Näin salasanaton kirjautuminen toimii — yksi koodi hoitaa sekä kirjautumisen että WhatsApp-vahvistuksen
WALLAWHATS käyttää yhtä 6-numeroista koodia sekä kirjautumiseen että WhatsApp-vahvistukseen. Tässä on kulku, miksi se on turvallinen ja miten se vertautuu salasanapohjaiseen kirjautumiseen.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Jokainen salasana, jonka olet koskaan luonut, on pieni riski jossain tietokannassa — sinun tai jonkun muun. Uudelleenkäytetyt salasanat, heikot salasanat, kalastellut salasanat: useimmat tilikaappaukset alkavat yhä varastetusta tunnuksesta, ei zero-day-haavoittuvuudesta. WALLAWHATS ohittaa koko ongelman olemalla käyttämättä salasanoja lainkaan. Kirjautuminen ja WhatsApp-vahvistus hoidetaan samalla mekanismilla: yhdellä 6-numeroisella koodilla, joka lähetetään kohteeseen, jonka itse hallitset.
Tämä ei ole pelkkä käyttökokemuksen oikotie. Se tarkoittaa, että heti tilin luodessasi olet myös todistanut omistavasi puhelinnumeron tai sähköpostin, johon X:n (Twitterin) postauksia koskevat hälytykset kolahtavat sekunneissa myöhemmin.

Mitä “salasanattomuus” tässä oikeasti tarkoittaa
Salasanaton tunnistautuminen ei ole uusi keksintö — pankit ovat käyttäneet tekstiviestikoodeja vuosia, ja useimmat salasananhallintaohjelmat tuuppaavat sinut nykyään taikalinkkien pariin. WALLAWHATSin toteutuksessa erikoista on se, että sama kertakäyttöinen koodi, joka päästää sinut tilillesi, vahvistaa myös kohteen, johon hälytyksesi saapuvat. Erillistä “vahvista puhelinnumerosi” -vaihetta ei ole piilotettu asetuksiin rekisteröitymisen jälkeen. Omistajuus ja toimitusvalmius vahvistuvat yhdellä liikkeellä.
Konkreettisesti:
- Syötät sähköpostiosoitteen tai WhatsApp-numeron kirjautumisnäytöllä.
- WALLAWHATS luo 6-numeroisen koodin ja lähettää sen kyseiseen kohteeseen.
- Kirjoitat koodin takaisin sovellukseen lyhyen voimassaoloajan puitteissa.
- Onnistuessaan olet kirjautunut sisään — ja jos kohde oli puhelinnumero, se on nyt vahvistettu kanava, joka on valmis vastaanottamaan hälytyksiä.
Ei salasanaa valittavaksi, muistettavaksi, vaihdettavaksi tai vuodettavaksi. Ei “unohtuiko salasana” -kulkua, koska salasanaa ei koskaan ollutkaan unohdettavaksi.
Tekniikka: Cogniton Custom Auth, ei päälleliimattu OTP-kirjasto
Konepellin alla tämä toimii AWS Cogniton Custom Authentication -kulun päällä — ei kolmannen osapuolen OTP-lisäosana perinteisen käyttäjätunnus/salasana-poolin päällä. Kolme Lambda-liipaisinta tekevät yhteistyötä, jotta tämä toimii:
- PreSignUp vahvistaa uudet käyttäjät automaattisesti ensimmäisellä kerralla, kun he yrittävät kirjautua sisään kohteella, jota ei ole aiemmin nähty. Erillistä “luo tili” -lomaketta ei ole; kirjautuminen uudella sähköpostilla tai numerolla on tilin luomista.
- CreateAuthChallenge luo 6-numeroisen koodin, tallentaa sen palvelinpuolella lyhyellä TTL:llä ja lähettää sen kohteeseen — WhatsAppin kautta, jos syötit puhelinnumeron, muuten sähköpostitse.
- VerifyAuthChallengeResponse tarkistaa kirjoittamasi koodin myönnettyä koodia vasten, hylkää vanhentuneet tai väärät yritykset ja rajoittaa uudelleenyritysten tahtia.
Koska kaikki tämä toimii Cogniton hallitun tunnistautumis-tilakoneen sisällä, vakiotakuut pätevät: tokenit ovat lyhytikäisiä, päivityskulut hoitaa sama infrastruktuuri, joka suojaa muutakin alustaa, eikä ole omaa istuntotoken-koodia auditoitavaksi tavallisten bugien varalta (arvattavat ID:t, riittämätön entropia, puuttuvat vanhenemistarkistukset), jotka vaivaavat itsetehtyjä “lähetä vain koodi sähköpostilla” -toteutuksia.
