মূল বিষয়বস্তুতে যান

2FA কী? দুই-ফ্যাক্টর প্রমাণীকরণ গাইড

2FA কী? দুই-ফ্যাক্টর প্রমাণীকরণ কীভাবে কাজ করে, 2FA এর পাঁচ ধরনের এবং আপনার সবচেয়ে গুরুত্বপূর্ণ অ্যাকাউন্টগুলিতে এটি কীভাবে সক্ষম করবেন।

সর্বশেষ আপডেট: ৫ এপ্রিল, ২০২৬

পাসওয়ার্ড একাই আপনার অনলাইন অ্যাকাউন্টগুলি রক্ষা করার জন্য যথেষ্ট নয়। ডেটা লঙ্ঘন প্রতি বছর বিলিয়ন বিলিয়ন শংসাপত্র প্রকাশ করে এবং এমনকি শক্তিশালী পাসওয়ার্ডগুলিও ফিশিং, কীলগার বা ব্রুট-ফোর্স আক্রমণের মাধ্যমে আপস করা যেতে পারে। দুই-ফ্যাক্টর প্রমাণীকরণ (2FA) সুরক্ষার দ্বিতীয় স্তর যোগ করে — এমনকি যদি কেউ আপনার পাসওয়ার্ড চুরি করে, তবুও তারা দ্বিতীয় ফ্যাক্টর ছাড়া আপনার অ্যাকাউন্ট অ্যাক্সেস করতে পারে না। এই গাইড ব্যাখ্যা করে 2FA কী, প্রতিটি পদ্ধতি কীভাবে কাজ করে, কোন প্রকারগুলি সবচেয়ে নিরাপদ এবং আপনার সবচেয়ে গুরুত্বপূর্ণ অ্যাকাউন্টগুলিতে এটি কীভাবে সেট আপ করবেন। আপনার ডিজিটাল জীবন রক্ষা করার জন্য আপনি নিতে পারেন এমন একক সবচেয়ে কার্যকর পদক্ষেপগুলির মধ্যে এটি একটি।

দুই-ফ্যাক্টর প্রমাণীকরণের প্রকার

SMS কোড

একটি একবার-ব্যবহারের কোড টেক্সট বার্তার মাধ্যমে আপনার ফোন নম্বরে পাঠানো হয়। আপনি লগইন সম্পূর্ণ করতে আপনার পাসওয়ার্ডের পরে এই কোডটি প্রবেশ করান। SMS 2FA সবচেয়ে ব্যাপকভাবে উপলব্ধ পদ্ধতি — প্রায় প্রতিটি পরিষেবা এটি সমর্থন করে এবং এটির জন্য কোনো অতিরিক্ত অ্যাপ বা হার্ডওয়্যারের প্রয়োজন নেই। তবে, SIM swapping আক্রমণের প্রতি দুর্বলতা (যেখানে আক্রমণকারী আপনার ক্যারিয়ারকে আপনার ফোন নম্বর তাদের SIM কার্ডে স্থানান্তর করতে প্ররোচিত করে) এবং SS7 প্রোটোকল শোষণ যা টেক্সট বার্তা আটকাতে পারে, এটি 2FA এর সবচেয়ে দুর্বল রূপ।

  • সুবিধা: ব্যাপকভাবে সমর্থিত, কোনো অ্যাপের প্রয়োজন নেই, যেকোনো ফোনে কাজ করে
  • অসুবিধা: SIM swapping, SS7 ইন্টারসেপশন এবং ফোন ক্যারিয়ারের উপর সামাজিক প্রকৌশল আক্রমণের প্রতি দুর্বল

প্রমাণীকরণ অ্যাপ (TOTP)

