ব্রাউজার পাসওয়ার্ড ম্যানেজারের পাসওয়ার্ড জেনারেশন, স্টোরেজ ও অটোফিল কার্যকারিতার নিরাপত্তা মূল্যায়ন

১. ভূমিকা

সুপরিচিত নিরাপত্তা চ্যালেঞ্জ থাকা সত্ত্বেও, পাসওয়ার্ড-ভিত্তিক প্রমাণীকরণ ওয়েব প্রমাণীকরণের প্রাথমিক পদ্ধতি হিসেবে রয়ে গেছে। ব্যবহারকারীরা উচ্চ-শক্তির, অনন্য পাসওয়ার্ড তৈরি এবং মনে রাখার ক্ষেত্রে জ্ঞানীয় বোঝার সম্মুখীন হন, যার ফলে পাসওয়ার্ড পুনরায় ব্যবহার এবং দুর্বল শংসাপত্র তৈরি হয়। পাসওয়ার্ড ম্যানেজারগুলি পাসওয়ার্ড তৈরি, সংরক্ষণ এবং স্বয়ংক্রিয়ভাবে পূরণ করার মাধ্যমে এই বোঝা লাঘব করার প্রতিশ্রুতি দেয়। তবে, পূর্ববর্তী গবেষণায় তাদের নিরাপত্তা নিয়ে প্রশ্ন উঠেছে। প্রধান দুর্বলতা রিপোর্ট হওয়ার পাঁচ বছর পর, এই নিবন্ধটি তেরটি জনপ্রিয় ব্রাউজার-ভিত্তিক পাসওয়ার্ড ম্যানেজারের একটি আপডেট, ব্যাপক নিরাপত্তা মূল্যায়ন উপস্থাপন করে। এই গবেষণায় পাসওয়ার্ড ম্যানেজারের সম্পূর্ণ জীবনচক্র অন্তর্ভুক্ত রয়েছে: তৈরি, সংরক্ষণ এবং স্বয়ংক্রিয় পূরণ।

২. পদ্ধতি ও পরিধি

এই মূল্যায়নে তেরোটি পাসওয়ার্ড ম্যানেজার অন্তর্ভুক্ত করা হয়েছে, যার মধ্যে রয়েছে পাঁচটি ব্রাউজার এক্সটেনশন (যেমন LastPass, 1Password), ছয়টি অন্তর্নির্মিত ব্রাউজার ম্যানেজার (যেমন Chrome, Firefox) এবং তুলনার জন্য দুটি ডেস্কটপ ক্লায়েন্ট। পদ্ধতিগুলির মধ্যে রয়েছে:

• ১৪.৭ মিলিয়ন পাসওয়ার্ড সমৃদ্ধ একটি কর্পাস তৈরি ও বিশ্লেষণ করে এর এলোমেলোতা ও শক্তি মূল্যায়ন করা।
• পাসওয়ার্ড সংরক্ষণ নিরাপত্তার পূর্ববর্তী মূল্যায়ন প্রতিলিপি ও সম্প্রসারণ করা।
• স্বয়ংক্রিয় পূরণ প্রক্রিয়ায় ক্লিকজ্যাকিং ও XSS-এর মতো দুর্বলতা পরীক্ষা করা।
• ডিফল্ট নিরাপত্তা সেটিংস এবং এনক্রিপশন অনুশীলন মূল্যায়ন।

3. পাসওয়ার্ড জেনারেশন বিশ্লেষণ

পাসওয়ার্ড ম্যানেজারগুলির পাসওয়ার্ড জেনারেশন অ্যালগরিদমের উপর এটি প্রথম সম্পূর্ণ বিশ্লেষণ।

4. পাসওয়ার্ড সংরক্ষণ নিরাপত্তা

পাঁচ বছর আগের মূল্যায়নের তুলনায় উন্নতি হলেও, এখনও গুরুতর সমস্যাগুলো বিদ্যমান।

5. অটোফিল মেকানিজমের দুর্বলতা

সুবিধার জন্য ডিজাইন করা অটোফিল কার্যকারিতা একটি উল্লেখযোগ্য আক্রমণের পৃষ্ঠভূমি প্রবর্তন করে।

