Jak funguje přihlášení bez hesla — jeden kód pokrývá přihlášení i ověření WhatsAppu
WALLAWHATS používá jeden 6místný kód jak pro přihlášení, tak pro ověření WhatsAppu. Zde je postup, proč je bezpečný a jak si stojí oproti autentizaci heslem.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Každé heslo, které jste kdy vytvořili, je malé riziko ležící někde v databázi — vaší, nebo cizí. Znovupoužitá hesla, slabá hesla, vyphishovaná hesla: většina zneužití účtů pořád začíná u přihlašovacích údajů, ne u zero-day útoku. WALLAWHATS se celé této kategorii vyhýbá tím, že hesla vůbec nemá. Přihlášení i ověření WhatsAppu řeší stejný mechanismus: jediný 6místný kód odeslaný na cíl, který máte pod kontrolou.
Není to jen zkratka v UX. Znamená to, že ve chvíli, kdy si vytvoříte účet, jste zároveň dokázali, že vlastníte telefonní číslo nebo e-mailovou schránku, kam během pár vteřin dorazí upozornění na příspěvky z X (Twitteru).

Co „bez hesla“ skutečně znamená
Autentizace bez hesla není žádná novinka — banky používají SMS kódy už roky a většina správců hesel vás dnes tlačí k magickým odkazům. Na implementaci WALLAWHATS je jiné to, že stejný jednorázový kód, který vás pustí do účtu, zároveň ověřuje cíl, kam budou chodit vaše upozornění. Není tu žádný samostatný krok „ověřte si telefonní číslo“ schovaný někde v nastavení po registraci. Vlastnictví a připravenost k doručování se ověří v jednom kroku.
Konkrétně:
- Na přihlašovací obrazovce zadáte e-mailovou adresu nebo číslo WhatsAppu.
- WALLAWHATS vygeneruje 6místný číselný kód a odešle ho na daný cíl.
- Kód opíšete zpět do aplikace v krátkém časovém okně, než vyprší.
- Po úspěchu jste přihlášeni — a pokud byl cílem telefonní číslo, jde teď o ověřený kanál připravený přijímat upozornění.
Žádné heslo, které byste museli vymýšlet, pamatovat si, měnit nebo které by mohlo uniknout. Žádný postup „zapomenuté heslo“, protože žádné heslo, na které byste mohli zapomenout, nikdy neexistovalo.
Mechanika: Cognito Custom Auth, ne přilepená OTP knihovna
Pod kapotou to celé běží na Custom Authentication flow od AWS Cognito — ne na doplňku OTP od třetí strany nalepeném na tradiční pool s uživatelským jménem a heslem. Aby to fungovalo, spolupracují tři Lambda triggery:
- PreSignUp automaticky potvrdí nové uživatele, jakmile se poprvé pokusí přihlásit s cílem, který ještě nikdy nebyl použit. Neexistuje samostatný formulář „vytvořit účet“ — přihlášení s novým e-mailem nebo číslem je vytvoření účtu.
- CreateAuthChallenge vygeneruje 6místný kód, uloží ho na straně serveru s krátkým TTL a odešle ho na cíl — přes WhatsApp, pokud jste zadali telefonní číslo, jinak e-mailem.
- VerifyAuthChallengeResponse porovná kód, který jste zadali, s tím, který byl vydán, odmítne vypršelé nebo neshodující se pokusy a omezuje frekvenci opakovaných pokusů.
Protože se to celé odehrává uvnitř spravovaného stavového automatu Cognito pro autentizaci, platí standardní záruky: tokeny mají krátkou životnost, refresh flow zajišťuje stejná infrastruktura, která chrání zbytek platformy, a neexistuje žádný vlastní kód pro session tokeny, který by bylo potřeba auditovat na obvyklé chyby (předvídatelná ID, nedostatečná entropie, chybějící kontrola expirace), jimiž trpí domácí implementace typu „prostě jim pošleme kód e-mailem“.
Proč jeden kód zvládá dva úkoly
Většina služeb bere „dokažte, kdo jste“ a „dokažte, že tady můžete přijímat zprávy“ jako dva oddělené kroky — zaregistrujete se heslem a potom si zvlášť ověříte telefonní číslo pro notifikace. WALLAWHATS tyto kroky spojuje, protože u produktu na upozornění jde ve skutečnosti o stejnou otázku položenou dvakrát.
Aby WALLAWHATS mohl doručit zprávu na WhatsApp číslo, potřebuje vědět dvě věci: že je číslo skutečné a dostupné a že osoba, která se přihlašuje, ho opravdu ovládá. 6místný kód odeslaný na přesně toto číslo a správně opsaný zpátky odpovídá na obě otázky najednou. Neexistuje scénář, kdy jste „přihlášeni“, ale váš cíl na WhatsAppu zůstává neověřený, protože přihlášení bylo tím ověřením.
Stejná logika platí pro e-mail. Přihlásíte se e-mailovou adresou, dostanete tam kód, opíšete ho zpátky — jste přihlášeni a daná schránka je potvrzeným cílem pro e-mailová upozornění (která na každém plánu obsahují vedle textu i vykreslený snímek daného tweetu).
