সূচিপত্র
1. ভূমিকা ও সারসংক্ষেপ
পাসওয়ার্ড এখনও প্রধান প্রমাণীকরণ পদ্ধতি, কিন্তু তাদের ব্যবস্থাপনা একটি গুরুত্বপূর্ণ নিরাপত্তা চ্যালেঞ্জ উপস্থাপন করে। ঐতিহ্যগত পাসওয়ার্ড ম্যানেজার কেন্দ্রীয় ব্যর্থতার বিন্দু তৈরি করে, যেমন লাস্টপাসের মতো লঙ্ঘন দ্বারা প্রমাণিত। নির্ধারক পাসওয়ার্ড জেনারেটর (ডিপিজি) দুই দশকেরও বেশি সময় ধরে একটি বিকল্প হিসাবে প্রস্তাবিত হয়েছে, যা একটি মাস্টার গোপনীয়তা এবং ডোমেইন নাম থেকে সাইট প্রতি অনন্য পাসওয়ার্ড তৈরি করে, সংরক্ষণ দূর করে। যাইহোক, বিদ্যমান ডিপিজি-গুলি উল্লেখযোগ্য নিরাপত্তা, গোপনীয়তা এবং ব্যবহারযোগ্যতার ত্রুটি ভোগ করে যা ব্যাপক গ্রহণে বাধা দিয়েছে।
এই গবেষণাপত্রটি বহু-উপাদান নির্ধারক পাসওয়ার্ড জেনারেটর (এমএফডিপিজি) উপস্থাপন করে, একটি নতুন নকশা যা এই ত্রুটিগুলি সমাধান করে। এমএফডিপিজি মাস্টার গোপনীয়তাকে শক্তিশালী করতে বহু-উপাদান কী উদ্ভব ব্যবহার করে, নিরাপদ পাসওয়ার্ড প্রত্যাহারের জন্য সম্ভাব্যতামূলক ডেটা স্ট্রাকচার নিয়োগ করে এবং জটিল পাসওয়ার্ড নীতিমালা মেনে চলতে নির্ধারক সসীম অটোমেটন (ডিএফএ) ট্রাভার্সাল ব্যবহার করে। ফলাফল হল এমন একটি সিস্টেম যার জন্য ক্লায়েন্ট বা সার্ভার-সাইড গোপনীয়তা সংরক্ষণের প্রয়োজন নেই, যখন এটি দুর্বল শুধুমাত্র-পাসওয়ার্ড ওয়েবসাইটগুলিকে শক্তিশালী বহু-উপাদান প্রমাণীকরণে আপগ্রেড করার জন্য কার্যকরভাবে একটি ক্লায়েন্ট-সাইড আপগ্রেড হিসেবে কাজ করে।
মূল পরিসংখ্যান
- বিশ্লেষণকৃত ৪৫টি বিদ্যমান ডিপিজি: পূর্ববর্তী কাজের ব্যাপক সমীক্ষা।
- ১০০% সামঞ্জস্যতা: শীর্ষ ১০০টি ওয়েব অ্যাপ্লিকেশনের বিরুদ্ধে এমএফডিপিজি মূল্যায়ন করা হয়েছে।
- শূন্য সংরক্ষিত গোপনীয়তা: কেন্দ্রীয় ভল্টনারেবিলিটি দূর করে।
2. বিদ্যমান ডিপিজি-গুলির বিশ্লেষণ
গবেষণাপত্রটি ৪৫টি পূর্ববর্তী ডিপিজি প্রস্তাবনা (যেমন, PwdHash) সমীক্ষা করে পদ্ধতিগত ত্রুটি চিহ্নিত করে।
2.1 নিরাপত্তা ও গোপনীয়তার ত্রুটি
মূল দুর্বলতা: বেশিরভাগ ডিপিজি একটি একক মাস্টার পাসওয়ার্ড ব্যবহার করে। যদি কোনো উৎপন্ন সাইট পাসওয়ার্ড কম্প্রোমাইজ হয়, তবে এটি অফলাইন ব্রুট-ফোর্স বা ডিকশনারি আক্রমণের মাধ্যমে মাস্টার পাসওয়ার্ড সরাসরি আক্রমণ করতে এবং সম্ভবত পুনরুদ্ধার করতে ব্যবহার করা যেতে পারে। এটি গোপনীয়তার স্বাধীনতার নীতিকে লঙ্ঘন করে।
গোপনীয়তা ফাঁস: সাধারণ ডিপিজি পরিষেবা ব্যবহারের প্যাটার্ন ফাঁস করতে পারে। একটি নির্দিষ্ট ডোমেইনের জন্য পাসওয়ার্ড তৈরি বা পরিবর্তনের কাজটি অনুমান করা যেতে পারে, যা ব্যবহারকারীর গোপনীয়তা ক্ষুণ্ণ করে।