সময়-ভিত্তিক একবার-ব্যবহারের পাসওয়ার্ড (TOTP) অ্যাপগুলি একটি শেয়ার্ড সিক্রেট এবং বর্তমান সময় ব্যবহার করে প্রতি 30 সেকেন্ডে একটি নতুন 6-অঙ্কের কোড তৈরি করে। জনপ্রিয় অ্যাপগুলির মধ্যে রয়েছে Google Authenticator, Authy, Microsoft Authenticator এবং Ente Auth। TOTP SMS এর চেয়ে উল্লেখযোগ্যভাবে বেশি নিরাপদ কারণ কোডগুলি আপনার ডিভাইসে স্থানীয়ভাবে তৈরি হয় — আটকানোর কোনো ট্রান্সমিশন চ্যানেল নেই। কোডগুলি অফলাইনে কাজ করে এবং আপনার ফোন নম্বরের সাথে সংযুক্ত নয়। এটি বেশিরভাগ লোকের জন্য প্রস্তাবিত 2FA পদ্ধতি, শক্তিশালী নিরাপত্তাকে ব্যবহারের সহজতার সাথে ভারসাম্য রাখে।

  • সুবিধা: নিরাপদ, অফলাইন-সক্ষম, বিনামূল্যে অ্যাপ উপলব্ধ, ফোন নম্বরের সাথে সংযুক্ত নয়
  • অসুবিধা: ব্যাকআপ কোড ছাড়া আপনার ডিভাইস হারানো আপনাকে লক করে দেয়; ফিশিং সাইটগুলি এখনও রিয়েল-টাইমে কোড ক্যাপচার করতে পারে

হার্ডওয়্যার নিরাপত্তা কী

YubiKey, Google Titan এবং SoloKeys এর মতো শারীরিক ডিভাইসগুলি আপনার USB পোর্টে প্লাগ করে বা প্রমাণীকরণের জন্য NFC এর মাধ্যমে ট্যাপ করে। হার্ডওয়্যার কীগুলি FIDO2/WebAuthn স্ট্যান্ডার্ড ব্যবহার করে, যা ডিজাইন দ্বারা ফিশিং-প্রতিরোধী — কী প্রমাণীকরণের আগে ক্রিপ্টোগ্রাফিকভাবে ওয়েবসাইটের ডোমেন যাচাই করে, ফিশিং সাইটগুলির জন্য আটকানো অসম্ভব করে। Google সমস্ত কর্মচারীকে হার্ডওয়্যার কী ব্যবহার করতে দাবি করে এবং বাস্তবায়নের পর থেকে শূন্য সফল ফিশিং আক্রমণের রিপোর্ট করেছে। কীগুলির দাম $25-70 এবং উপলব্ধ সবচেয়ে নিরাপদ 2FA পদ্ধতি।

  • সুবিধা: শক্তিশালী নিরাপত্তা, ফিশিং-প্রতিরোধী, কোনো ব্যাটারি নেই, অফলাইনে কাজ করে, টেকসই
  • অসুবিধা: $25-70 খরচ, হারিয়ে যেতে বা ভুলে যেতে পারে, সমস্ত পরিষেবা দ্বারা সমর্থিত নয়

বায়োমেট্রিক্স

আঙুলের ছাপ স্ক্যানার (Touch ID), মুখ শনাক্তকরণ (Face ID) এবং আইরিস স্ক্যানার প্রমাণীকরণ ফ্যাক্টর হিসাবে আপনার শারীরিক বৈশিষ্ট্যগুলি ব্যবহার করে। বায়োমেট্রিক্স সুবিধাজনক — আপনি সর্বদা আপনার সাথে থাকেন এবং সেগুলি ভুলে যেতে পারে না। এগুলি অনেক ডিভাইস এবং পরিষেবাতে পাসওয়ার্ডের পাশাপাশি একটি দ্বিতীয় ফ্যাক্টর হিসাবে কাজ করে। তবে, বায়োমেট্রিক্স আপস করা হলে পরিবর্তন করা যায় না (পাসওয়ার্ডের বিপরীতে), এবং অনেক এখতিয়ারে আইন প্রয়োগের দ্বারা বাধ্য করা যেতে পারে। ডিভাইস জুড়ে গুণমান উল্লেখযোগ্যভাবে পরিবর্তিত হয়।

