Com funciona l'inici de sessió sense contrasenya — un sol codi cobreix l'inici de sessió + la verificació de WhatsApp
WALLAWHATS utilitza un únic codi de 6 dígits tant per iniciar sessió com per verificar WhatsApp. Aquí tens el procés, per què és segur i com es compara amb l'autenticació amb contrasenya.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Cada contrasenya que has creat mai és un petit passiu que descansa en una base de dades en algun lloc — la teva o la d’algú altre. Contrasenyes reutilitzades, contrasenyes febles, contrasenyes robades per phishing: la majoria de segrestos de comptes encara comencen amb una credencial, no amb un zero-day. WALLAWHATS evita tota aquesta categoria simplement no tenint contrasenyes. L’inici de sessió i la verificació de WhatsApp es gestionen amb el mateix mecanisme: un únic codi de 6 dígits enviat a una destinació que tu controles.
Això no és només una drecera d’experiència d’usuari. Significa que, en el moment que crees un compte, també has demostrat que ets el propietari del número de telèfon o de la bústia on, segons després, arribaran les alertes sobre publicacions d’X (Twitter).

Què vol dir realment “sense contrasenya” aquí
L’autenticació sense contrasenya no és una idea nova — els bancs fa anys que utilitzen codis per SMS, i la majoria de gestors de contrasenyes ara t’empenyen cap als enllaços màgics. El que és diferent en la implementació de WALLAWHATS és que el mateix codi d’un sol ús que et deixa entrar al compte també verifica la destinació que rebrà les teves alertes. No hi ha cap pas separat de “confirma el teu número de telèfon” amagat a la configuració després del registre. La propietat i la preparació per a l’entrega s’estableixen en un sol moviment.
Concretament:
- Introdueixes una adreça electrònica o un número de WhatsApp a la pantalla d’inici de sessió.
- WALLAWHATS genera un codi numèric de 6 dígits i l’envia a aquesta destinació.
- Introdueixes el codi a l’aplicació dins d’una finestra curta de caducitat.
- Si tot va bé, inicies sessió — i si la destinació era un número de telèfon, ara és un canal verificat llest per rebre alertes.
Cap contrasenya per triar, recordar, rotar o filtrar. Cap procés de “contrasenya oblidada”, perquè mai hi ha hagut una contrasenya per oblidar.
Els mecanismes: Cognito Custom Auth, no una llibreria OTP afegida
Per sota, tot això funciona sobre el flux de Custom Authentication d’AWS Cognito — no un afegit d’OTP de tercers superposat a un grup tradicional d’usuari/contrasenya. Tres disparadors de Lambda cooperen perquè això funcioni:
- PreSignUp confirma automàticament els usuaris nous la primera vegada que intenten iniciar sessió amb una destinació que no s’havia vist mai abans. No hi ha cap formulari separat de “crear compte”; iniciar sessió amb una adreça electrònica o un número nous és la creació del compte.
- CreateAuthChallenge genera el codi de 6 dígits, el desa al servidor amb un TTL curt, i el tramet a la destinació — per WhatsApp si has introduït un número de telèfon, per correu electrònic si no.
- VerifyAuthChallengeResponse comprova el codi que has escrit contra el que es va emetre, rebutjant intents caducats o incorrectes i limitant la freqüència dels reintents.
Com que tot això funciona dins de la màquina d’estats d’autenticació gestionada de Cognito, s’apliquen les garanties habituals: els tokens tenen una vida curta, els fluxos de renovació els gestiona la mateixa infraestructura que protegeix la resta de la plataforma, i no hi ha cap codi personalitzat de token de sessió per auditar buscant els errors habituals (identificadors predictibles, entropia insuficient, comprovacions de caducitat absents) que afecten les implementacions casolanes de “simplement envia’ls un codi per correu”.
Per què el mateix codi cobreix dues funcions
La majoria de serveis tracten “demostra qui ets” i “demostra que pots rebre missatges aquí” com dos passos separats — et registres amb una contrasenya i, més tard, verifiques per separat el teu número de telèfon per a les notificacions. WALLAWHATS els fusiona perquè, per a un producte d’alertes, són la mateixa pregunta feta dues vegades.
Si WALLAWHATS ha d’entregar un missatge de WhatsApp a un número, necessita saber dues coses: que el número és real i localitzable, i que la persona que inicia sessió realment el controla. Un codi de 6 dígits enviat a aquest número exacte i escrit correctament respon totes dues coses alhora. No existeix cap escenari on estiguis “connectat” però la teva destinació de WhatsApp no estigui verificada, perquè l’inici de sessió era la verificació.
La mateixa lògica s’aplica al correu electrònic. Inicia sessió amb una adreça electrònica, rep-hi un codi, escriu-lo — ja has iniciat sessió, i aquesta bústia és una destinació confirmada per a les alertes per correu (que, en tots els plans, inclouen una captura renderitzada de cada tuit al costat del text).
