ক্রিপ্টো নিরাপত্তা: পাসওয়ার্ড এবং প্রমাণীকরণ

এই লাইভস্ট্রিমটি ক্রিপ্টোকারেন্সি হোল্ডারদের জন্য পাসওয়ার্ড পরিচালনার মৌলিক বিষয় থেকে শুরু করে মাল্টি-ফ্যাক্টর প্রমাণীকরণ পর্যন্ত প্রয়োজনীয় নিরাপত্তা অনুশীলনগুলো কভার করে। আন্দ্রেয়াস আন্তোনোপোলোস ব্যবহারযোগ্যতার সাথে নিরাপত্তার ভারসাম্য বজায় রাখার নীতিগুলো নিয়ে আলোচনা করেছেন, কেন পাসওয়ার্ড ম্যানেজার অপরিহার্য তা ব্যাখ্যা করেছেন, XKCD পাসফ্রেজ ধারণার সাথে পরিচয় করিয়ে দিয়েছেন এবং টু-ফ্যাক্টর প্রমাণীকরণ পদ্ধতির স্তরবিন্যাস বিস্তারিতভাবে তুলে ধরেছেন।

এই ট্রান্সক্রিপ্টটি aantonop দ্বারা প্রকাশিত মূল ভিডিও ট্রান্সক্রিপ্টের (opens in a new tab) একটি অ্যাক্সেসযোগ্য অনুলিপি। পড়ার সুবিধার জন্য এটি সামান্য সম্পাদনা করা হয়েছে।

নিরাপত্তার মৌলিক বিষয় এবং ঝুঁকির ভারসাম্য (3:05)

(বিপিং) - সবাইকে হ্যালো এবং এই শনিবারের লাইভ স্ট্রিমে স্বাগতম। এই বোনাস লাইভ স্ট্রিমের বিষয় হলো পাসওয়ার্ড, পাসওয়ার্ড ম্যানেজার, প্রমাণীকরণ (authentication), মাল্টিফ্যাক্টর প্রমাণীকরণ এবং আপনার অ্যাকাউন্টের নিরাপত্তার সাথে সম্পর্কিত সবকিছু। আমাদের কাছে ইতিমধ্যেই অনেক প্রশ্ন জমা আছে, তবে আমি এই পর্বে মূলত প্রশ্নগুলোর ওপর নির্ভর করে এগোব না, কারণ আমি কিছু কঠিন বিষয় ব্যাখ্যা করতে চাই। এবং আমার জন্য কোনো একটি বিষয় নিয়ে স্বাভাবিকের চেয়ে একটু বেশি সময় বা হয়তো একটু কম সময় কথা বলা এবং এই বিষয়গুলোর মধ্য দিয়ে নিজের মতো করে এগিয়ে যাওয়াটা বেশি যৌক্তিক হতে পারে। এগুলো একটু জটিল। নিরাপত্তা একটি জটিল বিষয়। তাই শুধু নিখুঁত প্রশ্নটি খোঁজার চেষ্টা করার পরিবর্তে, আমি হয়তো তা করব না। অন্যদিকে, আমাদের শুরু করার জন্য আমার কাছে কিছু চমৎকার প্রশ্ন আছে। তাই প্রথমেই, যোগ দেওয়ার জন্য আপনাদের সবাইকে ধন্যবাদ। এটি একটি আনন্দের বিষয়

যে, বরাবরের মতোই আমার শনিবারের সকালগুলো আপনাদের সাথে বিটকয়েন এবং ওপেন ব্লকচেইন সম্পর্কিত নতুন ও আকর্ষণীয় বিষয় নিয়ে কাজ করে কাটাতে পারছি। এখন, পাসওয়ার্ড এবং মাল্টিফ্যাক্টর প্রমাণীকরণ কীভাবে বিটকয়েন এবং ওপেন ব্লকচেইনের সাথে সম্পর্কিত? দেখুন, আপনার ক্রিপ্টোকারেন্সির নিরাপত্তা বজায় রাখার জন্য, আপনাকে আপনার সমস্ত অ্যাকাউন্টের নিরাপত্তা বজায় রাখতে হবে। ক্রিপ্টোকারেন্সি সম্পর্কে একটি খুব আকর্ষণীয় বিষয় হলো, অনেক মানুষের জন্যই এটি প্রথমবার যখন তাদের অনলাইন পরিচয় এবং অনলাইন ডিভাইসগুলোর নিরাপত্তা নিয়ে সতর্কতার সাথে ভাবতে হচ্ছে। কারণ এখন সেখানে টাকা রাখা আছে এবং এটি একে আরও লোভনীয় লক্ষ্যে পরিণত করে। অতীতে মানুষ তাদের নিজস্ব নিরাপত্তা রক্ষার ব্যাপারে খুব একটা আগ্রহী ছিল না, কারণ যখন আপনি আপনার গোপনীয়তা হারান, যখন আপনার তথ্য হ্যাক হয়, তখন আপনি তাৎক্ষণিকভাবে তা বুঝতে পারেন না। এবং এর অনেক খারাপ পরিণতি রয়েছে, তবে সেই পরিণতিগুলো সরাসরি

দৃশ্যমান নয় এবং তাৎক্ষণিকভাবে অনুভূত হয় না। যদি কেউ এসে আপনার ডিজিটাল ডিভাইস থেকে কয়েকশ ডলার বা কয়েক হাজার ডলার বা তার চেয়েও খারাপ, কয়েক হাজার ডলার চুরি করে নেয়, তবে আপনি তা বুঝতে পারেন এবং তাৎক্ষণিকভাবেই বুঝতে পারেন। এবং আপনি এটিকে বাস্তবিকভাবে, আরও নির্দিষ্ট করে বললে অবাস্তবিকভাবে মেলাতে পারেন। আপনি এটিকে অবাস্তবিকভাবে, তবে খুব, খুব লক্ষণীয়ভাবে আপনার নিরাপত্তার সাথে মেলাতে পারেন। তাই এটি এমন একটি বিষয় যা দুর্ভাগ্যবশত এমন একটি শিক্ষা যা কেবল একটি বেদনাদায়ক অভিজ্ঞতার মাধ্যমেই শেখা যায়। আর তাই আমি নতুনদের কীভাবে এবং কেন তাদের অ্যাকাউন্ট সুরক্ষিত করতে হবে তা বলতে অনেক সময় ব্যয় করতে পারি। যতক্ষণ না তারা তাদের কোনো একটি ডিভাইসে একটি ক্রিপ্টোকারেন্সি হট ওয়ালেট ইনস্টল করে এবং তারপর সেই হট ওয়ালেটে থাকা টাকা হারায়। আমি যা বলছি তা বোঝা বা তার দ্বারা অনুপ্রাণিত হওয়া খুব কঠিন। এখন, এই পুরো আলোচনায় আরেকটি যে বিষয়টি বোঝা সত্যিই গুরুত্বপূর্ণ তা হলো নিরাপত্তা

হলো একটি ভারসাম্য। এটি পুরোটাই ভারসাম্যের বিষয়। এটি হলো ঝুঁকি ব্যবস্থাপনা। 100% নিরাপত্তা বলে কিছু নেই। নিখুঁত নিরাপত্তা বলে কিছু হয় না। এবং আপনি সমস্ত হুমকির বিরুদ্ধে রক্ষা করতে পারবেন না। আপনাকে খুঁজে বের করতে হবে আপনি কী কী হুমকির সম্মুখীন হচ্ছেন। আপনাকে খুঁজে বের করতে হবে যে আপনি আসলে সেই হুমকিগুলোর মধ্যে কতগুলোর বিরুদ্ধে রক্ষা করতে পারবেন এবং আপনি আসলে কী রক্ষা করছেন তার ওপর নির্ভর করে সেই হুমকিগুলোর বিরুদ্ধে রক্ষা করতে আপনি কতটা প্রচেষ্টা চালাবেন। আপনাকে এটাও খুঁজে বের করতে হবে যে আপনি যে সমাধানটি তৈরি করছেন, যে সিস্টেমগুলো আপনি ব্যবহার করছেন তা কখন এত জটিল হয়ে যায় যে এটি নিজেই একটি নিরাপত্তা ঝুঁকিতে পরিণত হয়। এবং আমরা প্রায়শই নতুনদের দেখি, বিশেষ করে ক্রিপ্টোকারেন্সির ক্ষেত্রে, এমন সমাধান তৈরি করতে যা অনেক বেশি জটিল। এবং তারপর আমরা নিরাপত্তা স্থিতিস্থাপকতার ভারসাম্যের ভুল দিকে গিয়ে পৌঁছাই। যেখানে আপনার ক্রিপ্টোকারেন্সি সুরক্ষিত করার প্রক্রিয়াটি এতই জটিল যে আসলে, আপনি শেষ পর্যন্ত

এটি হারিয়ে ফেলেন কারণ আপনি এমন কিছু ব্যবহার করছেন যা মানসম্মত নয়, কারণ আপনি একটি পাসওয়ার্ড ভুলে গেছেন, কারণ কেউ ঠিক জানে না আপনি কী করেছেন এবং আপনি তাদের সাহায্য করার জন্য উপলব্ধ নেই। তাই নিরাপত্তা একশ ভাগ অর্জন করা যায় না এবং এটি পুরোটাই ভারসাম্যের বিষয়। এবং সরলতা প্রায়শই নিরাপত্তার একটি মূল উপাদান। সহজ নিরাপত্তা সমাধান যা আপনি আপনার প্রযুক্তিগত দক্ষতার মধ্যে প্রয়োগ করতে পারেন এবং আপনি ধারাবাহিকভাবে প্রয়োগ করতে পারেন। এবং যদি আপনার কোনো সমস্যা হয় তবে আপনি তা থেকে পুনরুদ্ধার করতে পারেন, সেগুলো এমন জটিল নিরাপত্তা সমাধানের চেয়ে ভালো যা আপনাকে আপনার দক্ষতার স্তর অতিক্রম করতে বাধ্য করে, আপনাকে অজানা অঞ্চলে ফেলে দেয় এবং আপনার ভুল করার সম্ভাবনা বাড়িয়ে দেয়। এটি প্রায়শই এমন কিছু যা আপনি শোনেন, যার ওপর অনেক খারাপ পরামর্শ দেওয়া হয়। মানুষ আপনাকে এমন কিছু বাস্তবায়ন করার পরামর্শ দেবে যা দেখতে খুব, খুব জটিল একটি নিরাপত্তা ব্যবস্থা বলে মনে হয়। এবং যেহেতু এটি এত জটিল, তাই এটি সুরক্ষিত বলে মনে হয়। মনে হয় যেন সেখানে একটি

নিরাপত্তাকে সহজ রাখা (8:40)

অনেক কিছু ঘটছে, তাই এটি অবশ্যই খুব অত্যাধুনিক এবং গুরুতর হতে হবে। এবং অনেক ক্ষেত্রে, আপনি আপনার প্রযুক্তিগত সক্ষমতা অতিক্রম করে ফেলবেন এবং আসলে অর্থ হারাবেন, চুরির কারণে নয়, বরং এমন একটি ভুলের কারণে যা আপনি আপনার দক্ষতার স্তরের বাইরে কাজ করার কারণে করেছেন। তাই আসুন এটিকে সহজ রাখি। আসুন এটিকে মান-ভিত্তিক রাখি। আসুন সর্বোত্তম অনুশীলন, সাধারণ টুলগুলো ব্যবহার করি এবং সেগুলো ধারাবাহিকভাবে ব্যবহার করি। যাতে আমরা খুব সুরক্ষিত থাকতে পারি। আমরা সরাসরি, আমরা সরাসরি প্রথম প্রশ্নে চলে যাব। এখন পর্যন্ত স্ট্রিমে 220 জন মানুষ আছেন। ভিডিও এবং অডিও সম্পর্কে আমাকে ফিডব্যাক দেওয়ার জন্য ধন্যবাদ। এটি জানা সবসময় ভালো। আপনাদের অবগতির জন্য জানাচ্ছি, আজ এর আগে এই স্থানে আমাদের কিছুটা বিদ্যুৎ বিভ্রাট হয়েছিল, এবং যদি আমাদের বিদ্যুৎ চলে যায়, তবে আপনারা বুঝতে পারবেন কারণ স্ট্রিমটি বন্ধ হয়ে যাবে। এবং ইন্টারনেট রাউটার ও ওয়াইফাই

রিবুট হতে কমপক্ষে 5 মিনিট সময় লাগে। আমি হয়তো ফিরে আসতে পারব, এমনকি যদি এটি মাত্র এক সেকেন্ডের জন্যও বিদ্যুৎ চলে যায়, আমাকে ফিরে আসার আগে 5 মিনিট অপেক্ষা করতে হবে। যদি আমি ফিরে আসতে না পারি, আমরা আপনাদের চ্যাটে জানিয়ে দেব। তাই অনুগ্রহ করে ধৈর্য ধরুন এবং আমি আশা করি আমরা বিচ্ছিন্ন হয়ে যাব না। তবে আপনারা জানেন যে এটি এমন একটি ঝুঁকি যা আমাদের আজ পরিচালনা করতে হবে। আসুন আজকের জন্য আমাদের প্রথম প্রশ্নে চলে যাই। প্রথম প্রশ্নটি এসেছে একজন বেনামীর (anonymous) কাছ থেকে এবং আপনার প্রশ্ন জিজ্ঞাসা করার জন্য বেনামী শব্দটি বেছে নেওয়া নিরাপত্তার প্রথম এবং ভালো একটি প্রক্রিয়া। আমি যদি ডিসলেক্সিক হই এবং দীর্ঘ পাসওয়ার্ড মনে রাখতে খুব একটা পারদর্শী না হই, তবে অনেকগুলো অনন্য, শক্তিশালী পাসওয়ার্ড পরিচালনা করার সেরা উপায় কী? এটি একটি চমৎকার প্রশ্ন। এটি একটি চমৎকার প্রশ্ন কারণ এটি একটি বৃহত্তর সমস্যা নিয়ে কথা বলে, যা হলো জিনিসগুলো মনে রাখার অসুবিধা। এবং আমরা সবাই ভাবি যে আমরা

আসলে যতটা পারি তার চেয়ে ভালোভাবে মনে রাখতে পারি। এবং আমাদের মধ্যে কারও কারও স্মৃতিশক্তি বা পড়া বা লেখা বা অন্য কোনো দক্ষতায় অসুবিধা রয়েছে যা আমাদের পাসওয়ার্ড মুখস্থ করতে সাহায্য করে। এবং হয়তো জানেন যে তারা খুব ভালোভাবে মনে রাখতে পারেন না। তাই বেনামী ব্যক্তি এটি এমন একজনের দৃষ্টিকোণ থেকে জিজ্ঞাসা করেছেন যিনি ডিসলেক্সিয়ায় ভুগছেন, তবে, এটি সবার ক্ষেত্রেই সমানভাবে প্রযোজ্য। প্রত্যেকেই যাদের মানুষের ভুল করার প্রবণতাযুক্ত স্মৃতি রয়েছে। মানুষ দীর্ঘ সময়ের জন্য মনে রাখার ক্ষেত্রে সত্যিই খুব খারাপ, বিশেষ করে এমন জিনিসগুলো যা স্মরণীয় নয় কারণ সেগুলো ছবি, অভিজ্ঞতা বা আবেগের সাথে যুক্ত নয়। আমাদের জীবনের সাথে কোনো সম্পর্ক নেই এমন জিনিসগুলো মনে রাখা প্রায় অসম্ভব কারণ আমাদের মস্তিষ্ক অপ্রাসঙ্গিক তথ্যগুলো বাদ দিয়ে অপ্টিমাইজ করতে খুব পারদর্শী। আপনি যা মনে রাখার চেষ্টা করছেন তার সাথে যদি আপনার কোনো আবেগ, অভিজ্ঞতা বা ছবি যুক্ত না থাকে, তবে মস্তিষ্ক বলবে, এটি আমার ক্যাশিং অ্যালগরিদমের জন্য আর প্রাসঙ্গিক নয় এবং এটি বাদ দিয়ে দেবে। এবং অনেক

মানুষ ঠিক এই কারণেই পাসওয়ার্ড ভুলে যায়। তাই আমি আসলে এই প্রশ্নের আরও বিস্তৃতভাবে উত্তর দিতে এবং মানুষকে পাসওয়ার্ডের মৌলিক নীতিগুলো সম্পর্কে একটি ভিত্তি পেতে সাহায্য করার জন্য এখানে কয়েকটি রিসোর্স ব্যবহার করতে যাচ্ছি। তাই এর জন্য, আমি কিছু ভিজ্যুয়াল এইড ব্যবহার করব। আমি সাধারণত ভিজ্যুয়াল এইড ব্যবহার করি না, তবে আমি মনে করি এই নির্দিষ্ট ক্ষেত্রে সেগুলো কার্যকর হবে। দেখা যাক কেমন হয়। ঠিক আছে, তাই আমরা প্রথমে যে বিষয়টি নিয়ে কথা বলব, তা হলো পাসওয়ার্ড ম্যানেজমেন্ট সিস্টেম। কয়েক দশক ধরে, আমরা ব্যবহারকারীদের দীর্ঘ, র‍্যান্ডম আলফানিউমেরিক পাসওয়ার্ড তৈরি করতে প্রশিক্ষণ দিয়ে আসছি যেগুলোতে বিভিন্ন ধরণের অক্ষর থাকে। এগুলো এমন পাসওয়ার্ড যা মানুষ মনে রাখতে পারে না। এগুলো এমন পাসওয়ার্ড যা আসলে খারাপ আচরণকে উৎসাহিত করে। এগুলো এমন আচরণকে উৎসাহিত করে যেখানে আপনি একই চতুর প্যাটার্ন ব্যবহার করেন, যেমন Satoshi Nakamoto-এর O-গুলোকে 0 (শূন্য) দিয়ে প্রতিস্থাপন করা এবং দ্বিতীয় শব্দের প্রথম অক্ষরটি বড় হাতের করা এবং T-কে

7 দিয়ে প্রতিস্থাপন করা এবং শেষে হ্যাশ পাউন্ড (#) যুক্ত করা। এবং এখন আপনি সংখ্যা, ছোট হাতের অক্ষর, বড় হাতের অক্ষর এবং বর্ণ পেয়ে গেছেন। তবে যদি আপনাকে এটি একাধিক সাইটে ব্যবহার করতে হয়, তবে আপনি একটি ছোট পরিবর্তন করেন। তারপর আপনাকে হয়তো শেষে একটি সংখ্যা যোগ করতে হবে। এবং তারপর আপনি এই সত্যিই জটিল স্মৃতির সমস্যায় পড়েন, যা হলো সাইটগুলো আপনাকে বৈচিত্র্য তৈরি করতে বাধ্য করছে, কিন্তু বৈচিত্র্য আপনার জন্য আসলে মনে রাখা অসম্ভব করে তোলে, বিশেষ করে এই জটিলতার পাসওয়ার্ডের ক্ষেত্রে। এবং তাই আপনি অনেক সাইটে আপনার পাসওয়ার্ড পুনরায় ব্যবহার করতে বাধ্য হন। প্রায় সবাই এটাই করে। এবং এটি নিরাপত্তার জন্য খুবই, খুবই খারাপ। এখন, কীভাবে এই সমস্যার সমাধান করা যায় তা বোঝার জন্য সেরা রিসোর্সগুলোর মধ্যে একটি হলো আসলে একটি কার্টুন। তাই আমি যা করতে যাচ্ছি তা হলো আপনাকে দুটি উপদেশ দেওয়া। প্রথমটি হলো নিজের পাসওয়ার্ড নিজে তৈরি করার চেষ্টা করবেন না,

পাসওয়ার্ড ম্যানেজার (13:50)

একটি পাসওয়ার্ড ম্যানেজার ব্যবহার করুন। পাসওয়ার্ড ম্যানেজার হলো এমন একটি সফটওয়্যার যা আপনার জন্য র‍্যান্ডম পাসওয়ার্ড তৈরি করে এবং সেগুলো আপনার জন্য মনে রাখে। এই সিস্টেমগুলো দুটি সমস্যার সমাধান করে, মানুষের স্মৃতিভ্রম হতে পারে এবং মানুষের র‍্যান্ডমনেস আরও খারাপ। আমরা র‍্যান্ডম কিছু করার ক্ষেত্রে খুবই খারাপ। আমরা মনে রাখার ক্ষেত্রে খুবই খারাপ এবং র‍্যান্ডম কিছু মনে রাখার ক্ষেত্রে আমরা দ্বিগুণ খারাপ। তাই আপনি আরও বেশি সুশৃঙ্খল, আরও বুদ্ধিমান বা আরও সতর্ক হয়ে এই সমস্যার সমাধান করতে পারবেন না। আপনি আপনার স্ক্রিনে পোস্ট-ইট (post-its) লাগিয়ে এবং এখানে যা দেখছেন তার সবকিছু করে এর সমাধান করতে পারবেন না, তাই না? যা আপনি সব সময় অফিসগুলোতে দেখতে পান। পাসওয়ার্ড লিখে রাখা কোনো খারাপ ধারণা নয়। যদি আপনি যেখানে এটি লিখে রাখছেন সেই জায়গাটি সত্যিই সুরক্ষিত হয়। তাই পাসওয়ার্ড ম্যানেজারের সবচেয়ে প্রাথমিক রূপ হলো একটি ছোট বই, একটি পাসওয়ার্ড বই। এবং, আপনি জানেন, আমি যতই বলি না কেন যে এটি খুব একটা আধুনিক নয়, এটি

প্রযুক্তিগতভাবে খুব একটা উন্নত নয়, এবং এটি র‍্যান্ডম পাসওয়ার্ড তৈরি করার সমস্যার সমাধান করে না। সত্যি বলতে এটি এমন একটি সমাধান যা আমার বাবা-মা ব্যবহার করেন। কারণ তারা যদি এটি লিখে রাখেন, তবে তারা তাদের পাসওয়ার্ডগুলোতে আরও বৈচিত্র্য আনতে পারেন। এবং যদি তারা সেই ছোট বইটি কোনো নিরাপদ স্থানে রাখেন, যেমন ধরুন, বাড়িতে, কোনো তালাবদ্ধ ড্রয়ারে বা এই জাতীয় কোনো জায়গায়, তবে এটি বেশ টেকসই একটি পদ্ধতি। এখন, আপনাদের মধ্যে বেশিরভাগই সম্ভবত আমার বাবা-মায়ের চেয়ে প্রযুক্তিগতভাবে বেশি পারদর্শী। তাই চলুন আপনাদের জন্য আরও ভালো একটি সমাধান নিয়ে কথা বলি। তাই আরও ভালো সমাধান হলো এমন একটি সফটওয়্যার ডাউনলোড করা, যা আপনার জন্য এই কাজটি করবে। অনেক ধরনের পাসওয়ার্ড ম্যানেজার রয়েছে। এবং দারুণ খবর হলো, প্রাথমিক কার্যকারিতার জন্য এগুলো বিনামূল্যে পাওয়া যায়। আপনি Last Password বা LastPass, 1Password, Bitwarden এবং আরও অনেক ধরনের প্রোডাক্ট যেমন KeePass ইত্যাদি ইত্যাদি ব্যবহার করতে পারেন। এখন, এগুলোতে

অনেকগুলো ভিন্ন ভিন্ন ফিচার থাকবে এবং আপনাকে খুঁজে বের করতে হবে যে আপনার আসলে কোন ফিচারগুলো প্রয়োজন। আমার পরামর্শ হলো, আপনি কোন ধরনের ডিভাইসে এটি ব্যবহার করতে চান তা নির্ধারণ করার মাধ্যমে শুরু করুন, কারণ পাসওয়ার্ড ম্যানেজার ব্যবহারের অন্যতম বড় সুবিধা হলো আপনি আপনার সমস্ত ডিভাইসে আপনার সমস্ত পাসওয়ার্ড সিঙ্কিং করে রাখতে পারবেন। তাই আপনি যদি Windows, Android এবং iOS ব্যবহার করেন, উম, এটি সম্ভবত সহজ। সমস্ত পাসওয়ার্ড ম্যানেজারই এই সমস্ত প্ল্যাটফর্ম সমর্থন করবে এবং আপনার কোনো সমস্যা হবে না। আপনি এটিও চাইবেন যেন এটি আপনার ব্যবহৃত ব্রাউজারগুলোতেও কাজ করে। যেমন Chrome, Firefox, Edge, Opera, Brave বা এক্সটেনশন হিসেবে আপনি অন্য যা কিছুই ব্যবহার করছেন, যাতে আপনি স্বয়ংক্রিয়ভাবে ওয়েব ফর্মে পাসওয়ার্ড পূরণ এবং সাবমিট করতে পারেন। আমি মনে করি আপনারা সবাই দেখেছেন যে আমার ভিডিও ক্যামেরার কার্ড এইমাত্র ফুল হয়ে গেছে। ঠিক স্ট্রিমের মাঝখানেই, যা

