SMS OTP বনাম অথেনটিকেটর অ্যাপ: সঠিক MFA বাছাই

কেন MFA পদ্ধতির নির্বাচন সাপোর্টের ব্যথায় পরিণত হয়

বেশিরভাগ মানুষ MFA তখনই লক্ষ্য করে যখন সেটা ব্যর্থ হয়। একটি কোড দেরিতে আসে, ফোনে সিগন্যাল নেই, বা ডিভাইস আপগ্রেডের সময় একটি অ্যাপ মুছে যাওয়া—এই সবই ঘটতে পারে। ব্যবহারকারী লগইন স্ক্রিনে আটকে যায়, এবং যা অতিরিক্ত নিরাপত্তা মনে হওয়া উচিত তা হয়ে ওঠে “আমি আমার কাজ করতে পারছি না।”

তাই SMS OTP বনাম অথেনটিকেটর অ্যাপ কেবল নিরাপত্তার তর্ক নয়। এটি একটি প্রডাক্ট সিদ্ধান্ত যা আপনার সাপোর্ট কিউ, চর্নের ঝুঁকি, এবং আপনার টিম কতবার ম্যানুয়াল আইডেন্টিটি চেক করতে হবে সে সবই বদলে দেয়।

MFA ভেঙে গেলে, ব্যবহারকরীরা সাধারণত তিনটির মধ্যে একটি করে: কয়েকবার পুনরায় চেষ্টা করে, ফ্লো ত্যাগ করে, বা প্যানিকে পড়ে সাপোর্টে যোগাযোগ করে যে তাদের অ্যাকাউন্ট হ্যাক হয়েছে। কারণ যতই সহজ হোক না কেন, আবেগগত টোন প্রায়ই জরুরি হয়ে ওঠে, যা টিকিটগুলোকে ধীর ও ব্যয়বহুল করে তোলে।

শিপ করার আগে সাপোর্ট লোড অনুমান করতে চারটি জিনিসের উপরে মনোযোগ দিন: বাস্তব-বিশ্বে নির্ভরযোগ্যতা (মেসেজিং ও ডিভাইস পরিবর্তন), ফিশিং ও টেকওভার ঝুঁকি, ব্যবহারকারীর অসুবিধা (সেটআপ ও প্রতিটি লগইন), এবং আপনি বাস্তবে যে ধরনের টিকিট দেখবেন।

SMS কোডগুলো কনজুমার অ্যাপগুলিতে সাধারণ কারণ এগুলো পরিচিত লাগে এবং প্রায় কোনো সেটআপ লাগে না। অথেনটিকেটর অ্যাপগুলো ওয়ার্কপ্লেস ও অ্যাডমিন টুলসে বেশি দেখা যায় কারণ সেগুলো ক্যারিয়ারের নির্ভরতা কমায় এবং কিছু টেলিকম-সম্পর্কিত ঝুঁকি কমায়।

SMS OTP ডেলিভারিবিলিটি: বাস্তবে কী কী ভেঙে যায়

SMS সাদাসিধে মনে হয়, কিন্তু “ডেলিভার হয়েছে” মানেই নয় “পাওয়া এবং ব্যবহারযোগ্য।” দলগুলো এখানে সাপোর্ট ভলিউম নিয়ে অবাক হয়।

কখনও কখনও SMS তৎক্ষণাত: একই দেশে, শক্ত সিগন্যাল, এবং এমন একটি ক্যারিয়ার যা ভেরিফিকেশন ট্রাফিক হ্রাস করে না। অন্য সময়গুলোতে তা ধীর হয়। শিখর সময়ে ক্যারিয়াররা মেসেজ বিলম্ব করে, স্প্যাম ফিল্টার প্রয়োগ করে, বা বারবার সেন্ড থ্রোটল করে। ফলাফল হচ্ছে একটি কোড যা মেয়াদোত্তীর্ণ হওয়ার পরে পৌঁছে, অথবা একাধিক কোড একসাথে এসে ব্যবহারকারী পুরোনো কোডটি চেষ্টা করে।

আন্তর্জাতিক ব্যবহারে জায়গাগুলো আরো খটকা হয়। কিছু দেশে নির্দিষ্ট রুটের জন্য কভারেজ সীমিত। কিছু ক্যারিয়ার ডিফল্টভাবে ভেরিফিকেশন মেসেজ ব্লক করে। রোমিং ট্রাফিক এমনভাবে রুট করতে পারে যে মিনিট যোগ হয়। যদি আপনার ব্যবহারকারীরা ভ্রমণ করেন, আপনি “ঘরে চলবে, বিদেশে ব্যর্থ” ধরনের টিকিট দেখতে পারবেন।