2.2 ব্যবহারযোগ্যতার সীমাবদ্ধতা
পাসওয়ার্ড ঘূর্ণন: একটি একক সাইটের জন্য পাসওয়ার্ড পরিবর্তন করতে সাধারণত মাস্টার গোপনীয়তা পরিবর্তন করতে হয়, যা তারপর সমস্ত উদ্ভূত পাসওয়ার্ড পরিবর্তন করে—একটি অবাস্তব ব্যবহারকারীর অভিজ্ঞতা।
নীতি সম্মতি: বেশিরভাগ ডিপিজি একটি নির্দিষ্ট ফরম্যাটের পাসওয়ার্ড তৈরি করে, যা বিভিন্ন এবং জটিল ওয়েবসাইট পাসওয়ার্ড নীতিমালার সাথে খাপ খাইয়ে নিতে অক্ষম (যেমন, বিশেষ অক্ষর, নির্দিষ্ট দৈর্ঘ্য প্রয়োজন, বা নির্দিষ্ট চিহ্ন বাদ দেওয়া)।
3. এমএফডিপিজি নকশা
এমএফডিপিজি এই সীমাবদ্ধতাগুলি কাটিয়ে উঠতে তিনটি মূল উদ্ভাবন উপস্থাপন করে।
3.1 বহু-উপাদান কী উদ্ভব
একটি একক মাস্টার পাসওয়ার্ডের পরিবর্তে, এমএফডিপিজি একটি বহু-উপাদান কী উদ্ভব ফাংশন (এমএফকেডিএফ) ব্যবহার করে। চূড়ান্ত কী $K$ একাধিক উপাদান থেকে উদ্ভূত হয়:
$K = \text{MFKDF}(\text{পাসওয়ার্ড}, \text{TOTP সিড}, \text{নিরাপত্তা কী পাবকি}, ...)$
এই পদ্ধতি আক্রমণের খরচ উল্লেখযোগ্যভাবে বাড়ায়। একটি সাইট পাসওয়ার্ড কম্প্রোমাইজ করা TOTP সিড বা হার্ডওয়্যার কী সম্পর্কে কিছুই প্রকাশ করে না, যা মাস্টার পাসওয়ার্ডের উপর অফলাইন আক্রমণকে অসম্ভব করে তোলে। এটি কার্যকরভাবে শুধুমাত্র-পাসওয়ার্ড সাইটগুলিকে এমএফএ-তে আপগ্রেড করে।
3.2 প্রত্যাহারের জন্য কুক্কু ফিল্টার
মাস্টার উপাদান পরিবর্তন না করে পৃথক সাইটগুলির জন্য পাসওয়ার্ড ঘূর্ণন সমাধান করতে, এমএফডিপিজি একটি কুক্কু ফিল্টার ব্যবহার করে—একটি সম্ভাব্যতামূলক ডেটা স্ট্রাকচার। একটি প্রত্যাহৃত পাসওয়ার্ডের হ্যাশ একটি ক্লায়েন্ট-সাইড ফিল্টারে ঢোকানো হয়। পাসওয়ার্ড তৈরির সময়, সিস্টেমটি ফিল্টার পরীক্ষা করে এবং যদি একটি সংঘর্ষ পাওয়া যায়, তবে একটি কাউন্টার পুনরাবৃত্তিমূলকভাবে প্রয়োগ করে (যেমন, $\text{Hash}(\text{ডোমেইন} || \text{কাউন্টার})$) যতক্ষণ না একটি অ-প্রত্যাহৃত পাসওয়ার্ড পাওয়া যায়। এটি ব্যবহৃত সাইটগুলির একটি প্লেইনটেক্সট তালিকা সংরক্ষণ না করেই প্রতি-সাইট প্রত্যাহার সম্ভব করে, গোপনীয়তা বজায় রাখে।
3.3 ডিএফএ-ভিত্তিক পাসওয়ার্ড প্রজন্ম
