বাংলা ব্লগসাইবার সিকুরিটি২১ অক্টোবর, ২০২২
পাসকী (Passkeys) – পাসওয়ার্ডের দিন কি শেষ?
অনলাইন এক্টিভিটিতে বিভন্ন সাইটে লগইন করা সাধারণ বিষয়। আর এইসব লগইন ক্রেডেনশিয়াল লিক হওয়াও এখন সাধারণ বিষয়। প্রতিদিন হাজার হাজার একাউন্ট লগইন ইনফরমেশন হ্যাক হচ্ছে বা লিক হচ্ছে। এই পাসওয়ার্ড লিক সমস্যার সমাধান করতে গুগল, এপল, মাইক্রোসফট সহ বড় বড় জায়ান্ট কোম্পানি মিলে নিয়ে আসছে ইন্ডাস্ট্রি স্ট্যান্ডার্ড অথেনটিকেশন মেথড পাসকী।
ট্র্যাডিশনাল পাসওয়ার্ডের বিকল্প হিসেবে অনলাইন একাউন্ট লগিনের জন্য সহজ এবং আরো সুরুক্ষিত মেথড হিসেবে আবির্ভাব হতে চলেছে পাসকীস (Passkeys)। পাসকী বর্তমান মেথডের মতো ইউজার/পাসওয়ার্ড ইউজ না করে ইউজ করবে ফিঙ্গারপ্রিন্ট, ফেসিয়াল রিকগনিশন, পিন, প্যাটার্ন, ইত্যাদি। পাসওয়ার্ড মনে রাখার এবং ২ স্টেপ ভেরিফিকেশনের প্রয়োজনীয়তাও ফুরাতে চলেছে পাসকী’র মাধ্যমে। আপনার ডিভাইসই হবে আপনার পাসওয়ার্ড।
পাসকী’র আবির্ভাবের প্রধান কারন মূলত পাসওয়ার্ড লিক ইন্সিডেন্টগুলি। পাসকী’র মাধ্যমে পাসওয়ার্ড জিনিসটাই থাকছে না, সুতরাং লিক বা হ্যাক হওয়ার সম্ভাবনা ই থাকবে না আর।
পাসকী কি?
বেশীরভাগ ইন্টারনেট ইউজারই এখন পাসওয়ার্ড ম্যানেজারের সাথে পরিচিত। পাসকীও অনেকটা অন্যান্য পাসওয়ার্ড ম্যানেজার যেমন, লাস্টপাস, এপলের কীচেইন, ক্রোমের পাসওয়ার্ড ম্যানেজার ইত্যাদির মতো। রেগুলার পাসওয়ার্ড ম্যানেজারগুলি আপনার কন্সেন্ট নিয়ে লগইন ফর্মে ইউজার নেম এবং পাসওয়ার্ড অটো ফিল করে দেয়। পাসকী একটু আলাদা এটা পাসওয়ার্ড অটোফিল না করে, ওয়েবসাইটের সাথে পাবলিক কী এবং প্রাইভেট কী আদানপ্রদান করে লগইন পার্মিশন দেয়।
পাসকী দিয়ে লগইন ফ্লো টা আরেকটু সহজভাবে বুঝা যাবে যদি সোশ্যাল লগইন ফ্লো’র দিকে দেখেন, পাসকী দিয়ে লগইন করাটা অনেকটা ফেকবুক/গুগল/এপল লগিনের মতোই। জাস্ট লগইন পারমিশনের জন্য কোন থার্ডপার্টি সার্ভিস ইউজ না করে, আপনি আপনার ডিভাইস ইউজ করছেন
পাসকী কিভাবে কাজ করে?
