পাসওয়ার্ড জেনারেটর
আপনার ব্রাউজারে crypto.getRandomValues() ব্যবহার করে
ক্রিপ্টোগ্রাফিকভাবে র্যান্ডম পাসওয়ার্ড তৈরি করুন — কোনো পাসওয়ার্ড পাঠানো বা সংরক্ষণ করা হয় না।
সর্বশেষ পর্যালোচনা 2026-06-19।
পাসওয়ার্ডের শক্তি কীভাবে মাপা হয়
শক্তি এনট্রপি থেকে হিসাব করা হয় — পাসওয়ার্ডে অনিশ্চয়তার বিটের সংখ্যা। N সম্ভাব্য ক্যারেক্টারের পুল থেকে নেওয়া প্রতিটি ক্যারেক্টার log₂(N) বিট যোগ করে; তাই L দৈর্ঘ্যের পাসওয়ার্ডে মোট L × log₂(N) বিট থাকে।
| এনট্রপি | রেটিং | আনুমানিক ক্র্যাক সময় (দ্রুত GPU) |
|---|---|---|
| < 40 বিট | দুর্বল | সেকেন্ড থেকে ঘণ্টা |
| 40–59 বিট | মোটামুটি | ঘণ্টা থেকে সপ্তাহ |
| 60–79 বিট | শক্তিশালী | শতাব্দী |
| ≥ 80 বিট | খুব শক্তিশালী | মহাবিশ্বের বয়সের চেয়েও বেশি |
উদাহরণ: 86টি ক্যারেক্টারের মিশ্র পুল (বড় + ছোট অক্ষর + অঙ্ক + চিহ্ন) থেকে তৈরি 16-ক্যারেক্টারের পাসওয়ার্ডে 16 × log₂(86) ≈ 102.8 বিট থাকে — স্বচ্ছন্দে "খুব শক্তিশালী" শ্রেণিতে এবং বর্তমান যেকোনো হার্ডওয়্যার দিয়ে ব্রুট-ফোর্স করা অবাস্তব।
পাসওয়ার্ড নিরাপত্তার পরামর্শ
- দৈর্ঘ্য জটিলতার চেয়ে ভালো। 20-ক্যারেক্টারের কেবল-ছোট-অক্ষরের পাসওয়ার্ড 8-ক্যারেক্টারের মিশ্র-কেস পাসওয়ার্ডের চেয়ে অনেক বেশি শক্তিশালী। এনট্রপি দৈর্ঘ্যের সাথে রৈখিকভাবে বাড়ে, কিন্তু পুলের আকারের সাথে কেবল লগারিদমীয়ভাবে।
- প্রতিটি অ্যাকাউন্টের জন্য একটি ভিন্ন পাসওয়ার্ড ব্যবহার করুন। ক্রেডেনশিয়াল পুনরায় ব্যবহার বাস্তব জগতে অ্যাকাউন্ট হ্যাক হওয়ার সবচেয়ে সাধারণ কারণ। পাসওয়ার্ড ম্যানেজার এটি সহজ করে দেয়।
- কখনো অভিধানের শব্দ বা ব্যক্তিগত তথ্য ব্যবহার করবেন না — জন্মদিন, নাম এবং সাধারণ শব্দ-প্রতিস্থাপন (p@ssw0rd) সেই জিনিসগুলোই যা ব্রুট-ফোর্স অভিধান সবার আগে চেষ্টা করে।
- যেখানেই সম্ভব, দুই-ফ্যাক্টর অথেনটিকেশন (2FA) চালু করুন। একটি চুরি হওয়া পাসওয়ার্ডও দ্বিতীয় ফ্যাক্টর ছাড়া ব্যবহার করা যায় না।
- পাসওয়ার্ড একটি ম্যানেজারে রাখুন (Bitwarden, 1Password, KeePass, Apple Passwords)। এগুলো কখনো লিখে রাখবেন না বা পুনরায় ব্যবহার করবেন না।
ব্যবহৃত ক্যারেক্টার সেট