ফোন নম্বরগুলো টিমগুলো যা ভাবে তার চেয়ে বেশি বদলে যায়। ব্যবহারকারীরা সিম পরিবর্তন করে, প্রবেশাধিক্য হারায়, বা একটি টাইপো একবার করে ফেললে আর খেয়াল না করে। পুনরায় ব্যবহৃত নম্বরগুলো আরও খারাপ: একটি ছেড়ে দেওয়া নম্বর পুনরায় নিয়োগ করা হলে ভবিষ্যতে SMS লগইন ভুল ব্যক্তির কাছে পৌঁছতে পারে।

রিসেন্ড ফ্লোতে হতাশা সবচেয়ে বেশি বাড়ে। যদি ব্যবহারকারী স্পষ্ট সীমা ও প্রতিক্রিয়া ছাড়া “Resend” ট্যাপ করতে পারে, আপনি রিসেন্ড লুপ তৈরি করবেন: অনেক পাঠানো, বিলম্বিত আগমন, এবং কোন কোডটি বৈধ তা নিয়ে বিভ্রান্তি।

যা মনিটর করা মূল্যবান (এবং অ্যাডমিন টুলসে প্রদর্শন করা উচিত) তা সোজা: প্রতিটি লগইনের জন্য পাঠানোর চেষ্টা, আপনার প্রোভাইডার রিপোর্ট করলে ডেলিভারি কনফার্মেশন, কোড-থেকে-সময় (পাঠানোর সময় বনাম সাবমিট করার সময়), প্রোভাইডারের ত্রুটি কারণ (ব্লক, অবৈধ নম্বর, থ্রোটল), এবং রিসেন্ড/লকআউট ট্রিগার।

উদাহরণ: সিঙ্গাপুরের একজন কাস্টমার জার্মানিতে রোমিং করে সাইন ইন করার চেষ্টা করে। তারা “Resend” দু'বার ট্যাপ করে, একসাথে তিনটি মেসেজ পায়, এবং প্রথম কোডটি enters করে। আপনি যদি time-to-code ও resend কাউন্ট লগ করেন, টিকিটটি দ্রুত ট্রায়াজ হয়ে যায় বদলে দীর্ঘ বেক-এন্ড-ফোর্ট।

অথেনটিকেটর অ্যাপের নির্ভরযোগ্যতা: কোথায় ব্যবহারকারীরা আটকে যায়

অথেনটিকেটর অ্যাপগুলো সাধারণত SMS থেকে বেশি ধারাবাহিক কারণ সেগুলো ডিভাইসে টাইম-বেসড কোড জেনারেট করে, এমনকি অফলাইনে। কোনো ক্যারিয়ার বিলম্ব নেই, ব্লক করা মেসেজ নেই, রোমিং বিস্ময় নেই।

কাগজে সেটআপ সহজ: একবার QR কোড স্ক্যান করুন, তারপর লগইনে 6-ডিজিট কোড টাইপ করুন। বাস্তবে মানুষ প্রথম মিনিটেই আটকে যায়, বিশেষ করে যখন তারা ল্যাপটপ ও ফোনের মধ্যে চলাফেরা করে এবং নিশ্চিত নয় কি দেখছে।

অধিকাংশ সমস্যা অথেনটিকেটর অ্যাপ নিজেই নিয়ে নয়। সেগুলো ফোন ও ব্যবহারকারীর প্রত্যাশা সম্পর্কিত:

• ফোনের সময় ভুল থাকে, তাই কোড মেলে না (ম্যানুয়াল টাইম সেটিংস সাধারণ কারণ)।
• ক্লিনআপে অথেনটিকেটর অ্যাপ মুছে ফেলা হয়েছে, তাই অ্যাকাউন্ট “লক” মনে হয়।
• ফোন হারানো বা ওয়াইপ করা হয়েছে এবং কোনো ব্যাকআপ পদ্ধতি নেই।
• ব্যবহারকারী ফোন আপগ্রেড করেছে এবং মনে করেছে কোডগুলি অটোম্যাটিকভাবে চলে যাবে।
• ব্যবহারকারী একটি কাজের ফোনে এনরোল করেছে এবং চাকরি পরিবর্তনের পরে তাতে প্রবেশাধিকার পায় না।

ইউজেবিলিটি দলগুলো যা আশা করে তার চেয়ে বেশি গুরুত্বপূর্ণ। লগইনের মাঝখানে অ্যাপ পাল্টানো, কোড কপি করা, এবং কাউন্টডাউনের সঙ্গে দৌড়ঝাঁপ করা চাপ বাড়ায়। স্পষ্ট প্রম্পট সহায়ক: ঠিকই বলুন কোড কোথায় পাবেন, ব্যর্থ হলে কী করতে হবে দেখান, এবং যেখানে প্ল্যাটফর্ম এটি প্রদান করে সেখানে autofill সমর্থন করুন।

