Spaceship ব্লগ

কেন 2FA আপনার #1 ইমেইল নিরাপত্তা অভ্যাস হওয়া উচিত

এটি ৯০-এর দশকে উদ্ভাবিত হয়েছিল (এবং ব্যাপকভাবে AT&T-কে এর কৃতিত্ব দেওয়া হয়), তবে ২০০০-এর দশকের মাঝামাঝি সময়ে এটি গুরুত্ব পেতে শুরু করে। Two-factor Authentication (অথবা 2FA, যেভাবে এটি বেশি পরিচিত) এমন একটি সহজ ধারণা যে তা প্রায় সুন্দর — আপনি যা জানেন তার সঙ্গে আপনি যা রাখেন তার সমন্বয়।

সমস্যা এবং সমাধান

সমস্যা:

একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ডই ছিল আমাদের ডেটা ও অননুমোদিত প্রবেশের মাঝখানের একমাত্র বাধা। আমাদের অ্যাকাউন্টগুলো মূলত নজরদারিহীন একটি দরজার মতো, যা আমাদের অজান্তেই ২৪/৭ ভেঙে ফেলা যেতে পারে। এর সঙ্গে আরও সমস্যা হলো, ব্যবহারকারীর নাম প্রায় সবসময়ই একটি নির্দিষ্ট ধাঁচের হয়, এবং পাসওয়ার্ডও সহজে অনুমান করা যেতে পারে কারণ আমরা সবাই প্রায় একই ধরনের ধারণার দিকেই ঝুঁকে থাকি।

উদাহরণস্বরূপ, একটি একক শব্দ অন্য একজন মানুষের পক্ষে অনুমান করা কঠিন হতে পারে, কিন্তু ইংরেজি ভাষায় শব্দের সংখ্যা সীমিত হওয়ায় কম্পিউটারের জন্য এটি আশ্চর্যজনকভাবে সহজ। এ কারণেই অনেক সাইট আমাদের অক্ষর ও বিশেষ চিহ্ন ব্যবহার করে পাসওয়ার্ড আরও শক্তিশালী করতে বলে। কিন্তু ক্রমশ উন্নত হ্যাকিং সফটওয়্যার এবং এখন AI-এর আবির্ভাবের ফলে, এটুকুও যথেষ্ট নয়। মনে রাখবেন, আপনার অ্যাকাউন্টের সেই “দরজা” ২৪/৭ অনলাইনে খুঁজে পাওয়া সম্ভব।

সমাধান:

এটি সত্যিই আপনিই লগইন করছেন কি না, তা এমন কিছু ব্যবহার করে যাচাই করা যা যৌক্তিকভাবে কেবল আপনার কাছেই থাকতে পারে। এটি হতে পারে একটি স্মার্টফোন, ইমেইল অ্যাকাউন্ট, key, বা এমনকি বায়োমেট্রিক্স। যে পদ্ধতিই ব্যবহার করা হোক না কেন, 2FA অননুমোদিত লগইন প্রচেষ্টা আটকে দিতে সাহায্য করে, এবং আপনি পরবর্তী লঙ্ঘন কমাতে ব্যবস্থা নিতে পারেন।

নিশ্চয়ই, এটি এক ধরনের উন্নত পরিচয় যাচাই — যেন সামনের দরজার ছিটকিনি খোলার আগে ছিদ্র দিয়ে দেখে নেওয়া — কিন্তু ভেবে দেখলে এর বাস্তবায়ন বেশ চমৎকার। 2FA একটি অ্যাকাউন্টে যে পরিমাণ নিরাপত্তা ও সচেতনতা যোগ করে, তা একে এর অংশগুলোর সাধারণ যোগফলের চেয়েও বেশি উচ্চতায় নিয়ে যায়।

তাহলে, এটি জনপ্রিয় হতে এত সময় লাগল কেন? সম্ভবত বছরের পর বছর ধরে সাইবার অপরাধের ধীরে ধীরে বৃদ্ধি, মানুষের কাছে দ্বিতীয় ডিভাইস থাকার হার, এবং সাইবার অপরাধীদের হাতে বাড়তি কম্পিউটিং শক্তির সমন্বয়ই এর সঠিক সময় আসা পর্যন্ত অপেক্ষা করিয়েছে। দ্বিতীয় ডিভাইস হারিয়ে যাওয়া নিয়ে উদ্বেগও থাকতে পারে।

