গোলাম রাব্বি 
গেটি ছবি
ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি), ফেডারেল সংস্থা যা সরকারী সংস্থা, মানক সংস্থা এবং ব্যক্তিগত সংস্থাগুলির জন্য প্রযুক্তির মান নির্ধারণ করে, কিছু সবচেয়ে বিরক্তিকর এবং অপ্রয়োজনীয় পাসওয়ার্ডের প্রয়োজনীয়তাগুলিকে নিষিদ্ধ করার প্রস্তাব করেছে৷ প্রধানগুলি হল: বাধ্যতামূলক রিসেট, নির্দিষ্ট অক্ষরের বাধ্যতামূলক বা সীমাবদ্ধ ব্যবহার এবং নিরাপত্তা প্রশ্নগুলির ব্যবহার।
শক্তিশালী পাসওয়ার্ড নির্বাচন করা এবং সেগুলিকে নিরাপদে সংরক্ষণ করা একটি ভাল সাইবার নিরাপত্তা ব্যবস্থার সবচেয়ে চ্যালেঞ্জিং অংশ। নিয়োগকর্তা, ফেডারেল এজেন্সি এবং অনলাইন পরিষেবা প্রদানকারীদের দ্বারা আরোপিত পাসওয়ার্ড নিয়মগুলি মেনে চলা আরও বেশি চ্যালেঞ্জিং৷ প্রায়শই, প্রবিধানগুলি – স্পষ্টতই সুরক্ষা স্বাস্থ্যবিধি উন্নত করার জন্য – আসলে এটিকে দুর্বল করে। এবং এখনও, বেনামী নিয়ম নির্মাতারা যেভাবেই হোক প্রয়োজনীয়তা আরোপ করে।
দয়া করে এই পাগলামি বন্ধ করুন!
গত সপ্তাহে, NIST প্রকাশ করেছে এসপি 800-63-4এর ডিজিটাল পরিচয় নির্দেশিকাগুলির সর্বশেষ সংস্করণ। আনুমানিক 35,000 শব্দের সমন্বয়ে গঠিত এই দস্তাবেজটি সম্পূর্ণরূপে পড়া প্রায় অসম্ভব এবং এটি সম্পূর্ণরূপে বোঝা সমান কঠিন। এটি অনলাইন ডিজিটাল পরিচয় প্রমাণীকরণের জন্য ব্যবহৃত পদ্ধতির বৈধতা নির্ধারণের জন্য প্রযুক্তিগত প্রয়োজনীয়তা এবং সুপারিশকৃত সেরা অনুশীলন উভয়ই নির্ধারণ করে। যে সংস্থাগুলি ফেডারেল সরকারের সাথে অনলাইনে যোগাযোগ করে তাদের মেনে চলতে হবে।
পাসওয়ার্ডের জন্য নিবেদিত একটি বিভাগে সাধারণ নীতিগুলিকে চ্যালেঞ্জ করে এমন অত্যধিক-প্রয়োজনীয় সাধারণ জ্ঞানের অনুশীলনগুলির একটি দুর্দান্ত সাহায্য অন্তর্ভুক্ত। একটি উদাহরণ: নতুন নিয়মগুলি শেষ ব্যবহারকারীদের পর্যায়ক্রমে তাদের পাসওয়ার্ড পরিবর্তন করার প্রয়োজনীয়তাকে বাধা দেয়। এই প্রয়োজনীয়তা কয়েক দশক আগে অস্তিত্বে এসেছিল যখন পাসওয়ার্ড নিরাপত্তা ভালভাবে বোঝা যায় নি, এবং এটি সাধারণ নাম, অভিধানের শব্দ এবং অন্যান্য গোপনীয়তা বেছে নেওয়া সাধারণ ছিল যা সহজেই অনুমান করা যায়।
তারপর থেকে, বেশিরভাগ পরিষেবাগুলিতে এলোমেলোভাবে তৈরি করা অক্ষর বা বাক্যাংশগুলির সমন্বয়ে শক্তিশালী পাসওয়ার্ড ব্যবহার করা প্রয়োজন৷ এমনকি যখন পাসওয়ার্ডগুলি সঠিকভাবে বেছে নেওয়া হয়, তখন সেগুলিকে পর্যায়ক্রমে পরিবর্তন করার প্রয়োজন, সাধারণত প্রতি এক থেকে তিন মাসে, প্রকৃতপক্ষে নিরাপত্তা হ্রাস করতে পারে কারণ অতিরিক্ত বোঝা দুর্বল পাসওয়ার্ডগুলিকে উত্সাহিত করে যেগুলি করা এবং মনে রাখা সহজ৷
আরেকটি প্রয়োজনীয়তা যা প্রায়ই ভালোর চেয়ে বেশি ক্ষতি করে তা হল নির্দিষ্ট অক্ষরের ব্যবহার, যেমন অন্তত একটি সংখ্যা, একটি বিশেষ অক্ষর এবং একটি বড় হাতের এবং ছোট হাতের অক্ষর। যখন পাসওয়ার্ডগুলি খুব দীর্ঘ এবং এলোমেলো হয়, তখন নির্দিষ্ট অক্ষরগুলির ব্যবহার প্রয়োজন বা সীমাবদ্ধ করার কোনও সুবিধা নেই৷ এবং আবার, কম্পোজিশন নিয়ন্ত্রণকারী নিয়মগুলি আসলে লোকেদের দুর্বল পাসকোড বেছে নিতে পারে।
সর্বশেষ NIST নির্দেশিকা এখন বলে যে:
- যাচাইকারী এবং সিএসপি পাসওয়ার্ডের জন্য অন্যান্য কাঠামোর নিয়ম প্রয়োগ করবে না (যেমন, বিভিন্ন ধরনের অক্ষরের মিশ্রণ প্রয়োজন)
- ভেরিফায়ার এবং সিএসপি ব্যবহারকারীদের সময়ে সময়ে পাসওয়ার্ড পরিবর্তন করতে হবে না। যাইহোক, যাচাইকারীকে পাসওয়ার্ড পরিবর্তন করতে বাধ্য করা উচিত যদি এটি পাসওয়ার্ড আপসের প্রমাণ পায়।
(“Verifier” হল সেই সত্তার জন্য আমলাতান্ত্রিক ভাষা যা ধারকের প্রমাণীকরণের প্রমাণপত্র যাচাই করে অ্যাকাউন্ট ধারকের পরিচয় যাচাই করে৷ শংসাপত্র পরিষেবা প্রদানকারীর জন্য সংক্ষেপে, “CSP” হল একটি বিশ্বস্ত সত্ত্বা যা একজন অ্যাকাউন্টধারককে একটি প্রমাণীকরণকারী বা নিবন্ধক প্রদান করে)৷
নির্দেশিকাগুলির পূর্ববর্তী সংস্করণগুলিতে, কিছু নিয়ম “উচিত নয়” শব্দগুলি ব্যবহার করেছে যার অর্থ অনুশীলনটি সেরা অনুশীলন হিসাবে সুপারিশ করা হয় না। বিপরীতে, “অবশ্যই নয়” এর অর্থ হল অনুশীলনটি অবশ্যই সম্মতির জন্য একটি সংস্থা দ্বারা নিষিদ্ধ।
সাম্প্রতিক নথিতে অন্যান্য সাধারণ জ্ঞানের অভ্যাসগুলি অন্তর্ভুক্ত রয়েছে, যার মধ্যে রয়েছে:
- যাচাইকারী এবং সিএসপি করবে পাসওয়ার্ডের দৈর্ঘ্য ন্যূনতম আটটি অক্ষর এবং হতে হবে প্রয়োজন পাসওয়ার্ডের দৈর্ঘ্য ন্যূনতম 15 অক্ষর হতে হবে।
- যাচাইকারী এবং সিএসপি প্রয়োজন কমপক্ষে 64 অক্ষরের সর্বাধিক পাসওয়ার্ড দৈর্ঘ্যের অনুমতি দিন।
- যাচাইকারী এবং সিএসপি প্রয়োজন সমস্ত ASCII মুদ্রণ গ্রহণ করুন [RFC20] পাসওয়ার্ডে অক্ষর এবং স্পেস ব্যবহার করবেন না।
- যাচাইকারী এবং সিএসপি প্রয়োজন ইউনিকোড গ্রহণ করুন [ISO/ISC 10646] পাসওয়ার্ডে অক্ষর। প্রতিটি ইউনিকোড কোড পয়েন্ট করবে পাসওয়ার্ডের দৈর্ঘ্য মূল্যায়ন করার সময় এটি একটি একক অক্ষর হিসাবে গণনা করা হবে।
- যাচাইকারী এবং সিএসপি করা উচিত নয় পাসওয়ার্ডের জন্য অন্যান্য কাঠামোর নিয়ম প্রয়োগ করুন (যেমন, বিভিন্ন ধরনের অক্ষরের মিশ্রণ প্রয়োজন)।
- যাচাইকারী এবং সিএসপি করা উচিত নয় ব্যবহারকারীদের সময়ে সময়ে পাসওয়ার্ড পরিবর্তন করতে হবে। তবে যাচাইকারী ড করবে প্রমাণীকরণকারীর সমঝোতার প্রমাণ থাকলে পরিবর্তন করতে বাধ্য করুন৷
- যাচাইকারী এবং সিএসপি করা উচিত নয় ক্লায়েন্টকে এমন একটি সংকেত সংরক্ষণ করার অনুমতি দিন যা একটি অননুমোদিত দাবিদারের কাছে অ্যাক্সেসযোগ্য।
- যাচাইকারী এবং সিএসপি করা উচিত নয় পাসওয়ার্ড বেছে নেওয়ার সময় গ্রাহকদের জ্ঞান-ভিত্তিক প্রমাণীকরণ (কেবিএ) (উদাহরণস্বরূপ, “আপনার প্রথম পোষা প্রাণীর নাম কী ছিল?”) বা নিরাপত্তা প্রশ্ন ব্যবহার করার জন্য অনুরোধ করুন।
- প্রমাণীকরণকারী করবে জমা দেওয়া সম্পূর্ণ পাসওয়ার্ড যাচাই করুন (অর্থাৎ এটি ছাঁটাই করবেন না)।
সমালোচকরা বছরের পর বছর ধরে অনেক সাধারণভাবে প্রয়োগ করা পাসওয়ার্ড নিয়মের কারণে নির্বুদ্ধিতা এবং ক্ষতির নিন্দা করেছেন। এবং এখনও, ব্যাঙ্ক, অনলাইন পরিষেবা এবং সরকারী সংস্থাগুলি বেশিরভাগ ক্ষেত্রেই তাদের সাথে আটকে আছে। নতুন নির্দেশিকা, যদি তারা চূড়ান্ত হয়ে যায়, তা সর্বজনীনভাবে বাধ্যতামূলক নয়, তবে তারা আজেবাজে কথা দূর করার পক্ষে প্ররোচনামূলক কথা বলতে পারে।
NIST জনসাধারণকে 7 অক্টোবর পূর্ব সময় রাত 11:59 এর মধ্যে [email protected]এ নির্দেশিকা সম্পর্কে মন্তব্য জমা দেওয়ার জন্য আমন্ত্রণ জানিয়েছে৷