মাল্টি-ডিভাইস প্রত্যাশা এবং কী ট্র্যাক করবেন

ব্যবহারকারীরা প্রায়ই একাধিক ডিভাইস চান (ফোন প্লাস ট্যাবলেট, ব্যক্তিগত প্লাস কাজের ফোন)। যদি আপনি এটা অনুমোদন না করেন, এনরোলমেন্টের সময়ই সেটি বলুন, লক আউট হওয়ার পরে নয়।

কিছু সিগন্যাল ঘর্ষণটি দ্রুত ধরতে সাহায্য করে: এনরোলমেন্ট কমপ্লিশন রেট (কে শুরু করে কিন্তু শেষ করে না), পুনরাবৃত্ত কোড ব্যর্থতা (প্রায়ই টাইম সিংক), ব্যবহৃত রিকভারি পাথ (হারানো ফোন, নতুন ডিভাইস, ডিলিট করা অ্যাপ), MFA প্রম্পট পরবর্তী ড্রপ-অফ, এবং কারণ অনুযায়ী সাপোর্ট ট্যাগ।

ফিশিং প্রতিরোধ ও অ্যাকাউন্ট টেকওভার ঝুঁকি

ফিশিং এখানে যেখানে প্রকৃত ফাঁক দেখা দেয়।

SMS OTP দিয়ে একটি সাধারণ আক্রমণ হল রিয়েল-টাইম রিলে। ব্যবহারকারী একটি নকল লগইন পেজে যায়, তাদের পাসওয়ার্ড দেয়, তারপর SMS কোড পায়। আক্রমণকারী সেই একই কোড বাস্তব সাইটে ব্যবহার করে যখন ব্যবহারকারী এখনও নকল পেজটি দেখছে। কোডটি বৈধ হওয়ায় লগইন সফল হয়।

SMS-এ টেলিকম ঝুঁকিও আছে। SIM swap ও নম্বর পোর্ট-আউট আক্রমণগুলো কারো ফোন নম্বর নিয়ন্ত্রণ নিতে দেয় এবং OTP মেসেজ পেতে দেয় ব্যবহারকারী টিপেই না বুঝতে পারার আগেই। উচ্চ-মূল্যের অ্যাকাউন্টের জন্য এটা ভয়াবহ: আক্রমণকারী পাসওয়ার্ড রিসেট করে এবং যতক্ষণ না তারা ঢুকে পড়ে ততক্ষণ চেষ্টা চালিয়ে যায়।

অথেনটিকেটর অ্যাপগুলো SIM swap থেকে ভালো কারণ চুরি করার মত ফোন নম্বর নেই। কিন্তু কোডগুলো এখনও রিয়েল-টাইম রিলে প্যাটার্ন দিয়ে ফিশ করা যেতে পারে যদি আপনার লগইন কোনো প্রাসঙ্গিকতা না দেখে যে কোনো বৈধ কোড গ্রহণ করে।

যদি টাইপ করা কোডের চেয়ে শক্তিশালী সুরক্ষা চান, তাহলে পুশ-ভিত্তিক অনুমোদন সাহায্য করতে পারে, বিশেষ করে নম্বর ম্যাচিং বা অ্যাপ নাম ও শহরের মতো স্পষ্ট বিবরণ দেখালে। পুশও অ্যাপ্রুভাল ক্লান্তির মাধ্যমে দুব্যবহার করা যেতে পারে, কিন্তু এটা ৬-ডিজিট টাইপিংয়ের তুলনায় বাধাটা বাড়ায়।

উভয় পদ্ধতির সাথে টেকওভার ঝুঁকি কমানোর বাস্তব উপায়গুলো:

• সংবেদনশীল অ্যাকশনের জন্য স্টেপ-আপ নিয়ম ব্যবহার করুন (ইমেল পরিবর্তন, পে-আউট ডিটেইল, নতুন ডিভাইস)।
• IP বা ডিভাইস পরিবর্তন হলে MFA পুনরায় যাচাই করুন, এবং উচ্চ-ঝুঁকিপূর্ণ সেশনগুলো চিরস্থায়ী না হতে দিন।
• লগইন স্ক্রিনগুলোকে পরিষ্কার প্রোডাক্ট কিউ দিয়ে কনসিস্টেন্ট রাখুন যাতে ব্যবহারকারীরা দ্রুত নকল পেজ শনাক্ত করতে পারে।
• সন্দেহজনক রিট্রাই সীমাবদ্ধ করুন এবং অস্বাভাবিক প্যাটার্নগুলিকে চ্যালেঞ্জ করুন (অসম্ভব ভ্রমণ, দ্রুত ব্যর্থতা)।
• রিকভারি এমনভাবে করুন যাতে সেটা সহজে অপব্যবহৃত না করা যায়, বিশেষ করে উচ্চ-মূল্যের ব্যবহারকারীদের জন্য।