| সেট | ক্যারেক্টার | পুল আকার |
|---|---|---|
| বড় হাতের অক্ষর | A–Z | 26 (বিভ্রান্তিকর বাদ দিলে 24) |
| ছোট হাতের অক্ষর | a–z | 26 (বিভ্রান্তিকর বাদ দিলে 23) |
| সংখ্যা | 0–9 | 10 (বিভ্রান্তিকর বাদ দিলে 8) |
| চিহ্ন | !@#$%^&*()-_=+[]{}|;:,.? | 24 |
আধুনিক পাসওয়ার্ড নির্দেশনা আসলে কী বলে (NIST SP 800-63B)
পাসওয়ার্ড নিয়মের প্রামাণ্য রেফারেন্স হলো মার্কিন জাতীয় মান ও প্রযুক্তি ইনস্টিটিউটের স্পেশাল পাবলিকেশন 800-63B (সর্বশেষ সংশোধন, SP 800-63B-4, 2024 সালে চূড়ান্ত করা হয়েছে)। এর পরামর্শ কয়েক দশকের যন্ত্রণাদায়ক অভ্যাসকে উল্টে দিয়েছে, এবং এটি জানা কাজে লাগে কারণ এটি ব্যাখ্যা করে কেন এই জেনারেটর এভাবে তৈরি করা হয়েছে:
- দৈর্ঘ্যই অগ্রাধিকার। অন্তত 8 ক্যারেক্টার আবশ্যক, কিন্তু সিস্টেমের অন্তত 64 অনুমোদন করা উচিত, এবং NIST দীর্ঘ পাসওয়ার্ড ও পাসফ্রেজকে উৎসাহিত করে।
- কোনো বাধ্যতামূলক গঠন-নিয়ম নেই। NIST স্পষ্টভাবে বড় অক্ষর, ছোট অক্ষর, অঙ্ক ও
চিহ্নের মিশ্রণ জোর করে চাপানোর বিরুদ্ধে পরামর্শ দেয়। এমন নিয়ম মানুষকে অনুমানযোগ্য প্যাটার্নের
(
Password1!) দিকে ঠেলে দেয় এবং কেবল দৈর্ঘ্য বাড়ানোর তুলনায় সামান্য প্রকৃত এনট্রপি যোগ করে। - কোনো জোরপূর্বক নিয়মিত পরিবর্তন নেই। নিয়মিত 90-দিনের মেয়াদোত্তীর্ণ নিরুৎসাহিত করা হয়;
পাসওয়ার্ড কেবল তখনই পরিবর্তন করা উচিত যখন আপস হওয়ার প্রমাণ থাকে। জোরপূর্বক পরিবর্তন কেবল দুর্বল, ধাপে ধাপে
পরিবর্তন (
Spring2025এরপরSummer2025) তৈরি করে। - ফাঁস হওয়া পাসওয়ার্ড যাচাই করুন। সিস্টেমের উচিত পরিচিত ব্রিচ তালিকায় পাওয়া পাসওয়ার্ড প্রত্যাখ্যান করা — আসল ঝুঁকি এই নয় যে আক্রমণকারী শূন্য থেকে আপনার পাসওয়ার্ড অনুমান করবে, বরং এই যে তারা অন্য কোনো সাইট থেকে ইতিমধ্যে ফাঁস হওয়া একটি পাসওয়ার্ড চেষ্টা করবে।
- সবকিছু অনুমোদন করুন, এবং পেস্ট করতে দিন। সব প্রিন্টযোগ্য ASCII, স্পেস এবং Unicode গ্রহণ করা উচিত, এবং পেস্ট করার অনুমতি থাকা উচিত যাতে পাসওয়ার্ড ম্যানেজার কাজ করে।
মূল কথা সহজ: একটি দীর্ঘ, অনন্য, র্যান্ডম গোপন কোনো ছোট, "জটিল" গোপনের চেয়ে ভালো — যা ঠিক এই টুলই তৈরি করে।
পাসফ্রেজ: শক্তিশালী ও মনে রাখার মতো
