এসএমএস-ভিত্তিক দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA) কম্পিউটার সিস্টেমে ব্যবহারকারীর প্রমাণীকরণের নিরাপত্তা বাড়ানোর জন্য একটি বহুল ব্যবহৃত পদ্ধতি। এটি এসএমএসের মাধ্যমে একটি ওয়ান-টাইম পাসওয়ার্ড (OTP) পাওয়ার জন্য একটি মোবাইল ফোন ব্যবহার করে, যা ব্যবহারকারীর দ্বারা প্রমাণীকরণ প্রক্রিয়াটি সম্পূর্ণ করার জন্য প্রবেশ করা হয়। যদিও এসএমএস-ভিত্তিক 2FA ঐতিহ্যগত ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রমাণীকরণের তুলনায় নিরাপত্তার একটি অতিরিক্ত স্তর প্রদান করে, এটি তার সীমাবদ্ধতা ছাড়া নয়।
এসএমএস-ভিত্তিক 2FA-এর অন্যতম প্রধান সীমাবদ্ধতা হল সিম অদলবদল আক্রমণের দুর্বলতা। একটি সিম অদলবদল আক্রমণে, একজন আক্রমণকারী মোবাইল নেটওয়ার্ক অপারেটরকে আক্রমণকারীর নিয়ন্ত্রণে থাকা একটি সিম কার্ডে ভিকটিমদের ফোন নম্বর স্থানান্তর করতে রাজি করায়। একবার আক্রমণকারীর ভিক্টিমের ফোন নম্বর নিয়ন্ত্রণ হয়ে গেলে, তারা OTP সম্বলিত SMS আটকাতে পারে এবং 2FA বাইপাস করতে এটি ব্যবহার করতে পারে। এই আক্রমণটি সোশ্যাল ইঞ্জিনিয়ারিং কৌশলগুলির মাধ্যমে বা মোবাইল নেটওয়ার্ক অপারেটরের যাচাইকরণ প্রক্রিয়াগুলির দুর্বলতাগুলিকে কাজে লাগিয়ে সহায়তা করা যেতে পারে৷
এসএমএস-ভিত্তিক 2FA-এর আরেকটি সীমাবদ্ধতা হল এসএমএস বার্তার বাধার সম্ভাবনা। যদিও সেলুলার নেটওয়ার্কগুলি সাধারণত ভয়েস এবং ডেটা যোগাযোগের জন্য এনক্রিপশন প্রদান করে, এসএমএস বার্তাগুলি প্রায়ই প্লেইনটেক্সটে প্রেরণ করা হয়। এটি তাদের আক্রমণকারীদের দ্বারা বাধার জন্য ঝুঁকিপূর্ণ রাখে যারা মোবাইল নেটওয়ার্ক এবং প্রাপকের ডিভাইসের মধ্যে যোগাযোগের কথা শুনতে পারে। একবার বাধা দেওয়া হলে, আক্রমণকারী ব্যবহারকারীর অ্যাকাউন্টে অননুমোদিত অ্যাক্সেস পেতে OTP ব্যবহার করতে পারে।
উপরন্তু, SMS-ভিত্তিক 2FA ব্যবহারকারীর মোবাইল ডিভাইসের নিরাপত্তার উপর নির্ভর করে। ডিভাইসটি হারিয়ে গেলে বা চুরি হয়ে গেলে, ডিভাইসটির দখলে থাকা আক্রমণকারী সহজেই OTP সম্বলিত SMS বার্তাগুলি অ্যাক্সেস করতে পারে। উপরন্তু, ডিভাইসে ইনস্টল করা ম্যালওয়্যার বা দূষিত অ্যাপ্লিকেশনগুলি 2FA প্রক্রিয়ার নিরাপত্তার সাথে আপস করে এসএমএস বার্তাগুলিকে আটকাতে বা ম্যানিপুলেট করতে পারে।
এসএমএস-ভিত্তিক 2FA ব্যর্থতার একটি সম্ভাব্য একক পয়েন্টও প্রবর্তন করে। যদি মোবাইল নেটওয়ার্ক পরিষেবা বিভ্রাটের সম্মুখীন হয় বা ব্যবহারকারী যদি দুর্বল সেলুলার কভারেজ সহ এমন এলাকায় থাকে, তাহলে OTP প্রদান বিলম্বিত হতে পারে বা এমনকি সম্পূর্ণরূপে ব্যর্থ হতে পারে। এর ফলে ব্যবহারকারীরা তাদের অ্যাকাউন্টগুলি অ্যাক্সেস করতে অক্ষম হতে পারে, যার ফলে হতাশা দেখা দেয় এবং সম্ভাব্য উত্পাদনশীলতা হ্রাস পায়।