ব্যবহারকারীর অসুবিধা: কোথায় মানুষ ফ্লো ত্যাগ করে

মানুষ সাধারণত “নিরাপত্তা ঘি��েফ” বলে কারণে ছেড়ে যায় না। তারা ছেড়ে যায় কারণ লগইন ধীর, বিভ্রান্তিকর, বা অনিশ্চিত মনে হয়।

ঘর্ষণের বড়তম পার্থক্য হল সময়। SMS-এ ব্যবহারকারীদের অপেক্ষা করতে হয়। অথেনটিকেটর অ্যাপগুলো ব্যবহারকারীকে কিছু সেটআপ করতে বলে।

SMS-এ প্রথমবারের ফ্লো পরিচিত: ফোন নম্বর দিন, একটি কোড পান, টাইপ করে দিন। ঘর্ষণ বাড়ে যখন মেসেজ দ্রুত না আসে, পুরোনো নম্বরে আসে, বা এমন ডিভাইসে আসে যা ব্যবহারকারী ধরছে না।

অথেনটিকেটর অ্যাপের প্রথমবারের ফ্লোতে ধাপ বেশি: একটি অ্যাপ ইনস্টল করা, QR কোড স্ক্যান করা, একটি ব্যাকআপ অপশন সংরক্ষণ করা, তারপর একটি কোড টাইপ করা। সাইনআপ বা চেকআউটের সময় সেটা বেশি মনে হতে পারে।

সবচেয়ে সাধারণ ড্রপ-অফ মুহূর্তগুলো পূর্বানুমেয়: SMS-এর জন্য ৩০–৯০ সেকেন্ড অপেক্ষা করা এবং তারপর একাধিক কোড পাওয়া; অ্যাপ পরিবর্তনের সময় টাইপিং ভুল; ডিভাইস পরিবর্তন (নতুন ফোন, মুছে ফেলা ফোন, এমন কাজের ফোন যেখানে অ্যাপ ইনস্টল করা যায় না); ভ্রমণ সমস্যা (রোমিং, নতুন সিম, এমন নম্বর যা বিদেশে মেসেজ নিতে পারে না); এবং যেখানে ব্যবহারকারী নিয়মিতভাবে “দ্বিতীয় ফ্যাক্টর” ডিভাইস নিয়ন্ত্রণ করে না সেখানে।

“এই ডিভাইস মনে রাখুন” friction কমায়, কিন্তু এটা সহজে অতিরঞ্জিত করা যায়। যদি আপনি কখনোই পুনরায় প্রম্পট না করেন, তখন কাউকে ল্যাপটপ চুরি হলে টেকওভার ঝুঁকি বাড়ে। যদি আপনি খুব ঘন ঘন পুনরায় প্রম্পট করেন, ব্যবহারকারীরা ফ্লো ত্যাগ করে বা দুর্বল রিকভারি অপশন বেছে নেয়। মাঝামাঝি কাজ হিসেবে নতুন ডিভাইস, সংবেদনশীল অ্যাকশন, বা একটি যুক্তিসঙ্গত সময়সীমায় পুনরায় প্রম্পট করুন।

আপনার ফানেল দেখুন। যদি ধাপ ১ (ফোন দিন) ঠিক থাকে কিন্তু ধাপ ২ (কোড দিন) তীব্রভাবে ড্রপ করে, SMS বিলম্ব বা কোড বিভ্রান্তি সন্দেহ করুন। যদি QR স্ক্রিনের ঠিক পরে ড্রপ-অফ হয়, সেটআপ ওই মুহূর্তের জন্য অনেক ভারী।

প্রত্যাশিত সাপোর্ট টিকিট (এবং কীভাবে ট্রায়াজ করবেন)

অধিকাংশ MFA সাপোর্ট কাজ "নিরাপত্তা" নিয়ে নয়। এটা মানুষের সম্পর্কে যারা সবচেয়ে খারাপ মুহূর্তে আটকে থাকে: শিফ্ট পরিবর্তনের সময় লগইন, ডেমোর আগে পাসওয়ার্ড রিসেট, অথবা অ্যাডমিন নতুন হায়ার অনবোর্ড করার চেষ্টা।

আপনি যদি SMS OTP বনাম অথেনটিকেটর অ্যাপ তুলনা করেন, failure মোডগুলোকে কেন্দ্র করে আপনার সাপোর্ট কিউ পরিকল্পনা করুন, না যে কিভাবে সবকিছু আশাবাদীভাবে কাজ করে।

সাধারণ টিকিট থিম

একই ধাঁচের প্যাটার্ন বারবার দেখবেন।

SMS-এর জন্য: “কোড কখনই আসে না,” “দেরিতে আসে,” “একই সময়ে দু'বার আসে,” ভুল নম্বর, নম্বর পরিবর্তন, ক্যারিয়ার ব্লক, রোমিং সমস্যা, এবং শর্ট কোড ফিল্টার্ড।