Proč je to bezpečnější, než to na první pohled vypadá
Autentizace bez hesla zní, jako by měla být méně bezpečná — žádné heslo, žádný trezor. V praxi ale uzavírá několik nejčastějších způsobů, jak dochází ke kompromitaci reálných účtů:
- Žádný credential stuffing. Neexistuje žádné znovupoužité heslo z uniklé databáze, které by útočník mohl zkusit proti vašemu přihlášení do WALLAWHATS, protože žádné heslo ke krádeži vůbec neexistuje.
- Žádná útočná plocha přes reset hesla. Velká část zneužití účtů se děje přes postup „zapomenuté heslo“ — útočník, který ovládá vaši schránku, si nechá resetovat heslo všude jinde. Odstraněním hesel tento postup mizí úplně.
- Založeno na držení, ne na paměti. Kód dokazuje, že máte přístup k telefonu nebo schránce právě teď, ne že jste si před měsíci zapamatovali (nebo zapsali, nebo znovu použili) nějaké tajemství.
- Krátká životnost a jedno použití. Kódy rychle vyprší a po jednom úspěšném použití jsou zneplatněny, na rozdíl od hesla, které zůstává platné, dokud ho ručně nezměníte.
Daní za to je, že se doručení přes WhatsApp nebo e-mail stává součástí kritické cesty přihlášení — pokud ztratíte přístup k oběma, obnova účtu se řídí stejným modelem ověřeného cíle, a ne záložními „bezpečnostními otázkami“, které byly u systémů založených na heslech historicky nejslabším článkem.
Jak si to stojí oproti tradičnímu heslu se samostatným ověřením OTP
Klasický postup vypadá takto: zvolíte si heslo, potvrdíte e-mail přes samostatný odkaz a později jdete do nastavení ověřit telefonní číslo pro SMS nebo push notifikace. To jsou tři oddělené doklady a tři oddělená místa, kde může něco zastarat — neověřené telefonní číslo, které v účtu leží týdny, heslo totožné s tím, které používáte na čtyřech dalších službách, potvrzovací odkaz na e-mail, který vypršel dřív, než ho kdokoli stihl kliknout.
WALLAWHATS to redukuje na jeden doklad na cíl. Přidáte číslo WhatsAppu a kód, který dostanete k jeho ověření, je zároveň kódem, kterým se od té chvíle na daném zařízení přihlašujete. Nezůstává tu žádný neověřený stav, protože účet a cíl se stanou „ověřenými“ zároveň.
Znamená to také, že přepnutí nebo přidání cíle je vlastně jen… přihlášení s novým. Chcete přidat druhé ověřené číslo v plánu Business nebo Enterprise? Zadáte ho, dostanete kód, potvrdíte. Žádný samostatný formulář „přidat telefonní číslo“ schovaný tři menu hluboko.
Nastavení: co skutečně uvidíte
Na wallawhats.com/signup po vás chtějí jen jednu věc: e-mailovou adresu nebo číslo WhatsAppu. To je celý formulář.
- Zadáte číslo WhatsAppu a kód dorazí jako zpráva na WhatsAppu během vteřin — stejným kanálem, kterým vám později budou chodit upozornění z X-u.
- Zadáte e-mail a kód přistane ve schránce — hodí se, pokud se chcete přihlásit ze sdíleného nebo pracovního zařízení, aniž byste sahali na svůj osobní WhatsApp, nebo pokud si e-mail nastavujete jako kanál pro upozornění.
Tak či onak dostanete obrazovku s výzvou k zadání 6místného kódu, opíšete ho a jste na dashboardu. Odtud si kdykoli na stránce Channels můžete přidat druhý kanál (třeba číslo WhatsAppu poté, co jste se zaregistrovali e-mailem, nebo naopak) — každý nový cíl projde stejným ověřením jednorázovým kódem, než může začít přijímat upozornění. Pokud si nejste jistí, jaký typ čísla WhatsAppu k tomu použít, náš průvodce Business vs. osobní číslo rozebírá jednotlivé kompromisy.
V nastavení účtu neexistuje stav, kdy by telefonní číslo bylo „přidané, ale neověřené“. Každý cíl buď prošel svým vlastním ověřením kódem, nebo k vašemu účtu není připojen vůbec.
Poznámka k tomu, čím tohle není
Pro přesnost, pokud jde o bezpečnostní model: jde o autentizaci jednorázovým kódem přes kanály, kterým už důvěřujete (WhatsApp, e-mail), ne o vícefaktorovou autentizaci v tradičním smyslu „heslo plus druhý faktor“. Je v tom podstatný rozdíl. Tradiční MFA přidává druhý nezávislý doklad navrch hesla. Model WALLAWHATS nahrazuje heslo držením komunikačního kanálu — což je jiný poměr rizika, ne v každém ohledu striktně silnější. Pro notifikační službu je to ale správný kompromis, protože celý smysl produktu je v tom, že už tak potřebujete ověřený cíl, abyste ho vůbec mohli používat; znovupoužití tohoto ověřovacího kroku pro přihlášení odstraňuje tření, aniž by mizela nějaká smysluplná bezpečnostní vrstva — protože žádná vrstva založená na heslu tu od začátku nebyla.
