পাসওয়ার্ড জেনারেটর

আপনার ব্রাউজারে crypto.getRandomValues() ব্যবহার করে ক্রিপ্টোগ্রাফিকভাবে র‍্যান্ডম পাসওয়ার্ড তৈরি করুন — কোনো পাসওয়ার্ড পাঠানো বা সংরক্ষণ করা হয় না। সর্বশেষ পর্যালোচনা 2026-06-19।

8 32 64 128

পাসওয়ার্ডের শক্তি কীভাবে মাপা হয়

শক্তি এনট্রপি থেকে হিসাব করা হয় — পাসওয়ার্ডে অনিশ্চয়তার বিটের সংখ্যা। N সম্ভাব্য ক্যারেক্টারের পুল থেকে নেওয়া প্রতিটি ক্যারেক্টার log₂(N) বিট যোগ করে; তাই L দৈর্ঘ্যের পাসওয়ার্ডে মোট L × log₂(N) বিট থাকে।

এনট্রপিরেটিংআনুমানিক ক্র্যাক সময় (দ্রুত GPU)
< 40 বিটদুর্বলসেকেন্ড থেকে ঘণ্টা
40–59 বিটমোটামুটিঘণ্টা থেকে সপ্তাহ
60–79 বিটশক্তিশালীশতাব্দী
≥ 80 বিটখুব শক্তিশালীমহাবিশ্বের বয়সের চেয়েও বেশি

উদাহরণ: 86টি ক্যারেক্টারের মিশ্র পুল (বড় + ছোট অক্ষর + অঙ্ক + চিহ্ন) থেকে তৈরি 16-ক্যারেক্টারের পাসওয়ার্ডে 16 × log₂(86) ≈ 102.8 বিট থাকে — স্বচ্ছন্দে "খুব শক্তিশালী" শ্রেণিতে এবং বর্তমান যেকোনো হার্ডওয়্যার দিয়ে ব্রুট-ফোর্স করা অবাস্তব।

পাসওয়ার্ড নিরাপত্তার পরামর্শ

ব্যবহৃত ক্যারেক্টার সেট

সেটক্যারেক্টারপুল আকার
বড় হাতের অক্ষরA–Z26 (বিভ্রান্তিকর বাদ দিলে 24)
ছোট হাতের অক্ষরa–z26 (বিভ্রান্তিকর বাদ দিলে 23)
সংখ্যা0–910 (বিভ্রান্তিকর বাদ দিলে 8)
চিহ্ন !@#$%^&*()-_=+[]{}|;:,.? 24

আধুনিক পাসওয়ার্ড নির্দেশনা আসলে কী বলে (NIST SP 800-63B)

পাসওয়ার্ড নিয়মের প্রামাণ্য রেফারেন্স হলো মার্কিন জাতীয় মান ও প্রযুক্তি ইনস্টিটিউটের স্পেশাল পাবলিকেশন 800-63B (সর্বশেষ সংশোধন, SP 800-63B-4, 2024 সালে চূড়ান্ত করা হয়েছে)। এর পরামর্শ কয়েক দশকের যন্ত্রণাদায়ক অভ্যাসকে উল্টে দিয়েছে, এবং এটি জানা কাজে লাগে কারণ এটি ব্যাখ্যা করে কেন এই জেনারেটর এভাবে তৈরি করা হয়েছে:

মূল কথা সহজ: একটি দীর্ঘ, অনন্য, র‍্যান্ডম গোপন কোনো ছোট, "জটিল" গোপনের চেয়ে ভালো — যা ঠিক এই টুলই তৈরি করে।

