Select Page

টোকেন-ভিত্তিক প্রমাণীকরণ এবং এর কাজ

by | Nov 2, 2025 | Digital Safety Guide

আমরা কোন ওয়েবসাইট বা সার্ভার নেটওয়ার্কে ভিজিট করার সময় একটি অ্যাকাউন্ট তৈরি করি যা প্রোফাইল হিসেবে সেই নির্ধারিত ওয়েবসাইট বা সার্ভারে আমাদের প্রতিনিধিত্ব করে। এই অ্যাকাউন্টের একটি আইডি ও পাসওয়ার্ড থাকে যা নির্ধারিত ওয়েবসাইট বা সার্ভারে প্রবেশের অনুমতি নিশ্চিত করে। যখনই আমরা নতুন করে সেই সার্ভার বা ওয়েবসাইটে প্রবেশ করতে যাই প্রতিবারই আমাদের আইডি ও পাসওয়ার্ড দিয়ে লগইন করতে হয়। তবে প্রতিনিয়ত এই আইডি ও পাসওয়ার্ড দেওয়ার ঝামেলা থেকে মুক্ত করতে এসেছে টোকেন-ভিত্তিক প্রমাণীকরণ পদ্ধতি। এই ডিজিটাল টোকেন নির্দিষ্ট ব্যক্তির প্রমাণীকরণ এবং অনুমোদনকে নির্ধারণ করে।

টোকেন-ভিত্তিক প্রমাণীকরণ (Token-based authentication) হলো পাসওয়ার্ড ছাড়াই ব্যবহারকারীর পরিচয় যাচাই করার একটি নিরাপত্তা পদ্ধতি। এখানে, টোকেন নামের একটি বিশেষ ও অনন্য ডিজিটাল তথ্য (যা সাধারণত অক্ষরের একটি সংকেত) ব্যবহার করা হয়। টোকেনটি ব্যবহারকারীর মূল পাসওয়ার্ড বা তথ্যের প্রতিনিধি হিসেবে কাজ করে। পাসওয়ার্ডের মতো ব্যবহারকারীকে টোকেন মনে রাখতে হয় না বা নিজে লিখতে হয় না। এটি একটি স্মার্ট কার্ড বা ইউএসবির মতো ফিজিক্যাল ডিভাইস হিসেবে অথবা একটি ডিজিটাল ফাইল হিসেবে স্বয়ংক্রিয়ভাবে তৈরি ও নিয়ন্ত্রিত হয়। টোকেনের মধ্যে একটি অনন্য পরিচিতি নম্বর (unique identifier) থাকে, যা পুরো প্রমাণীকরণ প্রক্রিয়াটির জন্য অত্যন্ত জরুরি।

টোকেন-ভিত্তিক প্রমাণীকরণের মূল ধারণাটি হল এটি ব্যবহারকারীর কাছে থাকা কোনো জিনিস (টোকেন) ব্যবহার করে তাদের অ্যাকাউন্ট এবং রিসোর্সগুলোতে প্রবেশ নিশ্চিত করে। এর প্রধান লক্ষ্য হলো আরও নিরাপদ ও ব্যবহারকারী-বান্ধব (user-friendly) একটি প্রমাণীকরণ অভিজ্ঞতা দেওয়া। যেহেতু এটি এমন একটি ফিজিক্যাল বা ডিজিটাল টোকেন ব্যবহার করে ফলে এটি নকল করা বা চুরি করা কঠিন। এটি সাধারণ পাসওয়ার্ড-ভিত্তিক পদ্ধতির চেয়ে নিরাপত্তার একটি বাড়তি স্তর যোগ করে। ফলে, স্পর্শকাতর তথ্য রক্ষা, আর্থিক লেনদেন বা যেখানে শক্তিশালী প্রমাণীকরণ প্রয়োজন, এমন সব পরিস্থিতিতে টোকেন-ভিত্তিক সিস্টেম খুবই উপযোগী। যেসব কর্মক্ষেত্রে কর্মীদের কর্পোরেট অ্যাপস ও সিস্টেমে সুরক্ষিত অ্যাক্সেস প্রয়োজন, সেখানে টোকেন-ভিত্তিক প্রমাণীকরণ বিশেষভাবে কার্যকর। যখন ব্যবহারকারীকে টোকেন দিয়ে পাসওয়ার্ড ছাড়াই সহজে সিস্টেমে ঢুকতে দেওয়া হয়, তখন বেশি মানুষ সেই সিস্টেমটি ব্যবহার করে, তা তাদের জন্য সহজলভ্য হয় এবং হ্যাকারদের অ্যাকাউন্ট চুরি করার চেষ্টা থেকে সিস্টেমটি অনেক সুরক্ষিত থাকে।

