চলতে পারে এবং মুঠোফোন রক্ষণাবেক্ষণ কর্মীরা এসএমএস পাঠ্য পড়তে পারে। যদি তাও না হয় তবে, মুঠোফোনগুলো সাধারণভাবে হ্যাক করা যেতে পারে, যার অর্থ ফোনটি আর এমন কিছু নয় যা শুধুমাত্র ব্যবহারকারীর আছে৷
ব্যবহারকারীর কাছে থাকা কিছুসহ প্রমাণীকরণের প্রধান ত্রুটি হল ব্যবহারকারীকে বাস্তবিকভাবে সর্বদা শারীরিক প্রতীক (ইউএসবি স্টিক, ব্যাঙ্ক কার্ড, চাবি বা অনুরূপ) বহন করতে হবে। ক্ষতি এবং চুরি ঝুঁকি। ম্যালওয়্যার এবং তথ্য চুরির ঝুঁকির কারণে অনেক সংস্থা ইউএসবি এবং ইলেকট্রনিক যন্ত্রগুলোকে প্রাঙ্গনে বা বাইরে বহন করতে নিষেধ করে এবং একই কারণে সবচেয়ে গুরুত্বপূর্ণ যন্ত্রগুলোতে ইউএসবি পোর্ট নেই৷ শারীরিক প্রতীকগুলি সাধারণত স্কেল করে না, সাধারণত প্রতিটি নতুন অ্যাকাউন্ট এবং সিস্টেমের জন্য একটি নতুন প্রতীকের প্রয়োজন হয়। এই ধরনের প্রতীক সংগ্রহ করা এবং পরবর্তীতে প্রতিস্থাপন করা খরচ জড়িত। উপরন্তু, ব্যবহারযোগ্যতা এবং নিরাপত্তার মধ্যে অন্তর্নিহিত দ্বন্দ্ব এবং অনিবার্য ভারসাম্য রয়েছে।[১০]
মোবাইল ফোন এবং স্মার্টফোন জড়িত দুই-ধাপের প্রমাণীকরণ নিবেদিত শারীরিক যন্ত্রের বিকল্প প্রদান করে। প্রমাণীকরণের জন্য লোকেরা যন্ত্রে তাদের ব্যক্তিগত প্রবেশাধিকার কোড ব্যবহার করতে পারে (অর্থাৎ এমন কিছু যা শুধুমাত্র স্বতন্ত্র ব্যবহারকারীই জানে) এবং একটি এক-কালীন বৈধ, গতিশীল পাসকোড, যা সাধারণত ৪ থেকে ৬ সংখ্যা বিশিষ্ট। পাসকোডটি এসএমএসের মাধ্যমে তাদের মোবাইল ডিভাইসে[১] পাঠানো যেতে পারে বা এককালীন পাসকোড-উৎপাদক অ্যাপ দ্বারা তৈরি করা যেতে পারে। উভয় ক্ষেত্রেই একটি মোবাইল ফোন ব্যবহার করার সুবিধা হল একটি অতিরিক্ত নিবেদিত প্রতীকের প্রয়োজন নেই, কারণ ব্যবহারকারীরা সর্বদা তাদের মোবাইল যন্ত্রগুলোকে সাথে রাখে।
এসএমএস যাচাইকরণের জনপ্রিয়তা সত্ত্বেও নিরাপত্তা আইনজীবীরা প্রকাশ্যে এসএমএস যাচাইকরণের সমালোচনা করেছেন,[১১] এবং জুলাই ২০১৬ সালে মার্কিন যুক্তরাষ্ট্রের একটি এনআইএসটি খসড়া নির্দেশিকা এটিকে প্রমাণীকরণের একটি প্রকার হিসাবে অবমূল্যায়ন করার প্রস্তাব করেছিল।[১২] এক বছর পরে এনআইএসটি চূড়ান্ত নির্দেশিকাতে একটি বৈধ প্রমাণীকরণ চ্যানেল হিসাবে এসএমএস যাচাইকরণ পুনঃস্থাপন করেছে।[১৩]
যথাক্রমে ২০১৬ এবং ২০১৭ সালে গুগল এবং অ্যাপল উভয়ই বিকল্প পদ্ধতি হিসাবে পুশ নোটিফিকেশন[২] সহ ব্যবহারকারীর দুই-ধাপের প্রমাণীকরণ প্রদান করা শুরু করে।[১৪][১৫]
মোবাইল সরবরাহকৃত নিরাপত্তা প্রতীকগুলির নিরাপত্তা সম্পূর্ণরূপে মোবাইল অপারেটরের অপারেশনাল নিরাপত্তার উপর নির্ভর করে এবং জাতীয় নিরাপত্তা সংস্থার দ্বারা ওয়্যারট্যাপিং বা সিম অনুকৃতির মাধ্যমে সহজেই তা লঙ্ঘন করা যেতে পারে।[১৬]
সুবিধা:
- কোন অতিরিক্ত প্রতীকের প্রয়োজন নেই কারণ এটি মোবাইল যন্ত্র ব্যবহার করে যা (সাধারণত) সব সময় বহন করা হয়।
- যেহেতু সেগুলো ক্রমাগত পরিবর্তিত হয়, তাই গতিশীলভাবে তৈরি পাসকোডগুলো স্থির লগ-ইন তথ্যের চেয়ে ব্যবহার করা নিরাপদ৷
