পাসওয়ার্ড হল একটি শব্দ, বাক্যাংশ বা অক্ষরের স্ট্রিং যা একটি অননুমোদিত ব্যবহারকারীর থেকে একটি অনুমোদিত ব্যবহারকারী বা প্রক্রিয়া (অ্যাক্সেসের অনুমতি দেওয়ার উদ্দেশ্যে) আলাদা করার উদ্দেশ্যে, বা অন্য উপায়ে বলা হয়, একটি পাসওয়ার্ড ব্যবহার করা হয় একজনের পরিচয় প্রমাণ করতে, বা অ্যাক্সেস অনুমোদন করতে একটি সম্পদের কাছে। এটি দৃঢ়ভাবে বোঝানো হয়েছে যে একটি পাসওয়ার্ড গোপন। প্রমাণীকরণ প্রদানের জন্য একটি পাসওয়ার্ড সাধারণত একটি ব্যবহারকারীর নাম বা অন্যান্য প্রক্রিয়ার সাথে যুক্ত করা হয়।
পাসওয়ার্ড ব্যবস্থাপনা এবং নিরাপত্তা | পাসওয়ার্ড ম্যানেজমেন্ট এন্ড সিকিউরিটি : ৫ বেস্ট প্রাক্টিসেস
পাসওয়ার্ডের দৈর্ঘ্য কমপক্ষে 12 অক্ষর।
পাসওয়ার্ডগুলি অনন্য, জটিল এবং অর্থহীন হওয়া উচিত, যাতে পুনরাবৃত্তি না হয় এমন অক্ষর (উপর এবং ছোট হাতের), সংখ্যা এবং চিহ্নগুলির মিশ্রণের সমন্বয়ে গঠিত যাতে কোনও ভাষার অভিধানের শব্দ নেই, বা অন্য কোনও অনুমানযোগ্য প্রসঙ্গ (কর্মচারী আইডি, তারিখ, ইত্যাদি), অথবা ‘qwerty’ বা ‘zxcvb’-এর মতো একটি কীবোর্ড থেকে সিকোয়েন্স।
বিশেষ সুবিধাপ্রাপ্ত পাসওয়ার্ডের জন্য ঘন ঘন পাসওয়ার্ড পরিবর্তন করুন (একটি প্রক্রিয়া যাকে পাসওয়ার্ড রোটেশন বা পাসওয়ার্ড রিসেটিং বলা হয়)। প্রিভিলেজড পাসওয়ার্ড রোটেশনের ফ্রিকোয়েন্সি পাসওয়ার্ডের বয়স, ব্যবহার এবং সুবিধাপ্রাপ্ত শংসাপত্রের নিরাপত্তার গুরুত্বের উপর ভিত্তি করে পরিবর্তিত হওয়া উচিত। একটি সুপার ইউজার অ্যাকাউন্ট (যেমন, রুট, ডোমেন অ্যাডমিন, ইত্যাদি) এবং অন্যান্য উচ্চ সুবিধাপ্রাপ্ত পাসওয়ার্ডগুলি ঘন ঘন পরিবর্তন করা উচিত, যার মধ্যে প্রতিটি ব্যবহারের পরেও রয়েছে—যা ওয়ান-টাইম-পাসওয়ার্ড নামে পরিচিত, বা (OTPs)—আপনার সবচেয়ে সংবেদনশীল অ্যাকাউন্টগুলির জন্য৷ অন্যদিকে, স্ট্যান্ডার্ড অ্যাকাউন্ট এবং অ-সুবিধাপ্রাপ্ত পাসওয়ার্ডগুলির জন্য আধুনিক সর্বোত্তম অনুশীলন হল একটি শক্তিশালী পাসওয়ার্ড বেছে নেওয়া, কিন্তু তারপরে এটি অপরিবর্তিত রেখে দিন, যদি না প্রমাণপত্রটি সম্ভাব্যভাবে আপস করা হয় বা ঝুঁকির মধ্যে পড়ে।