র্যান্ডম ক্যারেক্টার স্ট্রিং তখনই আদর্শ যখন একটি পাসওয়ার্ড ম্যানেজার সেগুলো আপনার জন্য মনে রাখে। কিন্তু যে গুটিকয় পাসওয়ার্ড আপনাকে নিজে মনে রাখতে হবে — আপনার ডিভাইস লগইন, আপনার পাসওয়ার্ড-ম্যানেজার মাস্টার পাসওয়ার্ড — সেগুলোর জন্য একটি র্যান্ডম পাসফ্রেজ প্রায়শই ভালো, কারণ একই শক্তিতে এটি মনে রাখা অনেক সহজ। প্রমিত পদ্ধতি হলো Diceware: 7,776 শব্দের তালিকা থেকে (অর্থাৎ 65, পাঁচটি পাশার ফলাফল) র্যান্ডম শব্দ বেছে নিন। ইলেকট্রনিক ফ্রন্টিয়ার ফাউন্ডেশনের শব্দ-তালিকা প্রতি শব্দে প্রায় 12.9 বিট এনট্রপি যোগ করে, তাই ছয়-শব্দের একটি পাসফ্রেজে প্রায় 77 বিট থাকে — স্বচ্ছন্দে শক্তিশালী — এবং তবুও এমন কিছু যা আপনি সত্যিই মনে রাখতে পারেন। বিখ্যাত xkcd উদাহরণ "correct horse battery staple" (চার শব্দ) এই ধারণাটি তুলে ধরে, যদিও চার শব্দে এটি মাত্র প্রায় 44–52 বিট; ছয় শব্দ আধুনিক সুপারিশ। সবচেয়ে গুরুত্বপূর্ণ শর্ত হলো শব্দগুলো র্যান্ডমভাবে বেছে নেওয়া — আপনার নিজের বানানো বাক্যাংশ, বা কোনো উদ্ধৃতি, শব্দসংখ্যার ইঙ্গিতের চেয়ে অনেক কম এনট্রপি রাখে, কারণ তা অনুমানযোগ্য।
অনলাইন বনাম অফলাইন আক্রমণ: ক্র্যাক সময় এত ভিন্ন হয় কেন
উপরের টেবিলের ক্র্যাক-সময়ের পরিসংখ্যান একটি অফলাইন আক্রমণ ধরে নেয় — সেই পরিস্থিতি যা নির্ধারণ করে পাসওয়ার্ড আসলে কতটা শক্তিশালী হওয়া দরকার। দুটি খুব ভিন্ন পরিস্থিতির পার্থক্য বোঝা কাজে লাগে:
- অনলাইন আক্রমণ একটি লাইভ লগইনের বিরুদ্ধে পাসওয়ার্ড চেষ্টা করে। এগুলো ধীর এবং সহজেই পরাস্ত করা যায়: রেট-লিমিটিং, লকআউট এবং CAPTCHA আক্রমণকারীকে মুষ্টিমেয় কয়েকটি অনুমানে সীমাবদ্ধ করে দেয়, তাই একটি মোটামুটি দুর্বল পাসওয়ার্ডও অনলাইন অনুমান প্রতিরোধ করে।
- অফলাইন আক্রমণ ঘটে একটি ডেটাবেস চুরি হওয়ার পরে। আক্রমণকারীর কাছে পাসওয়ার্ড হ্যাশ থাকে এবং সে তার হার্ডওয়্যার যত দ্রুত অনুমতি দেয় তত দ্রুত অনুমান করতে পারে — আধুনিক GPU-তে প্রতি সেকেন্ডে কোটি কোটি প্রচেষ্টা। এখানেই উচ্চ এনট্রপি গুরুত্বপূর্ণ, কারণ তাকে ধীর করার কোনো রেট-লিমিট নেই।
