গুগলের টাইটান কী-র সাহায্যে অ্যাকাউন্ট নিরাপদ রাখুন

Image Credit: Google

সোশাল নেটওয়ার্কিং, ইমেল ও নেট ব্যাঙ্কিং অ্যাকাউন্টে লগইন করার ক্ষেত্রে 2FA (Two Factor Authentication) পদ্ধতিতে নিরাপত্তা আরও বাড়াতে গুগল লঞ্চ করেছে তাদের বিশেষ U2F Key বা সিকিউরিটি কী। এই সিকিউরিটি কী-র নাম টাইটান।

কাকে বলে 2FA

গুগলের টাইটান সিকিউরিটি কী সম্পর্কে পাঠকদের জানানোর আগে সংক্ষেপে জেনে নেওয়া যাক কাকে বলে টু ফ্যাক্টর অথেন্টিকেশন। 2FA (যা U2F নামেও পরিচিত – Universal Two Factor)আসলে অ্যাকাউন্টে লগইন করার ক্ষেত্রে নিরাপত্তার দ্বিতীয় ধাপ। ধরুন, আপনি গুগলের অ্যাকাউন্টে 2FA সিস্টেম (যা আপনি অ্যাকাউন্টের সেটিংসে গিয়ে এনাবেল করতে পারবেন)এনাবেল করেছেন। সেক্ষেত্রে আপনার গুগল অ্যাকাউন্টে নিরপত্তার প্রথম ধাপ অ্যাকাউন্টের পাসওয়ার্ড। অ্যাকাউন্টে লগইন করার সময় আপনি যখন পাসওয়ার্ড টাইপ করবেন, তখন আপনার মোবাইল ফোনে (যে ফোন নম্বরটি আপনার গুগল অ্যাকাউন্টের সঙ্গে লিঙ্ক বা রেজিস্টার্ড করা আছে) SMS-এর মাধ্যমে একটি OTP (One Time Password) পাঠাবে গুগল। 

এই OTP হল আপনার অ্যাকাউন্টের নিরাপত্তার দ্বিতীয় ধাপ। অর্থাৎ প্রথমে আপনাকে পাসওয়ার্ড টাইপ করতে হবে, তারপর OTP টাইপ করতে হবে। তারপরেই আপনি অ্যাকাউন্টে লগইন করতে পারবেন। অর্থাৎ কেউ যদি আপনার পাসওয়ার্ড জেনে যায়, তবু সে আপনার অ্যাকাউন্টে লগইন করতে পারবে না। ফেসবুক, নেটব্যাঙ্কিং সহ অন্যান্য অ্যাকাউন্টের ক্ষেত্রেও আপনি এভাবে নিরাপত্তার জন্য 2FA বা U2F ফিচার এনাবেল করতে পারবেন। 

ব্যাক আপ কোড

সুতরাং আমরা জানলাম যে, 2FA ফিচারের সাহায্যে অ্যাকাউন্টে লগইন করার ক্ষেত্রে মোবাইল ফোন (যে ফোনের নম্বরটি আপনি অনলাইন অ্যাকাউন্টের সঙ্গে লিঙ্ক বা রেজিস্টার্ড করেছেন) প্রয়োজন। কিন্তু কোনও কারণে যদি আপনার ফোনের নেটওয়ার্ক কাজ না করে, কিংবা ফোনটি হারিয়ে বা চুরি যায় কিংবা ফোনের SIM কার্ড করাপ্ট করে, তাহলে আপনি ফোনে OTP পাবেন না। সেক্ষেত্রে অ্যাকাউন্টে লগইন করবেন কীভাবে? এজন্য গুগল বা বিভিন্ন অনলাইন অ্যাকাউন্ট আপনাকে দেয় ব্যাক আপ কোড। ব্যাক আপ কোড হল আগে থেকে সেট করা কয়েকটি OTP যেগুলি আপনি আপনার ফোন বা কম্পিউটারে কপি করে রেখে দিতে পারবেন বা কাগজে লিখে রাখতে পারবেন। যখন কোনও কারণে আপনি ফোনে OTP পাবেন না, তখন অ্যাকাউন্টে লগইন করার সময় পাসওয়ার্ড টাইপ করার পর সেই ব্যাক আপ কোড OTP হিসেবে ব্যবহার করতে পারবেন।

মোবাইল OTP কি পুরোপুরি নিরাপদ?

