2FAPRO.COM

টু-ফ্যাক্টর অথেন্টিকেশন (2FA) কোড জেনারেটর

গুগল, ফেসবুক, ইনস্টাগ্রাম এবং অন্যান্য সেবার জন্য আপনার সিক্রেট কী থেকে TOTP কোড তৈরি করুন।

আপনার ব্যবহার করতে চাওয়া সেবা থেকে 2FA সিক্রেট কী ইনপুট দিন। স্পেস এবং ফরম্যাটিং স্বয়ংক্রিয়ভাবে পরিষ্কার করা হবে।

আপনার সিক্রেট কী কখনো আমাদের সার্ভারে সংরক্ষণ করা হয় না এবং শুধুমাত্র আপনার ডিভাইসে প্রসেস করা হয়।

QR কোড স্ক্যান করুন

এই টুল শেয়ার করুন

সংরক্ষিত অ্যাকাউন্ট

কোনো সংরক্ষিত অ্যাকাউন্ট নেই

জেনারেটর ট্যাব থেকে অ্যাকাউন্ট যোগ করুন বা ব্যাকআপ থেকে ইম্পোর্ট করুন

সাম্প্রতিক কী

এখনো কোনো ইতিহাস নেই

জেনারেট করা কোড এখানে দেখা যাবে

তথ্য ও সহায়তা

2FA/TOTP কি?

টু-ফ্যাক্টর অথেন্টিকেশন (2FA) একটি অতিরিক্ত নিরাপত্তা স্তর যা ব্যবহারকারীদের দুটি পরিচয় প্রমাণের ফর্ম প্রদান করতে বলে। TOTP একটি অ্যালগরিদম যা প্রতি ৩০ সেকেন্ডে পরিবর্তন হওয়া ওয়ান-টাইম পাসওয়ার্ড তৈরি করে।

সিক্রেট কী কোথায় পাবেন?

নিরাপত্তা

এই অ্যাপ্লিকেশন আপনার সিক্রেট কী ব্রাউজারে লোকালি প্রসেস করে। ডাটা কখনো আমাদের সার্ভারে সংরক্ষণ বা তৃতীয় পক্ষকে পাঠানো হয় না। তবুও, সর্বদা নিশ্চিত করুন যে আপনি আপনার সিক্রেট কী গোপন রাখছেন।

সামঞ্জস্যপূর্ণ সেবাসমূহ

এই জেনারেটর TOTP স্ট্যান্ডার্ড ব্যবহারকারী সেবার সাথে কাজ করে, যার মধ্যে গুগল, ফেসবুক, টুইটার, মাইক্রোসফট, গিটহাব, ড্রপবক্স, অ্যামাজন এবং অধিকাংশ ক্লাউড ও সোশ্যাল মিডিয়া সেবা অন্তর্ভুক্ত।

টু-ফ্যাক্টর অথেন্টিকেশন (2FA) সম্পূর্ণ গাইড

2FA, TOTP কোড, authenticator অ্যাপ, এবং টু-ফ্যাক্টর অথেন্টিকেশন দিয়ে আপনার অনলাইন অ্যাকাউন্ট নিরাপদ রাখার সম্পর্কে জানা দরকার এমন সবকিছু।

3টি সহজ ধাপে 2FA কোড কিভাবে তৈরি করবেন

  1. 1

    আপনার 2FA সিক্রেট কী কপি করুন

    যখন আপনি Google, Facebook, GitHub, বা অন্য কোনো সার্ভিসে টু-ফ্যাক্টর অথেন্টিকেশন চালু করেন, QR কোডের পাশে দেখানো Base32 সিক্রেট কী কপি করুন।

  2. 2

    কী পেস্ট করুন ও TOTP তৈরি করুন

    সিক্রেট কী উপরের 2FA জেনারেটর ফিল্ডে পেস্ট করুন এবং Generate Code ক্লিক করুন। তাজা 6 সংখ্যার TOTP কোড তৎক্ষণাৎ আপনার ব্রাউজারে গণনা করা হয়।

  3. 3

    লগইন করতে 2FA কোড ব্যবহার করুন

    30 সেকেন্ড টাইমার শেষ হওয়ার আগে লগইন ফর্মে 6 সংখ্যার ভেরিফিকেশন কোড দিন। প্রতিটি নতুন লগইনের জন্য কোড স্বয়ংক্রিয়ভাবে আপডেট হয়।

আমাদের 2FA জেনারেটরকে সাপোর্ট করে এমন জনপ্রিয় সার্ভিস ও প্ল্যাটফর্ম

আমাদের 2FA কোড জেনারেটর TOTP RFC 6238 স্ট্যান্ডার্ড অনুসরণ করা যে কোনো সার্ভিসের সাথে সম্পূর্ণ সামঞ্জস্যপূর্ণ। এখানে সবচেয়ে জনপ্রিয় প্ল্যাটফর্ম রয়েছে যেখানে আপনি এই authenticator ব্যবহার করতে পারেন:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

আমাদের ফ্রি 2FA TOTP জেনারেটর কেন ব্যবহার করবেন

100% প্রাইভেট ও লোকাল

সমস্ত TOTP কোড জেনারেশন সরাসরি আপনার ব্রাউজারে হয়। 2FA সিক্রেট কী কখনও কোনো সার্ভারে পাঠানো হয় না, আপনার authenticator ডেটা সম্পূর্ণ প্রাইভেট রাখে।