Per què això és més segur del que sembla
L’autenticació sense contrasenya sembla que hauria de ser menys segura — sense contrasenya, sense caixa forta. A la pràctica, tanca diverses de les vies més habituals per les quals els comptes reals es veuen compromesos:
- Sense credential stuffing. No hi ha cap contrasenya reutilitzada d’un lloc vulnerat que un atacant pugui provar contra el teu inici de sessió a WALLAWHATS, perquè no hi ha cap contrasenya per robar, per començar.
- Sense superfície d’atac per restabliment de contrasenya. Una gran part dels segrestos de comptes passen a través del procés de “contrasenya oblidada” — un atacant que controla la teva bústia et restableix la contrasenya a tot arreu. Eliminar les contrasenyes elimina aquest procés per complet.
- Basat en la possessió, no en la memòria. El codi demostra que tens accés al telèfon o a la bústia ara mateix, no que vas memoritzar (o vas apuntar, o vas reutilitzar) un secret fa mesos.
- De vida curta i d’un sol ús. Els codis caduquen ràpidament i queden invalidats després d’un ús correcte, a diferència d’una contrasenya que continua sent vàlida fins que la canvies manualment.
La contrapartida és que l’entrega per WhatsApp o correu electrònic passa a formar part del camí crític del teu inici de sessió — si perds l’accés a totes dues, la recuperació del compte segueix el mateix model de destinació verificada en lloc d’un recurs de “preguntes de seguretat” que històricament ha estat l’enllaç més feble dels sistemes basats en contrasenya.
Com es compara amb una contrasenya tradicional + verificació OTP separada
Un flux convencional és així: tries una contrasenya, confirmes el teu correu electrònic mitjançant un enllaç separat, i més tard entres a la configuració per verificar un número de telèfon per a notificacions SMS o push. Això són tres punts de prova separats, tres llocs diferents on alguna cosa pot quedar desactualitzada — un número de telèfon no verificat que roman al compte durant setmanes, una contrasenya idèntica a la que fas servir en altres quatre serveis, un enllaç de confirmació de correu que va caducar abans que ningú hi cliqués.
WALLAWHATS ho redueix a un únic punt de prova per destinació. Afegeix un número de WhatsApp, i el codi que reps per verificar-lo és el mateix codi que t’inicia sessió en aquell dispositiu d’ara endavant. No hi ha cap estat sense verificar que quedi penjant, perquè el compte i la destinació arriben a “verificat” alhora.
Això també vol dir que canviar o afegir una destinació és, simplement… iniciar sessió amb una de nova. Vols afegir un segon número verificat amb un pla Business o Enterprise? Introdueix-lo, rep el codi, confirma’l. Cap formulari separat d’“afegir número de telèfon” amagat tres menús endins.
Com es configura: què veuràs realment
A wallawhats.com/signup, et demanen una sola cosa: una adreça electrònica o un número de WhatsApp. Aquest és tot el formulari.
- Introdueix un número de WhatsApp, i el codi arriba com a missatge de WhatsApp en qüestió de segons — el mateix canal que més endavant transportarà les teves alertes d’X.
- Introdueix un correu electrònic, i el codi arriba a la teva bústia — útil si vols iniciar sessió des d’un dispositiu compartit o de la feina sense tocar el teu WhatsApp personal, o si estàs configurant el correu electrònic com el teu canal d’alertes.
En qualsevol cas, apareix una pantalla que demana el codi de 6 dígits, l’escrius, i ja ets al tauler. A partir d’aquí pots afegir un segon canal (per exemple, un número de WhatsApp després de registrar-te amb correu electrònic, o al revés) en qualsevol moment des de la pàgina de Canals — cada destinació nova passa per la mateixa verificació amb codi d’un sol ús abans de poder rebre alertes. Si no tens clar quin tipus de número de WhatsApp fer servir per a això, la nostra guia de número Business vs Personal desglossa els avantatges i inconvenients.
No existeix cap opció del compte on un número de telèfon quedi “afegit però sense verificar”. Cada destinació o bé ha completat el seu propi repte de codi, o bé no està vinculada al teu compte.
Una nota sobre el que això no és
Per ser precisos sobre el model de seguretat: això és autenticació amb codi d’un sol ús sobre canals en els quals ja confies (WhatsApp, correu electrònic), no autenticació multifactor en el sentit tradicional de “contrasenya més un segon factor”. Hi ha una diferència significativa. L’MFA tradicional afegeix una segona prova independent per sobre d’una contrasenya. El model de WALLAWHATS substitueix la contrasenya per la possessió d’un canal de comunicació — que és una contrapartida de risc diferent, no necessàriament més forta en tots els aspectes. És la contrapartida adequada per a un servei de notificacions, on tota la qüestió és que ja necessites una destinació verificada per fer servir el producte; reutilitzar aquest pas de verificació per a l’inici de sessió elimina fricció sense eliminar cap capa de seguretat significativa, ja que no hi havia cap capa basada en contrasenya per començar.
