আপনার পাসওয়ার্ড এবং সংবেদনশীল ডেটা সুরক্ষিত করার ক্ষেত্রে, সব ধরনের টু-ফ্যাক্টর প্রমাণীকরণ (2FA) পদ্ধতি সমান নয়। অনেক পরিষেবা এখনও এসএমএস-ভিত্তিক 2FA অফার করে, তবে পসোনো এর মতো নিরাপত্তা সচেতন প্ল্যাটফর্মগুলি ওয়েবঅথেন, ইউবিকি এবং টিওটিপি (টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড) এর মতো শক্তিশালী বিকল্পের পক্ষে এটি সম্পূর্ণভাবে এড়িয়ে চলে।

এটি শুধু একটি পছন্দ নয়—এটি উন্নত নিরাপত্তার জন্য একটি প্রয়োজনীয়তা। এসএমএস-ভিত্তিক 2FA এর উল্লেখযোগ্য দুর্বলতা রয়েছে, এবং বাস্তব বিশ্বের আক্রমণ প্রমাণ করেছে যে এটি হ্যাকারদের জন্য একটি সহজ লক্ষ্য। এই ব্লগ পোস্টে, আমরা ব্যাখ্যা করব কেন এসএমএস 2FA দুর্বল এবং এর ত্রুটিগুলি প্রদর্শন করে বাস্তব বিশ্ব আক্রমণগুলির উপর আলোকপাত করব।

🔒 এসএমএস-ভিত্তিক 2FA এর দুর্বলতা

এসএমএস-ভিত্তিক প্রমাণীকরণ একাধিক আক্রমণ পদ্ধতির কাছে দুর্বল, যেমন:

  • সিম সুইচিং – আক্রমণকারীরা মোবাইল ক্যারিয়ারদের প্রতারিত করে ভুক্তভোগীর ফোন নম্বরকে একটি নতুন সিমে স্থানান্তরিত করায়, সব এসএমএস কোড আটকায়।
  • SS7 আক্রমণ – দূর থেকে এসএমএস বার্তা আটকাতে গ্লোবাল সিগনালিং সিস্টেম নং 7 (SS7) প্রটোকলের ত্রুটি শোষণ করে।
  • ফিশিং এবং সামাজিক প্রকৌশল – ব্যবহারকারীদের ফেইক লগইন পেজের মাধ্যমে এসএমএস কোড উদঘাটনে প্রতারিত করা।

এই ঝুঁকিগুলি এসএমএস-ভিত্তিক 2FA কে প্রমাণীকরণের সবচেয়ে দুর্বল ফর্মগুলির মধ্যে একটি করে তোলে।

🛡️ কেন পসোনো শক্তিশালী 2FA ব্যবহার করে

পসোনো নিরাপত্তাকে অগ্রাধিকার দেয় এবং শুধুমাত্র শক্তিশালী 2FA পদ্ধতি সমর্থন করে, যেমন:

  • ওয়েবঅথেন (FIDO2) – জনসাধারণের কি ক্রিপ্টো এবং বায়োমেট্রিক্স বা হার্ডওয়্যার সিকিউরিটি কীগুলি (যেমন, ইউবিকি) ব্যবহার করে।
  • ইউবিকি এবং অন্যান্য সিকিউরিটি কীগুলি – ফিজিক্যাল টোকেন যা প্রামাণীকরণ করতে সরাসরি অ্যাক্সেস প্রয়োজন।
  • টিওটিপি (গুগল অথেন্টিকেটর, অথি, ইত্যাদি) – ডিভাইসে তৈরি এককালিন পাসওয়ার্ড, যা এসএমএসের মাধ্যমে প্রেরণ করা হয় না।

এই পদ্ধতিগুলি উল্লেখযোগ্যভাবে আরও নিরাপদ কারণ সেগুলি ফিশিং-প্রতিরোধী, মোবাইল ক্যারিয়ারগুলির উপর নির্ভর করে না এবং দূরবর্তী টেকওভার ঝুঁকি দূর করে