বেশ সহায়ক ছিল। হ্যাঁ, আমার SD কার্ড এইমাত্র ফুল হয়ে গেছে, তাই আমি আর ক্যামেরায় রেকর্ডিং করছি না। উপস্। ওহ, আচ্ছা, বাদ দিন। চলুন চালিয়ে যাই। তাই পাসওয়ার্ড ম্যানেজার বেছে নেওয়ার একটি উপায় হলো, আপনার কোন ডিভাইসগুলোতে এটি সমর্থন করা প্রয়োজন তা নির্ধারণ করা। এবং আপনার যদি কিছু অদ্ভুত ডিভাইস থাকে তবে এটি কিছুটা জটিল হয়ে যায়। যেমন, আমি ডেস্কটপে Linux ব্যবহার করি। আমি অনেক দিন ধরেই ডেস্কটপে Linux ব্যবহার করছি। এবং, আপনারা জানেন, আমি মনে করি এই বছরটি আসলে ডেস্কটপে Linux-এর বছর। এটা হতে চলেছে বন্ধুরা। না, এটা হচ্ছে না। তবে যাই হোক না কেন, আমি এটি ব্যবহার করি, এটি আমার জন্য কাজ করে, তবে এটি ব্যাপকভাবে সমর্থিত নয়। তাই সব পাসওয়ার্ড ম্যানেজার Linux ডেস্কটপে কাজ করে না বা ভালোভাবে কাজ করে না। সৌভাগ্যবশত, বেশিরভাগ পাসওয়ার্ড ম্যানেজার ব্রাউজারে একটি ব্রাউজার এক্সটেনশন হিসেবে কাজ করে, যা সেগুলোকে মূলত ক্রস-প্ল্যাটফর্ম করে তোলে। তাই আমার জন্য, একটি

বিভিন্ন ডিভাইসে পাসওয়ার্ড ম্যানেজার বেছে নেওয়া (18:22)

পাসওয়ার্ড ম্যানেজারকে Android, Windows, Linux, Chrome, Firefox এবং iOS ইত্যাদিতে কাজ করতে হবে। যাতে আমি এটি আমার সমস্ত ডিভাইসে ইনস্টল করতে পারি এবং এর ফলে আমার সমস্ত ডিভাইসে আমার সমস্ত পাসওয়ার্ড অ্যাক্সেস করতে পারি। ঠিক আছে। সুতরাং বেনামী (anonymous) দ্বারা জিজ্ঞাসিত প্রশ্নের উত্তর দিতে গেলে, আমি যদি ডিসলেক্সিক (dyslexic) হই এবং দীর্ঘ পাসওয়ার্ড মনে রাখতে পারদর্শী না হই, তবে অনেকগুলো অনন্য, শক্তিশালী পাসওয়ার্ড পরিচালনা করার সেরা উপায় কী? এর সেরা উপায় হলো একটি পাসওয়ার্ড ম্যানেজার ব্যবহার করা, যা আপনার জন্য র‍্যান্ডমভাবে অনন্য, শক্তিশালী পাসওয়ার্ড তৈরি করে। এবং, একবার আপনি একটি পাসওয়ার্ড ম্যানেজার বেছে নেওয়ার পর, আপনি একটি পাসওয়ার্ড সেট করবেন এবং সেই একটি পাসওয়ার্ডই হবে আপনার পাসওয়ার্ড ম্যানেজারের পাসওয়ার্ড। আমি আপনাকে একটি টু-ফ্যাক্টর অথেনটিকেশন (two-factor authentication) মেকানিজম ব্যবহার করার পরামর্শও দেব যাতে কেউ কেবল সেই একটি পাসওয়ার্ড ব্যবহার করে লগ ইন করে আপনার পাসওয়ার্ড ফাইল ডাউনলোড করতে না পারে। আপনার অথেনটিকেশনের জন্য একটি দ্বিতীয় ফ্যাক্টর প্রয়োজন। আমরা কথা বলব

আজকের এই ভিডিওর দ্বিতীয় অংশে সেই বিষয়ে। আমাদের দর্শকদের কাছ থেকে একটি ফলো-আপ প্রশ্নও রয়েছে, তা হলো আমি কীভাবে এই সফটওয়্যারটিকে বিশ্বাস করব? এর সহজ উত্তর হলো, আপনি এমন একটি সফটওয়্যার খুঁজছেন যা ব্যাপকভাবে ব্যবহৃত হয়, নিরাপত্তা পেশাদারদের দ্বারা পর্যালোচিত এবং অডিটেড, অথবা ওপেন সোর্স, অথবা উপরের সবগুলোই। এবং আমি মনে করি আমি আগে যেগুলোর কথা উল্লেখ করেছি তার সবগুলোই এই প্রয়োজনীয়তাগুলো পূরণ করে। এখন আমি আগে যে বিষয়টি উল্লেখ করেছিলাম সেটিতে ফিরে যাই, মনে আছে যখন আমি বলেছিলাম যে নিরাপত্তা 100 শতাংশ নিশ্চিত নয় এবং নিরাপত্তা হলো ঝুঁকি ভারসাম্য এবং প্রশমিত করার একটি বিষয়। তাই এখন আসুন এই দুটি ঝুঁকি নিয়ে আলোচনা করি। প্রথম ঝুঁকি, আমি কি পাসওয়ার্ড ম্যানেজারকে বিশ্বাস করতে পারি? এবং আমি যে পাসওয়ার্ড ম্যানেজারটি ডাউনলোড করি সেটি যদি আপসকৃত (compromised) বা আপসযোগ্য হয়, অথবা এতে এমন কোনো বাগ থাকে যা লক্ষ লক্ষ অন্যান্য ব্যবহারকারী এবং নিরাপত্তা পেশাদারদের নজরে আসেনি, তবে কী হবে যারা এটি

পর্যালোচনা করছেন? দ্বিতীয় ঝুঁকি, আমি কি আমার মস্তিষ্ককে বিশ্বাস করতে পারি? আচ্ছা, আপনি যদি সেভাবে চিন্তা করেন, তবে এটি স্পষ্ট হয়ে যায় যে এখানকার সমস্যাটি হলো কোনো পাসওয়ার্ড ম্যানেজার না থাকার চেয়ে যেকোনো পাসওয়ার্ড ম্যানেজার থাকা ভালো। ক্রিপ্টোকারেন্সি-তে হার্ডওয়্যার ওয়ালেট বনাম সফটওয়্যার ওয়ালেট নিয়ে কথা বলার সময় আমরা একই ধরনের ঝুঁকি ব্যবস্থাপনা করে থাকি। আমি কি হার্ডওয়্যার ওয়ালেট প্রস্তুতকারককে বিশ্বাস করতে পারি? কিছুটা, 100 শতাংশ নয়। সেখানে কিছু ঝুঁকি রয়েছে। হার্ডওয়্যার ওয়ালেট না থাকার তুলনায় সেই ঝুঁকিগুলো কেমন? এবং আবারও, উত্তর হলো কোনো হার্ডওয়্যার ওয়ালেট না থাকার চেয়ে যেকোনো হার্ডওয়্যার ওয়ালেট থাকা ভালো। তাহলে আপনি আসলে কোন ঝুঁকিগুলো পরিচালনা করতে পারেন? আপনি যখন এই পাসওয়ার্ড ম্যানেজারটি সংগ্রহ করবেন তখন এটি নিশ্চিত করা গুরুত্বপূর্ণ যে আপনার কাছে সঠিক সফটওয়্যারটি রয়েছে। আপনি যেন এটি কোনো র‍্যান্ডম ওয়েবসাইট থেকে, কোনো Groupon কুপন দিয়ে ডাউনলোড না করেন, এমন কিছুর জন্য যা এমনিতেই বিনামূল্যে পাওয়া যেত, এবং

তারপর আপনার সিস্টেমে একটি ট্রোজান (Trojan) নিয়ে আসেন। তবে মূল কথায় ফিরে গেলে, কোনো পাসওয়ার্ড ম্যানেজার না থাকার চেয়ে যেকোনো পাসওয়ার্ড ম্যানেজার থাকা ভালো। এবং তাই আপনার নিজের থেকে অনন্য পাসওয়ার্ড তৈরি করার চেষ্টা করা উচিত নয়। যদি কোনো ওয়েবসাইট আপনার কাছে 8 বা তার বেশি অক্ষরের আলফানিউমেরিক পাসওয়ার্ড চায়, তবে আমি যা করি আপনিও তাই করুন। আপনি সেই ছোট বোতামটিতে ক্লিক করুন যেখানে লেখা থাকে জেনারেট সিকিউর পাসওয়ার্ড (generate secure password)। আপনি এর দৈর্ঘ্য 31 অক্ষর, 75 অক্ষর, 213 অক্ষরে সেট করুন। আমি ওয়েবসাইটগুলোর সাথে খেলতে পছন্দ করি এটা দেখতে যে, তারা "এটি খুব দীর্ঘ" বলে চিৎকার শুরু করার আগে আমি এটিকে কতটা দীর্ঘ করতে পারি। এত বছর ধরে পাসওয়ার্ড ম্যানেজার এবং সিস্টেমগুলো আমার দিকে চিৎকার করে বলছে, এটি যথেষ্ট দীর্ঘ নয়। এটি যথেষ্ট জটিল নয়। আমি দেখতে চাই ওয়েবসাইটগুলো চিৎকার করে বলুক যে এটি খুব দীর্ঘ। এটি খুব জটিল। আরে ভাই, আপনি কী করছেন? আমার ডাটাবেসে এটি ধরবে না। তাই একটি শক্তিশালী র‍্যান্ডম পাসওয়ার্ড তৈরি করুন। এখন, আমি কি এই পাসওয়ার্ডটি মনে রাখতে পারব?

অবশ্যই না। আমার পাসওয়ার্ড ম্যানেজারে 800টি পাসওয়ার্ড রয়েছে, সেগুলোর সবগুলোই 20 অক্ষরের বেশি, প্রতীক, বড় হাতের অক্ষর, ছোট হাতের অক্ষর এবং সংখ্যাসহ সম্পূর্ণ র‍্যান্ডম আলফানিউমেরিক। আমার পক্ষে সেগুলোর একটি মনে রাখাও অসম্ভব, 800টি তো দূরের কথা, তবে আমি আমার মাস্টার পাসওয়ার্ডটি মনে রাখি। ঠিক আছে, আসুন দেখি আমাদের আর কী কী প্রশ্ন আছে। এবং আমাদের পরবর্তী প্রশ্নে চলে যাই, যা আমাকে আমার পরবর্তী বিষয় নিয়ে কথা বলার সুযোগ করে দেবে। বেনামী (anonymous) জিজ্ঞাসা করেছেন, পাসওয়ার্ড বা পাসফ্রেজগুলোর জন্য কি কোনো ন্যূনতম কার্যকর নিরাপত্তা মান (minimum viable security standards) আছে, কারণ আমি যখন একটি শক্তিশালী পাসওয়ার্ড জেনারেটর ব্যবহার করি তখন এটি অনেক ক্ষেত্রেই কাজ করে না। হ্যাঁ। পাসওয়ার্ডের জন্য ওয়েবসাইটগুলোর হাস্যকর প্রত্যাশা থাকে এবং প্রায়শই সেগুলো খারাপ প্রত্যাশা হয়। উদাহরণস্বরূপ, তারা পরস্পরবিরোধী তথ্যকে উৎসাহিত করে। আমি আপনাকে একটি উদাহরণ দিই। এটিকে 8 অক্ষরের বেশি হতে হবে, প্রতীক এবং সংখ্যাসহ আলফানিউমেরিক হতে হবে, কিন্তু আমরা ফর্মে পেস্ট করা নিষ্ক্রিয় করে দিয়েছি। কী

খারাপ পাসওয়ার্ড নীতি (24:02)

আপনি কী করছেন? আপনি কী করছেন? কেন আপনি আমাকে একটি জটিল পাসওয়ার্ড বেছে নিতে বলছেন, যার জন্য আমি স্পষ্টতই জেনারেটর ব্যবহার করব, এবং তারপর আমাকে সেটি পেস্ট করতে দিচ্ছেন না। অথবা ফর্মের কনফার্ম অংশে আমাকে এটি পেস্ট করতে দিচ্ছেন না? আপনি কি পাগল? আপনি কী করছেন? এসব করা বন্ধ করুন। অথবা অন্যান্য পাসওয়ার্ড নীতি যেখানে বলা হয় 8 থেকে 12 ক্যারেক্টার হতে হবে। সত্যি? আপনি চান আমি এটিকে জটিল করি, কিন্তু খুব বেশি জটিল নয়। তাই আমি 13 ক্যারেক্টার দিতে পারব না, যার কোনো মানেই হয় না। অথবা সিম্বলের অদ্ভুত সব কম্বিনেশন। ওহ হ্যাঁ, আমরা সিম্বল ব্যবহার করতে পারি, কিন্তু শুধুমাত্র পাউন্ড, এক্সক্লেমেশন এবং অ্যাস্টেরিস্ক। সিঙ্গেল কোট এবং অ্যাট সাইন আমরা নিই না কারণ এটি আমাদের রেজেক্স (regex)-কে বিভ্রান্ত করবে। এগুলোর সবগুলোই সত্যিই খুব খারাপ পাসওয়ার্ড নীতি। অথবা প্রতি মাসে আপনার পাসওয়ার্ড পরিবর্তন করার নীতি, কিন্তু আগের মাসে ব্যবহার করা কোনো পাসওয়ার্ড পুনরায় ব্যবহার করা যাবে না এবং সেগুলোকে

আগের মতোই অদ্ভুতভাবে জটিল রাখতে হবে। এগুলো সবই অদ্ভুত পাসওয়ার্ড নীতি এবং আপনি এরকম অনেক নীতির সম্মুখীন হবেন। মূল কথা হলো, আপনি বিভিন্ন কোম্পানির বিভিন্ন ওয়েবসাইটের কাছে আশা করতে পারেন না যে, যাদের আলাদা আলাদা সিকিউরিটি টিম, সিকিউরিটি পলিসি এবং সিকিউরিটি সচেতনতার ভিন্ন ভিন্ন স্তর রয়েছে, তারা এমন একটি ভালো নীতি বের করবে যা তাদের বেশিরভাগ ব্যবহারকারীর জন্য কাজ করে। মনে রাখবেন, তারা এমন সব ব্যবহারকারীদের নিয়ে কাজ করার চেষ্টা করছে যাদের মধ্যে কেউ পাসওয়ার্ড ম্যানেজার থেকে তৈরি করা 37 ক্যারেক্টারের র‍্যান্ডম পাসওয়ার্ড দিতে চায়, আবার কেউ 1, 2, 3, 4, 5, 6, 7, 8 দিতে চায়। যা স্পষ্টতই ইন্টারনেটে সবচেয়ে সাধারণ পাসওয়ার্ড, অথবা password 1, 2, 3, 4, যা আমার মনে হয় ইন্টারনেটে দ্বিতীয় সবচেয়ে সাধারণ পাসওয়ার্ড। তাই এই সব মানুষের জন্য কাজ করে এমন একটি নীতি খুঁজে বের করা সাইটগুলোর জন্য খুবই কঠিন। তাই আমি যা করি

তা হলো আমি শুধু চেষ্টা করতে থাকি। আমি আমার পছন্দমতো একটি র‍্যান্ডমলি জেনারেট করা পাসওয়ার্ড দেব, যেমন ধরুন, 37 ক্যারেক্টার এবং সব ধরনের সিম্বল। আর তারপর ওয়েবসাইটটি অভিযোগ করবে এবং বলবে, আমার আসলে অ্যাস্টেরিস্ক পছন্দ নয়, আপনি আমার সাথে এমন কেন করছেন? তাই আমি কিছু সিম্বল বাদ দেব অথবা এটি বলবে যে এটি খুব বড়, তাই আমি এটিকে ছোট করব। অথবা এটি বলবে, আসলে আমার অন্তত দুটি ক্যাপিটাল লেটারও দরকার, কিন্তু এটি কোনো সংখ্যা দিয়ে শুরু হতে পারবে না। আর আমার প্রতিক্রিয়া হয়, উফ, কী মুশকিল। আমি শুধু চেষ্টা করতে থাকব যতক্ষণ না এমন কিছু পাই যা কাজ করে। তবে আমি যাই পাই না কেন, এর দুটি গ্যারান্টি থাকবে। এটি দীর্ঘ এবং জটিল হবে এবং এটি সম্পূর্ণ র‍্যান্ডমলি জেনারেট করা হবে, যা তৈরি করতে বা মনে রাখতে মানুষের মস্তিষ্কের ওপর নির্ভর করতে হবে না। এবং আমি যতটা সম্ভব জটিলতা ব্যবহার করছি। ঠিক আছে, তো একজন বেনামী (anonymous)

আমাদের জন্য পরবর্তী প্রশ্নটি করেছেন, যা আমাকে এই আলোচনা চালিয়ে যেতে সাহায্য করে। হয়তো এটি একটি বোকা প্রশ্ন, কিন্তু পাসওয়ার্ড ম্যানেজার কি ক্লাউডে থাকে না এবং তাই সহজেই হ্যাকারদের লক্ষ্যবস্তু হতে পারে না? চমৎকার প্রশ্ন, বেনামী। এই ডিভাইসগুলো কীভাবে কাজ করে তা এখানে বলা হলো। আপনার পাসওয়ার্ড ডেটাবেসের একটি ব্যাকআপ ক্লাউডে সংরক্ষিত থাকে। তবে, সেই ব্যাকআপটি এনক্রিপ্ট করা থাকে এবং এটি এন্ড-টু-এন্ড এনক্রিপ্ট করা হয়। এর মানে হলো এটি আপনার লোকাল মেশিনে এনক্রিপ্ট করা হয়। এটি ক্লাউডে এনক্রিপ্ট করা অবস্থায় পাঠানো হয়, এবং এটি আবার ডিক্রিপ্ট করা হয়, শুধুমাত্র আপনার লোকাল মেশিনে। এটি এনক্রিপ্ট এবং ডিক্রিপ্ট করার জন্য আপনার মাস্টার পাসওয়ার্ড ব্যবহার করা হয়। এবং সেই মাস্টার পাসওয়ার্ডটিকে স্ট্রেচার (stretcher) নামক একটি প্রক্রিয়ার মধ্য দিয়ে পাঠানো হয়। আর একটি স্ট্রেচার যা করে তা হলো এটি একটি পাসওয়ার্ড স্ট্রেচিং অ্যালগরিদম ব্যবহার করে, আসলে এটি একটি হ্যাশিং অ্যালগরিদম। এটি যা করে তা হলো, আপনি আপনার মাস্টার পাসওয়ার্ড হিসেবে যে শব্দ বা ক্যারেক্টারগুলো টাইপ করেন সেগুলোকে নেয়

এবং তারপর সেগুলোকে হাজার হাজার রাউন্ড হ্যাশিংয়ের মধ্য দিয়ে পাঠায়। এখন এতে সময় লাগে এবং এর ফলে এমন একটি পাসওয়ার্ড তৈরি হয় যাকে ব্রুট ফোর্স (brute force) করা যায় না। কারণ ধরুন আমি একটি পাসওয়ার্ড টাইপ করলাম এবং এটিকে একবার এনক্রিপ্ট বা হ্যাশ করে সার্ভারে পাঠালাম। দারুণ, তবে এটি একটি বেশ সহজ আক্রমণের শিকার হতে পারে, যাকে রেইনবো টেবিল (rainbow table) বলা হয়। এরপর যা ঘটবে তা হলো, আক্রমণকারী আপনার কল্পনার সবচেয়ে সাধারণ সব পাসওয়ার্ডগুলো নেবে, সেগুলোকে হ্যাশ করবে এবং হ্যাশ করা পাসওয়ার্ডগুলোর একটি ডেটাবেস তৈরি করবে যা সেই আক্রমণের বিরুদ্ধে ব্যবহার করা যেতে পারে। এখন, অন্যদিকে, অথবা আমি সঠিকটি খুঁজে না পাওয়া পর্যন্ত বারবার বিভিন্ন পাসওয়ার্ড দিয়ে চেষ্টা করতে পারি। একটি সাধারণ ব্রুট ফোর্স আক্রমণ। কিন্তু যদি প্রতিটি পাসওয়ার্ড 25,000 বার বা 50,000 বার, বা 100,000 বার হ্যাশ করা হয়, প্রতিবার আমি

পাসওয়ার্ড ডেটাবেস কীভাবে এনক্রিপ্ট করা হয় (29:19)

আমার কম্পিউটারে এটি টাইপ করতে 2 থেকে 3 সেকেন্ড সময় লাগে। যা আমার জন্য খুব বড় কোনো ব্যাপার নয়। আমার পাসওয়ার্ড ম্যানেজার চালু করার জন্য যখন আমি প্রথমবার আমার ব্রাউজার বা কম্পিউটারে লগ ইন করি, তখন 2 থেকে 3 সেকেন্ড সময় লাগে, মাত্র 2 থেকে 3 সেকেন্ড। কিন্তু প্রতিবার পাসওয়ার্ড টাইপ করার সময় যদি আপনাকে 2 থেকে 3 সেকেন্ড যোগ করতে হয়, তবে তা ব্রুট ফোর্স (brute force) করার পদ্ধতিকে পুরোপুরি নষ্ট করে দেয়। এটি আগে থেকে হিসাব করা পাসওয়ার্ড হ্যাশের ডেটাবেস তৈরি করাকেও অসম্ভব করে তোলে, কারণ মাত্র কয়েক হাজার কম্বিনেশন চেষ্টা করতেই অনেক বেশি সময় লেগে যাবে। আর আপনার মাস্টার পাসওয়ার্ড যদি যথেষ্ট জটিল হয়, তবে এটি তৈরি করতে কয়েক হাজার পাসওয়ার্ড কম্বিনেশনের চেয়েও অনেক বেশি সময় লাগে। তাই পাসওয়ার্ড ডেটাবেস সাধারণত একটি মোটামুটি সহজবোধ্য স্ট্যান্ডার্ড-ভিত্তিক এনক্রিপশন অ্যালগরিদম দিয়ে এনক্রিপ্ট করা হয়। এর জন্য সম্ভবত সবচেয়ে বেশি ব্যবহৃত হয় AES256, তবে এটি অনেকটা এরকম

যে, এটি একটি সিমেট্রিক এনক্রিপশন অ্যালগরিদম যা ডেটা এনক্রিপ্ট এবং ডিক্রিপ্ট করার জন্য একটিমাত্র কী, অর্থাৎ একটি প্রাইভেট কী ব্যবহার করে। এনক্রিপশন এবং ডিক্রিপশনের জন্য একই কী ব্যবহৃত হয়, যে কারণে একে সিমেট্রিক এনক্রিপশন অ্যালগরিদম বলা হয়। আর সেই কী-টি তৈরি হয় আপনার মাস্টার পাসফ্রেজকে বারবার হ্যাশিং করার মাধ্যমে। তাই যতক্ষণ আপনি শুধুমাত্র লোকাল ডিভাইসে আপনার মাস্টার পাসফ্রেজ ব্যবহার করবেন এবং সেই ডিভাইসটি বিশ্বস্ত হবে, ততক্ষণ আপনি উচ্চ স্তরের নিরাপত্তা পাবেন। হ্যাঁ, পাসওয়ার্ড ডেটাবেসটি ক্লাউডে থাকে, তবে এটি এনক্রিপ্ট করা থাকে এবং আপনার মাস্টার পাসফ্রেজ ছাড়া কেউ এটি খুলতে পারবে না, যা আপনি নিজের ডিভাইস ছাড়া অন্য কোথাও টাইপ করেন না। অবশ্যই, এখানে কিছু সমস্যা আছে। কারণ আপনার লোকাল ডিভাইসে যদি কোনো পাসওয়ার্ড কীলগার (keylogger) থাকে, তবে আপনি যখন মাস্টার পাসফ্রেজ টাইপ করবেন তখন সে তা ধরে ফেলতে পারে। তবে মজার ব্যাপার হলো, এটি হতে যাচ্ছে না