অফলাইন গতি সম্পূর্ণভাবে এর ওপরও নির্ভর করে সাইটটি আপনার পাসওয়ার্ড কীভাবে সংরক্ষণ করেছে। যে সাইট ইচ্ছাকৃতভাবে ধীর, সল্টেড অ্যালগরিদম (bcrypt, scrypt, Argon2) ব্যবহার করেছে, সে হয়তো প্রতি সেকেন্ডে কেবল হাজার হাজার অনুমান অনুমোদন করে; যে সাইট বোকার মতো দ্রুত, সল্টবিহীন হ্যাশ যেমন কাঁচা MD5 বা SHA-1 ব্যবহার করেছে, সে কোটি কোটি অনুমতি দেয়। কোন সাইট কোনটি বেছে নিয়েছে তা আপনি নিয়ন্ত্রণ করতে পারবেন না — এটাই আসল কারণ প্রতিটি পাসওয়ার্ড দীর্ঘ ও অনন্য করার: দৈর্ঘ্য আপনাকে অসতর্ক সাইট থেকেও রক্ষা করে।
পাসওয়ার্ড কীভাবে সংরক্ষণ করা উচিত: হ্যাশিং ও সল্টিং
একটি ভালোভাবে তৈরি সেবা কখনো আপনার আসল পাসওয়ার্ড সংরক্ষণ করে না। বরং এটি একটি হ্যাশ রাখে — একটি একমুখী ফিঙ্গারপ্রিন্ট যা মূল পাসওয়ার্ড পুনরুদ্ধার করতে উল্টানো যায় না — যা Argon2, scrypt, bcrypt বা PBKDF2-এর মতো বিশেষ পাসওয়ার্ড-হ্যাশিং ফাংশন দিয়ে তৈরি। দুটি অতিরিক্ত উপাদান একে আরও শক্ত করে। একটি সল্ট হলো হ্যাশিংয়ের আগে প্রতিটি পাসওয়ার্ডে মেশানো একটি অনন্য র্যান্ডম মান, যাতে একই পাসওয়ার্ডও ভিন্ন হ্যাশ দেয় এবং সাধারণ হ্যাশের আগে থেকে তৈরি "রেইনবো টেবিল" অকেজো হয়ে যায়। একটি পেপার হলো ডেটাবেস থেকে আলাদা রাখা একটি অতিরিক্ত গোপন। এই ফাংশনগুলো ইচ্ছাকৃতভাবে ধীর, যা একটি বৈধ লগইনে সবেমাত্র প্রভাব ফেলে কিন্তু কোটি কোটি অনুমান করা আক্রমণকারীকে পঙ্গু করে দেয়। যখন আপনি পড়েন যে কোনো ব্রিচ "হ্যাশড এবং সল্টেড" পাসওয়ার্ড উন্মুক্ত করেছে, তখন এই সুরক্ষাই কাজ করছে — এবং এটি আরেকটি কারণ কেন একটি দীর্ঘ, র্যান্ডম পাসওয়ার্ড ব্রিচের পরেও আপনাকে সময় দেয়।
একটি শক্তিশালী পাসওয়ার্ড কোন আক্রমণ থেকে রক্ষা করে (এবং কোনগুলো থেকে নয়)
ভিন্ন ভিন্ন হুমকির জন্য ভিন্ন প্রতিরক্ষা দরকার, এবং সৎভাবে বোঝা উচিত পাসওয়ার্ডের শক্তি কোথায় সাহায্য করে এবং কোথায় করে না:
- ব্রুট ফোর্স — প্রতিটি সংমিশ্রণ চেষ্টা করা। উচ্চ এনট্রপি এটিকে সম্পূর্ণ পরাস্ত করে; বিট-গণনা এটাই মাপে।
- অভিধান আক্রমণ — শব্দ, নাম এবং সাধারণ প্রতিস্থাপন (
