ওটিপি কোডের 'রহস্য' উন্মোচন।

প্রতিবার লগ ইন বা পেমেন্ট করার সময়, ওটিপি কোডটি প্রায় ৩০ সেকেন্ডের জন্য বৈধ থাকে এবং তারপর অদৃশ্য হয়ে যায়। এই ধরনের সীমাবদ্ধতা কেন রয়েছে, এবং নিরাপত্তা নিশ্চিত করার পাশাপাশি দ্রুত কোড তৈরি করার পেছনে কোন সিস্টেম কাজ করে?

Báo Tuổi Trẻ•05/07/2025

OTP - Ảnh 1. — প্রতিটি ওটিপি কোড সর্বদা অনন্য থাকে এবং এর প্রতিলিপি তৈরি করা যায় না।

আজকের ডিজিটাল বিশ্বে ওয়ান-টাইম পাসওয়ার্ড (ওটিপি) একটি পরিচিত উপাদান, যা ব্যাংকিং লেনদেন থেকে শুরু করে সোশ্যাল মিডিয়া অ্যাকাউন্টের সুরক্ষা পর্যন্ত সর্বত্রই ব্যবহৃত হয়। খুব কম মানুষই জানেন যে, সংখ্যার এই ক্ষণস্থায়ী ক্রমটি একটি জটিল এনক্রিপশন পদ্ধতি ব্যবহার করে তৈরি করা হয়, যেখানে রিয়েল-টাইম প্রসেসিং, প্রাইভেট কী এবং প্রমিত অ্যালগরিদমের সমন্বয় থাকে।

ওটিপি কীভাবে কাজ করে তা বুঝতে পারলে ব্যবহারকারীরা আরও বেশি মানসিক শান্তি পান এবং এটি আজকের অন্যতম জনপ্রিয় নিরাপত্তা পদ্ধতিগুলোর একটি সম্পর্কে অন্তর্দৃষ্টি লাভ করেন।

'ওটিপি ওয়াল'

OTP-এর পূর্ণরূপ হলো ওয়ান টাইম পাসওয়ার্ড, অর্থাৎ এমন একটি পাসওয়ার্ড যা শুধুমাত্র একবারই ব্যবহার করা যায়। এই কোডটি সাধারণত ৬ অঙ্কের হয়, যা দৈবচয়নের মাধ্যমে তৈরি হয় এবং ব্যাংক ট্রান্সফার, সোশ্যাল মিডিয়া লগইন বা অ্যাকাউন্ট ভেরিফিকেশনের মতো কাজে ব্যবহৃত হয়।

ওটিপি-কে যা বিশেষ করে তোলে তা হলো এর অত্যন্ত স্বল্প মেয়াদ, যা মাত্র ৩০ থেকে ৬০ সেকেন্ড। এই সময়ের পর কোডটির মেয়াদ শেষ হয়ে যায় এবং ব্যবহার না করা হলে তা পুনরায় তৈরি করতে হয়। এর ফলে ক্ষতিকারক ব্যক্তিদের দ্বারা এর অপব্যবহার বা পুরোনো কোড পুনরায় ব্যবহারের ঝুঁকি কমে যায়।

ভিয়েতনামের অনেক ব্যাংক এখন অনলাইন লেনদেন যাচাই করার জন্য ওটিপি (ওয়ান-টাইম পাসওয়ার্ড) ব্যবহার করে। ব্যবহারকারীদের ফোনে একটি কোড পাঠানো হয় এবং তাদের একটি নির্দিষ্ট সময়ের মধ্যে সেটি সঠিকভাবে প্রবেশ করাতে হয়। একইভাবে, গুগল এবং ফেসবুকের মতো প্ল্যাটফর্মগুলোও অ্যাকাউন্ট সুরক্ষিত রাখতে টু-ফ্যাক্টর অথেনটিকেশনের জন্য ওটিপি ব্যবহার করে।

এর সরল ও ক্ষণস্থায়ী রূপ সত্ত্বেও, ওটিপি বর্তমানে উপলব্ধ সবচেয়ে কার্যকর নিরাপত্তা ব্যবস্থাগুলোর মধ্যে অন্যতম। এই কোডের সংক্ষিপ্ততা কোনো আকস্মিক বিষয় নয়, বরং এটি নির্দিষ্ট সময় ও এনক্রিপশন নীতির উপর ভিত্তি করে একটি কঠোরভাবে নিয়ন্ত্রিত কোড জেনারেশন সিস্টেম দ্বারা নিয়ন্ত্রিত হয়।

একটি কোড, একটি ব্যবহার: এর উৎস কোথায়?

অধিকাংশ বর্তমান OTP কোড TOTP পদ্ধতি ব্যবহার করে তৈরি করা হয়, যার পূর্ণরূপ হলো টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড। এটি রিয়েল-টাইম ক্লকিং-ভিত্তিক এক ধরনের কোড, যা সাধারণত প্রায় ৩০ সেকেন্ড স্থায়ী হওয়ার পর একটি নতুন কোড দ্বারা প্রতিস্থাপিত হয়।

TOTP ছাড়াও HOTP নামে আরেকটি পদ্ধতি আছে, যা সময়ের পরিবর্তে একটি কাউন্টার ব্যবহার করে। তবে, HOTP ততটা প্রচলিত নয়, কারণ এই কোড একটি নির্দিষ্ট সময় পর স্বয়ংক্রিয়ভাবে মেয়াদোত্তীর্ণ হয় না।