টোকেনের প্রকারভেদ (Types of Tokens)

  • অ্যাক্সেস টোকেন (Access Token): এটি সবচেয়ে সাধারণ টোকেন, যার মেয়াদ খুব অল্প সময়ের (যেমন: ১৫-৩০ মিনিট) জন্য থাকে। টোকেনটি আপনাকে অ্যাপ্লিকেশনের রিসোর্স (তথ্য বা ফাংশন) অ্যাক্সেস করার অনুমতি দেয়।
  • রিফ্রেশ টোকেন (Refresh Token): এই টোকেনের মেয়াদ তুলনামূলক বেশি সময়ের জন্য থাকে। অ্যাক্সেস টোকেন মেয়াদোত্তীর্ণ হয়ে গেলে, এটি স্বয়ংক্রিয়ভাবে একটি নতুন অ্যাক্সেস টোকেন পেতে সাহায্য করে। ফলে আপনাকে বারবার লগইন করতে হয়না।
  • হার্ডওয়্যার টোকেন (Hardware Token): এটি একটি ফিজিক্যাল ডিভাইস (যেমন: একটি ছোট USB ডিভাইস বা কার্ড), যা কোড তৈরি করে বা সিস্টেমে প্লাগ-ইন করার মাধ্যমে আপনার পরিচয় নিশ্চিত করে। উদাহরণ: অনেক ব্যাংকের টু-ফ্যাক্টর অথেন্টিকেশনের জন্য ব্যবহৃত ডিভাইস।
  • সফটওয়্যার টোকেন (Software Token/OTP): আপনার মোবাইলে এসএমএসের মাধ্যমে বা গুগল অথেন্টিকেটরের (Google Authenticator) মতো অ্যাপের মাধ্যমে যে ওয়ান-টাইম পাসকোড (OTP) আসে, সেটিও এক ধরনের টোকেন।