অথেনটিকেটর অ্যাপের জন্য: ফোন হারানো, নতুন ডিভাইস, অ্যাপ পুনঃইনস্টল করা, “কোড মেলে না,” কোন অ্যাপ/অ্যাকাউন্ট/প্রোফাইল কোড ধারণ করছে সেটা নিয়ে বিভ্রান্তি।

অ্যাডমিনরাও নীতি ও অডিট টিকিট খুলবে: “ব্যবহারকারী লক আউট, MFA রিসেট করুন,” এবং “এই অ্যাকাউন্টের জন্য কে MFA রিসেট করেছে?”—এসবের জন্য একটি পরিষ্কার প্রক্রিয়া ও কাগজের ট্রেইল দরকার।

ট্রাবলশুটিংয়ের আগে কী সংগ্রহ করবেন

একটি ভালো ট্রায়াজ ফর্ম প্রতিটি টিকিটে সময় সাশ্রয় করে। অ্যাকাউন্ট আইডেন্টিফায়ার ও MFA মেথড, শেষ চেষ্টার টাইমস্ট্যাম্প ও টাইমজোন (এবং কোনো কোড পাওয়া গেছে কি না), শেষ সফল লগইন সময় ও পদ্ধতি, ডিভাইস বিবরণ (মডেল ও OS ভার্সন), এবং ডিভাইস সম্প্রতি বদলেছে কি না—এসব জানতে চান। SMS-নির্দিষ্টভাবে, জানবেন ফোনের দেশ ও ক্যারিয়ার যদি জানা থাকে।

এই তথ্য নিয়ে সাপোর্ট দ্রুত পরবর্তী ধাপ বেছে নিতে পারে: রিসেন্ড (গার্ড্রেইল সহ), ফোন নম্বর যাচাই, রেট লিমিট প্রত্যাশা করা, বা একটি নিরাপদ MFA রিসেট শুরু করা।

ব্যাক-এন্ড রিপ্লাই যা ব্যাক-এন্ড-এ ফিরে-আগামি কমায়

প্রতিটি উত্তর সহজ ও অব্যর্থ করুন। একটি সাদামাটা ম্যাক্রো বেশিরভাগ কেস কভার করে:

"অনুগ্রহ করে আপনি কখন চেষ্টা করেছিলেন (আপনার টাইমজোন সহ) এবং আপনি কোনো SMS পেয়েছিলেন কি না নিশ্চিত করুন। যদি আপনি সম্প্রতি ফোন বদলান বা অথেনটিকেটর অ্যাপ পুনঃইনস্টল করে থাকেন, দয়া করে কখন তা হয়েছে বলুন। আপনি লক আউট হলে, আমরা পরিচয় যাচাই করার পরে MFA রিসেট করতে পারি।"

ধাপে ধাপে: সঠিক MFA নির্বাচন ও রোলআউট

একটি সৎ প্রশ্ন দিয়ে শুরু করুন: আপনি কী রক্ষা করছেন, এবং কাদের কাছ থেকে? একটি কনজিউমার নিউজলেটারের ঝুঁকি প্রোফাইল পে-রোল বা হেলথকেয়ার বা অ্যাডমিন প্যানেলের চেয়ে আলাদা।

ব্যবহারকারীর সীমাবদ্ধতাও আগে লিখে নিন: কোন দেশগুলো সার্ভ করুন, ব্যবহারকারীরা কতটা ভ্রমণ করে, তারা কি একটি দ্বিতীয় ডিভাইস বহন করে, এবং তারা অ্যাপ ইনস্টল করতে পারে কি না।

একটি রোলআউট প্ল্যান যা সাপোর্ট ফায়ার এড়ায়:

1. আপনার থ্রেট মডেল ও সীমাবদ্ধতা নির্ধারণ করুন। ফিশিং ও টেকওভার শীর্ষ উদ্বেগ হলে, এমন মেথড বেছে নিন যাকে trick করা কঠিন। যদি অনেক ব্যবহারকারীর স্মার্টফোন না থাকে বা অ্যাপ ইনস্টল করতে না পারে, বিকল্প পরিকল্পনা করুন।

2. একটি ডিফল্ট মেথড এবং একটি ব্যাকআপ বেছে নিন। ডিফল্টগুলো প্রথম দিনে বেশিরভাগের জন্য কাজ করা উচিত। ব্যাকআপগুলো ফোন হারানো, নম্বর পরিবর্তন, বা ভ্রমণের সময় সাপোর্ট বাঁচায়।

3. লঞ্চের আগে এনরোলমেন্ট ও রিকভারি ডিজাইন করুন। রিকভারি এমন হওয়া উচিত নয় যা একই জিনিসের উপর নির্ভর করে যা ব্যর্থ হতে পারে (উদাহরণ: কেবল SMS)। সিদ্ধান্ত নিন হারানো ডিভাইস, নতুন ফোন নম্বর, এবং “আমি কখনই কোড পাইনি” কীভাবে হ্যান্ডেল করবেন।

