যে কারণে ওয়েব অ্যাডমিন আপনার আইডির পাসওয়ার্ড দেখতে পারে না, হ্যাসিং ও সল্টিং কি?

সাধারণভাবে ধারণা আসে আমাদের আইডি ও পাসওয়ার্ড ওয়েব সার্ভারে থাকে। কিন্তু ব্যাপারটা একটু ভুল। আমাদের আইডি ওয়েব সার্ভারে থাকে কিন্তু সরাসরি পাসওয়ার্ড সার্ভারে থাকে না। কারণ কোনো সার্ভার হ্যাক হলে যাতে হ্যাকার আপনার আইডির পাসওয়ার্ড না পায় সে জন্য এক বিশেষ পদ্ধতি ব্যবহার করা হয় যেখানে রয়েছে কিছু ধাপ।

আমাদের পাসওয়ার্ডগুলো এনক্রিপশন নয়, হ্যাসিং করে সার্ভারে রাখা থাকে। আমার জানা মতে হ্যাসিং হল এক মুখী রাস্তা আর এনক্রিপশন দ্বীমুখী রাস্তা। যদি আমার এই কথায় আপনার দিমত থাকে তো টিউমেন্টে জানিয়ে দিন। যদিও একালে হ্যাকারেরা এটা দিমুখী করে ফেলে বিশেষ পদ্ধতিতে।

SHA-256 হ্যাসিং এর একটি পদ্ধতি। চলুন এর কিছু উদাহরণ দেখি।

abc-কে হ্যাসিং করলে ba7816bf8f01cfea414140de5dae2223b00361a396177a9cb410ff61f20015ad পাওয়া যায়। abcd-কে হ্যাসিং করলে 88d4266fd4e6338d13b845fcf289579d209c897823b9217da3e161936f031589 পাওয়া যায়। শুধু মাত্র একটা বর্ণ যোগ করার কারণে হ্যাসিং এ কত কিছুই পরিবর্তন হয়ে গেছে। কিন্তু ওয়েব অ্যাডমিনেরা কেবল মাত্র হ্যাসিং করেই শান্তি পান না। হ্যাকারেরা এটাকেও উলটা করে কেমনে কিভাবে আল্লাহই ভালো জানে পাসওয়ার্ড বের করে ফেলে। তাই এরপর আসে আরেকটু উন্নতির কিছু। সল্টিং।

সল্টিং কি?
সল্টিং হল আপনার পাসওয়ার্ডের সাথে আরেকটু কিছু যোগ করা। ধরুন আপনার পাসওয়ার্ড যদি abcd হয় তাহলে $=* যোগ করে abcd$=* এমন বানিয়ে ফেলা। একেই বলা হয় সল্টিং। অতপর আপনার পাসওয়ার্ড হ্যাসিং করা হয়। কিন্তু সত্য বলতে এরপর ও ওয়েব অ্যাডমিনেরা শান্তি পাননা। কেনই বা পাবে? আপনি এত বড়, এত পেচানো পাসওয়ার্ড দিলেন, সেখানে আরেকটু হালকা কিছু যোগ করে আর কি-ই বা কমপ্লিকেটেড করা যায়। তাই এরপর আরও কিছু করা হয়।

আপনার পাসওয়ার্ডকে সল্টিং করে হ্যাসিং একবার করা হয় না। একবার সল্টিং করে হ্যাসিং করার পর তাকে আবার সল্টিং করে হ্যাসিং করা হয়, তারপর আবার সল্টিং আবার হ্যাসিং এভাবে অনেকবার করা হয়। ধরুন ১০, ০০০ বারের মত করা হয়। এতবার করার কারণ হল একজন হ্যাকার এতবার হ্যাসিংকে উলটা করে আসল পাওয়ার্ড বের করে আনতে অনেক সময় প্রয়োজন পরে। হয়তো কয়েক যুগ লাগবে। তাই হ্যাকার আর সহজে আসল পাওয়ার্ড বের করে পারে না। কিন্তু সত্য বলতে এরপর ও ওয়েব অ্যাডমিনদের শান্তি নেই। তারা হয়তো এই অশান্তি ভোগ করার জন্যই ওয়েব অ্যাডমিন। হয়তো আপনার প্রশ্ন আসতে পারে, তাহলে আমরা লগিন করার সময় আমাদের পাসওয়ার্ড ঠিক কি সঠিক তা চেক করা হয় কিভাবে?

সত্য বলতে আপনার পাসওয়ার্ড ওয়েব সার্ভারে রাখা হ্যাসিং এর সাথে তুলনা করা হয় না। আপনার পাসওয়ার্ডকে আবার ততবার হ্যাসিং-সল্টিং করে সেই হ্যাসিং কোডকে ওয়েব সার্ভারে রাখা হ্যাসিং কোডের সাথে তুলনা করা হয়। যদি হ্যাসিং কোড মিলে যায় তাহলে লগইন হয়, না হলে হয় না।

তাই ওয়েব অ্যাডমিন সার্ভারের ডেটাবেজে যেয়ে আপনার পাসওয়ার্ড দেখতে পারে না, হ্যাকার সার্ভার হ্যাক করলেও আপনার পাসওয়ার্ড দেখতে পারে না। কারন তা হ্যাসিং করে রাখা থাকে। তবে ওয়েব অ্যাডমিন বা হযাকার যদি আপনার পাসওয়ার্ড ইনপুট করার পর হ্যাসিং-সল্টিং করার আগে ক্যাপচার করে থাকে তাহলে এত কষ্ট সবই বৃথা।

ভুল্ হলে অবশ্যই ক্ষমা সুন্দর দৃষ্টিতে দেখবেন এবং অবশ্যই টিউমেন্ট করে জানাবেন।

ভাল লাগলে আমার নতুন ব্লগ Terokhada.info ঘুরে আসতে পারেন।

ঘরে থাকুন সুস্থ্য থাকুন, অন্যের সুস্থ্যতা কামনা করুন। ধন্যবাদ।

Level 1

আমি হিমেল বিকন। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 4 বছর 4 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 9 টি টিউন ও 0 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।


টিউনস


আরও টিউনস


টিউনারের আরও টিউনস


টিউমেন্টস