6. ফলাফল ও তুলনামূলক বিশ্লেষণ

মূল ফলাফল: পূর্ববর্তী গবেষণার (যেমন Li et al., 2014; Silver et al., 2013) তুলনায় সামগ্রিক অবস্থার উন্নতি হয়েছে, তবে একাধিক সরবরাহকারীর মধ্যে এখনও মৌলিক নিরাপত্তা ত্রুটি বিদ্যমান। তিনটি মূল্যায়ন পর্যায়ে (উৎপাদন, সংরক্ষণ, স্বয়ংক্রিয় পূরণ) কোন পাসওয়ার্ড ম্যানেজারই নিখুঁত নয়। অন্তর্নির্মিত ব্রাউজার ম্যানেজার এবং বিশেষায়িত এক্সটেনশন উভয়ই ভিন্ন ধরনের দুর্বলতার ধরণ প্রদর্শন করে।

7. সুপারিশ ও ভবিষ্যৎ দিকনির্দেশনা

এই নিবন্ধটি বাস্তবায়নযোগ্য সুপারিশের মাধ্যমে সমাপ্ত হয়েছে:

• ব্যবহারকারীদের জন্য: পরিচিত গঠনগত ত্রুটি বা অনিরাপদ অটোফিল ডিফল্ট সেটিংস আছে এমন পাসওয়ার্ড ম্যানেজার ব্যবহার এড়িয়ে চলুন। যে ম্যানেজারগুলো অটোফিল আচরণের উপর সূক্ষ্ম নিয়ন্ত্রণের অনুমতি দেয় সেগুলোকে অগ্রাধিকার দিন।
• ডেভেলপারদের জন্য: ক্রিপ্টোগ্রাফিকভাবে নিরাপদ র্যান্ডম নম্বর জেনারেটর পাসওয়ার্ড তৈরির জন্য প্রয়োগ করুন। সমস্ত মেটাডেটা এনক্রিপ্ট করুন। অটোফিলের জন্য শক্তিশালী উৎস যাচাই এবং ব্যবহারকারীর সম্মতি প্রক্রিয়া প্রয়োগ করুন (যেমন, এমন একটি উপাদানে ক্লিক করার প্রয়োজন যা ইন্টারফেস দ্বারা ছদ্মবেশ ধারণ করতে পারে না)।
• গবেষকদের জন্য: অটোফিল লজিক যাচাই করার জন্য আনুষ্ঠানিক পদ্ধতি প্রয়োগ করা এবং আক্রমণ নির্দেশ করে এমন অস্বাভাবিক অটোফিল অনুরোধ সনাক্ত করতে মেশিন লার্নিং প্রয়োগ করা অন্বেষণ করুন।

8. মূল বিশ্লেষণ ও বিশেষজ্ঞ মতামত

মূল অন্তর্দৃষ্টি: Oesch এবং Ruoti-এর গবেষণা একটি চিন্তা-উদ্রেককারী বাস্তবতা পরীক্ষা উপস্থাপন করে: আমরা যে নিরাপদ সরঞ্জামগুলির উপর ডিজিটাল চাবি সংহত করার জন্য নির্ভর করি, সেগুলো নিজেই আশ্চর্যজনকভাবে দুর্বল ভিত্তির উপর নির্মিত। বড় ধরনের দুর্বলতা প্রকাশিত হওয়ার পাঁচ বছর পর, শিল্পের অগ্রগতি সর্বোত্তমভাবে ধীরগতির, এবং তিনটি মূল স্তম্ভ—উৎপাদন, সংরক্ষণ এবং স্বয়ংক্রিয় পূরণ—সবগুলিতেই বিদ্যমান পদ্ধতিগত সমস্যাগুলো সমাধানে ব্যর্থ। এটি কেবল একটি দুর্বলতা প্রতিবেদন নয়; এটি একটি গুরুত্বপূর্ণ নিরাপত্তা ক্ষেত্রে আত্মতুষ্টির বিরুদ্ধে একটি অভিযোগ।