তাৎক্ষণিক 6 সংখ্যার কোড

প্রতি 30 সেকেন্ডে স্বয়ংক্রিয় রিফ্রেশ সহ তৎক্ষণাৎ টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড তৈরি করুন। Google Authenticator, Authy, এবং Microsoft Authenticator এর পূর্ণ প্রতিস্থাপন হিসেবে কাজ করে।

বিল্ট-ইন QR Code স্ক্যানার

ক্যামেরা দিয়ে যে কোনো 2FA QR কোড স্ক্যান করুন বা ছবি আপলোড করুন। টুলটি otpauth URI স্বয়ংক্রিয়ভাবে পড়ে, তাই আপনাকে Base32 সিক্রেট কী টাইপ করতে হবে না।

TOTP ও HOTP মোড

টাইম-বেসড (TOTP / RFC 6238) এবং কাউন্টার-বেসড (HOTP / RFC 4226) অ্যালগরিদমের মধ্যে সুইচ করুন। SHA-1, SHA-256, এবং SHA-512 হ্যাশ সাপোর্ট করে।

2FA সম্পর্কে প্রায়শই জিজ্ঞাসিত প্রশ্ন

2FA (টু-ফ্যাক্টর অথেন্টিকেশন) কী?
2FA, বা টু-ফ্যাক্টর অথেন্টিকেশন, একটি সিকিউরিটি পদ্ধতি যা অ্যাকাউন্ট অ্যাক্সেস করতে দুটি ভিন্ন ভেরিফিকেশন ধাপ প্রয়োজন: আপনি যা জানেন (পাসওয়ার্ড) এবং আপনার কাছে যা আছে (authenticator অ্যাপ থেকে 2FA কোড)। হ্যাকার পাসওয়ার্ড চুরি করলেও, টাইম-বেসড 2FA কোড ছাড়া তারা লগইন করতে পারবে না।
এই 2FA জেনারেটর কি Google Authenticator এর সাথে সামঞ্জস্যপূর্ণ?
হ্যাঁ। আমাদের অনলাইন 2FA জেনারেটর Google Authenticator, Microsoft Authenticator, Authy, এবং 1Password এর মতো একই TOTP RFC 6238 অ্যালগরিদম ব্যবহার করে। এখানে তৈরি 6 সংখ্যার কোড একই সিক্রেট কীর জন্য সেই অ্যাপগুলির কোডের সাথে মিলবে।
আমার 2FA কোড প্রতি 30 সেকেন্ডে কেন পরিবর্তিত হয়?
TOTP কোড হলো টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড - বর্তমান Unix timestamp এবং আপনার সিক্রেট কী থেকে ডিরাইভ করা, নির্দিষ্ট ব্যবধানে (সাধারণত 30 সেকেন্ড) ঘুরপাক খায়। এই স্বল্প জীবনকাল রিপ্লে আক্রমণ প্রতিরোধ করে এবং টু-ফ্যাক্টর অথেন্টিকেশনকে সুরক্ষিত রাখে।
এই ওয়েবসাইটে 2FA সিক্রেট কী প্রবেশ করানো কি নিরাপদ?
হ্যাঁ। সমস্ত 2FA কোড জেনারেশন Web Crypto API ব্যবহার করে আপনার ব্রাউজারে স্থানীয়ভাবে হয়। সিক্রেট কী কখনও আপনার ডিভাইস ছাড়ে না এবং কোনো সার্ভারে পাঠানো হয় না। সর্বোচ্চ নিরাপত্তার জন্য, সিক্রেট কীকে পাসওয়ার্ডের মতো ট্রিট করুন এবং কারো সাথে শেয়ার করবেন না।
TOTP এবং HOTP এর মধ্যে পার্থক্য কী?
TOTP (Time-based One-Time Password, RFC 6238) বর্তমান সময়ের উপর ভিত্তি করে কোড তৈরি করে, এজন্যই কোড প্রতি 30 সেকেন্ডে পরিবর্তিত হয়। HOTP (HMAC-based One-Time Password, RFC 4226) একটি বর্ধনশীল কাউন্টার ব্যবহার করে। উভয়ই 2FA কোডের প্রকার; TOTP আজ অনেক বেশি কমন।
আমি কি এটিকে প্রধান authenticator অ্যাপ হিসেবে ব্যবহার করতে পারি?
হ্যাঁ। আপনি My Accounts ট্যাবে এনক্রিপ্টেড লোকাল স্টোরেজ সহ একাধিক 2FA অ্যাকাউন্ট সেভ করতে পারেন, এনক্রিপ্টেড ব্যাকআপ এক্সপোর্ট করতে পারেন এবং অন্য ডিভাইসে রিস্টোর করতে পারেন। টুলটি প্রোগ্রেসিভ ওয়েব অ্যাপ (PWA) হিসেবে কাজ করে, তাই নেটিভ authenticator এর মতো ইনস্টল করা যায়।
ওয়েবসাইট যদি আমার 2FA কোড রিজেক্ট করে দেয় তাহলে কী হবে?
ভুল 2FA কোড সাধারণত বোঝায় যে আপনার ডিভাইসের ঘড়ি সিঙ্ক নয়, বা সিক্রেট কী ভুল কপি হয়েছে। নিশ্চিত করুন Base32 সিক্রেটে অতিরিক্ত স্পেস নেই, সিস্টেম টাইম স্বয়ংক্রিয়ভাবে সেট করা, এবং 30-সেকেন্ড রিফ্রেশের পরে পরবর্তী কোড চেষ্টা করুন।
এই 2FA টুল কি অফলাইনে কাজ করে?
হ্যাঁ। প্রথম ভিজিটের পরে, authenticator service worker দ্বারা ক্যাশ করা হয় যাতে আপনি ইন্টারনেট সংযোগ ছাড়াই TOTP কোড তৈরি করতে পারেন। ভ্রমণের জন্য বা যখন আপনার প্রধান authenticator অ্যাপ উপলব্ধ নেই তখন উপযুক্ত।

