কোন ওয়েবসাইটে পাসওয়ার্ড ভুলে গেলে কী হয়? বেশিরভাগ ক্ষেত্রেই ইমেইল দিয়ে বা মোবাইলে টেক্সট পাঠিয়ে পাসওয়ার্ড রিসেট করা যায়। আর যদি সেই ইমেইল বা ফোন নাম্বার আর না থাকে? তখন সাইটগুলি রেজিস্ট্রেশনের সময় করা কিছু প্রশ্ন-উত্তর থেকে প্রশ্ন করে সেগুলির উত্তর চায়। উত্তর মিলে গেলে তারা তখন পাসওয়ার্ড রিসেট করতে দেয়।
আজকের লেখাটা এই ধরনের প্রশ্ন-উত্তর নিয়ে। এগুলিকে বলা হয় চ্যালেঞ্জ-রেসপন্স অথেনটিকেশন (তারা আপনাকে চ্যালেঞ্জ করবে, আপনি রেসপন্স বা উত্তর দেবেন) বা আউট অফ ওয়ালেট (যেগুলি বাইরের কারুর জানার কথা না) কোয়েশন্স।
সমস্যাটা হয় এখানেই--আসলেই কি এই সব প্রশ্নের উত্তর বাইরের কারুর জানার কথা না?
ফেইসবুকে মাঝে মাঝে এই ধরনের কিছু বিজ্ঞাপন (sponsored post) দেখা যায়, এবং আমি দেখি, আমার পরিচিত অনেকেই সেখানে উত্তর দিয়ে থাকেন। ফেইসবুক থেকে কয়েকটা নমুনা
ছবি-১
What car did you learn to drive stick shift on?
ছবি-২
What was your first pet, and what was it's name?
ছবি-৩
What street did you grow up on? Where is the first address you remember living?
ছবি-৪
What was your first job?
ছবি-৫
How long have you and your spouse been together and where did you meet?
ছবি-৬
What is your favorite movie of all time?
ছবি-৭
Do you remember your first grade teachers name?
আরো অনেক উদাহরণ দেয়া যায়, আপনিও নিশ্চয় এমন আরো প্রশ্ন দেখেছেন।
এবার ৮ ও ৯ নাম্বার ছবিগুলো দেখুন
ছবি-৮
অ্যাপল আইডি-র পাসওয়ার্ড রিসেট করার জন্য যে প্রশ্নগুলি করা হয়
ছবি-৯
হটমেইলের পাসওয়ার্ড রিসেট করার জন্য যে প্রশ্নগুলি করা হয়
এরকম ভূরি ভূরি উদাহরণ আছে।
সমস্যাটা বুঝতে পারছেন?
ফেইসবুকে বিজ্ঞাপন দেখে আপনি প্রশ্নের উত্তর কমেন্টে দিলেন। সেই কমেন্ট যে আসলে আপনার পাসওয়ার্ড রিসেট করার চ্যালেঞ্জ প্রশ্নের গোপন রেসপন্স, সেটা কী খেয়াল করছেন?
আর যদি এই বিজ্ঞাপনদাতাদের উদ্দেশ্য চ্যালেঞ্জ-রেসপন্স চুরি করা নাও হয়ে থাকে, সারা ফেইসবুকের সবাই কিন্তু আপনার উত্তর পড়তে পারছে। তার মধ্যে পাড়ার হ্যাকার হতে চাওয়া, আপনার প্রতি ক্রাশ খাওয়া মানুষটাও থাকতে পারে, অথবা থাকতে পারে আসলেই আপনার ক্ষতি করতে চায় এমন কেউ।
তাহলে কী করবেন?
১) ফেইসবুকে এইসব আজাইরা প্রশ্নের উত্তর দেবেন না
২) যদি নিতান্তই উত্তর দেয়ার জন্য হাত চুলকায়, তাহলে সত্যিকারের চ্যালেঞ্জ-রেসপন্স প্রশ্নের উত্তর হিসাবে সঠিক উত্তর দেবেন না। তবে এমন ভুল উত্তরও দেবেন না যেটা ভুলে যাবেন।
এটা করার আরেকটা কারন আছে। আপনার প্রথম গাড়ি, বা প্রিয় সিনেমা, বা ক্লাস ওয়ানের টিচারের নাম কিন্তু আপনার পরিচিত অনেকেই জানে, এবং তাদের সবাই আপনার ভাল চায় এমন কোন কথা নেই। তাদের হাত থেকে নিরাপদ থাকার জন্য ওয়েবসাইটগুলিতে ভুল, কিন্তু মনে থাকবে, এমন উত্তর দিয়ে রাখুন
৩) যদি সাইটটা আপনাকে নিজের প্রশ্ন তৈরি করতে দেয়, তাহলে সেটা করুন এবং যথাসম্ভব কঠিন প্রশ্ন লিখে যার উত্তর আর কেউ জানে না, এমন উত্তর দিন।
আপনি বা আমি সেলিব্রিটি না, আমাদের জন্মদিন বা প্রিয় প্রাণীর নাম উইকিপেডিয়াতে বা টিভিতে থাকে না। ব্যাপারটাকে সেইরকমই রাখুব, ফেইসবুকে এমন তথ্য দেবেন না যা দিয়ে পরিচিত/অপরিচিত মানুষ আপনার ইমেইল বা অন্য কোন ওয়েবসাইটের পাসওয়ার্ড রিসেট করতে পারবে।
সাইবার স্পেইসে নিরাপদ থাকুন।
---
পাদটীকাঃ
কয়েক বছর আগে সারা পেইলিন নামে অ্যামেরিকার এক ভাইস প্রেসিডেন্ট পদপ্রার্থী ছিলেন। তার ইয়াহু ইমেইলের পাসওয়ার্ড রিসেট করার চ্যালেঞ্জ প্রশ্ন ছিল, where did you meet your spouse?
সাথে দরকার ছিল তার জন্মদিন আর জিপ (পোস্টাল) কোড।
সারা পেইলিন বহু ইন্টার্ভিউতে বলেছিলেন, তার স্বামীর সাথে তার পরিচয় হয়েছিল হাইস্কুলে। আর তার হাইস্কুলের নাম, জন্মদিন, জিপ কোড গুগল সার্চ করে সহজেই পাওয়া গিয়েছিল। বুঝতেই পারছেন, ফলে তার ইয়াহু অ্যাকাউন্ট হ্যাক হয়েছিল।
https://www.wired.com/2008/09/palin-e-mail-ha/
২০০৫এ সেলিব্রিটি প্যারিস হিলটনের আইক্লাউড অ্যাকাউন্ট হ্যাক হয়েছিল। কারন তার পাসওয়ার্ড রিসেট প্রশ্ন ছিল পোষা প্রাণীর নাম, তার তার কুকুর টিংকারবেল কে তখন নিয়মিত টিভিতে দেখা যেত।
https://grahamcluley.com/paris-hiltons-hacker-sentenced-to-57-months-in-prison/
(c) Cyber Security Institute Bangladesh