Kuidas töötab paroolivaba sisselogimine — üks kood katab nii sisselogimise kui ka WhatsAppi kinnitamise
WALLAWHATS kasutab üht 6-kohalist koodi nii sisselogimiseks kui ka WhatsAppi kinnitamiseks. Vaatame, kuidas see töötab, miks see on turvaline ja kuidas see võrdub parooliga sisselogimisega.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Iga parool, mille oled kunagi loonud, on väike risk, mis istub kuskil andmebaasis — kas sinu enda või kellegi teise omas. Korduvkasutatud paroolid, nõrgad paroolid, õngitsetud paroolid: enamik kontode ülevõtmisi saab endiselt alguse mandaadist, mitte zero-day haavatavusest. WALLAWHATS jätab selle terve probleemide kategooria kõrvale, kuna sul pole lihtsalt paroole. Sisselogimist ja WhatsAppi kinnitamist käsitleb üks ja sama mehhanism: ühekordne 6-kohaline kood, mis saadetakse sihtkohta, mida sina kontrollid.
See pole lihtsalt UX-i lihtsustus. See tähendab, et hetkel, mil sa lood konto, oled ühtlasi tõestanud, et omad telefoninumbrit või postkasti, kuhu sekundite pärast hakkavad saabuma teavitused X-i (Twitteri) postituste kohta.

Mida „paroolivaba” siin tegelikult tähendab
Paroolivaba autentimine pole uus idee — pangad on SMS-koode kasutanud aastaid ning enamik paroolihaldureid suunab sind nüüd maagiliste linkide poole. WALLAWHATSi lahenduse juures on erinev see, et sama ühekordne kood, mis lubab sind oma kontole, kinnitab ühtlasi ka sihtkoha, kuhu teavitused saabuvad. Eraldi „kinnita oma telefoninumber” sammu, mis on peidetud kuhugi seadete alla pärast registreerumist, siin ei ole. Omandiõigus ja saatmisvalmidus tehakse kindlaks ühe liigutusega.
Konkreetselt:
- Sisestad sisselogimisekraanil e-posti aadressi või WhatsAppi numbri.
- WALLAWHATS genereerib 6-kohalise numbrilise koodi ja saadab selle sellesse sihtkohta.
- Sisestad koodi rakendusse tagasi lühikese kehtivusaja jooksul.
- Õnnestumise korral oled sisse logitud — ja kui sihtkohaks oli telefoninumber, on see nüüd kinnitatud kanal, mis on valmis teavitusi vastu võtma.
Ei mingit parooli, mida valida, meeles pidada, vahetada või lekitada. Ei mingit „unustasin parooli” voogu, sest unustamiseks polnud kunagi parooli olemas.
Mehaanika: Cognito Custom Auth, mitte pealeliimitud OTP-teek
Kapoti all töötab see AWS Cognito Custom Authentication vooga — mitte kolmanda osapoole OTP-lisandiga, mis on kihina lisatud traditsioonilisele kasutajanime-parooli poolile. Selle toimimiseks teevad koostööd kolm Lambda päästikut:
- PreSignUp kinnitab automaatselt uued kasutajad esimesel korral, kui nad üritavad sisse logida sihtkohaga, mida pole varem nähtud. Eraldi „loo konto” vormi pole; sisselogimine uue e-posti aadressi või numbriga ongi konto loomine.
- CreateAuthChallenge genereerib 6-kohalise koodi, salvestab selle serveripoolselt lühikese eluajaga ja saadab selle sihtkohta — WhatsAppi kaudu, kui sisestasid telefoninumbri, või e-posti teel, kui sisestasid e-posti aadressi.
- VerifyAuthChallengeResponse kontrollib sisestatud koodi vastu väljastatud koodi, lükates tagasi aegunud või mittevastavad katsed ning piirates korduskatsete sagedust.
Kuna see kõik toimub Cognito hallatud autentimisoleku masinas, kehtivad standardsed tagatised: tokenid kehtivad lühikest aega, värskendusvood käivad sama infrastruktuuri kaudu, mis kaitseb ka ülejäänud platvormi, ning puudub kohandatud seansitokeni kood, mida peaks auditeerima tavapäraste vigade osas (ennustatavad ID-d, ebapiisav entroopia, puuduvad aegumiskontrollid), mis vaevavad omatehtud „lihtsalt saada neile e-kirjaga kood” lahendusi.
