পাসওয়ার্ড নীতি: করণীয়, বর্জনীয়, শ্রেষ্ঠ অনুশীলনসমূহ এবং একটি কপি-পেস্ট টেমপ্লেট

জানুন একটি আধুনিক পাসওয়ার্ড নীতিতে কী থাকা উচিত, কোন পুরনো নিয়মগুলি এড়ানো উচিত এবং আপনার প্রতিষ্ঠানের জন্য একটি ব্যবহারযোগ্য টেমপ্লেট অনুলিপি করুন।

একটি পাসওয়ার্ড নীতি যেন ব্যবহারকারীর জন্য নিরাপদ আচরণকে অপ্রয়োজনীয়ভাবে কঠিন না করে অ্যাকাউন্টকে আপোষ করা কঠিন করে তোলে। শ্রেষ্ঠ নীতিগুলি স্পষ্ট, ব্যবহারিক এবং মানুষের বাস্তব কাজের সঙ্গে সংযুক্ত। এগুলি দীর্ঘ, অনন্য পাসওয়ার্ডকে উৎসাহিত করে, পাসওয়ার্ড ম্যানেজারের ব্যবহার সমর্থন করে, যথাযথ ক্ষেত্রে মাল্টি-ফ্যাক্টর অথেন্টিকেশন বাধ্যতামূলক করে এবং পুরানো নিয়ম মুছে দেয় যেগুলো ব্যবহারকারীদের পূর্বানুমানযোগ্য আচরণের দিকে ঠেলে দেয়।

এই নিবন্ধে একটি আধুনিক পাসওয়ার্ড নীতির করণীয়, বর্জনীয়, এড়ানোর বিষয় এবং আপনার প্রতিষ্ঠানের জন্য মানিয়ে নেওয়ার মতো একটি কপি-পেস্ট টেমপ্লেট ব্যাখ্যা করা হয়েছে।

পাসওয়ার্ড নীতি কী?

একটি পাসওয়ার্ড নীতি হলো নিয়মের একটি সেট, যা নির্ধারণ করে কিভাবে পাসওয়ার্ড তৈরি, সংরক্ষণ, ব্যবহার, শেয়ার, পরিবর্তন এবং নিরাপদ রাখা হবে। এটি কর্মচারী, ঠিকাদার, অ্যাডমিনিস্ট্রেটর, সার্ভিস অ্যাকাউন্ট এবং প্রয়োজনে গ্রাহক পর্যন্ত প্রযোজ্য — ব্যবহৃত সিস্টেমের উপর নির্ভর করে।

একটি ভাল পাসওয়ার্ড নীতি বাস্তবিক প্রশ্নগুলোর উত্তর দেবে:

পাসওয়ার্ড কত বড় হওয়া উচিত?
পাসফ্রেইজ কি অনুমোদিত?
ব্যবহারকারীরা কি পাসওয়ার্ড ম্যানেজার থেকে পাসওয়ার্ড পেস্ট করতে পারবে?
কখন পাসওয়ার্ড পরিবর্তন করতে হবে?
মাল্টি-ফ্যাক্টর অথেন্টিকেশন কি বাধ্যতামূলক?
শেয়ারকৃত ক্রেডেনশিয়াল কিভাবে পরিচালিত হবে?
পাসওয়ার্ড আপোষ বা সন্দেহ হলে কী হবে?

লক্ষ্য হচ্ছে সবচেয়ে জটিল নিয়ম নয়। মূল লক্ষ্য হলো সত্যিকারের ঝুঁকি কমানো।

আধুনিক পাসওয়ার্ড নীতির করণীয়

যথাযথ দৈর্ঘ্য বাধ্যতামূলক করুন

পাসওয়ার্ডের দৈর্ঘ্য অনুমান ও ব্রুট-ফোর্স আক্রমণের বিরুদ্ধে সেরা প্রতিরক্ষা। পুরো প্রতিষ্ঠানের জন্য একটি ন্যূনতম সীমা - স্ট্যান্ডার্ড ব্যবহারকারী, অ্যাডমিন, বিশেষ অ্যাকাউন্টের জন্য আলাদা অবস্থা না রেখে - বোঝা এবং বাস্তবায়ন সহজ। একজন ব্যবহারকারীর জন্য সাধারণত কমপক্ষে ১৬ অক্ষর বাধ্যতামূলক করা উচিত। ব্যবহারকারীরা পাসওয়ার্ড ম্যানেজার বা এলোমেলোভাবে তৈরি পাসফ্রেইজে নির্ভর করলে আরো বড় হলে ভাল।