একজন আক্রমণকারীর জন্য যথেষ্ট, যদি আপনার টু-ফ্যাক্টর অথেনটিকেশন (two-factor authentication) থাকে। আর এটি আক্রমণকারীর জন্য যথেষ্ট না হওয়ার কারণ হলো, তারা হয়তো আপনার মাস্টার পাসফ্রেজ চুরি করতে পারে, কিন্তু সেকেন্ড-ফ্যাক্টর অথেনটিকেশন ছাড়া তারা ক্লাউড থেকে এনক্রিপ্ট করা ডেটাবেসটি ডাউনলোড করতে পারবে না, যা আশা করা যায় আপনার মেশিন বা অন্য কিছুর সাথে যুক্ত। আর তাদের কাছে সেই সেকেন্ড ফ্যাক্টরটি নেই। টু-ফ্যাক্টর অথেনটিকেশন সম্পর্কে একটু পরেই আরও বলছি। আমরা নিরাপত্তার স্তর বা লেয়ার তৈরি করছি। আমি জানি না আমরা এখানে কী করছি তা আপনি বুঝতে পারছেন কি না, তবে হ্যাঁ, আমরা সম্ভাব্য প্রতিটি সমস্যার দিকে নজর দিচ্ছি এবং নিরাপত্তার এক একটি স্তর যোগ করছি। নিরাপত্তা এমন কোনো বিষয় নয় যে, এখানে এমন একটি জিনিস আছে যা সবকিছু থামিয়ে দেবে। নিরাপত্তা হলো আক্রমণকারীর পথে বাধা সৃষ্টি করা। আর হ্যাঁ, আপনি হয়তো এই বাধাটি ভাঙতে পারবেন, কিন্তু ঠিক এর পেছনেই আরেকটি বাধা রয়েছে। আর তারপর যদি আপনি সেই বাধাটিও ভাঙেন, তবে ঠিক তার পেছনেই রয়েছে

আরেকটি বাধা। আর আমি যদি বাধাগুলোকে যথেষ্ট শক্তিশালী করি, সেইসাথে নিরাপত্তার অনেকগুলো স্তর তৈরি করি, এবং এটিও নিশ্চিত করি যে একটি স্তর ভাঙার জন্য আপনার যে দক্ষতার প্রয়োজন, তা অন্য স্তর ভাঙার দক্ষতার চেয়ে আলাদা। এবং আমি যদি নিশ্চিত করি যে একটি স্তর ভাঙার জন্য আপনার যে টুলস এবং বাজেটের প্রয়োজন, তা অন্যটির চেয়ে আলাদা। তাহলে আমার অজান্তে, আমাকে বাধা দেওয়ার সুযোগ না দিয়ে সফলভাবে এই সমস্ত স্তর পার হওয়ার, অথবা অনেক অনেক ভুক্তভোগীর বিরুদ্ধে বড় পরিসরে এটি করার সম্ভাবনা আপনার জন্য খুবই কমে যাবে। আর এটাই হলো মূল উদ্দেশ্য। ঠিক আছে, আমি এখানে একটু কফি পান করে নিই এবং চ্যাটে আপনাদের সাথে একটু কথা বলি, সেই ফাঁকে আমি অন্যান্য প্রশ্নগুলো খুঁজি, হ্যাঁ, অন্যান্য প্রশ্ন যা আপনারা হয়তো জিজ্ঞাসা করতে চান। আমাকে একটি

ছোট্ট পেজ সামনে আনতে দিন, আমি মনে করি সেই সমস্ত প্যাট্রনদের (patrons) ধন্যবাদ জানানো উচিত যারা আমার জন্য এই ধরনের শিক্ষামূলক কনটেন্ট তৈরি করা সম্ভব করেছেন, আর এর ফাঁকে আমি আমার নতুন মগ থেকে কফি পান করছি যাতে লেখা আছে 'রুলস উইদাউট রুলারস' (rules without rulers)। সম্প্রতি এটি আমার অন্যতম জনপ্রিয় একটি আলোচনা। এর সাথে একটি ছোট্ট কমলা রঙের বিটকয়েন রয়েছে। হে ঈশ্বর, আমাদের কাছে বিজ্ঞাপন দেওয়া বন্ধ করুন, আমরা আপনার সোয়াগ (swag) কিনব। শুধু ভালো কনটেন্ট নিয়ে এগিয়ে যান। এক সেকেন্ডের মধ্যে। এবং আমরা ফিরে এসেছি। ঠিক আছে, আমি এটি সেখানে একপাশে রাখতে পারি। আমি এটি ঘুরিয়ে দিচ্ছি যাতে দেখতে ভালো লাগে। এই তো হয়ে গেল। ঠিক আছে। তো আমি প্রশ্নগুলো দেখছিলাম এমন একটি প্রশ্ন খোঁজার জন্য যা আমাকে এই ছোট্ট আলোচনাটি যতটা সম্ভব সংক্ষেপে চালিয়ে যেতে সাহায্য করবে। তাই এখন চলুন পাসফ্রেজ নিয়ে কথা বলি এবং এর জন্য, আমি ব্রুসের কাছ থেকে কিছু সাহায্য নেব যিনি জিজ্ঞাসা করেছেন, ওয়ালেট পাসফ্রেজ হিসেবে শক্তিশালী পাসওয়ার্ড ব্যবহার করার বিষয়ে আপনার মতামত কী।

ওয়ালেট পাসফ্রেজ এবং BIP-39 (35:02)

এখানে ব্রুস যে বিষয়ে কথা বলছেন তা হলো ঐচ্ছিক পাসফ্রেজ, যা তাদের জন্য উপলব্ধ যারা BIP-39 নিমনিক (mnemonic) ফ্রেজ ব্যবহার করেন। এটি 25তম শব্দ হিসেবেও পরিচিত, কারণ নিমনিক ফ্রেজগুলো 24 শব্দের হয়ে থাকে। তাত্ত্বিকভাবে, আপনি যদি একটি 25তম শব্দ যোগ করেন, তবে আমি 25তম শব্দ যোগ করার পরিবর্তে এটিকে এর আসল নামেই ডাকব, যা হলো একটি ঐচ্ছিক পাসফ্রেজ, এবং এটি একাধিক শব্দেরও হতে পারে। সুতরাং এটি হলো একটি ওয়ালেট পাসফ্রেজ। এটি একটি অতিরিক্ত ঐচ্ছিক পাসফ্রেজ যা আপনি আপনার নিমনিক ফ্রেজের সাথে যুক্ত করে সেটিতে একটি সেকেন্ড ফ্যাক্টর (second factor) বা দ্বিতীয় স্তরের নিরাপত্তা যোগ করতে পারেন। যাতে উদাহরণস্বরূপ, কেউ যদি আপনার অফিসে এক টুকরো কাগজে লেখা 24টি শব্দ চুরিও করে নেয়, তবুও তারা তাৎক্ষণিকভাবে আপনার অর্থ নিতে পারবে না কারণ সেখানে একটি ওয়ালেট পাসফ্রেজ রয়েছে। এখন, মনে করে দেখুন যখন আমরা ওয়ান পাসওয়ার্ড (1Password) বা মাস্টার পাসওয়ার্ডের কথা বলছিলাম যা

একটি পাসওয়ার্ড ম্যানেজারে ব্যবহৃত হয়। এবং আমরা বলেছিলাম যে সেটিকে বারবার হ্যাশ করা হয় এবং এটি ব্রুট ফোর্সিং প্রতিরোধ করে। BIP-39 স্ট্যান্ডার্ডে ঐচ্ছিক পাসফ্রেজ এবং নিমনিক ফ্রেজের ক্ষেত্রেও ঠিক একই কাজ করা হয়। PBKDF2 নামের একটি পাসওয়ার্ড স্ট্রেচিং অ্যালগরিদম ব্যবহার করে SHA-512 এর 2000 রাউন্ড প্রয়োগ করার মাধ্যমে এটিকে SHA-512 এর সাথে স্ট্রেচ করা হয়। এখন এটি কিছুটা আপস করার মতো বিষয়, এটি BIP-39 স্ট্যান্ডার্ডে একটি আপস কারণ BIP-39 স্ট্যান্ডার্ড, অর্থাৎ ওয়ালেটের জন্য নিমনিক ফ্রেজ স্ট্যান্ডার্ডটিকে হার্ডওয়্যার ওয়ালেট ডিভাইসগুলোতে চালানোর উপযোগী হতে হয়, যেগুলো এতটুকু সাইজের ছোট USB ডিভাইস এবং এগুলোর খুব বেশি প্রসেসিং ক্ষমতা থাকে না। তাই আসলে SHA-512 এর 2000 রাউন্ড চালাতে কয়েক সেকেন্ড সময় লাগে। দুই, তিন সেকেন্ড। এর মানে হলো, দুর্ভাগ্যবশত এটি খুব ভালো সুরক্ষা নয়, এটি পর্যাপ্ত, তবে এটিকে ব্রুট

ফোর্স করা যেতে পারে যদি আপনার কাছে অনেক বেশি শক্তিশালী কম্পিউটার থাকে। তাই উদাহরণস্বরূপ, আপনি যদি একটি GPU ব্যবহার করেন, বা আরও ভালো হয়, SHA-512 এর জন্য ডিজাইন করা একটি ASIC বা SHA-512 এর জন্য একটি FPGA ডিভাইস ব্যবহার করেন, তবে আপনি আসলে এক সেকেন্ডের ভগ্নাংশের মধ্যেই 2000 রাউন্ড সম্পন্ন করতে পারবেন। এবং এর ফলে আপনি একই সিডের (seed) ওপর প্রতি সেকেন্ডে শত শত, বা হয়তো হাজার হাজার পাসওয়ার্ড বা পাসফ্রেজ চেষ্টা করে দেখতে পারবেন। যা আপনাকে বাজেটের মধ্যে সঠিক পরিমাণ হার্ডওয়্যার ব্যবহার করে একটি ঐচ্ছিক পাসফ্রেজসহ BIP-39 নিমনিক আক্রমণ করার সুযোগ দেবে। তবে আবারও বলছি, এটি খুব সহজ কোনো কাজ নয়। তাই আমরা এখানে নিরাপত্তার বিভিন্ন স্তর নিয়ে কথা বলছি। তাহলে চলুন পাসফ্রেজ নিয়ে কথা বলা যাক। এটি যে একটিমাত্র শব্দ নয়, তা বোঝাতে আমরা পাসওয়ার্ডের পরিবর্তে পাসফ্রেজ শব্দটি ব্যবহার করি। এটি আসলে একটি ফ্রেজ বা বাক্যাংশ। ঠিক যেমন নিমনিক ফ্রেজ হলো একটি বাক্যাংশ। এটি স্পেস দিয়ে আলাদা করা একাধিক শব্দের একটি সারি। এবং এটি মনে রাখা অনেক সহজ করে তোলে, সেইসাথে

লিখে রাখা এবং পড়াও সহজ করে, এমনকি লেখা কিছুটা অস্পষ্ট হয়ে গেলেও তা পড়া সম্ভব হয়। দেখা গেছে যে মানুষ প্যাটার্ন শনাক্তকরণে (pattern recognition) সত্যিই খুব ভালো। তাই আপনি যদি নিজের হাতের লেখায় ছোট হাতের অক্ষরে (lower case) কয়েকটি শব্দ লেখেন, তবে শব্দের দুই-তৃতীয়াংশ মুছে গেলেও আপনি তা পড়তে পারবেন, অথবা বেশ ভালোভাবে অনুমান করতে পারবেন। আর শব্দগুলোর যদি আপনার কাছে কোনো অর্থ থাকে, বা আপনি যদি সেই শব্দগুলো দিয়ে মনে মনে কোনো ছবি তৈরি করতে পারেন, তবে বড় হাতের ও ছোট হাতের অক্ষর এবং সংখ্যা দিয়ে তৈরি একটি র‍্যান্ডম পাসওয়ার্ডের চেয়ে আপনি একটি ফ্রেজ অনেক ভালোভাবে মনে রাখতে পারবেন। তবে এটি আরেকটু ভালোভাবে ব্যাখ্যা করার জন্য, আমি র‍্যান্ডাল মনরোর (Randall Monroe) সাহায্য নেব। আপনারা হয়তো অতীতে আমাকে র‍্যান্ডাল মনরো সম্পর্কে কথা বলতে শুনেছেন। র‍্যান্ডাল মনরো হলেন একজন গ্রাফিক আর্টিস্ট যিনি একটি কার্টুন তৈরি করেন যার নাম

XKCD। আর XKCD হলো একটি গ্রাফিক কার্টুন যা বিভিন্ন প্রযুক্তিগত ধারণা, সেইসাথে হাস্যকর সামাজিক সমালোচনা এবং সব ধরনের চমৎকার ধারণা তুলে ধরে। এতে সত্যিই খুব দারুণ সব ধারণা খুব সুন্দরভাবে উপস্থাপন করা হয়। এবং আপনারা জানেন, এটি এমন একটি বিষয় যেখানে আপনি ভালোভাবে ব্যাখ্যা করতে চান এমন প্রায় যেকোনো ধারণার জন্যই একটি XKCD ড্রয়িং বা চিত্র রয়েছে। তাই আমি এমন একটি ব্যবহার করতে যাচ্ছি যা আপনাদের অনেকেই হয়তো আগে শুনেছেন, এবং এটি 'correct horse battery staple' নামে পরিচিত। আর এটি যদি আপনার কাছে অর্থহীন প্রলাপের মতো মনে হয়, তবে একটু অপেক্ষা করুন। ঠিক আছে, তাহলে চলুন আমাদের স্ক্রিনে সেটি দেখে নেওয়া যাক। তো এটিকে বলা হয়, এটিকে বলা হয় পাসওয়ার্ড। 20 বছরের প্রচেষ্টার মাধ্যমে, আমরা সফলভাবে সবাইকে এমন পাসওয়ার্ড ব্যবহার করতে শিখিয়েছি যা মানুষের পক্ষে মনে রাখা কঠিন, কিন্তু কম্পিউটারের পক্ষে অনুমান করা সহজ। আর আপনি যদি এখানে ওপরে তাকান

XKCD পাসফ্রেজ ধারণা (40:47)

উপরের বাম কোণে, এটি একটি সাধারণ পাসওয়ার্ড যা আপনাকে কোনো ওয়েবসাইটে দিতে বলা হয়। সুতরাং এটি হলো, বড় হাতের ও ছোট হাতের অক্ষর, সংখ্যা এবং প্রতীকগুলোর কোনো এক ধরনের বিন্যাস। আপনি এখানে যা দেখছেন তা হলো ব্যবহারকারীরা এগুলো তৈরি করতে এবং মনে রাখতে সাধারণত যা করে থাকে, তারা একটি শব্দকে এলোমেলো করার চেষ্টা করে। যেমন এটি হলো Troubadour শব্দটি। একজন ভ্রমণকারী সুরকার যিনি বীরদের কীর্তি নিয়ে গান গান। আমার মনে হয় Troubadour-এর অর্থ এটাই। একটি Troubadour এবং 3। সুতরাং এই ক্ষেত্রে আপনি এমন কিছু দেখছেন যা দেখতে কিছুটা র‍্যান্ডম মনে হলেও, আসলে তা র‍্যান্ডম নয়। এখন এই নির্দিষ্ট বিষয়টি কম্পিউটারের দৃষ্টিকোণ থেকে বিশ্লেষণ করা যেতে পারে। গাণিতিক দৃষ্টিকোণ থেকে, ইনফরমেশন থিওরির দৃষ্টিকোণ থেকে, এটি কতটা র‍্যান্ডম তা দেখার জন্য। অথবা এই ধরনের জিনিসে কতটা র‍্যান্ডমনেস রয়েছে। সুতরাং এই নির্দিষ্ট ক্ষেত্রে, আমরা প্রায় 28 বিট এনট্রপি পেয়েছি। এর মানে হলো এই

পরিমাণ জটিলতা 28টি বাইনারি ডিজিটের একটি বাইনারি সংখ্যা দ্বারা প্রকাশ করা যেতে পারে, 2 এর পাওয়ার 28। যা আপনি যদি প্রতি সেকেন্ডে 1000টি অনুমান করতে পারেন, তবে এটি ব্রুট ফোর্স করতে আপনার 3 দিন সময় লাগবে। সুতরাং এটি মূলত একটি ওয়েব পরিষেবা বা এমন কিছু যেখানে আপনি প্রতি সেকেন্ডে একাধিক অনুমানের চেষ্টা করছেন। আপনার কাছে যদি কোনো ওয়েবসাইট থেকে চুরি করা ডাটাবেস থাকে, তবে অবশ্যই আপনি সাধারণ কম্পিউটারে প্রতি সেকেন্ডে 1000-এর চেয়ে অনেক বেশি অনুমান প্রয়োগ করতে পারবেন। তবে যাই হোক না কেন, এটি আসলে কম্পিউটারের জন্য অনুমান করা সহজ। এবং এটি কম্পিউটারের জন্য অনুমান করা সহজ কারণ 28 বিট এনট্রপি যথেষ্ট নয়, তবে যদিও এই ক্রমানুসারে বড় হাতের এবং ছোট হাতের অক্ষরের সম্ভাব্য সমস্ত সংমিশ্রণ চেষ্টা করে কম্পিউটারের জন্য এটি অনুমান করা এবং ব্রুট ফোর্স করা সহজ, এটি আসলে মানুষের মনে রাখা সত্যিই কঠিন। এবং ঠিক

নিচে Randal Monroe আমাদের একটি ভিন্ন পদ্ধতি দেখাচ্ছেন, যা হলো স্পেস দ্বারা আলাদা করা সাধারণ ইংরেজি শব্দ ব্যবহার করা। এটি একটি নেমোনিক পাসফ্রেজ, কোনো পাসওয়ার্ড নয়। এবং এই ক্ষেত্রে, শুধুমাত্র র‍্যান্ডমভাবে 4টি শব্দ বেছে নেওয়া হয়েছে, মাত্র 4টি। র‍্যান্ডমভাবে 4টি শব্দ আসলে তৈরি করে, যদি আপনি ধরে নেন যে এটি একটি বড় অভিধান থেকে নেওয়া হয়েছে, হতে পারে একটি ইংরেজি ভাষার অভিধান, যাতে 100,000 শব্দ রয়েছে। তাহলে আপনি প্রায় 44 বিট এনট্রপি পাবেন। 44 বিট এনট্রপি আপনাকে প্রতি সেকেন্ডে 1000টি অনুমানে 550 বছর সময় দেয়। এবং প্রতি সেকেন্ডে 10,000টি অনুমানে 55 বছর। প্রতি সেকেন্ডে 100,000টি অনুমানে 5 বছর। এটি ব্রুট ফোর্স করা আসলে কঠিন এবং এটি মাত্র 4টি শব্দ। তবে সবচেয়ে গুরুত্বপূর্ণ বিষয় হলো, এটি মানুষের মনে রাখা সহজ। এই কারণেই আমরা bit 39-এ নেমোনিক ফ্রেজ ব্যবহার করি। সুতরাং আপনি যদি correct horse battery staple-এর কথা ভাবেন, তবে আপনি এটি তৈরি করতে পারেন, যদিও এগুলো র‍্যান্ডম

শব্দ, আপনি এই অদ্ভুত মানসিক চিত্রটি তৈরি করতে পারেন যা আপনাকে সংযোগ স্থাপনের একটি ভিত্তি দেয়। আর মানুষের স্মৃতি এভাবেই সংযোগ স্থাপনের মাধ্যমে কাজ করে। সুতরাং আপনার কাছে এই ছোট্ট অঙ্কনটি রয়েছে যা এখানে করা হচ্ছে। এটি একটি ব্যাটারি স্ট্যাপল, সঠিক (correct)। সুতরাং এটি একটি ঘোড়া (horse) বলছে যে এটি একটি ব্যাটারি স্ট্যাপল (battery staple) এবং কেউ বলছে সঠিক (correct), এটি একটি ব্যাটারি স্ট্যাপল, একটি correct horse battery staple। এবং আপনি যদি কোনো গিককে (geek) এই 4টি শব্দ বলেন, তবে তারা তাৎক্ষণিকভাবে বুঝতে পারবে আপনি কী নিয়ে কথা বলছেন কারণ এই ফ্রেজটি মনে রাখা এতই সহজ যে ইন্টারনেটে লক্ষ লক্ষ মানুষ এই একটি মাত্র কার্টুন এবং উদাহরণ থেকে এটি সফলভাবে মুখস্থ করেছে। সুতরাং এই বিশাল জিনিসগুলোর সাথে, Xkcd.org হলো সেই জায়গা যেখানে আপনি গিয়ে এই কার্টুন সিরিজটি দেখতে পারেন। চমৎকার কাজ। XKCD। তবে আমি মনে করি এটি আপনাকে মূল বিষয়টি বুঝতে সাহায্য করবে। সুতরাং এটি হলো একটি পাসফ্রেজ, এবং এটি তৈরি করার একটি অনেক ভালো উপায়

ওয়ালেট এবং এনক্রিপশন এর জন্য পাসফ্রেজ ব্যবহার করা (45:27)

আপনার পাসওয়ার্ড ম্যানেজারের জন্য মাস্টার পাসওয়ার্ড, সেইসাথে আপনার ওয়ালেট এর জন্য একটি ঐচ্ছিক পাসফ্রেজ। সুতরাং আপনি আসলে এটি দিয়ে আপনার ওয়ালেটগুলোর জন্য একটি ঐচ্ছিক পাসফ্রেজ তৈরি করতে পারেন। এটি ব্রুট ফোর্স (brute force) করা সত্যিই কঠিন, এমনকি একটি GPU বা FPG দিয়েও। এমনকি আপনি যদি Shaw 512 এর 2000 রাউন্ডও করতে পারেন, চার বা পাঁচটি শব্দের মতো ছোট কিছু ব্রুট ফোর্স করতে কারও কয়েক বছর না হলেও কয়েক মাস সময় লাগবে। আপনি যদি ছয়টি শব্দ ব্যবহার করেন, তবে আপনার কাছে সত্যিই একটি খুব শক্তিশালী মেকানিজম থাকবে। এখন আপনি শুধু এটিই ব্যবহার করবেন না। ধরুন আপনার কাছে একটি bit 39 নেমোনিক ফ্রেজ আছে, এবং আপনি একটি ঐচ্ছিক পাসফ্রেজ যোগ করতে চান এবং আপনি বললেন, ঠিক আছে, আমি একটি ডিকশনারি থেকে র‍্যান্ডমভাবে চারটি শব্দ বেছে নেব। এবং তারপর সেটি হবে আমার ঐচ্ছিক পাসফ্রেজ, এবং আমি সেই চারটি শব্দ মুখস্থ করে মনে রাখতে পারব। এবং আমি সেগুলোর ব্যাকআপও রাখব

একটি দ্বিতীয় স্থানে, কারণ যদিও আমি সেগুলো মনে রাখতে পারি, কিন্তু আমার যদি কিছু হয়ে যায় তখন কী হবে। আমি কি চাইব যে আমার উত্তরাধিকার শূন্যে মিলিয়ে যাক কারণ আমি যে ঐচ্ছিক পাসফ্রেজটি ব্যবহার করেছি তা কেউ খুঁজে পাচ্ছে না? না, স্পষ্টতই আমি তা চাই না। তাই আমাকে পাসফ্রেজটিরও ব্যাকআপ রাখতে হবে, আমি নেমোনিক ফ্রেজ বা সিডটির (seed) ব্যাকআপ রাখব। এবং আমি ঐচ্ছিক পাসফ্রেজটিরও ব্যাকআপ রাখব এবং সেগুলোকে দুটি ভিন্ন স্থানে রাখব। আমি এমন ব্যবস্থাও করব যাতে কেউ যদি আমার সিডটি দেখে ফেলে, তবে আমি বুঝতে পারি যে তারা আমার সিডটি পেয়েছে, যাতে একটি শক্তিশালী কম্পিউটার ব্যবহার করে পাসফ্রেজের সম্ভাব্য সব কম্বিনেশন চেষ্টা করার আগেই আমি আমার অর্থ সরিয়ে নিতে পারি। আমি যেভাবে এটি করি তা হলো, আমরা খুব, খুব সাধারণ প্রযুক্তি (low tech) ব্যবহার করি। এটি একটি প্লাস্টিকের ব্যাগ, একটি ট্যাম্পার-এভিডেন্ট (tamper-evident) প্লাস্টিকের ব্যাগ। আপনি এগুলো কিনতে পারেন একটি