  • সুবিধা: সুবিধাজনক, সর্বদা উপলব্ধ, দ্রুত প্রমাণীকরণ, পুনরাবৃত্তি করা কঠিন
  • অসুবিধা: আপস হলে পরিবর্তন করা যায় না, আইনগতভাবে বাধ্য করা যেতে পারে, ডিভাইস অনুযায়ী গুণমান পরিবর্তিত হয়

Passkeys

Passkeys হল নতুনতম প্রমাণীকরণ স্ট্যান্ডার্ড, যা পাসওয়ার্ডগুলিকে সম্পূর্ণভাবে প্রতিস্থাপন করার জন্য ডিজাইন করা হয়েছে। FIDO2/WebAuthn এর উপর ভিত্তি করে, passkeys পাবলিক-কী ক্রিপ্টোগ্রাফি ব্যবহার করে — আপনার ডিভাইস একটি প্রাইভেট কী সংরক্ষণ করে এবং পরিষেবা সংশ্লিষ্ট পাবলিক কী সংরক্ষণ করে। প্রমাণীকরণ আপনার ডিভাইসের বায়োমেট্রিক সেন্সর বা PIN এর মাধ্যমে ঘটে, টাইপ করতে, ফিশ করতে বা চুরি করতে কোনো পাসওয়ার্ড নেই। Apple, Google এবং Microsoft তাদের অপারেটিং সিস্টেমে passkey সমর্থন একীভূত করেছে। Passkeys iCloud Keychain, Google Password Manager বা অন্যান্য প্রদানকারীদের মাধ্যমে ডিভাইস জুড়ে সিঙ্ক করে, হার্ডওয়্যার কীগুলির নিরাপত্তাকে বায়োমেট্রিক্সের সুবিধার সাথে একত্রিত করে।

  • সুবিধা: ফিশিং-প্রতিরোধী, মনে রাখার জন্য কোনো পাসওয়ার্ড নেই, ডিভাইস জুড়ে সিঙ্ক করে, দ্রুত
  • অসুবিধা: তুলনামূলকভাবে নতুন, এখনও সর্বজনীনভাবে সমর্থিত নয়, সিঙ্ক করা passkeys এর সাথে প্ল্যাটফর্ম লক-ইন উদ্বেগ