2026 সালে টু-ফ্যাক্টর অথেন্টিকেশন কেন গুরুত্বপূর্ণ

শুধু পাসওয়ার্ড আর যথেষ্ট নয়। প্রতি বছর বিলিয়ন বিলিয়ন ক্রেডেনশিয়াল ডেটা ব্রিচে ফাঁস হয়, এবং উন্নত ফিশিং কিট জটিল পাসওয়ার্ডকেও পরাজিত করতে পারে। টু-ফ্যাক্টর অথেন্টিকেশন - যা 2FA, মাল্টি-ফ্যাক্টর অথেন্টিকেশন (MFA), বা টু-স্টেপ ভেরিফিকেশন নামেও পরিচিত - একটি দ্বিতীয় স্তর যোগ করে যা দূরবর্তী আক্রমণকারীরা সহজে বাইপাস করতে পারে না।

এই ধরনের TOTP authenticator 2FA এর সবচেয়ে বহুল সমর্থিত পদ্ধতি, Google, Microsoft, Apple ID, GitHub, Facebook, Instagram, Snapchat, TikTok, Steam, Epic Games, Fortnite, Discord, এবং প্রায় সমস্ত প্রধান অনলাইন সার্ভিসে কাজ করে। প্রতি 30 সেকেন্ডে ঘূর্ণায়মান তাজা 6 সংখ্যার 2FA কোড সহ, ফাঁস হওয়া পাসওয়ার্ড একা অকেজো হয়ে যায়।

যেখানেই সম্ভব 2FA চালু করুন - ইমেল, সোশ্যাল মিডিয়া, ক্রিপ্টো এক্সচেঞ্জ, ক্লাউড স্টোরেজ, ব্যাংকিং, এবং গেমিং অ্যাকাউন্ট। শক্তিশালী পাসওয়ার্ড ম্যানেজার এবং প্রতি-সাইট ইউনিক পাসওয়ার্ডের সাথে মিলিয়ে, সঠিক টু-ফ্যাক্টর অথেন্টিকেশন সেটআপ আপনার অনলাইন নিরাপত্তার জন্য সবচেয়ে বড় আপগ্রেডগুলির একটি।

2FA পদ্ধতির ধরন তুলনা: SMS, TOTP, হার্ডওয়্যার কী, বায়োমেট্রিক

আজ বিভিন্ন ধরনের টু-ফ্যাক্টর অথেন্টিকেশন উপলব্ধ, প্রত্যেকের নিরাপত্তা এবং সুবিধার বিভিন্ন স্তর রয়েছে। এই অপশনগুলি বোঝা আপনাকে প্রতিটি অ্যাকাউন্টের জন্য সঠিক 2FA পদ্ধতি নির্বাচন করতে সাহায্য করে - নৈমিত্তিক গেমিং লগইন থেকে উচ্চ-মূল্যের ব্যাংকিং এবং ক্রিপ্টো অ্যাকাউন্ট পর্যন্ত। নিচে আমরা 2026 সালে আপনি যে প্রতিটি প্রধান 2FA ফর্ম দেখবেন তা সততার সাথে পেশাদার, কন এবং আমাদের সুপারিশ সহ তুলনা করি।

2FA পদ্ধতি নিরাপত্তা সুবিধা যার জন্য সবচেয়ে ভালো
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA টু-ফ্যাক্টর অথেন্টিকেশনের সবচেয়ে সাধারণ রূপ কারণ এটি সমস্ত মোবাইল ফোনের সাথে কাজ করে। পাসওয়ার্ড প্রবেশ করানোর পরে, 6 সংখ্যার ভেরিফিকেশন কোড সহ একটি টেক্সট মেসেজ আপনার নম্বরে পাঠানো হয়। সুবিধাজনক হলেও, SMS 2FA SIM swapping আক্রমণের জন্য দুর্বল - অপরাধীরা অপারেটরদের প্রতারণা করে আপনার নম্বর তাদের ডিভাইসে স্থানান্তর করে। NIST উচ্চ-মূল্যের অ্যাকাউন্টের জন্য নিরাপদ 2FA পদ্ধতি হিসেবে SMS deprecate করেছে, এবং প্রধান ব্যাংকগুলি TOTP authenticator অ্যাপে সরানোর পরামর্শ ক্রমবর্ধমানভাবে দিচ্ছে।

Authenticator apps (TOTP) যেমন Google Authenticator, Microsoft Authenticator, Authy, এবং 1Password নেটওয়ার্ক সংযোগের প্রয়োজন ছাড়াই সরাসরি আপনার ডিভাইসে টাইম-বেসড ওয়ান-টাইম পাসওয়ার্ড তৈরি করে। এটি TOTP 2FA কে দ্রুত, আরও নিরাপদ, এবং SIM swap আক্রমণ থেকে ইমিউন করে তোলে। RFC 6238 স্ট্যান্ডার্ডের ভিত্তিতে কোডগুলি প্রতি 30 সেকেন্ডে ঘূর্ণায়মান হয়, এবং একই সিক্রেট কী সমস্ত সামঞ্জস্যপূর্ণ authenticator এ কাজ করে - এই ব্রাউজার-ভিত্তিক জেনারেটর সহ।

