Spaceship ব্লগ

2026 সালে ব্রুট ফোর্স আক্রমণ এবং সেগুলো কীভাবে প্রতিরোধ করবেন

ব্রুট ফোর্স আক্রমণ ব্যাখ্যা: সংজ্ঞা, ধরন এবং 2026 সালে এটি কীভাবে প্রতিরোধ করবেন
  • ব্রুট ফোর্স আক্রমণ কী — এবং এটি কীভাবে আপনার পাসওয়ার্ডকে হুমকির মুখে ফেলে।

  • ডিকশনারি আক্রমণ থেকে ক্রেডেনশিয়াল স্টাফিং পর্যন্ত সাধারণ ধরনগুলো।

  • rate-limiting, 2FA এবং আরও অনেক কিছুর মাধ্যমে কীভাবে ব্রুট ফোর্স আক্রমণ প্রতিরোধ করবেন।

  • আপনার প্ল্যাটফর্মের জন্য সেরা টুল ও প্রতিরক্ষা।

  • প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী।


যদিও হুমকি সৃষ্টিকারীরা ওয়েবসাইট হ্যাক বা ভঙ্গ করার জন্য নিয়মিত নতুন ও জটিল পদ্ধতি বের করে, কিছু ক্লাসিক পদ্ধতি এখনো টিকে আছে। সহজ হলেও, সেগুলো এখনো অনেক ক্ষেত্রে কার্যকর প্রমাণিত হয়। সেই পদ্ধতিগুলোর একটি হলো ব্রুট ফোর্স আক্রমণ। 

এটি সবচেয়ে পুরোনো সাইবার আক্রমণ পদ্ধতিগুলোর একটি, এবং এখনো হ্যাকারদের মধ্যে জনপ্রিয়। এটি প্রাথমিক মনে হতে পারে, কিন্তু নিজেকে ক্ষতি থেকে রক্ষা করার উপায় জানা অত্যন্ত জরুরি। ব্রুট ফোর্স আক্রমণের সংজ্ঞা, ঝুঁকি এবং এটি প্রতিরোধে আপনি কী করতে পারেন, তা জানতে পড়তে থাকুন।

সাইবার নিরাপত্তায় ব্রুট ফোর্স আক্রমণ কী?

ব্রুট ফোর্স আক্রমণ হলো এমন একটি হ্যাকিং পদ্ধতি, যেখানে trial and error ব্যবহার করে login credential, encryption key বা লুকানো web page অনুমান করা হয়। এগুলোকে ব্রুট ফোর্স আক্রমণ বলা হয়, কারণ এতে ঠিক সেটাই করা হয়। ক্ষতিকর আক্রমণকারীরা অতিরিক্ত trial and error-এর মাধ্যমে অ্যাকাউন্ট বা নেটওয়ার্কে অননুমোদিত প্রবেশাধিকার পাওয়ার চেষ্টা করে। এই trial and error কয়েক মিনিট থেকে কয়েক বছর পর্যন্ত সময় নিতে পারে। 

এর একটি সাধারণ উদাহরণ হলো একাধিক username এবং password-এর সমন্বয় ব্যবহার করে কোনো অ্যাকাউন্টে লগ ইন করার চেষ্টা করা। তারা সাধারণ পাসওয়ার্ড, আগের password leak, বা লক্ষ্য ব্যক্তির ব্যক্তিগত তথ্য, যেমন জন্মদিন বা পোষা প্রাণীর নাম, ব্যবহার করে পাসওয়ার্ড অনুমান করতে পারে। এটি ম্যানুয়ালি বা বিশেষায়িত সফটওয়্যার দিয়ে করা যায়, যা এটিকে অনেক দ্রুত করে তোলে।

প্রতিটি অনলাইন প্ল্যাটফর্মেই ব্রুট ফোর্স আক্রমণ ঘটতে পারে। Group-IB-এর মতে, ওয়েব অ্যাপ্লিকেশন এবং পোর্টাল, যেমন গ্রাহক অ্যাকাউন্ট পোর্টাল, কনটেন্ট ম্যানেজমেন্ট সিস্টেম (CMS) অ্যাডমিন প্যানেল, যেমন WordPress, ব্রুট ফোর্স আক্রমণের 43% জুড়ে রয়েছে। এর পরে রয়েছে নেটওয়ার্ক ও সার্ভার লগইন, তারপর ইমেইল এবং সোশ্যাল মিডিয়া অ্যাকাউন্ট।

ব্রুট ফোর্স আক্রমণ কীভাবে কাজ করে?