p@ssw0rd) চেষ্টা করা। একটি সত্যিকারের র্যান্ডম পাসওয়ার্ড এ থেকে সুরক্ষিত; একটি চতুর-দেখতে মানুষের বানানো পাসওয়ার্ড প্রায়শই নয়। - ক্রেডেনশিয়াল স্টাফিং — এক সাইট থেকে ফাঁস হওয়া ইউজারনেম-পাসওয়ার্ড জোড়া অন্য অনেক সাইটে পুনরায় চেষ্টা করা। এটি কেবল প্রতিটি সাইটে ভিন্ন পাসওয়ার্ড ব্যবহার করার মাধ্যমে পরাস্ত হয়, এজন্যই পুনরায় ব্যবহার সবচেয়ে বিপজ্জনক অভ্যাস এবং পাসওয়ার্ড ম্যানেজার সবচেয়ে ভালো সমাধান।
- ফিশিং, কীলগার এবং ম্যালওয়্যার — এগুলো টাইপ করার সময়ই পাসওয়ার্ড ধরে ফেলে, তাই কোনো শক্তিই সাহায্য করে না। এখানে প্রতিরক্ষা হলো দুই-ফ্যাক্টর অথেনটিকেশন, নকল লগইন পেজের ব্যাপারে সতর্কতা, এবং আপনার ডিভাইস পরিষ্কার রাখা।
অন্য কথায়, একটি শক্তিশালী, অনন্য পাসওয়ার্ড প্রয়োজনীয় কিন্তু যথেষ্ট নয়। এটিকে 2FA ও একটি পাসওয়ার্ড ম্যানেজারের সাথে যুক্ত করুন এবং আপনি সেই ফাঁকগুলো বন্ধ করে দেন যা কেবল শক্তি পূরণ করতে পারে না।
প্রকৃত র্যান্ডমনেস কেন গুরুত্বপূর্ণ: CSPRNG বনাম Math.random
একটি পাসওয়ার্ড ঠিক ততটাই অপ্রত্যাশিত যতটা এর পেছনের র্যান্ডমনেস। JavaScript-এর Math.random()
একটি দ্রুত ছদ্ম-র্যান্ডম জেনারেটর যা কখনো নিরাপত্তার জন্য তৈরি হয়নি — এর আউটপুট অনুমান বা পুনরুৎপাদন করা
যায়, তাই গোপন তৈরির জন্য এটি কখনো ব্যবহার করা উচিত নয়। এই টুল বরং
crypto.getRandomValues() ব্যবহার করে, ব্রাউজারের ক্রিপ্টোগ্রাফিকভাবে নিরাপদ
জেনারেটর, যা সেই একই অপারেটিং-সিস্টেম এনট্রপির ওপর নির্ভর করে যা TLS এবং পাসওয়ার্ড ম্যানেজারকে রক্ষা করে।
এটি "মডিউলো বায়াস" এড়াতে রিজেকশন স্যাম্পলিংও প্রয়োগ করে: কোনো র্যান্ডম বাইটকে সরাসরি
ক্যারেক্টার পুলে ম্যাপ করলে কিছু ক্যারেক্টার সামান্য বেশি সম্ভাব্য হয়ে যেত, তাই যে কোনো মান যা ফলাফলকে
হেলিয়ে দিতে পারে তা বাদ দিয়ে আবার টানা হয়। এর ফল হলো প্রতিটি ক্যারেক্টার সত্যিকারের সমান সম্ভাবনায় বেছে নেওয়া
হয় — ঠিক সেই অনুমান যার ওপর উপরের এনট্রপি গণিত নির্ভর করে।
ভবিষ্যৎ: পাসকি এবং WebAuthn
পাসওয়ার্ড সমস্যার দীর্ঘমেয়াদি উত্তর হলো পাসওয়ার্ড ব্যবহার পুরোপুরি বন্ধ করা। পাসকি, যা WebAuthn / FIDO2 মানের ওপর তৈরি, ভাগ করা গোপনের পরিবর্তে পাবলিক-কী ক্রিপ্টোগ্রাফি নিয়ে আসে: আপনার ডিভাইস একটি প্রাইভেট কী রাখে, সাইট কেবল মিলে যাওয়া পাবলিক কী রাখে, এবং আপনি ফিঙ্গারপ্রিন্ট, মুখ বা PIN দিয়ে অথেনটিকেট করেন। যেহেতু