নির্বিচারে রেগুলার এক্সপ্রেশন-ভিত্তিক পাসওয়ার্ড নীতিমালা পূরণ করতে, এমএফডিপিজি নীতিটিকে একটি নির্ধারক সসীম অটোমেটন (ডিএফএ) হিসাবে মডেল করে। জেনারেটরটি একটি ক্রিপ্টোগ্রাফিকভাবে নিরাপদ সিউডোর্যান্ডম সংখ্যা জেনারেটর (সিএসপিআরএনজি) ব্যবহার করে, যা উদ্ভূত কী $K$ এবং ডোমেইন দ্বারা সিড করা হয়, ডিএফএ ট্রাভার্স করতে, বৈধ অবস্থা ট্রানজিশনের সাথে সঙ্গতিপূর্ণ অক্ষর নির্গত করে। এটি নিশ্চিত করে যে আউটপুট পাসওয়ার্ডটি প্রতি ডোমেইনে অনন্য এবং নির্দিষ্ট নীতি মেনে চলার গ্যারান্টিযুক্ত।
4. মূল্যায়ন ও ফলাফল
লেখকরা এমএফডিপিজির একটি ব্যবহারিক মূল্যায়ন পরিচালনা করেছেন:
- সামঞ্জস্যতা: সিস্টেমটি শীর্ষ ১০০টি জনপ্রিয় ওয়েবসাইটের পাসওয়ার্ড নীতিমালার বিরুদ্ধে পরীক্ষা করা হয়েছে। ডিএফএ-ভিত্তিক জেনারেটর সমস্ত সাইটের জন্য সম্মতিপূর্ণ পাসওয়ার্ড সফলভাবে তৈরি করেছে, সর্বজনীন ব্যবহারিকতা প্রদর্শন করেছে।
- নিরাপত্তা বিশ্লেষণ: এমএফকেডিএফ ব্যবহার দেখানো হয়েছে যে একাধিক সাইট পাসওয়ার্ড ফাঁস হলেও মাস্টার পাসওয়ার্ড আক্রমণ প্রশমিত করে। কুক্কু ফিল্টার নকশা একটি টিউনযোগ্য মিথ্যা-ইতিবাচক হার সহ পরিষেবা ব্যবহারের প্যাটার্ন ফাঁস প্রতিরোধ করে।
- কর্মক্ষমতা: ডিভাইসে অপারেশন (কী উদ্ভব, ফিল্টার চেক, ডিএফএ ট্রাভার্সাল) লগইন প্রক্রিয়ায় নগণ্য বিলম্ব (মিলিসেকেন্ড) যোগ করে, যা বাস্তব-বিশ্বের ব্যবহারের জন্য উপযুক্ত করে তোলে।
চার্টের তাৎপর্য: একটি প্রকল্পিত বার চার্ট Y-অক্ষে আক্রমণের খরচ (গণনামূলক বছরে) দেখাবে, "ঐতিহ্যগত ডিপিজি (একক উপাদান)" এবং "এমএফডিপিজি (বহু-উপাদান)" তুলনা করে। এমএফডিপিজির বারটি কয়েকটি অর্ডার অফ ম্যাগনিটিউড উচ্চতর হবে, দৃশ্যত তার নিরাপত্তা উন্নতি তুলে ধরবে।
5. মূল বিশ্লেষকের অন্তর্দৃষ্টি
মূল অন্তর্দৃষ্টি: এমএফডিপিজি শুধু আরেকটি পাসওয়ার্ড ম্যানেজার নয়; এটি ওয়েব প্রমাণীকরণ গ্রহণের পদ্ধতিগত ব্যর্থতার চারপাশে একটি কৌশলগত শেষ-দৌড়। যখন FIDO অ্যালায়েন্স একটি পাসওয়ার্ডবিহীন ভবিষ্যতের জন্য চাপ দিচ্ছে, এমএফডিপিজি বাস্তববাদীভাবে স্বীকার করে যে পুরনো পাসওয়ার্ডগুলি দশক ধরে টিকে থাকবে। এর প্রতিভা হল যে এটি ব্যবহারকারীকে যেকোনো সাইটে একতরফাভাবে এমএফএ প্রয়োগ করতে দেয়, পরিষেবা প্রদানকারীকে তাদের অবকাঠামো আপগ্রেড করার জন্য অপেক্ষা না করে—ক্লায়েন্ট-সাইড উদ্ভাবনের একটি ক্লাসিক উদাহরণ যা কার্যত মানদণ্ড জোর করে, যেমন HTTPS Everywhere কিভাবে এনক্রিপশন গ্রহণকে চাপ দিয়েছিল তার কথা মনে করিয়ে দেয়।