Hardware security keys যেমন YubiKey, Google Titan, SoloKeys, এবং Feitian USB, NFC, বা Bluetooth ডিভাইসের মাধ্যমে শারীরিক মালিকানা প্রমাণ করতে FIDO2 / WebAuthn স্ট্যান্ডার্ড ব্যবহার করে। হার্ডওয়্যার কী 2FA নিরাপত্তার গোল্ড স্ট্যান্ডার্ড কারণ এগুলি ফিশিং-প্রতিরোধী - TOTP কোডের বিপরীতে, নকল লগইন পেজ ক্রিপ্টোগ্রাফিক সিগনেচার হার্ভেস্ট করতে পারে না। সবচেয়ে গুরুত্বপূর্ণ অ্যাকাউন্টগুলির জন্য হার্ডওয়্যার কী ব্যবহার করুন: প্রাথমিক ইমেল, পাসওয়ার্ড ম্যানেজার, ক্রিপ্টো এক্সচেঞ্জ, এবং ওয়ার্ক আইডেন্টিটি।

Push notification 2FA Duo Mobile, Microsoft Authenticator পুশ প্রম্পট, এবং Okta Verify এর মতো অ্যাপগুলি আপনার ফোনে একটি নিশ্চিতকরণ ট্যাপ পাঠায়। 6 সংখ্যার 2FA কোড টাইপ করার চেয়ে বেশি সুবিধাজনক তবে সার্ভিস সাপোর্টের প্রয়োজন এবং MFA fatigue আক্রমণের জন্য দুর্বল যেখানে অপরাধীরা অনুমোদনের অনুরোধ স্প্যাম করে এই আশায় যে আপনি অলসতার কারণে Approve ট্যাপ করবেন।

Biometric 2FA and passkeys ফিঙ্গারপ্রিন্ট বা ফেস রিকগনিশন ব্যবহার করে, প্রায়শই ডিভাইস-বাউন্ড passkey এর সাথে মিলিয়ে। Apple Face ID, Windows Hello, এবং Android ফিঙ্গারপ্রিন্ট স্ক্যানার ক্রমবর্ধমানভাবে ইতিমধ্যে সাইন-ইন করা ডিভাইসের জন্য সেকেন্ডারি ফ্যাক্টর হিসেবে ব্যবহৃত হচ্ছে। FIDO2 / WebAuthn-ভিত্তিক passkey Google, Apple, Microsoft, GitHub, এবং ক্রমবর্ধমান সার্ভিসের তালিকায় পাসওয়ার্ড এবং TOTP 2FA এর স্থান ধীরে ধীরে নিচ্ছে - এটি অথেন্টিকেশনের ভবিষ্যৎ।

আমাদের সুপারিশ: প্রাথমিক 2FA পদ্ধতি হিসেবে TOTP authenticator অ্যাপ ব্যবহার করুন, যা সবচেয়ে গুরুত্বপূর্ণ অ্যাকাউন্ট (প্রাথমিক ইমেল, পাসওয়ার্ড ম্যানেজার, ক্রিপ্টো, ওয়ার্ক আইডেন্টিটি) এর জন্য হার্ডওয়্যার সিকিউরিটি কী দ্বারা সমর্থিত। সম্ভব হলে SMS 2FA এড়িয়ে চলুন এবং সর্বদা backup codes একটি নিরাপদ স্থানে অফলাইন সেভ করুন।

জনপ্রিয় সার্ভিসে 2FA কিভাবে চালু করবেন (ধাপে ধাপে)

টু-ফ্যাক্টর অথেন্টিকেশন সেটআপ প্রতিটি প্ল্যাটফর্মে একটু ভিন্ন, তবে সমস্ত প্রধান সার্ভিসে মূল ফ্লো একই। নিচে সবচেয়ে জনপ্রিয় প্ল্যাটফর্মে 2FA চালু করার জন্য একটি দ্রুত ধাপে ধাপে গাইড, যা সবগুলি এই TOTP জেনারেটরের সাথে নির্বিঘ্নে কাজ করে।

Google / Gmail এ 2FA চালু করুন

myaccount.google.com এ যান তারপর Security, 2-Step Verification, Get Started। পাসওয়ার্ড দিয়ে সাইন-ইন করুন, Authenticator app নির্বাচন করুন। Google একটি QR কোড প্রদর্শন করে - আমাদের TOTP জেনারেটর দিয়ে স্ক্যান করুন বা Base32 সিক্রেট কী পেস্ট করুন। Google আপনার Gmail এবং Google অ্যাকাউন্টের জন্য অতিরিক্ত 2FA পদ্ধতি হিসেবে Google Prompt নোটিফিকেশন এবং হার্ডওয়্যার সিকিউরিটি কী ও সাপোর্ট করে।

Facebook / Meta তে 2FA চালু করুন

আপনার Facebook প্রোফাইল ছবিতে ক্লিক করুন, Settings & Privacy খুলুন, Settings, Accounts Center, Password and security, Two-factor authentication। Authentication app নির্বাচন করুন এবং QR কোড স্ক্যান করুন বা সিক্রেট কী আমাদের 2FA কোড জেনারেটরে কপি করুন। Facebook SMS কে ব্যাকআপ হিসেবে অনুমতি দেয়, তবে ভাল নিরাপত্তার জন্য authenticator অ্যাপ 2FA অত্যন্ত সুপারিশকৃত।