Miks sama kood katab kaks ülesannet
Enamik teenuseid käsitleb „tõesta, kes sa oled” ja „tõesta, et suudad siin sõnumeid vastu võtta” kahe eraldi sammuna — registreerud parooliga, seejärel kinnitad eraldi oma telefoninumbri teavituste jaoks. WALLAWHATS ühendab need, sest teavitustoote puhul on need sisuliselt üks ja sama küsimus, mis esitatakse kaks korda.
Kui WALLAWHATS kavatseb saata WhatsAppi sõnumi numbrile, peab ta teadma kahte asja: et number on tõeline ja kättesaadav ning et sisselogija seda numbrit tegelikult kontrollib. Just sellele numbrile saadetud ja õigesti tagasi sisestatud 6-kohaline kood vastab mõlemale küsimusele korraga. Ei ole olukorda, kus oled „sisse logitud”, aga sinu WhatsAppi sihtkoht on kinnitamata, sest sisselogimine oligi kinnitus.
Sama loogika kehtib ka e-posti kohta. Logi sisse e-posti aadressiga, saad sinna koodi, sisesta see tagasi — nüüd oled sisse logitud ja see postkast on kinnitatud sihtkoht e-posti teavitustele (mis igal plaanil sisaldavad ka iga säutsu renderdatud kuvatõmmist koos tekstiga).
Miks see on turvalisem, kui tundub
Paroolivaba autentimine kõlab nagu see peaks olema vähem turvaline — ei mingit parooli, ei mingit hoidlat. Praktikas suleb see aga mitmed kõige levinumad viisid, kuidas päris kontosid rünnatakse:
- Mandaatide läbiproovimist (credential stuffing) ei toimu. Pole korduvkasutatud parooli mõnest lekkinud saidilt, mida ründaja saaks sinu WALLAWHATSi sisselogimise vastu proovida, sest algusest peale pole parooli, mida varastada.
- Puudub parooli-taastamise ründepind. Suur osa kontode ülevõtmistest toimub „unustasin parooli” voo kaudu — ründaja, kes kontrollib sinu postkasti, lähtestab su parooli kõikjal. Paroolide eemaldamine kõrvaldab selle voo täielikult.
- Põhineb omamisel, mitte mälul. Kood tõestab, et sul on praegu ligipääs telefonile või postkastile, mitte et sa mäletad (või kirjutasid üles, või korduvkasutasid) mõne kuu tagust saladust.
- Lühikese eluea ja ühekordse kasutusega. Koodid aeguvad kiiresti ja muutuvad kehtetuks pärast ühte edukat kasutamist, erinevalt paroolist, mis jääb kehtivaks kuni sa seda käsitsi ei muuda.
Kompromiss seisneb selles, et WhatsAppi või e-posti kohaletoimetamine muutub osaks sinu sisselogimise kriitilisest teekonnast — kui kaotad ligipääsu mõlemale, järgib konto taastamine sama kinnitatud-sihtkoha mudelit, mitte „turvaküsimuste” varulahendust, mis on ajalooliselt olnud parooliga süsteemide nõrgim lüli.
Kuidas see võrdub traditsioonilise parooli + eraldi OTP-kinnitusega
Tavapärane voog näeb välja nii: vali parool, kinnita oma e-post eraldi lingi kaudu, seejärel mine hiljem seadetesse ja kinnita telefoninumber SMS- või push-teavituste jaoks. See on kolm eraldi tõestuspunkti, kolm eraldi kohta, kus midagi võib aeguda — kinnitamata telefoninumber, mis seisab kontol nädalaid, parool, mis on identne neljal teisel teenusel kasutatavaga, e-posti kinnituslink, mis aegus enne, kui keegi jõudis sellel klõpsata.
WALLAWHATS vähendab selle ühele tõestuspunktile sihtkoha kohta. Lisa WhatsAppi number ja kood, mille saad selle kinnitamiseks, on sama kood, mis logib sind edaspidi sellest seadmest sisse. Ripakile ei jää ühtki kinnitamata olekut, sest konto ja sihtkoht jõuavad „kinnitatud” olekusse koos.