Si estàs decidint entre canals tant per a l’inici de sessió com per a les alertes, la nostra comparativa de correu electrònic vs WhatsApp cobreix les diferències de velocitat d’entrega i taxa de lectura que també s’apliquen als codis d’inici de sessió — un codi de WhatsApp el notaràs en qüestió de segons; un codi per correu electrònic competeix amb la resta de la teva bústia.
Per què això importa especialment per a un producte d’alertes
Per a un producte la feina del qual és íntegrament “entregar de manera fiable un missatge a una destinació que tu has triat”, la identitat i la destinació no es poden separar. Si l’inici de sessió i la verificació del canal fossin sistemes separats, podries acabar connectat a un compte el número de WhatsApp del qual es va afegir fa anys, possiblement reassignat a algú altre per l’operadora des d’aleshores, i mai tornat a confirmar. Vincular l’inici de sessió a un codi nou enviat a la pròpia destinació fa que aquest risc no existeixi per construcció — no pots estar connectat mitjançant un canal que actualment no és localitzable, perquè la localitzabilitat és el que t’ha permès connectar-te.
Això també vol dir que, en el cas habitual, la recuperació del compte no requereix un tiquet de suport. Has perdut el telèfon? Inicia sessió amb el teu correu electrònic — el mateix procés, el mateix codi d’un sol ús, i la teva destinació de WhatsApp (un cop la tornis a verificar en un dispositiu nou) reprèn exactament on ho havia deixat.
Què passa quan un codi no arriba
Qualsevol sistema que delega l’entrega a una xarxa de tercers — una operadora, la pròpia infraestructura de WhatsApp, un proveïdor de correu electrònic — ha de tenir en compte que el codi no aparegui a l’instant. Algunes notes pràctiques sobre com es gestiona això:
- La caducitat és curta, i és intencionat. Un codi vàlid durant hores és un objectiu més gran que un que sigui vàlid durant minuts. Si el teu caduca abans que l’introdueixis, demanar-ne un de nou invalida immediatament el codi antic.
- Reenvia, no retornis a escriure. Si un missatge de WhatsApp es retarda uns segons (normal en hores punta d’enviament) o un correu electrònic acaba a la carpeta de spam, la pantalla d’inici de sessió ofereix una acció de reenviament en lloc de demanar-te que esperis indefinidament el primer intent.
- La limitació de freqüència protegeix totes dues bandes. Les sol·licituds repetides de codi a la mateixa destinació es limiten. Això no és només una mesura antiabús per a WALLAWHATS — també evita que un sol compte saturi accidentalment els sistemes d’entrega de WhatsApp o d’un proveïdor de correu electrònic si alguna cosa aigües amunt es reintenta de manera agressiva.
- Canvia de canal si un no és localitzable. Si el teu telèfon no té cobertura però estàs al portàtil, inicia sessió amb el correu electrònic en el seu lloc — és un camí completament independent cap al mateix compte, no un recurs que depengui que l’intent de WhatsApp falli primer.
Res d’això és exclusiu de WALLAWHATS; és la mateixa realitat operativa amb què ha de comptar qualsevol sistema basat en OTP. La diferència és que, com que el codi també és la teva verificació de canal, un inici de sessió correcte et diu que la teva destinació d’alertes està activa en aquest moment — cosa que una contrasenya mai podria dir-te.
Preguntes freqüents
Puc utilitzar tant WhatsApp com el correu electrònic per iniciar sessió? Sí. Cadascun es verifica de manera independent la primera vegada que el fas servir, i qualsevol dels dos et permet entrar al mateix compte a partir d’aleshores.
Un codi nou invalida el meu canal de WhatsApp si no acabo d’iniciar sessió? No. Un intent d’inici de sessió inacabat o caducat no afecta un canal ja verificat — només és rellevant per verificar una destinació nova per primera vegada.
Què passa si més endavant vull canviar el meu número de telèfon? Afegeix el número nou com a canal des de la pàgina de Canals; passa pel seu propi codi d’un sol ús abans de poder rebre alertes. El teu número antic es manté intacte fins que el suprimeixis.
És el mateix que l’autenticació de dos factors basada en SMS? No exactament. El 2FA tradicional per SMS és un segon factor afegit per sobre d’una contrasenya. Aquí, el codi és tot el mecanisme d’autenticació — no hi ha cap contrasenya per sota a la qual afegir un segon factor.
Per començar
L’inici de sessió sense contrasenya no és una funció separada per configurar — és simplement com funciona l’inici de sessió a WALLAWHATS, en tots els plans a partir de Free. Si encara no has configurat les alertes, el recorregut de la nostra guia d’inici cobreix tot el camí des del primer inici de sessió fins a la teva primera alerta de WhatsApp.
No tornis a perdre’t mai més una publicació important. Crea un compte gratuït — 1 número de WhatsApp, alertes en temps real, sense targeta de crèdit.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Sobre l'autor
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