Discord এ 2FA চালু করুন

Discord খুলুন, User Settings (গিয়ার আইকন), My Account, Enable Two-Factor Auth। পাসওয়ার্ড দিন, তারপর আমাদের 2FA কোড জেনারেটরের সাথে প্রদর্শিত QR কোড বা ম্যানুয়াল Base32 কী ব্যবহার করুন। সর্বদা Discord backup codes অবিলম্বে সেভ করুন - যদি আপনি authenticator এ অ্যাক্সেস হারান, Discord অ্যাকাউন্ট পুনরুদ্ধারের জন্য সেই কোডগুলির প্রয়োজন হবে।

GitHub এ 2FA চালু করুন

Settings, Password and authentication, Two-factor authentication, Enable এ যান। আমাদের 2FA টুল বা যে কোনো RFC 6238 authenticator দিয়ে TOTP কোড তৈরি করতে Set up using an app নির্বাচন করুন। GitHub অতিরিক্ত ফ্যাক্টর হিসেবে FIDO2 সিকিউরিটি কী ও সাপোর্ট করে, এবং সংবেদনশীল রিপোজিটরির সমস্ত কন্ট্রিবিউটরের জন্য 2FA বাধ্যতামূলক করে।

Microsoft / Outlook এ 2FA চালু করুন

account.microsoft.com, Security, Advanced security options, Two-step verification, Turn on এ যান। Microsoft তাদের নিজস্ব Microsoft Authenticator অ্যাপ পছন্দ করে তবে যে কোনো RFC 6238 TOTP জেনারেটর - আমাদেরটি সহ - অভিন্নভাবে কাজ করে। একই 2FA সেটআপ Outlook, Xbox, Microsoft 365, Teams, OneDrive, এবং অন্যান্য সমস্ত Microsoft সার্ভিস কভার করে।

Fortnite / Epic Games এ 2FA চালু করুন

epicgames.com এ যান তারপর account, password-and-security, Two-factor authentication, Enable Authenticator App। আমাদের 2FA জেনারেটর দিয়ে QR কোড স্ক্যান করুন। Fortnite এ 2FA চালু করা আপনাকে Boogiedown emote পুরস্কার দেয় এবং আপনার Rocket League এবং Epic Games Store অ্যাকাউন্টের নিরাপত্তা উন্নত করে।

Binance / Coinbase / Kraken এ 2FA চালু করুন

প্রতিটি প্রধান ক্রিপ্টো এক্সচেঞ্জ - Binance, Coinbase, Kraken, Gemini, KuCoin, Bitstamp - উইথড্রয়ালের জন্য 2FA বাধ্যতামূলক করে। প্রতিটি এক্সচেঞ্জের সিকিউরিটি ট্যাবে Google Authenticator সামঞ্জস্যতা সক্রিয় করুন এবং সিক্রেট কী পাসওয়ার্ড ম্যানেজারে সেভ করুন। backup codes ছাড়া ক্রিপ্টো অ্যাকাউন্টে 2FA অ্যাক্সেস হারানো আপনাকে আপনার ফান্ড থেকে স্থায়ীভাবে লক করতে পারে।

Instagram / TikTok / Snapchat এ 2FA চালু করুন

Instagram, TikTok, এবং Snapchat সবই Settings, Security মেনুর মাধ্যমে authenticator অ্যাপ 2FA সাপোর্ট করে। প্রতিটি অ্যাপ যে কোনো RFC 6238 TOTP টুলের সাথে সামঞ্জস্যপূর্ণ QR কোড তৈরি করে। সোশ্যাল অ্যাকাউন্ট কতবার অ্যাকাউন্ট চুরি এবং পুনঃবিক্রয়ের জন্য টার্গেট করা হয় তা বিবেচনা করে, 2026 সালে প্রতিটি সোশ্যাল মিডিয়া অ্যাকাউন্টে টু-ফ্যাক্টর অথেন্টিকেশন চালু করা বাধ্যতামূলক।

যে কোনো সার্ভিসে 2FA চালু করার পরে, অবিলম্বে লগআউট এবং পুনরায় লগইন করে টেস্ট করুন - আপনার সত্যিই প্রয়োজন হওয়ার আগে। এটি নিশ্চিত করে যে authenticator কোড সঠিকভাবে কাজ করছে এবং আপনি recovery backup codes নিরাপদভাবে সেভ করেছেন।

প্রতিটি ইউজারের অনুসরণ করা উচিত এমন 2FA সিকিউরিটি বেস্ট প্র্যাকটিস

টু-ফ্যাক্টর অথেন্টিকেশন চালু করা শুধুমাত্র অর্ধেক কাজ। নিম্নলিখিত বেস্ট প্র্যাকটিস অনুসরণ করা authenticator অ্যাপ, SMS কোড, এবং রিকভারি ফ্লোকে টার্গেট করা আধুনিক হুমকি থেকে আপনার 2FA সেটআপকে নিরাপদ রাখে। নিচের অনুশীলনগুলির অর্ধেকও গ্রহণ করলে 2FA হাইজিনের ক্ষেত্রে আপনি 95% ইউজারের চেয়ে ভালো অবস্থানে থাকবেন।