আপাত দৃষ্টিতে মনে হতে পারে যে, অ্যাকাউন্টে লগইন করার ক্ষেত্রে পাসওয়ার্ডের পাশাপাশি যদি আপনি OTP ব্যবহার করেন, তবে কারও পক্ষেই আপনার অ্যাকাউন্ট হ্যাক করা সম্ভব নয়। কারণ OTP শুধু আপনার ফোনেই পাঠানো হবে, তাই সেটা আর কারও পক্ষে জানা সম্ভব নয়, তাই কারও পক্ষে আপনার অ্যাকাউন্ট হ্যাক করাও সম্ভব নয়। কিন্তু ঘটনা হল 2FA ফিচারে আপনি যদি মোবাইল OTP ব্যবহার করেন, তবু কিন্তু আপনার অ্যাকাউন্ট হ্যাক করা সম্ভব। 

কীভাবে সেটা সম্ভব? 

এজন্য হ্যাকাররা ব্যবহার করে ফিশিং ওয়েবসাইট (নকল ওয়েবসাইট) এবং Man in the middle attack টেকনিক। 

ধরা যাক আপনার ফেসবুক অ্যাকাউন্টে 2FA ফিচারটি এনাবেল করা আছে। অর্থাৎ প্রতিবার অ্যাকাউন্টে লগইন করার সময় আপনি পাসওয়ার্ড টাইপ করার পর ফেসবুক কোম্পানি আপনার ফোনে OTP পাঠাবে। সেই OTP টাইপ করার পর আপনি ফেসবুক অ্যাকাউন্টে লগইন করতে পারবেন।

ইন্টারনেটে অনেক ওয়েবসাইট রয়েছে যেখানে প্রচুর ভালো ভালো ভিডিয়ো, ছবি, টেক্সট ইত্যাদি থাকে। সেই সমস্ত ভিডিয়ো, ছবি ও টেক্সেটের পাশে থাকে শেয়ার বাটন। অর্থাৎ আপনার যদি সেই ভিডিয়ো বা ছবি বা টেক্সট ভালো লাগে, তবে সেগুলি আপনি সেই শেয়ার বাটন ক্লিক করে আপনার ফেসবুক টাইমলাইনে বা ইনস্টাগ্রামে বা পিনস্টারে শেয়ার করতে পারবেন বা কাউকে মেল করতে পারবেন। 

ধরা যাক হ্যাকারদের একটি দল এমন একটি ওয়েবসাইট তৈরি করেছে যেখানে এমন অনেক ভিডিয়ো ও ছবি রয়েছে এবং সেগুলির পাশে ফেসবুক শেয়ার বাটন রয়েছে। সেই শেয়ার বাটনের সঙ্গে লিঙ্ক করা আছে ফেসবুকের লগইন পেজের মতো দেখতে একটি পেজ যেখানে আইডি ও পাসওয়ার্ড দেওয়ার অপশন রয়েছে। এই ধরনের নকল পেজকে বলা হয় ফিশিং ওয়েবসাইট। 