4. ধীরে ধীরে রোলআউট করুন এবং সহজ কথায় কারণ ব্যাখ্যা করুন। উচ্চ-ঝুঁকির ভূমিকায় (অ্যাডমিন, ফাইন্যান্স) বা ছোট এক শতাংশ ব্যবহারকারীর সঙ্গে শুরু করুন।

5. সাপোর্টকে প্রশিক্ষণ দিন এবং ব্যর্থতা ট্র্যাক করুন। এজেন্টদের একটি সহজ ডিসিশন ট্রি দিন এবং পরিচয় যাচাইয়ের স্পষ্ট নিয়ম। ডেলিভারি ব্যর্থতা, লকআউট, টাইম-টু-এনরোল, এবং রিকভারি অনুরোধ নজর করুন।

সাধারণ ভুল ও ফাঁদ যেগুলো এড়াবেন

অধিকাংশ MFA রোলআউট সাধারণ কারণে ব্যর্থ হয়: নীতি খুব কড়া, রিকভারি দুর্বল, বা UI ব্যবহারকারীকে অনুমান করিয়ে রাখে।

একটি প্রায়ই দেখা ফাঁদ হল SMS-কে একমাত্র ব্যাকইন পদ্ধতি বানানো। ফোন নম্বর বদলে যায়, SIM স্যাপ করা হয়, এবং কিছু ব্যবহারকারী বিদেশে মেসেজ নিতে পারে না। যদি SMS উভয় দ্বিতীয় ফ্যাক্টর এবং রিকভারি পদ্ধতি হয়, আপনি চিরতরে লক আউট হওয়া অ্যাকাউন্ট তৈরি করবেন।

আরেকটি সাধারণ ভুল হল ব্যবহারকারীকে কেবল একটি পাসওয়ার্ড ও নতুন নম্বরে পাঠানো SMS কোড ব্যবহার করে তাদের ফোন নম্বর পরিবর্তন করতে দেয়া। এটি একটি চুরি করা পাসওয়ার্ডকে একটি পরিষ্কার টেকওভার এ পরিণত করে। সংবেদনশীল পরিবর্তনের জন্য (ফোন, ইমেল, MFA সেটিংস) একটি শক্তিশালী ধাপ যোগ করুন: বিদ্যমান ফ্যাক্টার যাচাই করুন, সাম্প্রতিক সেশন রি-চেক দাবি করুন, বা উচ্চ-ঝুঁকির কেসের জন্য একটি ম্যানুয়াল রিভিউ ফ্লো ব্যবহার করুন।

সবচেয়ে বেশি অপ্রয়োজনীয় সাপোর্ট ব্যথা যে ফাঁদগুলো তৈরি করে সেগুলো:

• রিসেন্ড ও রেট-লিমিট নিয়ম যা আসল ব্যবহারকারীদের শাস্তি দেয় (খুব কড়া) বা আক্রমণকারীদের সাহায্য করে (খুব ঢিলা)। সংক্ষিপ্ত কুলডাউন, স্পষ্ট কাউন্টডাউন টেক্সট, এবং নিরাপদ ক্যাপস সহ অ্যাকশন নিন।
• প্রাথমিক ফ্যাক্টর ছাড়া কোনো রিকভারি অপশন নেই। ব্যাকআপ কোড, দ্বিতীয় অথেনটিকেটর ডিভাইস, বা সাপোর্ট-সহায়তায় রিসেট ডেড-এন্ড প্রতিরোধ করে।
• রিসেটের জন্য কোনো অ্যাডমিন টুলিং নেই এবং কোনো অডিট ট্রেইল নেই। সাপোর্টকে দেখতে হবে কখন MFA এনেবল করা হয়েছিল, কি বদলেছে, এবং কে করেছেন।
• ব্যবহারকারীকে দোষারোপ করে ত্রুটি বার্তা। "Invalid code" কোন প্রসঙ্গ না দিলে অনন্ত রিট্রাই হয়। পরবর্তী কী করতে হবে বলে দিন।
• বারবার ব্যর্থতাকে "ব্যবহারকারীর ভুল" বলে না দেখে প্রডাক্ট সমস্যার চোখে দেখুন। যদি একটি নির্দিষ্ট ক্যারিয়ার, দেশ, বা ডিভাইস মডেলের সঙ্গে ব্যর্থতার সম্পর্ক থাকে, তা ঠিক করা যায় এমন প্যাটার্ন।