লম্বা পাসওয়ার্ড ও পাসফ্রেইজের অনুমতি দিন

ব্যবহারকারীরা যেন চাইলে অনেক বেশি অক্ষরের পাসওয়ার্ড ব্যবহার করতে পারে। ১৬ বা ২০ অক্ষরের কম সর্বাধিক সীমা দিয়ে সংকুচিত করবেন না। অন্তত ৬৪ অক্ষর অনুমোদনের সর্বোত্তম; অধিকাংশ সিস্টেম আরও বেশি সহজেই সমর্থন করতে পারে।

দীর্ঘ পাসফ্রেইজের অনুমতি দিন — তবে সাধারণ কোট, গান লিরিকস, কোম্পানি নাম বা অনুমানযোগ্য বাক্য নয়। অনেক এলোমেলো শব্দ জুড়ে গঠিত একটি পাসফ্রেইজ, সাধারণত কম দৈর্ঘ্যের, কৃত্রিমভাবে পরিবর্তিত পাসওয়ার্ড থেকে অনেক শক্তিশালী।

অনন্যতা বাধ্যতামূলক করুন

প্রতিটি অ্যাকাউন্টের জন্য পাসওয়ার্ড অনন্য হতে হবে। একাধিক সাইটে একই পাসওয়ার্ড ব্যবহারই একটি সার্ভিসে ব্রিচ হলে আরেকটিতে একাউন্ট দখলের প্রধান কারণ। পাসওয়ার্ড ম্যানেজারের কারণে এটি ব্যবহারিকভাবে সহজ সহজ হয়।

পাসওয়ার্ড ম্যানেজার ব্যবহারের অনুমতি ও উৎসাহ দিন

নীতিতে স্পষ্ট উল্লেখ করা উচিত—অনুমোদিত পাসওয়ার্ড ম্যানেজার ব্যবহারের অনুমতি ও উৎসাহ দিন। ব্যবহারকারীরা লগইন ফরমে পাসওয়ার্ড পেস্ট করতে, অটোফিল ব্যবহার করতে এবং এলোমেলো পাসওয়ার্ড জেনারেট করতে পারবেন। পেস্টের পথ বন্ধ করলে পাসওয়ার্ড ম্যানেজার ব্যবহারে বাঁধা পড়ে এবং ব্যবহারকারী দুর্বল আচরণে যেতে পারে।

পরিচিত ব্রিচড পাসওয়ার্ড লিস্টের সাথে পাসওয়ার্ড চেক করুন

যেসব পাসওয়ার্ড পরিচিত ব্রিচড লিস্ট, কমন পাসওয়ার্ড, অথবা অর্গানাইজেশনের ডিনাই লিস্টে আছে, সেগুলো বাতিল করুন। এটা ব্যবহারকারীদের কাছে এলোমেলো ক্যারেক্টার, বড় হাতের, সংখ্যা, সিম্বল—এসব যুক্ত করতে বাধ্য করার চেয়ে অনেক বেশি কার্যকর।

টেকনিক্যালি সম্ভব হলে যেখানে সেখানে MFA (Malti-factor authentication) করুন

মাল্টি-ফ্যাক্টর অথেন্টিকেশন (MFA) টেকনিক্যালি সম্ভব হলে অবশ্যই চালু করুন, বিশেষত অ্যাডমিনিস্ট্রেটর, রিমোট অ্যাক্সেস, ক্লাউড, ইমেইল, পাসওয়ার্ড ম্যানেজার, ফাইন্যান্স, এবং গুরুত্বপূর্ন সিস্টেমে। MFA শক্তিশালী পাসওয়ার্ডের বিকল্প নয়, তবে চুরি হওয়া তথ্যের ক্ষতি অনেক কমিয়ে দেয়।