এবার আপনি যখন শেয়ার বাটন ক্লিক করবেন, তখন ব্রাউজার আপনাকে আসল ফেসবুকের লগইন পেজের বদলে সেই নকল লগইন পেজে নিয়ে যাবে। সেখানে যখন আপনি ফেসবুক আইডি (আপনার ফোন নম্বর বা ইমেল আইডি) ও পাসওয়ার্ড টাইপ করবেন, সঙ্গে সঙ্গে তা হ্যাকারের কাছে পৌঁছে যাবে। এবার সেই হ্যাকার তার কম্পিউটারে ফেসবুকের অরিজিনাল লগইন পেজ ওপেন করে সেখানে আপনার ইউজার আইডি ও পাসওয়ার্ড টাইপ করবে। অরিজিনাল পেজে হ্যাকার যখনই আপনার আইডি ও পাসওয়ার্ড টাইপ করবে, তখন আপনার ফোনে ফেসবুক OTP (যেহেতু আপনার ফেসবুক অ্যাকাউন্টে 2FA ফিচার এনাবেল করা আছে) পাঠাবে। হ্যাকারদের ফিশিং ওয়েবসাইটটি এমন ভাবে তৈরি করা হয় যে, সেখানে পাসওয়ার্ড ও আইডি-র পাশাপাশি OTP টাইপ করারও অপশন থাকে (ঠিক যেমন অরিজিনাল গুগল বা ফেসবুক অ্যাকাউন্টের লগইন পেজে থাকে)। মোবাইলে OTP পাওয়ার পর আপনি যখন সেটি ফিশিং ওয়েবসাইটে টাইপ করবেন সঙ্গে সঙ্গে হ্যাকার সেটি জেনে যাবে এবং সেই OTP ব্যবহার করে হ্যাকার আপনার ফেসবুক অ্যাকাউন্টে লগইন করবে।     

এদিকে, নকল লগইন পেজে OTP টাইপ করার পরেও যখন আপনি অ্যাকাউন্টে লগইন করতে পারবেন না, তখন আপনি ভাববেন হয়তো সার্ভার ডাউন বা ইন্টারনেট কানেকশনে প্রবলেম আছে। আপনি জানতেও পারবেন না যে, 2FA ফিচার এনাবেল থাকা সত্ত্বেও আপনার অ্যাকাউন্ট হ্যাকড হয়ে গেছে।

সমস্যা মেটাতে U2F Key

U2F Key দেখতে অনেকটা পেনড্রাইভের মতো। দরজায় তালা খোলার জন্য আমরা যেমন ‘কী’ বা চাবি ব্যবহার করি, এটাও তেমনি একধরনের চাবি যা অ্যাকাউন্টে লগইন করার জন্য ব্যবহার করা হয়। 

কীভাবে কাজ করে U2F Key ?

ফেসবুক, ড্রপবক্স, গুগল সহ বিভিন্ন কোম্পানি তাদের ওয়েবসাইটে লগইন করার ক্ষেত্রে এই U2F Key সাপোর্ট করে। ধরা যাক আপনি ফেসবুকে U2F Key –র সাহায্যে লগইন করবেন। সেক্ষেত্রে ক্রোম ব্রাউজারের সাহায্যে ফেসবুকের অ্যাকাউন্টে লগইন করে সিকিউরিটি সেটিংসে গিয়ে ক্লিক করুন Security and login। এরপর Use two-factor authentication অপশনের পাশে Edit বাটন ক্লিক করুন। সেখানে দেখবেন “Security key” অপশন রয়েছে। এবার কম্পিউটারের USB পোর্টে U2F Key ইনসার্ট করুন। মোবাইল ফোনের ক্ষেত্রে ব্লুটুথ বা NFC-র সাহায্যে ফোনের সঙ্গে U2F Key কানেক্ট করুন। এরপর “Security key” অপশনের পাশে Set up বাটন ক্লিক করুন।

এরপর U2F Key-র সফটওয়্যার একটি বিশেষ কোড তৈরি করবে (ধরা যাক সেটি হল 57983410992822195)। এবার ফেসবুক লগইন পেজের URL-র সঙ্গে এই কোডটি অ্যাড করে U2F Key একটি বিশেষ আলফানিউমেরিক স্ট্রিং তৈরি করবে (ধরা যাক সেটি হল facebook.com/login34872/57983410992822195)। এই স্ট্রিংটিকে বিশেষ হ্যাশ অলগারিদিমের সাহায্যে U2F Key এনক্রিপ্ট করবে এবং সেই এনক্রিপ্টেড স্ট্রিংটি নিজের মেমরিতে যেমন স্টোর করবে, তেমনি ফেসবুকের সার্ভারেও পাঠাবে। 