একটি সাধারণ ব্রুট ফোর্স আক্রমণকে তিনটি প্রধান ধাপে ভাগ করা যায়: 

একটি brute force attack কীভাবে কাজ করে?

1. লক্ষ্য নির্বাচন

কোনো ব্যক্তি বা প্রতিষ্ঠান কেন ব্রুট ফোর্স আক্রমণের লক্ষ্য হতে পারে, তার কয়েকটি কারণ আছে। ব্যক্তিগত গ্রাহক তথ্য, আর্থিক তথ্য বা মেধাস্বত্বের মতো মূল্যবান তথ্য গুরুত্বপূর্ণ, তবে সহজে প্রবেশাধিকার পাওয়াও ততটাই গুরুত্বপূর্ণ। ক্ষতিকর আক্রমণকারীরা দুর্বল প্রতিরক্ষা থাকা সিস্টেম খুঁজবে, যেমন পুরোনো সফটওয়্যার বা দুর্বল পাসওয়ার্ড নীতি যেখানে multi-factor authentication (MFA) প্রয়োগ নেই। 

2. আক্রমণ শুরু

এটি ম্যানুয়ালি হতে পারে, তবে আক্রমণকারীরা সাধারণত সফটওয়্যার ও বট ব্যবহার করে, কারণ এটি অনেক বেশি কার্যকর এবং স্বয়ংক্রিয় করা যায়। বিভিন্ন ধরনের আক্রমণ আছে, যেগুলো আমরা পরে আরও আলোচনা করব, তবে সাধারণত তারা অসংখ্য সম্ভাব্য ক্রেডেনশিয়াল সমন্বয় দিয়ে কোনো পোর্টালে লগ ইন করার চেষ্টা করবে। শনাক্তকরণ এড়াতে এবং সফলতার সম্ভাবনা বাড়াতে, আক্রমণকারীরা বিভিন্ন মেশিন ও IP ঠিকানায় প্রচেষ্টা ছড়িয়ে দিতে একটি botnet ব্যবহার করতে পারে। এতে lockout বা rate limiting হওয়ার সম্ভাবনা কমে যায়।

3. প্রবেশাধিকার অর্জন

যদি আক্রমণকারী সফল সমন্বয় খুঁজে পায় এবং নিরাপত্তা শনাক্তকরণ এড়াতে পারে, তবে তারা লক্ষ্য সিস্টেম বা অ্যাকাউন্টে প্রবেশ করতে পারে। এরপর তারা ডেটা চুরি করতে পারে বা সিস্টেমে আরও গভীরে প্রবেশ করে ক্ষতিকর আক্রমণ চালাতে পারে, যেমন malware সংক্রমণ করা বা সেবা ব্যাহত করা।

আজকাল আক্রমণকারীরা ম্যানুয়ালি ব্রুট ফোর্স আক্রমণ চালায়, এমনটা খুব কমই দেখা যায়। বিশেষায়িত টুল অনেক বেশি সুবিধাজনক, কারণ এগুলো সঠিক পাসওয়ার্ড সমন্বয় বা session ID মানুষের তুলনায় অনেক দ্রুত খুঁজে পেতে পারে। 

ব্রুট ফোর্স আক্রমণের জনপ্রিয় টুলগুলোর মধ্যে রয়েছে:

  • Aircrack-ng – Wi-Fi নেটওয়ার্ক নিরাপত্তার মাধ্যমে ডেটা পর্যবেক্ষণ ও এক্সপোর্ট করে, এবং fake access point ও packet injection-এর মতো আক্রমণ চালায়।

  • John the Ripper – একটি open-source পাসওয়ার্ড ক্র্যাকিং টুল, যা নৈতিক ও black-hat উভয় ধরনের হ্যাকারই ব্যবহার করে।

  • Hydra – একটি open source প্ল্যাটফর্ম, যা দ্রুত অনেক পাসওয়ার্ড সমন্বয় পরীক্ষা করতে পারে এবং 50টিরও বেশি protocol ও একাধিক operating system-এ আক্রমণ চালাতে পারে।

ব্রুট ফোর্স আক্রমণের বিভিন্ন ধরন কী কী?

