Table of Contents
Identification and Authentication Failures তখন ঘটে, যখন একটি ওয়েব অ্যাপ্লিকেশন ব্যবহারকারীর পরিচয় (identity) এবং লগইন প্রক্রিয়া (authentication) সঠিকভাবে যাচাই করতে ব্যর্থ হয়। সহজভাবে বললে, সিস্টেম বুঝতে পারে না কে আসল ব্যবহারকারী আর কে আক্রমণকারী। Authentication ভাঙলে সাধারণত access control ও দুর্বল হয়ে পড়ে।
এই দুর্বলতার কারণে আক্রমণকারী:
- অন্যের অ্যাকাউন্ট দখল করতে পারে
- Session hijack করতে পারে
- Admin access পেতে পারে
কীভাবে Identification and Authentication Failures তৈরি হয়?
এই সমস্যা সাধারণত তৈরি হয় নিচের কারণগুলোতে:
1.দুর্বল পাসওয়ার্ড নীতি
- ছোট পাসওয়ার্ড
- Common password (123456, password etc)
- দুর্বল password encryption হলো cryptographic failure এর উদাহরণ।
2.Multi-Factor Authentication (MFA) না থাকা
- শুধু username এবং password নির্ভর authentication.
3.Session Management দুর্বল হওয়া
- Session ID predictable
- Logout এর পর session invalidate না হওয়া
4.Brute-force protection না থাকা
- Unlimited login attempt allow করা।
- Login attempt properly monitor না করলে security logging failure দেখা দেয়।
Attack Scenario (আরও বিস্তারিতভাবে)
Scenario 1: Brute-force Attack on Login System
ধরা যাক, একটি সরকারি সেবামূলক ওয়েবসাইটে নাগরিকদের জন্য লগইন সিস্টেম আছে।
দুর্বলতা:
- Login attempt limit নেই
- CAPTCHA নেই
- Multi factor Authentication নেই
আক্রমণকারী কী করল?
- আটোমেটেড টুল দিয়ে হাজার হাজার পাসওয়ার্ড চেষ্টা করল
- একসময় সঠিক পাসওয়ার্ড পেয়ে গেল
- ভুক্তভোগীর অ্যাকাউন্টে ঢুকে গেল
- ব্যক্তিগত তথ্য পরিবর্তন বা ডাউনলোড করল
কোনো দুর্বলতা এক্সপ্লয়েট করতে হয়নি, শুধুই অথেন্টিকেশন দুর্বলতার জন্য হ্যাক হলো।
Scenario 2: Session Fixation Attack
একটি ই-লার্নিং প্ল্যাটফর্মে: Login এর আগে ও পরে একই session ID থাকে।
আক্রমণকারী কী করল?
- ভিকটিমকে একটি লিংক পাঠাল
- ভিকটিম লগিন করল
- আক্রমণকারী একই সেশন আইডি ব্যবহার করে অ্যাক্সেস পেল
পুরো অ্যাকাউন্ট compromise হয়ে গেলো।
কেন Identification and Authentication Failures এতটা ভয়ংকর?
1. সরাসরি User Account Compromise
কোনো intermediate step নেই।
2. Privilege Escalation সহজ
স্টুডেন্ট থেকেও অ্যাডমিন এক্সেস নেয়া সম্ভব।
3. Legal ও Privacy Risk
NID, ফোন নম্বর, ইমেইল ফাঁস হতে পারে।
4. Trust Completely ভেঙে যায়
User আর সিস্টেমে ভরসা করে না।
বাস্তব উদাহরণ
- No OTP / 2FA
- Password reset link unlimited valid
- Predictable session token
- Remember me token insecure
সাধারণ জিজ্ঞাসা / FAQ (Frequently Asked Questions)
1. Identification and Authentication Failures কী?
Identification and Authentication Failures হলো নিরাপত্তা ত্রুটি যেখানে সিস্টেম ব্যবহারকারীর পরিচয় সঠিকভাবে যাচাই করতে ব্যর্থ হয়, যার কারণে অননুমোদিত অ্যাক্সেস ঘটে।
2. Identification and Authentication Failures কেন গুরুত্বপূর্ণ?
যদি ব্যবহারকারীর পরিচয় বা প্রিভিলেজ যাচাইতে ভুল হয়, আক্রমণকারী সহজেই অ্যাকাউন্টে প্রবেশ করতে পারে; যা ডেটা চুরি বা সিস্টেম নিয়ন্ত্রণের ঝুঁকি তৈরি করে।
3. Identification and Authentication Failures এর উদাহরণ কী?
- দুর্বল বা অনুমানযোগ্য পাসওয়ার্ড
- Multi-Factor Authentication (MFA) ব্যবহার না করা
- Session Management ত্রুটি
- Default credentials ব্যবহার করা
4. Authentication এবং Authorization এর পার্থক্য কী?
- Authentication: ব্যবহারকারীর পরিচয় যাচাই করা
- Authorization: যাচাইকৃত ব্যবহারকারী কোন রিসোর্স বা ফাংশনে অ্যাক্সেস পাবে তা নির্ধারণ করা
5. আক্রমণকারী কী করতে পারে?
- অননুমোদিত অ্যাকাউন্টে লগইন
- Sensitive Data চুরি
- ফাংশন বা সার্ভিস এক্সপ্লয়ট করা
- Session Hijacking বা Account Takeover
6. Password এবং Credential ত্রুটি কিভাবে ঝুঁকি বাড়ায়?
- Simple বা Reused Password ব্যবহার করলে
- Password Storage এ Hashing বা Salting না থাকা
- Credentials hard-coded করা বা public repos এ রাখা
7. Multi-Factor Authentication (MFA) কেন জরুরি?
MFA ব্যবহার করলে শুধুমাত্র পাসওয়ার্ড দিয়ে প্রবেশ সম্ভব নয়, ফলে unauthorized access কঠিন হয়ে যায়।
8. Session Management Failure এর প্রভাব কী?
- Session Fixation, Session Hijacking বা Session Replay আক্রমণ সহজ হয়
- User Token বা Cookie সঠিকভাবে expire না হলে ঝুঁকি বৃদ্ধি পায়
9. কোন ধরনের সিস্টেম বেশি ঝুঁকিপূর্ণ?
- ওয়েব অ্যাপ্লিকেশন
- Mobile Apps
- API এবং Cloud Services যেখানে Authentication সঠিকভাবে বাস্তবায়ন হয়নি
10. লগিং এবং মনিটরিং এর ভূমিকা কী?
- অননুমোদিত login attempts শনাক্ত করা
- Suspicious activity রিয়েল‑টাইম নজরদারি
- Account Takeover বা Brute Force আক্রমণ প্রতিরোধ
11. কিভাবে Identification and Authentication Failures শনাক্ত করা যায়?
- Penetration Testing
- Brute Force বা Credential Stuffing Test
- Security Audit এবং Code Review করার মাধ্যমে
12. বেস্ট প্র্যাকটিস কী?
- Strong Password Policy ও MFA ব্যবহার করা
- Secure Password Storage (Hash + Salt) ব্যবহার করা
- Session Management যথাযথভাবে বাস্তবায়ন করা
- Login Attempt Rate Limiting করা
- Security Audit এবং Monitoring নিয়মিত করা
