Wie passwortloses Anmelden funktioniert — ein Code für Login und WhatsApp-Verifizierung
WALLAWHATS nutzt einen einzigen 6-stelligen Code sowohl für die Anmeldung als auch für die WhatsApp-Verifizierung. Hier erfährst du den Ablauf, warum das sicher ist und wie es sich mit klassischer Passwort-Authentifizierung vergleicht.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Jedes Passwort, das du je erstellt hast, ist ein kleines Risiko, das irgendwo in einer Datenbank liegt — deiner eigenen oder der von jemand anderem. Wiederverwendete Passwörter, schwache Passwörter, gephishte Passwörter: Die meisten Account-Übernahmen beginnen immer noch mit gestohlenen Zugangsdaten, nicht mit einem Zero-Day-Exploit. WALLAWHATS umgeht die ganze Kategorie, indem es von vornherein keine Passwörter gibt. Anmeldung und WhatsApp-Verifizierung laufen über denselben Mechanismus: einen einzigen 6-stelligen Code, der an ein Ziel gesendet wird, das du kontrollierst.
Das ist nicht nur eine Abkürzung für die UX. Es bedeutet, dass du in dem Moment, in dem du ein Konto erstellst, auch bewiesen hast, dass dir die Telefonnummer oder das Postfach gehört, in dem Sekunden später die Alerts zu X-(Twitter-)Beiträgen landen.

Was „passwortlos” hier wirklich bedeutet
Passwortlose Authentifizierung ist keine neue Idee — Banken nutzen SMS-Codes schon seit Jahren, und die meisten Passwort-Manager schubsen dich mittlerweile in Richtung Magic Links. Der Unterschied bei WALLAWHATS: Derselbe Einmalcode, der dich in dein Konto lässt, verifiziert gleichzeitig das Ziel, an das später deine Alerts geschickt werden. Es gibt keinen separaten „Bestätige deine Telefonnummer”-Schritt, der irgendwo in den Einstellungen nach der Anmeldung versteckt ist. Eigentümerschaft und Zustellbereitschaft werden in einem einzigen Schritt hergestellt.
Konkret:
- Du gibst auf dem Anmeldebildschirm eine E-Mail-Adresse oder eine WhatsApp-Nummer ein.
- WALLAWHATS generiert einen 6-stelligen numerischen Code und sendet ihn an dieses Ziel.
- Du gibst den Code innerhalb eines kurzen Gültigkeitsfensters wieder in die App ein.
- Bei Erfolg bist du angemeldet — und falls es sich um eine Telefonnummer handelte, ist sie jetzt ein verifizierter Kanal, bereit, Alerts zu empfangen.
Kein Passwort, das du wählen, dir merken, rotieren oder das geleakt werden könnte. Kein „Passwort vergessen”-Ablauf, weil es nie ein Passwort gab, das man vergessen könnte.
Die Mechanik: Cognito Custom Auth statt aufgesetzter OTP-Bibliothek
Unter der Haube läuft das über den Custom-Authentication-Flow von AWS Cognito — nicht über ein Drittanbieter-OTP-Add-on, das auf einen klassischen Benutzername/Passwort-Pool aufgesetzt wurde. Drei Lambda-Trigger arbeiten zusammen, damit das funktioniert:
- PreSignUp bestätigt neue Nutzer automatisch, sobald sie sich zum ersten Mal mit einem bisher unbekannten Ziel anzumelden versuchen. Es gibt kein separates „Konto erstellen”-Formular; die Anmeldung mit einer neuen E-Mail-Adresse oder Nummer ist die Kontoerstellung.
- CreateAuthChallenge generiert den 6-stelligen Code, speichert ihn serverseitig mit einer kurzen TTL und sendet ihn an das Ziel — per WhatsApp, wenn du eine Telefonnummer eingegeben hast, sonst per E-Mail.
- VerifyAuthChallengeResponse vergleicht den von dir eingegebenen Code mit dem ausgestellten Code, weist abgelaufene oder nicht übereinstimmende Versuche zurück und begrenzt die Rate wiederholter Versuche.
Weil das alles innerhalb der von Cognito verwalteten Auth-State-Machine läuft, gelten die üblichen Garantien: Tokens sind kurzlebig, Refresh-Abläufe laufen über dieselbe Infrastruktur, die auch den Rest der Plattform absichert, und es gibt keinen eigenen Session-Token-Code, den man auf die typischen Bugs (vorhersehbare IDs, unzureichende Entropie, fehlende Ablaufprüfungen) prüfen müsste, die selbstgebaute „Schick ihnen einfach einen Code per E-Mail”-Implementierungen plagen.