Miksi sama koodi hoitaa kaksi tehtävää
Useimmat palvelut käsittelevät “todista kuka olet” ja “todista, että voit vastaanottaa viestejä täällä” kahtena erillisenä vaiheena — rekisteröidy salasanalla ja vahvista sitten erikseen puhelinnumerosi ilmoituksia varten. WALLAWHATS yhdistää nämä, koska hälytystuotteelle ne ovat sama kysymys kahdesti kysyttynä.
Jos WALLAWHATSin pitää toimittaa WhatsApp-viesti numeroon, sen täytyy tietää kaksi asiaa: että numero on todellinen ja tavoitettavissa, ja että kirjautuva henkilö todella hallitsee sitä. Juuri kyseiseen numeroon lähetetty ja oikein takaisin kirjoitettu 6-numeroinen koodi vastaa molempiin kerralla. Ei ole tilannetta, jossa olisit “kirjautunut sisään”, mutta WhatsApp-kohteesi olisi vahvistamaton, koska kirjautuminen oli vahvistus.
Sama logiikka pätee sähköpostiin. Kirjaudu sisään sähköpostiosoitteella, vastaanota koodi sinne, kirjoita se takaisin — olet nyt kirjautunut sisään, ja kyseinen sähköposti on vahvistettu kohde sähköpostihälytyksille (jotka jokaisella tasolla sisältävät renderöidyn kuvakaappauksen jokaisesta tweetistä tekstin lisäksi).
Miksi tämä on turvallisempaa kuin miltä se tuntuu
Salasanaton tunnistautuminen kuulostaa siltä, että sen pitäisi olla vähemmän turvallista — ei salasanaa, ei holvia. Käytännössä se sulkee useita yleisimpiä tapoja, joilla oikeita tilejä murretaan:
- Ei credential stuffingia. Vuotaneelta sivustolta ei ole uudelleenkäytettyä salasanaa, jota hyökkääjä voisi kokeilla WALLAWHATS-kirjautumiseesi, koska varastettavaa salasanaa ei ole ylipäätään olemassa.
- Ei salasanan palautuksen hyökkäyspintaa. Valtaosa tilikaappauksista tapahtuu “unohtuiko salasana” -kulun kautta — hyökkääjä, joka hallitsee sähköpostiasi, palauttaa salasanasi kaikkialla. Salasanojen poistaminen poistaa tämän kulun kokonaan.
- Hallussapitoon perustuva, ei muistiin perustuva. Koodi todistaa, että sinulla on pääsy puhelimeen tai sähköpostiin juuri nyt, ei sitä, että muistit (tai kirjoitit ylös, tai käytit uudelleen) jonkin salaisuuden kuukausia sitten.
- Lyhytikäinen ja kertakäyttöinen. Koodit vanhenevat nopeasti ja mitätöityvät yhden onnistuneen käytön jälkeen, toisin kuin salasana, joka pysyy voimassa, kunnes vaihdat sen itse.
Kompromissi on se, että WhatsApp- tai sähköpostitoimituksesta tulee osa kirjautumisesi kriittistä polkua — jos menetät pääsyn molempiin, tilin palautus noudattaa samaa vahvistetun kohteen mallia sen sijaan, että turvauduttaisiin “turvakysymyksiin”, jotka ovat historiallisesti olleet salasanapohjaisten järjestelmien heikoin lenkki.
Miten tämä vertautuu perinteiseen salasana + erillinen OTP-vahvistus -malliin
Perinteinen kulku näyttää tältä: valitse salasana, vahvista sähköpostisi erillisen linkin kautta, mene sitten myöhemmin asetuksiin ja vahvista puhelinnumero tekstiviesti- tai push-ilmoituksia varten. Se on kolme erillistä todistuspistettä, kolme erillistä paikkaa, joissa jokin voi vanhentua — vahvistamaton puhelinnumero, joka on istunut tilillä viikkoja, salasana, joka on identtinen neljällä muulla palvelulla käytetyn kanssa, sähköpostin vahvistuslinkki, joka vanheni ennen kuin kukaan ehti klikata sitä.
WALLAWHATS pelkistää tämän yhteen todistuspisteeseen kohdetta kohden. Lisää WhatsApp-numero, ja koodi, jonka saat sen vahvistamiseksi, on sama koodi, joka kirjaa sinut sisään kyseisellä laitteella jatkossa. Ei ole vahvistamatonta tilaa roikkumaan, koska tili ja kohde saavuttavat “vahvistetun” tilan yhdessä.