See tähendab ka seda, et sihtkoha vahetamine või lisamine on lihtsalt… uuega sisselogimine. Tahad lisada teise kinnitatud numbri Business või Enterprise plaani all? Sisesta see, saad koodi, kinnita see. Eraldi „lisa telefoninumber” vormi, mis on peidetud kolme menüü taha, pole vaja.
Seadistamine: mida sa tegelikult näed
Lehel wallawhats.com/signup küsitakse sinult ainult üht: e-posti aadressi või WhatsAppi numbrit. See ongi kogu vorm.
- Sisesta WhatsAppi number ja kood saabub WhatsAppi sõnumina sekundite jooksul — samas kanalis, mis hiljem toob sinuni ka X-i teavitused.
- Sisesta e-post ja kood jõuab su postkasti — kasulik, kui soovid sisse logida jagatud või töökohaseadmest ilma isikliku WhatsAppita, või kui seadistad e-posti oma teavituskanaliks.
Igal juhul näed ekraani, kus küsitakse 6-kohalist koodi, sisestad selle ja jõuad juhtpaneelile. Sealt saad igal ajal lisada teise kanali (näiteks WhatsAppi numbri pärast e-postiga registreerumist, või vastupidi) Channels lehelt — iga uus sihtkoht läbib enne teavituste vastuvõtmist sama ühekordse koodi kinnituse. Kui sa pole kindel, millist tüüpi WhatsAppi numbrit selleks kasutada, selgitab meie Business vs Personal number juhend kompromisse.
Ühtki kontoseadet, kus telefoninumber seisaks „lisatud, kuid kinnitamata”, ei ole olemas. Iga sihtkoht on kas läbinud oma koodikatsumuse või pole see üldse sinu kontoga seotud.
Märkus selle kohta, mis see ei ole
Turvamudeli täpsustuseks: see on ühekordse koodi autentimine kanalite kaudu, mida sa juba usaldad (WhatsApp, e-post), mitte mitmefaktoriline autentimine traditsioonilises mõttes „parool pluss teine faktor”. Vahe on oluline. Traditsiooniline MFA lisab parooli peale teise sõltumatu tõestuse. WALLAWHATSi mudel asendab parooli suhtluskanali omamisega — see on teistsugune riskikompromiss, mitte igas mõõtmes rangelt tugevam. See on õige kompromiss teavitusteenuse jaoks, kus kogu mõte seisneb selles, et toote kasutamiseks on niikuinii vaja kinnitatud sihtkohta; selle kinnitussammu taaskasutamine sisselogimiseks vähendab hõõrdumist, ilma et see eemaldaks mõne olulise turvakihi, kuna paroolipõhist kihti polnud algusest peale olemas.
Kui valid kanalit nii sisselogimiseks kui ka teavitusteks, käsitleb meie e-posti vs WhatsAppi võrdlus kohaletoimetamise kiiruse ja lugemismäära kompromisse, mis kehtivad ka sisselogimiskoodide puhul — WhatsAppi koodi märkad sekundite jooksul; e-posti kood peab konkureerima ülejäänud postkastiga.
Miks see on eriti oluline just teavitustootele
Tootele, mille ainus ülesanne on „toimetada usaldusväärselt sõnum sihtkohta, mille sina valisid,” ei tohi identiteet ja sihtkoht üksteisest lahku minna. Kui sisselogimine ja kanali kinnitamine oleksid eraldi süsteemid, võiksid lõpuks olla sisse logitud kontole, mille WhatsAppi number lisati aastaid tagasi, võib-olla vahepeal operaatori poolt kellelegi teisele ümber määratud ega kunagi uuesti kinnitatud. Sisselogimise sidumine värske koodiga, mis saadetakse otse sihtkohta, tähendab, et seda riski ei eksisteeri juba oma olemuselt — sa ei saa olla sisse logitud kanali kaudu, mis pole hetkel kättesaadav, sest just kättesaadavus viiski sind sisselogimiseni.