পাসফ্রেজ: শক্তিশালী ও মনে রাখার মতো

র‍্যান্ডম ক্যারেক্টার স্ট্রিং তখনই আদর্শ যখন একটি পাসওয়ার্ড ম্যানেজার সেগুলো আপনার জন্য মনে রাখে। কিন্তু যে গুটিকয় পাসওয়ার্ড আপনাকে নিজে মনে রাখতে হবে — আপনার ডিভাইস লগইন, আপনার পাসওয়ার্ড-ম্যানেজার মাস্টার পাসওয়ার্ড — সেগুলোর জন্য একটি র‍্যান্ডম পাসফ্রেজ প্রায়শই ভালো, কারণ একই শক্তিতে এটি মনে রাখা অনেক সহজ। প্রমিত পদ্ধতি হলো Diceware: 7,776 শব্দের তালিকা থেকে (অর্থাৎ 65, পাঁচটি পাশার ফলাফল) র‍্যান্ডম শব্দ বেছে নিন। ইলেকট্রনিক ফ্রন্টিয়ার ফাউন্ডেশনের শব্দ-তালিকা প্রতি শব্দে প্রায় 12.9 বিট এনট্রপি যোগ করে, তাই ছয়-শব্দের একটি পাসফ্রেজে প্রায় 77 বিট থাকে — স্বচ্ছন্দে শক্তিশালী — এবং তবুও এমন কিছু যা আপনি সত্যিই মনে রাখতে পারেন। বিখ্যাত xkcd উদাহরণ "correct horse battery staple" (চার শব্দ) এই ধারণাটি তুলে ধরে, যদিও চার শব্দে এটি মাত্র প্রায় 44–52 বিট; ছয় শব্দ আধুনিক সুপারিশ। সবচেয়ে গুরুত্বপূর্ণ শর্ত হলো শব্দগুলো র‍্যান্ডমভাবে বেছে নেওয়া — আপনার নিজের বানানো বাক্যাংশ, বা কোনো উদ্ধৃতি, শব্দসংখ্যার ইঙ্গিতের চেয়ে অনেক কম এনট্রপি রাখে, কারণ তা অনুমানযোগ্য।

অনলাইন বনাম অফলাইন আক্রমণ: ক্র্যাক সময় এত ভিন্ন হয় কেন

উপরের টেবিলের ক্র্যাক-সময়ের পরিসংখ্যান একটি অফলাইন আক্রমণ ধরে নেয় — সেই পরিস্থিতি যা নির্ধারণ করে পাসওয়ার্ড আসলে কতটা শক্তিশালী হওয়া দরকার। দুটি খুব ভিন্ন পরিস্থিতির পার্থক্য বোঝা কাজে লাগে:

অফলাইন গতি সম্পূর্ণভাবে এর ওপরও নির্ভর করে সাইটটি আপনার পাসওয়ার্ড কীভাবে সংরক্ষণ করেছে। যে সাইট ইচ্ছাকৃতভাবে ধীর, সল্টেড অ্যালগরিদম (bcrypt, scrypt, Argon2) ব্যবহার করেছে, সে হয়তো প্রতি সেকেন্ডে কেবল হাজার হাজার অনুমান অনুমোদন করে; যে সাইট বোকার মতো দ্রুত, সল্টবিহীন হ্যাশ যেমন কাঁচা MD5 বা SHA-1 ব্যবহার করেছে, সে কোটি কোটি অনুমতি দেয়। কোন সাইট কোনটি বেছে নিয়েছে তা আপনি নিয়ন্ত্রণ করতে পারবেন না — এটাই আসল কারণ প্রতিটি পাসওয়ার্ড দীর্ঘ ও অনন্য করার: দৈর্ঘ্য আপনাকে অসতর্ক সাইট থেকেও রক্ষা করে।

পাসওয়ার্ড কীভাবে সংরক্ষণ করা উচিত: হ্যাশিং ও সল্টিং

একটি ভালোভাবে তৈরি সেবা কখনো আপনার আসল পাসওয়ার্ড সংরক্ষণ করে না। বরং এটি একটি হ্যাশ রাখে — একটি একমুখী ফিঙ্গারপ্রিন্ট যা মূল পাসওয়ার্ড পুনরুদ্ধার করতে উল্টানো যায় না — যা Argon2, scrypt, bcrypt বা PBKDF2-এর মতো বিশেষ পাসওয়ার্ড-হ্যাশিং ফাংশন দিয়ে তৈরি। দুটি অতিরিক্ত উপাদান একে আরও শক্ত করে। একটি সল্ট হলো হ্যাশিংয়ের আগে প্রতিটি পাসওয়ার্ডে মেশানো একটি অনন্য র‍্যান্ডম মান, যাতে একই পাসওয়ার্ডও ভিন্ন হ্যাশ দেয় এবং সাধারণ হ্যাশের আগে থেকে তৈরি "রেইনবো টেবিল" অকেজো হয়ে যায়। একটি পেপার হলো ডেটাবেস থেকে আলাদা রাখা একটি অতিরিক্ত গোপন। এই ফাংশনগুলো ইচ্ছাকৃতভাবে ধীর, যা একটি বৈধ লগইনে সবেমাত্র প্রভাব ফেলে কিন্তু কোটি কোটি অনুমান করা আক্রমণকারীকে পঙ্গু করে দেয়। যখন আপনি পড়েন যে কোনো ব্রিচ "হ্যাশড এবং সল্টেড" পাসওয়ার্ড উন্মুক্ত করেছে, তখন এই সুরক্ষাই কাজ করছে — এবং এটি আরেকটি কারণ কেন একটি দীর্ঘ, র‍্যান্ডম পাসওয়ার্ড ব্রিচের পরেও আপনাকে সময় দেয়।