পাসওয়ার্ড পুনরায় ব্যবহার নিষিদ্ধ. কর্মচারীদের তাদের ব্যক্তিগত এবং কাজের অ্যাকাউন্টে একই পাসওয়ার্ড ব্যবহার করা থেকে নিষেধ করা উচিত।
আপনার যদি কখনও আপনার পাসওয়ার্ড শেয়ার করার প্রয়োজন হয়, অন্য ব্যক্তির এটি ব্যবহার করা হয়ে গেলে এটি পরিবর্তন করুন।
স্বয়ংক্রিয় পাসওয়ার্ড পরিচালনার সরঞ্জাম | Automated Password Management Tools
আজ, একজন ব্যক্তির পরিচালনা করার জন্য ডজন ডজন বা এমনকি একশোরও বেশি ব্যক্তিগত পাসওয়ার্ড থাকতে পারে। সংস্থাগুলিতে, এই সংখ্যাটি আরও বেশি হতে পারে এবং অ্যাপ্লিকেশনগুলির মধ্যে এমবেড করা পাসওয়ার্ডগুলিও অন্তর্ভুক্ত করতে পারে৷ পরিচালনা করার জন্য নিছক সংখ্যার পাসওয়ার্ডের অর্থ হল, যখন মানুষের কাছে ছেড়ে দেওয়া হয়, পাসওয়ার্ড অনুশীলনগুলি অপর্যাপ্তভাবে অনুসরণ করা হয়। খারাপ পাসওয়ার্ড স্বাস্থ্যবিধি, পরিবর্তে, ম্যালওয়্যার এবং হ্যাকার শোষণের সুযোগ তৈরি করে।
যদিও ম্যানুয়ালি পাসওয়ার্ড তৈরি এবং পরিবর্তন করার জন্য সর্বোত্তম অনুশীলনগুলি মেনে চলা মানবিকভাবে সম্ভব নয় (অন্তত বেশিরভাগ মানুষের জন্য), পাসওয়ার্ড পরিচালনার সরঞ্জামগুলি এই প্রক্রিয়াটিকে স্বয়ংক্রিয় করতে পারে।
পাসওয়ার্ড ম্যানেজার হল সফ্টওয়্যার অ্যাপ্লিকেশন যা পাসওয়ার্ড তৈরি এবং সুরক্ষিত করার জন্য সর্বোত্তম অনুশীলন প্রয়োগ করে (যেমন এনক্রিপশন ব্যবহার করে)। একটি মাস্টার পাসওয়ার্ড/কী ব্যবহার করে, ব্যবহারকারী পাসওয়ার্ড ম্যানেজারকে স্বয়ংক্রিয়ভাবে একটি ডাটাবেস থেকে সঠিক পাসওয়ার্ড টেনে আনতে এবং ফর্ম পূরণের মাধ্যমে একটি সিস্টেম/সফ্টওয়্যারে প্রমাণীকরণ করতে অনুরোধ করতে পারে। পাসওয়ার্ড ম্যানেজার ক্লাউড বা ব্রাউজার-ভিত্তিক হতে পারে, অথবা ডেস্কটপে থাকতে পারে।
এন্টারপ্রাইজ পাসওয়ার্ড ম্যানেজার / প্রিভিলেজড পাসওয়ার্ড ম্যানেজার হল পাসওয়ার্ড ম্যানেজারদের একটি বিশেষ উপসেট যা এন্টারপ্রাইজ সুবিধাপ্রাপ্ত অ্যাকাউন্টগুলির (রুট, অ্যাডমিন, ইত্যাদি) জন্য শংসাপত্রগুলি পরিচালনা করতে ব্যবহৃত হয়।
সাধারণ পাসওয়ার্ড আক্রমণ কৌশল | Common Password Attack Techniques