Warum derselbe Code zwei Aufgaben abdeckt
Die meisten Dienste behandeln „beweise, wer du bist” und „beweise, dass du hier Nachrichten empfangen kannst” als zwei getrennte Schritte — registriere dich mit einem Passwort und verifiziere anschließend separat deine Telefonnummer für Benachrichtigungen. WALLAWHATS führt beides zusammen, weil es bei einem Alerts-Produkt zweimal dieselbe Frage ist.
Wenn WALLAWHATS eine WhatsApp-Nachricht an eine Nummer zustellen soll, muss es zwei Dinge wissen: dass die Nummer echt und erreichbar ist, und dass die Person, die sich anmeldet, sie auch tatsächlich kontrolliert. Ein 6-stelliger Code, der genau an diese Nummer gesendet und korrekt zurück eingegeben wird, beantwortet beides auf einmal. Es gibt kein Szenario, in dem du „angemeldet” bist, dein WhatsApp-Ziel aber unverifiziert bleibt, weil die Anmeldung die Verifizierung war.
Dieselbe Logik gilt für E-Mail. Melde dich mit einer E-Mail-Adresse an, erhalte dort einen Code, gib ihn zurück ein — du bist jetzt angemeldet, und dieses Postfach ist ein bestätigtes Ziel für E-Mail-Alerts (die auf jedem Plan neben dem Text auch einen gerenderten Screenshot des jeweiligen Tweets enthalten).
Warum das sicherer ist, als es sich anfühlt
Passwortlose Authentifizierung klingt danach, als müsste sie weniger sicher sein — kein Passwort, kein Tresor. In der Praxis schließt sie mehrere der häufigsten Wege aus, über die echte Konten kompromittiert werden:
- Kein Credential Stuffing. Es gibt kein wiederverwendetes Passwort aus einem gehackten Dienst, das ein Angreifer gegen deinen WALLAWHATS-Login ausprobieren könnte, weil es von vornherein kein Passwort gibt, das gestohlen werden könnte.
- Keine Angriffsfläche über Passwort-Reset. Ein Großteil der Account-Übernahmen passiert über den „Passwort vergessen”-Ablauf — ein Angreifer, der dein Postfach kontrolliert, setzt dein Passwort überall zurück. Ohne Passwörter entfällt dieser Ablauf komplett.
- Besitzbasiert, nicht gedächtnisbasiert. Der Code beweist, dass du gerade jetzt Zugriff auf das Telefon oder Postfach hast — nicht, dass du dir vor Monaten ein Geheimnis gemerkt (oder aufgeschrieben, oder wiederverwendet) hast.
- Kurzlebig und nur einmal verwendbar. Codes laufen schnell ab und werden nach einer erfolgreichen Verwendung ungültig — anders als ein Passwort, das gültig bleibt, bis du es manuell änderst.
Der Kompromiss dabei: WhatsApp- oder E-Mail-Zustellung wird Teil deines kritischen Login-Pfads — wenn du den Zugriff auf beides verlierst, folgt die Kontowiederherstellung demselben Modell verifizierter Ziele, statt auf einen „Sicherheitsfragen”-Fallback zurückzugreifen, der historisch das schwächste Glied passwortbasierter Systeme war.
Der Vergleich mit klassischem Passwort + separater OTP-Verifizierung
Ein klassischer Ablauf sieht so aus: ein Passwort wählen, die E-Mail über einen separaten Link bestätigen und später in den Einstellungen eine Telefonnummer für SMS- oder Push-Benachrichtigungen verifizieren. Das sind drei getrennte Nachweise, drei getrennte Stellen, an denen etwas veralten kann — eine unverifizierte Telefonnummer, die wochenlang im Konto herumliegt, ein Passwort, das identisch mit dem auf vier anderen Diensten verwendeten ist, ein E-Mail-Bestätigungslink, der abgelaufen ist, bevor ihn jemand angeklickt hat.
WALLAWHATS reduziert das auf einen Nachweis pro Ziel. Fügst du eine WhatsApp-Nummer hinzu, ist der Code, den du zur Verifizierung erhältst, derselbe Code, der dich künftig auf diesem Gerät anmeldet. Es gibt keinen unverifizierten Zustand, der offen herumhängt, weil Konto und Ziel gemeinsam „verifiziert” erreichen.
