হোম
+
“যতক্ষণ পাসওয়ার্ডের বদলে অন্য পদ্ধতি ব্যবহার করা ওয়েবসাইটের সংখ্যা না বাড়বে, ততক্ষণ পর্যন্ত পাসওয়ার্ড থাকছেই। এটা ডিম আগে না মুরগী আগের মতই একটা সমস্যা।”
Published : 23 May 2023, 04:50 PM
সবসময় বড় ও শক্তিশালী পাসওয়ার্ড দেওয়ার পরামর্শ দেন সাইবার সিকিউরিটি বিশেষজ্ঞরা। তার কারণটা এবার চোখে আঙুল দিয়ে দেখিয়ে দিলো কয়েকটি গবেষণায় পাওয়া ফলাফল।
কৃত্রিম বুদ্ধিমত্তা প্রযুক্তি ব্যবহার করে নিমিষেই, কিছু কিছু ক্ষেত্রে কয়েক মিনিটের মধ্যে চার থেকে সাত অক্ষরের পাসওয়ার্ড ভেঙে দেখিয়েছেন হোম সিকিউরিটি ইনফরমেশন অ্যান্ড রিভিউ নামে এক ওয়েবসাইটের কর্মীরা। সংখ্যা, ছোট হাতের বড় হাতের বর্ণে মিশ্র পাসওয়ার্ডও ছিলো নমুনাগুলোর মধ্যে।
‘পাসগান’ নামের (PassGAN পাসওয়ার্ড জেনারেটিভ অ্যাডভারসারিয়াল নেটওয়ার্ক) এআই-ভিত্তিক পাসওয়ার্ড ক্র্যাকারে এক কোটি ৫৬ লাখ প্রচলিত পাসওয়ার্ড দিয়ে এদের মধ্যে শতকরা ৫১ শতাংশ এক মিনিটের মধ্যেই ভেঙ্গে ফেলা সম্ভব বলে দেখান সাইটটির গবেষকরা।
তবে, বড় শক্তিশালী পাসওয়ার্ড ভাঙ্গতে বর্তমান এআই প্রযুক্তিটির বেগ পেতে হয়েছে। শুধু সংখ্যা আছে এমন ১৮ ডিজিটের পাসওয়ার্ড ভাঙ্গতে পাসগানের সময় লেগেছে ১০ মাস। সংখ্যা, ছোট হাতের বড় হাতের বর্ণে মিশ্র একই দৈর্ঘ্যের কোনো পাসওয়ার্ড ভাঙ্গতে প্রযুক্তিটির লাগবে এক কুইটিলিয়ন (১০০০০০০০০০০০০০০০০০০) বছর লাগবে, এমনটাই প্রকাশিত হয়েছে টেক নিউজ ওয়ার্ল্ড ডটকম-এর খবরে।
“এআই অ্যালগরিদমগুলো তথ্য সংগ্রহের জন্য কোটি কোটি বার নিজেদেরকে এ/বি টেস্টিং (অনেকগুলো নমুনা থেকে সবচেয়ে কার্যকরটি বের করার এক ধরনের পরিসংখ্যানগত পদ্ধতি) করতে থাকে, মাইক্রোচিপের মাধ্যমে মানুষের জ্ঞানের মতোই কিছু একটা উৎপন্ন হয় কিন্তু মানুষের মস্তিস্কের চাইতেও এক লাখ গুন গতিতে।” এমনটাই বলছিলেন পরিচয় যাচাইকরণ ও বায়োমেট্রিক নিশ্চিতকরণ সম্পর্কিত আন্তর্জাতিক কোম্পানি ইনকোড টেকনোলজিসের নির্বাহী ভাইস প্রেসিডেন্ট ডোমিংগো গুয়েরা।
প্রচলিত ‘ব্রুট ফোর্স অ্যালগরিদম’ (সমস্যা সমাধানের সব ধাপ অনুসরণ করার একটি দীর্ঘ পদ্ধতি) এর তুলনায় এআই তাকে ট্রেনিং দেওয়ার সময়ে তার মধ্যে তৈরি হওয়া প্রবণতা অনুসরণ করে পাসওয়ার্ডের পরবর্তী সম্ভাব্য অক্ষরটি অনুমান করে” বলেছেন ডোমিংগো।