ফিশিং-প্রতিরোধী MFA অগ্রাধিকার দিন—যেমন পাসকি, হার্ডওয়্যার সিকিউরিটি কি, অথবা প্ল্যাটফর্ম অথেন্টিকেটর। অ্যাপ-বেইজড অথেন্টিকেটর এসএমএস-এর থেকে ভালো। অন্য কোনো MFA সুযোগ থাকলে কখনোই এসএমএস-ভিত্তিক MFA ব্যবহার করা উচিত নয়, কারণ ফোন নাম্বার হাইজ্যাক, সিম-সোয়াপ বা অ্যাকাউন্ট-রিকভারি মাধ্যমে অপব্যবহার হতে পারে।

এটা একেবারে তাত্ত্বিক নয়। ২০১৮ সালে, Reddit জানিয়েছিল নিওং ফিশিংয়ের কারণে এসএমএস-ভিত্তিক টু-ফ্যাক্টর অথেন্টিকেশন বাইপাস করে দুর্বৃত্তরা ইন্টার্নাল সিস্টেমে প্রবেশ করে: https://www.reddit.com/r/announcements/comments/93qnm5/wehadasecurityincidenthereswhatyouneed_to/। ২০২১ সালে Coinbase জানিয়েছিল ৬,০০০+ গ্রাহকের ক্রিপ্টোকারেন্সি চুরি হয়েছে SMS একাউন্ট রিকভারি ও চুরি হওয়া ক্রেডেনশিয়াল ব্যবহারে: https://www.reuters.com/technology/coinbase-says-hackers-stole-cryptocurrency-least-6000-customers-2021-10-01/।

আপোষ শনাক্ত হলে সাথে সাথে পাসওয়ার্ড বদলান

যখনই প্রমাণ বা যুক্তিসঙ্গত সন্দেহ থাকে পাসওয়ার্ড আপোষ হয়েছে (যেমন ফিশিং, ডিভাইসে ম্যালওয়্যার, ব্রিচে এক্সপোজার, সন্দেহজনক লগইন অ্যাক্টিভিটি, কাকতালীয় কিছু প্রকাশ), সাথে সাথে পাসওয়ার্ড বদলানো উচিত।

শেয়ারকৃত ক্রেডেনশিয়াল যথাযথভাবে নিরাপদ রাখুন

যেখানে একক অ্যাকাউন্ট তৈরি করা অসম্ভব, কেবল সেসব ক্ষেত্রে শেয়ারকৃত পাসওয়ার্ড, এবং সেক্ষেত্রে অনুমোদিত পাসওয়ার্ড ম্যানেজারে সংরক্ষণ করুন, অ্যাক্সেস অনুমোদিত ব্যবহারকারীর মধ্যে সীমাবদ্ধ রাখুন এবং শেয়ারিং লগ করুন, যেখানে সম্ভাব্য।

পাসওয়ার্ড রিসেট প্রসেস নিরাপদ করুন

পাসওয়ার্ড রিসেট বড়ই দুর্বল পয়েন্ট। সুতরাং, রিসেট ওয়ার্কফ্লো যেন আইডেন্টিটি যাচাই, দ্রুত এক্সপায়ার হওয়া রিসেট লিংক, সিঙ্গল-ইউজ টোকেন এবং পাসওয়ার্ড বদলালে ব্যবহারকারীকে নোটিফাই করে—এটা নিশ্চিত করুন।

আধুনিক পাসওয়ার্ড নীতির বর্জনীয়

কারণ ছাড়া ঘন ঘন বাধ্যতামূলক পাসওয়ার্ড পরিবর্তন করবেন না

মাসে একবার, দু’মাসে একবার ইত্যাদি মত বাধ্যতামূলক বদল ব্যবহারকারীদের ছোটখাট, অনুমানযোগ্য পরিবর্তন করতে (যেমন এক নম্বর যোগ করা, ঋতু পরিবর্তন) উদ্বুদ্ধ করে। NIST–এর ডিজিটাল আইডেন্টিটি গাইডলাইনস নিয়মিত বাধ্যতামূলক পাসওয়ার্ড চেঞ্জ বাদ দিয়েছে—এখন শুধু আপোষ হলে বদলের কথা বলা হচ্ছে। দেখুন 3.1.1.2: https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver। সন্দেহ, ভূমিকা বদল, অ্যাকাউন্ট রিকভারি অথবা নীতিমালার সাথে সামঞ্জস্য না থাকলে পাসওয়ার্ড পরিবর্তন করুন।