একশটির প্যাকেটে, যেকোনো জায়গার অনলাইন রিটেইলারদের কাছ থেকে। এগুলো বিঙ্গো গেম এবং গির্জা বা এই ধরনের কাজের জন্য নগদ অনুদান সংগ্রহে ব্যবহৃত হয়। এগুলো কর্মীদের চুরি করা থেকে বিরত রাখতে ব্যবহৃত হয়। এবং এগুলো অস্বচ্ছ, আর একবার সিল করার পর, কোনো চিহ্ন না রেখে এগুলো খোলার একমাত্র উপায় হলো এগুলো ছিঁড়ে ফেলা বা কাটা, যার ফলে একটি দাগ থেকে যাবে। আপনি কোনো চিহ্ন না রেখে এগুলোকে ফ্রিজ করতে, গরম করতে বা খুলে আবার সিল করতে পারবেন না। তাই আপনি যদি আপনার নেমোনিক ফ্রেজ এবং ঐচ্ছিক পাসফ্রেজটি এমন একটি ট্যাম্পার-এভিডেন্ট ব্যাগে রাখেন, এবং কেউ যদি সেটি দেখে ফেলে, তবে আপনি বুঝতে পারবেন যে তারা সেটি দেখেছে। সুতরাং আপনি যদি প্রতি কয়েক মাস অন্তর আপনার স্টোরেজ লোকেশনগুলো পরীক্ষা করেন, তবে আপনার কাছে নিরাপত্তার একটি ভালো ভিত্তি থাকবে। ঠিক আছে, আমি এখন শেষ করব। আমরা আরও প্রায় 45 মিনিট চালিয়ে যাব, কারণ আমার এখনও অনেক কিছু বলার আছে, টু-ফ্যাক্টর

অথেনটিকেশন নিয়ে। কিন্তু আমি চেয়েছিলাম আপনারা বুঝুন যে আমরা কীভাবে এই পাসফ্রেজ কনসেপ্টটি ব্যবহার করি। তাই, পরবর্তী অংশে, আমি কীভাবে নিরাপদে একটি পাসফ্রেজ তৈরি করতে হয় সে সম্পর্কে কথা বলব। চলুন একটি ইমোজি স্টর্ম (emoji storm) শুরু করি এবং আমি ইউটিউবের সকল কমিউনিটি সদস্যদের প্রতি আহ্বান জানাচ্ছি, আমার চ্যানেলের কাস্টম ইমোজিগুলোর অবিশ্বাস্য সৃজনশীল এবং অভিব্যক্তিপূর্ণ ক্ষমতা সবাইকে দেখানোর জন্য একটি ইমোজি স্টর্ম শুরু করুন, চলুন। ঠিক আছে, আমি ফিরে এসেছি। তো আপনি একটি পাসফ্রেজ তৈরি করতে চান। এবং আপনি জানেন যে এই পাসফ্রেজটি সম্ভবত সবচেয়ে ভালো হবে যদি এটি এমন ফর্মে থাকে যাকে আমরা XKCD পাসফ্রেজ হিসেবে জানি, যেমন 'correct horse battery staple'। র‍্যান্ডমভাবে বেছে নেওয়া ইংরেজি শব্দের একটি সিরিজ, যার সাথে আপনি একটি মানসিক সংযোগ বা একটি চিত্র তৈরি করতে পারেন। আপনি এই পাসফ্রেজটি ব্যবহার করতে যাচ্ছেন, হতে পারে আপনার পাসওয়ার্ড ম্যানেজারের মাস্টার পাসওয়ার্ডের জন্য, যা আপনাকে টাইপ করতে হবে

নিরাপদে পাসফ্রেজ তৈরি করা (50:25)

বিভিন্ন ডিভাইসে দিনে অনেকবার। আমি অন্যান্য কাজের জন্য একই ধরনের পাসফ্রেজ ব্যবহার করি, এবং আমি একই পাসফ্রেজ বারবার ব্যবহার করি না। তবে আমি দেখেছি যে জটিল হওয়ার আগে আমি এর মধ্যে তিন বা চারটি মনে রাখতে পারি। তাই আমার bit 39 ওয়ালেট-এর ঐচ্ছিক পাসফ্রেজের জন্য আমার এমন একটি পাসফ্রেজ প্রয়োজন হবে। আমার ল্যাপটপের হার্ড ড্রাইভ এনক্রিপশন-এর জন্যও আমার এমন একটি পাসফ্রেজ প্রয়োজন হবে। আমি একটি এনক্রিপ্ট করা হার্ড ড্রাইভ ব্যবহার করতে পছন্দ করি। এবং আমার ল্যাপটপ বা আমার যেকোনো ডিভাইস বুট করার আগে, আপনাকে একটি পাসফ্রেজ লিখতে হবে। এবং সেই পাসফ্রেজটিও একই ধরনের। এটি একটি নেমোনিক (mnemonic) পাসফ্রেজ। এটি স্পেস দিয়ে আলাদা করা ইংরেজি শব্দের একটি সিরিজ ব্যবহার করে। সামঞ্জস্য বজায় রাখার জন্য, আমি সবসময় আমার নেমোনিক পাসফ্রেজগুলো ছোট হাতের অক্ষরে টাইপ করি এবং মাঝখানে সাধারণ স্পেস দিই। যেমন ছোট হাতের শব্দ, স্পেস, ছোট হাতের শব্দ, স্পেস, ছোট হাতের শব্দ এবং এন্টার। এবং এগুলো হতে পারে

দৈর্ঘ্যে 4 থেকে 8 শব্দের মধ্যে। আপনার কী স্তরের নিরাপত্তা প্রয়োজন তা আপনাকে সিদ্ধান্ত নিতে হবে, এবং এটি নির্ভর করে আপনি এটি কোথায় ব্যবহার করছেন তার ওপর। সেই পাসফ্রেজ থেকে প্রাপ্ত এনক্রিপশন কী তৈরিতে কত রাউন্ড হ্যাশিং ব্যবহার করা হয়েছে এবং এই জিনিসগুলোর জন্য আপনি কী স্তরের হুমকির সম্মুখীন হচ্ছেন। তবে আপনার ব্যবহৃত শব্দের ন্যূনতম পরিমাণ সম্ভবত 4 হওয়া উচিত এবং আপনি ভুলে যেতে বা বিভ্রান্ত হতে শুরু করার আগে সর্বোচ্চ পরিমাণ সম্ভবত 8 হওয়া উচিত। বিশেষ করে এমন একটি পাসফ্রেজের জন্য যা আপনি খুব বেশি ব্যবহার করেন না। আপনি যত বেশি একটি পাসফ্রেজ ব্যবহার করবেন, যত বেশি এটি টাইপ করবেন, আপনি এটিকে তত বড় করতে পারবেন। কারণ তখন আপনি অনুশীলনের মাধ্যমে এটি মনে রাখতে বাধ্য হবেন। তাই আমি আমার পাসওয়ার্ড ম্যানেজারে একটু বড় পাসফ্রেজ ব্যবহার করতে পারি কারণ আমি এটি প্রতিদিন টাইপ করি। আমি একটু ছোট পাসফ্রেজ ব্যবহার করব,

উদাহরণস্বরূপ, একটি ওয়ালেট-এ ঐচ্ছিক পাসফ্রেজ হিসেবে, এবং আমার ডিভাইসগুলোতে ঐচ্ছিক পাসফ্রেজ হিসেবে আরও একটু ছোট পাসফ্রেজ, যেমন আমার হার্ড ড্রাইভের এনক্রিপ্ট করা বুট-এর জন্য, কারণ এটি আমি মাসে হয়তো একবার টাইপ করি এবং এটি আমার জন্য ভুলে যাওয়া সহজ হতে পারে। তাহলে আমরা কীভাবে এই শব্দগুলো বেছে নেব? এটি করার বেশ কয়েকটি উপায় রয়েছে, তবে আপনি চাইবেন সেগুলো যেন র‍্যান্ডম হয়। আপনি চাইবেন না যে সেগুলো কোনো গান হোক। কোনো গানের কথা, আমি জানি না। আমি একটি গানের কথা বলতে যাচ্ছিলাম, কিন্তু আমার মনে হয় এটি খুব বেশি বিতর্কের সৃষ্টি করবে। তাই আমি সেটি পুরোপুরি এড়িয়ে যাব। আপনি চাইবেন না যে এটি আপনার ফুটবল দলের কোনো স্লোগান হোক। আপনি চাইবেন না যে এটি আপনার রাজ্যের কোনো স্লোগান হোক। আপনি চাইবেন না যে এটি Star Trek-এর কোনো ডায়লগ হোক। কেন? কারণ সেই সব বাক্য এমন ডিকশনারিতে রয়েছে যা

হ্যাকাররা সংগ্রহ করেছে। এমন কিছু যা আপনি গুগলে একটি বাক্য হিসেবে টাইপ করলে ফলাফল পেতে পারেন, যা অবশ্যই আপনি গুগলে টাইপ করবেন না কারণ এটি নিরাপত্তা নষ্ট করে, তা আপনার কখনোই ব্যবহার করা উচিত নয়। আপনার কখনোই এমন কোনো বাক্য ব্যবহার করা উচিত নয় যা আগে কখনো বলা হয়েছে, বা ভবিষ্যতে কারও দ্বারা বলার সম্ভাবনা রয়েছে। তাই এর পরিবর্তে আপনি র‍্যান্ডম শব্দ বেছে নিতে চাইবেন এবং তারপর এমন একটি মানসিক চিত্র বা সংযোগ তৈরি করার চেষ্টা করবেন যা আপনার কাছে অর্থবহ। এবং এটি খুব অদ্ভুত এবং কিম্ভূতকিমাকার হতে পারে যতক্ষণ না এটি আপনার কাছে অর্থবহ হয় এবং আপনি আপনার মাথায় সেই চিত্রটি পুনরাবৃত্তি করতে পারেন এবং একটু অনুশীলন করতে পারেন। এটি করার একটি ভালো উপায়। তাহলে আপনি কীভাবে র‍্যান্ডম শব্দ বেছে নেবেন? ঠিক আছে, আপনি এটি বেশ কয়েকটি উপায়ে করতে পারেন। আপনি একটি ডিকশনারির বিভিন্ন পৃষ্ঠা খুলতে পারেন এবং না দেখেই আপনার আঙুল রাখতে পারেন, যা খুব একটা

ভালো নয়। আপনার আঙুল দিয়ে ডিকশনারির পৃষ্ঠাগুলোর মাঝখানের এক-তৃতীয়াংশ এবং পৃষ্ঠার মাঝখানের এক-তৃতীয়াংশ বেছে নিতেই আপনার বেশিরভাগ সময় ব্যয় হওয়ার সম্ভাবনা রয়েছে। তবে এটি আসলে যথেষ্ট ভালো কারণ ডিকশনারিতে প্রচুর শব্দ থাকে। একটি সুন্দর, বড়, মোটা ডিকশনারি। তাই আপনি পর্যাপ্ত র‍্যান্ডমনেস পাবেন। সুতরাং এটি একটি সহজ উপায় যা আপনি কোনো অতিরিক্ত প্রচেষ্টা ছাড়াই বাড়িতে বসে করতে পারেন। আপনি যদি আরও একটু গভীরে যেতে চান, তবে আপনি ডাইসওয়্যার (diceware) নামক একটি কৌশল ব্যবহার করতে পারেন। D-I-C-E-W-A-R-E। এবং ডাইসওয়্যার হলো এমন একটি পদ্ধতি যেখানে আপনার কাছে শব্দের একটি তালিকা থাকে যা আপনি ডাউনলোড করতে পারেন। আপনি ডাইসওয়্যার সূচক তালিকাটি ডাউনলোড করতে পারেন, আপনি যে ওয়েবসাইটটি পাবেন তা হলো... আপনি এটি গুগলে খুব সহজেই খুঁজে পেতে পারেন। প্রথম যেটি আসে, সেটি হলো diceware.D-M-U-T-H dmuth.org, এটিই সঠিক। এবং আপনি যদি সেই ওয়েবসাইটটি ব্যবহার করেন, তবে আপনি তালিকাটি ডাউনলোড করতে পারবেন। এখন কী

ডাইসওয়্যার পদ্ধতি (55:27)

এই তালিকার একটি মজার বিষয় হলো এটি এমন সংখ্যা দ্বারা সূচিত (indexed) যার অঙ্কগুলো 1 থেকে 6 এর মধ্যে থাকে, যা আপনাকে সাধারণ ছক্কা বা ডাইস ব্যবহার করার সুযোগ দেয়। আপনি পাঁচবার ছক্কা নিক্ষেপ করে একটি পাঁচ অঙ্কের সংখ্যা তৈরি করেন যার প্রতিটি অঙ্ক 1 থেকে 6 এর মধ্যে থাকে, এবং তারপর আপনি ডাইসওয়্যার তালিকায় সেই সূচকের সাথে মিলে যাওয়া শব্দটি খুঁজে বের করে লিখে রাখেন, আর এভাবেই আপনি র‍্যান্ডমনেস পেয়ে যান। আপনি এমন র‍্যান্ডমনেস পেয়েছেন যা সাধারণ ছক্কার সাথে ব্যবহার করার জন্য ডিজাইন করা হয়েছে, যা বেশ সুবিধাজনক। আপনার আশেপাশে যদি কিছু ছক্কা থাকে, তবে আপনি সহজেই এটি করতে পারেন। এটি নন-ডিজিটাল; আপনি তালিকাটি আপনার নিজের কম্পিউটারে ডাউনলোড করে নেন এবং সেই তালিকা থেকে এলোমেলোভাবে শব্দ বেছে নেন। আবারও বলছি, এই ধরনের র‍্যান্ডম পাসফ্রেজ তৈরি করার এটি একটি দুর্দান্ত উপায়। এবং অবশ্যই, আপনি আপনার কম্পিউটারে কোনো প্রোগ্রামও ব্যবহার করতে পারেন। তবে সমস্যাটি হলো

যদি আপনার কম্পিউটারে আগে থেকেই কোনো ট্রোজান ম্যালওয়্যার বা কীবোর্ড লগার থাকে, তবে তা কিছু কাঠিন্য তৈরি করতে পারে। আমি XKCD pass নামের একটি প্রোগ্রাম ব্যবহার করি, যা মূলত XKCD সামঞ্জস্যপূর্ণ পাসফ্রেজ তৈরি করে। আমি একসাথে অনেকগুলো পাসফ্রেজ তৈরি করি। তারপর সেই অনেক লম্বা তালিকা থেকে এলোমেলোভাবে একটি বেছে নিই। এবং আমি কোনটি বেছে নিয়েছি, সে সম্পর্কে আমার কম্পিউটারে কোনো ইঙ্গিত রাখি না। আমি শুধু একটি খুব লম্বা তালিকা স্ক্রোল করতেই থাকি। এভাবে এটি ক্যাপচার করা অনেক বেশি কঠিন হয়ে যায়। আবারও বলছি, এটি হলো লেয়ার বা স্তরের বিষয়। এটি নিখুঁত নয়। এই পুরো প্রক্রিয়ায় অনেক কাঠিন্য এবং ফাঁকফোকর রয়েছে। ঠিক আছে। তো আমরা এখন পাসওয়ার্ডের নিরাপত্তা নিয়ে কথা বলেছি এবং বেশ কয়েকটি বিষয় একসাথে যুক্ত করেছি। আমরা পাসওয়ার্ডের জটিলতা নিয়ে কথা বলেছি। আমরা নিরাপত্তার লেয়ারিং নিয়ে কথা বলেছি। আমরা মানুষের স্মৃতিশক্তি এবং মানুষের তৈরি র‍্যান্ডমনেস-এর দুর্বলতা নিয়ে কথা বলেছি। আমরা কথা বলেছি কেন

সফটওয়্যার ব্যবহার না করার চেয়ে সফটওয়্যার ব্যবহার করা ভালো, যদিও আপনি সফটওয়্যারটিকে 100 শতাংশ বিশ্বাস করতে পারেন না। আমরা কথা বলেছি কীভাবে আপনার মাস্টার পাসফ্রেজ তৈরি করবেন এবং আপনার কী ধরনের মাস্টার পাসফ্রেজ ব্যবহার করা উচিত, যা ব্যবহার করে আপনি আপনার পাসওয়ার্ড ম্যানেজার থেকে আপনার সেশন পাসওয়ার্ড বা সাইটের পাসওয়ার্ড তৈরি করতে পারেন, যেগুলো জটিল অ্যালফানিউমেরিক এবং র‍্যান্ডম হয়, যা মনে রাখা অসম্ভব এবং আপনার পাসওয়ার্ড ম্যানেজার সেগুলো মনে রাখে। তাই পরবর্তী বিষয়টি হলো টু-ফ্যাক্টর অথেনটিকেশন (two factor authentication)। এখন, টু-ফ্যাক্টর অথেনটিকেশন কী? টু-ফ্যাক্টর অথেনটিকেশন হলো যখন আপনি নিজেকে প্রমাণ বা অথেনটিকেট করার জন্য দুটি ভিন্ন উপায় ব্যবহার করেন। সুতরাং অথেনটিকেশন মানে মূলত আপনি যা দাবি করছেন, আপনি যে সত্যিই সেই ব্যক্তি তা প্রমাণ করা। আর টু-ফ্যাক্টর অথেনটিকেশন মানে হলো আপনি যা দাবি করছেন, আপনি যে সত্যিই সেই ব্যক্তি তা প্রমাণ করার জন্য দুটি আলাদা মেকানিজম ব্যবহার করা। এবং কম্পিউটার নিরাপত্তায়, আমরা মাল্টি-ফ্যাক্টর অথেনটিকেশন এবং অথেনটিকেশনের ফ্যাক্টরগুলোকে তিনটি জিনিসের যেকোনো একটি হিসেবে বর্ণনা করি। আপনার কাছে থাকতে পারে এমন তিনটি সম্ভাব্য ফ্যাক্টর হলো

এমন কিছু যা আপনি জানেন, উদাহরণস্বরূপ একটি পাসওয়ার্ড হলো এমন কিছু যা আপনি জানেন। আপনি এটি মুখস্থ করেন, তাই আপনি এটি জানেন। নলেজ-বেসড বা জ্ঞানভিত্তিক অথেনটিকেশনও এই 'এমন কিছু যা আপনি জানেন' ফ্যাক্টরের একটি রূপ, যেমন আপনি কোথায় জন্মগ্রহণ করেছেন? আপনার প্রথম কেক মিক্সারের ব্র্যান্ড কী ছিল? স্কুলে আপনি প্রথম কাকে চুম্বন করেছিলেন? ইত্যাদি যেকোনো কিছু হতে পারে। এখন, স্পষ্টতই আপনার জানা কোনো কিছু একটি ফ্যাক্টর, এবং এটি একটি ভালো ফ্যাক্টর। তবে শর্ত হলো, আপনাকে এটি মনে রাখতে হবে এবং অন্য কেউ যেন সহজেই এটি অনুমান করতে না পারে। আর এখানেই পাসওয়ার্ড নিয়ে আমরা যে জটিলতার কথা বলেছিলাম তা চলে আসে। অথেনটিকেশনের দ্বিতীয় রূপ। অথেনটিকেশনের একটি ফ্যাক্টর হলো 'আপনি নিজে যা'। আর 'আপনি নিজে যা' বলতে সাধারণত বায়োমেট্রিককে বোঝায়, যা আপনার শারীরিক অস্তিত্বের একটি অপরিবর্তনীয় পরিমাপ, যা নকল করা যায় না। যেমন একটি আঙুলের ছাপ, একটি আইরিস স্ক্যান, আপনার কণ্ঠস্বর যখন আপনি

আপনাকে যে বাক্যটি বলতে বলা হয়েছে তা পুনরাবৃত্তি করেন। আপনার হাঁটার ধরন, আপনার উচ্চতা, ফেসিয়াল রিকগনিশনের জন্য আপনার মুখমণ্ডল, এই সবকিছুই হলো বায়োমেট্রিক ফ্যাক্টর। অর্থাৎ 'আপনি নিজে যা'। বায়োমেট্রিক ফ্যাক্টরগুলোর সুবিধা এবং অসুবিধা উভয়ই রয়েছে। এগুলো অন্য কোনো ফ্যাক্টরের পাশাপাশি ব্যবহার করা যেতে পারে। অবশ্যই, বায়োমেট্রিকের বড় অসুবিধা হলো যদি এটি কপি হয়ে যায় বা হারিয়ে যায়, তবে এটি পরিবর্তন করা যায় না। তাই উদাহরণস্বরূপ, যদি আমার আঙুলের ছাপ ফাঁস হয়ে যায়, এবং সবাই আমার আঙুলের ছাপের অ্যাক্সেস পেয়ে যায় এবং স্পাই মুভিগুলোতে যেমনটা দেখা যায় সেভাবে ল্যাটেক্স দিয়ে সেগুলো পুনরায় তৈরি করতে পারে, তবে আমি আমার আঙুলের ছাপ পরিবর্তন করতে পারব না। এবং তাই এই বায়োমেট্রিক আমার জন্য আর কোনো কাজের থাকবে না। এবং আমরা দেখেছি যে বায়োমেট্রিক প্রয়োগ করা বেশ কঠিন, তবে এটি দ্বিতীয় ফ্যাক্টর হিসেবে খুবই কার্যকর, কখনোই প্রাথমিক ফ্যাক্টর হিসেবে নয়। আমি কখনোই নিজেকে অথেনটিকেট করার একমাত্র উপায় হিসেবে বায়োমেট্রিক ব্যবহার করব না, ধরুন আমার

বায়োমেট্রিক প্রমাণীকরণ (1:00:44)

ফোন। কারণ আপনি যেমন দেখেছেন, 8 বছরের প্রতিটি শিশুই জানে যে, মা যখন সোফায় ঘুমাচ্ছেন তখন যদি তার আঙুলে আইফোন (iPhone) চেপে ধরা হয়, তবে আপনি অ্যামাজন (Amazon) থেকে জিনিসপত্র কিনতে পারবেন। আপনি নিজেই নিজের ব্যক্তিগত সান্তা হয়ে উঠতে পারেন। যতক্ষণ পর্যন্ত আপনি মায়ের বুড়ো আঙুল বা বাবার মুখের সামনে ফেসিয়াল রিকগনিশন ডিভাইসটি ধরে তার মুখের অ্যাক্সেস পাচ্ছেন। বারবিকিউ পার্টিতে এত কাজের পর বাবা যখন নাক ডাকছেন। শুধুমাত্র বায়োমেট্রিক যথেষ্ট নয়, তবে এটি একটি খুব ভালো দ্বিতীয় ফ্যাক্টর (second factor) হিসেবে কাজ করে। চূড়ান্ত ফ্যাক্টরটি হলো এমন কিছু যা আপনার কাছে আছে, এবং এমন কিছু যার মালিক আপনি। আর এই বায়োমেট্রিক ফ্যাক্টরটি সাধারণত একটি অতিরিক্ত ডিভাইসের মধ্যে অন্তর্ভুক্ত থাকে। এটি এমন একটি ডিভাইস যা আপনার কাছে থাকা একটি সিকিউরিটি ফ্যাক্টর। একটি কী (key) হলো প্রমাণীকরণের এমন একটি ফ্যাক্টর যার মালিক আপনি। একটি ডিজিটাল কী, একটি প্রাইভেট কী, এমনকি একটি ফিজিক্যাল

