ওটিপি কোডের 'গোপন' উন্মোচন

আজকের ডিজিটাল জীবনে OTP একটি পরিচিত উপাদান, ব্যাংকিং লেনদেন থেকে শুরু করে সোশ্যাল নেটওয়ার্ক অ্যাকাউন্টগুলি সুরক্ষিত করা পর্যন্ত। খুব কম লোকই জানেন যে এই ক্ষণস্থায়ী সংখ্যার সিরিজটি একটি জটিল এনক্রিপশন প্রক্রিয়া ব্যবহার করে তৈরি করা হয়েছে, যা রিয়েল-টাইম, গোপন কী এবং স্ট্যান্ডার্ড অ্যালগরিদমকে একত্রিত করে।

OTP কীভাবে কাজ করে তা বোঝা ব্যবহারকারীদের মানসিক প্রশান্তি দেয় এবং বর্তমান সময়ের সবচেয়ে জনপ্রিয় নিরাপত্তা পদ্ধতিগুলির মধ্যে একটি সম্পর্কে স্পষ্ট ধারণা দেয়।

ওটিপি 'ওয়াল'

OTP এর অর্থ হল ওয়ান টাইম পাসওয়ার্ড, যার অর্থ এমন একটি পাসওয়ার্ড যা শুধুমাত্র একবার ব্যবহার করা যায়। এই কোডটি সাধারণত 6 সংখ্যার হয়, এলোমেলোভাবে তৈরি হয় এবং ব্যাংক স্থানান্তর, সামাজিক নেটওয়ার্ক লগইন বা অ্যাকাউন্ট প্রমাণীকরণের মতো ক্রিয়াকলাপে প্রদর্শিত হয়।

OTP-কে বিশেষ করে তোলে এর অত্যন্ত সংক্ষিপ্ত মেয়াদ, মাত্র 30 থেকে 60 সেকেন্ড। এই সময়ের পরে, কোডটির মেয়াদ শেষ হয়ে যাবে এবং ব্যবহার না করা হলে পুনরায় তৈরি করতে হবে। এটি খারাপ লোকদের দ্বারা পুরানো কোডগুলির সুবিধা নেওয়ার বা পুনঃব্যবহারের ঝুঁকি কমাতে সাহায্য করে।

ভিয়েতনামের অনেক ব্যাংক এখন অনলাইন লেনদেন নিশ্চিত করার জন্য OTP ব্যবহার করে। ব্যবহারকারীরা তাদের ফোনে একটি কোড পাবেন এবং নির্ধারিত সময়ের মধ্যে এটি সঠিকভাবে প্রবেশ করতে হবে। একইভাবে, গুগল এবং ফেসবুকের মতো প্ল্যাটফর্মগুলিও তাদের অ্যাকাউন্টগুলি সুরক্ষিত করার জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণে OTP ব্যবহার করে।

সহজ এবং ক্ষণস্থায়ী চেহারা সত্ত্বেও, OTP আজ উপলব্ধ সবচেয়ে কার্যকর সুরক্ষাগুলির মধ্যে একটি। এই কোডের সংক্ষিপ্ততা এলোমেলো নয়, বরং সময় এবং অনন্য এনক্রিপশন নীতির উপর ভিত্তি করে একটি কঠোর কোড জেনারেশন সিস্টেম দ্বারা নিয়ন্ত্রিত হয়।

একটা কোড, একটা ব্যবহার: এটা কোথা থেকে এসেছে?

আজকের বেশিরভাগ OTP কোড TOTP মেকানিজম ব্যবহার করে তৈরি করা হয়, যার অর্থ টাইম-ভিত্তিক ওয়ান টাইম পাসওয়ার্ড। এটি একটি রিয়েল-টাইম কোড যা সাধারণত প্রায় 30 সেকেন্ড স্থায়ী হয় এবং তারপরে একটি নতুন কোড দ্বারা প্রতিস্থাপিত হয়।

TOTP ছাড়াও, HOTP নামে আরেকটি প্রক্রিয়া রয়েছে, যা টাইমারের পরিবর্তে একটি কাউন্টার ব্যবহার করে। তবে, HOTP কম জনপ্রিয় কারণ নির্দিষ্ট সময়ের পরে কোডটি স্বয়ংক্রিয়ভাবে মেয়াদ শেষ হয় না।

প্রতিটি OTP কোড তৈরি করতে, সিস্টেমের দুটি বিষয়ের প্রয়োজন: প্রতিটি অ্যাকাউন্টে নির্ধারিত একটি নির্দিষ্ট গোপন কী এবং সিস্টেম ঘড়ি অনুসারে বর্তমান সময়। প্রতি 30 সেকেন্ডে, সময়কে সমান অংশে ভাগ করা হবে এবং গোপন কী-এর সাথে একত্রিত করে একটি নতুন কোড তৈরি করা হবে। এর ফলে, আপনি যেখানেই প্রমাণীকরণ অ্যাপ্লিকেশন ব্যবহার করুন না কেন, যতক্ষণ ডিভাইসের সময় সার্ভারের সাথে মিলে যায়, ততক্ষণ OTP কোডটি সঠিক থাকবে।