যুক্তিপূর্ণ প্রবাহ: গবেষণাপত্রের যুক্তি আকর্ষণীয়: ১) সংরক্ষিত পরিচয়পত্র একটি দায় (লঙ্ঘন দ্বারা প্রমাণিত)। ২) অতীতের ডিপিজি-গুলি তাত্ত্বিকভাবে সঠিক ছিল কিন্তু ব্যবহারিকভাবে ত্রুটিপূর্ণ। ৩) অতএব, সমাধান হল আধুনিক ক্রিপ্টোগ্রাফিক নির্মাণ (এমএফকেডিএফ) এবং ডেটা স্ট্রাকচার (কুক্কু ফিল্টার) দিয়ে ডিপিজি প্যারাডাইমকে শক্তিশালী করা। যুক্তিটি পরিষ্কার, সমস্যা নির্ণয় থেকে শুরু করে প্রতিটি নির্ণয় করা ত্রুটিকে সরাসরি সমাধান করে এমন একটি সংশ্লেষিত সমাধানের দিকে অগ্রসর হয়।
শক্তি ও ত্রুটি: প্রাথমিক শক্তি হল এর মার্জিত হুমকি মডেল পরিবর্তন। গোপনীয়তাকে একাধিক উপাদানের সাথে বাঁধার মাধ্যমে, এটি আক্রমণের পৃষ্ঠকে "একটি পাসওয়ার্ড চুরি করা" থেকে "একাধিক স্বাধীন উপাদান কম্প্রোমাইজ করা"তে স্থানান্তরিত করে, যা NIST-এর ডিজিটাল আইডেন্টিটি গাইডলাইন (SP 800-63B) এ উল্লিখিত একটি অনেক কঠিন কাজ। কুক্কু ফিল্টার ব্যবহার প্রত্যাহারের জন্য একটি চতুর, গোপনীয়তা-সংরক্ষণকারী সমাধান। যাইহোক, একটি সমালোচনামূলক ত্রুটি হল ক্লায়েন্ট-সাইড নীতি সচেতনতার উপর নির্ভরতা। ব্যবহারকারীকে ডিএফএ কাজ করার জন্য প্রতিটি সাইটের পাসওয়ার্ড নীতি জানতে/ইনপুট করতে হবে, যা একটি সম্ভাব্য ব্যবহারযোগ্যতা বাধা এবং প্রাথমিক সেটআপ খরচ তৈরি করে। এটি সম্পূর্ণ স্বয়ংক্রিয় আদর্শের বিপরীতে। তদুপরি, যদিও এটি ক্লায়েন্ট-সাইড নিরাপত্তা আপগ্রেড করে, এটি সার্ভার-সাইড ফিশিং-এর বিরুদ্ধে কিছুই করে না—একটি চুরি হওয়া এমএফডিপিজি-উৎপন্ন পাসওয়ার্ড প্রত্যাহার না হওয়া পর্যন্ত আক্রমণকারীর দ্বারা এখনও ব্যবহারযোগ্য।
কার্যকরী অন্তর্দৃষ্টি: নিরাপত্তা দলগুলির জন্য, এমএফডিপিজি অভ্যন্তরীণ এন্টারপ্রাইজ পাসওয়ার্ড ব্যবস্থাপনার জন্য একটি কার্যকর নীলনকশা উপস্থাপন করে, বিশেষ করে পরিষেবা অ্যাকাউন্টের জন্য, পরিচয়পত্র ভল্ট দূর করে। পণ্য ব্যবস্থাপকদের জন্য, এই গবেষণা একটি অবহেলিত বাজার তুলে ধরে: ব্যবহারকারী-সাইড প্রমাণীকরণ বৃদ্ধিকারী। পরবর্তী যৌক্তিক পণ্য হল একটি ব্রাউজার এক্সটেনশন যা এমএফডিপিজি বাস্তবায়ন করে, ওয়েবসাইট পাসওয়ার্ড নীতিমালার একটি ক্রাউডসোর্সড ডাটাবেসের সাথে যুক্ত (W3C-এর "পাসওয়ার্ড রুলস" এর মতো) ডিএফএ সেটআপ স্বয়ংক্রিয় করতে। বিনিয়োগ এমন সরঞ্জামগুলিতে প্রবাহিত হওয়া উচিত যা এমএফডিপিজির মতো অত্যাধুনিক একাডেমিক নির্মাণ এবং স্থাপনযোগ্য, ব্যবহারকারী-বান্ধব অ্যাপ্লিকেশনের মধ্যে ব্যবধান পূরণ করে।
6. প্রযুক্তিগত গভীর অনুসন্ধান
কী উদ্ভব সূত্র: মূল এমএফকেডিএফকে ধারণা করা যেতে পারে:
$K = \text{HKDF-Expand}(\text{HKDF-Extract}(salt, F_1 \oplus F_2 \oplus ... \oplus F_n), \text{info}, L)$
