Sådan fungerer login uden adgangskode — én kode dækker både login og WhatsApp-verifikation

WALLAWHATS bruger én 6-cifret kode til både login og WhatsApp-verifikation. Her er forløbet, hvorfor det er sikkert, og hvordan det sammenlignes med adgangskodebaseret login.

Nacho Collaf Opdateret: 10 min læsning
WALLAWHATS bruger én 6-cifret kode til både login og WhatsApp-verifikation. Her er forløbet, hvorfor det er sikkert, og hvordan det sammenlignes med adgangskodebaseret login.

Hver eneste adgangskode, du nogensinde har oprettet, er en lille risiko, der ligger i en database et sted — din egen eller en andens. Genbrugte adgangskoder, svage adgangskoder, phishede adgangskoder: de fleste kontoovertagelser starter stadig med et stjålet credential, ikke en zero-day. WALLAWHATS springer hele kategorien over ved slet ikke at have adgangskoder i første omgang. Login og WhatsApp-verifikation håndteres af samme mekanisme: én enkelt 6-cifret kode sendt til en destination, du selv kontrollerer.

Det er ikke bare en genvej i brugeroplevelsen. Det betyder, at i det øjeblik du opretter en konto, har du samtidig bevist, at du ejer det telefonnummer eller den indbakke, som alerts om X (Twitter)-opslag lander i få sekunder senere.

Sign-in screen with email entry for the passwordless OTP flow

Hvad “adgangskodefri” egentlig betyder her

Adgangskodefri autentificering er ikke en ny idé — banker har brugt SMS-koder i årevis, og de fleste password managers skubber dig nu mod magic links. Det, der er anderledes ved WALLAWHATS’ implementering, er, at den samme engangskode, der lukker dig ind på din konto, også verificerer den destination, der skal modtage dine alerts. Der er ikke et separat “bekræft dit telefonnummer”-trin gemt i indstillingerne efter tilmelding. Ejerskab og leveringsklarhed etableres i én og samme bevægelse.

Konkret:

  1. Du indtaster en e-mailadresse eller et WhatsApp-nummer på login-skærmen.
  2. WALLAWHATS genererer en 6-cifret talkode og sender den til den destination.
  3. Du taster koden ind i appen igen inden for et kort udløbsvindue.
  4. Ved succes er du logget ind — og hvis destinationen var et telefonnummer, er det nu en verificeret kanal, klar til at modtage alerts.

Ingen adgangskode at vælge, huske, rotere eller lække. Ingen “glemt adgangskode”-flow, fordi der aldrig var en adgangskode at glemme.

Mekanikken: Cognito Custom Auth, ikke et påklistret OTP-bibliotek

Under motorhjelmen kører dette på AWS Cognitos Custom Authentication-flow — ikke et tredjeparts OTP-tilføjelse lagt oven på en traditionel brugernavn/adgangskode-pool. Tre Lambda-triggers samarbejder om at få det til at fungere:

  • PreSignUp bekræfter automatisk nye brugere første gang, de forsøger at logge ind med en destination, der ikke er set før. Der er ingen separat “opret konto”-formular; at logge ind med en ny e-mail eller et nyt nummer er kontooprettelse.
  • CreateAuthChallenge genererer den 6-cifrede kode, gemmer den server-side med en kort TTL og sender den til destinationen — via WhatsApp hvis du indtastede et telefonnummer, ellers via e-mail.
  • VerifyAuthChallengeResponse tjekker koden, du indtastede, op mod den, der blev udstedt, afviser udløbne eller forkerte forsøg og rate-limiter gentagne forsøg.

Fordi det hele kører inde i Cognitos administrerede auth-tilstandsmaskine, gælder de sædvanlige garantier: tokens er kortlivede, refresh-flows håndteres af den samme infrastruktur, der sikrer resten af platformen, og der er ingen hjemmelavet session-token-kode at revidere for de sædvanlige fejl (forudsigelige ID’er, utilstrækkelig entropi, manglende udløbstjek), som plager hjemmelavede “bare send dem en e-mail med en kode”-implementeringer.

Hvorfor samme kode dækker to opgaver

De fleste tjenester behandler “bevis hvem du er” og “bevis at du kan modtage beskeder her” som to separate trin — opret dig med en adgangskode, og bekræft derefter separat dit telefonnummer til notifikationer. WALLAWHATS smelter dem sammen, fordi de for et alerts-produkt er det samme spørgsmål stillet to gange.

Hvis WALLAWHATS skal levere en WhatsApp-besked til et nummer, skal det vide to ting: at nummeret er ægte og kan nås, og at personen, der logger ind, rent faktisk kontrollerer det. En 6-cifret kode sendt til netop det nummer og tastet korrekt tilbage besvarer begge dele på én gang. Der findes ikke et scenarie, hvor du er “logget ind”, men din WhatsApp-destination er uverificeret, fordi login var verifikationen.

Den samme logik gælder e-mail. Log ind med en e-mailadresse, modtag en kode der, tast den tilbage — nu er du logget ind, og den indbakke er en bekræftet destination for e-mail-alerts (som på alle planer inkluderer et renderet snapshot af hvert tweet ved siden af teksten).