যেখানে আমরা বহু বছর ধরে 2FA-কে সফল হতে দেখেছি

ব্যাংকিং ও আর্থিক অ্যাপগুলো এখন বেশ কয়েক বছর ধরেই এটি ব্যবহার করছে। কিন্তু যদি আপনি এখনো এটি আপনার আরও ‘দৈনন্দিন’ অ্যাকাউন্টগুলোতে নেমে আসতে দেখেননি, তাহলে খুব শিগগিরই সম্ভবত দেখবেন। হ্যাকিং প্রযুক্তি আরও উন্নত হওয়ার সঙ্গে সঙ্গে এবং ডেটা কোম্পানিগুলোর ওপর আমাদের ডেটা সুরক্ষার দায়িত্ব বাড়তে থাকায় এর প্রয়োগ শুরু হয়ে গেছে।

উদাহরণ হিসেবে, চলুন ইমেইল অ্যাকাউন্টের প্রেক্ষাপটে 2FA-কে দেখি। এখন পর্যন্ত আপনি হয়তো আপনার ইমেইল অ্যাকাউন্টে 2FA সক্রিয় করাকে একটু ঝামেলার বা অতিরিক্ত সতর্কতা বলে ভেবেছেন — কিন্তু আমরা আপনাকে বোঝাব কেন এটি এতটা মূল্যবান, বিশেষ করে যদি আপনি ব্যবসার সঙ্গে যুক্ত থাকেন।

আপনার ইমেইল অ্যাকাউন্ট সুরক্ষিত করতে 2FA কেন যোগ করবেন?

প্রথমত, আপনার পাসওয়ার্ডের বাইরে সুরক্ষার একটি দ্বিতীয় স্তর থাকা কখনোই খারাপ কিছু নয়। এখন একটু থেমে ভাবুন, আপনার ইমেইল অ্যাকাউন্টে কী ধরনের সংবেদনশীল ডেটা রয়েছে:

  • ব্যাংকিং তথ্য — যেটি আপনি বহু বছর ধরে অন্যত্র 2FA দিয়ে সুরক্ষিত করে আসছেন।

  • ব্যক্তিগত সংযুক্তি — ছবি, নথি, বা এমনকি এমন সৃষ্টিকর্ম যার IP আপনি নিজের কাছে রাখতে চান।

  • ক্রয়ের ইতিহাস — এবং অন্যান্য ডেটা, যা বিজ্ঞাপনদাতাদের কাছে মূল্যবান হতে পারে।

  • চিকিৎসা-সংক্রান্ত ডেটা — অ্যাপয়েন্টমেন্ট, ওষুধ, বা এমনকি রোগ-অবস্থার রেকর্ড।

  • রিয়েল এস্টেট ডেটা — বাড়ি কেনা এবং এ ধরনের গুরুত্বপূর্ণ প্রক্রিয়াগুলো প্রায়ই কাগজবিহীন হয়।

আর, যেমন আমরা বলেছি, আপনি যদি ব্যবসায় থাকেন, তবে এই ডেটার মধ্যে প্রায় নিশ্চিতভাবেই আপনার গ্রাহকদের ডেটাও অন্তর্ভুক্ত থাকে। GDPR-এর মতো নিয়ম থাকা দেশগুলোতে এই ডেটা নিরাপদ রাখা একটি আইনি বাধ্যবাধকতা। তাই ইমেইল সুরক্ষিত করা ইতিমধ্যেই খুবই যৌক্তিক শোনাচ্ছে, আর আমরা এখনো শেষও করিনি!

আপনার ইমেইল নিরাপদ রাখার সবচেয়ে গুরুত্বপূর্ণ কারণগুলোর একটি হলো, এটি আপনার আরও অনেক অ্যাকাউন্টের প্রবেশদ্বার। বহু বছর ধরে এটি পাসওয়ার্ড রিসেট করার একটি সাধারণ উপায়। আপনার ইমেইলে যারই প্রবেশাধিকার থাকুক, সে শুধু আপনার বার্তাগুলো পড়েই বুঝে নিতে পারে কোন কোন সাইটে আপনার অ্যাকাউন্ট আছে, তারপর সেগুলোতে ‘forgotten password’ প্রক্রিয়াটি অনুসরণ করতে পারে।

প্রায় সব ছোট সাইটের ক্ষেত্রেই, নিবন্ধিত ইমেইল অ্যাকাউন্টই হলো একমাত্র বাধা যা কাউকে আপনার অ্যাকাউন্টে প্রবেশ করা থেকে আটকায়। এর মানে হতে পারে, আপনি বুঝে ওঠার আগেই আপনার অনেক অ্যাকাউন্ট আপস হয়ে গেছে।