যেখানে $F_1, F_2, ..., F_n$ হল প্রতিটি প্রমাণীকরণ উপাদান (পাসওয়ার্ড হ্যাশ, TOTP কোড, নিরাপত্তা কী অ্যাটেস্টেশন, ইত্যাদি) থেকে প্রমিত আউটপুট ("ফ্যাক্টর শেয়ার")। এটি HKDF RFC 5869 এ বর্ণিত মডুলার নকশা নীতিগুলি অনুসরণ করে।
ডিএফএ ট্রাভার্সাল অ্যালগরিদম (সিউডোকোড):
function generatePassword(key, domain, policyDFA):
prng = ChaCha20(key, domain) // সিড সিএসপিআরএনজি
state = policyDFA.startState
password = ""
while not policyDFA.isAccepting(state):
transitions = policyDFA.getValidTransitions(state)
choice = prng.next() % len(transitions)
selectedTransition = transitions[choice]
password += selectedTransition.character
state = selectedTransition.nextState
return password
7. বিশ্লেষণ কাঠামো ও কেস স্টাডি
কাঠামো: নিরাপত্তা-ব্যবহারযোগ্যতা-গোপনীয়তা (SUP) ট্রেড-অফ বিশ্লেষণ। এই কাঠামোটি তিনটি অক্ষ জুড়ে প্রমাণীকরণ সিস্টেম মূল্যায়ন করে। আসুন এমএফডিপিজি বনাম লাস্টপাসে এটি প্রয়োগ করি:
- নিরাপত্তা: লাস্টপাস: উচ্চ, কিন্তু একটি বিপর্যয়কর কেন্দ্রীয় ব্যর্থতা মোড সহ। এমএফডিপিজি: খুব উচ্চ, বহু-উপাদান উদ্ভবের মাধ্যমে বিতরণকৃত ঝুঁকি, কোন কেন্দ্রীয় ভল্ট নেই। (এমএফডিপিজি জয়ী)
- ব্যবহারযোগ্যতা: লাস্টপাস: উচ্চ, স্বয়ংক্রিয়-পূরণ, ক্রস-ডিভাইস সিঙ্ক। এমএফডিপিজি: মাঝারি-উচ্চ, নিরবচ্ছিন্ন প্রজন্ম কিন্তু নীতি সেটআপ এবং উপাদান ব্যবস্থাপনার প্রয়োজন। (লাস্টপাস জয়ী)
- গোপনীয়তা: লাস্টপাস: নিম্ন, পরিষেবা আপনার সমস্ত সাইট জানে। এমএফডিপিজি: উচ্চ, নকশা অনুসারে শূন্য জ্ঞান। (এমএফডিপিজি জয়ী)
কেস স্টাডি - লাস্টপাস লঙ্ঘন: ২০২২ সালের লঙ্ঘনে, এনক্রিপ্ট করা পাসওয়ার্ড ভল্টগুলি বহিষ্কৃত হয়েছিল। আক্রমণকারীরা তখন মাস্টার পাসওয়ার্ড অফলাইন টার্গেট করতে পারত। যদি ব্যবহারকারীরা এমএফডিপিজি ব্যবহার করত, তবে চুরি করার জন্য কোন ভল্ট থাকত না। এমনকি যদি একটি সাইট পাসওয়ার্ড অন্য কোথাও ফাঁস হত, এমএফকেডিএফ নির্মাণ মাস্টার গোপনীয়তায় উত্তরণ প্রতিরোধ করত। এই কেসটি স্পষ্টভাবে এমএফডিপিজি যে প্যারাডাইম পরিবর্তন অফার করে তা চিত্রিত করে।
8. ভবিষ্যতের প্রয়োগ ও দিকনির্দেশনা
১. পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফি (PQC) ইন্টিগ্রেশন: এমএফকেডিএফ কাঠামো অন্তর্নিহিত ক্রিপ্টো সম্পর্কে অজ্ঞেয়বাদী। কোয়ান্টাম কম্পিউটার বর্তমান হ্যাশ ফাংশন (যেমন SHA-256) হুমকি দেয়, এমএফডিপিজি ভবিষ্যত-প্রমাণ করার জন্য PQC-প্রমিত অ্যালগরিদম (যেমন, SPHINCS+, LMS) ইন্টিগ্রেট করতে পারে, NIST-এর PQC প্রমিতকরণ প্রকল্পের সাথে সামঞ্জস্যপূর্ণ একটি দিকনির্দেশনা।