যদিও প্রতিটি ব্রুট ফোর্স আক্রমণের উদ্দেশ্য মূলত একই, হ্যাকাররা কীভাবে তা চালায়, তা ভিন্ন হতে পারে। নিচের টেবিলটি দেখুন, যাতে ব্রুট ফোর্স আক্রমণের বিভিন্ন ধরন এবং সেগুলোতে কী থাকে, তা সম্পর্কে পরিচিত হতে পারেন।

ব্রুট ফোর্স আক্রমণের বিভিন্ন ধরন কী কী?

ব্রুট ফোর্স আক্রমণ কেন বিপজ্জনক?

যেকোনো সাইবার আক্রমণের মতো, ব্রুট ফোর্স আক্রমণও ইন্টারনেট ব্যবহারকারী এবং অনলাইন ব্যবসাকে বিভিন্নভাবে ঝুঁকির মুখে ফেলতে পারে, যার মধ্যে রয়েছে:

  • অ্যাকাউন্ট দখলের ঝুঁকি – ব্যবহারকারীদের জন্য এর ফলে ডেটা চুরি ও আর্থিক ক্ষতি হতে পারে, আর ব্যবসার ক্ষেত্রে সুনাম ও অর্থনৈতিক ক্ষতি হতে পারে।

  • পরিচয় চুরি – হ্যাকাররা যদি কারও ব্যক্তিগত তথ্য পেয়ে যায়, তবে তারা সেই ব্যক্তির নামে প্রতারণা করতে এটি ব্যবহার করতে পারে, যেমন অ্যাকাউন্ট খোলা থেকে ঋণ নেওয়া পর্যন্ত।

  • নেটওয়ার্ক ভঙ্গ (RDP brute force) – হুমকি সৃষ্টিকারীরা একাধিক কম্পিউটারে প্রবেশাধিকার পেতে পারে, ফলে পুরো নেটওয়ার্কে malware বা ransomware ছড়িয়ে পড়তে পারে। 

  • প্রতিক্রিয়ার খরচ – ব্যবসায়িক ডেটা ভঙ্গের ফলে প্রায়ই কার্যক্রমে বিঘ্ন, ব্যয়বহুল তদন্ত, জরিমানা এবং আরও অনেক কিছু হয়।

কীভাবে একটি ব্রুট ফোর্স আক্রমণ প্রতিরোধ করবেন

ব্রুট ফোর্স আক্রমণের পরিণতি গুরুতর হতে পারে, তবে সৌভাগ্যবশত কিছু সহজ সুরক্ষা ব্যবস্থার মাধ্যমে এগুলো প্রতিরোধ করা যায়।

1. লগইন সুরক্ষা

ব্রুট ফোর্স আক্রমণ প্রতিরোধ শুরু হয় লগইন পেজ থেকেই। এখানে কিছু গুরুত্বপূর্ণ ব্যবস্থা দেওয়া হলো:

  • 2FA/MFA সক্রিয় করুন – হ্যাকাররা যদি কোনোভাবে সঠিকভাবে পাসওয়ার্ড অনুমান করতেও পারে, এই অতিরিক্ত সুরক্ষা স্তর তাদের আরও এগোতে দেবে না।

  • ব্যর্থ লগইনের পর CAPTCHA ব্যবহার করুন – স্বয়ংক্রিয় ব্রুট ফোর্স প্রচেষ্টার ক্ষেত্রে, CAPTCHA বট ও সফটওয়্যারকে অ্যাকাউন্টে প্রবেশ করতে বাধা দিতে পারে।