টোকেন-ভিত্তিক প্রমাণীকরণের সুবিধা

  • উন্নত নিরাপত্তা: সাধারণ পাসওয়ার্ডের তুলনায় টোকেন নকল করা বা হ্যাক করা বেশ কঠিন। প্রতিটি টোকেনেই একটি স্বতন্ত্র শনাক্তকারী (unique identifier) থাকে, যা অননুমোদিত অ্যাক্সেসের ঝুঁকি উল্লেখযোগ্যভাবে কমিয়ে দেয়।
  • পাসওয়ার্ডের প্রয়োজনীয়তা নেই: টোকেন-ভিত্তিক প্রমাণীকরণের মাধ্যমে জটিল পাসওয়ার্ড মনে রাখার বা সেগুলোকে অনিরাপদভাবে সংরক্ষণ করার দরকার হয়না। এতে পাসওয়ার্ড চুরি বা ফিশিং আক্রমণের ঝুঁকিও কমে।
  • কার্যকারিতা: টোকেন-ভিত্তিক সিস্টেমগুলো বেশ কার্যকর হয় এবং সহজেই ব্যবহার করা যায়, ফলে ব্যবসা বৃদ্ধির সঙ্গে সঙ্গে অ্যাক্সেস নিয়ন্ত্রণ করা সহজ হয়ে যায়। সাধারণ পাসওয়ার্ড ব্যবস্থাপনার জটিলতা ছাড়াই দ্রুত ব্যবহারকারীদের টোকেন অ্যাক্সেস দেওয়া বা বাতিল করা যায়।
  • সব তথ্য একই জায়গায়: টোকেনগুলো স্টেটলেস অর্থাৎ, প্রয়োজনীয় সব তথ্য টোকেনের মধ্যেই থাকে। এর ফলে সার্ভারকে আলাদা করে সেশন স্টোর (session store) রাখার প্রয়োজন হয় না, যা সিস্টেমটিকে আরও কার্যকর ও ব্যবহারযোগ্য করে তোলে।
  • ব্যবহারকারীর উন্নত পরিষেবার অভিজ্ঞতা: ব্যবহারকারীরা একটি সহজ ও কার্যকর অভিজ্ঞতা লাভ করে, কারণ প্রতিবার অ্যাপ বা পরিষেবা অ্যাক্সেস করার সময় তাদের আর লগইন করতে হয় না। যতক্ষণ টোকেনটি বৈধ থাকে, ততক্ষণ তারা সহজে প্রবেশাধিকার পায়।
  • মাল্টি-ফ্যাক্টর প্রমাণীকরণ (এমএফএ): টোকেন-ভিত্তিক প্রমাণীকরণ সহজেই এমএফএ (MFA) পদ্ধতির সঙ্গে যুক্ত করা যায়, যা নিরাপত্তার বাড়তি স্তর যোগ করে। যেমন, ব্যবহারকারীরা প্রথমে পাসওয়ার্ড দিয়ে লগইন করতে পারে, এরপর টোকেন ব্যবহার করে অতিরিক্ত যাচাইকরণ করতে পারে।
  • ফেডারেটেড প্রমাণীকরণ: এই সিস্টেম প্রতিনিধিত্বমূলক বা ফেডারেটেড প্রমাণীকরণের সুবিধা দেয়। এর অর্থ হলো, মূল পরিষেবার পক্ষ থেকে একটি তৃতীয় পক্ষ ব্যবহারকারীর পরিচয় যাচাই করতে পারে। এটি সামাজিক যোগাযোগ মাধ্যমের মতো প্ল্যাটফর্মগুলোতে লগইনের ক্ষেত্রে খুবই কার্যকর।
  • বাতিলযোগ্যতা: টোকেনগুলো সহজেই বাতিল করা যায় বা একটি নির্দিষ্ট সময় পরে সেগুলোর মেয়াদ শেষ হওয়ার সময় (expire) সেট করা যায়। এর ফলে অ্যাক্সেস নিয়ন্ত্রণ করা সহজ হয় এবং টোকেন চুরি হয়ে গেলে দ্রুত ব্যবস্থা নেওয়া সম্ভব হয়।

টোকেন প্রমাণীকরণের সম্ভাব্য ঝুঁকি

ব্যবহারকারীদের কাছে টোকেন প্রমাণীকরণের অনেক সুবিধা থাকা সত্ত্বেও, এটি যদি সতর্কতার সঙ্গে কনফিগার (configure) এবং রক্ষণাবেক্ষণ না করা হয়, তবে কিছু সম্ভাব্য ঝুঁকি বা সমস্যা সৃষ্টি হতে পারে যা একটি কোম্পানির ওপর খারাপ প্রভাব ফেলতে পারে। টোকেন প্রমাণীকরণের বেশিরভাগ সাইবার নিরাপত্তার ঝুঁকির মধ্যে আছে টোকেন চুরি হওয়া বা অপব্যবহারের শঙ্কা, যা ব্যবহারকারীর অ্যাকাউন্টে অবৈধ প্রবেশের সুযোগ দেয়। সাইবার অপরাধীরা টোকেনকে লক্ষ্য করে হামলা করেছে এমন দুটি সাম্প্রতিক ঘটনা এক্ষেত্রে জেনে নেওয়া যেতে পারে:

  • ২০২২ সালের শেষের দিকে, মাইক্রোসফট (Microsoft) চুরি হওয়া টোকেন ব্যবহার করে মাল্টি-ফ্যাক্টর প্রমাণীকরণ (MFA) বাইপাস করার বিষয়ে ব্যবহারকারীদের সতর্ক করেছিল। কোম্পানিটি এই ধরনের আক্রমণের একটি উঠতি ঝুঁকি লক্ষ্য করেছিল, যেখানে সাইবার অপরাধীরা ইতোমধ্যে যাচাইকৃত টোকেন চুরি করে অবৈধভাবে অ্যাকাউন্ট অ্যাক্সেস করত এবং ব্যবহারকারীদের তথ্য চুরি করত।
  • আগের ঘটনার ২ বছর পর, ২০২৪ সালের ফেব্রুয়ারিতে, ক্লাউডফ্লেয়ার (Cloudflare) একটি আক্রমণের বিস্তারিত তথ্য প্রকাশ করেছিল। আক্রমণটি হয়েছিল ২০২৩ সালের শেষের দিকের যেখানে একটি মাত্র টোকেন এবং তিনটি সার্ভিস অ্যাকাউন্টের তথ্যের সম্পর্ক ছিল। এগুলো ওকটার (Okta) উপর হওয়া একটি আগের আক্রমণের সময় চুরি হয়েছিল, যেখানে হাজার হাজার প্রমাণপত্র (টোকেন সহ) লক্ষ্যবস্তু করা হয়েছিল।

এই উদাহরণগুলো থেকে বোঝা যায় যে, টোকেন ব্যবহার করে সিস্টেমে অনুপ্রবেশ করা এবং অন্যান্য সুরক্ষা ব্যবস্থাকে অকার্যকর করাও সম্ভব। ফলে টোকেন যে জিনিসটি ঠেকানোর জন্য তৈরি হয়েছে, অ্যাকাউন্টে অবৈধ প্রবেশাধিকার– ঠিক সেটাই ঘটাতে পারে। এই কারণেই টোকেন প্রমাণীকরণকে এনক্রিপশন (Encryption) এবং সেশন সীমা (session limits)-এর মতো শক্তিশালী সুরক্ষা ব্যবস্থার সঙ্গে ব্যবহার করা জরুরি।

টোকেন-ভিত্তিক প্রমাণীকরণের সরল ও নিরাপদ কাঠামো

টোকেন-ভিত্তিক প্রমাণীকরণ ব্যবহারকারীদের পরিচয় নিয়ন্ত্রণ, এপিআই (API) নিরাপত্তা বৃদ্ধি এবং বিভিন্ন প্ল্যাটফর্ম ও ডিভাইসে সহজে প্রবেশাধিকার নিশ্চিত করার জন্য একটি অত্যন্ত নিরাপদ কাঠামো প্রদান করে। তবে, টোকেন-ভিত্তিক প্রমাণীকরণ কার্যকর করার জটিলতা বেশ কিছু গুরুতর চ্যালেঞ্জ তৈরি করতে পারে—যেমন টোকেনের জীবনচক্র (token lifecycles) পরিচালনা করা, নিরাপদ সংরক্ষণ নিশ্চিত করা এবং ব্যবহারকারীকে নিরবিচ্ছিন্ন অভিজ্ঞতা দেওয়া। যেসব সংস্থা নিজস্ব প্রক্রিয়ায় বাস্তবায়ন করার কঠিন কাজ এড়িয়ে টোকেন-ভিত্তিক প্রমাণীকরণের সুবিধা নিতে চায়, তাদের জন্য ‘ডেস্কপ’ (Descope) একটি সহজ “ড্র্যাগ অ্যান্ড ড্রপ” (drag-and-drop) সমাধান সরবরাহ করে। এটি তাদের বিদ্যমান অবকাঠামোতে সহজেই যুক্ত হয়ে যায় এবং খুব কম পরিশ্রমে শক্তিশালী প্রমাণীকরণ পরিষেবা প্রদান করে।

A free in-person training is happening every month!
Apply Now!