আক্রমণকারী এবং ম্যালওয়্যার লোভ পাসওয়ার্ড, যা তাদের পছন্দসই সংস্থান অ্যাক্সেস করতে, ডেটা এবং পরিচয় চুরি করতে এবং সর্বনাশ ঘটায়। ব্যবহারকারীদের দুর্বল পাসওয়ার্ড অনুশীলন, অপর্যাপ্ত পাসওয়ার্ড নিরাপত্তা নিয়ন্ত্রণ, এবং স্বয়ংক্রিয় পাসওয়ার্ড ক্র্যাকিং হ্যাকার সরঞ্জামগুলির সমন্বয় পাসওয়ার্ড চুরি বা এক্সপোজারের ঝুঁকি বাড়ায়। এখানে কিছু সাধারণ শংসাপত্র শোষণ কৌশল রয়েছে:
Brute force attacks
বারবার একটি পাসওয়ার্ড পরীক্ষা করা, সম্ভাব্যভাবে প্রতি সেকেন্ডে লক্ষ লক্ষ এলোমেলো অনুমান, অক্ষরগুলির সংমিশ্রণ সহ (সংখ্যা, অক্ষর এবং প্রতীক) একটি মিল না হওয়া পর্যন্ত। একটি পাসওয়ার্ড যত গাণিতিকভাবে জটিল, ক্র্যাক করা তত কঠিন।
ডিকশেনারী attacks
যেকোনো ভাষার অভিধানে শব্দের উপর ভিত্তি করে পাসওয়ার্ড অনুমান তৈরি করা।
পাস-দ্য-হ্যাশ (PtH) আক্রমণ
PtH আক্রমণে, একজন আক্রমণকারীকে একটি প্লেইন টেক্সট পাসওয়ার্ড পেতে হ্যাশ ডিক্রিপ্ট করতে হবে না, একবার ক্যাপচার করলে, ল্যাটারাল সিস্টেমে অ্যাক্সেসের জন্য হ্যাশটি পাস করা যেতে পারে। একজন হ্যাকার একটি RDP সেশন চলাকালীন একটি বিশেষ সুবিধাপ্রাপ্ত ব্যবহারকারীর কাছ থেকে RDP শংসাপত্র চুরি করে সুবিধাগুলিকে উন্নত করতে পারে।
পাস-দ্য-টিকিট (PtT) এবং গোল্ডেন টিকিট আক্রমণ
যদিও PtH-এর মতো, এর মধ্যে কারবারোস টিকিট অনুলিপি করা এবং সিস্টেম জুড়ে পাশ্বর্ীয় অ্যাক্সেসের জন্য সেগুলি পাস করা জড়িত। একটি গোল্ডেন টিকিট আক্রমণ হল পাস-দ্য-টিকেটের একটি ভিন্নতা, যার মধ্যে একটি ডোমেন কন্ট্রোলারে krbtgt অ্যাকাউন্ট চুরি হয়, যা টিকিট-গ্রান্টিং টিকেট (TGT) এনক্রিপ্ট করে।
সৌল্ডার সার্ফিং
এই আক্রমণ পদ্ধতিতে পাসওয়ার্ডগুলি (হয় ইলেকট্রনিক বা হার্ড কপি) প্রবেশ করার সাথে সাথে পর্যবেক্ষণ করা জড়িত।
সামাজিক প্রকৌশল পাসওয়ার্ড আক্রমণ
এই আক্রমণগুলি, যেমন ফিশিং এবং বর্শা ফিশিং, লোকেদেরকে এমন তথ্য প্রকাশ করতে প্রতারণা করে যা অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে।
পাসওয়ার্ড ম্যানেজমেন্টের সর্বোত্তম অনুশীলনগুলি প্রয়োগ করে, যেমন একটি স্বয়ংক্রিয় সরঞ্জামের মাধ্যমে, এই আক্রমণগুলিকে অনেকাংশে বিচ্যুত বা প্রশমিত করা যেতে পারে।