See tähendab ka, et enamikul juhtudel ei vaja konto taastamine tugipiletit. Kaotasid telefoni? Logi selle asemel sisse e-postiga — sama voog, sama ühekordne kood, ning sinu WhatsAppi sihtkoht (kui oled selle uuel seadmel uuesti kinnitanud) jätkab täpselt sealt, kus pooleli jäi.
Mis juhtub, kui kood ei saabu
Iga süsteem, mis annab kohaletoimetamise üle kolmanda osapoole võrgule — operaatorile, WhatsAppi enda infrastruktuurile, e-posti teenusepakkujale —, peab arvestama, et kood ei pruugi ilmuda koheselt. Mõned praktilised märkused selle kohta, kuidas seda käsitletakse:
- Kehtivusaeg on lühike ja see on teadlik valik. Kood, mis kehtib tunde, on suurem sihtmärk kui kood, mis kehtib minuteid. Kui sinu kood aegub enne, kui jõuad selle sisestada, muudab uue küsimine vana koodi kohe kehtetuks.
- Saada uuesti, mitte ei kirjuta ümber. Kui WhatsAppi sõnum viibib mõne sekundi (tavaline tipptundidel) või e-kiri satub rämpspostikausta, pakub sisselogimisekraan uuestisaatmise võimalust, selle asemel et sundida sind esimest katset lõputult ootama.
- Sagedusepiirang kaitseb mõlemat poolt. Korduvaid koodipäringuid samale sihtkohale piiratakse. See pole ainult WALLAWHATSi kuritarvituste-vastane meede — see hoiab ära ka olukorra, kus üks konto tahtmatult ülekoormab WhatsAppi või e-posti teenusepakkuja kohaletoimetamissüsteeme, kui midagi ülalpool agressiivselt uuesti proovitakse.
- Vaheta kanalit, kui üks pole kättesaadav. Kui su telefonil pole levi, aga oled arvuti taga, logi selle asemel sisse e-postiga — see on täiesti sõltumatu tee samale kontole, mitte varulahendus, mis sõltub sellest, et WhatsAppi katse enne ebaõnnestub.
Miski sellest pole WALLAWHATSile ainuomane; see on sama operatiivne reaalsus, millega peab arvestama iga OTP-põhine süsteem. Erinevus seisneb selles, et kuna kood on ühtlasi ka sinu kanali kinnitus, ütleb edukas sisselogimine sulle, et sinu teavituste sihtkoht on hetkel aktiivne — mida parool poleks kunagi suutnud öelda.
Korduma kippuvad küsimused
Kas saan sisselogimiseks kasutada nii WhatsAppi kui ka e-posti? Jah. Mõlemad kinnitatakse iseseisvalt esimesel kasutuskorral ja pärast seda pääsed kummagagi samale kontole.
Kas uus kood muudab mu WhatsAppi kanali kehtetuks, kui ma sisselogimist lõpuni ei vii? Ei. Lõpetamata või aegunud sisselogimiskatse ei mõjuta juba kinnitatud kanalit — see on oluline ainult uue sihtkoha esmakordsel kinnitamisel.
Mis siis, kui tahan hiljem oma telefoninumbrit vahetada? Lisa uus number kanalina Channels lehelt; see läbib enne teavituste vastuvõtmist oma ühekordse koodi. Sinu vana number jääb muutumatuks, kuni sa selle eemaldad.
Kas see on sama, mis SMS-põhine kaheastmeline autentimine? Mitte päris. Traditsiooniline SMS-2FA on teine faktor, mis on lisatud parooli peale. Siin on kood kogu autentimismehhanism — selle all pole parooli, millele teist faktorit lisada.
Alustamine
Paroolivaba sisselogimine pole eraldi funktsioon, mida seadistada — see on lihtsalt see, kuidas WALLAWHATSi sisselogimine töötab, igal plaanil alates Free’st. Kui sa pole veel teavitusi seadistanud, käsitleb meie alustamise juhend kogu teekonda esimesest sisselogimisest kuni sinu esimese WhatsAppi teavituseni.
Ära enam kunagi jäta olulist postitust kahe silma vahele. Loo tasuta konto — 1 WhatsAppi number, reaalajas teavitused, krediitkaarti pole vaja.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Autorist
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



