নতুন নিরাপত্তা প্রতিবেদন

পাসওয়ার্ড পুনঃব্যবহার করা অত্যন্ত সমস্যাপ্রদ। এটা দুঃখজনক যে মানুষ তাদের অ্যাকাউন্ট এবং ডেটার সাথে যুক্ত ঝুঁকির বিষয়ে জানে না। আক্রমণকারীরা পূর্ববর্তী ডাটা লঙ্ঘন থেকে ইমেইল ঠিকানা এবং পাসওয়ার্ডগুলি ব্যবহার করে এবং অন্যান্য ওয়েবসাইটে প্রবেশ করার চেষ্টা করে। র‌্যান্ডম পাসওয়ার্ড তৈরি করার পাসওয়ার্ড ম্যানেজারগুলি এই ধরনের আক্রমণগুলোর বিরুদ্ধে একটি নিখুঁত প্রতিরোধমূলক ব্যবস্থা, প্রতিটি ওয়েবসাইটের জন্য র‌্যান্ডম পাসওয়ার্ড তৈরি করে। কিন্তু পুরনো পাসওয়ার্ডগুলোর কী হবে? আমরা ঠিক একটি নতুন ফিচার প্রকাশ করেছি, যা ব্যবহারকারীদের তাদের পাসওয়ার্ডগুলি বিশাল একটি ডাটাবেসের সাথে haveibeenpwned.com এর সাহায্যে যাচাই করতে দেয়। আমাদের নতুন এই টুল দিয়ে প্রায় ৫ বিলিয়ন অ্যাকাউন্ট নিয়ে পাসওয়ার্ড যাচাই করা সম্ভব।

haveibeenpwned.com কে ধন্যবাদ!

Pwned Passwords পরিষেবা ২০১৭ সালের আগস্টে তৈরি করা হয়েছিল যখন NIST নির্দেশিকা প্রকাশ করে বিশেষভাবে পরামর্শ দেয় যে ব্যবহারকারী-প্রদত্ত পাসওয়ার্ডগুলো বিদ্যমান ডাটা লঙ্ঘনের সাথে যাচাই করা উচিত। এই পরামর্শের যুক্তি এবং এই ডেটাকে কিভাবে অ্যাপ্লিকেশনগুলো ব্যবহার করতে পারে তার পরামর্শ বিস্তারিতভাবে ব্লগ পোস্ট Introducing 306 Million Freely Downloadable Pwned Passwords তে বর্ণনা করা হয়েছে। ২০১৮ সালের ফেব্রুয়ারিতে, সেবার দ্বিতীয় সংস্করণটি প্রকাশ করা হয়েছিল যেখানে অর্ধ বিলিয়নেরও বেশি পাসওয়ার্ড ছিল, প্রতিটি কেমন বার প্রকাশিত হয়েছে তার সংখ্যাসহ।

(উৎস: https://haveibeenpwned.com/Passwords)

নিরাপত্তা প্রতিবেদন কার্যক্রমে!

একটি ছোট ভিডিও দেখাচ্ছে কিভাবে এটি কাজ করে তার একটি ভাল অনুভূতি পাবেন। API বিশ্লেষণের অগ্রগতিটি দেখায়। যেহেতু এটি একটি বিনামূল্যের পরিষেবা, আমরা স্রোত নিয়ন্ত্রণকে সম্মান জানাই এবং কোনো ক্ষতি করতে চাই না, তাই অনুরোধগুলি প্রতি ১.৫ সেকেন্ডে একটি অনুরোধের মধ্যে সীমাবদ্ধ।

নিরাপত্তা প্রতিবেদন বৈশিষ্ট্য

• জটিলতা: সমস্ত এন্ট্রি তাদের জটিলতার জন্য পরীক্ষা করা হয়
• ডুপ্লিকেট: পাওয়া গেলে প্রতিটি ডুপ্লিকেট চিহ্নিত করা হয়
• বয়স: লোকজনের নিয়মিত পাসওয়ার্ড পরিবর্তন করা উচিত
• লঙ্ঘন: পাসওয়ার্ডগুলি এড়িয়ে চলা উচিত যা ইতিমধ্যে লঙ্ঘিত হয়েছে

পটভূমিতে

প্রথম ধাপে আপনার পাসওয়ার্ড ধারণকারী সমস্ত সিক্রেট সার্ভার থেকে ডাউনলোড করা হয়। দ্বিতীয় ধাপে প্রতিটি সিক্রেট আপনার ব্রাউজারে ডিক্রিপ্ট করা হয় আগে একটি sha1 হ্যাশ তৈরি হয়। Sha1 হ্যাশগুলি ১৬০ বিট লম্বা (হেক্সে ৪০ অক্ষর)। Sha1 হ্যাশটি একটি প্রিফিক্স (৫ হেক্স অক্ষর) এবং একটি সাফিক্স (৩৫ হেক্স অক্ষর) এ বিভক্ত করা হয়। প্রিফিক্সটি haveibeenpwned.com API-তে পাঠানো হয় যা তার ডাটাবেস পরীক্ষা করে এবং একটি সাফিক্সের তালিকা ফিরিয়ে দেয়। ক্লায়েন্টটি প্রাপ্ত তালিকার সাথে পাসওয়ার্ডের সাফিক্সটি তুলনা করবে এবং পাসওয়ার্ডটিকে লঙ্ঘিত হিসাবে চিহ্নিত করবে। এটি পাসওয়ার্ড ডাটাবেস অনুসন্ধানের কার্যকর উপায়, আসল পাসওয়ার্ড (বা দুর্বল ডেরিভেটিভ) পাঠানো ছাড়াই, এবং এটি k-anonymization নামে পরিচিত।