প্রতিশ্রুতিপূর্ণ চেকলিস্ট শুরুর আগে

বাস্তব ব্যবহারকারীরা যেভাবে হিট করবে সেইভাবে লগইন ফ্লো চাপ দিন: ক্লান্ত, ভ্রমণে, ফোন বদলাচ্ছে, বা মিটিংয়ের পাঁচ মিনিট আগে লক আউট। সবচেয়ে ভাল মেথডটি হলো যা আপনার ব্যবহারকারীরা নির্ভরযোগ্যভাবে সম্পন্ন করতে পারে এবং আপনার টিম ঝুঁকিপূর্ণ শর্টকাট ছাড়া সাপোর্ট করতে পারে।

এই প্রশ্নগুলো জিজ্ঞেস করুন:

• কি কোনো ব্যবহারকারী কোনো সেল সার্ভিস ছাড়া বা ভ্রমণের সময় (এয়ারপ্লেন মোড, রোমিং ব্লক, SIM স্যাপ, নম্বর পরিবর্তন) MFA সম্পন্ন করতে পারে?
• কি আপনার কাছে একটি নিরাপদ এবং সহজ রিকভারি পাথ আছে (ব্যাকআপ কোড, ট্রাস্টেড ডিভাইস, সময়-সীমাবদ্ধ রিকভারি, বা একটি যাচাইকৃত সাপোর্ট রিসেট)?
• কি সাপোর্ট দ্রুত পরিচয় যাচাই করতে পারে সংবেদনশীল তথ্য না জিজ্ঞেস করে (পূর্ণ পাসওয়ার্ড নয়, পূর্ণ কার্ড নম্বর নয়), এবং কি একটি ডকুমেন্টেড রিসেট প্লেবুক আছে?
• কি আপনি ব্যর্থ MFA চেষ্টা লগ করেন এবং অপব্যবহারের প্যাটার্নে সতর্কতা দেখান (অনেক রিট্রাই, এক IP থেকে অনেক অ্যাকাউন্ট, পাসওয়ার্ড রিসেটের পর পুনরায় ব্যর্থতা)?
• কি স্ক্রিনে লেখা অস্পষ্ট নয় এবং এটা স্পষ্ট যে কোড কোথা থেকে আসছে এবং পরবর্তী কি করতে হবে?

যদি আপনার উত্তর রিকভারি সম্পর্কে “হয় তো” হয়, থামুন। বেশিরভাগ অ্যাকাউন্ট টেকওভার রিসেট টেনে আসে, এবং বেশিরভাগ রাগান্বিত ব্যবহারকারী তখনই এসে পৌঁছায় যখন রিকভারি বিভ্রান্তিকর।

একটি ব্যবহারিক পরীক্ষা: আপনার টিমের বাইরের কাউকে বলুন MFA সেটআপ করতে, তারপর তাদের ফোন হারিয়ে যাওয়ার কথা ভাবতে বলুন এবং কেবল আপনার ডকুমেন্টেড ধাপগুলো মেনে পুনরায় প্রবেশ করার চেষ্টা করতে বলুন। যদি সেটা ইঞ্জিনিয়ারিং-একটি চ্যাটে পরিণত হয়, আপনি বাস্তবে সেই একই জিনিস টিকেটে দেখবেন।

উদাহরণ দৃশ্য: গ্লোবাল ব্যবহারকারীর সাথে একটি কাস্টমার পোর্টাল

একটি ৬-জনের দল একটি কাস্টমার পোর্টাল চালায় যাকে ১,২০০ সক্রিয় ব্যবহারকারী ব্যবহার করে—ইউএস, ভারত, ইউকে এবং ব্রাজিল জুড়ে। তারা ৪০ জন কন্ট্রাক্টরকেও অ্যাক্সেস দেয় যারা আসে ও যায়। পাসওয়ার্ড রিসেট ইতিমধ্যেই শব্দ তৈরি করে, তাই তারা MFA যোগ করে এবং আশা করে এটি অ্যাকাউন্ট টেকওভার কমাবে সাপোর্টকে ভরাট না করে।

তারা প্রথমে SMS OTP ডিফল্ট করে। প্রথম সপ্তাহে সব ঠিকই মনে হয় যতক্ষণ না একটি রিজিয়নে পিকের সময় ক্যারিয়ার ডিলে ঘটে। ব্যবহারকারীরা কোড অনুরোধ করে, অপেক্ষা করে, আবার অনুরোধ করে, তারপর একসাথে তিনটি কোড পায়। কেউ পুরোনো কোড চেষ্টা করে ফেলায় ব্যর্থ হয় এবং লক হয়ে যায়। সাপোর্টে টিকিটের ঢেউ আসে: “কোড পাওয়া যায়নি,” “আমার কোড সবসময় ভুল,” “আমি ভ্রমণ করছি এবং আমার নম্বর বদলে গেছে।” কোনো আউটেজ ছাড়াই ডেলিভারিবিলিটি ইস্যুগুলো VoIP নম্বর, রোমিং ব্যবহারকারী এবং কড়া স্প্যাম ফিল্টারিং-এর জন্য দেখায়।