সহজেই আপনার অ্যাকাউন্টে 2FA যোগ করুন

ভালো খবর হলো, বেশিরভাগ ইমেইল অ্যাকাউন্টে 2FA যোগ করা সত্যিই সহজ। ব্যবসায়িক বা পেশাদার ইমেইল অ্যাকাউন্টে এই ফিচারটি থাকার সম্ভাবনা বিশেষভাবে বেশি। সক্রিয় করার প্রক্রিয়াটি সাধারণত সহজ এবং সেট আপ করতেও খুব দ্রুত, বিশেষ করে যদি আপনি অন্য অ্যাপের জন্য আগে থেকেই কোনো authenticator ব্যবহার করে থাকেন।

আমরা Spacemail-কে (Spaceship-এর একটি ভালো উদাহরণ হিসেবে) দেখব, যেখানে কয়েকটি ক্লিকেই 2FA সক্রিয় করা যায়।

  1. আপনার অ্যাকাউন্টে লগইন করুন

  2. স্ক্রিনের উপরের ডানদিকে থাকা সেটিংস কগ-এ ক্লিক করুন।

  3. দ্বিতীয় বক্সে ‘Launch security center’-এ ক্লিক করুন।

  4. ট্যাবে TWO FACTOR AUTHENTICATION-এ ক্লিক করুন।

  5. সমর্থিত দুটি 2FA ধরনের যেকোনো একটি বেছে নিন।

প্রবেশের অন্যান্য পথ বন্ধ করতে ভুলবেন না

মূল লগইনে 2FA যোগ করা অবশ্যই ভালো, কিন্তু যদি আপনার ফোনে কোনো অ্যাপের (যেমন Outlook বা Gmail) সঙ্গে আপনার ইমেইল অ্যাকাউন্ট সংযুক্ত থাকে, তাহলে আপনার ইমেইল অ্যাকাউন্টে ঢোকার আরেকটি পেছনের দরজা থাকার সম্ভাবনা অনেক বেশি।

এই ফিচারটি সক্রিয় করতে ব্যবহৃত প্রোটোকলগুলোর মধ্যে রয়েছে IMAP, SMTP এবং POP3। এগুলো সক্রিয় থাকলে, কোনো অ্যাপ ব্যবহার করে আপনার অ্যাকাউন্টে প্রবেশাধিকার সেট আপ করা যেতে পারে, যা আপনার কনফিগার করা 2FA-কে পাশ কাটিয়ে যেতে পারে। নিরাপত্তা নিশ্চিত করতে, সম্ভব হলে এই প্রোটোকলগুলো নিষ্ক্রিয় করুন।

Spacemail-এর ক্ষেত্রে, একটি অ্যাপ বর্তমানে তৈরি হচ্ছে, যা এ বছরের শেষের দিকে প্রকাশের জন্য নির্ধারিত। এটি আপনাকে স্মার্টফোনের মতো কোনো ডিভাইসে সহজে আপনার মেইলে প্রবেশের সুযোগ দেবে, নিরাপত্তার সঙ্গে আপস না করেই।

2FA-এর ধরনসমূহ

“2FA-এর ধরন” প্রসঙ্গে, চলুন এগুলো কী এবং Spacemail-এর প্রেক্ষাপটে কীভাবে কাজ করে তা একটু কাছ থেকে দেখি। সাধারণভাবে বলতে গেলে, 2FA-এর তিনটি ধরন রয়েছে। প্রতিটিই authentication-এর জন্য ভিন্ন কিছু ব্যবহার করে।

“আপনি যা জানেন”

এর মধ্যে অতিরিক্ত PIN নম্বর বা নিরাপত্তা প্রশ্নের মতো বিষয়গুলো অন্তর্ভুক্ত। এগুলো এমন তথ্য যা কেবল আপনারই জানা থাকার কথা — কিন্তু অনেক দিক থেকেই এগুলো পাসওয়ার্ডের থেকে খুব আলাদা নয়। 2FA-এর একটি পুরোনো ধরন হিসেবে, নিচের পদ্ধতিগুলোর পক্ষে এটি ধীরে ধীরে বাদ দেওয়া হচ্ছে।

কয়েক বছর আগে আপনি হয়তো শুনেছেন, মানুষ যেন আপনার উত্তর অনুমান বা খুঁজে বের করতে না পারে, সে জন্য ভুয়া ‘mother’s maiden name’ বা ‘first pet’ বেছে নেওয়ার পরামর্শ দেওয়া হতো।