প্রতিটি ওটিপি কোড তৈরি করতে সিস্টেমের দুটি উপাদানের প্রয়োজন হয়: প্রতিটি অ্যাকাউন্টের জন্য নির্ধারিত একটি নির্দিষ্ট সিক্রেট কী এবং সিস্টেম ক্লক অনুযায়ী বর্তমান সময়। প্রতি ৩০ সেকেন্ডে, সময়টিকে সমান ভাগে ভাগ করে সিক্রেট কী-এর সাথে মিলিয়ে একটি নতুন কোড তৈরি করা হয়। সুতরাং, আপনি অথেনটিকেশন অ্যাপ্লিকেশনটি যেখানেই ব্যবহার করুন না কেন, যতক্ষণ আপনার ডিভাইসের সময় সার্ভারের সময়ের সাথে মিলে যাবে, ওটিপি কোডটি সঠিক হবে।

প্রতিটি ৩০-সেকেন্ডের ব্যবধানকে একটি 'টাইম উইন্ডো' হিসেবে গণ্য করা হয়। যখন সময় পরবর্তী উইন্ডোতে যায়, তখন একটি নতুন কোড তৈরি হয়। পুরোনো কোডটি মুছে ফেলা হয় না, কিন্তু এটি স্বয়ংক্রিয়ভাবে অকার্যকর হয়ে যায়, কারণ এটি আর বর্তমান সময়ের সাথে মেলে না। এই পদ্ধতির অর্থ হলো, প্রতিটি ওটিপি কোড শুধুমাত্র সেই নির্দিষ্ট মুহূর্তেই ব্যবহার করা যাবে এবং কয়েক দশ সেকেন্ড পরে তা পুনরায় ব্যবহার করা যাবে না।

কোড তৈরির প্রক্রিয়াটি আন্তর্জাতিক মান RFC 6238 অনুসরণ করে এবং এনক্রিপশনের জন্য HMAC SHA1 অ্যালগরিদম ব্যবহার করে। যদিও মাত্র ৬টি সংখ্যা তৈরি করা হয়, সিস্টেমটি এতটাই জটিল যে এর সঠিক অনুমান করা প্রায় অসম্ভব। প্রত্যেক ব্যবহারকারীর একটি অনন্য কী থাকে এবং কোড তৈরির সময়গুলোও ভিন্ন হয়, তাই একই কোড পাওয়ার সম্ভাবনা প্রায় শূন্য।

মজার ব্যাপার হলো, গুগল অথেনটিকেটর বা মাইক্রোসফট অথেনটিকেটরের মতো অ্যাপ্লিকেশনগুলো ইন্টারনেট সংযোগ বা সেলুলার সিগন্যাল ছাড়াই ওটিপি কোড তৈরি করতে পারে। প্রাথমিক প্রাইভেট কী পাওয়ার পর, অ্যাপ্লিকেশনটিকে স্বাধীনভাবে কাজ করার জন্য শুধু সঠিক সময়ের সাথে সিঙ্ক্রোনাইজ করতে হয়। এটি অথেনটিকেশন প্রক্রিয়ার সময় নিরাপত্তা নিশ্চিত করার পাশাপাশি নমনীয়তাও বাড়ায়।

ওটিপি কোডের সাথে সম্পর্কিত ঝুঁকি এবং নিজেকে সুরক্ষিত রাখার উপায়।

ওটিপি সুরক্ষার একটি কার্যকর স্তর, কিন্তু এটি সম্পূর্ণ নিরাপদ নয়। সাম্প্রতিক অনেক প্রতারণায়, অপরাধীদের কোনো অত্যাধুনিক আক্রমণের প্রয়োজন হয়নি; তারা কেবল ভুক্তভোগীদের ধোঁকা দিয়ে তাদের ওটিপি কোড হাতিয়ে নিয়েছে।

ব্যাংক কর্মচারী সেজে করা ভুয়া কল, ভুয়া লগইন লিঙ্কসহ প্রতারণামূলক টেক্সট মেসেজ, বা ভুয়া পুরস্কারের বিজ্ঞপ্তি—এই সবকিছুর উদ্দেশ্য হলো মেয়াদকালের মধ্যে ওটিপি কোড হাতিয়ে নেওয়া।

কিছু ম্যালওয়্যার এমনকি ওটিপি (OTP) যুক্ত মেসেজও নীরবে পড়ে ফেলতে পারে, যদি ব্যবহারকারী কোনো অজানা অ্যাপ্লিকেশনকে অনুমতি দিয়ে থাকেন। এই কারণেই, টেক্সট মেসেজের মাধ্যমে কোড পাঠানোর পরিবর্তে, দিন দিন আরও বেশি পরিষেবা তাদের নিজস্ব কোড তৈরি করার জন্য অ্যাপ ব্যবহার করা শুরু করছে। এই পদ্ধতিটি কোডগুলোকে মোবাইল নেটওয়ার্কের উপর কম নির্ভরশীল করে তোলে এবং এগুলোকে আটকানোও আরও কঠিন হয়ে পড়ে।

আপনার অ্যাকাউন্ট সুরক্ষিত রাখতে, ব্যবহারকারীদের কখনোই কারো সাথে তাদের OTP শেয়ার করা উচিত নয়। যদি আপনি কোড চেয়ে কোনো অস্বাভাবিক কল, মেসেজ বা লিঙ্ক পান, তাহলে থেমে গিয়ে সাবধানে যাচাই করুন। Google Authenticator বা Microsoft Authenticator-এর মতো অ্যাপের মাধ্যমে টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করাও নিরাপত্তা বাড়ানোর একটি গুরুত্বপূর্ণ উপায়।

থান থু

উৎস: https://tuoitre.vn/he-lo-bi-mat-ma-otp-20250704115450312.htm