যৌক্তিক ধারা: এই নিবন্ধের শক্তি এর সামগ্রিক জীবনচক্র পদ্ধতিতে নিহিত। এটি সঠিকভাবে নির্দেশ করে যে, একটি শৃঙ্খলের শক্তি এর দুর্বলতম লিঙ্কের উপর নির্ভরশীল। জেনারেশন পর্যায়ে নন-র্যান্ডমনেস ($P(char) \neq \frac{1}{N}$) শনাক্তকরণ মৌলিকভাবে পুরো প্রিমিসকেই দুর্বল করে দেয়, স্টোরেজ বা অটোফিল বিবেচনার আগেই। অতীতের স্টোরেজ/অটোফিল টেস্টের প্রতিলিপিকরণ একটি প্যাটার্ন দেখায়: যদিও উপরিভাগের দুর্বলতা প্যাচ করা হতে পারে, স্থাপত্যিক ত্রুটি (যেমন এনক্রিপ্টবিহীন মেটাডেটা বা অত্যধিক শিথিল অটোফিল) থেকে যায়। এই ত্রুটিপূর্ণ সৃষ্টি থেকে অনিরাপদ প্রক্রিয়াকরণ এবং তারপর ঝুঁকিপূর্ণ ডেপ্লয়মেন্ট পর্যন্ত যৌক্তিক অগ্রগতি একটি সম্পূর্ণ এবং হতাশাজনক চিত্র আঁকে।

শক্তি ও সীমাবদ্ধতা: এই গবেষণার প্রধান শক্তি হল পাসওয়ার্ড জেনারেশনের জন্য এর বৃহৎ-স্কেল, ডেটা-চালিত পদ্ধতি – যা সাহিত্যে প্রথম। 1.47 বিলিয়ন পাসওয়ার্ডের কর্পাস অ্যালগরিদমিক দুর্বলতার জন্য অখণ্ডনীয় পরিসংখ্যানগত প্রমাণ প্রদান করে, তাত্ত্বিক উদ্বেগকে অতিক্রম করে। যাইহোক, এই বিশ্লেষণের একটি ব্লাইন্ড স্পট রয়েছে: এটি মূলত পাসওয়ার্ড ম্যানেজারকে বিচ্ছিন্ন ক্লায়েন্ট হিসেবে বিবেচনা করে। আধুনিক বাস্তবতা হল ক্লাউড সিঙ্ক এবং মোবাইল অ্যাপ্লিকেশন। IEEE সিকিউরিটি অ্যান্ড প্রাইভেসি ওয়ার্কশপ-এর ক্লাউড সিকিউরিটি মডেল সম্পর্কিত প্রসিডিংস-এ যেমন উল্লেখ করা হয়েছে, হুমকির পরিধি সিঙ্ক্রোনাইজেশন প্রোটোকল, সার্ভার-সাইড API এবং মোবাইল অপারেটিং সিস্টেম ইন্টিগ্রেশনে প্রসারিত হয়েছে, যা এই গবেষণা মূল্যায়ন করেনি। এছাড়াও, "অনিরাপদ ডিফল্ট সেটিংস" উল্লেখ করা হলেও, নিরাপদ সেটিংস-এর ব্যবহারকারী গ্রহণের হার পরিমাপ করা হয়নি – যা বাস্তব-বিশ্বের ঝুঁকির একটি গুরুত্বপূর্ণ ফ্যাক্টর, যেমন USENIX SOUPS-এর ইউজেবিলিটি স্টাডিজ ধারাবাহিকভাবে দেখায় যে বেশিরভাগ ব্যবহারকারী কখনো ডিফল্ট সেটিংস পরিবর্তন করে না।