পুনঃব্যবহারযোগ্য কিছুই কখনো পাঠানো হয় না, পাসকি স্বভাবতই ফিশিং এবং ক্রেডেনশিয়াল স্টাফিং প্রতিরোধী — চুরি করার, ফাঁস হওয়ার বা প্রতারণায় টাইপ করানোর জন্য কোনো পাসওয়ার্ডই নেই। বড় প্ল্যাটফর্মগুলোতে এর গ্রহণ বাড়ছে, কিন্তু পাসওয়ার্ড বছরের পর বছর সর্বত্র থেকে যাবে, তাই প্রতিটি অ্যাকাউন্টের জন্য একটি শক্তিশালী, অনন্য পাসওয়ার্ড তৈরি করা — এবং তা একটি ম্যানেজারে রাখা — আজও অপরিহার্য।
দুই-ফ্যাক্টর অথেনটিকেশন: দ্বিতীয় স্তর
যেহেতু একটি নিখুঁত পাসওয়ার্ডও ফিশ বা ধরা পড়তে পারে, একটি অ্যাকাউন্টে আপনি যে সবচেয়ে গুরুত্বপূর্ণ জিনিস যোগ করতে পারেন তা হলো একটি দ্বিতীয় ফ্যাক্টর — পাসওয়ার্ডের বাইরে কিছু। সবচেয়ে শক্তিশালী সাধারণ বিকল্প হলো একটি হার্ডওয়্যার সিকিউরিটি কী (একটি FIDO2/WebAuthn ডিভাইস) বা পাসকি, দুটোই ফিশিং-প্রতিরোধী কারণ তারা কেবল আসল সাইটেই অথেনটিকেট করবে। পরবর্তী সেরা বিকল্প একটি অথেনটিকেটর অ্যাপ যা সময়-ভিত্তিক এক-বারের কোড (TOTP) তৈরি করে, যা কখনো আপনার ডিভাইসের বাইরে যায় না। সবচেয়ে দুর্বল, কিন্তু তবুও কিছু না থাকার চেয়ে অনেক ভালো, হলো SMS — সুবিধাজনক, কিন্তু SIM-সোয়াপিং ও অন্তরায়নের প্রতি সংবেদনশীল, তাই উচ্চ-মূল্যের অ্যাকাউন্টে যেখানে অ্যাপ বা কী পাওয়া যায় সেখানে এটি এড়িয়ে চলুন। যেখানেই এটি পাওয়া যায় সেখানে দ্বিতীয় ফ্যাক্টর চালু করুন, আপনার ইমেল ও পাসওয়ার্ড ম্যানেজার দিয়ে শুরু করে, কারণ সেগুলো বাকি সবকিছু খুলে দেয়।
পাসওয়ার্ড ম্যানেজার কীভাবে কাজ করে
একটি পাসওয়ার্ড ম্যানেজার মূল সমস্যাটি সমাধান করে — যে শক্তিশালী পাসওয়ার্ড, স্বভাবতই, মনে রাখা অসম্ভব — সেগুলো সব একটি এনক্রিপ্টেড ভল্টে একটিমাত্র মাস্টার পাসওয়ার্ডের পেছনে রেখে (সেই একটি পাসফ্রেজ যা আপনি মনে রাখেন)। ভল্ট সিঙ্ক হওয়ার আগেই আপনার নিজের ডিভাইসে এনক্রিপ্ট হয়ে যায়, তাই একটি ভালোভাবে তৈরি ম্যানেজার কখনো আপনার পাসওয়ার্ডে পৌঁছাতে পারে না; কেবল আপনার মাস্টার পাসওয়ার্ডই সেগুলো ডিক্রিপ্ট করতে পারে। এতে আপনি প্রতিটি সাইটকে এই টুলের তৈরি করা মতো একটি অনন্য, দীর্ঘ, র্যান্ডম গোপন দিতে পারেন, পুনরায় ব্যবহার দূর করে — অ্যাকাউন্ট হ্যাক হওয়ার বাস্তব জগতে সবচেয়ে বড় কারণ — কোনো স্মৃতির বোঝা ছাড়াই। নির্ভরযোগ্য বিকল্পের মধ্যে Bitwarden, 1Password, KeePass এবং আধুনিক ব্রাউজার ও অপারেটিং সিস্টেমে নির্মিত ম্যানেজার অন্তর্ভুক্ত। একমাত্র পাসওয়ার্ড যা সত্যিই ভালোভাবে মনে রাখার যোগ্য, তা হলো ভল্ট রক্ষাকারী মাস্টার পাসওয়ার্ড।
