OTP কোডের 'গোপন' উন্মোচন।

আজকের ডিজিটাল জগতে, ব্যাংকিং লেনদেন থেকে শুরু করে সোশ্যাল মিডিয়া অ্যাকাউন্টের নিরাপত্তা পর্যন্ত, এককালীন পাসওয়ার্ড (OTP) একটি পরিচিত উপাদান। খুব কম লোকই জানেন যে সংখ্যার এই ক্ষণস্থায়ী ক্রমটি একটি জটিল এনক্রিপশন প্রক্রিয়া ব্যবহার করে তৈরি করা হয়, যা রিয়েল-টাইম প্রক্রিয়াকরণ, ব্যক্তিগত কী এবং মানসম্মত অ্যালগরিদমকে একত্রিত করে।

OTP কীভাবে কাজ করে তা বোঝা ব্যবহারকারীদের মানসিক প্রশান্তি দেয় এবং বর্তমান সময়ের সবচেয়ে জনপ্রিয় নিরাপত্তা পদ্ধতিগুলির মধ্যে একটি সম্পর্কে স্পষ্ট ধারণা দেয়।

'ওটিপি ওয়াল'

OTP এর অর্থ হল ওয়ান টাইম পাসওয়ার্ড, যার অর্থ এমন একটি পাসওয়ার্ড যা শুধুমাত্র একবার ব্যবহার করা যায়। এই কোডটি সাধারণত 6 সংখ্যার থাকে, এলোমেলোভাবে তৈরি হয় এবং ব্যাংক ট্রান্সফার, সোশ্যাল মিডিয়া লগইন বা অ্যাকাউন্ট যাচাইকরণের মতো ক্রিয়াকলাপে প্রদর্শিত হয়।

OTP-কে বিশেষ করে তোলে এর অত্যন্ত সংক্ষিপ্ত মেয়াদ, মাত্র 30 থেকে 60 সেকেন্ড। এই সময়ের পরে, কোডটির মেয়াদ শেষ হয়ে যায় এবং ব্যবহার না করলে পুনরায় তৈরি করতে হয়। এটি ক্ষতিকারক ব্যক্তিদের দ্বারা শোষিত হওয়ার বা পুরানো কোডগুলি পুনরায় ব্যবহারের ঝুঁকি হ্রাস করে।

ভিয়েতনামের অনেক ব্যাংক এখন অনলাইন লেনদেন যাচাই করার জন্য OTP (ওয়ান-টাইম পাসওয়ার্ড) ব্যবহার করে। ব্যবহারকারীরা তাদের ফোনে একটি কোড পান এবং একটি নির্দিষ্ট সময়সীমার মধ্যে এটি সঠিকভাবে প্রবেশ করতে হয়। একইভাবে, গুগল এবং ফেসবুকের মতো প্ল্যাটফর্মগুলিও অ্যাকাউন্টগুলি সুরক্ষিত করার জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণের জন্য OTP ব্যবহার করে।

সহজ এবং ক্ষণস্থায়ী চেহারা সত্ত্বেও, OTP আজ উপলব্ধ সবচেয়ে কার্যকর নিরাপত্তা ব্যবস্থাগুলির মধ্যে একটি। এই কোডের সংক্ষিপ্ততা আকস্মিক নয়, বরং নির্দিষ্ট সময় এবং এনক্রিপশন নীতির উপর ভিত্তি করে একটি কঠোরভাবে নিয়ন্ত্রিত কোড জেনারেশন সিস্টেম দ্বারা নিয়ন্ত্রিত।

একটা কোড, একটা ব্যবহার: এটা কোথা থেকে এসেছে?

বেশিরভাগ বর্তমান OTP কোড TOTP মেকানিজম ব্যবহার করে তৈরি করা হয়, যার অর্থ টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড। এটি রিয়েল-টাইম ক্লকিং-এর উপর ভিত্তি করে তৈরি এক ধরণের কোড, যা সাধারণত মাত্র 30 সেকেন্ড স্থায়ী হয় এবং একটি নতুন কোড দ্বারা প্রতিস্থাপিত হয়।

TOTP ছাড়াও, HOTP নামে আরেকটি প্রক্রিয়া আছে, যা সময়ের পরিবর্তে একটি কাউন্টার ব্যবহার করে। তবে, HOTP কম সাধারণ কারণ একটি নির্দিষ্ট সময়ের পরে কোডটি স্বয়ংক্রিয়ভাবে মেয়াদোত্তীর্ণ হয় না।

প্রতিটি OTP কোড তৈরি করতে, সিস্টেমের দুটি উপাদানের প্রয়োজন হয়: প্রতিটি অ্যাকাউন্টে নির্ধারিত একটি নির্দিষ্ট গোপন কী এবং সিস্টেম ঘড়ি অনুসারে বর্তমান সময়। প্রতি 30 সেকেন্ডে, সময়টিকে সমান অংশে ভাগ করা হয় এবং গোপন কী দিয়ে একত্রিত করে একটি নতুন কোড তৈরি করা হয়। অতএব, আপনি যেখানেই প্রমাণীকরণ অ্যাপ্লিকেশন ব্যবহার করুন না কেন, যতক্ষণ না আপনার ডিভাইসের সময় সার্ভারের সময়ের সাথে মিলে যায়, ততক্ষণ OTP কোডটি সঠিক হবে।

