पासवर्डलेस साइन-इन कैसे काम करता है — एक कोड से लॉगिन + WhatsApp वेरिफिकेशन दोनों कवर
WALLAWHATS साइन-इन और WhatsApp वेरिफिकेशन दोनों के लिए एक ही 6-अंकों का कोड इस्तेमाल करता है। यहां पूरा फ्लो है, यह सुरक्षित क्यों है, और यह पासवर्ड ऑथ से कैसे अलग है।
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

आपने जो भी पासवर्ड कभी बनाया है, वह कहीं न कहीं किसी डेटाबेस में बैठी एक छोटी सी लायबिलिटी है — चाहे वह आपका डेटाबेस हो या किसी और का। रीयूज़्ड पासवर्ड, कमज़ोर पासवर्ड, फिश्ड पासवर्ड: ज़्यादातर अकाउंट टेकओवर आज भी किसी क्रेडेंशियल से शुरू होते हैं, किसी ज़ीरो-डे से नहीं। WALLAWHATS इस पूरी कैटेगरी को ही साइडस्टेप कर देता है क्योंकि यहां पासवर्ड होते ही नहीं हैं। साइन-इन और WhatsApp वेरिफिकेशन एक ही मैकेनिज़्म से हैंडल होते हैं: आपके कंट्रोल वाली किसी डेस्टिनेशन पर भेजा गया एक सिंगल 6-अंकों का कोड।
यह सिर्फ़ एक UX शॉर्टकट नहीं है। इसका मतलब है कि जिस पल आप अकाउंट बनाते हैं, उसी पल आप यह भी साबित कर देते हैं कि उस फ़ोन नंबर या इनबॉक्स के मालिक आप ही हैं, जहां X (Twitter) पोस्ट्स के अलर्ट कुछ ही सेकंड बाद पहुंचने वाले हैं।

यहां “पासवर्डलेस” का असल मतलब क्या है
पासवर्डलेस ऑथेंटिकेशन कोई नया आइडिया नहीं है — बैंक्स सालों से SMS कोड इस्तेमाल करते आ रहे हैं, और ज़्यादातर पासवर्ड मैनेजर्स अब आपको मैजिक लिंक की तरफ़ धकेलते हैं। WALLAWHATS के इम्प्लीमेंटेशन में अलग बात यह है कि वही वन-टाइम कोड जो आपको अकाउंट में लॉगिन कराता है, वही उस डेस्टिनेशन को भी वेरिफाई कर देता है जहां आपके अलर्ट्स पहुंचेंगे। साइनअप के बाद सेटिंग्स में कहीं दबा हुआ अलग से “अपना फ़ोन नंबर कन्फर्म करें” वाला स्टेप नहीं है। ओनरशिप और डिलीवरी-रेडीनेस दोनों एक ही मूवमेंट में स्थापित हो जाते हैं।
साफ़ शब्दों में:
- आप साइन-इन स्क्रीन पर एक ईमेल एड्रेस या WhatsApp नंबर डालते हैं।
- WALLAWHATS एक 6-अंकों का न्यूमेरिक कोड जनरेट करता है और उसे उस डेस्टिनेशन पर भेज देता है।
- आप उस कोड को एक छोटी सी एक्सपायरी विंडो के भीतर ऐप में वापस टाइप करते हैं।
- सफल होने पर, आप लॉग इन हो जाते हैं — और अगर डेस्टिनेशन एक फ़ोन नंबर थी, तो अब वह अलर्ट्स पाने के लिए तैयार एक वेरिफाइड चैनल बन चुकी है।
कोई पासवर्ड चुनना नहीं, याद रखना नहीं, बदलना नहीं, लीक होने का डर नहीं। कोई “फ़रगॉट पासवर्ड” फ्लो नहीं, क्योंकि भूलने के लिए कभी कोई पासवर्ड था ही नहीं।
मैकेनिज़्म: Cognito Custom Auth, कोई बोल्ट-ऑन OTP लाइब्रेरी नहीं
अंदर से देखें तो, यह AWS Cognito के Custom Authentication फ्लो पर चलता है — किसी पारंपरिक username/password पूल के ऊपर लगाए गए थर्ड-पार्टी OTP ऐड-ऑन पर नहीं। तीन Lambda ट्रिगर्स मिलकर इसे काम में लाते हैं:
- PreSignUp पहली बार जब कोई ऐसी डेस्टिनेशन से साइन इन करने की कोशिश करता है जो पहले कभी नहीं देखी गई, तो नए यूज़र्स को ऑटो-कन्फर्म कर देता है। यहां कोई अलग “अकाउंट बनाएं” फ़ॉर्म नहीं है; एक नए ईमेल या नंबर से साइन इन करना ही अकाउंट क्रिएशन है।
- CreateAuthChallenge 6-अंकों का कोड जनरेट करता है, उसे सर्वर-साइड पर एक छोटी सी TTL के साथ स्टोर करता है, और उसे डेस्टिनेशन पर भेज देता है — अगर आपने फ़ोन नंबर डाला है तो WhatsApp के ज़रिए, वरना ईमेल के ज़रिए।
- VerifyAuthChallengeResponse आपके टाइप किए हुए कोड को इशू किए गए कोड से मिलाकर चेक करता है, एक्सपायर हो चुकी या मेल न खाने वाली कोशिशों को रिजेक्ट करता है, और रीट्राई को रेट-लिमिट करता है।
क्योंकि यह सब कुछ Cognito के मैनेज्ड ऑथ स्टेट मशीन के भीतर चलता है, इसलिए स्टैंडर्ड गारंटीज़ लागू होती हैं: टोकन्स शॉर्ट-लिव्ड होते हैं, रिफ्रेश फ्लो उसी इंफ्रास्ट्रक्चर से हैंडल होता है जो बाकी पूरे प्लेटफ़ॉर्म को सिक्योर करता है, और यहां ऐसा कोई कस्टम सेशन-टोकन कोड नहीं है जिसे उन आम बग्स के लिए ऑडिट करना पड़े (प्रेडिक्टेबल IDs, कम एंट्रॉपी, मिसिंग एक्सपायरी चेक्स) जो होममेड “बस उन्हें एक कोड ईमेल कर दो” जैसे इम्प्लीमेंटेशन्स को परेशान करते हैं।
एक ही कोड दो काम क्यों कवर करता है
ज़्यादातर सर्विसेज़ “साबित करो तुम कौन हो” और “साबित करो तुम यहां मैसेज पा सकते हो” को दो अलग-अलग स्टेप्स की तरह ट्रीट करती हैं — पहले पासवर्ड के साथ साइन अप करो, फिर अलग से नोटिफिकेशंस के लिए अपना फ़ोन नंबर वेरिफाई करो। WALLAWHATS इन्हें एक कर देता है, क्योंकि एक अलर्ट्स प्रोडक्ट के लिए, ये दोनों दरअसल एक ही सवाल है जो दो बार पूछा जा रहा है।
अगर WALLAWHATS को किसी नंबर पर WhatsApp मैसेज डिलीवर करना है, तो उसे दो चीज़ें जाननी होंगी: नंबर असली और रीचेबल है, और साइन इन करने वाला इंसान असल में उसका कंट्रोल रखता है। ठीक उसी नंबर पर भेजा गया और सही-सही वापस टाइप किया गया 6-अंकों का कोड दोनों सवालों का जवाब एक साथ दे देता है। ऐसा कोई सिनेरियो नहीं है जहां आप “लॉग्ड इन” हों लेकिन आपकी WhatsApp डेस्टिनेशन अनवेरिफाइड हो, क्योंकि लॉगिन ही वेरिफिकेशन था।
यही लॉजिक ईमेल पर भी लागू होता है। किसी ईमेल एड्रेस से साइन इन करें, वहां कोड पाएं, उसे वापस टाइप करें — अब आप लॉग इन हैं, और वह इनबॉक्स ईमेल अलर्ट्स के लिए एक कन्फर्म्ड डेस्टिनेशन है (जिसमें, हर प्लान पर, टेक्स्ट के साथ हर ट्वीट का एक रेंडर्ड स्नैपशॉट भी शामिल होता है)।
यह जितना लगता है उससे ज़्यादा सिक्योर क्यों है