একটি শক্তিশালী পাসওয়ার্ড কোন আক্রমণ থেকে রক্ষা করে (এবং কোনগুলো থেকে নয়)

ভিন্ন ভিন্ন হুমকির জন্য ভিন্ন প্রতিরক্ষা দরকার, এবং সৎভাবে বোঝা উচিত পাসওয়ার্ডের শক্তি কোথায় সাহায্য করে এবং কোথায় করে না:

অন্য কথায়, একটি শক্তিশালী, অনন্য পাসওয়ার্ড প্রয়োজনীয় কিন্তু যথেষ্ট নয়। এটিকে 2FA ও একটি পাসওয়ার্ড ম্যানেজারের সাথে যুক্ত করুন এবং আপনি সেই ফাঁকগুলো বন্ধ করে দেন যা কেবল শক্তি পূরণ করতে পারে না।

প্রকৃত র‍্যান্ডমনেস কেন গুরুত্বপূর্ণ: CSPRNG বনাম Math.random

একটি পাসওয়ার্ড ঠিক ততটাই অপ্রত্যাশিত যতটা এর পেছনের র‍্যান্ডমনেস। JavaScript-এর Math.random() একটি দ্রুত ছদ্ম-র‍্যান্ডম জেনারেটর যা কখনো নিরাপত্তার জন্য তৈরি হয়নি — এর আউটপুট অনুমান বা পুনরুৎপাদন করা যায়, তাই গোপন তৈরির জন্য এটি কখনো ব্যবহার করা উচিত নয়। এই টুল বরং crypto.getRandomValues() ব্যবহার করে, ব্রাউজারের ক্রিপ্টোগ্রাফিকভাবে নিরাপদ জেনারেটর, যা সেই একই অপারেটিং-সিস্টেম এনট্রপির ওপর নির্ভর করে যা TLS এবং পাসওয়ার্ড ম্যানেজারকে রক্ষা করে। এটি "মডিউলো বায়াস" এড়াতে রিজেকশন স্যাম্পলিংও প্রয়োগ করে: কোনো র‍্যান্ডম বাইটকে সরাসরি ক্যারেক্টার পুলে ম্যাপ করলে কিছু ক্যারেক্টার সামান্য বেশি সম্ভাব্য হয়ে যেত, তাই যে কোনো মান যা ফলাফলকে হেলিয়ে দিতে পারে তা বাদ দিয়ে আবার টানা হয়। এর ফল হলো প্রতিটি ক্যারেক্টার সত্যিকারের সমান সম্ভাবনায় বেছে নেওয়া হয় — ঠিক সেই অনুমান যার ওপর উপরের এনট্রপি গণিত নির্ভর করে।