কার্যকরী অন্তর্দৃষ্টি: এন্টারপ্রাইজ নিরাপত্তা দলের জন্য, এই গবেষণা সাধারণভাবে "পাসওয়ার্ড ম্যানেজার ব্যবহার করুন" সুপারিশ থেকে নির্দিষ্ট বিক্রেতা-নির্দিষ্ট, কনফিগারেশন-নির্দিষ্ট নির্দেশনার দিকে একটি পরিবর্তনের দাবি করে। দুর্বল জেনারেটর সহ ম্যানেজারগুলিকে অবশ্যই ব্ল্যাকলিস্টে অন্তর্ভুক্ত করতে হবে। ক্রয় তালিকায় এখন CSPRNG-এর ব্যবহার এবং মেটাডেটা এনক্রিপশন যাচাই অন্তর্ভুক্ত করতে হবে। ডেভেলপারদের জন্য, এগিয়ে যাওয়ার পথটি স্পষ্ট: অটোফিলের জন্য একটি "জিরো ট্রাস্ট" নীতি গ্রহণ করা, প্রতিটি পপুলেশন অপারেশনের জন্য স্পষ্ট, প্রসঙ্গ-ভিত্তিক ব্যবহারকারীর সম্মতি প্রয়োজন, ওয়ার্ল্ড ওয়াইড ওয়েব কনসোর্টিয়াম দ্বারা শক্তিশালী ওয়েব API-এর জন্য প্রবর্তিত অনুমতি মডেলের অনুরূপ। ভবিষ্যৎ একটি অত্যধিক উদার অটোফিলকে নিখুঁতভাবে সুরক্ষিত করার চেষ্টায় নয়, বরং একটি ন্যূনতম অনুমতি, ব্যবহারকারী-নিয়ন্ত্রিত অটোফিল ডিজাইন করার মধ্যে নিহিত। পাঁচ বছরের মধ্যে শিল্প নিজেকে সংশোধন করতে ব্যর্থ হয়েছে, এটি ইঙ্গিত দেয় যে এই ডিজিটাল পরিচয় রক্ষকদের জন্য বেসলাইন নিরাপত্তা প্রয়োজনীয়তা বাধ্যতামূলক করার জন্য নিয়ন্ত্রক কর্তৃপক্ষ বা মান সংস্থা (যেমন NIST বা FIDO Alliance) এর হস্তক্ষেপ প্রয়োজন হতে পারে।

9. প্রযুক্তিগত বিবরণ ও পরীক্ষামূলক ফলাফল

পাসওয়ার্ড জেনারেশন বিশ্লেষণ: একটি ক্যারেক্টার সেট $C$ থেকে দৈর্ঘ্য $L$ এর একটি পাসওয়ার্ড জেনারেট করার সময়, এর এনট্রপি $H$ আদর্শভাবে $H = L \cdot \log_2(|C|)$ বিট হওয়া উচিত। গবেষণায় দেখা গেছে যে, ক্যারেক্টার নির্বাচনে পক্ষপাতের কারণে, কম কার্যকর এনট্রপি সহ উদাহরণ রয়েছে। উদাহরণস্বরূপ, যদি একটি জেনারেটর 94টি ক্যারেক্টারের একটি সেট ব্যবহার করার কথা হয়, কিন্তু কিছু ক্যারেক্টারের সংঘটনের সম্ভাবনা $p \ll \frac{1}{94}$ হয়, তাহলে প্রকৃত এনট্রপি হ্রাস পায়: প্রতিটি ক্যারেক্টারের প্রকৃত এনট্রপি হল $H_{actual} = -\sum_{i=1}^{94} p_i \log_2(p_i)$, যেখানে $\sum p_i = 1$।

পরীক্ষামূলক গ্রাফ বর্ণনা: একটি গুরুত্বপূর্ণ চিত্র গবেষণায়ক্র্যাক করা পাসওয়ার্ডের ক্রমবর্ধমান অনুপাত与অনুমান প্রচেষ্টার সংখ্যা(লগারিদমিক স্কেলে) তুলনা করা হয়েছে, বিভিন্ন দৈর্ঘ্যের (যেমন ৮, ১২, ১৬ অক্ষর) তৈরি পাসওয়ার্ডের জন্য। ১০ অক্ষরের কম পাসওয়ার্ডের বক্ররেখা একটি খাড়া উত্থান দেখায়, যা নির্দেশ করে যে অনলাইন আক্রমণের সিমুলেশনে (যেমন ১০০০ বার অনুমান) এগুলি দ্রুত ভেঙে পড়ে। ১৮ অক্ষরের কম পাসওয়ার্ডের বক্ররেখা দেখায় যে $10^{10}$ থেকে $10^{12}$ বার অফলাইন অনুমানের পরে, পাসওয়ার্ডের একটি উল্লেখযোগ্য অনুপাত ক্র্যাক হয়ে যায়, যা আধুনিক হার্ডওয়্যার সহ দৃঢ় আক্রমণকারীর ক্ষমতার মধ্যে এগুলিকে রাখে, যেমন Hashcat এবং রেইনবো টেবিলের মতো টুলগুলির বেঞ্চমার্ক দ্বারা প্রদর্শিত হয়।