কেবলমাত্র কমপ্লেক্সিটি রুলসের উপর নির্ভর করবেন না

"বড়/ছোট হাতের অক্ষর, নম্বর, সিম্বল" — এসব নিয়ম টিকে থাকলেও তা শক্তি নিশ্চিত করে না। Password1! অনেক কমপ্লেক্সিটি রুল পাশ করে, তবুও দুর্বল। মূল্য দিন: দৈর্ঘ্য, অনন্যতা, এলোমেলোতা, ও ব্রিচ চেক।

কপি-পেস্ট ব্লক করবেন না

পেস্ট বন্ধ করলে পাসওয়ার্ড ম্যানেজার ব্যবহার কঠিন হয়। এতে ব্যবহারকারী এমন পাসওয়ার্ড বেছে নেয় যেটা লেখা সহজ। কোনো নির্দিষ্ট, ডকুমেন্টেড নিরাপত্তা কারণ ছাড়া পেস্ট ও অটোফিলের অনুমতি দিন।

পাসওয়ার্ড হিন্ট ব্যবহার করবেন না

পাসওয়ার্ড হিন্ট ব্যবহারকারীর পক্ষে যেমন মনে রাখা সহজ, আক্রমণকারীর পক্ষেও অনুমান সহজ করে। নিরাপদ রিসেট প্রক্রিয়া বেছে নিন।

প্লেইন-টেক্সটে পাসওয়ার্ড সংরক্ষণ করবেন না

কখনোই প্লেইন-টেক্সট বা উল্টানো এনক্রিপশনে পাসওয়ার্ড স্টোর করবেন না। আধুনিক, স্লো, সল্টেড পাসওয়ার্ড হ্যাশিং অ্যালগরিদম ব্যবহার করুন, যেমন: Argon2id, bcrypt, scrypt, অথবা PBKDF2, সিস্টেম ও নিয়ন্ত্রক চাহিদা ভেদে।

দ্রুত হ্যাশ (যেমন MD5, SHA-1, SHA-256, SHA-512) শুধুমাত্র পাসওয়ার্ড হ্যাশিংয়ের জন্য উপযুক্ত নয়—এগুলো সাধারণ ফাইল চেকের জন্য বানানো এবং লীকড ডাটাবেসে আক্রমণকে সহজ করে তোলে। পাসওয়ার্ড হ্যাশিংয়ের বিবর্তন নিবন্ধটি পড়ুন।

পাসওয়ার্ড চ্যাট, ইমেইলে পাঠাবেন না

পাসওয়ার্ড কখনোই ইমেইল, চ্যাট, টিকিট, ডকুমেন্ট, স্ক্রীনশট ইত্যাদিতে শেয়ার করবেন না। নিরাপদ শেয়ারিং ও অ্যাক্সেস কন্ট্রোলসহ পাসওয়ার্ড ম্যানেজার ব্যবহার করুন।

ব্যক্তিগত তথ্য বা অনুমানযোগ্য প্যাটার্ন ব্যবহার করবেন না

নাম, জন্মদিন, কোম্পানি নাম, কিবোর্ড প্যাটার্ন, পুনরাবৃত্ত অক্ষর, অথবা @=a, 0=o–এরকম সাধারণ অদলবদল পাসওয়ার্ডে না রাখুন; এগুলো আক্রমণকারীরা সহজেই পরীক্ষা করে।

প্রতিষ্ঠানের শ্রেষ্ঠ অনুশীলন

স্পষ্ট ন্যূনতম চাহিদা ঠিক করুন

সহজে মনে রাখা যায় এমন নিয়ম দিন:

একটি সংক্ষিপ্ত ন্যূনতম দৈর্ঘ্য, যেমন সবকিছুতে ১৬ অক্ষর মানব ব্যবহারকারীর জন্য
অন্তত ৬৪ অক্ষর সমর্থিত
স্পেস ও সাধারণ চিহ্ন অনুমোদন
পাসফ্রেইজ ও পাসওয়ার্ড ম্যানেজারের অনুমতি
কমন/আপোষ পাসওয়ার্ড প্রত্যাখ্যান

প্রিভিলেজড অ্যাকাউন্ট আলাদাভাবে বিবেচনা করুন

অ্যাডমিন, সার্ভিস অ্যাকাউন্ট, এবং প্রোডাকশন এক্সেসে আলাদা এবং আরও কঠোর নিয়ন্ত্রন দিন—শক্তিশালী পাসওয়ার্ড, MFA, সীমিত অ্যাক্সেস, মনিটরিং, এবং অ্যাক্সেস পরিবর্তনে তাৎক্ষণিক রোটেশন নিশ্চিত করুন।

ভূমিকা-ভিত্তিক অ্যাক্সেস ও ন্যূনতম প্রিভিলেজ নিশ্চিত করুন

শক্তিশালী পাসওয়ার্ড অতিরিক্ত অনুমোদন (Permission) পূরণ করতে পারবে না। ব্যবহারকারীর কেবল তার প্রয়োজনীয় সিস্টেম/সিক্রেট-এ অ্যাক্সেস থাকা উচিত।

সন্দেহজনক কার্যকলাপ মনিটর করুন

অস্বাভাবিক লগইন, অসম্ভব জায়গা, বারবার ব্যর্থ প্রচেষ্টা, নতুন দেশ বা সময়ে চেষ্টা—এসব মনিটরের ব্যবস্থা রাখুন। শুধুমাত্র পাসওয়ার্ড নীতিকে নয়, মনিটরিং ও ইনসিডেন্ট রেসপন্সকেও সমর্থন দিন।

ব্যবহারকারীদের বাস্তব ঝুঁকি নিয়ে প্রশিক্ষণ দিন

প্রশিক্ষণে জোর দিন: পাসওয়ার্ড পুনঃব্যবহার, ফিশিং, ভুয়া লগইন পেজ, MFA ক্লান্তি, নিরাপদ শেয়ারিং ও সন্দেহ হলে কোথায় রিপোর্ট করা যায়—এসব বিষয়ে। ব্যবহারকারীকে অপরাধী না ভেবে, নিরাপদ আচরণ সহজ করুন।

নীতি সংক্ষিপ্ত ও বাস্তবসম্মত রাখুন

নীতি হোক এমন, যা পড়ে ব্যবহারকারী বুঝে মানতে পারে। অতি দীর্ঘ, অস্পষ্ট বা কঠিন নীতি ব্যবহারকারীকেই নিয়মভঙ্গ করতে বাধ্য করে। কার্যকর ও বাস্তব অনুশীলনই শ্রেষ্ঠ।

কপি-পেস্ট পাসওয়ার্ড নীতি টেমপ্লেট

নিচের টেমপ্লেটটি শুরু হিসেবে ব্যবহার করুন। ব্র্যাকেটের জায়গাগুলো আপনার সংগঠন, সিস্টেম, ঝুঁকি এবং আইনগত প্রয়োজন অনুযায়ী বদলান।

পাসওয়ার্ড নীতি

সংস্করণ: [1.0]
স্বত্বাধিকারী: [নিরাপত্তা / আইটি বিভাগ]
কার্যকর তারিখ: [YYYY-MM-DD]
পর্যালোচনা চক্র: [প্রতি ১২ মাসে]

১. উদ্দেশ্য

এই নীতিটি [সংগঠন নাম]-এর জন্য পাসওয়ার্ড তৈরি, ব্যবহার, সংরক্ষণ, শেয়ার ও পরিবর্তনের নিয়ম নির্ধারণ করে। উদ্দেশ্য হলো অননুমোদিত অ্যাক্সেস, ক্রেডেনশিয়াল চুরি, অ্যাকাউন্ট দখল ও ডেটা হারানোর ঝুঁকি কমানো।