পরবর্তীতে যখন আপনি ফেসবুক পেজে লগইন করবেন তখন প্রথমে কম্পিউটারে USB পোর্টে U2F Key (মোবাইল ফোনে ব্লুটুথ বা NFC-র সাহায্যে) কানেক্ট করবেন। এরপর আইডি ও পাসওয়ার্ড টাইপ করলে ফেসবুক সার্ভার আগে থেকে স্টোর করা এনক্রিপ্টেড স্ট্রিংটি আপনার U2F Key-তে পাঠাবে। ফেসবুক থেকে পাঠানো সেই স্ট্রিংয়ের সঙ্গে U2F Key তার মেমরিতে স্টোর করা স্ট্রিংটি মিলিয়ে দেখবে এবং যদি দুটি স্ট্রিং ম্যাচ করে, তাহলেই আপনি অ্যাকাউন্টে লগইন করতে পারবেন।

U2F Key-র সুবিধা

ফিশিং ওয়েবসাইট ও Man in the middle attack এক্ষেত্রে সম্ভব নয়। কারণ এনক্রিপ্টেড স্ট্রিংটি থাকবে অরিজিনাল ওয়েবসাইটের সার্ভারে। তাই আপনি যদি ফিশিং ওয়েবসাইটে আইডি ও পাসওয়ার্ড দেন, সেক্ষেত্রে সেই নকল সাইট তার সার্ভার থেকে এনক্রিপ্টেড স্ট্রিংটি আপনার U2F Key-তে পাঠাতে পারবে না। ফলে U2F Key হ্যাকারকে আপনার অ্যাকাউন্ট কখনোই লগইন করতে দেবে না। 

আর একটি সুবিধা হল, যেহেতু আপনার অ্যাকাউন্টের সুরক্ষার দায়িত্ব U2F Key-র উপর থাকবে, তাই প্রতিটি অ্যাকাউন্টের জন্য আলাদা আলাদা জটিল ও দীর্ঘ পাসওয়ার্ড তৈরি করার প্রয়োজন নেই।

গুগলের টাইটান U2F Key

গুগল গত দুবছর ধরে তাদের তৈরি এই টাইটান U2F Key নিজেদের অফিসে কর্মীদের ব্যবহার করতে দিয়েছিল। পরীক্ষায় দেখা গেছে, এই টাইটান কী ব্যবহার করায় গত দুবছরে গুগল কোম্পানির ৮৫ হাজার কর্মীর কারও অ্যাকাউন্ট ও গুগলের সার্ভার হ্যাক করতে পারেনি হ্যাকাররা। কম্পিউটারের পাশাপাশি গুগলের এই U2F Key আপনি ফোনে ব্লুটুথ বা NFC-র সাহায্যে কানেক্ট করে ব্যবহার করতে পারবেন। খুব শীঘ্রই ভারতে গুগল স্টোরে টাইটান U2F Key পাওয়া যাবে।

টেকনোবিটসের এই ব্লগটি পড়ে যদি ভালো লাগে তবে ফেসবুক, হোয়াটসঅ্যাপে শেয়ার করুন। কমেন্ট করুন ব্লগের নীচে বা টেকনোবিটসের ফেসবুক পেজে।

টেকনোবিটসের ব্লগগুলি যদি নিজের ফেসবুক নিউজ ফিডে পেতে চান, তবে টেকনোবিটসের ফেসবুক পেজে গিয়ে Follow বাটন ক্লিক করে তারপর See first অপশনটিতে ক্লিক করুন। ইমেল সাবস্ক্রিপশনের  জন্য টেকনোবিটসের ব্লগ সাইটে নিজের ইমেল আইডি সাবমিট করে রেজিস্ট্রেশন করুন। ধন্য়বাদ।