পাবলিক ডোমেইনে থাকা ডেটায় প্রশিক্ষিত এআই প্রযুক্তি, পাসওয়ার্ড ভাঙ্গতে সাধারণ ভাবে ব্রুট ফোর্সিং পদ্ধতি প্রয়োগের বদলে ‘রেইনবো টেবল অ্যাটাক’ প্রয়োগ করে। বলেছেন ট্রেন্ড মাইক্রো কোম্পানির ‘জিরো ডে ইনিশিয়েটিভ’-এর ঝুঁকি সচেতনতা বিভাগের প্রধান ডাসটিন চাইল্ডস। জিরো ডে ইনিশিয়েটিভ হচ্ছে কোনো সাইবার ঝুঁকি উদঘাটন করে কালোবাজারে বিক্রির বদলে জনস্মমুখে প্রকাশ করার কারণে পুরস্কার দেওয়ার উদ্যোগ।
হ্যাকাররা পাসওয়ার্ডকে প্লেইন টেক্সটে রূপান্তর করতে রেইনবো টেবল ব্যবহার করে থাকে।
তিনি আরো বলেন, “রেইনবো টেবল এআইকে হ্যাশড পাসওয়ার্ড ব্যাবহার করে সহজতর উপায়ে সার্চ করার সুবিধা দেয়, যার তুলনায় ব্রুট ফোর্স অনেক ধীর গতির অ্যালগরিদম।”
“রেইনবো টেবল অ্যাটাক কয়েক বছর ধরেই স্বীকৃত, এবং ইতোমধ্যেই ১৪ অক্ষরের পাসওয়ার্ড পাঁচ মিনিটের মধ্যেই ভেঙ্গে দেখিয়েছে।” তিনি আরো যোগ করেন “এমডি৫ ও এসএইচ-১ এর মতো পুরনো হ্যাশ অ্যালগরিদম কে রেইনবো টেবল দিয়ে ভাঙ্গা সহজ।
বেশিরভাগ হ্যাকিংয়ে প্রথমে হ্যাশ করা পাসওয়ার্ডটি খুঁজে বের করা হয়, তারপর এর প্রতিরূপ তৈরি করা হয়, এভাবেই ব্যাখ্যা করছিলেন বেডফোর্ড ভিত্তিক সাইবার সিকিরিটি কোম্পানি ‘আরএসএ’ এর প্রধান ইনফরমেশন সিকিউরিটি অফিসার রবার্ট হিউজ।
“তত্ত্বিকভাবে এআই কোনো বিষয়ে প্রচুর জানতে পারে এবং স্মার্টভাবে সেটাকে উপস্থাপন করতে পারে, কিন্তু বাস্তবে দেখা গেছে সবসময় এমনটা ঘটে না।”
“সিকিউরিটি বিশেষজ্ঞরা বেশ কয়েকবছর ধরেই ব্রুট ফোর্স ও রেইনবো টেবল নিয়ে প্রতিদ্বন্দিতা করে আসছেন” তিনি বলেন “আসলে দুষ্কৃতিকারীদের তুলনায় পাসগান অতটাও আহামরি কিছু হয় নি।”
ফ্লোরিডার ক্লিনওয়াটার ভিত্তিক নোবি৪ এ একজন সাইবার স্বেচ্ছাসেবক রজার গ্রিমস এআই’র পাসওয়ার্ড ভাঙ্গার গতিতে সন্তুষ্ট নন, তিনি মনে করেন এআই এর গতি প্রচলিত পদ্ধতিকে উৎরে যেতে পারেনি।
“প্রচলিত পদ্ধতির চেয়ে দ্রুতগতিতে পাসওয়ার্ড ভাঙ্গতে সম্ভবত এআইনির্ভর প্রযুক্তি এখনো পারে এবং নিশ্চিত ভাবেই আগামীতে পারবে। কিন্তু কেউ এখনপর্যন্ত ‘অনুমান নির্ভর’ প্রচলিত পদ্ধতির চেয়ে দ্রুতগাতিতে ভেঙ্গে নিশ্চিত ভাবে প্রমাণ করে দেখাতে পারেনি।”
“বেশিরভাগ মানুষ পাসওয়ার্ড ম্যানেজার ব্যবহার করেন, যা গ্রাহকদের জন্য একদমই আনকোরা পাসওয়ার্ড তৈরি করে। (পাবলিক ডোমেইনে নেই) এ ধরনের অপ্রচলিত অক্ষরগুচ্ছ দিয়ে তৈরি এমন পাসওয়ার্ড ভাঙ্গতে পাসওয়ার্ড ক্র্যাকিং এর তুলনায় এআই এর বাড়তি সুবিধা শূন্য” বলেন তিনি।
সাইবার বিশেষজ্ঞরা এআই প্রযুক্তি দিয়ে পাসওয়ার্ড ভাঙ্গার কিছু সীমাবদ্ধার কথা বলেছেন। ডাসটিন চাইল্ড বলেন “বড় ও জটিলতর পাসওয়ার্ডগুলো এআই দিয়ে ভাঙ্গতেও প্রচুর সময় লাগবে।”
