নিরাপত্তা

ক্রিপ্টো অ্যাকাউন্ট নিরাপত্তা: 2FA, অ্যান্টি-ফিশিং কোড, ফান্ড পাসওয়ার্ড কীভাবে সেট করবেন

অ্যাকাউন্ট সাইন আপ করার মুহূর্তে বেশিরভাগ মানুষের মাথায় একটাই কথা: তাড়াতাড়ি টাকা ঢালি, কয়েন কিনি। ওই মনের অবস্থা আমি বুঝি। কিন্তু আমি একাধিক মানুষকে দেখেছি, অ্যাকাউন্টে একটু সম্পদ জমার কয়েক দিনের মধ্যেই তা চুরি হয়ে গেছে; ফিরে দেখলে সমস্যাটা পুরোটাই একদম শুরুতে—নিরাপত্তার একটা সেটিংও করা হয়নি, পাসওয়ার্ড এখনো অন্য জায়গায় ব্যবহার করা সেই একটাই। টাকা সরে যাওয়ার পর নিরাপত্তার কথা মনে পড়লে আর কিছু করার থাকে না।

তাই এই লেখায় আমি ক্রমটা উল্টে দিতে চাই: কয়েন কেনার আগে দশ-পনেরো মিনিট খরচ করে অ্যাকাউন্ট নিরাপদ করে নিন। এই সেটিংসগুলো একবারই করার, করে ফেললে মূলত অনেকদিনের জন্য নিশ্চিন্ত, অথচ বাইরের বেশিরভাগ অ্যাকাউন্ট-চুরি ও ফিশিংয়ের কৌশল ঠেকিয়ে দেয়। নিচে "সবার আগে যা করা উচিত" থেকে "কাজে লাগলে যা করবেন" এই অগ্রাধিকার ধরে এক-এক করে বলছি। ইন্টারফেসের লেখা প্ল্যাটফর্মভেদে একটু আলাদা, তবে যুক্তি একই; নীতিটা বুঝলে যেকোনো এক্সচেঞ্জেই সংশ্লিষ্ট জায়গা খুঁজে পাবেন।

2FA: অথেন্টিকেটর কেন SMS-এর চেয়ে নির্ভরযোগ্য

যদি আমাকে শুধু একটা নিরাপত্তা সেটিং সুপারিশ করতে বলা হয়, তা নিশ্চিতভাবে 2FA (টু-ফ্যাক্টর যাচাই)। এর যুক্তি খুব সহজ: লগ ইন, টাকা তোলা—এসব সংবেদনশীল কাজে পাসওয়ার্ডের পাশাপাশি আরেকটা বারবার বদলে-যাওয়া ভেরিফিকেশন কোডও দিতে হয়। ফলে আপনার পাসওয়ার্ড দুর্ভাগ্যবশত ফাঁস হলেও, যার হাতে সেই বদলে-যাওয়া কোড নেই সে ঢুকতে পারবে না। বলা যায়, পাসওয়ার্ড প্রথম দরজা, 2FA দ্বিতীয় দরজা, আর দ্বিতীয় দরজাটাই প্রায়ই খারাপ লোককে সত্যিকারে আটকায়।

2FA-র আসল কার্যপ্রণালী কী, কেন "শুধু পাসওয়ার্ড একদমই যথেষ্ট নয়"—এ নিয়ে পড়তে পারেন টু-ফ্যাক্টর যাচাই (2FA) নিয়ে Investopedia-র ব্যাখ্যা, ওরা ব্যাপারটা সহজভাবে বুঝিয়েছে।

অথেন্টিকেটর অ্যাপ SMS কোডের চেয়ে ভালো

2FA সাধারণত দুই রকম: একটা SMS কোড (বদলে-যাওয়া কোড আপনার ফোনের SMS-এ আসে), আরেকটা অথেন্টিকেটর অ্যাপ (অ্যাপের ভেতরে আপনাআপনি বদলে-যাওয়া কোড তৈরি হয়)। দুটোই চলে, তবে আমি জোর দিয়ে অথেন্টিকেটর অ্যাপকে অগ্রাধিকার দিতে বলব, কারণ: SMS-এ "সিম কার্ড হাইজ্যাক / সিম রিপ্লেস" করে চুরির ঝুঁকি আছে—কেউ সামাজিক কৌশলে আপনার নম্বরটা নিজের সিমে তুলে নিলে আপনার SMS কোড তার ফোনে চলে যায়; আর অথেন্টিকেটর অ্যাপের কোড শুধু আপনার এই ডিভাইসেই থাকে, অপারেটরের নেটওয়ার্ক হয়ে যায় না, ফলে এই পথটা বন্ধ হয়ে যায়।