প্রতিটি ৩০ সেকেন্ডের ব্যবধানকে "সময়ের সময়" হিসেবে বিবেচনা করা হয়। যখন সময়টি পরবর্তী উইন্ডোতে স্থানান্তরিত হয়, তখন একটি নতুন কোড তৈরি হয়। পুরানো কোডটি মুছে ফেলা হয় না, তবে এটি স্বয়ংক্রিয়ভাবে অবৈধ হয়ে যায় কারণ এটি আর বর্তমান সময়ের সাথে মেলে না। এই প্রক্রিয়ার অর্থ হল প্রতিটি OTP কোড শুধুমাত্র সেই নির্দিষ্ট মুহূর্তে ব্যবহার করা যেতে পারে এবং কয়েক দশক সেকেন্ড পরে পুনরায় ব্যবহার করা যাবে না।

  কোড জেনারেশন প্রক্রিয়াটি আন্তর্জাতিক মান RFC 6238 অনুসরণ করে, এনক্রিপশনের জন্য HMAC SHA1 অ্যালগরিদম ব্যবহার করে। যদিও মাত্র 6টি সংখ্যা তৈরি করা হয়, সিস্টেমটি এত জটিল যে সঠিক অনুমান করা প্রায় অসম্ভব করে তোলে। প্রতিটি ব্যবহারকারীর একটি অনন্য কী থাকে এবং কোড জেনারেশনের সময় ভিন্ন হয়, তাই একটি ডুপ্লিকেট কোডের সম্ভাবনা প্রায় শূন্য।

মজার ব্যাপার হলো, গুগল অথেন্টিকেটর বা মাইক্রোসফট অথেন্টিকেটরের মতো অ্যাপ্লিকেশনগুলি ইন্টারনেট সংযোগ বা সেলুলার সিগন্যাল ছাড়াই OTP কোড তৈরি করতে পারে। প্রাথমিক প্রাইভেট কী পাওয়ার পর, অ্যাপ্লিকেশনটিকে স্বাধীনভাবে কাজ করার জন্য সঠিক সময়ের সাথে সিঙ্ক্রোনাইজ করতে হবে। এটি নমনীয়তা বৃদ্ধি করে এবং প্রমাণীকরণ প্রক্রিয়ার সময় নিরাপত্তা নিশ্চিত করে।

OTP কোডের সাথে সম্পর্কিত ঝুঁকি এবং কীভাবে নিজেকে রক্ষা করবেন।

ওটিপি সুরক্ষার একটি কার্যকর স্তর, কিন্তু এটি সম্পূর্ণ নিরাপদ নয়। সাম্প্রতিক অনেক কেলেঙ্কারিতে, অপরাধীদের অত্যাধুনিক আক্রমণের প্রয়োজন ছিল না; তারা কেবল ভুক্তভোগীদের তাদের ওটিপি কোড সরবরাহ করার জন্য প্রতারণা করেছিল।

ব্যাংক কর্মচারী পরিচয়ে ভুয়া কল, ভুয়া লগইন লিঙ্ক সহ প্রতারণামূলক টেক্সট বার্তা, অথবা ভুয়া পুরস্কারের বিজ্ঞপ্তি - সবই তাদের বৈধতার সময়ের মধ্যে OTP কোড পাওয়ার লক্ষ্যে করা হয়।

কিছু ম্যালওয়্যার এমনকি নীরবে OTP সম্বলিত বার্তাগুলি পড়তে পারে যদি ব্যবহারকারী কোনও অজানা অ্যাপ্লিকেশনকে অনুমতি দিয়ে থাকেন। এই কারণেই ক্রমবর্ধমান সংখ্যক পরিষেবা টেক্সট বার্তার মাধ্যমে পাঠানোর পরিবর্তে তাদের নিজস্ব কোড তৈরি করার জন্য অ্যাপ ব্যবহার করছে। এই পদ্ধতিটি কোডগুলিকে মোবাইল নেটওয়ার্কের উপর কম নির্ভরশীল করে তোলে এবং আটকানো আরও কঠিন করে তোলে।

আপনার অ্যাকাউন্ট সুরক্ষিত রাখার জন্য, ব্যবহারকারীদের কখনই তাদের OTP কারো সাথে শেয়ার করা উচিত নয়। যদি আপনি কোনও অস্বাভাবিক কল, বার্তা বা লিঙ্ক কোডের জন্য অনুরোধ করে পান, তাহলে থামুন এবং সাবধানে পরীক্ষা করুন। Google Authenticator বা Microsoft Authenticator এর মতো অ্যাপগুলির সাথে দ্বি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করাও নিরাপত্তা বাড়ানোর একটি গুরুত্বপূর্ণ উপায়।