২. বিকেন্দ্রীকৃত পরিচয় ও ওয়েব৩: এমএফডিপিজির "শূন্য সংরক্ষিত গোপনীয়তা" দর্শন বিকেন্দ্রীকৃত পরিচয় (যেমন, W3C যাচাইযোগ্য পরিচয়পত্র) এর সাথে সামঞ্জস্যপূর্ণ। এটি বিকেন্দ্রীকৃত অ্যাপ্লিকেশন (dApps) অ্যাক্সেস বা লেনদেন স্বাক্ষর করার জন্য অনন্য, নির্ধারক পরিচয়পত্র তৈরি করতে পারে, একটি ব্যবহারকারী-বান্ধব সিড ফ্রেজ ম্যানেজার হিসেবে কাজ করে।
৩. এন্টারপ্রাইজ গোপনীয়তা ব্যবস্থাপনা: ব্যবহারকারী পাসওয়ার্ডের বাইরে, এমএফডিপিজির নীতিগুলি মেশিন-টু-মেশিন প্রমাণীকরণে প্রয়োগ করা যেতে পারে, একটি মাস্টার কর্পোরেট গোপনীয়তা এবং পরিষেবা শনাক্তকারী থেকে অনন্য API কী বা পরিষেবা অ্যাকাউন্ট পাসওয়ার্ড তৈরি করে, ঘূর্ণন এবং অডিট সহজ করে।
৪. বায়োমেট্রিক উপাদান ইন্টিগ্রেশন: ভবিষ্যতের পুনরাবৃত্তিগুলি স্থানীয় বায়োমেট্রিক টেমপ্লেট (যেমন, WebAuthn-এর বায়োমেট্রিক অ্যাসারশনের মাধ্যমে) একটি উদ্ভূত উপাদান হিসাবে অন্তর্ভুক্ত করতে পারে, শূন্য-সংরক্ষণ বৈশিষ্ট্য বজায় রেখে সুবিধা বৃদ্ধি করে, যদি বায়োমেট্রিক ডেটা ডিভাইস কখনও ছেড়ে না যায়।
9. তথ্যসূত্র
- নায়ার, ভি., এবং সং, ডি. (বছর)। এমএফডিপিজি: শূন্য সংরক্ষিত গোপনীয়তা সহ বহু-উপাদান প্রমাণীকৃত পাসওয়ার্ড ব্যবস্থাপনা। [সম্মেলন/জার্নাল নাম]।
- গ্রাসি, পি., এবং অন্যান্য। (২০১৭)। ডিজিটাল আইডেন্টিটি গাইডলাইন: প্রমাণীকরণ ও জীবনচক্র ব্যবস্থাপনা। NIST বিশেষ প্রকাশনা 800-63B।
- ক্রাওচিক, এইচ., এবং এরোনেন, পি. (২০১০)। HMAC-ভিত্তিক এক্সট্রাক্ট-এন্ড-এক্সপ্যান্ড কী উদ্ভব ফাংশন (HKDF)। RFC 5869, IETF।
- রস, বি., এবং অন্যান্য। (২০০৫)। ব্রাউজার এক্সটেনশন ব্যবহার করে শক্তিশালী পাসওয়ার্ড প্রমাণীকরণ। USENIX নিরাপত্তা সিম্পোজিয়াম। (PwdHash)
- ফ্যান, বি., এবং অন্যান্য। (২০১৪)। কুক্কু ফিল্টার: ব্যবহারিকভাবে ব্লুমের চেয়ে ভাল। ১০তম ACM আন্তর্জাতিক সম্মেলনের কার্যক্রম, উদীয়মান নেটওয়ার্কিং পরীক্ষা ও প্রযুক্তি।
- FIDO অ্যালায়েন্স। (২০২২)। FIDO2: WebAuthn ও CTAP স্পেসিফিকেশন। https://fidoalliance.org/fido2/
- ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি। (২০২২)। পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফি প্রমিতকরণ। https://csrc.nist.gov/projects/post-quantum-cryptography