ভবিষ্যৎ: পাসকি এবং WebAuthn

পাসওয়ার্ড সমস্যার দীর্ঘমেয়াদি উত্তর হলো পাসওয়ার্ড ব্যবহার পুরোপুরি বন্ধ করা। পাসকি, যা WebAuthn / FIDO2 মানের ওপর তৈরি, ভাগ করা গোপনের পরিবর্তে পাবলিক-কী ক্রিপ্টোগ্রাফি নিয়ে আসে: আপনার ডিভাইস একটি প্রাইভেট কী রাখে, সাইট কেবল মিলে যাওয়া পাবলিক কী রাখে, এবং আপনি ফিঙ্গারপ্রিন্ট, মুখ বা PIN দিয়ে অথেনটিকেট করেন। যেহেতু পুনঃব্যবহারযোগ্য কিছুই কখনো পাঠানো হয় না, পাসকি স্বভাবতই ফিশিং এবং ক্রেডেনশিয়াল স্টাফিং প্রতিরোধী — চুরি করার, ফাঁস হওয়ার বা প্রতারণায় টাইপ করানোর জন্য কোনো পাসওয়ার্ডই নেই। বড় প্ল্যাটফর্মগুলোতে এর গ্রহণ বাড়ছে, কিন্তু পাসওয়ার্ড বছরের পর বছর সর্বত্র থেকে যাবে, তাই প্রতিটি অ্যাকাউন্টের জন্য একটি শক্তিশালী, অনন্য পাসওয়ার্ড তৈরি করা — এবং তা একটি ম্যানেজারে রাখা — আজও অপরিহার্য।

দুই-ফ্যাক্টর অথেনটিকেশন: দ্বিতীয় স্তর

যেহেতু একটি নিখুঁত পাসওয়ার্ডও ফিশ বা ধরা পড়তে পারে, একটি অ্যাকাউন্টে আপনি যে সবচেয়ে গুরুত্বপূর্ণ জিনিস যোগ করতে পারেন তা হলো একটি দ্বিতীয় ফ্যাক্টর — পাসওয়ার্ডের বাইরে কিছু। সবচেয়ে শক্তিশালী সাধারণ বিকল্প হলো একটি হার্ডওয়্যার সিকিউরিটি কী (একটি FIDO2/WebAuthn ডিভাইস) বা পাসকি, দুটোই ফিশিং-প্রতিরোধী কারণ তারা কেবল আসল সাইটেই অথেনটিকেট করবে। পরবর্তী সেরা বিকল্প একটি অথেনটিকেটর অ্যাপ যা সময়-ভিত্তিক এক-বারের কোড (TOTP) তৈরি করে, যা কখনো আপনার ডিভাইসের বাইরে যায় না। সবচেয়ে দুর্বল, কিন্তু তবুও কিছু না থাকার চেয়ে অনেক ভালো, হলো SMS — সুবিধাজনক, কিন্তু SIM-সোয়াপিং ও অন্তরায়নের প্রতি সংবেদনশীল, তাই উচ্চ-মূল্যের অ্যাকাউন্টে যেখানে অ্যাপ বা কী পাওয়া যায় সেখানে এটি এড়িয়ে চলুন। যেখানেই এটি পাওয়া যায় সেখানে দ্বিতীয় ফ্যাক্টর চালু করুন, আপনার ইমেল ও পাসওয়ার্ড ম্যানেজার দিয়ে শুরু করে, কারণ সেগুলো বাকি সবকিছু খুলে দেয়।

পাসওয়ার্ড ম্যানেজার কীভাবে কাজ করে

একটি পাসওয়ার্ড ম্যানেজার মূল সমস্যাটি সমাধান করে — যে শক্তিশালী পাসওয়ার্ড, স্বভাবতই, মনে রাখা অসম্ভব — সেগুলো সব একটি এনক্রিপ্টেড ভল্টে একটিমাত্র মাস্টার পাসওয়ার্ডের পেছনে রেখে (সেই একটি পাসফ্রেজ যা আপনি মনে রাখেন)। ভল্ট সিঙ্ক হওয়ার আগেই আপনার নিজের ডিভাইসে এনক্রিপ্ট হয়ে যায়, তাই একটি ভালোভাবে তৈরি ম্যানেজার কখনো আপনার পাসওয়ার্ডে পৌঁছাতে পারে না; কেবল আপনার মাস্টার পাসওয়ার্ডই সেগুলো ডিক্রিপ্ট করতে পারে। এতে আপনি প্রতিটি সাইটকে এই টুলের তৈরি করা মতো একটি অনন্য, দীর্ঘ, র‍্যান্ডম গোপন দিতে পারেন, পুনরায় ব্যবহার দূর করে — অ্যাকাউন্ট হ্যাক হওয়ার বাস্তব জগতে সবচেয়ে বড় কারণ — কোনো স্মৃতির বোঝা ছাড়াই। নির্ভরযোগ্য বিকল্পের মধ্যে Bitwarden, 1Password, KeePass এবং আধুনিক ব্রাউজার ও অপারেটিং সিস্টেমে নির্মিত ম্যানেজার অন্তর্ভুক্ত। একমাত্র পাসওয়ার্ড যা সত্যিই ভালোভাবে মনে রাখার যোগ্য, তা হলো ভল্ট রক্ষাকারী মাস্টার পাসওয়ার্ড।