Tämä tarkoittaa myös, että kohteen vaihtaminen tai lisääminen on vain… kirjautumista sisään uudella. Haluatko lisätä toisen vahvistetun numeron Business- tai Enterprise-tasolla? Syötä se, vastaanota koodi, vahvista se. Ei erillistä “lisää puhelinnumero” -lomaketta kolmen valikon takana.
Käyttöönotto: mitä oikeasti näet
Osoitteessa wallawhats.com/signup sinulta kysytään yhtä asiaa: sähköpostiosoitetta tai WhatsApp-numeroa. Siinä koko lomake.
- Syötä WhatsApp-numero, ja koodi saapuu WhatsApp-viestinä sekunneissa — samassa kanavassa, joka myöhemmin välittää X-hälytyksesi.
- Syötä sähköposti, ja koodi laskeutuu postilaatikkoosi — kätevää, jos haluat kirjautua sisään jaetulta tai työlaitteelta koskematta henkilökohtaiseen WhatsAppiisi, tai jos otat sähköpostia käyttöön hälytyskanavana.
Joka tapauksessa saat näytön, joka pyytää 6-numeroista koodia, kirjoitat sen, ja olet kojelaudalla. Sieltä voit lisätä toisen kanavan (esimerkiksi WhatsApp-numeron rekisteröidyttyäsi sähköpostilla, tai päinvastoin) milloin tahansa Kanavat-sivulta — jokainen uusi kohde käy läpi saman kertakäyttöisen koodin vahvistuksen, ennen kuin se voi vastaanottaa hälytyksiä. Jos et ole varma, minkä tyyppistä WhatsApp-numeroa käyttää tähän, Business- vs. henkilökohtainen numero -oppaamme käy läpi kompromissit.
Tilin asetuksissa ei ole tilaa, jossa puhelinnumero istuisi “lisätty, mutta vahvistamaton”. Jokainen kohde on joko suorittanut oman koodihaasteensa, tai sitä ei ole liitetty tiliisi.
Huomio siitä, mitä tämä ei ole
Ollakseni tarkka turvallisuusmallista: tämä on kertakäyttöiseen koodiin perustuva tunnistautuminen kanavilla, joihin jo luotat (WhatsApp, sähköposti), ei monivaiheinen tunnistautuminen perinteisessä mielessä “salasana plus toinen tekijä.” Ero on merkittävä. Perinteinen MFA lisää toisen riippumattoman todisteen salasanan päälle. WALLAWHATSin malli korvaa salasanan viestintäkanavan hallussapidolla — mikä on erilainen riskikompromissi, ei ehdottomasti vahvempi joka ulottuvuudessa. Se on oikea kompromissi ilmoituspalvelulle, jossa koko pointti on, että tarvitset jo vahvistetun kohteen käyttääksesi tuotetta ylipäätään; saman vahvistusvaiheen uudelleenkäyttö kirjautumiseen poistaa kitkaa poistamatta merkittävää turvakerrosta, koska salasanapohjaista kerrosta ei ollut alun perinkään.
Jos valitset kanavien välillä sekä kirjautumiseen että hälytyksiin, sähköposti vs. WhatsApp -vertailumme käy läpi toimitusnopeuden ja lukemisasteen kompromissit, jotka pätevät myös kirjautumiskoodeihin — WhatsApp-koodin huomaat sekunneissa; sähköpostikoodi kilpailee postilaatikkosi kanssa.
Miksi tämä on erityisen tärkeää hälytystuotteelle
Tuotteelle, jonka koko tehtävä on “toimittaa viesti luotettavasti valitsemaasi kohteeseen”, identiteetti ja kohde eivät saa loitontua toisistaan. Jos kirjautuminen ja kanavan vahvistus olisivat erillisiä järjestelmiä, saattaisit päätyä kirjautuneeksi tilille, jonka WhatsApp-numero lisättiin vuosia sitten, mahdollisesti operaattorin sittemmin uudelleenjakamana jollekin toiselle, eikä sitä ole koskaan vahvistettu uudelleen. Kirjautumisen sitominen tuoreeseen, itse kohteeseen lähetettyyn koodiin tarkoittaa, ettei tätä riskiä ole rakenteellisesti olemassa — et voi olla kirjautuneena kanavan kautta, joka ei ole juuri nyt tavoitettavissa, koska tavoitettavuus on se, mikä kirjasi sinut sisään.
Se tarkoittaa myös, ettei tilin palautus vaadi tukipyyntöä tavallisessa tapauksessa. Kadotitko puhelimesi? Kirjaudu sisään sähköpostillasi sen sijaan — sama kulku, sama kertakäyttöinen koodi, ja WhatsApp-kohteesi (kun vahvistat sen uudelleen uudella laitteella) jatkuu täsmälleen siitä, mihin se jäi.