তারা অথেনটিকেটর অ্যাপ বিকল্প যোগ করে এবং ভিন্ন প্যাটার্ন লক্ষ্য করে। বেশিরভাগ লগইন মসৃণ, কিন্তু ব্যর্থতাগুলো আরো স্পাইককৃত: একজন ব্যবহারকারী ফোন আপগ্রেড করে এবং অ্যাপ কোড ট্রান্সফার করে না, কেউ অথেনটিকেটর ডিলিট করে, বা একটি কন্ট্রাক্টর “QR স্ক্যান” ধাপ মিস করে আটকে যায়। সেই টিকিটগুলো শোনায়: “নতুন ফোন, লগইন করতে পারছি না,” “কোড মেলে না,” এবং “আমি আমার ডিভাইস হারিয়েছি।”

একটি সেটআপ যা বিস্ময় কমায় সাধারণত এরকম দেখায়:

• নতুন ব্যবহারকারীদের জন্য ডিফল্ট হিসেবে অথেনটিকেটর অ্যাপ, এবং SMS ব্যাকআপ হিসেবে (একা ব্যাবহার পদ্ধতি নয়)।
• রিকভারি কোড ও একটি স্পষ্ট হারানো-ডিভাইস ফ্লো দিন যা ম্যানুয়াল যাচাই ট্রিগার করে।
• পে-আউট ডিটেইল বা নতুন অ্যাডমিন যোগ করার মতো ঝুঁকিপূর্ণ অ্যাকশনের জন্য স্টেপ-আপ আবশ্যক করুন।
• কন্ট্রাক্টরদের জন্য ছোট সেশন লাইফটাইম ও নতুন ডিভাইসে রি-চেক করুন।

পরবর্তী ধাপ: আপনার প্রডাক্ট ধীর না করে MFA বাস্তবায়ন

একটা ডিফল্ট MFA মেথড বেছে নিন যা আপনার বেশিরভাগ ব্যবহারকারীর উপযোগী, তারপর একটি ব্যাকআপ যোগ করুন।

কনজিউমার শ্রোতার জন্য SMS প্রায়ই সহজ ডিফল্ট, অথচ অথেনটিকেটর অ্যাপ ভ্রমণকারী, VoIP নম্বর ব্যবহারকারী, বা কড়া নিরাপত্তা চাইলে বিকল্প হিসেবে রাখা উচিত। ওয়ার্কারফোর্স বা অ্যাডমিন-ভিত্তিক প্রডাক্টের জন্য, অথেনটিকেটর অ্যাপ প্রায়শই ভালো ডিফল্ট হবে, এবং SMS রিকভারির জন্য রাখা উচিত।

রোলআউটের আগে একটি সরল সাপোর্ট প্লেবুক লিখুন এবং আপনি কী লগ করবেন তা ঠিক করুন। আপনার কাছে অনেক ডেটার পাহাড় দরকার নেই। আপনার দরকার যথেষ্ট যাতে উত্তর দেয়া যায়: আমরা কি পাঠিয়েছি, ব্যবহারকারী কি পেয়েছে, এবং ভেরিফিকেশনের সময় কী ঘটেছে।

যেসব লগ সাধারণত ফলপ্রসূ: MFA মেথড ও টাইমস্ট্যাম্প, SMS-এর জন্য ডেলিভারি প্রোভাইডার রেসপন্স (accepted, queued, failed), ভেরিফিকেশন চেষ্টা গণনা ও শেষ ত্রুটির কারণ, এবং শেষ সফল MFA মেথড ও তারিখ।

একটি ছোট স্ক্রিন সাপোর্টকে দ্রুত করে: ব্যবহারকারীর MFA স্ট্যাটাস, সাম্প্রতিক ব্যর্থতা, এবং একটি নিয়ন্ত্রিত রিসেট ফ্লো সঙ্গে অডিট ট্রেইল।

আপনি যদি ভারী প্রোগ্রামিং ছাড়া একটি পোর্টাল বিল্ড করেন, AppMaster (appmaster.io) আপনাকে এই ফ্লোগুলোর চারপাশে ব্যাকএন্ড, ওয়েব অ্যাপ এবং মোবাইল অ্যাপ জোড়া দিতে সাহায্য করতে পারে, যার মধ্যে আছে অ্যাডমিন ভিউ এবং ইভেন্ট লগিং যা টিকেট আসলে অনুমান কমায়।

পাইলট হিসেবে রোলআউট করুন, একটি সপ্তাহ ফেইলিওর মেট্রিক্স দেখুন, তারপর প্রসারিত করুন। সম্পন্ন রেট, রিসেন্ড রেট, MFA সম্পন্ন করতে সময়, এবং প্রতি ১,০০০ লগইনের উপর টিকিট ভলিউম ট্র্যাক করুন। ফ্লো টাইটেন করুন, প্লেবুক আপডেট করুন, তারপর স্কেল করুন।