দৈর্ঘ্য ও পুল আকার কীভাবে একসাথে কাজ করে
যেহেতু এনট্রপি = দৈর্ঘ্য × log₂(পুল), দুটি লিভারই গুরুত্বপূর্ণ, কিন্তু দৈর্ঘ্য বেশি শক্তিশালী। নিচের টেবিল পুরো 94-ক্যারেক্টার প্রিন্টযোগ্য-ASCII সেট থেকে তৈরি একটি সম্পূর্ণ র্যান্ডম পাসওয়ার্ডের আনুমানিক এনট্রপি কয়েকটি দৈর্ঘ্যে দেখায়, এবং কেন ছোট পাসওয়ার্ড যতই "জটিল" দেখাক না কেন ব্যর্থ হয়:
| দৈর্ঘ্য | এনট্রপি (94-ক্যারেক্টার পুল) | রেটিং |
|---|---|---|
| 8 ক্যারেক্টার | ≈ 52 বিট | মোটামুটি — অফলাইন ক্র্যাক করা যায় |
| 12 ক্যারেক্টার | ≈ 79 বিট | শক্তিশালী |
| 16 ক্যারেক্টার | ≈ 105 বিট | খুব শক্তিশালী |
| 20 ক্যারেক্টার | ≈ 131 বিট | উচ্চ-মূল্যের অ্যাকাউন্টের জন্য একটি বিচক্ষণ ডিফল্ট |
8 থেকে 16 ক্যারেক্টারে লাফ এনট্রপিকে দ্বিগুণেরও বেশি করে দেয় এবং পাসওয়ার্ডকে "কষ্ট করে ভাঙা যায়" থেকে "যেকোনো সম্ভাব্য হার্ডওয়্যার দিয়ে অবাস্তব" পর্যন্ত নিয়ে যায় — এজন্যই আপনি যে সবচেয়ে ভালো কাজটি করতে পারেন তা হলো আপনার পাসওয়ার্ড দীর্ঘ করা।
প্রায়শই জিজ্ঞাসিত প্রশ্ন
- এই পাসওয়ার্ড জেনারেটর কি সত্যিই র্যান্ডম?
- হ্যাঁ। এই জেনারেটর আপনার ব্রাউজারের অন্তর্নির্মিত crypto.getRandomValues() API ব্যবহার করে, যা অপারেটিং সিস্টেমের CSPRNG (ক্রিপ্টোগ্রাফিকভাবে নিরাপদ ছদ্ম-র্যান্ডম নম্বর জেনারেটর) থেকে এনট্রপি নেয়। Math.random()-এর বিপরীতে, যা নিরাপত্তার জন্য তৈরি হয়নি, crypto.getRandomValues() সেই একই মান যা পাসওয়ার্ড ম্যানেজার, TLS এবং অন্যান্য ক্রিপ্টোগ্রাফিক সফটওয়্যার ব্যবহার করে।
- আমার পাসওয়ার্ড কি ব্রাউজারের বাইরে যায়?
- না। পাসওয়ার্ড তৈরির পুরো প্রক্রিয়া আপনার ব্রাউজারেই, স্থানীয় CPU ও OS এনট্রপি ব্যবহার করে ঘটে। কিছুই আপলোড, ট্রান্সমিট বা লগ করা হয় না। একবার লোড হয়ে গেলে পেজটি অফলাইনেও কাজ করে।
- পাসওয়ার্ড কত লম্বা হওয়া উচিত?