  • বারবার লগইন প্রচেষ্টা ব্লক করুন – rate limiting ব্যবহার করুন, যা নির্দিষ্ট সময়সীমায় লগইন প্রচেষ্টা সীমিত করে, অথবা IP banning ব্যবহার করুন, যা সন্দেহজনক আচরণের জন্য IP ব্লক করে।

2. পাসওয়ার্ড নিরাপত্তা

পাসওয়ার্ড hygiene অনলাইন নিরাপত্তার একটি অত্যন্ত গুরুত্বপূর্ণ, কিন্তু প্রায়ই অবহেলিত উপাদান। “123456” এবং “password”-এর মতো পাসওয়ার্ড আজকের ডিজিটাল পরিবেশে আর যথেষ্ট নয়। তাই নিশ্চিত করুন যে: 

  • শক্তিশালী পাসওয়ার্ড নীতি প্রয়োগ করুন

  • passphrase বা দীর্ঘ এলোমেলো পাসওয়ার্ড বাধ্যতামূলক করুন

  • সংখ্যা, অক্ষর, প্রতীক এবং বড়-ছোট হাতের অক্ষরের মিশ্রণ ব্যবহার করুন

  • পোষা প্রাণীর নাম বা জন্মদিনের মতো কোনো ব্যক্তিগত তথ্য অন্তর্ভুক্ত করবেন না

  • একাধিক প্ল্যাটফর্মে একই পাসওয়ার্ড পুনরায় ব্যবহার করা এড়িয়ে চলুন

  • পাসওয়ার্ড নিরাপদে সংরক্ষণ ও ট্র্যাক রাখতে একটি ভালো password manager ব্যবহার করুন

3. নেটওয়ার্ক-স্তরের প্রতিরক্ষা

লগইন পেজের বাইরেও সুরক্ষা ব্যবস্থা থাকা জরুরি।

  • একটি web application firewall (WAF) ব্যবহার করুন – rate limiting, bot detection এবং geo-blocking-এর মতো ব্যবস্থা ব্রুট ফোর্স প্রচেষ্টা শনাক্ত ও প্রশমিত করে।

  • লগইন পোর্টালে প্রবেশাধিকার সীমিত করুন –  এটি করার কিছু উপায়ের মধ্যে রয়েছে নির্দিষ্ট IP-তে প্রবেশাধিকার সীমাবদ্ধ করা বা শুধু VPN প্রবেশাধিকার অনুমোদন করা।

  • ব্যর্থ লগইন প্রচেষ্টা পর্যবেক্ষণ করুন – security information and event management (SIEM) টুল ব্যবহার করে পর্যবেক্ষণ, বিশ্লেষণ এবং সন্দেহজনক কিছু হলে সতর্কতা পান।

কোন টুলগুলো ব্রুট ফোর্স আক্রমণ থামাতে সাহায্য করে?

বিনামূল্য ও পেইড বিভিন্ন টুল ব্যবহার করে কীভাবে ব্রুট ফোর্স আক্রমণ থামানো যায়, তা এখানে দেওয়া হলো।

কোন টুলগুলো brute force attack বন্ধ করতে সাহায্য করে?

আপনি ব্রুট ফোর্স আক্রমণের শিকার হচ্ছেন কি না, তা কীভাবে শনাক্ত করবেন

আপনি যদি বিল্ট-ইন নিরাপত্তা বৈশিষ্ট্যসহ কোনো প্ল্যাটফর্ম ব্যবহার করেন এবং সঠিক টুল প্রয়োগ করেন, তবে আপনি আক্রমণের শিকার হচ্ছেন কি না বা ব্রুট ফোর্স আক্রমণের চেষ্টা হয়েছে কি না, তা শনাক্ত করতে সক্ষম হওয়া উচিত। নিচের লক্ষণগুলোর দিকে খেয়াল রাখুন:

  • ব্যর্থ লগইন প্রচেষ্টার হঠাৎ বৃদ্ধি।

  • লগে অস্বাভাবিকতা, যেমন একই IP থেকে একাধিকবার চেষ্টা করা। 

  • আপনার hosting বা CDN থেকে নিরাপত্তা সতর্কতা।

আপনার ওয়েবসাইটের জন্য সঠিক ব্রুট ফোর্স প্রতিরক্ষা কীভাবে বেছে নেবেন

আপনার সাইটের জন্য উপযুক্ত ব্রুট ফোর্স প্রতিরক্ষা নির্বাচন কয়েকটি বিষয়ের ওপর নির্ভর করবে। আপনার সাইটকে যথাযথভাবে সুরক্ষিত করতে নিচের ধাপগুলো অনুসরণ করুন:

আপনার ওয়েবসাইটের জন্য সঠিক brute force defense কীভাবে বেছে নেবেন



1. আপনার প্ল্যাটফর্ম মূল্যায়ন করুন

আপনার সাইট কি WordPress-এ হোস্ট করা, কোনো site builder/software-as-a-service (SaaS) প্ল্যাটফর্মে, নাকি সম্পূর্ণ আপনার তৈরি custom backend-এ? এটি নির্ধারণ করবে আপনি কী ধরনের সুরক্ষা প্রয়োগ করতে পারবেন এবং এর ওপর আপনার কতটা নিয়ন্ত্রণ থাকবে।

2. উপযুক্ত সুরক্ষা বেছে নিন

আপনি আপনার প্ল্যাটফর্ম সম্পর্কে জানেন, তাই এখানে কোন সুরক্ষা সবচেয়ে ভালো তা দেওয়া হলো: 

  • WordPress – সহজেই plugin যোগ করে আপনার সাইট সুরক্ষিত করুন, যেমন WAF, CAPTCHA এবং login limiting-সহ security plugin। আপনি আপনার login page URL-ও পরিবর্তন করতে পারেন।

  • Site builder/SaaS – এই প্ল্যাটফর্মগুলো সাধারণত নিরাপত্তা ও লগইন সুরক্ষা নিজেরাই পরিচালনা করে, তাই নিশ্চিত করুন এটি চালু আছে। কাস্টমাইজেশন সাধারণত সীমিত।

  • Custom backend – আপনাকে নিজেই code যোগ করতে হবে, যেমন server level-এ rate limiting। আপনি কী প্রয়োগ করবেন, সে বিষয়ে আপনার পূর্ণ নিয়ন্ত্রণ থাকবে।

3. সব ব্যবহারকারীর জন্য MFA যোগ করুন

আপনার ওয়েবসাইট যে প্ল্যাটফর্মেই হোক না কেন, MFA যে অতিরিক্ত সুরক্ষা স্তর দেয়, তা ব্রুট ফোর্স প্রতিরক্ষার জন্য অপরিহার্য। 

  • WordPress – কিছু plugin, যেমন WP 2FA এবং Wordfence, আপনাকে সব ব্যবহারকারীর জন্য MFA বাধ্যতামূলক করতে দেয়।

  • Site builder/ SaaS – বেশিরভাগ আধুনিক প্ল্যাটফর্মে account settings-এ এটি প্রয়োগ করার উপায় থাকা উচিত।

  • Custom backend – authenticator app বা WebAuthn ব্যবহার করুন, যেমন passkeys।

4. নিয়মিত লগ পর্যবেক্ষণ করুন

সব প্রোগ্রাম, সফটওয়্যার, সিস্টেম এবং অ্যাপ ঘটনাবলির রেকর্ড তৈরি করে, যেগুলো logs নামে পরিচিত। নির্দিষ্ট ধরনের logs, যেমন login attempt এবং system activity পর্যবেক্ষণ করলে সবকিছু কীভাবে চলছে, তা বোঝা সহজ হয়। 

WordPress-এর জন্য, WP Security Activity Log-এর মতো একটি plugin লগ পর্যবেক্ষণ সহজ করে দেবে। website builder-এর ক্ষেত্রে, আপনাকে এর নির্দিষ্ট activity log section খুঁজে দেখতে হবে, যদিও এর বিস্তারিততা ভিন্ন হতে পারে। custom backend-এর জন্য, IP এবং username-সহ সফল ও ব্যর্থ লগইন ট্র্যাক করে এমন structured login log সেট আপ করুন, তারপর সেই log-গুলো কেন্দ্রীভূত করুন। সন্দেহজনক pattern দেখা দিলে, যেমন নির্দিষ্ট IP থেকে বারবার ব্যর্থতার হঠাৎ বৃদ্ধি, alert trigger করুন বা auto-block চালু করুন।

