একবার একটা ওয়েবসাইটে ভুল পাসওয়ার্ড দিয়েছিলাম। সঙ্গে সঙ্গে পাসওয়ার্ড যে ভুল, সেই এরর মেসেজ স্ক্রিনে চলে আসল – “Hi subeen, your given password doesn’t match with the correct password a1b2c3. Please try again!”. ওই ওয়েবসাইটের প্রোগ্রামার আসলেই অনেক পরোপকারী (এর মানে হচ্ছে হেল্পফুল)। তো সবাই আবার ব্যবহারকারীর জন্য এত বেশি চিন্তা করে না। কয়েকবছর আগে বাংলাদেশের অন্যতম জনপ্রিয় ইকমার্স ওয়েবসাইটে (যেখান থেকে সবাই বই কিনে) পাসওয়ার্ড ভুলে যাওয়ায় সেটা রিসেট করতে দিই। তখন ইমেইলে ওরা সঠিক পাসওয়ার্ড পাঠিয়ে দেয়। কী চমৎকার, আমার আর কষ্ট করে নতুন পাসওয়ার্ড দিতে হলো না। বুঝা গেল যে তাদের প্রোগ্রামাররাও বেশ ভালো মানুষ, ব্যবহারকারীদের বেশি কষ্ট দিতে চান না। কিন্তু একটা কথা আছে, বেশি ভালো ভালো না। এজন্যই আজকের এই আর্টিকেল।
ডেটাবেজে আসলে পাসওয়ার্ড কখনও সরাসরি সংরক্ষণ করতে হয় না। করলে কী সমস্যা? অনেকেই একই পাসওয়ার্ড বিভিন্ন জায়গায় ব্যবহার করে। এখন কেউ যদি ডেটাবেজে প্রবেশ করে একজনের পাসওয়ার্ড জেনে যায়, তাহলে তার একাউন্ট হ্যাক হয়ে গেলো। আবার ওই ব্যক্তির অন্যান্য ওয়েবসাইটের একাউন্টেও ওই পাসওয়ার্ড দিয়ে ঢুকে যাওয়ার সম্ভাবনা প্রবল, যদি সে অন্য জায়গায়ও একই পাসওয়ার্ড ব্যবহার করে। তাই ডেটাবেজে কখনো সরাসরি পাসওয়ার্ড সেভ করতে হয় না। তাহলে উপায় কী?
ডেটাবেজে পাসওয়ার্ড সেভ করার জন্য সাধারণত পাসওয়ার্ডকে একটি হ্যাশ ফাংশনের মাধ্যমে পরিবর্তন করে তারপরে সেভ করতে হয়। এতে করে কেউ ডেটাবেজে একসেস পেয়ে গেলেও আসল পাসওয়ার্ড জানতে পারবে না। তাহলে একাউন্ট তৈরির সময় পাসওয়ার্ড সেভ করার অ্যালগরিদমটি কীরকম হবে?
- ধরি অ্যাকাউন্ট তৈরি করার সময় কেউ তার ইউজারনেম u এবং পাসওয়ার্ড p দিল। u ও p এখানে স্ট্রিং।
- ব্যাকএন্ডে, p-কে একটি হ্যাশ ফাংশনের মাধ্যমে আরেকটি স্ট্রিং hp-তে রূপান্তর করা হলো। এমন হ্যাশ ফাংশন ব্যবহার করতে হবে যেন, hp জানলে কেউ সেটি থেকে p বের করতে না পারে।
- ডেটাবেজে ইউজারনেম u এবং পাসওয়ার্ড hp সেভ করা হলো।
এখন ধরা যাক একাউন্ট তৈরি করা হয়ে গেছে। লগিন করার সময় কীভাবে পাসওয়ার্ড পরীক্ষা করতে হবে?
- লগিন করার সময় ইউজারনেম u এবং পাসওয়ার্ড p দেওয়া হলো।
- একাউন্ট তৈরির সময় পাসওয়ার্ডের জন্য যেই হ্যাশ অ্যালগরিদম ব্যবহার করা হয়েছিল, একই অ্যালগরিদম ব্যবহার করে p-কে p1-এ রূপান্তর করতে হবে।
- ডেটাবেজে কুয়েরি চালিয়ে ইউজারনেম u-এর সাথে পাসওয়ার্ড যেটি আছে, সেটি বের করে আনা হলো। ধরা যাক, সেটি হচ্ছে p2.
- p1 ও p2 স্ট্রিংদুটি যদি সমান হয়, তাহলে পাসওয়ার্ড সঠিক।
এখন কথা হচ্ছে, আমরা কীরকম হ্যাশিং অ্যালগরিদম ব্যবহার করবো? হ্যাশিংয়ের জন্য বিভিন্ন রকম অ্যালগরিদম রয়েছে, এর মধ্যে কিছু অ্যালগরিদম অনেক শক্তিশালী, আবার কিছু হচ্ছে অপেক্ষাকৃত দুর্বল। তাই বিষয়টি জেনেশুনে ব্যবহার করতে হবে। আরেকটি গুরুত্বপূর্ণ বিষয় হচ্ছে, বিভিন্ন প্রোগ্রামিং ভাষায় হ্যাশিংয়ের জন্য লাইব্রেরি থাকে এবং সেখানে বিভিন্ন অ্যালগরিদম ইমপ্লিমেন্ট করে দেওয়া থাকে। তাই নিজে নতুন করে ইমপ্লিমেন্ট না করে লাইব্রেরি ফাংশন ব্যবহার করতে হবে, তাহলে বাগ থাকার সম্ভাবনা অনেক কমে যাবে।
এই লেখায় আমি ডেটাবেজে পাসওয়ার্ড সংরক্ষণ করার যেই ধারণা দিলাম, এটি হচ্ছে মূল ধারণা। তবে এর সঙ্গে কিছু জিনিস সংযোগ করে বিষয়টি আরো নিরাপদ করা যায়। পরবর্তী কোনো সময়ে সেই বিষয়ে সংক্ষিপ্ত আলোচনা করার ইচ্ছা রইল।