- সমাধানের উপর নির্ভর করে যে পাসকোডগুলো ব্যবহার করা হয়েছে সেগুলো স্বয়ংক্রিয়ভাবে প্রতিস্থাপিত হয় যাতে নিশ্চিত করা যায় যে একটি বৈধ কোড সর্বদা উপলব্ধ থাকে, ট্রান্সমিশন/অভ্যর্থনা সমস্যা তাই লগইন প্রতিরোধ করে না।
অসুবিধা:
- ব্যবহারকারীরা এখনও ফিশিং আক্রমণের জন্য সংবেদনশীল হতে পারে। একজন আক্রমণকারী একটি পাঠ্য বার্তা পাঠাতে পারে যা একটি প্রতারণামূলক ওয়েবসাইটের সাথে সংযোগ করে যা প্রকৃত ওয়েবসাইটের মতো একইরকম দেখায়। আক্রমণকারী তারপর প্রমাণীকরণ কোড, ব্যবহারকারীর নাম এবং পাসওয়ার্ড পেতে পারেন।[১৭]
- একটি মোবাইল ফোন সবসময় পাওয়া যায় না – এটি হারিয়ে যেতে পারে, চুরি হতে পারে, ব্যাটারি নষ্ট হতে পারে বা অন্যথায় কাজ নাও করতে পারে।
- তাদের ক্রমবর্ধমান জনপ্রিয়তা সত্ত্বেও কিছু ব্যবহারকারী এমনকি একটি মোবাইল যন্ত্রের মালিক নাও হতে পারে, এবং তাদের ঘরোয়া কম্পিউটারে কিছু পরিষেবা ব্যবহার করার শর্ত হিসাবে একটির মালিকানা থাকা প্রয়োজন বলে অবজ্ঞা করে।
- মোবাইল ফোনের অভ্যর্থনা সবসময় পাওয়া যায় না—বড় এলাকা, বিশেষ করে শহরের বাইরে কভারেজের অভাব।
- সিম ক্লোনিং হ্যাকারদের মোবাইল ফোন সংযোগে প্রবেশাধিকার দেয়। মোবাইল-অপারেটর কোম্পানিগুলির বিরুদ্ধে সোশ্যাল-ইঞ্জিনিয়ারিং আক্রমণের ফলে অপরাধীদের কাছে নকল সিম কার্ড হস্তান্তর হয়৷[১৮]
- এসএমএস ব্যবহার করে মোবাইল ফোনে পাঠ্য বার্তাগুলি অনিরাপদ এবং আইএমএসআই-ক্যাচার দ্বারা আটকানো যেতে পারে৷ এইভাবে তৃতীয় পক্ষ এটি চুরি করতে পারে এবং প্রতীক ব্যবহার করতে পারে।[১৯]
- অ্যাকাউন্ট পুনরুদ্ধার সাধারণত মোবাইল ফোনে দুই-ধাপের প্রমাণীকরণ উপেক্ষা করে।[১][যাচাইকরণ ব্যর্থ হয়েছে]
- আধুনিক স্মার্টফোনগুলো ইমেইল এবং এসএমএস উভয়ই পাওয়ার জন্য ব্যবহৃত হয়। তাই যদি ফোনটি হারিয়ে যায় বা চুরি হয়ে যায় এবং পাসওয়ার্ড বা বায়োমেট্রিক দ্বারা সুরক্ষিত না থাকে, তাহলে যে সমস্ত অ্যাকাউন্টের জন্য ইমেলটি ব্যবহৃত সেই সব অ্যাকাউন্ট হ্যাক হয়ে যেতে পারে কারণ ফোনটি দ্বিতীয় ধাপটি গ্রহণ করতে পারে।
- মোবাইল বাহক ব্যবহারকারীর কাছ থেকে বার্তা পাঠানোর ফি চার্জ করতে পারে।
আইন ও প্রবিধান
[সম্পাদনা]পেমেন্ট কার্ড ইন্ডাস্ট্রি (পিসিআই) ডেটা সিকিউরিটি স্ট্যান্ডার্ড, রিকুয়্যারমেন্ট ৮.৩ নেটওয়ার্কের বাইরে থেকে কার্ড ডেটা এনভায়রনমেন্ট (সিডিই) থেকে উদ্ভূত সমস্ত দূরবর্তী নেটওয়ার্ক প্রবেশাধিকারের জন্য এমএফএ ব্যবহার বাধ্যতামূলক।[২০] পিসিআই-ডিএসএস সংস্করণ ৩.২ থেকে শুরু করে ব্যবহারকারী একটি বিশ্বস্ত নেটওয়ার্কের মধ্যে থাকলেও সিডিই-তে সমস্ত প্রশাসনিক প্রবেশাধিকার জন্য বহু-ধাপের প্রমাণীকরণ ব্যবহার বাধ্যতামূলক।
ইউরোপীয় ইউনিয়ন
[সম্পাদনা]দ্বিতীয় অর্থপ্রদান পরিষেবা নির্দেশিকাতে ১৪ সেপ্টেম্বর ২০১৯ থেকে ইউরোপীয় অর্থনৈতিক অঞ্চলে বেশিরভাগ ইলেকট্রনিক অর্থপ্রদানের জন্য "দৃঢ় গ্রাহক প্রমাণীকরণ" বাধ্যতামূলক।[২১]
ভারত