চেনা অথেন্টিকেটর অ্যাপের মধ্যে আছে Google Authenticator, Authy, Microsoft Authenticator ইত্যাদি, ফোনের অ্যাপ স্টোরে সবই পাওয়া যায়। এগুলোর কাজের ধরন একই: বাঁধার পর প্রতি প্রায় আধা মিনিট অন্তর একটা ছয় সংখ্যার কোড বদলায়, লগ ইন বা টাকা তোলার সময় তখন দেখানো কোডটা বসিয়ে দিলেই হলো।

কীভাবে সেট করবেন, আর সেই রিকভারি কোড কিছুতেই হারাবেন না

অ্যাকাউন্টের "নিরাপত্তা সেটিংস"-এ "Two-step verification / Authenticator" জাতীয় জায়গা খুঁজুন; চালু করার সময় সিস্টেম আপনাকে একটা QR কোড বা একটা সিক্রেট কি দেবে। অথেন্টিকেটর অ্যাপ খুলে এই QR কোড স্ক্যান করুন (বা হাতে সিক্রেট কি বসিয়ে) বাঁধা শেষ করুন, তারপর অ্যাপে তৈরি হওয়া তখনকার কোডটা ফিরিয়ে বসিয়ে নিশ্চিত করলেই চালু হয়ে গেল।

এখানে নতুনরা সবচেয়ে বেশি যা ভুলে যায় অথচ যা অত্যন্ত জরুরি, সেই কাজটা: চালু করার সময় সিস্টেম যে "সিক্রেট কি / রিকভারি কোড" দেয়, তা অবশ্যই অফলাইনে লিখে যত্নে রাখুন (কাগজে লিখে বা পাসওয়ার্ড ম্যানেজারে রাখুন, কিন্তু স্ক্রিনশট নিয়ে গ্যালারিতে ফেলে রাখবেন না)। এর কাজ হলো—আপনার ফোন হারালে, নষ্ট হলে বা বদলালে, এই কোড দিয়েই নতুন ডিভাইসে আবার অথেন্টিকেটর বাঁধতে হবে। এটা না থাকলে আপনি নিজেই অ্যাকাউন্টের বাইরে আটকে যেতে পারেন, ফিরে পাওয়াও বিশেষভাবে কঠিন হয়। এই কোডটাকে আপনার সম্পদের মতোই গুরুত্ব দিন।

নিরাপত্তা সতর্কতা · ভেরিফিকেশন কোড ও সিক্রেট কি, কেউ চাইলেও দেবেন না

একটা কড়া নিয়ম মনে রাখুন: যে-ই হোক—এমনকি নিজেকে প্ল্যাটফর্মের সাপোর্ট বলে দাবি করলেও—আপনার পাসওয়ার্ড, 2FA কোড বা সেই রিকভারি কি চাইলে সে শতভাগ প্রতারক। প্ল্যাটফর্মের আসল সিস্টেম কখনোই আপনাকে দিয়ে "ভেরিফিকেশন কোড সাপোর্টকে বলায়" না। প্রতারকদের চেনা কৌশল হলো চাপ তৈরি করা ("আপনার অ্যাকাউন্টে গণ্ডগোল, এক্ষুনি কোডটা আমাকে বলুন যেন আটকে দিই"), যাতে আপনি কোড দিয়ে দেন—আর ঠিক সেই মুহূর্তে সে আপনার অ্যাকাউন্টে লগ ইন করছে। সে যত তাড়াই দিক, যত আসলই শোনাক, ভেরিফিকেশন কোড কখনো কাউকে দেবেন না।

অ্যান্টি-ফিশিং কোড, ফান্ড পাসওয়ার্ড, টাকা তোলার হোয়াইটলিস্ট

2FA ছাড়াও আরও কয়েকটা হালকা অথচ খুব কাজের সেটিং আছে, সাইন আপ শেষে সঙ্গে সঙ্গে করে ফেলুন।