দৈর্ঘ্য ও পুল আকার কীভাবে একসাথে কাজ করে

যেহেতু এনট্রপি = দৈর্ঘ্য × log₂(পুল), দুটি লিভারই গুরুত্বপূর্ণ, কিন্তু দৈর্ঘ্য বেশি শক্তিশালী। নিচের টেবিল পুরো 94-ক্যারেক্টার প্রিন্টযোগ্য-ASCII সেট থেকে তৈরি একটি সম্পূর্ণ র‍্যান্ডম পাসওয়ার্ডের আনুমানিক এনট্রপি কয়েকটি দৈর্ঘ্যে দেখায়, এবং কেন ছোট পাসওয়ার্ড যতই "জটিল" দেখাক না কেন ব্যর্থ হয়:

দৈর্ঘ্যএনট্রপি (94-ক্যারেক্টার পুল)রেটিং
8 ক্যারেক্টার≈ 52 বিটমোটামুটি — অফলাইন ক্র্যাক করা যায়
12 ক্যারেক্টার≈ 79 বিটশক্তিশালী
16 ক্যারেক্টার≈ 105 বিটখুব শক্তিশালী
20 ক্যারেক্টার≈ 131 বিটউচ্চ-মূল্যের অ্যাকাউন্টের জন্য একটি বিচক্ষণ ডিফল্ট

8 থেকে 16 ক্যারেক্টারে লাফ এনট্রপিকে দ্বিগুণেরও বেশি করে দেয় এবং পাসওয়ার্ডকে "কষ্ট করে ভাঙা যায়" থেকে "যেকোনো সম্ভাব্য হার্ডওয়্যার দিয়ে অবাস্তব" পর্যন্ত নিয়ে যায় — এজন্যই আপনি যে সবচেয়ে ভালো কাজটি করতে পারেন তা হলো আপনার পাসওয়ার্ড দীর্ঘ করা।