জানি টেকনিক্যাল ডিটেইলস জানার জন্য আমার ব্লগে আসেন নি। টেকনিক্যাল বিস্তারিত না বলে সহজভাবে বলি, আর টেকনিক্যাল ডিটেইলস FIDO সাইটে পড়ে ফেলতে পারেন।
পাসকী অথেনটিকেশন ফ্লো তে ইউজার যখন একটা সাইটে লগিন/রেজিস্টার করবে, তখন ইউজারের ডিভাইসে লগিন চ্যালেঞ্জ বা এপ্রুভাল চাইবে। রেজিস্ট্রেশনের ক্ষেত্রে একটি ক্রিপ্টোগ্রাফিক কী জেনারেট হবে, আড় লগিন এর ক্ষেত্রে আরে জেনারেট হওয়া কী সিলেক্ট করবে ইউজার। সেই ক্রিপ্টো কী ওয়েবসাইটের সার্ভারে পাঠানো হবে এবং সার্ভার তখন ওয়েবসাইট সেই এপ্রুভাল এবং পাবলিক কী পর্যালচনা করে ইউজার কে লগিন করে নিবে।
পাসকী’র মুল কনসেপ্টে ইউজারের এই কীগুলি কোন সার্ভারে থাকবে না। কিন্তু প্রোভাইডাররা কী সিংকিং সার্ভিস দিবে। যেমন, এপন তার ইউজারদের পাসকী কী গুলি সকল ডিভাইসে সিঙ্ক করবে।
ইউজার চাইলে পাবলিক কী গুলি এক্সপোর্ট ইম্পোর্ট করে অন্য ডিভাইসেও ট্রান্সফার করতে পারবে।
পাসকী’র সুবিধা
পাসকী’র সবেচেয়ে গুরুত্বপুর্ন সুবিধা হলো, এটার মাধ্যমে ফিশিং অ্যাটাক বন্ধ করা সম্ভব হবে। পাসকী তে ইউজার যেই সাইটের জন্য কী জেনারেট করেছে, শুধু সেই সাইটেই লগিন এপ্রুভাল দিবে। ফিশিং পেজকে চিনবেই না পাসকী, সুতরাং ফিশিং পেজ পাসকী’র কাছে কোন সাইটের লগিন এপ্রুভালই চাইতে পারবে না।
পাসকী এর কী যেহেতু মনে রাখার দরকার নেই, তাই এর কীগুলো হবে সুপার স্ট্রং। গেস করা ইম্পসিবল, তাই সোশ্যাল ইঞ্জিনিয়ারিং এর পথও বন্ধ। আড় রেগুলার পাসওয়ার্ডের মতো ওয়েবসাইটের সার্ভারে পাসওয়ার্ডের কোন কপি রাখার দরকার পরবে না পাসকী তে, সো কোন ওয়েবসাইটের সার্ভার হ্যাক হলে পাসওয়ার্ড লিকের কোন সম্ভাবনা থাকবে না।
পাসকী’র মজা হলো ইন্ডাস্ট্রি লিডাররা এটার পেছনে আছে, এপল এবং গুগল অলরেডি তাদের অপারেটিং সিস্টেমে এটা ইমপ্লিমেন্ট করে ফেলেছে। সো, কোন এডিশনাল সফটওয়ার বা এক্সটেনশন ইন্সটল করার দরকার পরবে না। আর এক প্ল্যাটফর্ম থেকে আরেক প্ল্যাটফর্মে মাইগ্রেট করাও অনেক ইজি হবে।
পাসকী’র সুবিধার গুলির মধ্যে আরেকটি হলো বিরক্তিকর ২ স্টেপ ভেরিফিকেশন থেকে বিদায়। আপনি এবং আপনার ডিভাইস ছাড়া এমনিতেই কেউ আর লগিন করতে পারবে না আপনার একাউন্টে। আর ডিভাইস চুরি হলেও সমস্যা নেই, পাসকীও আপনার বায়োমট্রিক কন্সেন্ট না পেলে লগিন করতে দিবে না।
আরো হয়তো অনেক সুবিধা আছে, আবার অসুবিধাও হয়তো আছে অনেক, রিয়েল লাইফে ইউজ করার পর আসলে সেগুলি জানা যাবে। তবে রেভুলেশনারি কিছু একটা হতে চলেছে এটা বলা যায়।
পাসকী সম্পর্কে খুব বেশী জানি না তাই অনেক ভালো করে কিছু লিখতে পারলাম না। বেসিক একটা আইডিয়া দেয়ার চেষ্টা করেছি, ভুল-ক্রুটি হলে ক্ষমা করবেন।