📢 এসএমএস 2FA এর উপর বাস্তব-জগতের আক্রমণ

কেন পসোনো এসএমএস-ভিত্তিক প্রমাণীকরণ বাস্তবায়ন করতে অস্বীকার করে তা বোঝাতে এখানে এর দুর্বলতাগুলি শোষণকারী বাস্তব-জগতের আক্রমণগুলি রয়েছে:

১. যুক্তরাষ্ট্রের টেলিযোগাযোগ লক্ষ্য করে চীন (SS7 শোষণ ও আরো)

ফেব্রুয়ারি ২০২৪ এ, এফবিআই এবং CISA একটি যৌথ সতর্কতা জারি করে চীনা রাষ্ট্র-স্পন্সর করা হ্যাকারদের বাণিজ্যিক টেলিযোগাযোগ নেটওয়ার্কগুলি লক্ষ্য করে। এই আক্রমণগুলির SS7 প্রোটোকলে থাকা ত্রুটিগুলি শোষণ করা হয়েছে—এসএমএস বার্তা রাউটিং করতে ব্যবহৃত প্রোটোকল। আক্রমণকারী প্রমাণীকরণ বার্তা আটক করতে সক্ষম হয়েছিল, যা পদ্ধতিগত স্তরে এসএমএস 2FA কীভাবে বিপন্ন হতে পারে তা প্রদর্শন করে।

২. টুইটার (এক্স) সিইও জ্যাক ডরসি'র সিম সুইচিং আক্রমণ (২০১৯)

২০১৯ সালে, তখনকার টুইটার সিইও জ্যাক ডরসি, তার অ্যাকাউন্ট সিম সুইচিং আক্রমণের মাধ্যমে ছিনতাই করা হয়েছিল। হ্যাকাররা তার মোবাইল ক্যারিয়ারকে তার ফোন নম্বর তাদের সিম কার্ডে স্থানান্তর করতে রাজি করায়, তাদেরকে 2FA এসএমএস কোড আটকাতে এবং তার টুইটার অ্যাকাউন্টের নিয়ন্ত্রণ নিতে দেওয়া হয়েছিল।

৩. কয়েনবেস সিম সুইচিং আক্রমণ (২০২১) – হাজার হাজার ডলার চুরি

২০২১ সালে, কয়েনবেস প্রকাশ করেছে যে ৬,০০০ এর বেশি গ্রাহকের টাকা চুরি হয়েছে একটি বৃহৎ সিম সুইচিং আক্রমণের কারণে। হ্যাকাররা উপভোক্তাদের পাসওয়ার্ডগুলি পুনরায় সেট করতে আটকানো এসএমএস কোড ব্যবহার করেছে, সম্পূর্ণ অ্যাকাউন্টের নিয়ন্ত্রণ পেয়েছে এবং ক্রিপ্টোকারেন্সি চুরি করেছে।

৪. রেডডিটের ২০১৮ ডেটা লঙ্ঘন – এসএমএস 2FA ব্যর্থ

২০১৮ সালে, রেডডিট একটি ডেটা লঙ্ঘনের শিকার হয়েছিল যেখানে হ্যাকাররা এসএমএস-ভিত্তিক 2FA সক্ষম থাকা সত্ত্বেও কর্মীর অ্যাকাউন্টে প্রবেশ করেছিল। আক্রমণকারীরা প্রমাণীকরণটি বাইপাস করতে আটকানো এসএমএস কোড ব্যবহার করেছিল, যা সংবেদনশীল ব্যবহারকারীর ডেটার উন্মোচন করেছিল।

🚀 2FA এর ভবিষ্যৎ: এসএমএসের বাইরে যান

আপনি যদি এখনও এসএমএস-ভিত্তিক 2FA ব্যবহার করছেন, তাহলে এখনই ওয়েবঅথেন, ইউবিকি, বা টিওটিপি-ভিত্তিক প্রমাণীকরণের মতো একটি শক্তিশালী বিকল্পে পরিবর্তন করুন। পসোনোর সুরক্ষায় প্রতিশ্রুতি মানে এটি এসএমএস ভিত্তিক প্রমাণীকরণ অফার করে আপোষ করবে না।

