ব্রুট ফোর্স কি? কিভাবে নিরাপদ থাকা যায়?


এটি একটি বিজ্ঞাপন

মূল ব্লগ নিচে

পাসওয়ার্ড ক্র্যাকিং

ব্রুট ফোর্স অ্যাটাক দিয়ে পাসওয়ার্ড ক্র্যাকিং 

হ্যাকারদের একটি সাধারণ কাজ হলো পাসওয়ার্ড ক্র্যাক করে কারোও একাউন্টে অনুপ্রবেশ করা। পাসওয়ার্ড ক্র্যাক করার জন্য নানা পদ্ধতি অবলম্বন করে হ্যাকার বা ক্র্যাকাররা। তাদের মাঝে সবচেয়ে জনপ্রিয় একটি উপায় হলো "ব্রুট ফোর্স"।  এটি হ্যাকারদের কাছে খুবই জনপ্রিয় একটি মাধ্যম। হ্যাকিংয়ের শুরু থেকেই ব্রুট ফোর্স এটাকের ব্যবহার হয়ে আসছে।

ব্রুট ফোর্স অ্যাটাক কি?

এই অ্যাটাকে মূলত কোন ব্যক্তির একাউন্টে একাধিক সম্ভাব্য পাসওয়ার্ড বারবার  দিয়ে লগইন করার চেষ্টা করা হয়। বারবার চেষ্টা করতে থাকার পর যখনই ব্যক্তির পাসওয়ার্ডের সাথে হ্যাকারের দেয়া পাসওয়ার্ড মিলে যায় তখনই একাউন্ট হ্যাক হয়ে যায়। ম্যানুয়েলি এই ধরনের এটাক দেয়া যেমন কঠিন তেমনি সময় সাপেক্ষ। তাই ব্রুট ফোর্স অ্যাটাকে নানা ধরনের অটোম্যাটেড টুলস ব্যবহার করা হয়। এই ধরনের টুল সম্ভাব্য পাসওয়ার্ডের মাঝে নানা ধরনের সংখ্যা, শব্দ বসিয়ে একাউন্টে লগইন করার চেষ্টা করে।

ব্রুট ফোর্স অ্যাটাক অনলাইন বা অফলাইন দুই ভাবেই করা যায়। অনলাইনে মূলত বিভিন্ন ওয়েবসাইটে ইউজারনেম ও পাসওয়ার্ড প্রবেশ করিয়ে পাসওয়ার্ড ক্র্যাক করার চেষ্টা করা হয়। অপরদিকে, অফলাইনে পাসওয়ার্ড ক্র্যাক করা হয় কিছু হ্যাশ্ড পাসওয়ার্ডের তালিকা সংগ্রহ করে (হ্যাশ্ড পাসওয়ার্ড কি তা এই ব্লগের নিচের দিকে তুলে ধরব)। অফলাইনে ব্রুট ফোর্স করা একটু কঠিন কারণ হ্যাশ্ড পাসওয়ার্ড সংগ্রহ করা সহজ কাজ নয়। তবে অনলাইন থেকে অফলাইনে ব্রুট ফোর্স চালানো অনেক বেশি নিরাপদ। কারণ, অনলাইনে ব্রুট ফোর্স চালানোর সময় যখন বারবার ভুল পাসওয়ার্ড (পাসওয়ার্ড না মিললে) দেওয়া হয় তখন অনেক সাইট ঐ ব্যক্তির লগইন করা বন্ধ করে দেয়। এমনকি অনেক সময় যে আইপি এড্রেস থেকে ব্রুট ফোর্স চালানো হয় সেই আইপি এড্রেসকেই ব্লক করে দেয়া হয়। তাই এই দিক থেকে অনলাইনে ব্রুট ফোর্স একটু ঝুঁকিপূর্ণ। কিন্তু অফলাইনে এটির কোন ঝামেলা বা সমস্যা নেই, যতবার ইচ্ছা পাসওয়ার্ড ক্র্যাক করার চেষ্টা করা যায়। অনলাইনে ব্রুট ফোর্সের সময় ভুল লগইন চেষ্টার হিস্টোরি রাখা হতে পারে (যেখানে আইপি এড্রেসসহ অবস্থানও ট্র্যাক করা হতে পারে), কিন্তু অফলাইনে এই ধরনের হিস্টোরি থাকার ভয় নেই।     