২. পরিধি

এই নীতিটি সকল কর্মচারী, ঠিকাদার, অস্থায়ী স্টাফ, সার্ভিস প্রোভাইডার এবং [সংগঠন নাম]–এর যে কোনো সিস্টেম, অ্যাপ, নেটওয়ার্ক, ক্লাউড সার্ভিস বা ডেটা ব্যবহাকারী সবার ক্ষেত্রে প্রযোজ্য।

স্ট্যান্ডার্ড ইউজার, প্রিভিলেজড, সার্ভিস, শেয়ার্ড একাউন্ট ও সব কোথাও যেখানে পাসওয়ার্ড অ‌্যাথেন্টিকেশনের জন্য ব্যবহৃত—এটি প্রযোজ্য।

৩. পাসওয়ার্ড তৈরির নিয়ম

সব পাসওয়ার্ডে নিম্নোক্ত চাহিদা পূরণ হবে:

- মানব-ব্যবহারকারীর জন্য পাসওয়ার্ড কমপক্ষে ১৬ অক্ষরের হবে।
- পাসওয়ার্ড অন্য কোথাও (ব্যক্তিগত/প্রাতিষ্ঠানিক) পুনঃব্যবহারযোগ্য নয় এবং অনন্য।
- পাসওয়ার্ডে নাম, ইউজারনেম, কোম্পানি নাম, জন্মতারিখ, কিবোর্ড প্যাটার্ন, রেপিটেড ক্যারেক্টার, অনুমানযোগ্য কিছু থাকবে না।
- সাধারণ ফ্রেইজ, কোট, গান লিরিক বা অনুমানযোগ্য বিকল্প থাকবে না।
- পাসওয়ার্ড অভ্যস্তভাবে ব্রিচড বা কমন পাসওয়ার্ড লিস্টে থাকলে চলবে না।
- স্পেস, সিম্বল, সংখ্যা, বড় ও ছোট হাতের অক্ষর ব্যবহার করা যাবে।
- পাসফ্রেইজ অনুমতিযুক্ত—যদি তা দীর্ঘ, অনন্য ও অনুমানযোগ্য/সরকারি বাক্য না হয়।

৪. পাসওয়ার্ড ম্যানেজার

[সংগঠন নাম] অনুমোদিত পাসওয়ার্ড ম্যানেজার ব্যবহারে জোর সুপারিশ বা বাধ্যতামূলক করে।

ব্যবহারকারীরা অনুমোদিত পাসওয়ার্ড ম্যানেজারের জেনেরেটর, অটোফিল, কপি-পেস্ট ফাংশন ব্যবহার করতে পারবে। পাসওয়ার্ড ব্রাউজার, স্প্রেডশিট, ডকুমেন্ট, নোট, ইমেইল, চ্যাট, স্ক্রীনশট কিংবা অননুমোদিত টুলে সংরক্ষণ করা যাবে না।

৫. মাল্টি-ফ্যাক্টর অথেন্টিকেশন

যেসব সিস্টেমে টেকনিক্যালি সম্ভব, নিচের ব্যবস্থাসহ সব ক্ষেত্রে MFA বাধ্যতামূলক:

- ইমেইল অ্যাকাউন্ট
- রিমোট অ্যাক্সেস সিস্টেম
- পাসওয়ার্ড ম্যানেজার অ্যাকাউন্ট
- ক্লাউড সার্ভিস
- অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট
- ফাইন্যান্স, HR ও অন্যান্য গুরুত্বপূর্ণ সিস্টেম
- [গোপন/গুরুত্বপূর্ণ] শ্রেণিভুক্ত যেকোনো সিস্টেম

যেখানে পাওয়া যাবে সেখানে ফিশিং-প্রতিরোধী MFA (পাসকি, হার্ডওয়্যার সিকিউরিটি কি বা প্ল্যাটফর্ম অথেন্টিকেটর) ব্যবহার করুন। অ্যাপ-ভিত্তিক অথেন্টিকেটর পছন্দনীয় এবং SMS নিষিদ্ধ—শুধু টেকনিক্যালি অপরিবর্তনীয় হলে SMS ব্যতিক্রম।