নিরাপদ থাকতে চান? হার্ডওয়্যার সুরক্ষা কি, টিওটিপি অ্যাপস, অথবা বায়োমেট্রিক প্রমাণীকরণ ব্যবহার করুন—কখনো শুধুমাত্র এসএমএস ভিত্তিক প্রমাণীকরণে নির্ভর করবেন না।

ঠিক পথেই আপনার অ্যাকাউন্টগুলিকে সুরক্ষিত করুন—এসএমএস 2FA ত্যাগ করুন!

দ্বিতীয়-ফ্যাক্টর প্রমাণীকরণ (2FA) সম্পর্কে প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

দ্বৈত-ফ্যাক্টর প্রমাণীকরণ (2FA) কি এবং এটি কেন গুরুত্বপূর্ণ?

দ্বৈত-ফ্যাক্টর প্রমাণীকরণ (2FA) একটি অতিরিক্ত নিরাপত্তা স্তর যা দুটি ফর্মের প্রমাণীকরণ প্রয়োজনের মাধ্যমে কোনো অ্যাকাউন্টে প্রবেশাধিকার প্রদান করে। শুধুমাত্র একটি পাসওয়ার্ড ব্যবহার করার পরিবর্তে, আপনাকে একটি দ্বিতীয় ফ্যাক্টর প্রয়োজন, যেমন:

  • একটি অথেন্টিকেটর অ্যাপ্লিকেশন থেকে এককালীন কোড (টিওটিপি)
  • একটি হার্ডওয়্যার সিকিওরিটি কি (যেমন, ইউবিকি, টাইটান সিকিওরিটি কি)
  • বায়োমেট্রিক প্রমাণীকরণ (আঙুলের ছাপ, মুখের স্বীকৃতি)

এটি অনুমোদিত প্রবেশের ঝুঁকি গুরুত্বপূর্ণভাবে হ্রাস করে, এমনকি যদি আক্রমণকারী আপনার পাসওয়ার্ড পায়।

সবচেয়ে শক্তিশালী 2FA এর ধরনগুলি কি?

সবচেয়ে নিরাপদ দ্বিতীয় ফ্যাক্টর হল যেগুলি ফিশিং-প্রতিরোধী এবং সহজে আটকানো যায় না। এইগুলির মধ্যে অন্তর্ভুক্ত:

  • FIDO2/WebAuthn সিকিওরিটি কি (যেমন, ইউবিকি, টাইটান সিকিওরিটি কি)
  • টিওটিপি-ভিত্তিক প্রমাণীকরণ অ্যাপ্লিকেশন (গুগল অথেন্টিকেটর, অথি, আইগিস)
  • পাসকী (বায়োমেট্রিক্স বা হার্ডওয়্যার সিকিওরিটি কিগুলির মাধ্যমে পাসওয়ার্ডলেস প্রমাণীকরণ)

দুর্বল পদ্ধতি (এড়ানো উচিত):

  • এসএমএস-ভিত্তিক 2FA – সিম সুইচিং আক্রমণ এবং SS7 শোষণের জন্য সংবেদনশীল
  • ইমেইল-ভিত্তিক 2FA – যদি আপনার ইমেইল হ্যাক করা হয় তাহলে বিপন্ন হতে পারে

এসএমএস-ভিত্তিক 2FA কেন অনিরাপদ বিবেচিত হয়?