[সম্পাদনা]ভারতে ভারতীয় রিজার্ভ ব্যাঙ্ক ডেবিট বা ক্রেডিট কার্ড ব্যবহার করে পাসওয়ার্ড বা এসএমএসের মাধ্যমে পাঠানো এক-কালীন পাসওয়ার্ড ব্যবহার করে করা সমস্ত অনলাইন লেনদেনের জন্য দুই-ধাপের প্রমাণীকরণ বাধ্যতামূলক করেছে। এটি সাময়িকভাবে নভেম্বর ২০১৬-এর নোট মুদ্রারহিতকরণ পর্যন্ত লেনদেনের জন্য ২০১৬ সালে প্রত্যাহার করা হয়েছিল। উবারের মতো বিক্রেতাদের এই দুই-ধাপের প্রমাণীকরণ রোলআউটের সাথে সম্মতিতে তাদের পেমেন্ট প্রক্রিয়াকরণ সিস্টেমগুলো সংশোধন করার জন্য ব্যাঙ্কের দ্বারা বাধ্যতামূলক করা হয়েছে।[২২][২৩][২৪]
যুক্তরাষ্ট্র
[সম্পাদনা]ফেডারেল গভর্নমেন্ট সিস্টেমে প্রবেশাধিকারের জন্য আইটি রেগুলেটরি স্ট্যান্ডার্ডগুলির জন্য সংবেদনশীল আইটি সংস্থানগুলি প্রবেশাধিকারের জন্য বহু-ধাপের প্রমাণীকরণের ব্যবহার বাধ্যতামূলক, উদাহরণস্বরূপ প্রশাসনিক কাজগুলো সম্পাদন করার জন্য নেটওয়ার্ক যন্ত্রগুলোতে লগ ইন করার সময়[২৫] এবং একটি সুবিধাপ্রাপ্ত লগইন ব্যবহার করে কোনো কম্পিউটারে প্রবেশ করার সময়।[২৬]
এনআইএসটি স্পেশাল পাবলিকেশন ৮০০-৬৩-৩ দুই-ধাপের প্রমাণীকরণের বিভিন্ন রূপ নিয়ে আলোচনা করে এবং বিভিন্ন স্তরের নিশ্চয়তা প্রয়োজন এমন ব্যবসায়িক প্রক্রিয়াগুলোতে ব্যবহার করার বিষয়ে নির্দেশিকা প্রদান করে।[২৭]
২০০৫ সালে মার্কিন যুক্তরাষ্ট্রের ফেডারেল ফাইন্যান্সিয়াল ইনস্টিটিউশনস এক্সামিনেশন কাউন্সিল আর্থিক প্রতিষ্ঠানগুলোর জন্য নির্দেশিকা জারি করে যাতে আর্থিক প্রতিষ্ঠানগুলো ঝুঁকি-ভিত্তিক মূল্যায়ন পরিচালনা করে, গ্রাহক সচেতনতা কর্মসূচির মূল্যায়ন করে, এবং দূরবর্তীভাবে অনলাইন আর্থিক পরিষেবাগুলিতে প্রবেশ করা গ্রাহকদের নির্ভরযোগ্যভাবে প্রমাণীকরণের জন্য নিরাপত্তা ব্যবস্থা বিকাশ করে আনুষ্ঠানিকভাবে ব্যবহার করার সুপারিশ করে। প্রমাণীকরণ পদ্ধতি যা ব্যবহারকারীর পরিচয় নির্ধারণ করতে একাধিক কারণের উপর নির্ভর করে (বিশেষত, একজন ব্যবহারকারীর কী জানা, আছে এবং হয়)।[২৮] প্রকাশনার প্রতিক্রিয়া হিসাবে অসংখ্য প্রমাণীকরণ বিক্রেতারা "বহু-ধাপের" প্রমাণীকরণ হিসাবে চ্যালেঞ্জ-প্রশ্ন, গোপন চিত্র এবং অন্যান্য জ্ঞান-ভিত্তিক পদ্ধতিগুলোকে অনুপযুক্তভাবে প্রচার করতে শুরু করে। ফলস্বরূপ বিভ্রান্তি এবং এই ধরনের পদ্ধতির ব্যাপক গ্রহণের কারণে ১৫ আগস্ট ২০০৬ সালে এফএফআইইসি পরিপূরক নির্দেশিকা প্রকাশ করেছে — যা বলে যে সংজ্ঞা অনুসারে একটি "সত্য" বহু-ধাপের প্রমাণীকরণ পদ্ধতি অবশ্যই প্রমাণীকরণের সংজ্ঞায়িত ছিল এমন তিনটি কারণের স্বতন্ত্র উদাহরণ ব্যবহার করবে এবং শুধুমাত্র একটি একক ধাপের একাধিক উদাহরণ ব্যবহার করবে না।[২৯]
নিরাপত্তা
