Home » Cryptographic Failures কী? (বিস্তারিত ব্যাখ্যা)
Web Application Security

Cryptographic Failures কী? (বিস্তারিত ব্যাখ্যা)

by ITAB Content Team
by ITAB Content Team

Cryptographic Failures হলো এমন একটি গুরুতর নিরাপত্তা দুর্বলতা, যেখানে ওয়েব অ্যাপ্লিকেশন সংবেদনশীল তথ্য সঠিকভাবে সুরক্ষিত করতে ব্যর্থ হয়। সাধারণত পাসওয়ার্ড, জাতীয় পরিচয় নম্বর, ব্যাংক কার্ডের তথ্য, ব্যক্তিগত ডেটা বা লগইন টোকেনের মতো তথ্য এনক্রিপ্ট করে সংরক্ষণ বা আদান-প্রদান করার কথা। কিন্তু যখন এই তথ্যগুলো এনক্রিপ্ট করা হয় না, অথবা দুর্বল ও পুরোনো এনক্রিপশন পদ্ধতি ব্যবহার করা হয়, তখন সেটিকে Cryptographic Failure বলা হয়।

এই সমস্যাটি অনেক সময় ডেভেলপারদের অজ্ঞতা বা ভুল ধারণা থেকে তৈরি হয়। অনেক ক্ষেত্রে দেখা যায়, ডেটা সুরক্ষার বিষয়টি অ্যাপ্লিকেশন তৈরির শেষ ধাপে গুরুত্ব পায়, ফলে এনক্রিপশন ভুলভাবে প্রয়োগ করা হয় বা একেবারেই করা হয় না। এর ফলে আক্রমণকারী যদি ডেটাবেজ, নেটওয়ার্ক ট্রাফিক বা ব্যাকআপ ফাইলে প্রবেশ করতে পারে, তাহলে সংবেদনশীল তথ্য খুব সহজেই ফাঁস হয়ে যায়। দুর্বল password hashing অনেক সময় Identification and Authentication Failures এর কারণ হয়।

কীভাবে Cryptographic Failures তৈরি হয়

Cryptographic Failures সাধারণত তখনই তৈরি হয় যখন অ্যাপ্লিকেশন ডিজাইন ও ডেভেলপমেন্ট পর্যায়ে নিরাপত্তাকে অগ্রাধিকার দেওয়া হয় না। অনেক ওয়েব অ্যাপ্লিকেশনে পাসওয়ার্ড প্লেইন টেক্সট আকারে সংরক্ষণ করা হয়, অথবা দুর্বল হ্যাশিং অ্যালগরিদম ব্যবহার করা হয়, যা আধুনিক কম্পিউটিং শক্তির কাছে সহজেই ভেঙে ফেলা যায়।

এছাড়া HTTPS (Hypertext transfer protocol secure) ব্যবহার না করা, পুরোনো SSL/TLS প্রোটোকল ব্যবহার করা, দুর্বল এনক্রিপশন key ব্যবহার করা কিংবা key management সঠিকভাবে না করা; এসব কারণেও এই সমস্যা দেখা দেয়। অনেক সময় ডেভেলপাররা নিজে নিজে encryption algorithm তৈরি করার চেষ্টা করেন, যা বাস্তবে আরও বড় ঝুঁকি তৈরি করে। Encrypted role token সঠিকভাবে validate না করলে Broken Access Control দেখা দিতে পারে।

Attack Scenario (আরও বিস্তারিতভাবে)

ধরা যাক, একটি জনপ্রিয় ই-কমার্স ওয়েবসাইট ব্যবহারকারীর পাসওয়ার্ড কোনো হ্যাশিং (hashing) ছাড়াই সরাসরি ডাটাবেজে সংরক্ষণ করে। ব্যবহারকারী যখন লগইন করে, তখন সেই পাসওয়ার্ড প্লেইন টেক্সট (plain text) হিসেবেই যাচাই করা হয়। এখন যদি কোনোভাবে সেই ওয়েবসাইটের ডাটাবেজ লিক হয়ে যায় হ্যাকিং, ভুল কনফিগারেশন বা ইনসাইডার থ্রেটের মাধ্যমে, তাহলে আক্রমণকারী সহজেই সব ব্যবহারকারীর পাসওয়ার্ড পড়ে ফেলতে পারবে।