2FA সেরা অনুশীলন

  1. প্রথমে আপনার ইমেল অ্যাকাউন্টে 2FA সক্ষম করুন — এটি আপনার অন্যান্য সমস্ত অ্যাকাউন্টের মাস্টার কী। যদি কেউ আপনার ইমেল আপস করে, তারা এটির সাথে যুক্ত প্রতিটি পরিষেবাতে পাসওয়ার্ড রিসেট করতে পারে। আপনার ইমেল হল 2FA দিয়ে রক্ষা করার একক সবচেয়ে গুরুত্বপূর্ণ অ্যাকাউন্ট।
  2. যখনই সম্ভব SMS এর পরিবর্তে একটি প্রমাণীকরণ অ্যাপ ব্যবহার করুন। TOTP অ্যাপগুলি SIM swapping এবং SS7 আক্রমণ থেকে অনাক্রম্য। একটি পরিষেবা শুধুমাত্র SMS-ভিত্তিক 2FA অফার করলে, যেভাবেই হোক এটি ব্যবহার করুন — SMS 2FA এখনও কোনো 2FA না হওয়ার চেয়ে নাটকীয়ভাবে ভাল।
  3. ব্যাকআপ কোডগুলি একটি নিরাপদ, আলাদা স্থানে রাখুন। এগুলি একটি পাসওয়ার্ড ম্যানেজারে (2FA দ্বারা সুরক্ষিত একটি থেকে আলাদা) সংরক্ষণ করুন, মুদ্রণ করুন এবং একটি নিরাপদ স্থানে রাখুন, বা নিরাপদে সংরক্ষিত কাগজে লিখুন। আপনার প্রমাণীকরণকারীর মতো একই ডিভাইসে একটি এনক্রিপ্ট না করা নোটে ব্যাকআপ কোড কখনই সংরক্ষণ করবেন না।
  4. আপনার সবচেয়ে গুরুত্বপূর্ণ অ্যাকাউন্টগুলির জন্য একটি হার্ডওয়্যার নিরাপত্তা কী বিবেচনা করুন — ইমেল, ব্যাংকিং, ক্লাউড স্টোরেজ এবং পাসওয়ার্ড ম্যানেজার। একটি YubiKey 5 NFC ($50) USB-A, USB-C এবং NFC এর সাথে কাজ করে, কার্যত প্রতিটি ডিভাইসকে কভার করে। আপনার একটি ব্যাকআপ থাকার জন্য প্রতিটি অ্যাকাউন্টে দুটি কী নিবন্ধন করুন।
  5. নিয়মিতভাবে অডিট করুন কোন অ্যাকাউন্টগুলি 2FA সক্ষম রয়েছে। ট্র্যাক রাখতে একটি পাসওয়ার্ড ম্যানেজার ব্যবহার করুন। অগ্রাধিকার ক্রম: ইমেল, ব্যাংকিং এবং আর্থিক পরিষেবা, ক্লাউড স্টোরেজ, সোশ্যাল মিডিয়া, সংরক্ষিত পেমেন্ট পদ্ধতি সহ কেনাকাটা সাইট এবং যেকোনো কাজ বা পেশাদার অ্যাকাউন্ট।

কীভাবে 2FA সেট আপ করবেন

2FA সেট আপ করতে প্রতি অ্যাকাউন্টে পাঁচ মিনিটের কম সময় লাগে। বেশিরভাগ লোকের জন্য প্রস্তাবিত পদ্ধতি, প্রমাণীকরণ অ্যাপ-ভিত্তিক 2FA এর জন্য এখানে প্রক্রিয়া দেওয়া হল:

  1. নিরাপত্তা সেটিংস খুলুন:আপনার অ্যাকাউন্টের নিরাপত্তা সেটিংসে নেভিগেট করুন। "দুই-ফ্যাক্টর প্রমাণীকরণ," "2-ধাপের যাচাইকরণ," বা "লগইন নিরাপত্তা" খুঁজুন। Google এ, myaccount.google.com > Security > 2-Step Verification এ যান। Apple এ, Settings > [আপনার নাম] > Sign-In & Security এ যান।
  2. একটি 2FA পদ্ধতি নির্বাচন করুন:আপনার 2FA পদ্ধতি নির্বাচন করুন। নিরাপত্তা এবং সুবিধার সেরা ভারসাম্যের জন্য "Authenticator App" বেছে নিন। আপনার একটি না থাকলে একটি TOTP অ্যাপ ইনস্টল করুন — Google Authenticator, Authy, বা Ente Auth সবগুলোই ভাল পছন্দ। Authy এবং Ente Auth আপনার কোডগুলির এনক্রিপ্টেড ক্লাউড ব্যাকআপ অফার করে।
  3. QR কোড স্ক্যান করুন:আপনার প্রমাণীকরণ অ্যাপ দিয়ে স্ক্রিনে প্রদর্শিত QR কোড স্ক্যান করুন। অ্যাপটি একটি 6-অঙ্কের কোড তৈরি করবে যা প্রতি 30 সেকেন্ডে রিফ্রেশ হয়। সেটআপ সঠিকভাবে কাজ করছে কিনা যাচাই করতে বর্তমান কোডটি লিখুন।
  4. ব্যাকআপ কোড সংরক্ষণ করুন:আপনার ব্যাকআপ কোডগুলি অবিলম্বে সংরক্ষণ করুন। বেশিরভাগ পরিষেবা একবার-ব্যবহারের পুনরুদ্ধার কোড সরবরাহ করে যা আপনাকে আপনার প্রমাণীকরণ ডিভাইস হারালে পুনরায় অ্যাক্সেস ফিরে পেতে দেয়। এগুলি একটি পাসওয়ার্ড ম্যানেজারে সংরক্ষণ করুন, মুদ্রণ করুন, বা লিখে রাখুন এবং আপনার ডিভাইসগুলি থেকে আলাদা নিরাপদ স্থানে রাখুন। ব্যাকআপ কোড ছাড়া, আপনার ফোন হারানো আপনাকে স্থায়ীভাবে আপনার অ্যাকাউন্ট থেকে লক করে দিতে পারে।