[সম্পাদনা]সমর্থকদের মতে বহু-ধাপের প্রমাণীকরণ অনলাইন পরিচয় চুরি এবং অন্যান্য অনলাইন জালিয়াতির ঘটনাকে ব্যাপকভাবে হ্রাস করতে পারে, কারণ শিকারের পাসওয়ার্ডটি চোরকে তাদের তথ্যে স্থায়ী প্রবেশাধিকার দেওয়ার জন্য আর যথেষ্ট হবে না। যদিও, অনেক বহু-ধাপের প্রমাণীকরণ পদ্ধতি ফিশিং,[৩০] ম্যান-ইন-দ্য-ব্রাউজার এবং ম্যান-ইন-দ্য-মিডল আক্রমণের জন্য ঝুঁকিপূর্ণ থাকে।[৩১] ওয়েব অ্যাপ্লিকেশানগুলোতে দুই-ধাপের প্রমাণীকরণ ফিশিং আক্রমণের জন্য বিশেষত সংবেদনশীল, বিশেষত এসএমএস এবং ই-মেইলগুলিতে, এবং প্রতিক্রিয়া হিসাবে অনেক বিশেষজ্ঞ ব্যবহারকারীদের তাদের যাচাইকরণ কোডগুলো কারও সাথে ভাগ না করার পরামর্শ দেন,[৩২] এবং অনেক ওয়েব অ্যাপ্লিকেশন সরবরাহকারী একটি কোড সম্বলিত একটি ই-মেইল বা এসএমএসে একটি পরামর্শ দিবে।[৩৩]
এটিএম স্কিমিং, ফিশিং এবং ম্যালওয়্যারের মতো আধুনিক হুমকির বিরুদ্ধে বহু-ধাপের প্রমাণীকরণ অকার্যকর হতে পারে।[৩৪][৩৫]
২০১৭ সালের মে মাসে একটি জার্মান মোবাইল পরিষেবা প্রদানকারী ও২ টেলিফোনিকা নিশ্চিত করেছে যে সাইবার অপরাধীরা ব্যবহারকারীদের ব্যাঙ্ক অ্যাকাউন্ট থেকে অননুমোদিত টাকা তোলার জন্য এসএমএস ভিত্তিক দুই-ধাপের প্রমাণীকরণ উপেক্ষা করতে এসএস৭ দুর্বলতাকে কাজে লাগিয়েছে। অপরাধীরা প্রথমে তাদের ব্যাঙ্ক অ্যাকাউন্টের শংসাপত্র এবং ফোন নম্বর চুরি করার প্রয়াসে অ্যাকাউন্ট হোল্ডারের কম্পিউটারগুলিকে সংক্রামিত করেছিল। তারপর আক্রমণকারীরা একটি নেট টেলিকম প্রদানকারীর প্রবেশাধিকার কিনে এবং তাদের দ্বারা নিয়ন্ত্রিত একটি মুঠোফোনে শিকারের ফোন নম্বরের জন্য একটি পুনঃনির্দেশ সেট আপ করে। অবশেষে, আক্রমণকারীরা শিকারের অনলাইন ব্যাঙ্ক অ্যাকাউন্টে লগ ইন করে এবং অ্যাকাউন্টের টাকা অপরাধীদের মালিকানাধীন অ্যাকাউন্টে তুলে নেওয়ার জন্য অনুরোধ করে। এসএমএস পাসকোডগুলো আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত ফোন নম্বরগুলিতে পাঠানো হয় এবং অপরাধীরা অর্থ স্থানান্তর করে।[৩৬]
হয়রানি
[সম্পাদনা]বহু-ধাপের প্রমাণীকরণকে পরাজিত করার একটি ক্রমবর্ধমান সাধারণ পদ্ধতি হল ব্যবহারকারীকে লগ-ইন করার জন্য অনেক অনুরোধের সাথে বোমাবর্ষণ করা, যতক্ষণ না ব্যবহারকারী শেষ পর্যন্ত অনুরোধের পরিমাণের কাছে নতি স্বীকার করে এবং একটি গ্রহণ করে।[৩৭]
প্রতীয়মান
[সম্পাদনা]২০১৩ সালে কিম ডটকম ২০০০ প্রতীয়মানে দুই-ধাপের প্রমাণীকরণ আবিষ্কার করেছে বলে দাবি করেন, এবং সংক্ষিপ্তভাবে সমস্ত প্রধান ওয়েব পরিষেবার বিরুদ্ধে মামলা করার হুমকি দেন। যদিও, ইউরোপীয় পেটেন্ট অফিস ১৯৯৮ সালের পূর্বে এটি&টি-এর হাতে থাকা মার্কিন প্রতীয়মানের আলোকে তার প্রতীয়মান প্রত্যাহার করেছে।[৩৮]
আরও দেখুন
[সম্পাদনা]তথ্যসূত্র
[সম্পাদনা]- ↑ ক খ গ "Two-factor authentication: What you need to know (FAQ) – CNET"। CNET। ২০২০-০২-১২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৫-১০-৩১।
- ↑ ক খ গ Jacomme, Charlie; Kremer, Steve (ফেব্রুয়ারি ১, ২০২১)। "An Extensive Formal Analysis of Multi-factor Authentication Protocols" (ইংরেজি ভাষায়)। Association for Computing Machinery: 1–34। আইএসএসএন 2471-2566। ডিওআই:10.1145/3440712। আগস্ট ৩, ২০২৩ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ অক্টোবর ২১, ২০২৩।