প্রতিটি ৩০-সেকেন্ডের সময়কালকে "সময়ের সময়" হিসেবে বিবেচনা করা হয়। যখন সময়টি পরবর্তী উইন্ডোতে স্থানান্তরিত হয়, তখন একটি নতুন কোড তৈরি হবে। পুরানো কোডটি, যদিও মুছে ফেলা হয়নি, স্বয়ংক্রিয়ভাবে অবৈধ হয়ে যাবে কারণ এটি আর বর্তমান সময়ের সাথে মেলে না। এই প্রক্রিয়াটি প্রতিটি OTP কোডকে শুধুমাত্র সঠিক সময়ে ব্যবহারযোগ্য করে তোলে এবং কয়েক ডজন সেকেন্ড পরে পুনরায় ব্যবহার করা যায় না।

  কোড জেনারেশন প্রক্রিয়াটি আন্তর্জাতিক মান RFC 6238 অনুসরণ করে, এনক্রিপশনের জন্য HMAC SHA1 অ্যালগরিদম ব্যবহার করে। যদিও এটি মাত্র 6 সংখ্যা তৈরি করে, সিস্টেমটি এত জটিল যে অনুমান করা প্রায় অসম্ভব করে তোলে। প্রতিটি ব্যবহারকারীর একটি ব্যক্তিগত কী থাকে এবং কোড জেনারেশনের সময়ও আলাদা, তাই ডুপ্লিকেট কোডের সম্ভাবনা প্রায় শূন্য।

একটি মজার বিষয় হলো, গুগল অথেন্টিকেটর বা মাইক্রোসফট অথেন্টিকেটরের মতো অ্যাপ্লিকেশনগুলি ইন্টারনেট বা ফোন সিগন্যালের প্রয়োজন ছাড়াই OTP কোড তৈরি করতে পারে। প্রাথমিক গোপন কী দেওয়ার পর, অ্যাপ্লিকেশনটিকে স্বাধীনভাবে কাজ করার জন্য শুধুমাত্র সঠিক সময় সিঙ্ক্রোনাইজ করতে হবে। এটি প্রমাণীকরণ প্রক্রিয়ার সময় নিরাপত্তা নিশ্চিত করার সাথে সাথে নমনীয়তা বৃদ্ধি করতে সাহায্য করে।

OTP কোডের ঝুঁকি এবং কীভাবে নিজেকে রক্ষা করবেন

ওটিপি সুরক্ষার একটি কার্যকর স্তর কিন্তু একেবারে নিরাপদ নয়। সাম্প্রতিক অনেক কেলেঙ্কারিতে, খারাপ লোকদের উচ্চ প্রযুক্তি ব্যবহার করে আক্রমণ করার প্রয়োজন হয়নি, বরং কেবল ভুক্তভোগীকে নিজেরাই ওটিপি কোড প্রদান করতে হয়েছিল।

ব্যাংক কর্মীদের কাছ থেকে আসা ভুয়া কল, ভুয়া লগইন লিঙ্ক বা জেতার বিজ্ঞপ্তি - সবই বৈধতার সময়ের মধ্যে OTP কোড পাওয়ার লক্ষ্যে।

কিছু ম্যালওয়্যার নীরবে OTP সম্বলিত বার্তাগুলি পড়তে পারে যদি ব্যবহারকারী কোনও অজানা অ্যাপ্লিকেশনকে অনুমতি দিয়ে থাকেন। এই কারণেই ক্রমবর্ধমান সংখ্যক পরিষেবা টেক্সট বার্তার মাধ্যমে পাঠানোর পরিবর্তে নিজস্ব কোড তৈরি করে এমন অ্যাপ্লিকেশন ব্যবহার করছে। এইভাবে, কোডগুলি মোবাইল নেটওয়ার্কের উপর নির্ভরশীল থাকে না এবং হস্তক্ষেপ করা আরও কঠিন হয়।

আপনার অ্যাকাউন্ট সুরক্ষিত রাখার জন্য, আপনার কখনই আপনার OTP কারো সাথে শেয়ার করা উচিত নয়। যদি আপনি কোনও অস্বাভাবিক কল, টেক্সট মেসেজ, বা লিঙ্ক পেয়ে থাকেন যেখানে কোড চাওয়া হচ্ছে, তাহলে থামুন এবং সাবধানে তা পরীক্ষা করে দেখুন। Google Authenticator বা Microsoft Authenticator এর মতো অ্যাপের মাধ্যমে দ্বি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করাও নিরাপত্তা বৃদ্ধির একটি উল্লেখযোগ্য উপায়।