আপেক্ষিকভাবে কম নিরাপদ হওয়ার কারণে, এই পদ্ধতিটি Spacemail সমর্থন করে না।

“আপনি যা”

আমরা ইতিমধ্যেই এটি সংক্ষেপে উল্লেখ করেছি। এই ধরনের 2FA বায়োমেট্রিক ডেটার ওপর নির্ভর করে, যেমন আঙুলের ছাপ, মুখমণ্ডল শনাক্তকরণ এবং কণ্ঠস্বর শনাক্তকরণ। এটি তখন উপকারী, যখন একটি দ্বিতীয় ডিভাইস সেরা বিকল্প নাও হতে পারে; উদাহরণস্বরূপ, অনেক ক্ষেত্রে আমরা এমন একটি স্মার্টফোন ব্যবহার করি, যা নিজেই দ্বিতীয় ডিভাইস।

বায়োমেট্রিক্স নিজের মাধ্যমেই দ্বিতীয় স্তরের যাচাইয়ের সুযোগ দেয়। যদিও এর জন্য অতিরিক্ত সেন্সর প্রয়োজন হয়, যা সাধারণত কেবল সাম্প্রতিক ও উন্নত ডিভাইসগুলোতেই পাওয়া যায়।

“আপনার কাছে যা আছে”

বেশিরভাগ 2FA এই শ্রেণিতে পড়ে, এবং Spacemail-এ আপনি যে দুটি বিকল্প পাবেন, সেগুলোর ক্ষেত্রেও তাই। এগুলোর জন্য একটি নির্দিষ্ট ডিভাইস বা বস্তু আপনার কাছে থাকা প্রয়োজন। এই পদ্ধতি বাস্তবায়নের কয়েকটি উপায় রয়েছে।

TOTP (Time-Based One-Time Password)

একটি authenticator app দ্বারা তৈরি কোড নিরাপদ লগইন নিশ্চিত করে। আপনি authenticator app ব্যবহার করতে পারেন, অথবা SMS/ইমেইলের মাধ্যমে একবার ব্যবহারযোগ্য কোড পাঠাতে পারেন। Spaceship-এর ক্ষেত্রে, TOTP শুধুমাত্র authenticator app-এর মাধ্যমেই অনুমোদিত, কারণ এটি অনেক বেশি নিরাপদ।

U2F (Universal 2nd Factor)

U2F public-key cryptography ব্যবহার করে, যা এটিকে আরও নিরাপদ এবং phishing-প্রতিরোধী করে তোলে। এতে হাতে কোড টাইপ করার প্রয়োজন হয় না। আপনি শুধু একটি hardware key (যেমন YubiKey) আপনার ডিভাইসে সংযুক্ত করেন। এর অতিরিক্ত সুবিধা হলো, কেউ যদি আপনার স্মার্টফোন চুরি করেও ফেলে, 2FA-সুরক্ষিত অ্যাকাউন্টে প্রবেশ করতে আরও একটি ডিভাইস (key) প্রয়োজন হবে।

কোন পদ্ধতি বেছে নেবেন

সাধারণভাবে U2F-কে বেশি নিরাপদ মনে করা হয়, কারণ ডিভাইসগুলো tamper-resistant এবং cryptographic প্রক্রিয়াটি নির্দিষ্ট website বা app-এর সঙ্গে আবদ্ধ থাকে। এর ফলে, ব্যবহারকারী যদি প্রতারণার শিকার হয়ে কোনো ভুয়া সাইটে যান, তাহলেও authentication ব্যর্থ হবে, কারণ ভুয়া সাইটটি প্রয়োজনীয় নিরাপদ সংযোগটি অনুকরণ করতে পারে না।

অবশ্যই, একটি U2F key কিনতে কিছু খরচ আছে, তবে আপনার নিরাপত্তার জন্য এটি সার্থক হতে পারে।

সুষম নিরাপত্তা অভ্যাসের অংশ হিসেবে 2FA…

মানুষ শুধু 2FA-এর ওপর নির্ভর করে বাঁচতে পারে না। এটি সর্বাঙ্গীণ ভালো নিরাপত্তা চর্চার বিকল্প নয়। আমাদের ইমেইল অ্যাকাউন্ট বিশেষভাবে phishing এবং malware আক্রমণের ঝুঁকিতে থাকে। বিদ্রূপের বিষয় হলো, এভাবে হুমকি হতে কাউকে আপনার অ্যাকাউন্টে ঢুকতেই হয় না। তারা শুধু একটি ইমেইল পাঠায়।