Pokud si vybíráte mezi kanály pro přihlášení i upozornění, náš srovnání e-mailu a WhatsAppu rozebírá kompromisy v rychlosti doručení a míře přečtení, které platí i pro přihlašovací kódy — kód na WhatsAppu si všimnete během vteřin, e-mailový kód soupeří o pozornost s celou vaší schránkou.
Proč na tom u produktu na upozornění obzvlášť záleží
U produktu, jehož jedinou náplní práce je „spolehlivě doručit zprávu na cíl, který jste si zvolili“, se identita a cíl nesmí od sebe odchýlit. Kdyby přihlášení a ověření kanálu byly oddělené systémy, mohli byste skončit přihlášení do účtu, jehož číslo WhatsAppu bylo přidáno před lety, mezitím ho operátor třeba přiřadil někomu jinému a nikdy nebylo znovu potvrzeno. Vázání přihlášení na čerstvý kód odeslaný přímo na cíl znamená, že toto riziko z konstrukce vůbec neexistuje — nemůžete být přihlášeni přes kanál, který teď není dostupný, protože právě dostupnost je to, co vás přihlásila.
Znamená to také, že obnova účtu ve většině běžných případů nevyžaduje tiket na podporu. Ztratili jste telefon? Přihlaste se místo toho e-mailem — stejný postup, stejný jednorázový kód, a váš cíl na WhatsAppu (jakmile ho znovu ověříte na novém zařízení) pokračuje přesně tam, kde skončil.
Co se stane, když kód nedorazí
Každý systém, který doručení předává síti třetí strany — operátorovi, vlastní infrastruktuře WhatsAppu, poskytovateli e-mailu — musí počítat s tím, že se kód neobjeví okamžitě. Pár praktických poznámek k tomu, jak se to řeší:
- Krátká životnost je záměr. Kód platný hodiny je větší cíl než kód platný pár minut. Pokud vám vyprší dřív, než ho stihnete zadat, vyžádání nového okamžitě zneplatní ten starý.
- Poslat znovu, ne přepisovat. Pokud se zpráva na WhatsAppu zpozdí o pár vteřin (běžné ve špičce) nebo e-mail skončí ve spamu, přihlašovací obrazovka nabízí možnost poslat kód znovu, místo aby vás nechala donekonečna čekat na první pokus.
- Rate limiting chrání obě strany. Opakované požadavky o kód na stejný cíl jsou omezovány. Nejde jen o opatření proti zneužití pro WALLAWHATS — zároveň to brání tomu, aby jeden účet nechtěně zahltil doručovací systémy WhatsAppu nebo poskytovatele e-mailu, pokud se něco výše v řetězci agresivně opakuje.
- Přepněte kanál, pokud jeden není dostupný. Pokud váš telefon nemá signál, ale sedíte u notebooku, přihlaste se místo toho e-mailem — je to úplně nezávislá cesta ke stejnému účtu, ne záloha, která by závisela na tom, že pokus přes WhatsApp nejdřív selže.
Nic z tohoto není specifické jen pro WALLAWHATS — je to stejná provozní realita, se kterou musí počítat každý systém založený na OTP. Rozdíl je v tom, že protože kód zároveň slouží jako ověření kanálu, úspěšné přihlášení vám řekne, že váš cíl pro upozornění je právě teď aktivní — což heslo nikdy dokázat nemohlo.
Často kladené otázky
Můžu se přihlašovat přes WhatsApp i e-mail zároveň? Ano. Každý z nich se ověří samostatně při prvním použití a potom vás oba dostanou do stejného účtu.
Zneplatní nový kód můj kanál na WhatsAppu, pokud přihlášení nedokončím? Ne. Nedokončený nebo vypršelý pokus o přihlášení nemá vliv na už ověřený kanál — hraje roli jen při prvním ověřování nového cíle.
Co když si později budu chtít změnit telefonní číslo? Přidejte nové číslo jako kanál na stránce Channels — projde vlastním jednorázovým kódem, než začne přijímat upozornění. Vaše staré číslo zůstává nedotčené, dokud ho neodstraníte.
Je to totéž co dvoufaktorová autentizace přes SMS? Ne tak docela. Tradiční SMS 2FA je druhý faktor navrch hesla. Tady je kód celým autentizačním mechanismem — pod ním žádné heslo není, ke kterému by se druhý faktor přidával.
Jak začít
Přihlášení bez hesla není samostatná funkce, kterou byste museli nastavovat — je to prostě způsob, jakým se do WALLAWHATS přihlašujete, na každém plánu od Free výš. Pokud jste si upozornění ještě nenastavili, náš úvodní návod provede celou cestou od prvního přihlášení až po vaše první upozornění na WhatsAppu.
Už nikdy nepřijdete o důležitý příspěvek. Vytvořte si účet zdarma — 1 číslo WhatsAppu, upozornění v reálném čase, bez nutnosti platební karty.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

O autorovi
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