তাছাড়া, SMS-ভিত্তিক 2FA ফিশিং আক্রমণের জন্য সংবেদনশীল। আক্রমণকারীরা বিশ্বাসযোগ্য জাল লগইন পৃষ্ঠা বা মোবাইল অ্যাপ তৈরি করতে পারে যা ব্যবহারকারীদের তাদের ব্যবহারকারীর নাম, পাসওয়ার্ড এবং SMS এর মাধ্যমে প্রাপ্ত OTP লিখতে অনুরোধ করে। ব্যবহারকারীরা এই ফিশিং প্রচেষ্টার শিকার হলে, আক্রমণকারী তাদের শংসাপত্র এবং OTP ক্যাপচার করতে পারে, যারা ব্যবহারকারীর অ্যাকাউন্টে অননুমোদিত অ্যাক্সেস পেতে তাদের ব্যবহার করতে পারে।
যদিও এসএমএস-ভিত্তিক 2FA ঐতিহ্যগত ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রমাণীকরণের তুলনায় নিরাপত্তার একটি অতিরিক্ত স্তর প্রদান করে, এটি তার সীমাবদ্ধতা ছাড়া নয়। এর মধ্যে রয়েছে সিম অদলবদল আক্রমণের দুর্বলতা, এসএমএস বার্তার বাধা, ব্যবহারকারীর মোবাইল ডিভাইসের নিরাপত্তার উপর নির্ভরতা, ব্যর্থতার সম্ভাব্য একক পয়েন্ট এবং ফিশিং আক্রমণের সংবেদনশীলতা। সংস্থা এবং ব্যবহারকারীদের এই সীমাবদ্ধতাগুলি সম্পর্কে সচেতন হওয়া উচিত এবং এসএমএস-ভিত্তিক 2FA-এর সাথে সম্পর্কিত ঝুঁকিগুলি কমাতে অ্যাপ-ভিত্তিক প্রমাণীকরণকারী বা হার্ডওয়্যার টোকেনগুলির মতো বিকল্প প্রমাণীকরণ পদ্ধতিগুলি বিবেচনা করা উচিত।
সম্পর্কিত অন্যান্য সাম্প্রতিক প্রশ্ন এবং উত্তর প্রমাণীকরণ:
- ব্যবহারকারীর প্রমাণীকরণে আপস করা ব্যবহারকারী ডিভাইসগুলির সাথে যুক্ত সম্ভাব্য ঝুঁকিগুলি কী কী?
- ইউটিএফ প্রক্রিয়া কীভাবে ব্যবহারকারীর প্রমাণীকরণে ম্যান-ইন-দ্য-মিডল আক্রমণ প্রতিরোধ করতে সহায়তা করে?
- ব্যবহারকারীর প্রমাণীকরণে চ্যালেঞ্জ-প্রতিক্রিয়া প্রোটোকলের উদ্দেশ্য কী?
- কিভাবে পাবলিক কী ক্রিপ্টোগ্রাফি ব্যবহারকারীর প্রমাণীকরণ উন্নত করে?
- পাসওয়ার্ডের জন্য কিছু বিকল্প প্রমাণীকরণ পদ্ধতি কি এবং তারা কিভাবে নিরাপত্তা বাড়ায়?
- পাসওয়ার্ড কিভাবে আপস করা যেতে পারে, এবং পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণ শক্তিশালী করার জন্য কি ব্যবস্থা নেওয়া যেতে পারে?
- ব্যবহারকারীর প্রমাণীকরণে নিরাপত্তা এবং সুবিধার মধ্যে ট্রেড-অফ কি?
- ব্যবহারকারীর প্রমাণীকরণের সাথে জড়িত কিছু প্রযুক্তিগত চ্যালেঞ্জগুলি কী কী?
- কিভাবে একটি Yubikey এবং পাবলিক কী ক্রিপ্টোগ্রাফি ব্যবহার করে প্রমাণীকরণ প্রোটোকল বার্তাগুলির সত্যতা যাচাই করে?
- ব্যবহারকারীর প্রমাণীকরণের জন্য ইউনিভার্সাল 2nd ফ্যাক্টর (U2F) ডিভাইসগুলি ব্যবহার করার সুবিধাগুলি কী কী?
প্রমাণীকরণে আরও প্রশ্ন ও উত্তর দেখুন