অ্যান্টি-ফিশিং কোড: এক নজরে ইমেইলের আসল-নকল চেনা

এটা অনেক প্ল্যাটফর্মেই আছে অথচ প্রায়ই উপেক্ষিত একটা ছোট ফিচার। সেট করলে সেই প্ল্যাটফর্ম অফিসিয়ালি আপনাকে পাঠানো প্রতিটা ইমেইলে আপনার নিজের ঠিক করা সেই "অ্যান্টি-ফিশিং কোড" (আপনার বানানো এক টুকরো অক্ষর) থাকবে। ফলে সেই প্ল্যাটফর্মের নাম দিয়ে কোনো ইমেইল এলে শুধু ওপরে আপনার অ্যান্টি-ফিশিং কোড আছে কিনা দেখুন: থাকলে বেশিরভাগ ক্ষেত্রে আসল; না থাকলে মূলত ফিশিং ইমেইল, সরাসরি মুছে দিন। এটা প্রায় বিনা খরচের নিরাপত্তা। অ্যাকাউন্ট নিরাপত্তা সেটিংসে "Anti-Phishing Code" খুঁজে চালু করে নিন। Binance-এর অফিসিয়াল Binance Academy-তে অ্যাকাউন্ট নিরাপত্তা নিয়ে আলাদা লেখা আছে, সময় করে গুছিয়ে দেখার মতো।

ফান্ড পাসওয়ার্ড: টাকা তোলায় আরেকটা তালা

কিছু প্ল্যাটফর্মে আলাদা একটা "ফান্ড পাসওয়ার্ড / ট্রেডিং পাসওয়ার্ড" সেট করা যায়, যা আপনার লগ ইন পাসওয়ার্ড থেকে আলাদা। চালু করলে টাকা তোলা, ট্রান্সফারের মতো টাকা-সংক্রান্ত কাজে এই আলাদা পাসওয়ার্ডটা আবার দিতে হয়। এর অর্থ হলো "লগ ইন করতে পারা" আর "টাকা নাড়াচাড়া করতে পারা"-কে দুটো আলাদা ব্যাপারে ভাগ করা: কেউ লগ ইনের দরজা ভাঙলেও ফান্ড পাসওয়ার্ড ছাড়া সঙ্গে সঙ্গে টাকা সরাতে নাও পারে, আপনাকে সাড়া দেওয়া ও ব্যবস্থা নেওয়ার সময় দেয়। এটা সেট করার সময়ও একটা শক্ত, লগ ইন পাসওয়ার্ডের সঙ্গে এক নয় এমন পাসওয়ার্ড ব্যবহার করুন, আর যত্নে মনে রাখুন।

টাকা তোলার অ্যাড্রেস হোয়াইটলিস্ট: হ্যাকারও তুলতে পারবে না

আমার মতে এটা খুব কাজের একটা সেটিং। "টাকা তোলার অ্যাড্রেস হোয়াইটলিস্ট" চালু করলে আপনার অ্যাকাউন্ট শুধু আগে থেকে যোগ করা ও লক করা অ্যাড্রেসেই কয়েন তুলতে পারবে, হোয়াইটলিস্টে নেই এমন কোনো অচেনা অ্যাড্রেসে তোলা যাবে না। অর্থাৎ অ্যাকাউন্ট সত্যিই হ্যাক হলেও হ্যাকার নিজের অ্যাড্রেসে কয়েন সরাতে পারবে না—সে আপনার ঠিক করা নিরাপদ অ্যাড্রেসের গণ্ডিতেই আটকে থাকবে। নতুনরা শুরুর দিকে হয়তো ঘন ঘন কয়েন তোলার পর্যায়ে যায় না, এমন একটা ব্যাপার আছে তা আগে জেনে রাখুন; পরে সত্যিই তুলতে গেলে অ্যাকাউন্ট নিরাপত্তায় গিয়ে নিজের চেনা অ্যাড্রেসগুলো হোয়াইটলিস্টে যোগ করে লক চালু করে নিন।