কী, যা দিয়ে আপনি দরজা খোলেন। আর আজকাল ক্রমবর্ধমানভাবে আমাদের কাছে এমন দ্বিতীয় ফ্যাক্টর রয়েছে যা আপনার মালিকানাধীন কোনো কিছুর ওপর ভিত্তি করে তৈরি এবং এগুলোকে USB ডিভাইসে পরিণত করা হয়েছে। প্রকৃতপক্ষে, আমার ল্যাপটপে স্থায়ীভাবে একটি প্লাগ ইন করা আছে। আপনাদের অনেকেই হয়তো আগে আমাকে এগুলো নিয়ে কথা বলতে শুনেছেন। এটি একটি YubiKey, এবং এই YubiKey ডিভাইসটি এতই ছোট যে আমি যখন এটি আমার ল্যাপটপের USB পোর্টে লাগাই, তখন কেবল একটি ছোট মেটালিক ট্যাব বেরিয়ে থাকে, যা স্পর্শকাতর। আমি যখন এটি ব্যবহার করার চেষ্টা করি, তখন আমাকে এটি স্পর্শ করতে হয়। আর যখন আমি স্পর্শ করি, তখন আমি এটি সক্রিয় করি এবং এটি আমার কম্পিউটার থেকে একটি কোড পাঠায়। এখন আপনি আমার কম্পিউটারের পাশে প্রমাণীকরণের জন্য ট্যাপ না করে আমার কম্পিউটারে এবং আমার ব্যবহার করা অন্যান্য অনেক সার্ভিসে লগ ইন করতে পারবেন না। এখন, আপনি যদি আমার ডেটাবেস বা আমার মাস্টার পাসফ্রেজ চুরি করেন, অথবা

আমার পাসওয়ার্ড অনুমান করে নেন, তবুও আপনি এই ডিভাইসগুলো ডিক্রিপ্ট বা খুলতে পারবেন না অথবা আমার বিভিন্ন অ্যাকাউন্ট অ্যাক্সেস করতে পারবেন না কারণ আপনার কাছে এই জিনিসটি নেই। এই জিনিসটি আমার কাছে আছে। এবং অবশ্যই এটি নিরাপত্তার একটি অতিরিক্ত ফ্যাক্টর। নিজস্বভাবে এটি যথেষ্ট নয় কারণ কেউ যদি আমার ল্যাপটপ চুরি করতে সক্ষম হয়, তবে এখন তাদের কাছে এই জিনিসটি আছে, কিন্তু সৌভাগ্যবশত তাদের কাছে আমার পাসওয়ার্ড নেই, যা হলো অন্য ফ্যাক্টর। তাই সাধারণভাবে, যখন আমরা মাল্টি-ফ্যাক্টর প্রমাণীকরণ নিয়ে কথা বলি, তখন আমরা মূলত এটি স্বীকার করে নিই যে প্রমাণীকরণের কোনো একক ফ্যাক্টর নিজস্বভাবে যথেষ্ট নয়। সব প্রমাণীকরণ ফ্যাক্টরেরই ব্যর্থতার মোড রয়েছে। তবে আপনি যদি মাল্টিফ্যাক্টর প্রমাণীকরণ ব্যবহার করেন এবং আপনার প্রমাণীকরণ ফ্যাক্টরগুলো বৈচিত্র্যময় হয়, তবে একটি প্রমাণীকরণ ফ্যাক্টরের ব্যর্থতার মোড অন্যটিকে আপনার সুরক্ষা হিসেবে রেখে দেয়। সুতরাং আপনার কাছে সুরক্ষার স্তর থাকে। আপনি জানেন যে প্রতিটি গুপ্তচর মুভিতে, যখন তারা মূলত কোনো

খারাপ লোকের আঙুল কেটে ফেলে এবং সেটি ফিঙ্গারপ্রিন্ট রিডারের কাছে নিয়ে যায় এবং দরজা খুলতে ব্যবহার করে, আসলে কোনো দরজাই সেভাবে কাজ করে না। সেগুলোর সবকটিতেই একটি পিন কোডের প্রয়োজন হয়, ঠিক এই কারণেই যাতে আপনি পিন কোড চুরি করলেও আপনার কাছে আঙুলটি না থাকে। আর আপনি যদি আঙুলটি চুরি করে কেটে ফেলেন, তবে আপনি পিন কোডটি জানেন না। এর জন্য দুটোরই প্রয়োজন হয়। এমন ডিভাইসের কোনো প্রস্তুতকারকই এটি এমনভাবে তৈরি করবে না যাতে আপনি কেবল একটি দিয়ে এটি খুলতে পারেন। এবং প্রকৃতপক্ষে, যখন লোকেরা তাদের ফোনগুলো কেবল বায়োমেট্রিক দিয়ে খোলার জন্য সেট আপ করে, তখন এটি অবিশ্বাস্যভাবে বিপজ্জনক, এবং আপনাকে নিশ্চিত করতে হবে যে আপনার কাছে একটি অতিরিক্ত মেকানিজম রয়েছে। চ্যাটে একটি চমৎকার ফলো-আপ প্রশ্ন এসেছে, যদি আমি আমার YubiKey, আমার সিকিউরিটি কী হারিয়ে ফেলি তবে কী হবে? আসলে, আমার কাছে বেশ কয়েকটি আছে। আমার কাছে 3টি আছে। এবং আমার চূড়ান্ত ব্যাকআপ হিসেবে একটি অফসাইট লোকেশনে সংরক্ষিত আছে।

আমার কাছে দ্বিতীয় আরেকটি আছে যা আমি আমার ল্যাপটপে প্লাগ ইন করে রাখি না, বরং আমার সাথে নিয়ে ঘুরি। এটি প্রায়শই এমন কিছু যা আপনি নিরাপত্তা কর্মীদের গলায় ল্যানিয়ার্ডে পরতে বা কী চেইন হিসেবে যুক্ত থাকতে দেখবেন। এই ডিভাইসগুলো বেশ মজবুত হয় এবং এগুলো প্রায়শই কী চেইনের সাথে যুক্ত করার জন্য ডিজাইন করা হয়। তাই আপনি এগুলো আপনার কীগুলোর সাথে নিতে পারেন, যা বেশ যুক্তিসঙ্গত। একই ধরনের সিকিউরিটি মডেলের কারণে এগুলো প্রায় ধ্বংস করা অসম্ভব। আপনি এগুলোর ওপর দিয়ে ট্রাক চালিয়ে দিলেও এগুলো কাজ করবে। তাই আমার এই 3টি সিকিউরিটি কী-ই নিবন্ধিত আছে, যাতে যেকোনো একটি কাজ করে এবং অ্যাক্সেস হারানোর আগে আমাকে 3টিই হারাতে হবে। তবে এই 3টিই এমন জায়গায় আছে যেখানে পৌঁছানো কঠিন। এবং এখানে আমি যে প্রধান ঝুঁকি, প্রধান হুমকির কথা বলতে চাইছি তা হলো রিমোট কম্প্রোমাইজ। হ্যাঁ, আপনি যদি আমার বাড়ি বা অফিসে জোর করে ঢোকেন

সিকিউরিটি কী এবং YubiKeys (1:05:51)

বা পাঁচ নম্বর কোনো গোপন স্থানে, এবং আপনি যদি সেই দুষ্ট পরিচারিকা হন যে আমার হোটেলের রুমে বা অন্য কোথাও জোর করে ঢুকে পড়ে, তবে আপনি এই ডিভাইসগুলো খুঁজে পেতে পারেন, কিন্তু তখন সম্ভবত আপনার কাছে আমার পাসওয়ার্ড থাকবে না। আপনি যদি আমার সিস্টেমে হ্যাক করে আমার পাসওয়ার্ড পেয়েও যান, তবুও আপনার কাছে ডিভাইসটি থাকবে না। আপনি যদি আমার কোনো ডিভাইসে লগ ইন করার জন্য পাসওয়ার্ড ব্যবহার করার চেষ্টা করেন, তবে আমি আপনাকে অ্যাক্সেস দেওয়ার জন্য কম্পিউটারের পাশে ট্যাপ করব না। এবং সত্যি বলতে, আপনি জানেন যে আমি যখন আমার কম্পিউটারটি একা রেখে যাই, তখন আমি YubiKey খুলে আমার সাথে নিয়ে যাই। সুতরাং আবারও বলছি, এটি হলো স্তরের (layers) বিষয়। তাই টু-ফ্যাক্টর অথেনটিকেশন (two factor authentication) মানে হলো কোনো পরিষেবা বা ডিভাইসে নিজেকে প্রমাণ করার জন্য অন্তত দুটি ফ্যাক্টর ব্যবহার করা। আর এগুলো হলো এমন কিছু যা আপনি জানেন, এমন কিছু যা আপনার কাছে আছে এবং এমন কিছু যা আপনি নিজে। এই তিনটির যেকোনো একটিকে দ্বিতীয় ফ্যাক্টর হিসেবে ব্যবহার করা যেতে পারে। এবং অবশ্যই আপনি চাইলে

থ্রি-ফ্যাক্টর অথেনটিকেশন ব্যবহার করতে পারেন, যদিও এটি কিছুটা অস্বাভাবিক, সেই পর্যায়ে এটি বেশ ঝামেলাপূর্ণ এবং জটিল হয়ে ওঠে। পুনরুদ্ধার করা কঠিন, এবং সহজেই লক আউট হয়ে যাওয়ার সম্ভাবনা থাকে। তাই সাধারণত 2 হলো ম্যাজিক নম্বর, আর এই কারণেই আমরা একে 2FA বা টু-ফ্যাক্টর অথেনটিকেশন বলি। অন্যরা একে মাল্টিপল ফ্যাক্টর অথেনটিকেশন বা মাল্টি-ফ্যাক্টর অথেনটিকেশনের জন্য MFA বলে থাকে। এটি ঠিক একই জিনিস। আরেকটি স্ট্যান্ডার্ড রয়েছে, যা সিকিউরিটি কী-গুলোর (keys) জন্য একটি সার্বজনীন ফর্ম্যাটের স্ট্যান্ডার্ড, যেমন আমি আপনাকে যে ছোট YubiKey দেখিয়েছি, যা ইন্ডাস্ট্রিতে ব্যবহৃত হয়। এখন এটি Fido Alliance নামক একটি স্ট্যান্ডার্ড বডি দ্বারা তৈরি করা হয়েছে, এবং একে U2F বা ইউনিভার্সাল টু-ফ্যাক্টর বলা হয়। আপনি যদি আমার কোডের স্লাইডে লক্ষ্য করেন, সেখানে একটি 'learn U2F' বা ইউনিভার্সাল টু-ফ্যাক্টর রয়েছে। U, 2 নম্বরটি, এবং F অক্ষরটি মিলে U2F। এটি মূলত একটি হার্ডওয়্যার-ভিত্তিক মাল্টিফ্যাক্টর ডিভাইসের জন্য একটি স্ট্যান্ডার্ড, যা প্লাগ ইন করা যায়, সংযুক্ত করা যায় বা

আপনি যে ডিভাইসে অথেনটিকেট করার চেষ্টা করছেন তাতে ব্লুটুথ বা NFC-এর মাধ্যমে ডেটা পাঠাতে পারে। ঠিক আছে, তাহলে চলুন একটি প্রশ্নে যাওয়া যাক। ওটা নয়। এটা কোথায়? হয়তো এখন? ঠিক আছে, এক সেকেন্ড। মনে হচ্ছে প্রশ্নটি হাইলাইট করা হচ্ছে না। নিশ্চিত নই কেন। আমাকে এক সেকেন্ড সময় দিন, দয়া করে। আমি এটি ঠিক করছি। আমাকে আমার ব্রাউজার রিফ্রেশ করতে হবে। আশা করি এটি আমার কাছে কোনো জটিল পাসওয়ার্ড চাইবে না। ঠিক আছে, মনে হচ্ছে কোনো ধরনের... ওহ অপেক্ষা করুন, এক সেকেন্ড দাঁড়ান। আমার Slido-তে কিছু একটা সমস্যা হয়েছে, তাই আমি আসলে হাইলাইট করা প্রশ্নগুলো দেখতে পাচ্ছি না। আমি জানি না কেন এমন হচ্ছে। আগে কখনো এমন দেখিনি। ওহ, একটি পোল (poll) আছে। স্পষ্টতই একটি সক্রিয় পোল রয়েছে যা এখন আমার প্রশ্নগুলো দেখার পথে বাধা হয়ে দাঁড়াচ্ছে। আমি জানি না কেন। আমাকে ক্ষমা করবেন। ওহ, এই তো। এটি নিজেই ঠিক হয়ে গেছে। প্রযুক্তিগত সমস্যার জন্য দুঃখিত বন্ধুরা। কেন একটি টেক্সট

বার্তা (message) দুর্বল টু-ফ্যাক্টর অথেনটিকেশন, এটি কি না থাকার চেয়ে ভালো? অনেক ব্যাংক SMS ব্যবহার করে, যেমন অন্য কেউ উল্লেখ করেছেন, তারা টু-ফ্যাক্টর অথেনটিকেশন হিসেবে SMS টেক্সট বার্তা ব্যবহার করে। তাহলে কেন একটি টেক্সট বার্তা দুর্বল টু-ফ্যাক্টর অথেনটিকেশন? ঠিক আছে। তাহলে একটি টেক্সট বার্তা কোন ধরনের ফ্যাক্টর? চলুন দেখি আমরা এটি বুঝতে পারি কিনা। এটি কি এমন কিছু যা আপনি জানেন? না, আপনি সেই সময়ে এটি জানেন না। মনে হচ্ছে কোনো ধরনের পোল চলছে যা বাধা দিচ্ছে। দুঃখিত। Slido কোনো কারণে একটি পোল দিয়ে শুরু হয়েছিল। এটা অদ্ভুত। ঠিক আছে। টেক্সট বার্তা কি একটি ভালো টু-ফ্যাক্টর? এটি কোন ধরনের ফ্যাক্টর? এটি কি এমন কিছু, যা আপনি জানেন? না, কারণ আপনি এটি জানেন না, যখন এটি আপনাকে একটি টেক্সট বার্তা হিসেবে পাঠানো হয়, আপনি এটি জানেন না, আপনি এটি সম্পর্কে পরে জানতে পারেন। তাই এটি এমন কিছু নয় যা আপনি জানেন। এটি কি

কেন এসএমএস (SMS) একটি দুর্বল টু-ফ্যাক্টর অথেনটিকেশন (1:11:00)

এটি কি আপনার নিজের কোনো অংশ? না, এটি আপনার নিজের কোনো অংশ নয়। এটি কি আপনার মালিকানাধীন কিছু? কিছুটা। আপনি ভাবতে পারেন, ঠিক আছে, এটি আমার মালিকানাধীন কিছু, যে ফোনটিতে টেক্সট মেসেজ আসছে তার মালিক আমি। কিন্তু টেক্সট মেসেজটি কোনো ফোনে পাঠানো হচ্ছে না, এটি একটি ফোন নম্বরে পাঠানো হচ্ছে। আপনি কি ফোন নম্বরটির মালিক? এর উত্তর হলো, ফোন নম্বরটি আসলে একটি সিম, বা বলা যায় আপনার ফোনের সিম কার্ডটি যে অ্যাকাউন্টের সাথে যুক্ত সেটি, আর সেই অ্যাকাউন্টের মালিক কে? এর উত্তর হলো Vodafone, Verizon, AT&T, T-Mobile বা অন্য কেউ। সুতরাং টেক্সট মেসেজ টু-ফ্যাক্টর অথেনটিকেশনের সমস্যা হলো, আপনি ফোন নম্বরটির মালিক নন। ফোন কোম্পানি এর মালিক। আর ফোন কোম্পানির নিরাপত্তা ব্যবস্থা খুবই জঘন্য। এটাই মূল কথা, বিষয়টা আসলেই এত সহজ। তাই আপনাকে যা করতে হবে তা হলো ফোন কোম্পানির কাস্টমার সার্ভিসে কল করা,

ব্যাকগ্রাউন্ডে একটি শিশুর কান্নার শব্দ বাজানো, এমন ভান করা যেন আপনি একজন হতাশ বেবিসিটারের সাথে কথা বলছেন যখন শিশুটি চিৎকার করে কাঁদছে। আর ব্যাকগ্রাউন্ডে আপনার স্বামী বা স্ত্রী আপনার ওপর চিৎকার করছে। আপনি মানসিকভাবে ভেঙে পড়েছেন এবং আপনার দিনটি খুব খারাপ যাচ্ছে। তখন কাস্টমার সার্ভিসের অত্যন্ত সহায়ক এবং সহানুভূতিশীল ব্যক্তিরা সমস্ত নিরাপত্তা চেক এড়িয়ে যাবেন কারণ আপনি জানেন না আপনার স্বামী বা স্ত্রী অ্যাকাউন্টে কী পাসওয়ার্ড সেট করেছেন, এবং এটি সত্যিই একটি জরুরি অবস্থা ও আপনার এখনই যোগাযোগ করা প্রয়োজন। আর তারা আনন্দের সাথে নম্বরটি আপনার নতুন ফোনে পোর্ট করে দেবে যা এখনই চালু করা দরকার, কারণ এটি একটি জরুরি অবস্থা। এখন, এটি যদি কোনো তাত্ত্বিক আক্রমণ বলে মনে হয়, তবে Def Con, Black Hat এবং অন্যান্য হ্যাকার কনফারেন্সগুলোতে এর একটি চমৎকার ডেমোনস্ট্রেশন বা প্রদর্শনী রয়েছে, যেখানে তারা এই ধরনের সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণগুলো করে থাকে। এবং

এগুলোর মধ্যে অন্যতম সেরা হলো একটি ভিডিও যেখানে একজন অত্যন্ত দক্ষ সোশ্যাল ইঞ্জিনিয়ারিং হ্যাকার একজন সাংবাদিককে দেখিয়েছিলেন যে, ফোন কোম্পানিতে কল করে, ব্যাকগ্রাউন্ডে একটি শিশুর কান্নার রেকর্ডিং বাজিয়ে জরুরি অবস্থার কথা বলে সাহায্য চেয়ে তারা কত দ্রুত তার ফোন নম্বরটি দখল করতে পারে। এবং আক্ষরিক অর্থেই 10 মিনিটেরও কম সময়ের মধ্যে, তারা ফোন নম্বরটি দখল করে নেয়, তারপর সেটি ব্যবহার করে তার ইমেইল অ্যাকাউন্ট রিসেট করে, এবং এরপর সেটি ব্যবহার করে তার অন্যান্য সমস্ত অ্যাকাউন্ট রিসেট করে এবং মূলত 15 মিনিটেরও কম সময়ের মধ্যে তার সম্পূর্ণ ডিজিটাল পরিচয় বা আইডেন্টিটি হ্যাক করে ফেলে। এই কারণেই টেক্সট মেসেজ হলো টু-ফ্যাক্টর অথেনটিকেশনের একটি দুর্বল মাধ্যম। এবং এটি সত্যিই গুরুত্বপূর্ণ যে আপনি যদি এটি এড়িয়ে চলতে পারেন তবে এটি ব্যবহার করবেন না। তবে বেনামী প্রশ্নের উত্তরে বলতে হয়, এটি কি না থাকার চেয়ে ভালো? হ্যাঁ, এটি না থাকার চেয়ে ভালো। এটি না থাকার চেয়ে ভালো যদি

আপনি এমন অ্যাকাউন্টগুলোতে এটি ব্যবহার করা এড়াতে পারেন যেখানে আপনার কাছে আরও ভালো বিকল্প বেছে নেওয়ার সুযোগ রয়েছে। তাই যে কোনো অ্যাকাউন্টে যেখানে আপনি টেক্সট মেসেজ ছাড়া অন্য কিছু ব্যবহার করতে পারেন, সেখানে সেটিই ব্যবহার করুন। আরেকটি বিষয় হলো আপনার ফোন প্রোভাইডার কে, সে সম্পর্কে খুব সাবধানে চিন্তা করা। অনেক নিরাপত্তা পেশাদার এমন ফোন প্রোভাইডার ব্যবহার করেন যাদের কোনো মানব কাস্টমার সার্ভিস নেই যাকে সোশ্যাল ইঞ্জিনিয়ারিং করা যেতে পারে এবং যেখানে অ্যাকাউন্টগুলো নিজেই শক্তিশালী টু-ফ্যাক্টর অথেনটিকেশন দ্বারা সুরক্ষিত থাকে। উদাহরণস্বরূপ, Google-এর Project Fi (F-I), যা একটি ভার্চুয়াল নেটওয়ার্ক অপারেটর, সেখানে কথা বলার মতো কোনো মানুষ নেই। এবং আপনি একটি Google অ্যাকাউন্টের মাধ্যমে সেই ফোন অ্যাকাউন্টটি কানেক্ট, অ্যাক্সেস এবং কনফিগার করতে পারেন যা আপনি একটি ইউনিভার্সাল টু-ফ্যাক্টর টোকেনের মতো শক্তিশালী টু-ফ্যাক্টর অথেনটিকেশন দিয়ে সুরক্ষিত করতে পারেন। এর মানে হলো আপনার নম্বরটি পোর্ট করা যাবে না, যার অর্থ হলো আপনি সেই নম্বরটি আরও নিরাপদে ব্যবহার করতে পারবেন টেক্সট মেসেজ ভিত্তিক

টু-ফ্যাক্টর অথেনটিকেশন সুরক্ষিত করার জন্য, যেমন আপনার ব্যাঙ্ক যাদের নিরাপত্তা ব্যবস্থা খুবই জঘন্য। তাই নিরাপত্তার দিক থেকে সবচেয়ে জঘন্য কোম্পানিগুলোর কথা বলতে গেলে, ব্যাঙ্ক, ফোন কোম্পানি এবং তারপর আসে আসল সার্ভিস প্রোভাইডার যাদের মোটামুটি ভালো নিরাপত্তা দল রয়েছে। তাই এটি মূলত লেয়ার বা স্তরের ওপর নির্ভর করে। যদি আপনার কাছে দ্বিতীয় ফ্যাক্টর অথেনটিকেশন হিসেবে টেক্সট মেসেজ ব্যবহার করা ছাড়া আর কোনো বিকল্প না থাকে, তবে আমি আপনাকে বলব যে আমি এমন কিছু পরিষেবা ব্যবহার করি যেখানে আমার কাছে টেক্সট মেসেজ ব্যবহার করা ছাড়া কোনো বিকল্প নেই। সেক্ষেত্রে নিশ্চিত করুন যে সেই টেক্সট মেসেজটি এমন একটি অ্যাকাউন্টে যায় যা ভালোভাবে সুরক্ষিত। এমনকি আপনার ফোন ক্যারিয়ারের ক্ষেত্রেও, আপনি আপনার অ্যাকাউন্টে একটি পিন সেট করতে পারেন। আপনি নম্বর পোর্ট করার সুবিধাটি বন্ধ করে দিতে পারেন। আপনি সেই অ্যাকাউন্টটিকে শক্তিশালী করার জন্য সব ধরনের ব্যবস্থা নিতে পারেন। তবে আপনি যদি আরও ভালো কিছু করতে চান, তবে আপনার নম্বরটি এমন একটি ভার্চুয়াল নেটওয়ার্ক অপারেটর বা সার্ভিস প্রোভাইডারের কাছে স্থানান্তর করুন যেখানে এমন কোনো মানুষ নেই যারা

আপনার ফোন নম্বর সুরক্ষিত করা (1:16:25)