पासवर्डलेस ऑथ सुनने में कम सिक्योर लगता है — न पासवर्ड, न वॉल्ट। लेकिन असल में यह उन कई सबसे कॉमन तरीकों को बंद कर देता है जिनसे असली अकाउंट्स कॉम्प्रोमाइज़ होते हैं:
- कोई क्रेडेंशियल स्टफिंग नहीं। किसी ब्रीच हुई साइट से लिया गया रीयूज़्ड पासवर्ड नहीं है जिसे कोई अटैकर आपके WALLAWHATS लॉगिन पर आज़मा सके, क्योंकि शुरू से ही चुराने के लिए कोई पासवर्ड है ही नहीं।
- कोई पासवर्ड-रीसेट अटैक सरफेस नहीं। ज़्यादातर अकाउंट टेकओवर “फ़रगॉट पासवर्ड” फ्लो से होते हैं — जो अटैकर आपके इनबॉक्स को कंट्रोल करता है, वह हर जगह आपका पासवर्ड रीसेट कर सकता है। पासवर्ड हटाने से यह पूरा फ्लो ही खत्म हो जाता है।
- पज़ेशन-बेस्ड, मेमोरी-बेस्ड नहीं। यह कोड साबित करता है कि अभी इस पल आपके पास फ़ोन या इनबॉक्स तक एक्सेस है, न कि यह कि आपने महीनों पहले कोई सीक्रेट याद कर लिया था (या लिख लिया था, या दोबारा इस्तेमाल किया था)।
- शॉर्ट-लिव्ड और सिंगल-यूज़। कोड्स जल्दी एक्सपायर हो जाते हैं और एक बार सफल इस्तेमाल के बाद इनवैलिड हो जाते हैं, उस पासवर्ड के उलट जो तब तक वैलिड रहता है जब तक आप खुद उसे न बदलें।
ट्रेड-ऑफ़ यह है कि WhatsApp या ईमेल डिलीवरी अब आपके लॉगिन के क्रिटिकल पाथ का हिस्सा बन जाती है — अगर आप दोनों तक एक्सेस खो देते हैं, तो अकाउंट रिकवरी उसी वेरिफाइड-डेस्टिनेशन मॉडल को फॉलो करती है, न कि किसी “सिक्योरिटी क्वेश्चंस” फॉलबैक को, जो पासवर्ड-बेस्ड सिस्टम्स में ऐतिहासिक रूप से सबसे कमज़ोर कड़ी रहा है।
पारंपरिक पासवर्ड + अलग OTP वेरिफिकेशन से यह कैसे अलग है
एक पारंपरिक फ्लो कुछ ऐसा दिखता है: एक पासवर्ड चुनें, एक अलग लिंक से अपना ईमेल कन्फर्म करें, फिर बाद में सेटिंग्स में जाकर SMS या पुश नोटिफिकेशंस के लिए फ़ोन नंबर वेरिफाई करें। यह तीन अलग-अलग प्रूफ़ पॉइंट्स हैं, तीन अलग-अलग जगहें जहां कुछ भी बासी पड़ सकता है — हफ़्तों से अकाउंट में पड़ा एक अनवेरिफाइड फ़ोन नंबर, एक पासवर्ड जो बाकी चार सर्विसेज़ पर इस्तेमाल हुए पासवर्ड जैसा ही है, एक ईमेल कन्फर्मेशन लिंक जो किसी के क्लिक करने से पहले ही एक्सपायर हो गया।
WALLAWHATS इसे हर डेस्टिनेशन के लिए एक ही प्रूफ़ पॉइंट तक सीमित कर देता है। एक WhatsApp नंबर जोड़ें, और उसे वेरिफाई करने के लिए मिला कोड ही आगे चलकर उस डिवाइस पर आपको लॉग इन कराने वाला कोड होता है। यहां कोई अनवेरिफाइड स्टेट लटकी हुई नहीं छूटती, क्योंकि अकाउंट और डेस्टिनेशन दोनों साथ-साथ “वेरिफाइड” स्टेटस पर पहुंचते हैं।
इसका मतलब यह भी है कि डेस्टिनेशन बदलना या जोड़ना बस… एक नई डेस्टिनेशन से साइन इन करना भर है। Business या Enterprise प्लान के तहत दूसरा वेरिफाइड नंबर जोड़ना चाहते हैं? उसे डालें, कोड पाएं, कन्फर्म करें। तीन मेनू नीचे दबा हुआ कोई अलग “फ़ोन नंबर जोड़ें” फ़ॉर्म नहीं।