এখানেই ঝুঁকি শেষ নয়। বাস্তবে অধিকাংশ ব্যবহারকারী একাধিক ওয়েবসাইটে একই পাসওয়ার্ড ব্যবহার করে। ফলে আক্রমণকারী এই পাসওয়ার্ডগুলো দিয়ে ইমেইল, সোশ্যাল মিডিয়া বা ব্যাংকিং অ্যাকাউন্টে প্রবেশের চেষ্টা করতে পারে। একটি মাত্র Cryptographic Failure এর কারণে হাজার হাজার ব্যবহারকারীর ডিজিটাল পরিচয় বিপদের মুখে পড়ে।

আরেকটি উদাহরণ ধরা যাক, একটি সরকারি অনলাইন ফর্ম HTTPS ছাড়া HTTP ব্যবহার করে জাতীয় পরিচয় নম্বর সংগ্রহ করছে। কোনো পাবলিক Wi-Fi নেটওয়ার্কে একজন ব্যবহারকারী ফর্মটি পূরণ করলে, আক্রমণকারী সহজেই নেটওয়ার্ক ট্রাফিক sniff করে সেই সংবেদনশীল তথ্য চুরি করতে পারে।

কেন Cryptographic Failures এতটা ভয়ংকর

Cryptographic Failures এতটা ভয়ংকর কারণ এটি সরাসরি ব্যবহারকারীর ব্যক্তিগত ও আর্থিক নিরাপত্তার উপর আঘাত করে। এই ধরনের দুর্বলতা থেকে ডেটা লিক হলে শুধুমাত্র একটি ওয়েবসাইট নয়, বরং ব্যবহারকারীর পুরো ডিজিটাল জীবন ঝুঁকির মুখে পড়ে। পরিচয় চুরি, আর্থিক প্রতারণা, ব্ল্যাকমেইল এবং আইনি জটিলতা, সবকিছুর শুরু হতে পারে একটি ভুল এনক্রিপশন সিদ্ধান্ত থেকে।

প্রতিষ্ঠানের দিক থেকেও এই ক্ষতি মারাত্মক। ডেটা লিকের কারণে প্রতিষ্ঠানের বিশ্বাসযোগ্যতা নষ্ট হয়, আইনি জরিমানা দিতে হয় এবং গ্রাহকের আস্থা ফিরে পেতে দীর্ঘ সময় লাগে। এজন্যই OWASP Top 10 তালিকায় Cryptographic Failures কে অন্যতম উচ্চ ঝুঁকিপূর্ণ নিরাপত্তা সমস্যা হিসেবে চিহ্নিত করা হয়েছে।

সাধারণ জিজ্ঞাসা / FAQ (Frequently Asked Questions)

1. Cryptographic Failures কী?

Cryptographic Failures হলো নিরাপত্তা ত্রুটি যেখানে ডেটা এনক্রিপশন (Data encryption), হ্যাশিং (hashing) বা সিক্রেট কী (secret key) ব্যবস্থাপনা সঠিকভাবে না হওয়ায় ডেটা অননুমোদিতভাবে পড়া, পরিবর্তন বা চুরি হতে পারে।

2. কেন Cryptographic Failures গুরুতর?

সেন্সিটিভ ডেটা (যেমন পাসওয়ার্ড, ক্রেডিট কার্ড তথ্য, API কী) নিরাপত্তাহীনভাবে সংরক্ষিত হলে আক্রমণকারী সহজেই ডেটা এক্সপ্লয়ট করতে পারে।

3. Cryptographic Failures এর সাধারণ উদাহরণ কী?

  • পাসওয়ার্ড plain text এ সংরক্ষণ করা
  • পুরনো বা দুর্বল এনক্রিপশন অ্যালগরিদম ব্যবহার করা
  • TLS/SSL কনফিগারেশন ভুল করা
  • সিক্রেট কী বা API টোকেন লিক করা

4. Symmetric এবং Asymmetric ক্রিপ্টোগ্রাফি ব্যবহারে পার্থক্য কী?

  • Symmetric: একই কী দিয়ে এনক্রিপশন ও ডিক্রিপশন
  • Asymmetric: পাবলিক ও প্রাইভেট কী আলাদা, নিরাপদ যোগাযোগের জন্য ব্যবহৃত

5. কীভাবে Cryptographic Failures শনাক্ত করা যায়?