সোশ্যাল ইঞ্জিনিয়ারিংয়ের মাধ্যমে আপনার নম্বর পোর্ট করা হতে পারে। এবং আপনার ফোন নম্বর নিয়ন্ত্রণকারী ফ্যাক্টরগুলোর উপর শক্তিশালী প্রমাণীকরণ বা অথেনটিকেশন থাকা উচিত। এবং যদি আপনি এটি এড়াতে পারেন। বিশেষ করে এটি এড়িয়ে চলুন যদি এটি আপনার এক্সচেঞ্জে কানেক্ট করার জন্য দ্বিতীয় ফ্যাক্টর (second factor) হয়, যেখানে আপনি মিলিয়ন মিলিয়ন ডলার মূল্যের ক্রিপ্টোকারেন্সি জমা রাখেন। এবং অবশ্যই, আমি এখানে একজন বেশ কুখ্যাত ক্রিপ্টোকারেন্সি পণ্ডিতের দিকে ইঙ্গিত করছি, যিনি আসলে একটি এক্সচেঞ্জ ওয়ালেট-এ, একটি হট ওয়ালেট-এ মিলিয়ন মিলিয়ন ডলারের ক্রিপ্টোকারেন্সি জমা রেখেছিলেন, যা ছিল কাস্টোডিয়াল (আপনার কয়েন নয়), এবং এর জন্য AT&T দ্বারা হোস্ট করা একটি SMS টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করেছিলেন। বর্তমানে তিনি কিছু, আমি জানি না, 50 মিলিয়ন, 100 মিলিয়ন ডলার বা এরকম কোনো হাস্যকর পরিমাণ অর্থের ক্ষতির জন্য AT&T-এর বিরুদ্ধে মামলা করছেন। সত্যি বলতে, এটি এমন এক ধরনের আইনি মামলা যেখানে একজন বিশেষজ্ঞ সাক্ষী হিসেবে, আমি কাঠগড়ায় দাঁড়িয়ে 30 মিনিট ধরে হাসব

বাদীর মুখের ওপর। যখন তারা বলে যে এটি অন্য কারও দোষ ছিল যে তারা AT&T-এর একটি টেক্সট মেসেজ টু-ফ্যাক্টর অথেনটিকেশন দ্বারা সুরক্ষিত একটি এক্সচেঞ্জে মিলিয়ন মিলিয়ন ডলার রেখেছিল। এর জন্য আমার খুব একটা সহানুভূতি থাকবে না। ঠিক আছে। তো চলুন এমন টু-ফ্যাক্টর অথেনটিকেশন নিয়ে কথা বলি যা আসলে কাজ করে। আমি সিকিউরিটি কী নিয়ে কথা বলেছি, যা একটি হার্ডওয়্যার, তবে আরও একটি মেকানিজম রয়েছে যা খুব সাধারণ, যা আপনারা সবাই আগে ব্যবহার করেছেন, যেখানে আপনার কাছে একটি 6 ডিজিটের নম্বর থাকে। নীরজ আমাকে বিশেষভাবে এই বিষয়ে একটি প্রশ্ন জিজ্ঞাসা করে সাহায্য করেছেন। হাই আন্দ্রেয়াস, Google বা Microsoft অথেনটিকেটর কীভাবে কাজ করে? এমন কোনো বিকেন্দ্রীকৃত সিস্টেম কি আছে যা এগুলোর জায়গা নিতে পারে? নীরজ, এগুলোই বিকেন্দ্রীকৃত সিস্টেম। যদিও অ্যাপটি একটি কেন্দ্রীভূত সত্তা দ্বারা তৈরি করা হয়েছে, অ্যাপটি আসলে বেশ সাধারণ (dumb)। এবং এর ফলে, এটি আসলে বিকেন্দ্রীকৃত। এই অথেনটিকেটরগুলোতে যে গোপন তথ্য বা সিক্রেটগুলো জমা থাকে

তা শুধুমাত্র আপনার লোকাল ডিভাইসেই জমা থাকে। অবশ্যই, এর কিছু ভিন্নতা রয়েছে। এর মধ্যে কিছু অ্যাপ্লিকেশন, যেমন উদাহরণস্বরূপ, Offi আপনাকে আপনার টু-ফ্যাক্টর অথেনটিকেশনের ভিত্তি হিসেবে থাকা সিক্রেটগুলো ব্যাকআপ করতে এবং অন্য ডিভাইসে পোর্ট করার অনুমতি দেয়। যা এগুলোকে সুবিধাজনক করে তোলে, কিন্তু বিপজ্জনকও। যদি Offi বা ব্যাকআপ সমর্থনকারী অন্যান্য সিস্টেমে আপনার একাধিক ডিভাইসের সাপোর্ট চালু থাকে, তবে আপনাকে অবশ্যই তা বন্ধ রাখতে হবে এবং শুধুমাত্র তখনই চালু করতে হবে, যখন আপনি অন্য কোনো ফোন বা ডিভাইসে পোর্ট করছেন, যেমন উদাহরণস্বরূপ, যখন আপনি আপনার স্মার্টফোন আপগ্রেড করেন এবং আপনাকে সেই সমস্ত অ্যাকাউন্ট একটি নতুন ডিভাইসে স্থানান্তর করতে হয়। Google অথেনটিকেটর আসলে তাদের সর্বশেষ সংস্করণে ব্যাকআপ এবং পোর্টিং চালু করেছে। আমি জানি না এটি কীভাবে কাজ করে, তবে যদি এটি সেভাবে কাজ করে, তবে নিশ্চিত করুন যে আপনি এটি ডিফল্টরূপে বন্ধ রেখেছেন। যাতে শুধুমাত্র সেই লোকাল ডিভাইসটি

সেই সিকিউরিটি কোডগুলো ব্যবহার করতে পারে। অন্যথায় এটি আসলে টু-ফ্যাক্টর নয়, তাই না? এটি এমন কিছু নয় যা আপনার মালিকানাধীন। এটি একটি ব্যাকআপ পাসওয়ার্ড। এটি এমন কিছু যা আপনি জানেন, এবং যা সহজেই চুরি হয়ে যেতে পারে, অথবা এটি আপনার ফোন নম্বরের সাথে যুক্ত। সেক্ষেত্রে আমরা আবার সেই টেক্সট মেসেজ সিকিউরিটিতে ফিরে যাই যা নিয়ে আমরা আগে কথা বলছিলাম। কেউ আপনার সিম পোর্ট করে, তারা আপনার নম্বর দখল করে নেয়। তারা স্মার্টফোনে অথেনটিকেটর সফটওয়্যার ইনস্টল করে। তারপর তারা ব্যাকআপ ডাউনলোড করে এবং সেই ডিভাইসে পোর্ট করে। এবং তাদের কাছে আপনার সমস্ত টু-ফ্যাক্টর অথেনটিকেশন চলে আসে যা আসলে টু-ফ্যাক্টর অথেনটিকেশন ছিল না। তো এটি হলো ফেইলিওর মোড (failure mode), তবে চলুন প্রথমে কথা বলি এই জিনিসটি কীভাবে কাজ করে। তাহলে Google বা Microsoft অথেনটিকেটর কীভাবে কাজ করে? প্রথমে, চলুন এই জিনিসটির একটি নাম দিই। এটি এমন একটি মেকানিজম যাকে ওয়ান-টাইম পাসওয়ার্ড (one time password) বা OTP বলা হয়। ওয়ান-টাইম পাসওয়ার্ড কয়েক দশকের পুরোনো এবং এগুলো ব্যবহার করা হয়েছে, আচ্ছা, আমাকে নিজেকে সংশোধন করতে দিন। ডিজিটাল

পোর্টেবল ডিভাইসে ওয়ান-টাইম পাসওয়ার্ড কয়েক দশকের পুরোনো। ওয়ান-টাইম পাসওয়ার্ডগুলো নিজেরা আসলে হাজার হাজার বছরের পুরোনো। এখানকার সাধারণ ধারণাটি হলো যে, আপনি যদি র‍্যান্ডম সংখ্যার একটি সিকোয়েন্স তৈরি করেন এবং যোগাযোগের দুটি পক্ষের কাছে সেই সিকোয়েন্সের একটি কপি থাকে, বা তারা সেই সিকোয়েন্সটি তৈরি করতে পারে এবং অন্য কেউ পারে না। তাহলে চুরি করার বা অনুমান করার মতো কিছুই থাকে না। ওয়ান-টাইম প্যাড হলো এনক্রিপশন-এর একটি অভেদ্য পদ্ধতি, যতক্ষণ না আপনি এই গোপন তথ্যগুলো তৈরি করতে পারেন এবং সেগুলো চুরি হতে না দেন। এবং ওয়ান-টাইম পাসওয়ার্ড যা সংখ্যাভিত্তিক, 6 ডিজিটের কোডগুলো চুরি করা খুব, খুব কঠিন। যতক্ষণ আপনি রুট সিক্রেটগুলো গোপন রাখতে পারেন, যা এগুলো তৈরি করে। এখন Google এবং Microsoft অথেনটিকেটর হলো ওয়ান-টাইম পাসওয়ার্ডের একটি নির্দিষ্ট সাবক্লাস যাকে টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড (time based one time password) বলা হয়। এবং আপনি যদি এমন কোনো অ্যাপ্লিকেশন খুঁজতে চান যা টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড স্ট্যান্ডার্ড সমর্থন করে, তবে আপনি এই সংক্ষিপ্ত রূপটি ব্যবহার করবেন

টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড (1:21:56)

T-O-T-P. সুতরাং OTP হলো ওয়ান-টাইম পাসওয়ার্ড এবং T-OTP হলো টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড। আর টাইম-বেসড বলতে বোঝায় যে কোডটি বর্তমান সময়ের সাথে যুক্ত থাকে এবং প্রতি 30 সেকেন্ড পর পর পরিবর্তিত হয়। সুতরাং আপনি যে নির্দিষ্ট সময়ে এটি ব্যবহার করতে চান, সেই সময়ের জন্য নির্দিষ্ট কোড তৈরি করতে এগুলো একটি গোপন তথ্য (secret) এবং একটি ঘড়ি ব্যবহার করে, যা বর্তমান সময়ের সাথে কমবেশি সঠিকভাবে সিঙ্ক্রোনাইজ করা থাকতে হয়। যেহেতু এটি একটি 30 সেকেন্ডের টাইম উইন্ডো, তাই আপনার কিছুটা দেরি হলেও সমস্যা নেই এবং স্ক্রিনে দেখে ওয়েবসাইটে প্রবেশ করানোর জন্য আপনি কিছুটা সময় পান। এখন আপনি যে ওয়েবসাইটে বা ডিভাইসে কানেক্ট করছেন, সেখানেও একই গোপন তথ্য থাকে এবং ঘড়িটিও কমবেশি সিঙ্ক্রোনাইজ করা থাকে। তাই এটি বুঝতে পারে যে আপনার কোন কোডটি প্রবেশ করানো উচিত। এটি সাধারণত আগের এবং পরের কোডটিও চেক করে, যাতে আপনি কিছুটা দেরি করলেও এটি বুঝতে পারে,

যেমন 30 সেকেন্ডের একটু বেশি সময় পার হয়ে গেলেও এটি তা গ্রহণ করবে। এরপর আপনি আপনার স্ক্রিনে বর্তমান কোডটি দেখতে পাবেন এবং একটি ছোট কাউন্টডাউন দেখতে পাবেন। আর 30 সেকেন্ড পর এটি পরিবর্তিত হয়ে যায় এবং আপনি একটি নতুন ছয় ডিজিটের নম্বর পান। এটি মূলত একটি প্রাইভেট কী ব্যবহার করে কাজ করে। এবং সেই প্রাইভেট কী থেকে এটি একটি ডেরিভেশন ফাংশন ব্যবহার করে, যা বিভিন্ন ধরনের হতে পারে। T-OTP-এর জন্য স্ট্যান্ডার্ড ব্যবহার কী তা আমার জানা নেই। আমি ধরে নিচ্ছি এটি সময়ের সাথে যুক্ত কোনো ধরনের হ্যাশ মেকানিজম। এবং সেই ডেরিভেশন ফাংশনের মাধ্যমে এটি প্রতি 30 সেকেন্ডে নতুন নিউমেরিক কোড তৈরি করে। আর আপনি সিকোয়েন্স থেকে, দুঃখিত, গোপন তথ্য এবং বর্তমান সময় থেকে বর্তমান সময়ের জন্য সঠিক কোডটি হিসাব করতে পারবেন। গোপন তথ্যটি সেই QR কোডের মধ্যেই থাকে, যা আপনি যে পরিষেবাটি ব্যবহার করার চেষ্টা করছেন তা প্রথমবার প্রদর্শন করে। সুতরাং যখন আপনি এর মধ্যে কোনো একটি

ডিভাইস ব্যবহার করতে যান, এবং এগুলো সবই সামঞ্জস্যপূর্ণ, তাই আপনি Google authenticator, Microsoft authenticator, Offi, Duo বা অন্য যেকোনোটি ব্যবহার করুন না কেন, এবং বেশিরভাগ পাসওয়ার্ড ম্যানেজারেও এই T-OTP পরিষেবাগুলোর কোনো একটি বিল্ট-ইন থাকে। আপনাকে যা করতে হবে তা হলো, আপনি যে ওয়েবসাইট বা পরিষেবাতে সেকেন্ড ফ্যাক্টর অথেনটিকেশন যোগ করতে চাইছেন, সেখান থেকে একটি QR কোড স্ক্যান করা। আর সেই QR কোডে একটি গোপন তথ্য থাকে। সেই গোপন তথ্যটি হলো একটি আলফানিউমেরিক র‍্যান্ডমভাবে তৈরি করা স্ট্রিং যা আপনার অ্যাকাউন্টগুলোর সাথে যুক্ত থাকে। এবং ওয়েবসাইটটি আপনার জন্য এটি র‍্যান্ডমভাবে তৈরি করে। এটি একটি QR কোড হিসেবে প্রদর্শিত হয়। আপনি আপনার Google authenticator ডিভাইস দিয়ে এটি স্ক্যান করেন, আপনার Google authenticator ডিভাইস এটিকে গোপন তথ্য হিসেবে রেকর্ড করে এবং তারপর বর্তমান সময়ের জন্য কোড তৈরি করতে শুরু করে। এরপর আপনি এই কোডগুলোর একটি ওয়েবসাইটে প্রবেশ করান। এটি ট্র্যাক করে নিশ্চিত করতে পারে যে আপনি সঠিক কোডটি দিয়েছেন এবং বলে, হ্যাঁ, আমি এই কোডটিই আশা করছিলাম

এই 30 সেকেন্ডের উইন্ডোতে। এবং এখন আপনি টু-ফ্যাক্টর অথেনটিকেশন স্থাপন করেছেন। অবশ্যই এগুলোর ক্ষেত্রে একটি বড় সমস্যা হলো ব্যাকআপ। এবং আপনি বেশ কয়েকটি উপায়ে ব্যাকআপ নিতে পারেন। ব্যাকআপ নেওয়ার একটি উপায়, যা সত্যি বলতে ব্যাকআপ নেওয়ার সম্ভবত সবচেয়ে নিরাপদ উপায়, তা হলো একটি ফিজিক্যাল প্রিন্টআউট। তাই যখন আপনার স্ক্রিনে সেই QR কোডটি থাকবে, তখন প্রিন্ট করুন। আমি ফিজিক্যাল প্রিন্টআউটের কথা বলছি, কারণ আপনি অন্য কিছু করতে চাইতে পারেন, যেমন এর একটি ছবি তোলা। এবং অবশ্যই, এর ছবি তোলার জন্য আপনি আপনার স্মার্টফোন ব্যবহার করবেন। সমস্যা হলো সেই ছবিটি ক্লাউডে স্টোর হয়ে যাবে। তখন এটি আর শুধুমাত্র Google authenticator বা T-OTP অথেনটিকেশন ডিভাইসে সীমাবদ্ধ থাকে না। এবং সেই মুহূর্তে, এটি আর কোনো নিরাপদ সেকেন্ড ফ্যাক্টর থাকে না। ক্লাউডে আপনার টু-ফ্যাক্টর

অথেনটিকেশনের গোপন তথ্যের ব্যাকআপ তৈরি করা একটি খারাপ ধারণা। এর চেয়ে টু-ফ্যাক্টর সফটওয়্যারে থাকা ব্যাকআপ সুবিধাটি ব্যবহার করা ভালো, যা অন্তত আপনার পছন্দের একটি পাসওয়ার্ড দিয়ে এনক্রিপ্ট করা থাকে। আপনি সেই পাসওয়ার্ডটি আপনার পাসওয়ার্ড ম্যানেজারে কোথায় রাখবেন? আপনি দেখতে পাচ্ছেন যে আমরা এখানে একই জায়গায় ঘুরপাক খাচ্ছি, এবং মাঝে মাঝে এটি বিভ্রান্তিকর হতে পারে। তাই আপনি যদি ব্যাকআপ নিতে চান তবে QR কোডটি প্রিন্ট করে নিন, অথবা বেশিরভাগ পরিষেবার ক্ষেত্রে এটি না করলেও চলে, কারণ আপনি যদি আপনার টু-ফ্যাক্টর অথেনটিকেশন টোকেন বা অ্যাপ হারিয়ে ফেলেন, তবে আপনি তাদের এটি রিসেট করতে বলতে পারেন। এবং তারা আপনাকে অনেক ঝামেলার মধ্য দিয়ে নিয়ে যাবে, যেমন আইডি ধরে রাখা, সেলফি তোলা এবং ইমেইল, ফোন কল ও অন্যান্য একাধিক মেকানিজমের মাধ্যমে নিশ্চিত করা। এই পরিষেবাগুলোর মধ্যে অনেকগুলি আপনাকে একগুচ্ছ ব্যাকআপ কোডও দেবে, যেগুলো হলো আগে থেকে হিসাব করা নিউমেরিক কোড, যা আপনি ডায়নামিকের পরিবর্তে প্রবেশ করাতে পারবেন

টু-ফ্যাক্টর অথেন্টিকেশনের স্তরবিন্যাস (1:26:44)

তৈরি করা স্ট্যাটিক কোড। আর এগুলো হলো আপনার অথেন্টিকেশন ডিভাইস হারিয়ে যাওয়ার ক্ষেত্রে ব্যবহারের জন্য। আর এগুলো আপনি কোথায় সংরক্ষণ করবেন? আপনার পাসওয়ার্ড ম্যানেজারে এগুলো সংরক্ষণ করা উচিত। সুতরাং, টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড অ্যাপ্লিকেশন সহ টু-ফ্যাক্টর অথেন্টিকেশন হলো একটি শক্তিশালী, কার্যকর এবং সহজে ব্যবহারযোগ্য পদ্ধতি, যা আপনি আজই আপনার সমস্ত অ্যাকাউন্টে যুক্ত করতে পারেন। এখন চলুন নিরাপত্তার স্তরবিন্যাসটি দেখে নেওয়া যাক। ইউনিভার্সাল টু-ফ্যাক্টর সিকিউরিটি কী, যা অত্যন্ত শক্তিশালী এনক্রিপশন ভিত্তিক। আপনি যদি এর কয়েকটি রেজিস্টার করে নিরাপদ স্থানে রাখেন, তবে সেগুলো হ্যাক করা বা আপস করা খুব কঠিন। ব্যাকআপ নেওয়া খুব সহজ, কারণ এটি একটি ফিজিক্যাল বা ভৌত বস্তু। আপনি অন্য একটি ফিজিক্যাল বস্তু কাছে রেখে এর ব্যাকআপ নিতে পারেন। এটি কপি করা অসম্ভব এবং আপনার অজান্তে এটি চুরি করাও অসম্ভব। দ্বিতীয় স্তরে রয়েছে টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড, যা আপনি একটি QR কোড স্ক্যান করে এবং নীরজের আলোচনা করা অ্যাপ্লিকেশনের মতো কোনো অ্যাপ ব্যবহার করে পান। এগুলো আপনাকে একটি 6 ডিজিটের

কোড দেয় প্রতি 30 সেকেন্ড পরপর। আবার, এটি আপনার ফোনকে আপনার মালিকানাধীন সেকেন্ড ফ্যাক্টর হিসেবে তৈরি করে, এবং এগুলো ব্যাকআপ নেওয়া কিছুটা কঠিন। আর যদি আপনার ফোন চুরি হয়ে যায়, তবে এগুলো সহজেই হ্যাক হতে পারে। আমি টু-ফ্যাক্টর অথেন্টিকেশন অ্যাপটিতেই ফিঙ্গারপ্রিন্ট লক রাখতে পছন্দ করি, যাতে ফিঙ্গারপ্রিন্ট ব্যবহার না করে নিউমেরিক কোডগুলো দেখা না যায়। এখন, এটি মূলত সেকেন্ড ফ্যাক্টরের ওপর একটি থার্ড ফ্যাক্টর হিসেবে কাজ করে, যা আমাকে সুরক্ষা দেয় যদি কেউ আমার ফোন চুরি করে এবং সেই মুহূর্তে ফোনটি আনলক করা থাকে, তবুও তারা আমার টু-ফ্যাক্টর অ্যাপে প্রবেশ করতে পারবে না। এবং সবশেষে, সবচেয়ে নিচের স্তরে রয়েছে টেক্সট মেসেজ টু-ফ্যাক্টর অথেন্টিকেশন, যা অবশ্যই নিরাপদ নয়, তবে আপনার কাছে যদি অন্য কোনো বিকল্প না থাকে, তবে কিছু না থাকার চেয়ে এটি থাকা ভালো। সুতরাং, এগুলোই হলো টু-ফ্যাক্টর অথেন্টিকেশনের বিভিন্ন স্তর। চলুন দেখি আমাদের আর কী কী প্রশ্ন আছে, এর ফাঁকে

আমি এখানে একটি ছোট্ট বিরতি নিচ্ছি। এবং আমি আমার প্যাট্রনদের একটি ভিডিও প্লে করতে যাচ্ছি, যা আপনাকে বলবে কেন আপনার অনলাইনে আমার কাজকে সমর্থন করা উচিত। সুতরাং আমরা আজ যা করছি, এবং আমি সবসময় যা করার চেষ্টা করি তা হলো, আপনাকে বিটকয়েন এবং ওপেন ব্লকচেইন সম্পর্কে উচ্চমানের শিক্ষামূলক উপকরণ প্রদান করা, যা সম্পূর্ণ নিরপেক্ষ—কোনো স্পনসর, এন্ডোর্সমেন্ট, বিজ্ঞাপনদাতাদের কাছে বিক্রি হওয়া বা কর্পোরেট স্বার্থের কাছে দায়বদ্ধতা ছাড়াই। আপনারা ছাড়া অন্য কেউ এর জন্য অর্থ প্রদান করছে না। তাই যদি আপনার এই শিক্ষা ভালো লাগে, যদি আপনি এই শিক্ষা থেকে উপকৃত হয়ে থাকেন, অথবা এমনকি যদি আপনি কেবল প্রতিদান দিতে চান এবং অন্যদের এই শিক্ষা পেতে সাহায্য করতে চান, এবং আমাকে ও আমার দলকে এটি চালিয়ে যেতে, আরও ভালোভাবে করতে এবং আরও ব্যাপকভাবে করতে সাহায্য করতে চান, তবে অনুগ্রহ করে একটি YouTube মেম্বারশিপ বা আরও ভালো হয় একটি মাসিক প্যাট্রন সাবস্ক্রিপশনের মাধ্যমে আমাকে সমর্থন করার কথা বিবেচনা করুন। এবং আমার প্যাট্রনদের ভাষায়, এখানে তার কারণ দেওয়া হলো।

• আমি আন্দ্রেয়াসের একজন প্যাট্রন কারণ আমি অনলাইনে তার ভিডিওগুলো দেখেছি এবং এভাবেই আমি বিটকয়েন সম্পর্কে জেনেছি। এভাবেই বিটকয়েনের সাথে আমার পরিচয় হয়। - আমি আজ রাতে আন্দ্রেয়াসের আয়োজিত একটি সামাজিক অনুষ্ঠানে এসেছি, যা তার পেইড প্যাট্রন সাপোর্টের অংশ। এইমাত্র ডাউনটাউন লন্ডনে কয়েকটা ড্রিংকস খেলাম, তাই সন্ধ্যাটা সত্যিই খুব মজার ছিল। অনেক সমমনা মানুষের সাথে দেখা করার সুযোগ হলো। - আন্দ্রেয়াস যে কাজ করছেন আমাদের তা সমর্থন করা উচিত। তিনি নতুন মানুষদের বিটকয়েন এবং বিটকয়েন শিক্ষায় যুক্ত করতে অনেক কিছু করছেন। - তিনি একজন দুর্দান্ত শিক্ষক। তিনি খুব জটিল বিষয়গুলো সহজে বোঝার মতো করে ব্যাখ্যা করতে পারেন। তিনি খুব সৎ এবং খুব সুনির্দিষ্ট। তিনি প্রস্তুত এবং বুদ্ধিবৃত্তিকভাবে সৎ থাকতে পারেন। আমি মনে করি এটি তার সেরা বৈশিষ্ট্য। - তিনি বিটকয়েন এবং এর চারপাশের ইন্ডাস্ট্রির মতো একটি সত্যিই জটিল বিষয়ে দারুণ স্পষ্টতা নিয়ে আসেন। - এটি