  • সর্বদা আপনার backup codes সেভ করুন। 2FA সাপোর্ট করা প্রতিটি সার্ভিস authenticator চালু করার সময় 8-10টি ওয়ান-টাইম রিকভারি কোড তৈরি করে। এগুলি প্রিন্ট করুন, পাসওয়ার্ড ম্যানেজারে সেভ করুন, বা এনক্রিপ্টেড নোটে সংরক্ষণ করুন। backup codes ছাড়া, ফোন হারানো মানে স্থায়ীভাবে অ্যাকাউন্ট হারানো - কোনো কাস্টমার সাপোর্ট পরিচয় প্রমাণ ছাড়া হার্ডেনড 2FA অ্যাকাউন্ট পুনরুদ্ধার করতে পারে না।
  • একাধিক authenticator ডিভাইস ব্যবহার করুন। এই টুল থেকে 2FA ব্যাকআপ এক্সপোর্ট করুন এবং দ্বিতীয় ডিভাইসে ইমপোর্ট করুন, বা Authy / 1Password ব্যবহার করুন যা ডিভাইসের মধ্যে TOTP সিক্রেট নেটিভভাবে সিঙ্ক করে। Google Authenticator এর এখন অফিশিয়াল QR এক্সপোর্ট ফিচার রয়েছে। দ্বিতীয় ডিভাইস থাকার অর্থ ফোন হারানো বা ভাঙা সবচেয়ে খারাপ সময়ে প্রতিটি 2FA অ্যাকাউন্ট থেকে আপনাকে বিচ্ছিন্ন করবে না।
  • MFA fatigue আক্রমণ সম্পর্কে সতর্ক থাকুন। যে আক্রমণকারীরা আপনার পাসওয়ার্ড জানে তারা 2FA পুশ নোটিফিকেশন অনুরোধ স্প্যাম করতে পারে এই আশায় যে আপনি অভ্যাসবশত বা বিরক্ত হয়ে Approve ট্যাপ করবেন। এটি Uber এবং অন্যান্যদের উচ্চ-প্রোফাইল ব্রিচে ব্যবহৃত হয়েছিল। সর্বদা যাচাই করুন কোন অ্যাপ নিশ্চিতকরণ চাইছে এবং অপ্রত্যাশিত প্রম্পট প্রত্যাখ্যান করুন - বৈধ লগইন কদাচিৎ মধ্যরাতে কোনো কারণ ছাড়াই 2FA অনুরোধ ট্রিগার করে।
  • SIM swapping থেকে নিজেকে রক্ষা করুন। এমনকি আপনি SMS 2FA এড়িয়ে গেলেও, মোবাইল নম্বর প্রায়ই অ্যাকাউন্ট রিকভারি ফ্লোর সাথে যুক্ত। আপনার অপারেটরকে আপনার অ্যাকাউন্টে PIN বা port-out সুরক্ষা যোগ করতে বলুন যাতে অপরাধীরা SIM তাদের ডিভাইসে স্থানান্তর করতে না পারে। এই একটি পরিবর্তন বেশিরভাগ SIM swap আক্রমণ ব্লক করে এবং সমস্ত প্রধান অপারেটরে বিনামূল্যে।
  • পাসওয়ার্ড ম্যানেজারের সাথে 2FA কম্বাইন করুন। প্রতি সাইটে শক্তিশালী ইউনিক পাসওয়ার্ড প্লাস TOTP 2FA প্লাস ক্রিটিকাল অ্যাকাউন্টের জন্য হার্ডওয়্যার সিকিউরিটি কী 2026 সালে অ্যাকাউন্ট নিরাপত্তার গোল্ড স্ট্যান্ডার্ড। 1Password, Bitwarden, LastPass, এবং KeePass পাসওয়ার্ডের পাশাপাশি TOTP সিক্রেট সংরক্ষণ করতে পারে - কিছু নির্বিঘ্ন লগইন অভিজ্ঞতার জন্য উভয় ফিল্ড একসাথে অটোফিলও করে।
  • কখনই 2FA কোড শেয়ার করবেন না, এমনকি সাপোর্টের সাথেও না। কোনো বৈধ কোম্পানি, ব্যাংক, বা অনলাইন প্ল্যাটফর্ম আপনাকে 6 সংখ্যার 2FA কোড জোরে পড়তে, চ্যাটে টাইপ করতে, বা ইমেলের মাধ্যমে পাঠাতে বলবে না। যদি কেউ চায় - তারা টেক সাপোর্ট, আপনার ব্যাংক, বা ডেলিভারি কোম্পানি হওয়ার দাবি করুক - এটি প্রতারণা। ফোন রেখে দিন এবং কোম্পানির অফিশিয়াল নম্বর বা ওয়েবসাইট থেকে সরাসরি যোগাযোগ করুন।
  • প্রতি বছর আপনার 2FA সেটআপ অডিট করুন। প্রতিটি অ্যাকাউন্টের তালিকা তৈরি করুন যেখানে আপনি টু-ফ্যাক্টর অথেন্টিকেশন চালু করেছেন। অব্যবহৃত অ্যাকাউন্ট থেকে 2FA সরান, নতুন তৈরি অ্যাকাউন্টে চালু করুন, এবং যাচাই করুন backup codes এখনও কাজ করে। বার্ষিক 2FA অডিট পুরনো রিকভারি ইমেল ঠিকানা, পুরনো মোবাইল নম্বর, এবং ভুলে যাওয়া authenticator seeds ধরে।
  • উপলব্ধ হলে passkey এ আপগ্রেড করুন। FIDO2 / WebAuthn passkey Google, Apple, Microsoft, GitHub, PayPal, এবং শত শত অন্যান্য সার্ভিসে পাসওয়ার্ড এবং TOTP 2FA এর স্থান ধীরে ধীরে নিচ্ছে। passkey ডিজাইন অনুযায়ী ফিশিং-প্রতিরোধী এবং আপনার ডিভাইসের secure enclave এর সাথে বাঁধা - যখন সাইটগুলি passkey অফার করে, শুধু 2FA কোডের উপর নির্ভর করার পরিবর্তে এটি সক্রিয় করুন।