Mitä tapahtuu, kun koodi ei saavu
Jokaisen järjestelmän, joka siirtää toimituksen kolmannen osapuolen verkolle — operaattorille, WhatsAppin omalle infrastruktuurille, sähköpostipalveluntarjoajalle — täytyy varautua siihen, ettei koodi ilmesty välittömästi. Muutama käytännön huomio siitä, miten tätä käsitellään:
- Voimassaolo on lyhyt, ja se on tarkoituksellista. Koodi, joka on voimassa tunteja, on suurempi maalitaulu kuin koodi, joka on voimassa minuutteja. Jos sinun vanhenee ennen kuin ehdit syöttää sen, uuden pyytäminen mitätöi vanhan koodin välittömästi.
- Lähetä uudelleen, älä kirjoita uudelleen. Jos WhatsApp-viesti viivästyy muutamalla sekunnilla (normaalia ruuhka-aikoina) tai sähköposti päätyy roskapostikansioon, kirjautumisnäyttö tarjoaa uudelleenlähetystoiminnon sen sijaan, että sinun pitäisi odottaa loputtomiin ensimmäistä yritystä.
- Nopeusrajoitus suojaa molempia osapuolia. Toistuvat koodipyynnöt samaan kohteeseen kuristetaan. Tämä ei ole vain väärinkäytön esto WALLAWHATSille — se myös estää yksittäistä tiliä vahingossa kuormittamasta WhatsAppin tai sähköpostipalveluntarjoajan toimitusjärjestelmiä, jos jokin ylävirrassa yritetään aggressiivisesti uudelleen.
- Vaihda kanavaa, jos toinen ei ole tavoitettavissa. Jos puhelimessasi ei ole kenttää, mutta olet kannettavan äärellä, kirjaudu sisään sähköpostilla sen sijaan — se on täysin riippumaton polku samaan tiliin, ei varajärjestelmä, joka odottaa WhatsApp-yrityksen epäonnistuvan ensin.
Mikään tästä ei ole ainutlaatuista WALLAWHATSille; se on sama operatiivinen todellisuus, jonka ympärille minkä tahansa OTP-pohjaisen järjestelmän on suunniteltava. Ero on siinä, että koska koodi on myös kanavasi vahvistus, onnistunut kirjautuminen kertoo sinulle, että hälytyskohteesi on juuri nyt elossa — mitä salasana ei koskaan voisi kertoa.
Usein kysytyt kysymykset
Voinko käyttää sekä WhatsAppia että sähköpostia kirjautumiseen? Kyllä. Kumpikin vahvistetaan itsenäisesti ensimmäisellä käyttökerralla, ja jommankumman käyttö vie sinut samalle tilille sen jälkeen.
Mitätöikö uusi koodi WhatsApp-kanavani, jos en viimeistele kirjautumista? Ei. Kesken jäänyt tai vanhentunut kirjautumisyritys ei vaikuta jo vahvistettuun kanavaan — sillä on merkitystä vain uuden kohteen vahvistamisessa ensimmäistä kertaa.
Entä jos haluan vaihtaa puhelinnumeroni myöhemmin? Lisää uusi numero kanavaksi Kanavat-sivulta; se käy läpi oman kertakäyttöisen koodinsa, ennen kuin se voi vastaanottaa hälytyksiä. Vanha numerosi pysyy koskemattomana, kunnes poistat sen.
Onko tämä sama asia kuin tekstiviestipohjainen kaksivaiheinen tunnistautuminen? Ei ihan. Perinteinen SMS-2FA on toinen tekijä salasanan päällä. Täällä koodi on koko tunnistautumismekanismi — sen alla ei ole salasanaa, jonka päälle lisätä toinen tekijä.
Aloittaminen
Salasanaton kirjautuminen ei ole erillinen ominaisuus, joka pitää määrittää — se on yksinkertaisesti se, miten WALLAWHATSiin kirjaudutaan, jokaisella tasolla Free-tasosta ylöspäin. Jos et ole vielä ottanut hälytyksiä käyttöön, aloitusoppaamme käy läpi koko polun ensimmäisestä kirjautumisesta ensimmäiseen WhatsApp-hälytykseesi.
Älä koskaan enää missaa tärkeää postausta. Luo ilmainen tili — 1 WhatsApp-numero, reaaliaikaiset hälytykset, ei luottokorttia vaadita.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Tietoa kirjoittajasta
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