10. বিশ্লেষণ কাঠামো ও কেস স্টাডি

পাসওয়ার্ড ম্যানেজার নিরাপত্তা মূল্যায়নের কাঠামো:

1. জেনারেশন ইন্টিগ্রিটি: 对输出进行随机性统计测试（例如NIST STS、Dieharder测试）并计算有效熵。验证最小长度默认值是否符合当前NIST指南（>= 12字符）。
2. স্টোরেজ নিরাপত্তা: স্থানীয় সংরক্ষণ (যেমন ব্রাউজার IndexedDB, SQLite ফাইল) এবং নেটওয়ার্ক ট্রাফিক এনক্রিপ্ট করা ডেটা ও প্লেইনটেক্সট ডেটা পরীক্ষা করুন। এনক্রিপশন লাইব্রেরি এবং কী ডেরিভেশন ফাংশন অডিট করুন (যেমন, পর্যাপ্ত পুনরাবৃত্তি সহ PBKDF2, বা Argon2 ব্যবহার করা হয়েছে কিনা?)।
3. অটোফিল নিরাপত্তা অবস্থা: অটোফিল ট্রিগার মেকানিজম ম্যাপ করুন। ওভারল্যাপিং iframe তৈরি করে ইন্টারফেস ছদ্মবেশ পরীক্ষা করুন। একই রকম ডোমেইন নাম সহ ওয়েবসাইট (যেমন `example.com` বনাম `example.com.evil.net`) মোতায়েন করে উৎস ম্যাচিং লজিক পরীক্ষা করুন। অটোফিলের জন্য ব্যবহারকারীর অপ্রত্যাশিত পৃষ্ঠা উপাদানে জেসচার প্রয়োজন কিনা তা পরীক্ষা করুন।

কেস স্টাডি - ক্লিকজ্যাকিং দুর্বলতা: ম্যানেজার X বিবেচনা করুন, যা লগইন ফর্মে একটি অটোফিল বাটন প্রদর্শন করে। আক্রমণকারী একটি দূষিত পৃষ্ঠা তৈরি করে যাতে `bank.com` লোড করা একটি অদৃশ্য iframe রয়েছে। iframe টিকে এমনভাবে অবস্থান করা হয় যাতে ম্যানেজার X-এর অটোফিল বাটনটি দূষিত পৃষ্ঠার একটি লুকানো "আক্রমণকারীর কাছে জমা দিন" বাটনের উপরে প্রদর্শিত হয়। ব্যবহারকারী অটোফিল করতে ক্লিক করে, কিন্তু প্রকৃতপক্ষে আক্রমণকারীর বাটনে ক্লিক করে, ফলে `bank.com` এর শংসাপত্র আক্রমণকারীর সার্ভারে প্রেরিত হয়। এটি প্রমাণ করে যে ম্যানেজারের ক্লিক ইভেন্ট বাইন্ডিং এবং উৎস যাচাইকরণে ত্রুটি রয়েছে।

11. ভবিষ্যতের প্রয়োগ ও গবেষণার সম্ভাবনা

এই অনুসন্ধানগুলি ভবিষ্যতের কাজের জন্য বেশ কয়েকটি দিক উন্মোচন করেছে:

• হার্ডওয়্যার-সমর্থিত উৎপাদন ও সংরক্ষণ: ট্রাস্টেড প্ল্যাটফর্ম মডিউল বা নিরাপদ এনক্লেভ (যেমন Apple-এর সিকিউর এনক্লেভ) এর সাথে একীভূতকরণ, এলোমেলো বীজ উৎপাদন এবং এনক্রিপশন কী সংরক্ষণের জন্য, গোপনীয়তাকে সম্পূর্ণ সফ্টওয়্যার এলাকা থেকে বের করে আনার জন্য।
• প্রসঙ্গ-সচেতন, ঝুঁকি-ভিত্তিক স্বয়ংক্রিয় পূরণ: স্বয়ংক্রিয় পূরণের ঝুঁকি মূল্যায়নের জন্য মেশিন লার্নিং ব্যবহার করে পৃষ্ঠার প্রসঙ্গ (DOM কাঠামো, সার্টিফিকেটের বিবরণ, ওয়েবসাইটের খ্যাতি) বিশ্লেষণ করা হয়। উচ্চ-ঝুঁকির পরিস্থিতিতে অতিরিক্ত প্রমাণীকরণ (বায়োমেট্রিক্স) বা সম্পূর্ণ স্বয়ংক্রিয় পূরণ বাধাদানের প্রয়োজন হতে পারে।
• প্রমিত নিরাপত্তা API: ব্রাউজার স্ট্যান্ডার্ডাইজড, অনুমতিযুক্ত পাসওয়ার্ড ম্যানেজার API (যেমন `chrome.loginState` API-এর উত্তরসূরি) বিকাশ করুন, যা নিরাপদ, স্যান্ডবক্সড ক্রেডেনশিয়াল অ্যাক্সেস প্রদান করে এবং স্পষ্ট ব্যবহারকারী সম্মতি প্রম্পটের সাথে থাকে, যাতে নির্বিচারে DOM ইনজেকশন থেকে আক্রমণের পৃষ্ঠা হ্রাস পায়।
• পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফি প্রস্তুতি: পাসওয়ার্ড ম্যানেজার এনক্রিপশনকে কোয়ান্টাম কম্পিউটার আক্রমণ প্রতিরোধী অ্যালগরিদমে স্থানান্তর করার বিষয়ে গবেষণা করুন, কারণ এনক্রিপ্টেড ভল্ট একটি দীর্ঘমেয়াদী সম্পদ এবং "এখন চুরি করুন, পরে ডিক্রিপ্ট করুন" প্রতিপক্ষের জন্য অত্যন্ত আকর্ষণীয়।
• বিকেন্দ্রীকরণ এবং স্ব-হোস্টিং মডেল: কেন্দ্রীয় ভল্টের উপর নির্ভরতা হ্রাস, ঝুঁকি বিকেন্দ্রীকরণ এবং ব্যবহারকারীদের বৃহত্তর নিয়ন্ত্রণ প্রদানের জন্য বিকেন্দ্রীকৃত পরিচয় প্রোটোকল (যেমন W3C যাচাইযোগ্য শংসাপত্র ভিত্তিক) ব্যবহার অন্বেষণ করুন।

12. References

1. Oesch, S., & Ruoti, S. (2020). That Was Then, This Is Now: A Security Evaluation of Password Generation, Storage, and Autofill in Browser-Based Password Managers. USENIX Security Symposium.
2. Li, Z., He, W., Akhawe, D., & Song, D. (2014). The Emperor's New Password Manager: Security Analysis of Web-based Password Managers. IEEE Symposium on Security and Privacy (SP).
3. Silver, D., Jana, S., Boneh, D., Chen, E., & Jackson, C. (2013). Password Managers: Attacks and Defenses. USENIX Security Symposium.
4. ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (NIST)। (২০১৭)। ডিজিটাল আইডেন্টিটি গাইডলাইনস (SP 800-63B).
5. Stock, B., & Johns, M. (2013). Protecting the Intranet Against "JavaScript Malware" and Related Attacks. International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (DIMVA).
6. Herley, C. (2009). So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. Proceedings of the New Security Paradigms Workshop (NSPW).
7. World Wide Web Consortium (W3C). (2021). অনুমতি নীতি. https://www.w3.org/TR/permissions-policy-1/
8. FIDO Alliance. (2022). FIDO2: WebAuthn & CTAP. https://fidoalliance.org/fido2/