নিউ ইয়র্কের রচেস্টারভিত্তিক ‘টোকেন’ পরিধানযোগ্য বায়োমেট্রিক রিং তৈরি করে। কোম্পানিটির সিইও জন গান বলেন, বড় দৈর্ঘ্যের পাসওয়ার্ড অনুমান করা আর সেগুলোকে সফলভাবে প্রয়োগ করতে পারার মধ্যে ব্যাপক ফারাক রয়েছে।
“বেশিরভাগ অ্যাপেই হ্যাকারদের দূরে রাখার জন্য একটা নির্দিষ্ট সংখকবারের বেশি পাসওয়ার্ড দেওয়ার চেষ্টা করা যায় না, এর চাইতে বেশিবার চেষ্টা করলে অ্যাপটি লক হয়ে যাবে, এআই-এর বেলাতেও একই নিয়ম।”
যদি পাসওয়ার্ড ব্যবহারের নিয়মই উঠে যায়, তাহলে তো আর কারো এআই দ্বারা পাসওয়ার্ড হ্যাকিং এর ভয় থাকত না। বছর বছর পাসওয়ার্ড বিলুপ্ত হওয়ার যে ভবিষ্যতবাণী শোনা যায় তা সহসাই ঘটছে না। অন্তত নিকট ভবিষ্যতে তো নয়ই।
পাসওয়ার্ড ব্যবস্থাপনা ও অনলাইন সংরক্ষণে শিকাগোভিত্তিক কোম্পানি ‘কিপার সিকিউরিটি’র সিইও ড্যারেন গুসিওন বলেছেন “দীর্ঘ পাসওয়ার্ড মুখস্থ রাখা এবং সেগুলোকে নির্ভুল ভাবে টাইপ করার যে বিপত্তি সেটা দূর করতে আমরা দীর্ঘদিন ধরে কাজ করে যাচ্ছি।
“কয়েকশো কোটি ডিভাইস এবং এদের সঙ্গে সংশ্লিষ্ট সিস্টেম ইতোমধ্যে পাসওয়ার্ডভিত্তিক প্রযুক্তির উপর নির্ভরশীল। দৃশ্যমান নিকট ভবিষ্যতে পাসওয়ার্ড বিলুপ্তির লক্ষণ দেখা যাচ্ছে না।” বলেছেন তিনি। “আমরা কেবল আরও শক্তিশালী নিরাপত্তা প্রয়োগ করতে পারি।”
১৯৮০’র দশকের শেষ ভাগ থেকে পাসওয়ার্ড পদ্ধতির বিলুপ্তি নিয়ে প্রচুর শোরগোল চলছে এবং “এ নিয়ে হাজার হাজার আর্টিকল লেখা হয়েছে, কিন্তু এখনো পাসওয়ার্ডের ব্যবহার চলছে।” বলেছেন রজার গ্রিমস।
পাসওয়ার্ড ছাড়া পরিচয় যাচাইকরণের অন্য সব পদ্ধতি এক এক করলেও পৃথিবীর দুই শতাংশ ওয়েবসাইট ও সেবা চালানো যাবে না।” তিনি আরো বলেন “সেসব কে বহুলাংশে ব্যবহার করা যাবে না, সেটা আসলেই একটি সংকট।”
“তবে এখন পাসওয়ার্ড ভিন্ন অন্য পরিচয় যাচাইকরণ পদ্ধতি ব্যবহার করেন এমন ব্যবহারকারীর শতকরা হার অতীতের যে কোনো সময়ের চেয়ে বেশি।” যোগ করেন তিনি।
“কিন্তু যতক্ষণ পাসওয়ার্ড ছাড়া অন্য পদ্ধতির ওয়েবসাইটের সংখ্যা দুই শতাংশ থেকে বাড়বে না, ততক্ষণ পর্যন্ত পাসওয়ার্ড থাকছেই। এটা ডিম আগে না মুরগী আগের মতই একটা সমস্যা।”
হিউজ স্বীকার করেন যে ব্যবহারকারী ও সেবাদানকারীদের মধ্যে পাসওয়ার্ডের প্রতি আস্থা দিন দিন কমছে। আগামীতে ধীরে ধীরে পাসওয়ার্ড ব্যবহার কমলেও যে সব পরিস্থিতিতে এর ব্যবহার জরুরী এবং যে সকল কোম্পানি এই মুহূর্তেই অন্য পদ্ধতি আনতে পারবে না সেসব জায়গায় পাসওয়ার্ড ব্যবহার করতেই হবে। তবে বেশিরভাগ কোম্পানির জন্য অন্য নিরাপত্তা মাধ্যমে যেতে কয়েকবছর লেগে যাবে।