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

এই কারণেই ব্যাকআপ কোড অপরিহার্য। আপনি যখন 2FA সেট আপ করেন, বেশিরভাগ পরিষেবা পুনরুদ্ধার কোড সরবরাহ করে — একবার-ব্যবহারের কোড যা 2FA বাইপাস করে। পুনরায় অ্যাক্সেস পেতে একটি ব্যবহার করুন, তারপর আপনার নতুন ডিভাইসে আবার 2FA সেট আপ করুন। আপনি Authy বা Ente Auth ব্যবহার করলে, আপনার কোডগুলি এনক্রিপ্টেড ক্লাউড স্টোরেজে ব্যাকআপ করা হয় এবং নতুন ডিভাইসে পুনরুদ্ধার করা যেতে পারে। Google Authenticator এখন ক্লাউড ব্যাকআপও সমর্থন করে। যদি আপনার ব্যাকআপ কোড এবং পুনরুদ্ধার পদ্ধতি না থাকে, আপনাকে পরিষেবার অ্যাকাউন্ট পুনরুদ্ধার প্রক্রিয়ার মধ্য দিয়ে যেতে হবে, যা দিন বা সপ্তাহ লাগতে পারে এবং পরিচয় যাচাইয়ের প্রয়োজন হতে পারে।

একদমই হ্যাঁ। SIM swapping এবং SS7 আক্রমণের প্রতি দুর্বলতা সত্ত্বেও, SMS 2FA স্বয়ংক্রিয় আক্রমণের সিংহভাগ অবরোধ করে। Google এর গবেষণা দেখিয়েছে যে এটি স্বয়ংক্রিয় বটগুলির 100% এবং বাল্ক ফিশিংয়ের 96% থামায়। বেশিরভাগ লোকের জন্য বাস্তবসম্মত হুমকির মডেল লক্ষ্যযুক্ত SIM swapping অন্তর্ভুক্ত করে না — এটি প্রাথমিকভাবে ক্রিপ্টোকারেন্সি ধারক এবং সর্বজনীন ব্যক্তিত্বের মতো উচ্চ-মূল্যের লক্ষ্যগুলির জন্য একটি ঝুঁকি। একটি পরিষেবা শুধুমাত্র SMS 2FA অফার করলে, এটি সক্ষম করুন। কোনো 2FA না হওয়ার চেয়ে যেকোনো 2FA নাটকীয়ভাবে ভাল।

কোনো 2FA পদ্ধতি 100% অভেদ্য নয়, কিন্তু কঠিনতা ব্যাপকভাবে পরিবর্তিত হয়। SMS কোড SIM swapping এর মাধ্যমে আটকানো যেতে পারে। TOTP কোডগুলি জটিল আক্রমণের সাথে রিয়েল-টাইমে ফিশ করা যেতে পারে যা প্রকৃত লগইন পেজে কোড রিলে করে। তবে, FIDO2 ব্যবহার করে হার্ডওয়্যার নিরাপত্তা কী ডিজাইন দ্বারা ফিশিং-প্রতিরোধী — কী ক্রিপ্টোগ্রাফিকভাবে ওয়েবসাইটের ডোমেন যাচাই করে, ফিশিং অসম্ভব করে। Passkeys একই সুরক্ষা উত্তরাধিকার সূত্রে পায়। বেশিরভাগ লোকের জন্য, TOTP-ভিত্তিক 2FA বাস্তবসম্মত হুমকির বিরুদ্ধে যথেষ্টের বেশি সুরক্ষা প্রদান করে।