- ↑ kaitlin.boeckl@nist.gov (২০১৬-০৬-২৮)। "Back to basics: Multi-factor authentication (MFA)"। NIST (ইংরেজি ভাষায়)। ২০২১-০৪-০৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০২১-০৪-০৬।
- ↑ Barrett, Brian (জুলাই ২২, ২০১৮)। "সংরক্ষণাগারভুক্ত অনুলিপি"। Wired। ৭ সেপ্টেম্বর ২০২০ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১২ সেপ্টেম্বর ২০২০।
- ↑ "Configuring One-Time Passwords"। www.sonicwall.com। Sonic Wall। ১৯ জানুয়ারি ২০২২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১৯ জানুয়ারি ২০২২।
- ↑ ক খ Encyclopedia of Cryptography and Security, Volume 1। Springer Science & Business Media। ২০১১। পৃষ্ঠা 1305। আইএসবিএন 9781441959058।
- ↑ Cao, Liling; Ge, Wancheng (২০১৫-০৩-১০)। "Analysis and improvement of a multi-factor biometric authentication scheme: Analysis and improvement of a MFBA scheme" (ইংরেজি ভাষায়): 617–625। ডিওআই:10.1002/sec.1010। ২০২২-১১-২৫ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০২৩-১০-২১।
- ↑ "Does Kim Dotcom have original 'two-factor' login patent?"। the Guardian (ইংরেজি ভাষায়)। ২০১৩-০৫-২৩। ২০২২-১১-০২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০২২-১১-০২।
- ↑ EP 0745961, "Transaction authorization and alert system", 1996-12-04 তারিখে ইস্যু করা হয়েছে
- ↑ Wang, Ding; He, Debiao (২০১৪)। "Anonymous Two-Factor Authentication in Distributed Systems: Certain Goals Are Beyond Attainment" (পিডিএফ)। Institute of Electrical and Electronics Engineers। ২০১৭-০৫-১৭ তারিখে মূল (পিডিএফ) থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৮-০৩-২৩।
- ↑ Andy Greenberg (২০১৬-০৬-২৬)। "সংরক্ষণাগারভুক্ত অনুলিপি"। Wired। ২০১৮-০৫-১৩ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৮-০৫-১২।
- ↑ "NIST is No Longer Recommending Two-Factor Authentication Using SMS"। Schneier on Security। আগস্ট ৩, ২০১৬। ডিসেম্বর ১, ২০১৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ নভেম্বর ৩০, ২০১৭।
- ↑ "Rollback! The United States NIST no longer recommends "Deprecating SMS for 2FA""। জুলাই ৬, ২০১৭। জুলাই ২, ২০১৯ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ মে ২১, ২০১৯।
- ↑ Tung, Liam। "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in"। ZD Net। ৩১ আগস্ট ২০১৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ সেপ্টেম্বর ২০১৭।
- ↑ Chance Miller (২০১৭-০২-২৫)। "Apple prompting iOS 10.3"। 9to5 Mac। ১১ সেপ্টেম্বর ২০১৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১১ সেপ্টেম্বর ২০১৭।
- ↑ "How Russia Works on Intercepting Messaging Apps – bellingcat"। bellingcat (ইংরেজি ভাষায়)। ২০১৬-০৪-৩০। ২০১৬-০৪-৩০ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৬-০৪-৩০।