যেহেতু এই অ্যাটাকটিতে পাসওয়ার্ড আন্দাজ করা হয় তাই সহজ পাসওয়ার্ড গুলো সহজেই আন্দাজ করে ফেলা যায় ও একাউন্ট হ্যাক করা যায়। আর ছোট পাসওয়ার্ড হলে দ্রুত পাসওয়ার্ড ক্র্যাক করা যায়, পাসওয়ার্ড দীর্ঘ হলে সেটি ক্র্যাক করতে বেশি সময়ের প্রয়োজন হয়। কারণ পাসওয়ার্ড যত সংখ্যার হবে, সম্ভাব্য পাসওয়ার্ডের তালিকাও তত বড় হবে। যেমনঃ কারও যদি ৪সংখ্যার পাসওয়ার্ড হয় তাহলে তার পাসওয়ার্ডের জন্য সম্ভাব্য পাসওয়ার্ড হবে ১০^৪ = ১০,০০০টি (কারণ ০-৯ পর্যন্ত ১০টি সংখ্যা রয়েছে)। কিন্তু কেউ ৮সংখ্যার পাসওয়ার্ড ব্যবহার করলে সম্ভাব্য পাসওয়ার্ড বেড়ে হবে ১০^৮ = ১০০,০০০,০০০টি। আবার কেউ যদি পাসওয়ার্ডের মাঝে বর্ণ, ছোট-বড় অক্ষর, স্পেশাল অক্ষর (যেমনঃ ?, %) ব্যবহার করে তাহলে সম্ভাব্য পাসওয়ার্ডের সংখ্যা আরও বেড়ে যাবে। তখন ব্রুট ফোর্স অ্যাটাক কার্যকর করা আরও কঠিন হয়ে যাবে। 

ব্রুট ফোর্স অ্যাটাকের সাথে ব্যবহৃত হয় "ডিকশনারি অ্যাটাক" । এই অ্যাটাকের মাঝে মূলত সাধারণভাবে ব্যবহৃত পাসওয়ার্ড সমূহের একটি লিস্ট বা তালিকা পূর্বে থেকেই থাকে। সেই তালিকাটিকে ব্রুট ফোর্স অ্যাটাকে কাজে লাগানো হয়। এতে খুব তাড়াতাড়ি পাসওয়ার্ড ক্র্যাক করা যায়।

তবে এই ডিকশনারি অ্যাটাকের সীমাবদ্ধতা হলো যদি ব্যবহারকারির আসল পাসওয়ার্ড না থাকে তাহলে এই অ্যাটাক কোন কাজে লাগবেনা। তবে বেশিরভাগ লোক যাদের ইন্টারনেট ব্যবহারে অভিজ্ঞতা কম, তারা সাধারণ পাসওয়ার্ড ব্যবহার করে বলে এই অ্যাটাকটি বেশিরভাগ সময়ই কার্যকরী হয়। সাধারণভাবে ব্যবহৃত পাসওয়ার্ড হতে পারে-- গার্লফ্রেন্ডের নাম, জন্ম তারিখ, জন্মস্থান ইত্যাদির নাম।

হ্যাশ্ড পাসওয়ার্ড কি?

হ্যাশ্ড পাসওয়ার্ড হলো হ্যাশিং করা পাসওয়ার্ড। তাহলে প্রশ্ন দাঁড়ালো 'হ্যাশিং কি?' হ্যাশিং হলো হ্যাশ করা। আবার প্রশ্ন দাঁড়ালো 'হ্যাশ কি?