পরামর্শ · পাসওয়ার্ড নিজেও যথেষ্ট শক্ত হওয়া চাই

এই সব সেটিংয়ের ভিত্তি আপনার পাসওয়ার্ড। নিশ্চিত করুন: লগ ইন পাসওয়ার্ড যথেষ্ট লম্বা ও জটিল (বড়-ছোট অক্ষর, সংখ্যা, চিহ্ন সব থাকুক), আর অন্য কোনো ওয়েবসাইটে ব্যবহার করা পাসওয়ার্ডের সঙ্গে কখনোই এক নয়—বেশিরভাগ অ্যাকাউন্ট চুরি সরাসরি ভেঙে হয় না, বরং আগে কোনো ফাঁস হওয়া সাইট থেকে পাওয়া আপনার পাসওয়ার্ড নিয়ে এক-এক করে চেষ্টা করে। সবচেয়ে নিশ্চিন্ত উপায় হলো পাসওয়ার্ড ম্যানেজার ব্যবহার, যা আপনার হয়ে সেই লম্বা, এলোমেলো, প্রতি জায়গায় আলাদা পাসওয়ার্ড বানিয়ে রেখে দেয়, আপনাকে শুধু একটা প্রধান পাসওয়ার্ড মনে রাখতে হয়।

ডিভাইস ম্যানেজমেন্ট ও ফিশিং ইমেইল চেনা

সেটিং শেষ হলো, এবার "দৈনন্দিন অভ্যাস" পর্যায়ের আরও দুটো ব্যাপার, যা দীর্ঘমেয়াদে আপনার অ্যাকাউন্ট আগলে রাখে।

মাঝে মাঝে "ডিভাইস ম্যানেজমেন্ট / লগ ইন রেকর্ড" দেখে নিন

বেশিরভাগ প্ল্যাটফর্মে "ডিভাইস ম্যানেজমেন্ট", "লগ ইন হিস্ট্রি", "অথোরাইজড ডিভাইস" জাতীয় পেজ থাকে, যেখানে সম্প্রতি কোন ডিভাইস, কখন, কোথা থেকে আপনার অ্যাকাউন্টে লগ ইন করেছে তার তালিকা থাকে। পরামর্শ দিচ্ছি কিছুদিন পরপর একবার চোখ বুলিয়ে নিন: কোনো অচেনা ডিভাইস বা অস্বাভাবিক লগ ইনের জায়গা চোখে পড়লে সঙ্গে সঙ্গে সেই ডিভাইসগুলো "সরিয়ে দিন / লগ আউট করুন", আর তখনই পাসওয়ার্ড বদলান, 2FA বদলে দেওয়া হয়েছে কিনা দেখুন। অ্যাকাউন্ট হ্যাক হয়েছে কিনা ধরার এটা সবচেয়ে সরাসরি জানালাগুলোর একটা। চেনা, বিশ্বস্ত ডিভাইস রেখে দিতে পারেন, অচেনাগুলো সব সরিয়ে দিন।

ফিশিং ইমেইল ও নকল ওয়েবসাইট চিনতে শিখুন

নতুনদের অ্যাকাউন্ট চুরির এক নম্বর পথ ফিশিং, "কারিগরিভাবে ভাঙা"-র চেয়ে অনেক বেশি দেখা যায়। প্রতারক অফিসিয়ালের সঙ্গে প্রায় হুবহু একটা নকল লগ ইন পেজ বানায়, ইমেইল, SMS, সোশ্যাল মেসেজে লিঙ্ক পাঠিয়ে আপনাকে দিয়ে অ্যাকাউন্ট-পাসওয়ার্ড লিখিয়ে নেয়। কয়েকটা কাজের অভ্যাস:

প্ল্যাটফর্মের অফিসিয়ালভাবে সুপারিশ করা নিরাপত্তা চর্চা ও সর্বশেষ প্রতারণা-সতর্কতা জানতে Binance হেল্প সেন্টারে "account security" সার্চ করে অফিসিয়াল রিয়েল-টাইম বক্তব্য দেখুন (এই লেখা যাচাই করা হয়েছে জুন ২০২৬-এ)। নতুনরা যে স্ক্যামগুলোতে সবচেয়ে বেশি পড়ে, সেগুলো নিয়ে আলাদা একটা লেখা আছে, লেখার শেষে সম্পর্কিত পড়ায় দেখুন।

এই লেখার সব সেটিং করে ফেললে আপনার অ্যাকাউন্ট নিরাপত্তার মান বহু "অরক্ষিত" নতুনকে অনেকটাই ছাড়িয়ে গেছে। নিরাপত্তায় চটকদার কোনো কৌশল নেই, আসল কথা এই মৌলিক কাজগুলো সততার সঙ্গে ঠিকঠাক করা আর অভ্যাসে আনা। আগে নিরাপদ করুন, তারপর বাকি কথা।

সবচেয়ে বেশি জিজ্ঞেস করা কয়েকটি প্রশ্ন

2FA কি অবশ্যই চালু করতে হবে? SMS দিয়ে হবে না?