Das bedeutet auch: Ein Ziel zu wechseln oder hinzuzufügen ist einfach nur … sich mit einem neuen anzumelden. Möchtest du unter einem Business- oder Enterprise-Plan eine zweite verifizierte Nummer hinzufügen? Gib sie ein, erhalte den Code, bestätige ihn. Kein separates „Telefonnummer hinzufügen”-Formular, das drei Menüs tief versteckt ist.
Die Einrichtung: was dich wirklich erwartet
Auf wallawhats.com/signup wirst du nur nach einer Sache gefragt: einer E-Mail-Adresse oder einer WhatsApp-Nummer. Das ist das ganze Formular.
- Gib eine WhatsApp-Nummer ein, und der Code kommt innerhalb von Sekunden als WhatsApp-Nachricht an — derselbe Kanal, über den später auch deine X-Alerts laufen.
- Gib eine E-Mail-Adresse ein, und der Code landet in deinem Postfach — praktisch, wenn du dich von einem geteilten oder Arbeitsgerät anmelden willst, ohne dein privates WhatsApp anzufassen, oder wenn du E-Mail als deinen Alert-Kanal einrichtest.
So oder so bekommst du einen Bildschirm, der nach dem 6-stelligen Code fragt, gibst ihn ein und landest im Dashboard. Von dort kannst du jederzeit über die Channels-Seite einen zweiten Kanal hinzufügen (etwa eine WhatsApp-Nummer, nachdem du dich mit E-Mail registriert hast, oder umgekehrt) — jedes neue Ziel durchläuft dieselbe Einmalcode-Verifizierung, bevor es Alerts empfangen kann. Falls du unsicher bist, welche Art von WhatsApp-Nummer du dafür verwenden solltest, erklärt unser Guide zu Business- vs. Personal-Nummern die Vor- und Nachteile.
Es gibt keine Kontoeinstellung, in der eine Telefonnummer als „hinzugefügt, aber unverifiziert” herumliegt. Jedes Ziel hat entweder seine eigene Code-Challenge abgeschlossen, oder es ist gar nicht erst mit deinem Konto verknüpft.
Eine Anmerkung dazu, was das nicht ist
Um beim Sicherheitsmodell präzise zu bleiben: Das ist Einmalcode-Authentifizierung über Kanäle, denen du ohnehin schon vertraust (WhatsApp, E-Mail) — nicht Multi-Faktor-Authentifizierung im klassischen Sinn von „Passwort plus zweiter Faktor”. Da liegt ein bedeutsamer Unterschied. Klassisches MFA fügt einem Passwort einen zweiten, unabhängigen Nachweis hinzu. Das Modell von WALLAWHATS ersetzt das Passwort durch den Besitz eines Kommunikationskanals — das ist ein anderer Risiko-Kompromiss, nicht in jeder Dimension strikt stärker. Für einen Benachrichtigungsdienst ist das der richtige Kompromiss, denn der ganze Sinn ist ja, dass du ohnehin ein verifiziertes Ziel brauchst, um das Produkt überhaupt zu nutzen; diesen Verifizierungsschritt für den Login wiederzuverwenden, reduziert Reibung, ohne eine bedeutsame Sicherheitsebene zu entfernen — denn eine passwortbasierte Ebene gab es von Anfang an nicht.
Wenn du zwischen Kanälen für Login und Alerts abwägst, behandelt unser Vergleich E-Mail vs. WhatsApp Unterschiede bei Zustellgeschwindigkeit und Leserate, die genauso für Anmeldecodes gelten — einen WhatsApp-Code bemerkst du innerhalb von Sekunden; ein E-Mail-Code konkurriert mit deinem restlichen Postfach.
Warum das speziell für ein Alerts-Produkt wichtig ist
Bei einem Produkt, dessen gesamte Aufgabe darin besteht, „eine Nachricht zuverlässig an ein von dir gewähltes Ziel zuzustellen”, dürfen Identität und Ziel nicht auseinanderdriften. Wären Anmeldung und Kanalverifizierung getrennte Systeme, könntest du am Ende in einem Konto angemeldet sein, dessen WhatsApp-Nummer vor Jahren hinzugefügt wurde, seitdem vom Mobilfunkanbieter womöglich jemand anderem zugewiesen und nie erneut bestätigt worden ist. Den Login an einen frischen Code zu koppeln, der direkt an das Ziel gesendet wird, bedeutet, dass dieses Risiko schon konstruktionsbedingt nicht existiert — du kannst nicht über einen Kanal angemeldet sein, der gerade nicht erreichbar ist, weil Erreichbarkeit genau das ist, was dich angemeldet hat.