সাধারণ 2FA সমস্যা সমাধান

এমনকি ভালোভাবে কনফিগার করা টু-ফ্যাক্টর অথেন্টিকেশন সেটআপেও সমস্যা হতে পারে। এখানে ইউজারদের সম্মুখীন হওয়া সবচেয়ে সাধারণ 2FA সমস্যা এবং ব্যবহারিক সমাধান যা সাপোর্ট যোগাযোগের প্রয়োজন ছাড়াই বেশিরভাগ সমাধান করে।

অবৈধ 2FA কোড বা ভুল ভেরিফিকেশন কোড

সবচেয়ে সাধারণ কারণ হলো ডিভাইস ঘড়ির ড্রিফট। TOTP নির্ভুল সময়ের উপর নির্ভর করে - 30-সেকেন্ডের অফসেট এমনকি কোড মিসম্যাচ ঘটায়। Android এ: Settings, System, Date & time, Set time automatically। iOS এ: Settings, General, Date & Time, Set Automatically। Windows এ: Settings, Time & language, Date & time, Set time automatically। সার্ভার সাধারণত প্লাস/মাইনাস 1 উইন্ডোতে কোড গ্রহণ করে, তাই 30-সেকেন্ড রিফ্রেশের পরে পরবর্তী কোড চেষ্টা করা প্রায়ই কাজ করে।

ম্যানুয়াল ইনপুটের সময় সিক্রেট কীতে টাইপো

Base32 শুধু A থেকে Z এবং 2 থেকে 7 ব্যবহার করে - কোনো 0, 1, 8, বা 9 নেই। O বনাম 0 বা I বনাম 1 এর মতো অস্পষ্ট অক্ষর সবকিছু ভেঙে দেয়। ম্যানুয়ালি টাইপ করার পরিবর্তে সার্ভিসের QR কোড থেকে সরাসরি সিক্রেট কী কপি করুন, বা আমাদের বিল্ট-ইন QR স্ক্যানার ব্যবহার করুন। অনেক সার্ভিস সহজ ম্যানুয়াল ইনপুটের জন্য QR কোডের পাশে plaintext সিক্রেট প্রদর্শনের অনুমতিও দেয়।

authenticator অ্যাপ সহ ফোন হারানো

প্রথমে, backup codes চেষ্টা করুন - বেশিরভাগ সার্ভিস আপনি 2FA authenticator এ অ্যাক্সেস করতে না পারলে একটি চায়। যদি আপনি TOTP সিক্রেট এক্সপোর্ট বা সিঙ্ক করে থাকেন, নতুন ডিভাইসে রিস্টোর করুন। শেষ অবলম্বন হিসাবে, সার্ভিসের সাপোর্ট টিমের সাথে যোগাযোগ করুন এবং তাদের অ্যাকাউন্ট রিকভারি ফ্লো অনুসরণ করুন, যা সাধারণত সরকারি ID ভেরিফিকেশন বা অন্যান্য সিক্রেট নিশ্চিতকরণ জড়িত। কখনও তৃতীয় পক্ষের 2FA রিকভারি সার্ভিসের জন্য অর্থ প্রদান করবেন না - এগুলি প্রতারণা।

QR কোড স্ক্যান করা যাচ্ছে না

আলো, ক্যামেরা ফোকাস, এবং স্ক্রিন গ্লেয়ার সাধারণ কারণ। QR কে ইমেজ ফাইল হিসেবে ডাউনলোড করুন এবং আমাদের ইমেজ স্ক্যানারে আপলোড করুন, অথবা প্রদর্শিত Base32 সিক্রেট কী ম্যানুয়ালি দিন। নিশ্চিত করুন কোনো ব্রাউজার এক্সটেনশন QR ডিসপ্লে পরিবর্তন করছে না।

অ্যাকাউন্ট 2FA থেকে সম্পূর্ণ লক আউট

বেশিরভাগ সার্ভিস সরকারি ID, ক্রেডিট কার্ডের শেষ 4 সংখ্যা, রিকভারি ইমেল, বা বিশ্বস্ত যোগাযোগের মাধ্যমে পরিচয় যাচাই সাপোর্ট করে। সোশ্যাল লগইন (Google, Apple, Microsoft) প্রায়ই প্যারেন্ট অ্যাকাউন্ট 2FA এর মাধ্যমে আনলক করতে পারে। ক্রিপ্টো এক্সচেঞ্জ সবচেয়ে কঠোর - বহু-দিনের KYC প্রক্রিয়ার জন্য প্রস্তুত থাকুন। আপনার পরিচয় সঠিকভাবে ডকুমেন্ট করুন এবং প্রতিটি সার্ভিসের অফিশিয়াল রিকভারি ফ্লো অনুসরণ করুন।