আদর্শভাবে হ্যাঁ, কিন্তু কৌশলগতভাবে অগ্রাধিকার দিন। আপনার ইমেল অ্যাকাউন্ট সবচেয়ে গুরুত্বপূর্ণ — এটি অন্য সবকিছুর জন্য পুনরুদ্ধার প্রক্রিয়া। তারপর, ব্যাংকিং এবং আর্থিক পরিষেবা, ক্লাউড স্টোরেজ (Google Drive, iCloud, Dropbox), সোশ্যাল মিডিয়া, সংরক্ষিত পেমেন্ট তথ্য সহ যেকোনো অ্যাকাউন্ট এবং আপনার পাসওয়ার্ড ম্যানেজারে 2FA সক্ষম করুন। ব্যক্তিগত ডেটা ছাড়া কম-অগ্রাধিকার নিষ্পত্তি অ্যাকাউন্টগুলি বাদ দেওয়া যেতে পারে যদি আপনি অভিভূত হন, কিন্তু লক্ষ্য সর্বত্র 2FA হওয়া উচিত।

FIDO2/WebAuthn স্ট্যান্ডার্ড ব্যবহার করে হার্ডওয়্যার নিরাপত্তা কী (YubiKey, Google Titan) উপলব্ধ 2FA এর সবচেয়ে নিরাপদ রূপ। এগুলি ডিজাইন দ্বারা ফিশিং-প্রতিরোধী, শারীরিক দখলের প্রয়োজন এবং আটকাতে বা রিলে করতে কোনো কোড নেই। Passkeys ক্লাউড সিঙ্কের অতিরিক্ত সুবিধা সহ অনুরূপ নিরাপত্তা প্রদান করে। TOTP প্রমাণীকরণ অ্যাপ পরবর্তী সেরা বিকল্প — SMS এর চেয়ে উল্লেখযোগ্যভাবে বেশি নিরাপদ। SMS দুর্বলতম 2FA কিন্তু এখনও শুধু পাসওয়ার্ড প্রমাণীকরণের চেয়ে অনেক ভাল।

হ্যাঁ, এটি তাদের ডিজাইন অভিপ্রায়। Passkeys পাসওয়ার্ড এবং দ্বিতীয় ফ্যাক্টরকে একটি একক, ফিশিং-প্রতিরোধী প্রমাণীকরণ পদক্ষেপে একত্রিত করে। একটি পাসওয়ার্ড টাইপ করার পরিবর্তে এবং তারপর একটি কোড প্রবেশ করানোর পরিবর্তে, আপনি কেবল আপনার ডিভাইসের বায়োমেট্রিক সেন্সর বা PIN দিয়ে প্রমাণীকরণ করেন। অন্তর্নিহিত FIDO2 ক্রিপ্টোগ্রাফি পাসওয়ার্ড + TOTP সম্মিলিতভাবে চেয়ে শক্তিশালী নিরাপত্তা প্রদান করে। তবে, passkey গ্রহণ এখনও বাড়ছে — সমস্ত পরিষেবা এখনও এগুলি সমর্থন করে না। ট্রানজিশন সময়কালে, এমন পরিষেবাগুলিতে ঐতিহ্যবাহী 2FA (প্রমাণীকরণ অ্যাপ বা হার্ডওয়্যার কী) ব্যবহার করা চালিয়ে যান যা এখনও passkeys সমর্থন করে না।