শেষ অনুচ্ছেদ

এখন আপনার ব্রুট ফোর্স আক্রমণ কী এবং এতে কী কী জড়িত, সে সম্পর্কে ভালো ধারণা থাকা উচিত। সৌভাগ্যবশত, এসব আক্রমণের পরিণতি গুরুতর হতে পারে বটে, তবে এগুলো সহজেই প্রতিরোধযোগ্য। এই নিবন্ধের নির্দেশনা ব্যবহার করে আপনার বর্তমান লগইন নিরাপত্তা সেটিংস ও অভ্যাস পর্যালোচনা করুন এবং প্রয়োজন অনুযায়ী উন্নতি করুন। যদি আপনি firewall থেকে intrusion prevention পর্যন্ত বিল্ট-ইন সুরক্ষাসহ কোনো প্ল্যাটফর্মে আগ্রহী হন, তাহলে দেখুন Spaceship কীভাবে সব hosting account সুরক্ষিত রাখে

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

একটি ব্রুট ফোর্স আক্রমণ পাসওয়ার্ড অনুমান করতে সব সম্ভাব্য অক্ষর সমন্বয় পরীক্ষা করে। বিপরীতে, একটি dictionary attack পূর্বনির্ধারিত leaked credential-এর তালিকার পাশাপাশি সাধারণ শব্দ, বাক্যাংশ এবং নাম ব্যবহার করে। সাধারণ ব্রুট ফোর্স আক্রমণ সময়সাপেক্ষ হতে পারে, তবে জটিল পাসওয়ার্ডের বিরুদ্ধে এটি বেশি কার্যকর। dictionary attack দুর্বল, সহজে অনুমানযোগ্য পাসওয়ার্ডের বিরুদ্ধে বেশি কার্যকর।

আপনার সাইটকে সম্পূর্ণভাবে হ্যাক-অযোগ্য করা অসম্ভব, এবং ব্রুট ফোর্স আক্রমণের ক্ষেত্রেও তা-ই প্রযোজ্য। তবে স্তরভিত্তিক প্রতিরক্ষা, যেমন লগইন সুরক্ষা, পাসওয়ার্ড hygiene এবং ভালো নেটওয়ার্ক নিরাপত্তার মাধ্যমে এগুলোকে বাস্তবে প্রায় অসম্ভব করে তোলা যায়।

হ্যাঁ, বেশিরভাগ দেশে ব্রুট ফোর্স আক্রমণের চেষ্টা করা অবৈধ। তবে অনুমোদিত নিরাপত্তা পেশাজীবীরা আইনগতভাবে এটি করতে পারেন, যদি কোনো সিস্টেমের মালিক তাদের ওয়েবসাইট বা সিস্টেম কতটা নিরাপদ তা পরীক্ষা করার জন্য brute force ব্যবহার করার অনুমতি দেন।

এটি আপনার পাসওয়ার্ডের জটিলতার ওপর নির্ভর করে। “password”-এর মতো দুর্বল পাসওয়ার্ড ভাঙতে মাত্র কয়েক মিনিট লাগতে পারে। বিভিন্ন প্রতীক ও অক্ষরযুক্ত কিছু হলে কয়েক ঘণ্টা লাগতে পারে। কিন্তু encryption বা multi-factor authentication-এর মতো অতিরিক্ত সুরক্ষা স্তর থাকলে, এতে কয়েক বছরও লেগে যেতে পারে।


আপনার চিন্তাভাবনা শেয়ার করুন

১০টির বেশি অক্ষর প্রয়োজন।
সর্বজনীন প্রদর্শনের জন্য আপনার পরিচয়।
আপনার ইমেল ঠিকানা প্রদান ঐচ্ছিক। এটি তৃতীয় পক্ষের সাথে ভাগ করা হবে না।

আমাদের ব্লগ উন্নত করতে সাহায্য করুন

দ্রুত দুই মিনিটের জরিপে আপনার মতামত শেয়ার করুন।

একটি বৈধ ইমেইল প্রয়োজন