পুশ নোটিফিকেশন আসছে না

নিশ্চিত করুন authenticator অ্যাপের নোটিফিকেশন অনুমতি রয়েছে, বিশেষভাবে এর জন্য ব্যাটারি অপ্টিমাইজেশন নিষ্ক্রিয়, এবং ডিভাইসের সক্রিয় ইন্টারনেট অ্যাক্সেস রয়েছে। Android এ, কিছু আক্রমনাত্মক ব্যাটারি সেভার ব্যাকগ্রাউন্ড authenticator সার্ভিস বন্ধ করে দেয় - আপনার 2FA অ্যাপ হোয়াইটলিস্ট করুন। অ্যাপ পুনরায় চালু করা সাধারণত পুশ টোকেন রিফ্রেশ করে।

TOTP পর্দার আড়ালে কিভাবে কাজ করে (টেকনিক্যাল ডিপ ডাইভ)

প্রযুক্তিগতভাবে কৌতূহলীদের জন্য, এখানে ধাপে ধাপে 2FA TOTP কোড কিভাবে তৈরি হয়, RFC 6238 অনুসরণ করে - একই অ্যালগরিদম যা আমাদের 2FA জেনারেটর অভ্যন্তরীণভাবে ব্যবহার করে, এবং একই অ্যালগরিদম যা Google Authenticator, Microsoft Authenticator, Authy, এবং অন্যান্য সমস্ত সামঞ্জস্যপূর্ণ authenticator অনুসরণ করে।

  1. 1. Shared secret. যখন আপনি কোনো সার্ভিসে 2FA চালু করেন, সার্ভার এবং আপনার authenticator অ্যাপ উভয়ই একটি র‌্যান্ডম সিক্রেট কীতে সম্মত হয়, সাধারণত 160 বিট (20 বাইট) মানুষের পঠনযোগ্য ডিসপ্লের জন্য Base32 এ এনকোড করা। এই shared secret সাধারণ অপারেশনে উভয় পক্ষ ছেড়ে যায় না।
  2. 2. Time counter. বর্তমান Unix timestamp নিন, 30 দ্বারা ভাগ করুন, ফলাফল floor করুন। এটি একটি integer কাউন্টার তৈরি করে যা প্রতি 30 সেকেন্ডে উভয় পাশে বৃদ্ধি পায়। সময়কে কাউন্টার হিসেবে ব্যবহার করার অর্থ সার্ভার এবং authenticator এর মধ্যে state সিঙ্ক্রোনাইজেশনের প্রয়োজন নেই - উভয় পক্ষ স্বাধীনভাবে একই মান গণনা করে।
  3. 3. HMAC-SHA1. shared secret কে কী হিসেবে এবং 8-বাইট big-endian কাউন্টারকে মেসেজ হিসেবে ব্যবহার করে HMAC-SHA1 হ্যাশ গণনা করুন। আউটপুট একটি 20-বাইট ক্রিপ্টোগ্রাফিক হ্যাশ। আধুনিক ইমপ্লিমেন্টেশন শক্তিশালী 2FA এর জন্য HMAC-SHA256 এবং HMAC-SHA512 ও সাপোর্ট করে যখন উভয় পক্ষ অ্যালগরিদমে সম্মত হয়।
  4. 4. Dynamic truncation. হ্যাশের শেষ বাইট নিন, offset (0 থেকে 15) পেতে নিম্ন 4 বিট মাস্ক করুন। হ্যাশে সেই offset থেকে 4 বাইট বের করুন, high bit ক্লিয়ার করুন, এবং ফলাফলকে 32-বিট integer হিসেবে ট্রিট করুন। এটি RFC 4226 (HOTP) থেকে dynamic truncation অ্যালগরিদম যার উপর TOTP ভিত্তিক।
  5. 5. সংখ্যার জন্য Modulo। 32-বিট integer modulo 10 সংখ্যার পাওয়ারে গণনা করুন - সাধারণত স্ট্যান্ডার্ড 6 সংখ্যার 2FA কোডের জন্য 10 এর পাওয়ার 6, বা কিছু ব্যাংকিং সার্ভিসের জন্য 10 এর পাওয়ার 8। প্রয়োজনে সামনে শূন্য দিয়ে প্যাড করুন যাতে 7 এর মতো কম মানের আউটপুট 000007 হয়, আংশিক কোড নয়।

ফলাফল হলো 6 সংখ্যার ভেরিফিকেশন কোড যা authenticator এবং সার্ভার দ্বারা অভিন্নভাবে গণনা করা হয়। যখন আপনি লগইনের সময় কোড টাইপ করেন, সার্ভার বর্তমান সময় উইন্ডোর জন্য প্রত্যাশিত কোড গণনা করে এবং তুলনা করে। যেহেতু HMAC collision-resistant, শুধু shared secret এর ধারক বৈধ TOTP কোড তৈরি করতে পারে - এটি আধুনিক 2FA নিরাপত্তার পিছনের ক্রিপ্টোগ্রাফিক গণিত। আমাদের ইমপ্লিমেন্টেশনে, এই সমস্ত গণনা ব্রাউজারের Web Crypto API ব্যবহার করে ক্লায়েন্ট-সাইডে হয়, তাই আপনার সিক্রেট কী কখনও সার্ভার স্পর্শ করে না এবং আমরা যে কোড তৈরি করি তা Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden, এবং সমস্ত RFC 6238-কমপ্লায়েন্ট authenticator এর সাথে ঠিক মেলে।

2FA পরিভাষা

বিভিন্ন সার্ভিসে 2FA চালু করার সময় আপনি যে সবচেয়ে সাধারণ টু-ফ্যাক্টর অথেন্টিকেশন পরিভাষার সম্মুখীন হবেন তার দ্রুত রেফারেন্স।

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.