- দৈর্ঘ্যই সবচেয়ে গুরুত্বপূর্ণ একক উপাদান। মিশ্র পুল থেকে নেওয়া 16-ক্যারেক্টারের একটি র্যান্ডম পাসওয়ার্ড প্রায় 100 বিট এনট্রপি দেয় — যা বর্তমান যেকোনো হার্ডওয়্যার দিয়ে কার্যত ভাঙা অসম্ভব। বেশিরভাগ নিরাপত্তা বিশেষজ্ঞ সাধারণ ব্যবহারের জন্য অন্তত 16 ক্যারেক্টার এবং উচ্চ-মূল্যের অ্যাকাউন্টের জন্য 20+ ক্যারেক্টার সুপারিশ করেন। ছোট পাসওয়ার্ড (8 ক্যারেক্টার বা তার কম) জটিল ক্যারেক্টার সেট থাকা সত্ত্বেও ঘণ্টার মধ্যে ব্রুট-ফোর্স করা যায়।
- "বিভ্রান্তিকর ক্যারেক্টার বাদ দিন" অপশনটি কী করে?
- এটি সেই ক্যারেক্টারগুলো বাদ দেয় যেগুলো কিছু ফন্টে একই রকম দেখায়: বড় I (ছোট l বা অঙ্ক 1-এর মতো), বড় O (অঙ্ক 0-এর মতো), ছোট l ও অঙ্ক 1, ছোট o ও অঙ্ক 0। এগুলো বাদ দিলে পাসওয়ার্ড পড়া এবং কখনো হাতে টাইপ করতে হলে তা তুলে নেওয়া সহজ হয়। এনট্রপি কমে যাওয়াটা খুবই সামান্য — সাধারণত 3–5 বিট — এবং টাইপ করার সময় ভুল এড়ানোর তুলনায় সাধারণত এটি লাভজনক।
- পাসওয়ার্ড এনট্রপি কী এবং এটি কীভাবে হিসাব করা হয়?
- এনট্রপি, যা বিটে মাপা হয়, অনিশ্চয়তার একটি গাণিতিক পরিমাপ। N-টি ভিন্ন ক্যারেক্টারের পুল থেকে র্যান্ডমভাবে নেওয়া পাসওয়ার্ডে প্রতি ক্যারেক্টারে log₂(N) বিট এনট্রপি থাকে; তাই L দৈর্ঘ্যের পাসওয়ার্ডে মোট L × log₂(N) বিট থাকে। একটি ব্যবহারিক নির্দেশনা: 40 বিটের নিচে দুর্বল (ভাঙতে মিনিট), 40–59 বিট মোটামুটি (ঘণ্টা থেকে দিন), 60–79 বিট শক্তিশালী (বর্তমান হার্ডওয়্যার দিয়ে বছরের পর বছর), এবং 80+ বিট খুব শক্তিশালী (যেকোনো সম্ভাব্য হার্ডওয়্যার দিয়ে অবাস্তব)।
- আমার কি পাসওয়ার্ড ম্যানেজার ব্যবহার করা উচিত?
- হ্যাঁ, অবশ্যই। একটি পাসওয়ার্ড ম্যানেজার (Bitwarden, 1Password, KeePass, Apple Passwords বা অনুরূপ) আপনার পাসওয়ার্ডগুলোকে একটিমাত্র মাস্টার পাসওয়ার্ডের পেছনে এনক্রিপ্ট করে রাখে। এতে আপনি প্রতিটি সাইটের জন্য একটি অনন্য, দীর্ঘ, র্যান্ডম পাসওয়ার্ড ব্যবহার করতে পারেন — যা ক্রেডেনশিয়াল পুনরায় ব্যবহার দূর করে, যা অ্যাকাউন্ট হ্যাক হওয়ার সবচেয়ে সাধারণ কারণ। প্রতিটি অ্যাকাউন্টের জন্য এখানে একটি নতুন পাসওয়ার্ড তৈরি করুন এবং ম্যানেজারকে তা মনে রাখতে দিন।