প্রায়শই জিজ্ঞাসিত প্রশ্ন

এই পাসওয়ার্ড জেনারেটর কি সত্যিই র‍্যান্ডম?
হ্যাঁ। এই জেনারেটর আপনার ব্রাউজারের অন্তর্নির্মিত crypto.getRandomValues() API ব্যবহার করে, যা অপারেটিং সিস্টেমের CSPRNG (ক্রিপ্টোগ্রাফিকভাবে নিরাপদ ছদ্ম-র‍্যান্ডম নম্বর জেনারেটর) থেকে এনট্রপি নেয়। Math.random()-এর বিপরীতে, যা নিরাপত্তার জন্য তৈরি হয়নি, crypto.getRandomValues() সেই একই মান যা পাসওয়ার্ড ম্যানেজার, TLS এবং অন্যান্য ক্রিপ্টোগ্রাফিক সফটওয়্যার ব্যবহার করে।
আমার পাসওয়ার্ড কি ব্রাউজারের বাইরে যায়?
না। পাসওয়ার্ড তৈরির পুরো প্রক্রিয়া আপনার ব্রাউজারেই, স্থানীয় CPU ও OS এনট্রপি ব্যবহার করে ঘটে। কিছুই আপলোড, ট্রান্সমিট বা লগ করা হয় না। একবার লোড হয়ে গেলে পেজটি অফলাইনেও কাজ করে।
পাসওয়ার্ড কত লম্বা হওয়া উচিত?
দৈর্ঘ্যই সবচেয়ে গুরুত্বপূর্ণ একক উপাদান। মিশ্র পুল থেকে নেওয়া 16-ক্যারেক্টারের একটি র‍্যান্ডম পাসওয়ার্ড প্রায় 100 বিট এনট্রপি দেয় — যা বর্তমান যেকোনো হার্ডওয়্যার দিয়ে কার্যত ভাঙা অসম্ভব। বেশিরভাগ নিরাপত্তা বিশেষজ্ঞ সাধারণ ব্যবহারের জন্য অন্তত 16 ক্যারেক্টার এবং উচ্চ-মূল্যের অ্যাকাউন্টের জন্য 20+ ক্যারেক্টার সুপারিশ করেন। ছোট পাসওয়ার্ড (8 ক্যারেক্টার বা তার কম) জটিল ক্যারেক্টার সেট থাকা সত্ত্বেও ঘণ্টার মধ্যে ব্রুট-ফোর্স করা যায়।
"বিভ্রান্তিকর ক্যারেক্টার বাদ দিন" অপশনটি কী করে?
এটি সেই ক্যারেক্টারগুলো বাদ দেয় যেগুলো কিছু ফন্টে একই রকম দেখায়: বড় I (ছোট l বা অঙ্ক 1-এর মতো), বড় O (অঙ্ক 0-এর মতো), ছোট l ও অঙ্ক 1, ছোট o ও অঙ্ক 0। এগুলো বাদ দিলে পাসওয়ার্ড পড়া এবং কখনো হাতে টাইপ করতে হলে তা তুলে নেওয়া সহজ হয়। এনট্রপি কমে যাওয়াটা খুবই সামান্য — সাধারণত 3–5 বিট — এবং টাইপ করার সময় ভুল এড়ানোর তুলনায় সাধারণত এটি লাভজনক।
পাসওয়ার্ড এনট্রপি কী এবং এটি কীভাবে হিসাব করা হয়?
এনট্রপি, যা বিটে মাপা হয়, অনিশ্চয়তার একটি গাণিতিক পরিমাপ। N-টি ভিন্ন ক্যারেক্টারের পুল থেকে র‍্যান্ডমভাবে নেওয়া পাসওয়ার্ডে প্রতি ক্যারেক্টারে log₂(N) বিট এনট্রপি থাকে; তাই L দৈর্ঘ্যের পাসওয়ার্ডে মোট L × log₂(N) বিট থাকে। একটি ব্যবহারিক নির্দেশনা: 40 বিটের নিচে দুর্বল (ভাঙতে মিনিট), 40–59 বিট মোটামুটি (ঘণ্টা থেকে দিন), 60–79 বিট শক্তিশালী (বর্তমান হার্ডওয়্যার দিয়ে বছরের পর বছর), এবং 80+ বিট খুব শক্তিশালী (যেকোনো সম্ভাব্য হার্ডওয়্যার দিয়ে অবাস্তব)।
আমার কি পাসওয়ার্ড ম্যানেজার ব্যবহার করা উচিত?
হ্যাঁ, অবশ্যই। একটি পাসওয়ার্ড ম্যানেজার (Bitwarden, 1Password, KeePass, Apple Passwords বা অনুরূপ) আপনার পাসওয়ার্ডগুলোকে একটিমাত্র মাস্টার পাসওয়ার্ডের পেছনে এনক্রিপ্ট করে রাখে। এতে আপনি প্রতিটি সাইটের জন্য একটি অনন্য, দীর্ঘ, র‍্যান্ডম পাসওয়ার্ড ব্যবহার করতে পারেন — যা ক্রেডেনশিয়াল পুনরায় ব্যবহার দূর করে, যা অ্যাকাউন্ট হ্যাক হওয়ার সবচেয়ে সাধারণ কারণ। প্রতিটি অ্যাকাউন্টের জন্য এখানে একটি নতুন পাসওয়ার্ড তৈরি করুন এবং ম্যানেজারকে তা মনে রাখতে দিন।

সম্পর্কিত টুল

আরও টুল দেখুন

সব 69টি টুল দেখুন →

আপনার সাইটে এই টুলটি এমবেড করুন — বিনামূল্যে

সব এমবেডযোগ্য টুল →

যেকোনো পৃষ্ঠা, পোস্ট বা টেমপ্লেটে Password Generator যোগ করুন। এটি চিরকাল বিনামূল্যে — কোনো সাইন-আপ নেই, উইজেটের ভিতরে কোনো বিজ্ঞাপন নেই। একমাত্র শর্ত: ছোট দৃশ্যমান কৃতিত্ব লিঙ্কটি রেখে দিন।

উইজেটটি প্রিভিউ করুন