Hvorfor dette er mere sikkert, end det føles

Adgangskodefri login lyder som om, det burde være mindre sikkert — ingen adgangskode, ingen boks. I praksis lukker det for flere af de mest almindelige måder, rigtige konti bliver kompromitteret på:

  • Ingen credential stuffing. Der er ingen genbrugt adgangskode fra en lækket side, som en angriber kan prøve mod dit WALLAWHATS-login, fordi der ikke er nogen adgangskode at stjæle i første omgang.
  • Ingen angrebsflade via nulstilling af adgangskode. En stor andel af kontoovertagelser sker gennem “glemt adgangskode”-flowet — en angriber, der kontrollerer din indbakke, nulstiller din adgangskode overalt. Fjerner du adgangskoder, fjerner du hele det flow.
  • Baseret på besiddelse, ikke hukommelse. Koden beviser, at du har adgang til telefonen eller indbakken lige nu, ikke at du huskede (eller skrev ned, eller genbrugte) en hemmelighed for måneder siden.
  • Kortlivet og engangsbrug. Koder udløber hurtigt og bliver ugyldige efter én vellykket brug, i modsætning til en adgangskode, der forbliver gyldig, indtil du manuelt ændrer den.

Kompromiset er, at WhatsApp- eller e-mail-levering bliver en del af din kritiske login-vej — hvis du mister adgang til begge, følger kontogendannelse den samme verificerede-destination-model i stedet for et “sikkerhedsspørgsmål”-fallback, som historisk har været det svageste led i adgangskodebaserede systemer.

Hvordan dette sammenlignes med traditionel adgangskode + separat OTP-verifikation

Et konventionelt flow ser sådan ud: vælg en adgangskode, bekræft din e-mail via et separat link, og gå så senere ind i indstillinger og verificer et telefonnummer til SMS- eller push-notifikationer. Det er tre separate bevispunkter, tre separate steder hvor noget kan blive forældet — et uverificeret telefonnummer, der ligger på kontoen i ugevis, en adgangskode, der er identisk med den, der bruges på fire andre tjenester, et e-mail-bekræftelseslink, der udløb, før nogen nåede at klikke på det.

WALLAWHATS reducerer det til ét bevispunkt pr. destination. Tilføj et WhatsApp-nummer, og koden, du modtager for at verificere det, er den samme kode, der logger dig ind på den enhed fremover. Der er ingen uverificeret tilstand at lade hænge, fordi kontoen og destinationen bliver “verificeret” sammen.

Det betyder også, at det at skifte eller tilføje en destination bare er… at logge ind med en ny. Vil du tilføje et andet verificeret nummer under en Business- eller Enterprise-plan? Indtast det, modtag koden, bekræft den. Ingen separat “tilføj telefonnummer”-formular gemt tre menuer nede.

Sådan sætter du det op: hvad du rent faktisk ser

wallawhats.com/signup bliver du bedt om én ting: en e-mailadresse eller et WhatsApp-nummer. Det er hele formularen.

  • Indtast et WhatsApp-nummer, og koden ankommer som en WhatsApp-besked inden for få sekunder — den samme kanal, der senere skal bære dine X-alerts.
  • Indtast en e-mail, og koden lander i din indbakke — nyttigt hvis du vil logge ind fra en delt enhed eller en arbejdsenhed uden at røre din personlige WhatsApp, eller hvis du sætter e-mail op som din alert-kanal.

Uanset hvad får du en skærm, der beder om den 6-cifrede kode, du taster den ind, og du er på dashboardet. Derfra kan du til enhver tid tilføje en anden kanal (fx et WhatsApp-nummer efter at have tilmeldt dig med e-mail, eller omvendt) fra Channels-siden — hver ny destination gennemgår den samme engangskode-verifikation, før den kan modtage alerts. Er du i tvivl om, hvilken type WhatsApp-nummer du skal bruge til dette, gennemgår vores guide til Business vs. Personal-nummer fordele og ulemper.

Der findes ingen kontoindstilling, hvor et telefonnummer ligger “tilføjet men uverificeret.” Hver destination har enten gennemført sin egen kode-udfordring, eller også er den ikke tilknyttet din konto.

En bemærkning om, hvad dette ikke er

For at være præcis om sikkerhedsmodellen: dette er engangskode-autentificering over kanaler, du allerede stoler på (WhatsApp, e-mail) — ikke multifaktorautentificering i den traditionelle forstand af “adgangskode plus en anden faktor.” Der er en meningsfuld forskel. Traditionel MFA tilføjer et andet uafhængigt bevis oven på en adgangskode. WALLAWHATS’ model erstatter adgangskoden med besiddelse af en kommunikationskanal — hvilket er et andet risikokompromis, ikke strengt taget et stærkere i enhver henseende. Det er det rigtige kompromis for en notifikationstjeneste, hvor hele pointen er, at du allerede har brug for en verificeret destination for overhovedet at bruge produktet; at genbruge det verifikationstrin til login fjerner friktion uden at fjerne et meningsfuldt sikkerhedslag, eftersom der ikke var noget adgangskode-baseret lag at begynde med.

