২০২৬ সালে পাসকি (Passkeys): একটি ব্যবহারিক ইঞ্জিনিয়ারিং গাইড
পাসওয়ার্ড এখন আর নিরাপদ নয়। এগুলো শেয়ার্ড সিক্রেটের (shared secrets) ওপর নির্ভর করে। যদি কোনো সার্ভার পাসওয়ার্ড সংরক্ষণ করে, তবে আপনার অ্যাটাক সারফেস (attack surface) বা আক্রমণের ঝুঁকি দ্বিগুণ হয়ে যায়।
তথ্য বলছে এই ঝুঁকি বিশাল। চুরি হওয়া ক্রেডেনশিয়াল (credentials) অধিকাংশ ডেটা ব্রিচ বা তথ্য চুরির কারণ হয়ে দাঁড়ায়। ইনফোস্টিলর (Infostealer) ম্যালওয়্যার প্রতি বছর লক্ষ লক্ষ পাসওয়ার্ড সংগ্রহ করে। এমনকি 2FA-এরও ত্রুটি রয়েছে। SMS কোডগুলো সিম সোয়াপিং (SIM swapping)-এর শিকার হয়। TOTP টোকেনগুলো রিয়েল-টাইম ফিশিংয়ের সম্মুখীন হয়।
পাসকি (Passkeys) এই চিত্র বদলে দিচ্ছে। এগুলো WebAuthn এবং FIDO2-এর মাধ্যমে পাবলিক-কি ক্রিপ্টোগ্রাফি (public-key cryptography) ব্যবহার করে।
কিভাবে কাজ করে: • আপনার ডিভাইস একটি পাবলিক-প্রাইভেট কি পেয়ার (public-private key pair) তৈরি করে। • প্রাইভেট কি আপনার হার্ডওয়্যারের মধ্যেই থাকে। • সার্ভার শুধুমাত্র পাবলিক কি-টি পায়। • লগইন করার সময়, আপনার ডিভাইস একটি র্যান্ডম চ্যালেঞ্জ (random challenge) সাইন করে। • কোনো গোপন তথ্য নেটওয়ার্কের মাধ্যমে আদান-প্রদান হয় না।
এটি ফিশিং প্রতিরোধ করে কারণ পাসকি আপনার নির্দিষ্ট ডোমেইনের সাথে যুক্ত থাকে। আপনার সাইটের জন্য তৈরি পাসকি কোনো ভুয়া সাইটে কাজ করবে না।
কিভাবে ইমপ্লিমেন্ট করবেন: সরাসরি (raw) WebAuthn কোড লিখবেন না। এটি ভেঙে ফেলা বা ভুল হওয়া সহজ। TypeScript এবং Node.js-এর জন্য SimpleWebAuthn ব্যবহার করুন। এটি আপনার হয়ে জটিল গাণিতিক কাজগুলো সম্পন্ন করে দেয়।
ইনস্টলেশন: npm install @simplewebauthn/server @simplewebauthn/browser
সাধারণ ভুল যা এড়ানো উচিত: • চ্যালেঞ্জ পুনরায় ব্যবহার করা। চ্যালেঞ্জ অবশ্যই একবার ব্যবহারযোগ্য এবং সার্ভার-জেনারেটেড হতে হবে। • কাউন্টার উপেক্ষা করা। ক্লোন করা কি (cloned keys) শনাক্ত করতে সর্বদা ক্রেডেনশিয়াল কাউন্টার আপডেট করুন। • রিকভারির কথা ভুলে যাওয়া। যদি কোনো ব্যবহারকারী তার ডিভাইস হারিয়ে ফেলেন, তবে তিনি তার অ্যাকাউন্টটিও হারিয়ে ফেলবেন। তাই প্রথমেই একটি রিকভারি পাথ (recovery path) তৈরি করুন। • দুর্বল UX। ক্রস-ডিভাইস ফ্লোতে (cross-device flows) প্রায়শই কম কমপ্লিশন রেট দেখা যায়। মাইগ্রেশনের সময় একটি ফলব্যাক (fallback) ব্যবস্থা রাখুন।
মাইগ্রেশন কৌশল:
- ধাপ ১: পাসওয়ার্ড লগইনের পর পাসকি ব্যবহারের সুযোগ (opt-in) দিন।
- ধাপ ২: অধিকাংশ ব্যবহারকারী গ্রহণ করার পর পাসকিকে প্রাথমিক পদ্ধতি হিসেবে নির্ধারণ করুন।
- ধাপ ৩: সমস্ত নতুন সাইনআপের জন্য পাসকি বাধ্যতামূলক করুন।
ইন্ডাস্ট্রি ইতিমধ্যেই এই দিকে অগ্রসর হয়েছে। Google রিপোর্ট করেছে যে পাসকি ব্যবহারের ফলে অ্যাকাউন্ট কম্প্রোমাইজ হওয়ার হার অনেক কমে গেছে। Amazon এবং TikTok-এর মতো বড় প্ল্যাটফর্মগুলো এগুলো ব্যবহার করছে। আপনি যদি এগুলো সাপোর্ট না করেন, তবে আপনি পিছিয়ে পড়বেন।
Source: https://dev.to/moksh/passkeys-in-2026-a-practical-engineering-guide-to-passwordless-auth-15pj