৬. পাসওয়ার্ড পরিবর্তন

পাসওয়ার্ড সঙ্গে সঙ্গে পরিবর্তন করতে হবে, যখন:

- পাসওয়ার্ড আপোষ হয়েছে বা সন্দেহ আছে।
- ব্যবহারকারী ফিশিং সাইটে পাসওয়ার্ড দিয়েছেন।
- পাসওয়ার্ড অননুমোদিত ব্যক্তির সাথে শেয়ার করেছেন।
- ডিভাইসে ম্যালওয়্যার বা অননুমোদিত প্রবেশ ধরা পড়েছে।
- পাসওয়ার্ড কোনো ব্রিচেড ডাটায় মিলেছে।
- প্রিভিলেজড ব্যবহারকারীর রোল/চাকরির অবস্থা বদলেছে।
- আইটি/নিরাপত্তা বিভাগ বদলাতে নির্দেশ দিয়েছে।

রুটিন পাসওয়ার্ড এক্সপায়ারেশন শুধু আইন, চুক্তি, বা সিস্টেম বাধ্যবাধকতা থাকলেই প্রয়োজনীয়। পূর্ববর্তী পাসওয়ার্ডের ছোট, অনুমানযোগ্য বদল এড়ান।

৭. পাসওয়ার্ড শেয়ারিং

ইমেইল, চ্যাট, টিকিট, ডকুমেন্ট, স্ক্রীনশট, কল বা মৌখিকভাবে পাসওয়ার্ড শেয়ার করা নিষিদ্ধ।

শেয়ার্ড ক্রেডেনশিয়াল শুধু তখনই, যখন আলাদা অ্যাকাউন্ট সম্ভব নয় বা [নিরাপত্তা/আইটি] অনুমতি দেয়। অনুমোদিত শেয়ার্ড ক্রেডেনশিয়াল অনুমোদিত পাসওয়ার্ড ম্যানেজারে সীমিত অ্যাক্সেসসহ সংরক্ষণ হবে।

৮. প্রিভিলেজড একাউন্ট

প্রিভিলেজড একাউন্টে অনন্য পাসওয়ার্ড—যা কোনো স্ট্যান্ডার্ড ইউজার অ্যাকাউন্টে নেই—ব্যবহার করতে হবে। যেখানে সম্ভব, MFA চলে থাকা আবশ্যক এবং নিয়মিত রিভিউ করতে হবে।

অ্যাডমিন সংগঠন ছাড়লে, রোল বদলালে, বা অ্যাক্সেস দরকার না হলে, বা আপোষ সন্দেহ হলে প্রিভিলিজড পাসওয়ার্ড ঘুরিয়ে ফেলতে হবে।

৯. সার্ভিস ও অ্যাপ্লিকেশন সিক্রেট

সার্ভিস অ্যাকাউন্টের পাসওয়ার্ড, API কি, টোকেন, বা অ্যাপ্লিকেশন সিক্রেট অনুমোদিত সিক্রেট ম্যানেজমেন্ট বা পাসওয়ার্ড ম্যানেজারেই সংরক্ষিত হবে।

সার্ভিস ক্রেডেনশিয়াল সোর্সকোড, কনফিগারেশন, ইমেজ, ডকুমেন্টেশন বা স্ক্রিপ্টে থাকবে না—যদি না অনুমোদিত সিক্রেট ম্যানেজমেন্ট প্রসেসে সুরক্ষিত থাকে।

১০. পাসওয়ার্ড রিসেট ও একাউন্ট পুনরুদ্ধার

ইউজার শনাক্তের পরেই পাসওয়ার্ড রিসেট হবে। রিসেট লিংক/অস্থায়ী পাসওয়ার্ড একবারই কার্যকর, দ্রুত এক্সপায়ার এবং অনুমোদিত চ্যানেলে যাবে।