Er du i tvivl om, hvilken kanal du skal vælge til både login og alerts, dækker vores sammenligning af e-mail vs. WhatsApp leveringshastighed og læserate-kompromiser, som også gælder for login-koder — en WhatsApp-kode bemærker du inden for sekunder; en e-mail-kode konkurrerer med resten af din indbakke.

Hvorfor dette betyder noget specifikt for et alerts-produkt

For et produkt, hvis eneste job er “levér pålideligt en besked til en destination, du har valgt,” kan identitet og destination ikke drive fra hinanden. Hvis login og kanalverifikation var separate systemer, kunne du ende med at være logget ind på en konto, hvis WhatsApp-nummer blev tilføjet for år tilbage, muligvis siden genildelagt til en anden af udbyderen, og aldrig genbekræftet. At binde login til en frisk kode sendt til selve destinationen betyder, at den risiko ikke eksisterer af design — du kan ikke være logget ind via en kanal, der ikke aktuelt kan nås, fordi det netop var det, der loggede dig ind.

Det betyder også, at kontogendannelse i de fleste tilfælde ikke kræver en supportsag. Mistet din telefon? Log ind med din e-mail i stedet — samme flow, samme engangskode, og din WhatsApp-destination (når du genverificerer den på en ny enhed) fortsætter nøjagtigt, hvor den slap.

Hvad der sker, når en kode ikke ankommer

Ethvert system, der overlader levering til et tredjepartsnetværk — en udbyder, WhatsApps egen infrastruktur, en e-mailudbyder — skal tage højde for, at koden ikke dukker op med det samme. Et par praktiske noter om, hvordan dette håndteres:

  • Udløb er kort, og det er med vilje. En kode, der er gyldig i timevis, er et større mål end en, der er gyldig i minutter. Udløber din, før du når at indtaste den, gør en ny anmodning den gamle kode ugyldig med det samme.
  • Send igen, undlad at gætte. Hvis en WhatsApp-besked er forsinket et par sekunder (normalt i spidsbelastningstider) eller en e-mail lander i en spammappe, tilbyder login-skærmen en “send igen”-handling i stedet for at bede dig vente uendeligt på det første forsøg.
  • Rate limiting beskytter begge sider. Gentagne kodeanmodninger til samme destination bliver drosset. Det er ikke kun en anti-misbrugsforanstaltning for WALLAWHATS — det forhindrer også, at en enkelt konto ved et uheld overbelaster WhatsApps eller en e-mailudbyders leveringssystemer, hvis noget længere oppe bliver gentaget aggressivt.
  • Skift kanal, hvis en er utilgængelig. Har din telefon intet signal, men du sidder ved din laptop, så log ind med e-mail i stedet — det er en helt uafhængig vej til samme konto, ikke en fallback, der afhænger af, at WhatsApp-forsøget fejler først.

Intet af dette er unikt for WALLAWHATS; det er den samme driftsmæssige virkelighed, ethvert OTP-baseret system må designe omkring. Forskellen er, at fordi koden også er din kanalverifikation, fortæller et vellykket login dig, at din alert-destination aktuelt er live — hvilket en adgangskode aldrig kunne.

Ofte stillede spørgsmål

Kan jeg bruge både WhatsApp og e-mail til at logge ind? Ja. Hver kanal verificeres uafhængigt første gang, du bruger den, og begge giver dig derefter adgang til samme konto.

Gør en ny kode min WhatsApp-kanal ugyldig, hvis jeg ikke fuldfører login? Nej. Et uafsluttet eller udløbet login-forsøg påvirker ikke en allerede verificeret kanal — det har kun betydning ved verifikation af en ny destination for første gang.

Hvad hvis jeg vil skifte mit telefonnummer senere? Tilføj det nye nummer som en kanal fra Channels-siden; det gennemgår sin egen engangskode, før det kan modtage alerts. Dit gamle nummer forbliver intakt, indtil du fjerner det.

Er dette det samme som SMS-baseret to-faktor-autentificering? Ikke helt. Traditionel SMS-2FA er en anden faktor lagt oven på en adgangskode. Her er koden hele autentificeringsmekanismen — der er ingen adgangskode nedenunder at tilføje en anden faktor til.

Kom i gang

Adgangskodefri login er ikke en separat funktion, du skal konfigurere — det er ganske enkelt sådan, det er at logge ind på WALLAWHATS, på hver eneste plan fra Free og opefter. Har du ikke sat alerts op endnu, dækker gennemgangen i vores kom-godt-i-gang-guide hele vejen fra første login til din første WhatsApp-alert.

Gå aldrig glip af et vigtigt opslag igen. Opret en gratis konto — 1 WhatsApp-nummer, alerts i realtid, intet kreditkort krævet.

Nacho Coll

Om forfatteren

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Tilbage til Bloggen

Relaterede artikler

Se alle artikler »