আমার জন্য খুব, খুব ভালো একটি অনুপ্রেরণা হয়েছে এবং আমি তাকে যে প্রতিটি বিটকয়েন দিচ্ছি, তা আমাদের বিটকয়েন বুঝতে সাহায্য করার জন্য খুব ভালোভাবে ব্যবহৃত হবে। এবং আমি মনে করি এটি কোনো এক সময় বিশ্বের উন্নতি করবে। - একজন প্যাট্রন হওয়ার কারণে আমি আন্দ্রেয়াসের সাথে দেখা করার সুযোগ পাই এবং এই কারণেই আমি প্যাট্রন হতে ভালোবাসি এবং আমি প্যাট্রন হিসেবেই থাকব। - আমি মনে করি এটি একটি ভালো জিনিস। আপনি যদি নতুন জিনিস শিখতে আগ্রহী হন এবং বিটকয়েন কমিউনিটিকে সমর্থন করতে চান, তবে আপনার একজন প্যাট্রন হওয়া উচিত। - একজন প্যাট্রন হলে নিজেকে বিশেষ মনে হয়। আপনি তার লাইভ প্রশ্নোত্তর (Q&A) সেশনগুলোতে অংশ নিতে পারেন। আপনি হ্যাপি আওয়ারে তার সাথে দেখা করতে পারেন। এটি সত্যিই দারুণ, সম্পূর্ণ অর্থবহ। আমি প্যাট্রন হওয়ার বিষয়ে খুব, খুব উৎসাহী। - আমি চাই তিনি যেন ভবিষ্যতে বিজ্ঞাপনমুক্ত পরিবেশে তার দুর্দান্ত এবং মূল্যবান কনটেন্ট তৈরি করতে পারেন এবং শুধু

প্রশ্নোত্তর: ফোন নম্বর পোর্টিং এবং অ্যাপের নিরাপত্তা (1:31:37)

তার প্যাট্রনদের সাহায্যে। আর এই কারণেই আমি তাকে প্যাট্রনে সমর্থন করছি। (মৃদু সঙ্গীত) - ঠিক আছে, পরবর্তী প্রশ্নে যাওয়ার আগে, চ্যাটে কয়েকটি দারুণ ফলো-আপ পেয়েছি। যা আমার প্রযোজক খুব সহায়কভাবে আমার জন্য পোস্ট করেছেন। তো প্রথমেই আমাদের কাছে লুসিয়ার একটি ফলো-আপ আছে, যেকোনো ফোন নম্বর কি এমন কোনো কাস্টমার সার্ভিসে পোর্ট করা যায় যেখানে কোনো মানুষ নেই? এটি নির্ভর করে আপনি কোন দেশে নিবন্ধিত তার ওপর। টেলিকম প্রোভাইডারদের মধ্যে পোর্টেবিলিটি নিয়ে বিভিন্ন দেশের বিভিন্ন আইন রয়েছে। তবে সত্যি বলতে, ইউরোপের বেশিরভাগ দেশ এবং অবশ্যই উত্তর আমেরিকা, আমি জানি মার্কিন যুক্তরাষ্ট্র এবং কানাডায় এমন নিয়ম আছে যে ক্যারিয়ারগুলোকে পোর্টিংয়ের অনুরোধ মেনে চলতে হয়। আর এর মানে হলো সঠিক প্রক্রিয়ার মাধ্যমে, আপনি আপনার নম্বরটি না হারিয়ে অন্য একটি নতুন ক্যারিয়ারে নিয়ে যেতে পারেন। এবং তারপর আপনি এমন একটি ক্যারিয়ারে যেতে পারেন যেখানে কোনো কাস্টমার

সার্ভিস নেই, কোনো মানুষ নেই। আমি এ বিষয়ে Google fi-এর নাম সবচেয়ে বেশি শুনেছি। এমন আরও অনেক থাকতে পারে, যেগুলো নম্বর পোর্টিং আক্রমণের বিরুদ্ধে একইভাবে সুরক্ষিত। আমি এটির প্রতি কিছুটা পক্ষপাতদুষ্ট, যদিও সুস্পষ্ট কারণেই এতে কিছু গোপনীয়তার ঝুঁকি রয়েছে। দ্বিতীয় প্রশ্নটি এসেছে বেনের কাছ থেকে এবং বেন বলেছেন কীভাবে বুঝব যে আপনার অ্যাপটি সিক্রেট কী ফাঁস করছে না। বেন, আপনি জানতে পারবেন না যে আপনার অ্যাপটি সিক্রেট কী ফাঁস করছে কি না। আপনি কেবল এমন অ্যাপগুলো ব্যবহার করতে পারেন যেগুলো অনেক মানুষ ব্যবহার করে, যেগুলো নিরাপদ পরিবেশে ব্যবহৃত হয়, অডিটেড এবং রিভিউ করা হয়, সম্ভবত ওপেন সোর্স যেগুলোর কোড অডিট করা হয়েছে, এবং যেগুলো নির্ভরযোগ্য কোম্পানি দ্বারা তৈরি। যারা নিরাপত্তাকে গুরুত্ব সহকারে নেয়, যাদের কোনো কিছু নষ্ট না করার দীর্ঘ ট্র্যাক রেকর্ড রয়েছে। এর জন্য কাউন্টারপার্টির ওপর আস্থার প্রয়োজন। তবে, আমি যে বিষয়গুলো নিয়ে কথা বলেছি তার প্রায় সব কিছুতেই কাউন্টারপার্টির ওপর আস্থার প্রয়োজন হয়। তাহলে প্রশ্ন হলো আপনি কাউন্টারপার্টির ওপর কতটা আস্থা

রাখছেন এবং এই কাউন্টারপার্টি কে? আর এর বিকল্প কী? এবং যদি বিকল্পটি হয় কোনো অ্যাপ ব্যবহার না করে স্মৃতির ওপর নির্ভর করার চেষ্টা করা, তবে আসলে বিকল্পটি আরও খারাপ। আর নিরাপত্তায় আপনাকে এই সতর্ক ভারসাম্যটিই বজায় রাখতে হবে। আমরা ক্রমশ দেখছি যে আরও বেশি সংখ্যক কোম্পানি বিকেন্দ্রীকৃত অথেনটিকেশন, বিকেন্দ্রীভূত পরিচয় (ডিআইডি), বিকেন্দ্রীকৃত ভ্যালিডেশনের জন্য বিভিন্ন মেকানিজম বাস্তবায়নের চেষ্টা করছে, যা আরও বেশি সুরক্ষিত। উদাহরণস্বরূপ, বিটকয়েন বা ইথেরিয়াম-এ মাল্টিসিগ প্রায়শই এই ধরনের পরিষেবাগুলোর ভিত্তি হিসেবে কাজ করে। তবে আপাতত এই পরিষেবাগুলো তুলনামূলকভাবে অপরিপক্ব, ব্যাপকভাবে মোতায়েন করা হয়নি এবং এই ধরনের সমাধানের জন্য এখনও উপযুক্ত নয়। তাই এই ক্ষেত্রে ভবিষ্যতের জন্য আমি বেশ আশাবাদী। ইতিমধ্যে, আপনার যে প্রশ্নটি করা উচিত তা হলো, ভালো ট্র্যাক রেকর্ড আছে এমন একটি সেন্ট্রালাইজড পরিষেবা ব্যবহার করা ভালো, নাকি কোনো পরিষেবা ব্যবহার না করে স্মৃতির ওপর নির্ভর করার চেষ্টা করা

ভালো? আর আমি নিশ্চিতভাবে এর উত্তর দিতে পারি যে, কোনো পাসওয়ার্ড ম্যানেজার ব্যবহার না করে ভুল হতে পারে এমন স্মৃতি, ভুল হতে পারে এমন র‍্যান্ডমনেস এবং আপনার প্রযুক্তিগত দক্ষতার বাইরের কোনো ডিআইওয়াই (DIY) সমাধানের ওপর নির্ভর করার চেয়ে, একটি বিশ্বস্ত বা ভালো ট্র্যাক রেকর্ড আছে এমন কোম্পানির পাসওয়ার্ড ম্যানেজার ব্যবহার করা ভালো। চলুন পরবর্তী প্রশ্নে যাওয়া যাক। এটি এসেছে ট্রিক্সির কাছ থেকে, আন্দ্রেয়াস চশমাটা দারুণ। আমারও তাই মনে হয়। ধন্যবাদ ট্রিক্সি। এগুলো দিয়ে, আমি আসলে আমার ল্যাপটপে কী আছে তা পড়তে পারি। আমি দুই ধরনের লাইভস্ট্রিম করি। কিছু একটু বেশি অ্যাডহক, বেশি প্রশ্নভিত্তিক। আমার ল্যাপটপে কী হচ্ছে তা আমাকে খুব বেশি পড়তে হয় না। আমার ওখানে একটি সুন্দর স্টুডিও মনিটর আছে, যা যথেষ্ট দূরে থাকায় আমি আমার দুর্বল দৃষ্টিশক্তি দিয়েও তা পড়তে পারি। আর আজকের মতো কিছু লাইভস্ট্রিম একটু বেশি জটিল। আমাকে অনেক কিছু করতে হয়

প্রশ্নোত্তর: ব্যাংক এসএমএস-কে আরও শক্তিশালী প্রমাণীকরণে রূপান্তর করা (1:36:01)

পড়ার। আমার ল্যাপটপটি টেবিলে রাখা আছে। আর তাই আমার এই জিনিসগুলো দরকার। তবে ধন্যবাদ, আমরা মূল প্রসঙ্গ থেকে সরে যাচ্ছি। এই প্রশ্নের মূল বিষয়ে ফিরে আসি। আমি আমাদের সম্পাদকের জন্য আবার শুরু করব। ট্রিক্সি জিজ্ঞাসা করেছেন, আমি কি ব্যাংকের ওই বিরক্তিকর টেক্সট বার্তাগুলোকে অফি (offi) বা অনুরূপ কোনো কিছুতে রূপান্তর করতে পারি? একটি সময়-ভিত্তিক ওয়ান-টাইম পাসওয়ার্ড সিস্টেম। অফি হলো ওই ধরনের সময়-ভিত্তিক T-OTP, সময়-ভিত্তিক ওয়ান-টাইম পাসওয়ার্ডগুলোর একটি। ট্রিক্সি, না, এমন কোনো উপায় নেই। যদি না আপনার ব্যাংকের এমন কোনো মেকানিজম থাকে যা টেক্সট বার্তা ছাড়া অন্য কিছু সমর্থন করে, আপনি সময়-ভিত্তিক ওয়ান-টাইম পাসওয়ার্ড ব্যবহার করতে পারবেন না। এই ক্ষেত্রে সঠিক উত্তর হলো টেক্সট মেসেজিং ব্যবহার করা, তবে আপনার ফোন প্রোভাইডার পরিবর্তন করে এমন একটিতে যান যার জন্য একটি শক্তিশালী প্রমাণীকরণ মেকানিজম প্রয়োজন, যেমন সময়-ভিত্তিক ওয়ান-টাইম পাসওয়ার্ড, বা আরও ভালো হয় যদি সিকিউরিটি কী সহ ইউনিভার্সাল টু-ফ্যাক্টর ব্যবহার করেন অথবা যেখানে আপনি এই বিকল্পগুলো কনফিগার করতে পারেন। যাতে আপনার নম্বরটি পোর্ট করা না যায় কারণ এর জন্য একটি শক্তিশালী প্রমাণীকরণের প্রয়োজন হয়। এবং

যদি আপনার নম্বরটি পোর্ট করা যায়, তবে আপনার ব্যাংকের টেক্সট বার্তা অনেক, অনেক বেশি সুরক্ষিত। তো এটি ট্রিক্সির কাছ থেকে একটি দারুণ প্রশ্ন ছিল। চলুন দেখি আমাদের এখানে আর কী কী প্রশ্ন আছে। আমি খুব বেশি অন্য প্রশ্ন দেখতে পাচ্ছি না, তাই, ওহ, এই তো পেয়েছি। ওহ, মডারেটররা এখন হন্যে হয়ে প্রশ্নগুলো খুঁজছেন এবং আমার জন্য সেগুলোকে সারিবদ্ধ করছেন, যাতে আমরা আরও কিছু প্রশ্ন পেতে পারি। আমি আশা করি আপনারা আজকের সেশনটি উপভোগ করছেন। তো চলুন আমরা এ পর্যন্ত যা শিখেছি তার একটি দ্রুত সারসংক্ষেপ করে নিই। নিরাপত্তা কখনোই 100 শতাংশ হয় না, নিরাপত্তা হলো আপনার প্রযুক্তিগত দক্ষতার মধ্যে বাস্তবসম্মত ঝুঁকিগুলো পরিচালনা করা, সবচেয়ে সহজ এবং সবচেয়ে ধারাবাহিকভাবে প্রয়োগ করা যায় এমন সমাধানের মাধ্যমে, যা অন্যান্য সমাধানের সাথে স্তরে স্তরে সাজানো থাকে যাতে একজন দৃঢ়প্রতিজ্ঞ আক্রমণকারীর বিরুদ্ধে একাধিক বাধা তৈরি করা যায়। আপনি যদি সঠিকভাবে নিরাপত্তা বজায় রাখেন, তবে আপনি এই ব্যবস্থাগুলোর সাথে স্বাচ্ছন্দ্যবোধ করবেন। আপনি এগুলো ধারাবাহিকভাবে প্রয়োগ করতে পারবেন, এবং আপনি

আপনার কাছে পর্যাপ্ত স্তর থাকবে যা আপনার দক্ষতা এবং আপনার হুমকির পরিবেশ উভয়ের সাথেই সামঞ্জস্যপূর্ণ, যাতে একজন আক্রমণকারীর আপনাকে আক্রমণ করার জন্য সময়, সম্পদ, বাজেট, বা আগ্রহ, কিংবা পুরস্কার—কোনোটিই না থাকে। এবং এর পরিবর্তে তারা এমন কাউকে আক্রমণ করে যে তুলনামূলকভাবে সহজ লক্ষ্য, আর মূলত এটিই হলো নিরাপত্তা। আপনি এ বিষয়ে নিখুঁত হতে পারবেন না। আসলে, আপনি একজন মানুষ। তাই সংজ্ঞানুযায়ী, আপনি নিখুঁত হবেন না। আপনাকে এটি ধারাবাহিকভাবে এবং আপনার দক্ষতার স্তরের মধ্যে কার্যকর করতে সক্ষম হতে হবে, যার মানে হলো এটিকে যথেষ্ট সহজ হতে হবে। এটি কোনো একক টুল, কৌশল, অনুশীলন বা পদক্ষেপ দিয়ে সমাধান করা সম্ভব নয়, তাই আপনাকে একাধিক টুল, একাধিক কৌশল, একাধিক পদক্ষেপ ব্যবহার করতে হবে, যেগুলোকে একসাথে স্তরে স্তরে সাজাতে হবে। বিশেষ করে নিরাপত্তার বৈচিত্র্যময় মেকানিজম ব্যবহার করা ভালো, যা ভেদ করতে আক্রমণকারীদের বিভিন্ন দক্ষতার প্রয়োজন হয় এবং যা বিভিন্ন হুমকি থেকে রক্ষা করে, যাতে আপনি সেগুলোকে স্তরে স্তরে সাজিয়ে একটি ব্যাপক সিস্টেম তৈরি করতে পারেন। আর এটি করার পরও আপনি

100 শতাংশ নিরাপত্তা পাবেন না, তবে, আপনি জানেন, যদি আপনি এটি ধারাবাহিকভাবে করেন, এবং যদি আপনি এটি সচেতনভাবে করেন, এবং যদি আপনি এটিকে আপনার হুমকির প্রয়োজনীয়তা এবং আপনার দক্ষতার স্তর উভয়ের সাথে ভালোভাবে মানানসই করে তোলেন, তবে আপনি সেই অভিজাত গোষ্ঠীর মানুষদের সাথে যোগ দিতে পারবেন যারা সততার সাথে বলতে পারে, আমি বছরের পর বছর ধরে হ্যাক হইনি। এটিই আপনার পক্ষে করা সম্ভব সবচেয়ে ভালো কাজ, তবে এটি সাধারণত বেশ ভালো। এবং এটি আপনাকে অন্য অনেক মানুষের চেয়ে অনেক এগিয়ে রাখে। একজন বেনামী ব্যবহারকারী জিজ্ঞাসা করেছেন, এমন কারো জন্য পাসওয়ার্ড ম্যানেজার সম্পর্কে আপনার কোনো উদ্বেগ বা পরামর্শ শেয়ার করতে পারেন কি, যিনি এখনও এগুলো ঘনিষ্ঠভাবে তুলনা করে দেখার বা চেষ্টা করার সুযোগ পাননি। আমি বছরের পর বছর ধরে অনেক ভিন্ন ভিন্ন পাসওয়ার্ড ম্যানেজার ব্যবহার করেছি, এর মধ্যে এমন কিছু আছে যেগুলো খুব, খুব বেশি ব্যবহৃত হয় কিন্তু সেগুলো আমার পছন্দের নয়। যেগুলো আমি অনিচ্ছাসত্ত্বেও মাঝে মাঝে বা সব সময় ব্যবহার করি, যা নির্ভর করে আমি কোন ডিভাইসে আছি তার ওপর। এমন কিছু আছে যেগুলো

জনপ্রিয়তা হারিয়েছে। আবার এমন কিছু নতুন ম্যানেজার আছে যেগুলো জনপ্রিয়তা পাচ্ছে। আপনার জন্য কোনটি সঠিক হবে তা আমি নিশ্চিতভাবে বলতে পারব না। আমি আপনাকে বলতে পারি যে সম্ভবত সবচেয়ে জনপ্রিয় দুটি হলো লাস্ট পাস নামক একটি সিস্টেম এবং ওয়ান পাসওয়ার্ড নামক একটি সিস্টেম, যেখানে প্রথমে 1 সংখ্যাটি থাকে, এরপর পাসওয়ার্ড শব্দটি থাকে, পুরোটা মিলে একটি শব্দ। ওয়ান পাসওয়ার্ড এবং লাস্ট পাস সম্ভবত সবচেয়ে বেশি পরিচিত। এর বাইরেও বিভিন্ন ক্ষমতা এবং স্বাতন্ত্র্যসূচক বৈশিষ্ট্যসহ আরও বেশ কিছু সিস্টেম রয়েছে। তুলনামূলকভাবে নতুনগুলোর মধ্যে একটি, যার দিকে আমি আগ্রহ নিয়ে দেখছি, তা হলো বিটওয়ার্ডেন, কারণ এটি একটি ওপেন সোর্স সিস্টেম যা মাল্টি-প্ল্যাটফর্ম এবং বেশ ভালোভাবে তৈরি করা হয়েছে। তবে দিন শেষে, যেমনটা আমি হার্ডওয়্যার ওয়ালেট প্রস্তুতকারকদের জন্য একই পরামর্শ দিয়েছি, উদাহরণস্বরূপ, আমি আমাদের পাসওয়ার্ড ম্যানেজারগুলোর জন্যও আপনাকে একই পরামর্শ দেব। শীর্ষ তিন বা চারটির মধ্যে পার্থক্যগুলো,

প্রশ্নোত্তর: পাসওয়ার্ড ম্যানেজারগুলোর তুলনা (1:41:43)

এই ক্ষেত্রে পাঁচটি কোম্পানি রয়েছে যাদের পণ্যগুলোর মধ্যে খুব সামান্যই পার্থক্য আছে। সেগুলো সবই বেশ ভালো। সেগুলো সবই বেশ সুরক্ষিত। সেগুলো সবই বেশ সামঞ্জস্যপূর্ণ। শীর্ষ চার বা পাঁচটি পাসওয়ার্ড ম্যানেজারের যেকোনো একটি ব্যবহার করা এবং কোনো পাসওয়ার্ড ম্যানেজার ব্যবহার না করা, অথবা নিজের স্মৃতির ওপর নির্ভর করা বা নিজের কোনো সমাধান তৈরি করার মধ্যে পার্থক্যটা বিশাল। তাই প্রশ্নটি এটি নয় যে, আমার এগুলোর মধ্যে কোনটি ব্যবহার করা উচিত? বরং প্রশ্ন হলো আমার কোনো একটি ব্যবহার করা উচিত কি না, উত্তর হলো হ্যাঁ, এবং খুব বেশি সময় নষ্ট করবেন না। এটি নিয়ে ভাবার একটি উপায় হলো আপনার পরিবারের অন্য সদস্যরা কী ব্যবহার করছে? যাতে আপনি সহজেই তাদের সাথে পাসওয়ার্ড শেয়ার করতে পারেন। এগুলোর বেশিরভাগই ক্লোজড ইকোসিস্টেম (closed ecosystems)। তাই আপনার পরিবারের সবার কাছে যদি বিটওয়ার্ডেন (Bitwarden) থাকে, তবে আপনারও বিটওয়ার্ডেন ব্যবহার করা ভালো। যদি আপনার কোম্পানি বা নিয়োগকর্তা কোনো একটি ব্যবহার করে, তবে সম্ভবত আপনার

ব্যক্তিগত কাজের জন্যও একই জিনিস ব্যবহার করা ভালো, তবে শর্ত হলো আপনাকে দুটি আলাদা অ্যাকাউন্ট রাখতে হবে, যাতে আপনাকে খুব বেশি অ্যাপ্লিকেশন চালাতে না হয় এবং জটিলতা না বাড়ে। আবারও বলছি, বিষয়টিকে সহজ রাখুন। আপনার কেবল একটি প্রশ্নই করা উচিত যে, কত দ্রুত আমি এগুলোর মধ্যে একটি চালু করতে পারি এবং তারপর এটিকে সঠিকভাবে সুরক্ষিত করতে পারি, এবং তারপর গিয়ে সব ওয়েবসাইটের সব পাসওয়ার্ড পরিবর্তন করতে পারি, সবচেয়ে গুরুত্বপূর্ণগুলো দিয়ে শুরু করে। একজন বেনামী ব্যক্তি জিজ্ঞাসা করেছেন যে, গুগল অথেনটিকেটরের (Google Authenticator) প্রাথমিক সেটআপ এবং বাস্তবায়ন কি একটি সিমেট্রিক কী ব্যবহার করে, বিটকয়েনের মতো নয়, যা অ্যাসিমেট্রিক এনক্রিপশন ব্যবহার করে? হ্যাঁ, তাই। এবং আমি জানি না T-OTP স্ট্যান্ডার্ড কী, কারণ আমি এটি কখনো দেখিনি। এটি হয়তো সিমেট্রিক এনক্রিপশনও নয়। এটি একটি পাসওয়ার্ড স্ট্রেচিং অ্যালগরিদম হতে পারে। আসলে, এটি সম্ভবত এমন কোনো সিকোয়েন্স যা নির্ভর করে

হ্যাশ ব্যবহার করে ডেরিভেশনের ওপর। তবে আমি জানি না, আমি এটি নিয়ে গবেষণা করিনি। এটি অ্যাসিমেট্রিক নয়, এটুকু আমি আপনাকে বলতে পারি। তাই এটি কোনো প্রাইভেট পাবলিক কী সিস্টেম নয়। সিমেট্রিক এনক্রিপশন কী? অ্যাসিমেট্রিক এনক্রিপশন কী? এটি চ্যাটে আসা আরেকটি প্রশ্ন। অ্যাসিমেট্রিক এনক্রিপশন হলো যখন একটি জোড়ায় দুটি কী থাকে এবং আমরা সেগুলোকে প্রাইভেট এবং পাবলিক কী বলি এবং একটি দিয়ে যা এনক্রিপ্ট করা হয় তা কেবল অন্যটি দিয়েই ডিক্রিপ্ট করা যায় এবং এর বিপরীতটিও সত্য। তাই আপনি যদি আপনার প্রাইভেট কী দিয়ে কিছু এনক্রিপ্ট করেন, তবে এটি কেবল আপনার পাবলিক কী দিয়েই ডিক্রিপ্ট করা যাবে। আর আপনি যদি পাবলিক কী দিয়ে কিছু এনক্রিপ্ট করেন, তবে কেবল প্রাইভেট কী থাকা ব্যক্তিই এটি ডিক্রিপ্ট করতে পারবেন। এবং এই কৌশলগুলোর সমন্বয় ডিজিটাল স্বাক্ষর এর জন্য ব্যবহৃত হয়। এবং এটি দুজন প্রাপকের মধ্যে ডেটার এনক্রিপশন এবং ডিক্রিপশন এর জন্য ব্যবহৃত হয়। তবে এর অর্থ হলো