- ↑ Kan, Michael (৭ মার্চ ২০১৯)। "Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise"। PC Mag। ৮ মার্চ ২০১৯ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ৯ সেপ্টেম্বর ২০১৯।
- ↑ Nichols, Shaun (১০ জুলাই ২০১৭)। "Two-factor FAIL: Chap gets pwned after 'AT&T falls for hacker tricks'"। The Register। ১১ জুলাই ২০১৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৭-০৭-১১।
- ↑ Toorani, Mohsen; Beheshti, A. (২০০৮)। "SSMS - A secure SMS messaging protocol for the m-payment systems"। 2008 IEEE Symposium on Computers and Communications। পৃষ্ঠা 700–705। arXiv:1002.3171 । আইএসবিএন 978-1-4244-2702-4। এসটুসিআইডি 5066992। ডিওআই:10.1109/ISCC.2008.4625610।
- ↑ "Official PCI Security Standards Council Site – Verify PCI Compliance, Download Data Security and Credit Card Security Standards"। www.pcisecuritystandards.org। ২০২১-১২-২৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৬-০৭-২৫।
- ↑ Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance.) (ইংরেজি ভাষায়) (32018R0389), ২০১৮-০৩-১৩, সংগ্রহের তারিখ ২০২১-০৪-০৬
- ↑ Agarwal, Surabhi (৭ ডিসেম্বর ২০১৬)। "Payment firms applaud RBI's move to waive off two-factor authentication for small value transactions"। The Economic Times। ১৪ সেপ্টেম্বর ২০২০ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৮ জুন ২০২০।
- ↑ Nair, Vishwanath (৬ ডিসেম্বর ২০১৬)। "RBI eases two-factor authentication for online card transactions up to Rs2,000"। Livemint (ইংরেজি ভাষায়)। ২৮ জুন ২০২০ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৮ জুন ২০২০।
- ↑ "Uber now complies with India's two-factor authentication requirement, calls it unnecessary and burdensome"। VentureBeat (ইংরেজি ভাষায়)। ২০১৪-১১-৩০। ২০২১-০৯-০৫ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০২১-০৯-০৫।
- ↑ "SANS Institute, Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches"। ২০১৩-০১-২৮ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৩-০২-১১।
- ↑ "SANS Institute, Critical Control 12: Controlled Use of Administrative Privileges"। ২০১৩-০১-২৮ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৩-০২-১১।
- ↑ "Digital Identity Guidelines"। NIST Special Publication 800-63-3। NIST। জুন ২২, ২০১৭। নভেম্বর ২১, ২০১৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ফেব্রুয়ারি ২, ২০১৮।
- ↑ "FFIEC Press Release"। ২০০৫-১০-১২। ২০১১-০৬-০২ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১১-০৫-১৩।
- ↑ "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment" (পিডিএফ)। FFIEC। ২০০৬-০৮-১৫। ২০১২-১১-১৫ তারিখে মূল (পিডিএফ) থেকে আর্কাইভ করা।