হ্যাশ হলো মূলত এনক্রিপ্ট করা একটি স্ট্রিং। স্ট্রিং হলো নাম্বার, সংখ্যায় তৈরি একটি বাক্য। যেমনঃ

e087ba7d246bd9c7f8b775768aef139c

উপরে দেওয়া স্ট্রিংটি হলো মূলত একটি হ্যাশ। এটিকে ডিক্রিপ্ট করলে দাঁড়াবে "You are genius"। এই বাক্যটিকে এনক্রিপ্ট করা হয়েছে MD5 (Message Digest) ফাংশন ব্যবহার করে। তবে বাক্যকে এনক্রিপ্ট করার একাধিক ফাংশন রয়েছে। আর এনক্রিপ্ট করার পর যা পাওয়া যায় সেটিই হলো হ্যাশ।    

নিরাপদ ওয়েবসাইটের পাসওয়ার্ডগুলো সাধারণত হ্যাশ করে স্টোর করা হয়ে থাকে। ব্যবহারকারী যখন পাসওয়ার্ড প্রবেশ করে তখন সেটিকে হ্যাশে রূপান্তর করা হয়ে থাকে ও ডাটাবেজে থাকা হ্যাশের সাথে সেটির ম্যাচ করা হয়। মিলে গেলেই ব্যবহারকারীকে প্রবেশ করতে দেয়া হয়।    

হ্যাশ থেকে পাসওয়ার্ড ক্র্যাক

হ্যাশ মূলত ব্যবহারকারীর ডিভাইসে স্টোর করা থাকে। উইন্ডোজ অপারেটিং সিস্টেমে সাধারণত সি ড্রাইভে উইন্ডোজ ফোল্ডারের মাঝে থাকা সিস্টেম৩২ ফোল্ডারের কনফিগ ফোল্ডারে হ্যাশগুলো স্টোর থাকে (C:\Windows\System32\config)। সেই ফাইলগুলো কোনভাবে হ্যাকার সংগ্রহ করলে পাসওয়ার্ড ক্র্যাক করার চেষ্টা চালাতে পারে। অনলাইনে বারবার ব্রুট ফোর্স চালানোর ঝুঁকি এখানে নেই, কারণ হ্যাকার নিজের ডিভাইস দিয়েই অফলাইনে পাসওয়ার্ড ক্র্যাক করতে পারে। আর পাসওয়ার্ড ক্র্যাক হয়ে গেলে একবার পাসওয়ার্ড প্রবেশ করলেই একাউন্ট হ্যাক করা যাবে।

তবে অনেক সময় একই হ্যাশ থেকে একাধিক পাসওয়ার্ড পাওয়া যেতে পারে। সেক্ষেত্রে ক্র্যাক করা পাসওয়ার্ডগুলো ও ব্রুট ফোর্স একসাথে কাজে লাগিয়ে একাউন্ট হ্যাক করা যায়।           



ব্রুট ফোর্স অ্যাটাক থেকে নিরাপদ থাকা

পূর্বেই বলেছি যত বড় পাসওয়ার্ড হবে ব্রুট ফোর্স তত কঠিন হবে। তাই পাসওয়ার্ড নির্বাচনের সময় বড় পাসওয়ার্ড ব্যবহার করতে হবে ও পাসওয়ার্ডে স্পেশাল ক্যারেক্টার যুক্ত করতে হবে।

সাধারন পাসওয়ার্ড যেমন, জন্মতারিখ, মোবাইল নাম্বার ব্যবহার করা যাবেনা। এগুলো যেকেউ অনলাইন থেকে বের করে ফেলতে পারে।

বেশিরভাগ নিরাপদ ওয়েবসাইটে 2FA (টু ফ্যাক্টর অথেনটিকেশন) অপশন থাকে সেটিকে চালু করে দিতে হবে। এতে করে কেউ পাসওয়ার্ড জানলেও লগইন করতে পারবেনা। কারণ অপরিচিত ডিভাইস থেকে লগইন করার চেষ্টা করলে এসএমএস বা ইমেইলে একটি কোড পাঠানো হবে। কোডটি প্রবেশ না করালে অপরিচিত ডিভাইস থেকে লগইন করা সম্ভব হবেনা।   

একটি মন্তব্য পোস্ট করুন

0 মন্তব্য