আপনি যদি আমার জন্য কিছু ডিক্রিপ্ট করতে চান, তবে আপনার আমার পাবলিক কী প্রয়োজন। আপনি যদি এটি আমার পাবলিক কী-তে এনক্রিপ্ট করেন, যা সর্বজনীন এবং শেয়ার করা সহজ, তবে কেবল আমিই এটি ডিক্রিপ্ট করতে পারব। আপনি যদি এটি অনেক মানুষের জন্য এনক্রিপ্ট করতে চান, তবে আপনার তাদের সবার পাবলিক কী প্রয়োজন এবং আপনাকে তাদের সবার পাবলিক কী-তে আলাদাভাবে এটি এনক্রিপ্ট করতে হবে। সিমেট্রিক এনক্রিপশন হলো যেখানে আপনার কাছে একটি কী থাকে যা এনক্রিপশন এবং ডিক্রিপশন উভয়ের জন্যই কাজ করে। এবং আসলে, 1970-এর দশক পর্যন্ত সিমেট্রিক এনক্রিপশনই ছিল এনক্রিপশন মেকানিজম। আমি যদি ভুল না করে থাকি, 1970-এর দশক পর্যন্ত অ্যাসিমেট্রিক এনক্রিপশন আবিষ্কৃত হয়নি। তো এই হলো সিমেট্রিক এবং অ্যাসিমেট্রিকের মধ্যে পার্থক্য। আমাকে দেখতে দিন, আমার মনে হয় এখানে আরেকটি প্রশ্ন আছে। কার্লোসের কাছ থেকে আরেকটি ফলো-আপ। আমরা কবে প্রমাণীকরণের (authentication) জন্য বিটকয়েন স্বাক্ষর ব্যবহার করব? আপনি আজই প্রমাণীকরণের জন্য বিটকয়েন স্বাক্ষর ব্যবহার করতে পারেন। সমস্যা হলো আপনাকে

সতর্ক থাকতে হবে কীভাবে এটি গঠন করবেন এবং বুঝতে হবে আপনি ঠিক কী প্রমাণ করছেন। একটি বিটকয়েন স্বাক্ষর এবং সাধারণভাবে প্রমাণীকরণের জন্য ডিজিটাল স্বাক্ষরের ব্যবহার খুব নির্দিষ্ট এবং খুব সংকীর্ণ কিছু বিষয় প্রমাণ করে। ধরুন আপনি আমাকে আমার বিটকয়েন প্রাইভেট কী দিয়ে একটি বার্তা স্বাক্ষর করতে এবং একটি স্বাক্ষর তৈরি করতে বললেন, এবং তারপর সেটি বিশ্বের সাথে শেয়ার করতে বললেন। বেশ, এখানে কয়েকটি জিনিস আছে যা আমি প্রমাণ করি। আমি প্রমাণ করি যে স্বাক্ষরটি তৈরি করার সময়, আমার কাছে প্রাইভেট কী ছিল। অবশ্যই, এর মানে এই নয় যে আমি সেই স্বাক্ষরটি কয়েক বছর আগে তৈরি করিনি। আপনি জানেন না স্বাক্ষরটি কখন তৈরি হয়েছে। অন্য বিষয়টি হলো, একটি কার্যকর স্কিমে এটি ব্যবহার করার জন্য, যে ব্যক্তি স্বাক্ষরের জন্য অনুরোধ করছেন তাকে একটি চ্যালেঞ্জ রেসপন্স (challenge response) করতে হবে। আমি শুধু বলতে পারি না যে কিছু স্বাক্ষর করুন, কারণ আমি যদি পাই

প্রশ্নোত্তর: প্রমাণীকরণের জন্য বিটকয়েন স্বাক্ষর (1:47:01)

বার্তাটি বেছে নেওয়ার ক্ষেত্রে, আমি মূলত এমন একটি বার্তা বেছে নিতে পারি যা অন্য কেউ অনেক আগে স্বাক্ষর করেছিল, তাদের প্রয়োগ করা স্বাক্ষরটি উপস্থাপন করতে পারি এবং আপনাকে বলতে পারি যে আমি এইমাত্র এটি করেছি। আর এটি সত্য কিনা তা জানার কোনো উপায় আপনার নেই। তাই এর পরিবর্তে সেই পরিস্থিতিতে, আপনার চ্যালেঞ্জ রেসপন্স প্রয়োজন। সুতরাং আমি যা বলব তা হলো, দয়া করে CarlosM, এমন একটি বার্তায় স্বাক্ষর করুন যেখানে লেখা আছে, আমি CarlosM ডিসেম্বরের, আজ কি 5 তারিখ? আমি জানিও না, ডিসেম্বরের, যাই হোক না কেন, 5 তারিখ, 2020-এ, আমি আমার প্রাইভেট কী-এর দখলে আছি। এবং আমি Andreas-এর অনুরোধে এই বার্তায় স্বাক্ষর করছি। আপনি কি বুঝতে পারছেন আমি এখানে কী বলছি? এটি যা করে তা হলো এটি সময়কে নির্দিষ্ট করে দেয়। আমি আপনাকে স্বাক্ষর করার জন্য একটি নির্দিষ্ট বার্তা না চাওয়া পর্যন্ত আপনি জানতে পারবেন না বার্তাটি কী। আপনি এটিকে একটি নির্দিষ্ট কার্যকলাপের সাথে সম্পর্কিত করেন। আমি আপনাকে

সেখানে আপনার স্বাক্ষর করার সময় এবং স্বাক্ষরকারীর পরিচয় সম্পর্কে তথ্য দিতে বলেছি। এটি বিষয়টিকে অনেক কঠিন করে তোলে, কিন্তু তবুও, আমি জানি না Carlos এতে স্বাক্ষর করেছে কিনা। মার্কিন যুক্তরাষ্ট্রে প্রস্তাবিত এবং ইইউ-তে ইতিমধ্যে বাস্তবায়িত নতুন ভ্রমণ নিয়মগুলির জন্য আপনি একটি ঠিকানার মালিক তা প্রমাণ করার উদ্দেশ্যে ওয়ালেট দিয়ে স্বাক্ষর করার বিষয়ে কথা বলার সময় আমাদের একই রকম কথোপকথন হয়েছিল। এবং অবশ্যই, যদি Carlos প্রমাণ করতে চায় যে তারা একটি ঠিকানার মালিক এবং আমি তাদের এমন একটি বার্তা দিই, তবে তাদের যা করতে হবে তা হলো বার্তাটি Jimmy-কে দেওয়া, Jimmy-কে দিয়ে স্বাক্ষর করানো যে, এটি Carlos, এটি Carlos-কে ফেরত দেওয়া, Carlos এটি আমাকে দেয়, এবং আমি মনে করি এটি প্রমাণ করে যে Carlos-এর কাছে প্রাইভেট কী আছে, যখন বাস্তবে Jimmy-এর কাছে তা আছে এবং তারা একসাথে কাজ করছে। সুতরাং এটি জটিল। এটি

প্রথম দেখায় যতটা সহজ মনে হয় ততটা নয়। ঠিক আছে, দেখা যাক। আমি হয়তো আর একটি প্রশ্নের উত্তর দেব। ওহ, এটি একটি ভালো প্রশ্ন। আমার এটি সত্যিই পছন্দ হয়েছে। এটি Jeff-এর একটি প্রশ্ন। Jeff Tezos জিজ্ঞাসা করেছেন, টিভি বা অনুরূপ Amazon, Netflix-এ আপনার রিমোট দিয়ে ম্যানুয়ালি ইনপুট করতে হয় এমন পাসওয়ার্ডগুলির কী হবে? এটি কতটা দীর্ঘ এবং কঠিন হওয়া উচিত? Jeff, আমি এটি নিয়ে সংগ্রাম করেছি। এবং এর জন্য আমার কাছে উত্তর আছে, যা আমি আপনাকে একটু পরেই দেব। এখন, Jeff যে পরিস্থিতির কথা বলছেন তা কল্পনা করুন, আপনি আপনার Netflix অ্যাকাউন্টের জন্য একটি অনন্য আলফানিউমেরিক 32 অক্ষরের প্রতীকযুক্ত কী তৈরি করতে আপনার পাসওয়ার্ড ম্যানেজার ব্যবহার করেছেন। এখন আপনাকে এটি একটি স্মার্ট Roku টিভির কীবোর্ডে লিখতে হবে, যেখানে কীবোর্ডের সঠিক অক্ষরে আপনার ছোট কার্সারটি নিয়ে গিয়ে, এন্টার চেপে প্রতিটি অক্ষর লিখতে হবে,

এবং তারপর ফিরে গিয়ে ক্যাপস লকে নেমে ক্যাপস লক চালু করে এবং উপরে গিয়ে বড় হাতের অক্ষরে গিয়ে তারপর ক্যাপস লক বন্ধ করে এবং তারপর প্রতীকে গিয়ে নিউমেরিক কীবোর্ডে স্যুইচ করতে হবে। ওহ ঈশ্বর, এতে কয়েক ঘণ্টা সময় লাগবে, কয়েক ঘণ্টা। এবং তাই হ্যাঁ, সেইসব ক্ষেত্রে, আমি একই কথা বলব যেখানে আপনার নিরাপত্তা ততটা গুরুত্বপূর্ণ নয়, আপনাকে এমন কিছু করতে হবে যেখানে আপনাকে প্রায়শই এই কী অন্য লোকেদের সাথে শেয়ার করতে হয়। একটি ভালো উদাহরণ হতে পারে আপনার ওয়াইফাই পাসওয়ার্ড, তাই না? সুতরাং সেইসব ক্ষেত্রে, আমি যা করব তা হলো আমি একটি সাধারণ নিউমেরিক বা আলফাবেটিক পাসওয়ার্ড ব্যবহার করব। সব একই ধরনের অক্ষর এবং এটিকে একটু দীর্ঘ করব। তাই কেউ যদি আমার Netflix হ্যাক করে এবং দেখে যে আমি Queen's Gambit দেখছি তাতে আমার কিছু যায় আসে না। অবশ্যই, আমি Queen's Gambit দেখছি। সবাই

Queen's Gambit দেখছে। এটি Queen's Gambit সপ্তাহ। এটি আমার কাছে সত্যিই কোনো ব্যাপার না, যদিও কিছু নিরাপত্তার বিষয় রয়েছে, যেমন আমি যখন এটি দেখছি তখন আমি কোথায় আছি তা বের করতে পারা। তাই আমার এখনও একটি পাসওয়ার্ড দরকার। তবে এটি এত দীর্ঘ হওয়ার দরকার নেই কারণ কেউ এটি ক্র্যাক করার চেষ্টা করবে এমন সম্ভাবনা কম। আসল সমস্যা হলো আমি যখন Airbnb ছেড়েছিলাম তখন কি আমার Roku টিভি রিসেট করার কথা মনে ছিল। আহা। এটি একটি ভালো প্রশ্ন। তাহলে আমি কী করব? আমি সাধারণত একটি নিউমেরিক পাসওয়ার্ড বা একটি আলফাবেটিক বা ছোট হাতের অক্ষরের পাসওয়ার্ড বেছে নিই এবং আমি এটিকে গ্রুপে ভাগ করি। তাই একটি ক্লাসিক পদ্ধতি হিসেবে আমি যা করব তা হলো মাইনাস বা হাইফেন চিহ্ন দ্বারা আলাদা করা 12টি সংখ্যা। এর মানে হলো আমি চারটির তিনটি গ্রুপ বা তিনটি অঙ্কের চারটি গ্রুপ করব। তাই আমার পাসওয়ার্ড হবে অনেকটা নয় তিন সাত ড্যাশ তিন এক দুই ড্যাশ তিন-এর মতো

প্রশ্নোত্তর: টিভি রিমোট এবং কম-নিরাপত্তার ডিভাইসের জন্য পাসওয়ার্ড (1:52:10)

থ্রি ওয়ান ড্যাশ ফোর ওয়ান ফাইভ। আমি এই মুহূর্তে শুধু র‍্যান্ডমভাবে সংখ্যা বেছে নিচ্ছি। খুব একটা ভালো র‍্যান্ডম নয়, যাইহোক। আমি আমার পাসওয়ার্ড ম্যানেজারে একটি র‍্যান্ডম নম্বর জেনারেটর ব্যবহার করব। আমি এটিকে শুধু সংখ্যা দিতে এবং এর দৈর্ঘ্য 12 করতে বলব। এবং তারপর আমি এটিকে 4টির সুন্দর গ্রুপে ভাগ করে মাঝখানে ড্যাশ দিয়ে লিখব, কারণ স্ক্রিন থেকে পড়ে কীবোর্ডে টাইপ করা আমার জন্য সহজ। এবং সাধারণত সংখ্যা এবং ড্যাশ একই কীবোর্ডে থাকে এবং সেগুলো খুব কাছাকাছি থাকে, তাই আমি দ্রুত এগুলো টাইপ করতে পারি বা আরও ভালো হয়, অনেক রিমোট কন্ট্রোল আপনাকে কীবোর্ডের সংখ্যার অংশটি ব্যবহার করতে দেয়, যা ছিল... পুরনো দিনে, আমাদের টেলিভিশনে চ্যানেল থাকত এবং সেই চ্যানেলগুলো সংখ্যার চ্যানেল নম্বর দ্বারা নির্বাচন করা হতো। আমি জানি এটি একটি বিস্ময়কর প্রযুক্তি।

তাই অনেক রিমোটে একটি নম্বর কীপ্যাড থাকে। সুতরাং এটি আবার একটি পাসফ্রেজ টাইপ করা অনেক সহজ করে তোলে। ধন্যবাদ, জেফ। এটি একটি দুর্দান্ত প্রশ্ন ছিল। এবং নিরাপত্তা ভারসাম্য বজায় রাখার বিষয়ে একটি খুব বাস্তবসম্মত প্রশ্ন। আপনি কি সত্যিই এমন একটি অ্যাকাউন্ট সুরক্ষিত করার জন্য এত ঝামেলা পোহাতে চান যা ততটা সুরক্ষিত নয় এবং যেখানে বড় ঝুঁকি হলো আপনি যখন এয়ারবিএনবি (Airbnb) ছেড়ে যান তখন সেই পাসওয়ার্ডটি মুছতে বা রিসেট করতে ভুলে যান এবং অন্য লোকেদের খুঁজে পাওয়ার জন্য রেখে যান, যা কিছুটা ঝামেলার হতে পারে। জেফের কাছ থেকে একই রকম একটি প্রশ্ন। উফ। ওহ না, এটি জেফ নয়। দুঃখিত, এক সেকেন্ড। এই তো। এটা কি কাজ করেছে? আজ আমার অ্যাপগুলোতে একটু ল্যাগ হচ্ছে। শুধুমাত্র 4 ডিজিটের পিন ব্যবহার করা কতটা নিরাপদ, যেমনটা সব ব্যাঙ্ক কার্ডে ব্যবহার করা হয়, মাইক জিজ্ঞাসা করেছেন। মাইক, এটি নির্ভর করে, এটি

নির্ভর করে আপনি সেই পিনটি কোথায় টাইপ করতে পারবেন তার ওপর। ব্যাঙ্ক কার্ডে 4 ডিজিটের পিন সুরক্ষিত হওয়ার কারণ হলো, আপনি এটি শুধুমাত্র একটি নিরাপত্তা ডিভাইসে টাইপ করতে পারেন, যেমন একটি পিন প্যাড বা একটি এটিএম (ATM) মেশিন। এই ডিভাইসগুলো এমনভাবে ডিজাইন করা হয়েছে যাতে আপনি একটি নির্দিষ্ট সংখ্যার বেশিবার চেষ্টা করতে না পারেন। এবং যদি সেগুলো তত্ত্বাবধানে থাকা ডিভাইস হয়, অর্থাৎ আপনি গ্যাস স্টেশনে আছেন, আপনি সুপারমার্কেটের চেকআউট কাউন্টারে আছেন, যেখানেই হোক না কেন সেখানে একজন ব্যক্তি দাঁড়িয়ে আছেন এবং আপনি কয়েকবারের বেশি টাইপ করবেন। তারা আপনাকে এটি করতে দেখতে পাবে এবং আপনি যদি 4,000টি ভিন্ন কম্বিনেশন টাইপ করার চেষ্টা করেন তবে তারা নিরাপত্তাকর্মীদের ডাকবে। এবং যখন এটি একটি তত্ত্বাবধানহীন ডিভাইস হয় যেখানে আপনি শুধু বসে থাকতে পারেন এবং ঘণ্টার পর ঘণ্টা সম্ভাব্য সব কম্বিনেশন চেষ্টা করতে পারেন, তখন এটি আসলে লক হয়ে যাবে এবং আপনার কার্ডটি আটকে ফেলবে, যেমনটা আপনি এটিএম-এর ক্ষেত্রে জানেন। তাই

যদি আমি এটি 4 বার ভুল টাইপ করি, বা 6 বার ভুল টাইপ করি, বা 3 বার ভুল টাইপ করি, ব্যাঙ্কের নীতির ওপর নির্ভর করে, এটি আমার কার্ডটি গিলে ফেলবে এবং আমাকে চেষ্টা করার আর কোনো সুযোগ দেবে না। তাই এটি শুধু পিন নয়, এটি হলো সেই পিনটি কীভাবে ব্যবহার করা হচ্ছে তার প্রেক্ষাপট। এটি কোথায় প্রবেশ করানো হচ্ছে, আপনি কতবার চেষ্টা করতে পারেন এবং আপনি যদি এই স্তরযুক্ত নিরাপত্তা ব্যবস্থাগুলোতে ব্যর্থ হন তবে কী হবে। তাই হ্যাঁ, এটিএম এবং পিন প্যাডের মতো নিয়ন্ত্রিত অ্যাক্সেস ডিভাইসগুলোর ক্ষেত্রে একটি 4 ডিজিটের পিন যথেষ্ট সুরক্ষিত, যেখানে নিরাপত্তার অতিরিক্ত স্তর রয়েছে যেমন আপনি ভুল টাইপ করলে আপনার কার্ড আটকে ফেলা, বা আপনাকে খুব বেশিবার চেষ্টা করতে না দেওয়া। আমি মনে করি এটি ভালো। আমরা অনেকগুলো বিষয় কভার করেছি। এই সব চমৎকার প্রশ্নের জন্য আপনাকে অনেক ধন্যবাদ। সত্যিই ভালো মন্তব্য করার জন্য আপনাকে ধন্যবাদ। আমাকে বলুন আপনি কোন বিষয়টি পছন্দ করেছেন

এই নির্দিষ্ট সেশনটি সম্পর্কে। এটি আমাদের করা অন্যগুলোর চেয়ে একটু আলাদা ছিল। বিটকয়েন এবং ওপেন ব্লকচেইনের এই যাত্রায় আপনাকে সাহায্য করার জন্য আপনি আর কী সম্পর্কে শিখতে চান তা আমাকে জানান। এবং ভুলে যাবেন না, আমাদের এই ধরনের বেশ কয়েকটি সেশন আসছে। আমি আপনাদের দেখাই আমাদের আসন্ন ইভেন্টগুলো হলো, অকোয়ার্ড হলিডে কনভারসেশনস (Awkward Holiday Conversations), অকোয়ার্ড হলিডে কনভারসেশনস। এটিই পরবর্তী ইভেন্ট যা আসছে। আমি আপনাদের সঠিক উত্তর দিয়ে প্রস্তুত করব এবং সেই সাথে অন্যান্য লোকেদের কাছ থেকে মজার গল্প শোনাব যারা বর্তমানে প্যাট্রিয়ন (Patreon) এবং অন্যান্য প্ল্যাটফর্মে মন্তব্যে তাদের পরিবারের অস্বস্তিকর ছুটির কথোপকথন শেয়ার করছেন। বেশিরভাগই বিটকয়েন এবং ওপেন ব্লকচেইন সম্পর্কে, কখনও কখনও এমন বিষয়গুলো সম্পর্কে যা এটিকে আরও বেশি অস্বস্তিকর করে তোলে যা আমরা লাইভ স্ট্রিমে কভার করব না। তারপর আমাদের ডিসেম্বরের ওপেন টপিক প্রশ্নোত্তর (Q&A) রয়েছে, যেখানে আপনি যেকোনো প্রশ্ন জিজ্ঞাসা করতে পারেন এবং আমি সেগুলোর উত্তর দেওয়া বেছে নিতে পারি। এবং

সমাপ্তি (1:57:25)

তারপর অবশেষে আমাদের 2021 এক্সট্রাভ্যাগানজা ইভেন্ট রয়েছে। সুতরাং এই ইভেন্টগুলো কখন ঘটছে তা জানতে এবং সে সম্পর্কে শিখতে, অনুগ্রহ করে আমার চ্যানেলে সাবস্ক্রাইব করুন। বেল আইকনে ক্লিক করে নোটিফিকেশন চালু করুন, আর এভাবেই আপনি এই নতুন ইভেন্টগুলো সম্পর্কে সবার আগে জানতে পারবেন। আজ আমার সাথে যোগ দেওয়ার জন্য আপনাদের ধন্যবাদ, আজ আমাদের চ্যানেলের লাইভ স্ট্রিমে 300 জনেরও বেশি মানুষ ছিলেন যারা প্রায় দুই ঘণ্টার এই প্রেজেন্টেশনে আমাদের সাথে যোগ দিয়েছিলেন, তবে আমাদের অনেক কিছু কভার করার ছিল। এখন, আমি যখন এটি করছিলাম, আপনি হয়তো লক্ষ্য করেছেন যে আমার কাছে বিভিন্ন রঙের চমৎকার রঙিন বইয়ের একটি স্তূপ রয়েছে। আর হ্যাঁ, রঙগুলো উপভোগ করার জন্য আপনার এগুলোর প্রিন্ট সংস্করণের প্রয়োজন হবে, তবে আপনি আসলে ইবুক হিসেবেও এর বিষয়বস্তু পড়তে পারেন। আর আপনি সেই ইবুকটি আমার শপ antonov.com/shop-এ পেতে পারেন। আপনি এইরকম মগও পেতে পারেন। এবং

যাইহোক, এগুলো সত্যিই চমৎকার মগ। এগুলো বড়, এগুলো ভারী। এগুলো তাপ ধরে রাখে। এগুলো ভাঙা খুব কঠিন। আমি জানি কারণ আমি চেষ্টা করেছি। আমি এগুলো কয়েকবার ফেলে দিয়েছি এবং এগুলোতে প্রচুর কফি ধরে, যা আমাদের সবারই সেই অস্বস্তিকর ছুটির আড্ডাগুলো পার করার জন্য প্রয়োজন হবে। সুতরাং, সোমবার পর্যন্ত, আগামী দুই দিনের জন্য, আমাদের হলিডে সেল চলছে, যা আপনাকে সবকিছুর ওপর 20% ছাড় দিচ্ছে। আপনি যে জিনিসগুলো কিনতে পারেন তার মধ্যে একটি হলো 'আপনার ক্রিপ্টোকারেন্সি বেছে নিন' (choose your cryptocurrency) ওয়ার্কশপ। আর 20% ছাড় সেটিতেও প্রযোজ্য। হলিডে 2020 সেলটি শপে উপলব্ধ রয়েছে, কুপনটি পেতে শপের মূল পৃষ্ঠায় যান antonov.com/shop। এই ভিডিওর নিচে কমেন্ট করতে ভুলবেন না। দেখার জন্য আপনাকে অনেক ধন্যবাদ। আপনাদের সপ্তাহান্ত চমৎকার কাটুক। বিদায় সবাইকে।