এ কারণেই যেসব অ্যাকাউন্ট ইমেইল হুমকির বিরুদ্ধে অন্যান্য সুরক্ষা দেয়, বিশেষ করে anti-spam filter, সেগুলোতেও বিনিয়োগ করা বুদ্ধিমানের কাজ। সামাজিক প্রকৌশলভিত্তিক ফাঁদ বা malware-যুক্ত ইমেইল আপনাকে দেখার আগেই থামিয়ে দিয়ে, এগুলো আপনার নিরাপত্তার সবচেয়ে বড় ঝুঁকিটিকেই আপনার সামনে আসতে দেয় না। আজই আপনার অ্যাকাউন্টে 2FA সক্রিয় করুন, আর যদি দেখেন এতে এটি নেই, তাহলে যেটিতে আছে সেটিতে পরিবর্তন করার কথা বিবেচনা করুন।

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

2FA হলো Two-factor authentication-এর সংক্ষিপ্ত রূপ। 2FA-এর সবচেয়ে সাধারণ পদ্ধতি লগইনে অতিরিক্ত একটি নিরাপত্তা স্তর যোগ করে, যেখানে আপনার জানা কিছু (আপনার username এবং password) ও আপনার কাছে থাকা কিছু (সাধারণত একটি smartphone বা key) একসঙ্গে ব্যবহার করা হয়। এর অর্থ হলো, কোনো unauthorized login অনুরোধ করা হলে আপনি সতর্কবার্তা পাবেন।

আপনি যখন আপনার অ্যাকাউন্টে প্রবেশ করেন, 2FA তখন আপনার পরিচয় যাচাই করে। এর ফলে, অন্য কেউ প্রবেশ করার চেষ্টা করলে সেটিও আপনাকে জানায়। ইমেইল অ্যাকাউন্টগুলো cybercriminals-দের জন্য বিশেষভাবে ভালো লক্ষ্য, কারণ এতে অনেক সংবেদনশীল তথ্য থাকে এবং standard ‘forgotten password’ প্রক্রিয়ার মাধ্যমে এটি অন্য অ্যাকাউন্টে প্রবেশের পথও হয়ে উঠতে পারে — যা নিবন্ধিত ইমেইল ঠিকানার ওপর অনেকটাই নির্ভর করে।

অনেক অ্যাকাউন্টে, বিশেষ করে যেগুলো ব্যবসায়িক ব্যবহারকারীদের জন্য তৈরি, এটি standard হিসেবেই থাকে। সাধারণত security settings-এ গিয়ে এটি সেট আপ করা বেশ সহজ। আপনি যদি আগে থেকেই কোনো authenticator app বা key ব্যবহার করে থাকেন, তাহলে এটি করা সাধারণত আরও দ্রুত হয়।

হ্যাঁ, 2FA-এর কয়েকটি ধরন রয়েছে। সবচেয়ে সাধারণ পদ্ধতিতে স্মার্টফোন বা U2F key-এর মতো একটি ডিভাইস (আলাদা ডিভাইস) ব্যবহার করা হয়। বায়োমেট্রিক্সও authentication-এর দ্বিতীয় factor হিসেবে গণ্য হয়, আর পুরোনো ধরনের security question-গুলোও (যেমন “mother’s maiden name”) প্রযুক্তিগতভাবে এর মধ্যে পড়ে, তবে এগুলো আজকাল খুব কমই ব্যবহৃত হয়, কারণ এগুলো সহজেই অনুমান করা যায়।

আপনার অ্যাকাউন্টে লগইন করুন। স্ক্রিনের উপরের ডানদিকে থাকা সেটিংস কগে ক্লিক করুন। দ্বিতীয় বক্সে ‘Launch security center’-এ ক্লিক করুন। ট্যাবে TWO FACTOR AUTHENTICATION-এ ক্লিক করুন। সমর্থিত দুটি 2FA ধরনের যেকোনো একটি বেছে নিন।


প্রস্তাবিত নিবন্ধ

আপনার চিন্তাভাবনা শেয়ার করুন

১০টির বেশি অক্ষর প্রয়োজন।
সর্বজনীন প্রদর্শনের জন্য আপনার পরিচয়।
আপনার ইমেল ঠিকানা প্রদান ঐচ্ছিক। এটি তৃতীয় পক্ষের সাথে ভাগ করা হবে না।

আমাদের ব্লগ উন্নত করতে সাহায্য করুন

দ্রুত দুই মিনিটের জরিপে আপনার মতামত শেয়ার করুন।

একটি বৈধ ইমেইল প্রয়োজন