- ↑ Brian Krebs (জুলাই ১০, ২০০৬)। "Security Fix – Citibank Phish Spoofs 2-Factor Authentication"। Washington Post। ১৩ আগস্ট ২০১৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০ সেপ্টেম্বর ২০১৬।
- ↑ Bruce Schneier (মার্চ ২০০৫)। "The Failure of Two-Factor Authentication"। Schneier on Security। ২০ ডিসেম্বর ২০১৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০ সেপ্টেম্বর ২০১৬।
- ↑ Alex Perekalin (মে ২০১৮)। "Why you shouldn't ever send verification codes to anyone"। Kaspersky। ২০ অক্টোবর ২০২০ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ১৭ অক্টোবর ২০২০।
- ↑ Siadati, Hossein; Nguyen, Toan (২০১৭)। "Mind your SMSes: Mitigating Social Engineering in Second Factor Authentication": 14–28। ডিওআই:10.1016/j.cose.2016.09.009 ।
- ↑ Shankland, Stephen। "Two-factor authentication? Not as secure as you'd expect when logging into email or your bank"। CNET (ইংরেজি ভাষায়)। ২০২০-০৯-২৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০২০-০৯-২৭।
- ↑ "The Failure of Two-Factor Authentication – Schneier on Security"। schneier.com। ২৩ জুন ২০১৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৩ অক্টোবর ২০১৫।
- ↑ Khandelwal, Swati। "Real-World SS7 Attack – Hackers Are Stealing Money From Bank Accounts"। The Hacker News (ইংরেজি ভাষায়)। ২০১৭-০৫-০৬ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৭-০৫-০৫।
- ↑ "MFA Fatigue: Hackers' new favorite tactic in high-profile breaches"। BleepingComputer (ইংরেজি ভাষায়)। ২০২৩-০৬-২৭ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০২৩-০৮-১২।
- ↑ Brodkin, Jon (২৩ মে ২০১৩)। "Kim Dotcom claims he invented two-factor authentication—but he wasn't first"। Ars Technica। ৯ জুলাই ২০১৯ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২৫ জুলাই ২০১৯।
আরও পড়ুন
[সম্পাদনা]- Brandom, Russell (জুলাই ১০, ২০১৭)। "Two-factor authentication is a mess"। The Verge। সংগ্রহের তারিখ জুলাই ১০, ২০১৭।
বহিঃসংযোগ
[সম্পাদনা]- আক্রমণকারীরা RSA এর সার্ভার লঙ্ঘন করেছে এবং তথ্য চুরি করেছে যা 40 মিলিয়ন কর্মচারীদের দ্বারা ব্যবহৃত দ্বি-ফ্যাক্টর প্রমাণীকরণ টোকেনের নিরাপত্তার সাথে আপস করতে ব্যবহার করা যেতে পারে (register.com, 18 মার্চ 2011)
- ব্যাঙ্কগুলি 2006 এর শেষের মধ্যে দ্বি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করবে, (slashdot.org, 20 অক্টোবর 2005)
- মাইক্রোসফ্ট পাসওয়ার্ড ত্যাগ করবে, মাইক্রোসফ্ট উইন্ডোজের আসন্ন সংস্করণগুলিতে দ্বি-ফ্যাক্টর প্রমাণীকরণের পক্ষে পাসওয়ার্ড ডাম্প করার প্রস্তুতি নিচ্ছে (vnunet.com, 14 মার্চ 2005)