Das bedeutet auch, dass die Kontowiederherstellung im Regelfall kein Support-Ticket braucht. Handy verloren? Melde dich stattdessen mit deiner E-Mail an — derselbe Ablauf, derselbe Einmalcode, und dein WhatsApp-Ziel (sobald du es auf einem neuen Gerät erneut verifizierst) macht genau da weiter, wo es aufgehört hat.
Was passiert, wenn ein Code nicht ankommt
Jedes System, das die Zustellung an ein Drittanbieter-Netzwerk delegiert — einen Mobilfunkanbieter, WhatsApps eigene Infrastruktur, einen E-Mail-Provider — muss damit rechnen, dass der Code nicht sofort ankommt. Ein paar praktische Hinweise, wie damit umgegangen wird:
- Die Gültigkeit ist kurz, und das mit Absicht. Ein Code, der Stunden gültig ist, ist ein größeres Ziel als einer, der nur Minuten gültig ist. Läuft deiner ab, bevor du ihn eingibst, macht die Anforderung eines neuen Codes den alten sofort ungültig.
- Erneut senden statt neu eintippen. Wenn eine WhatsApp-Nachricht um ein paar Sekunden verzögert ist (normal zu Stoßzeiten) oder eine E-Mail im Spam-Ordner landet, bietet der Anmeldebildschirm eine Erneut-senden-Option, statt dich unbegrenzt auf den ersten Versuch warten zu lassen.
- Rate Limiting schützt beide Seiten. Wiederholte Code-Anfragen an dasselbe Ziel werden gedrosselt. Das ist nicht nur eine Anti-Missbrauchs-Maßnahme für WALLAWHATS — es verhindert auch, dass ein einzelnes Konto versehentlich die Zustellsysteme von WhatsApp oder eines E-Mail-Providers überlastet, falls irgendwo weiter oben aggressiv wiederholt wird.
- Kanal wechseln, wenn einer nicht erreichbar ist. Hat dein Handy keinen Empfang, du sitzt aber am Laptop, melde dich stattdessen mit E-Mail an — das ist ein komplett unabhängiger Weg zum selben Konto, kein Fallback, der erst einen gescheiterten WhatsApp-Versuch voraussetzt.
Nichts davon ist einzigartig für WALLAWHATS; es ist dieselbe operative Realität, um die herum jedes OTP-basierte System gebaut werden muss. Der Unterschied: Weil der Code gleichzeitig deine Kanalverifizierung ist, sagt dir eine erfolgreiche Anmeldung, dass dein Alert-Ziel gerade aktiv erreichbar ist — etwas, das ein Passwort nie leisten könnte.
Häufig gestellte Fragen
Kann ich mich sowohl mit WhatsApp als auch mit E-Mail anmelden? Ja. Beide werden beim ersten Gebrauch unabhängig voneinander verifiziert, und danach führt jedes von beiden ins selbe Konto.
Macht ein neuer Code meinen WhatsApp-Kanal ungültig, wenn ich die Anmeldung nicht abschließe? Nein. Ein unvollständiger oder abgelaufener Anmeldeversuch wirkt sich nicht auf einen bereits verifizierten Kanal aus — er spielt nur eine Rolle, wenn ein neues Ziel zum ersten Mal verifiziert wird.
Was, wenn ich meine Telefonnummer später ändern möchte? Füge die neue Nummer über die Channels-Seite als Kanal hinzu; sie durchläuft ihren eigenen Einmalcode, bevor sie Alerts empfangen kann. Deine alte Nummer bleibt unangetastet, bis du sie entfernst.
Ist das dasselbe wie SMS-basierte Zwei-Faktor-Authentifizierung? Nicht ganz. Klassisches SMS-2FA ist ein zweiter Faktor, der auf ein Passwort aufgesetzt wird. Hier ist der Code der gesamte Authentifizierungsmechanismus — darunter liegt kein Passwort, dem man einen zweiten Faktor hinzufügen könnte.
Loslegen
Passwortloses Anmelden ist kein separates Feature, das du konfigurieren müsstest — so funktioniert die Anmeldung bei WALLAWHATS einfach, auf jedem Plan ab Free. Falls du noch keine Alerts eingerichtet hast, deckt die Anleitung in unserem Einstiegsguide den kompletten Weg ab, von der ersten Anmeldung bis zu deinem ersten WhatsApp-Alert.
Verpasse nie wieder einen wichtigen Beitrag. Erstelle ein kostenloses Konto — 1 WhatsApp-Nummer, Echtzeit-Alerts, keine Kreditkarte erforderlich.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Über den Autor
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