জোর দিয়ে চালু করার পরামর্শ দিচ্ছি, এটাই সবচেয়ে গুরুত্বপূর্ণ নিরাপত্তা সেটিং। SMS 2FA-ও না-করার চেয়ে ভালো, তবে এতে সিম কার্ড হাইজ্যাকের ঝুঁকি আছে, তাই অথেন্টিকেটর অ্যাপ বেশি সুপারিশ করি; কোড শুধু আপনার ডিভাইসেই তৈরি হয়, বেশি নিরাপদ।

অথেন্টিকেটর অ্যাপের সেই রিকভারি কোড হারিয়ে গেলে কী করব?

সেই সিক্রেট কি / রিকভারি কোডই ফোন বদলে 2FA আবার বাঁধার ভিত্তি, হারালে খুব ঝামেলা। এখনো লগ ইন করা গেলে দ্রুত নিরাপত্তা সেটিংসে গিয়ে আবার তৈরি করে অফলাইনে যত্নে রাখুন; লগ ইন করা না গেলে শুধু প্ল্যাটফর্মের অফিসিয়াল অ্যাকাউন্ট রিকভারি প্রক্রিয়াই পথ, যা সাধারণত বেশ ঝক্কির। তাই শুরুতেই অবশ্যই লিখে রেখে দিন।

ফান্ড পাসওয়ার্ড আর লগ ইন পাসওয়ার্ড কি এক রাখব?

না। আলাদা পাসওয়ার্ড রাখলেই "দুই দরজা"-র কাজটা হয়—লগ ইন ভাঙলেও ফান্ড পাসওয়ার্ড আরেকটা বাধা দেয়। দুটোই যথেষ্ট লম্বা ও জটিল হোক, আর অন্য কোথাও ব্যবহার করা পাসওয়ার্ডের সঙ্গে এক নয়।

একটা ইমেইল ফিশিং কিনা কীভাবে বুঝব?

আগে দেখুন আপনার সেট করা অ্যান্টি-ফিশিং কোড আছে কিনা, তারপর প্রেরকের ডোমেইন মিলিয়ে নিন, আর তাড়াহুড়োর চাপ তৈরি করা, লিঙ্কে ক্লিক করে লগ ইন করতে বলা বা ভেরিফিকেশন কোড চাওয়া—এমন যেকোনো কিছু নিয়ে সতর্ক থাকুন। লগ ইন করতে হলে নিজে অফিসিয়াল সাইট টাইপ করুন বা বুকমার্ক ব্যবহার করুন, ইমেইলের লিঙ্কে ক্লিক করবেন না। নিশ্চিত না হলে ক্লিকই করবেন না, সরাসরি অফিসিয়াল চ্যানেল থেকে মিলিয়ে নিন।

হোয়াইটলিস্ট সেট করেছি, পরে নতুন অ্যাড্রেসে তুলতে চাইলে কী করব?

যেকোনো সময় অ্যাকাউন্ট নিরাপত্তায় গিয়ে নতুন অ্যাড্রেস হোয়াইটলিস্টে যোগ করতে পারেন। নিরাপত্তার জন্য নতুন অ্যাড্রেস যোগ করার পর সেই অ্যাড্রেসে তোলার আগে সাধারণত একটা "কার্যকর হওয়ার অপেক্ষাকাল" থাকে—এটাই হোয়াইটলিস্টের চুরি-ঠেকানোর কৌশল, একটু অপেক্ষা করুন, বিরক্ত হবেন না।

এই লেখা যাচাই ও আপডেট করা হয়েছে জুন ২০২৬-এ। প্রতিটি প্ল্যাটফর্মের নিরাপত্তা ফিচারের নাম, সেটিংসে ঢোকার পথ ও নির্দিষ্ট নিয়ম বদলাতে পারে; লেখায় যেখানে ধাপ আছে, সেখানে প্ল্যাটফর্মের অফিসিয়াল পৃষ্ঠা ও হেল্প সেন্টারে রিয়েল-টাইমে যা দেখানো হয় তা-ই প্রামাণ্য ধরুন। এই সাইট একটি স্বাধীন তৃতীয় পক্ষের গাইড সাইট, লেখা শুধু শেখার জন্য, কোনো বিনিয়োগ পরামর্শ নয়।