পাসওয়ার্ড বদলালে/রিসেট হলে ব্যবহারকারীকে জানাতে হবে। অস্থায়ী পাসওয়ার্ড লগইনে প্রথমবার পরিবর্তন করতে হবে।

১১. টেকনিক্যাল কন্ট্রোল

পাসওয়ার্ড ব্যবস্থাপক বা এনক্রিপশন সিস্টেম:

- কখনো প্লেইন টেক্সটে পাসওয়ার্ড রাখবে না।
- অনুমোদিত আধুনিক এবং সল্টেড অ্যালগরিদম (PBKDF2, scrypt, bcrypt, Argon2) দিয়ে হ্যাশ করবে।
- MD5, SHA-1, SHA-256, SHA-512—এগুলোর একক ব্যবহারে পাসওয়ার্ড হ্যাশ করবে না।
- অথেন্টিকেশন এন্ডপয়েন্ট রেট লিমিটিং বা সমতুল্য নিরাপত্তা দিয়ে সুরক্ষিত রাখবে।
- কমন, দুর্বল, বা পরিচিত আপোষ পাসওয়ার্ড প্রত্যাখ্যান করবে।
- ব্যবহারকারী পাসওয়ার্ড ম্যানেজার থেকে পেস্ট করতে পারবে।
- ৬৪ অক্ষর বা এর বেশি দৈর্ঘ্য টেকনিক্যালি সম্ভব হলে গ্রহণযোগ্য হবে।
- যুক্তিযুক্ত অথেন্টিকেশন ইভেন্ট লগ করবে।

১২. সন্দেহজনক আপোষ রিপোর্ট করা

ব্যবহারকারীদের সন্দেহজনক পাসওয়ার্ড আপোষ, ফিশিং, অস্বাভাবিক লগইন, অনৈতিক MFA, বা পাসওয়ার্ড ভুলক্রমে প্রকাশ হলেই [নিরাপত্তা / আইটি যোগাযোগ]–এ তাৎক্ষণিক জানাতে হবে।

১৩. ব্যতিক্রম

এই নীতির কোনও ব্যতিক্রম হলে তা ডকুমেন্টেড, রিস্ক মূল্যায়িত, সময়সীমাবদ্ধ এবং [নিরাপত্তা/আইটি লিডারশিপ] কর্তৃক অনুমোদিত হতে হবে। সম্ভাব্য ক্ষেত্রে বিকল্প নিরাপত্তা ব্যবস্থা গ্রহণ করতে হবে।

১৪. প্রয়োগ

নীতিমালা না মানলে ব্যবহারের অধিকার বাতিল, নিরাপত্তা প্রশিক্ষণ, অনুশাসনমূলক ব্যবস্থা, বা [সংগঠন নাম]-এর নীতিমালা ও প্রযোজ্য আইনের সাথে সামঞ্জস্যপূর্ণ ব্যবস্থা নেওয়া হবে।

১৫. পর্যালোচনা

প্রতি বছর বা গুরুত্বপূর্ণ পরিবর্তন (সিস্টেম, ঝুঁকি, আইন বা ব্যবসায়িক উদ্দেশ্যে) হলে এই নীতিমালা পর্যালোচনা করতে হবে।

শেষ কথা

একটি শক্তিশালী পাসওয়ার্ড নীতি মানে ব্যবহারকারীদের দুর্ভোগ বাড়ানো নয়। মূল কথা—দুর্বল অভ্যাস এড়ানো, পাসওয়ার্ড ম্যানেজারকে সমর্থন, MFA ব্যবহারে উৎসাহ, এবং দ্রুত প্রতিক্রিয়া—যখনই ক্রেডেনশিয়াল এক্সপোজড হয়। নীতি যতো বাস্তব, কার্যকর ও সত্যিকারের আক্রমণের (যেমন ফিশিং, ক্রেডেনশিয়াল স্টাফিং, পুনঃব্যবহার, আপোষ অ্যাকাউন্ট) উপর ভিত্তি করে বানাবেন, ততোই নিরাপদ হবেন।

লিখেছেন Sascha Pfeiffer May 07, 2026 তারিখে

আরও খুঁজছেন?

আমাদের সর্বশেষ artigos هنا দেখুন!