এসএমএস-ভিত্তিক 2FA বিভিন্ন আক্রমণ পদ্ধতির কাছে দুর্বল, যেমন:

  • সিম সুইচিং আক্রমণ – হ্যাকাররা আপনার মোবাইল ক্যারিয়ারকে প্রতারণা করে আপনার নম্বর তাদের সিমে স্থানান্তর করে, তাদেরকে আপনার 2FA কোড গ্রহণ করতে দেয়।
  • SS7 শোষণ – টেলিকম অবকাঠামোর ত্রুটিগুলি শোষণ করে আক্রমণকারীরা এসএমএস বার্তা আটকায়।
  • ফিশিং আক্রমণ – ভুয়া ওয়েবসাইটগুলি ব্যবহারকারীদের এসএমএস কোড প্রবেশ করাতে প্রতারিত করে, আক্রমণকারীদের লগ ইন করতে দেয়।

🔹 উত্তম বিকল্প: এসএমএস 2FA এর পরিবর্তে হার্ডওয়্যার সিকিওরিটি কি বা টিওটিপি অ্যাপস ব্যবহার করুন।

যদি আমার দ্বিতীয় ফ্যাক্টর (যেমন, ফোন, ইউবিকি) হারিয়ে যায় তাহলে কী ঘটবে?

যদি আপনি আপনার দ্বিতীয় ফ্যাক্টরের অ্যাক্সেস হারান, আপনি আপনার অ্যাকাউন্ট পুনরুদ্ধার করতে পারেন:

  1. ব্যাকআপ কোড ব্যবহার করে – অনেক পরিষেবা যখন 2FA স্থাপন করে তখন এককালিন ব্যাকআপ কোড সরবরাহ করে। সেগুলি নিরাপদে সংরক্ষণ করুন।
  2. বিকল্প ডিভাইস ব্যবহার করে – কিছু অথেন্টিকেটর অ্যাপস একাধিক ডিভাইসে টিওটিপি কোড সংরক্ষণের অনুমতি দেয়।
  3. সমর্থনের সাথে যোগাযোগ করে – কিছু পরিষেবা অ্যাকাউন্ট পুনরুদ্ধার অফার করে, তবে এটি ধীর হতে পারে এবং পরিচয়ের প্রমাণ প্রয়োজন।
  4. দ্বিতীয় হার্ডওয়্যার কি ব্যবহার করে – যদি আপনার পরিষেবা এটি সমর্থন করে, একাধিক সুরক্ষা কি নিবন্ধন করুন (প্রাইমারি + ব্যাকআপ)।

🔹 প্রো টিপ: যদি একটি ব্যর্থ হয় তাহলে সর্বদা অনেক প্রমাণীকরণ পদ্ধতি সেট আপ করুন

হ্যাকাররা কি 2FA বাইপাস করতে পারে?

যদিও 2FA নিরাপত্তা উল্লেখযোগ্যভাবে উন্নত করে, কিছু পদ্ধতি উন্নত আক্রমণ দ্বারা বাইপাস করা যেতে পারে:

🚨 প্রচলিত আক্রমণ পদ্ধতি:

  • ফিশিং আক্রমণ – ভুয়া লগিন পেজ ব্যবহারকারীদের পাসওয়ার্ড এবং 2FA কোড উভয় প্রবেশ করাতে প্রতারণা করে।
  • মিডল অ্যাটাক (MitM) আক্রমণ – অসমর্থিত নেটওয়ার্কগুলির উপর প্রমাণীকরণ টোকেন আতিতে নেওয়া।
  • সিম সুইচিং – আক্রমণকারীর ফোনে এসএমএস কোড পুনর্নির্দেশ।

কিভাবে এটি প্রতিরোধ করা যায়:

  • ফিশিং-প্রতিরোধী প্রমাণীকরণ ব্যবহার করুন (ওয়েবঅথেন, পাসকী, সিকিওরিটি কি)।
  • ডিভাইস-বাউন্ড প্রমাণীকরণ সক্ষম করুন (তাহলে টোকেনগুলি দূর থেকে পুনরায় ব্যবহার করা যাবে না)।
  • সন্দেহজনক লগইন পেজ থেকে সতর্ক থাকুন – শংসাপত্র প্রবেশ করানোর আগে সর্বদা URL যাচাই করুন।
লিখেছেন Sascha Pfeiffer February 12, 2025 তারিখে
Psono ডকুমেন্টেশন

আরও খুঁজছেন?

আমাদের সর্বশেষ artigos هنا দেখুন!