  • পেন‑টেস্টিং
  • কোড অডিট
  • SSL/TLS স্ক্যানিং টুল ব্যবহার
  • এনক্রিপশন ব্যবহারের ভ্যালিডেশন

6. পুরনো ক্রিপ্টোগ্রাফি অ্যালগরিদমের ঝুঁকি কী?

MD5, SHA1 বা DES-এর মতো দুর্বল অ্যালগরিদম দ্রুত ব্রুটফোর্স আক্রমণ বা কলিশন এক্সপ্লয়ট করতে সহজ হয়।

7. Key Management এ ভুল কীভাবে ঝুঁকি বাড়ায়?

  • সিক্রেট কী হারানো বা লিক
  • একই কী বিভিন্ন জায়গায় পুনঃব্যবহার
  • রোটেশন না করা
    ফলে ডেটা নিরাপদ থাকে না।

8. TLS/SSL কনফিগারেশন ভুল হলে কী হয়?

  • ডেটা ট্রান্সমিশন ইন্টারসেপ্ট করা যায়
  • Man-in-the-Middle (MITM) আক্রমণের সুযোগ বৃদ্ধি পায়
  • ব্রাউজার বা ক্লায়েন্ট সিকিউরিটি এলার্ট দেয়

9. Cryptographic Failures প্রতিরোধের উপায় কী?

  • শক্তিশালী ও আপডেটেড অ্যালগরিদম ব্যবহার
  • সঠিক কী (key) ম্যানেজমেন্ট ও রোটেশন
  • TLS/SSL সব এন্ডপয়েন্টে সঠিকভাবে কনফিগার করা
  • পাসওয়ার্ড সল্টিং ও হ্যাশিং ব্যবহার

10. ক্রিপ্টোগ্রাফি ভুল হলে আক্রমণকারী কি করতে পারে?

  • ডেটা ডিক্রিপ্ট বা চুরি
  • অথরাইজেশন বাইপাস
  • সিক্রেট কী এক্সপ্লয়ট করে সার্ভিস কন্ট্রোল নেওয়া

11. Sensitive Data-at-Rest এবং Data-in-Transit এর জন্য কি সতর্কতা দরকার?

  • Data-at-Rest: ডাটাবেস বা স্টোরেজে শক্তিশালী এনক্রিপশন
  • Data-in-Transit: HTTPS/TLS প্রোটোকল ব্যবহার
    উভয়ই সঠিকভাবে কনফিগার করা আবশ্যক।

12. বেস্ট প্র্যাকটিস কী?

  • সর্বদা আপডেটেড ক্রিপ্টো অ্যালগরিদম ব্যবহার
  • সিক্রেট কী এবং টোকেন নিরাপদভাবে সংরক্ষণ
  • এনক্রিপশন ভ্যালিডেশন ও নিয়মিত অডিট
  • ডেটা ট্রান্সমিশন ও স্টোরেজ সিকিউর করা
Was this article helpful?
Yes0No0

ITAB Content Team is a dedicated group of writers, researchers, and digital professionals behind ITAB Blog. The team creates informative and practical content on topics like Cybersecurity, Marketing, Web, Online tools, Digital guides and Modern technology trends. They focus on explaining complex topics in a clear and simple way, so students, business owners, and digital learners can easily understand and apply what they learn. Every article is carefully researched and written with real-world examples, step-by-step guidance, and actionable tips. The main goal of the ITAB Content Team is to provide trustworthy, easy-to-follow digital guides that help readers improve their skills, grow their online presence, and stay updated in the fast-changing digital world.

You may also like

XSS Attack কী? (বিস্তারিত ব্যাখ্যা)

Server Side Request Forgery (SSRF) কী? (বিস্তারিত ব্যাখ্যা)

Security Logging and Monitoring Failures কী? (বিস্তারিত ব্যাখ্যা)

Software and Data Integrity Failures কী? (বিস্তারিত ব্যাখ্যা)

Identification and Authentication Failures কী? (বিস্তারিত ব্যাখ্যা)

Vulnerable and Outdated Components কী? (বিস্তারিত ব্যাখ্যা)

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

@2026 - All Right Reserved. Designed and Developed by IT Agency Bangladesh