सेटअप करना: आप असल में क्या देखेंगे
wallawhats.com/signup पर, आपसे बस एक चीज़ पूछी जाती है: एक ईमेल एड्रेस या एक WhatsApp नंबर। बस यही पूरा फ़ॉर्म है।
- एक WhatsApp number डालें, और कोड कुछ ही सेकंड में एक WhatsApp मैसेज के रूप में पहुंच जाता है — वही चैनल जो बाद में आपके X अलर्ट्स भी ले जाएगा।
- एक email डालें, और कोड आपके इनबॉक्स में पहुंच जाता है — यह तब काम आता है जब आप अपने पर्सनल WhatsApp को छुए बिना किसी शेयर्ड या वर्क डिवाइस से लॉगिन करना चाहते हैं, या जब आप ईमेल को अपना अलर्ट चैनल बना रहे हों।
दोनों ही सूरत में, आपको 6-अंकों का कोड मांगने वाली एक स्क्रीन मिलती है, उसे टाइप करें, और आप dashboard पर पहुंच जाते हैं। वहां से आप कभी भी Channels पेज से एक दूसरा चैनल जोड़ सकते हैं (जैसे, ईमेल से साइन अप करने के बाद एक WhatsApp नंबर, या इसका उल्टा) — हर नई डेस्टिनेशन अलर्ट्स पाने से पहले उसी वन-टाइम-कोड वेरिफिकेशन से गुज़रती है। अगर आपको यह तय करना मुश्किल लग रहा है कि इसके लिए किस तरह का WhatsApp नंबर इस्तेमाल करें, तो हमारी Business vs Personal number guide ट्रेड-ऑफ़्स को विस्तार से समझाती है।
अकाउंट की ऐसी कोई सेटिंग नहीं है जहां कोई फ़ोन नंबर “जोड़ा गया लेकिन अनवेरिफाइड” पड़ा रहे। हर डेस्टिनेशन ने या तो अपना कोड चैलेंज पूरा किया है, या फिर वह आपके अकाउंट से जुड़ी ही नहीं है।
यह क्या नहीं है, इस पर एक नोट
सिक्योरिटी मॉडल को लेकर साफ़ रहें: यह उन चैनल्स (WhatsApp, ईमेल) पर वन-टाइम-कोड ऑथेंटिकेशन है जिन पर आप पहले से भरोसा करते हैं, न कि पारंपरिक अर्थ वाला मल्टी-फैक्टर ऑथेंटिकेशन जहां “पासवर्ड प्लस एक दूसरा फैक्टर” होता है। इसमें एक असली फ़र्क़ है। पारंपरिक MFA पासवर्ड के ऊपर एक दूसरा इंडिपेंडेंट प्रूफ़ जोड़ता है। WALLAWHATS का मॉडल पासवर्ड की जगह एक कम्युनिकेशन चैनल पर पज़ेशन को रख देता है — जो एक अलग रिस्क ट्रेड-ऑफ़ है, हर पहलू में सख्ती से ज़्यादा मज़बूत नहीं। एक नोटिफिकेशन सर्विस के लिए यही सही ट्रेड-ऑफ़ है, जहां पूरी बात यही है कि प्रोडक्ट इस्तेमाल करने के लिए आपको वैसे भी एक वेरिफाइड डेस्टिनेशन चाहिए होती है; लॉगिन के लिए उसी वेरिफिकेशन स्टेप को दोबारा इस्तेमाल करने से फ्रिक्शन कम होता है, बिना किसी असली सिक्योरिटी लेयर को हटाए, क्योंकि शुरुआत में कोई पासवर्ड-बेस्ड लेयर थी ही नहीं।
अगर आप लॉगिन और अलर्ट्स दोनों के लिए चैनल्स के बीच चुनाव कर रहे हैं, तो हमारी email vs WhatsApp comparison डिलीवरी स्पीड और रीड-रेट के उन ट्रेड-ऑफ़्स को कवर करती है जो साइन-इन कोड्स पर भी लागू होते हैं — एक WhatsApp कोड आपको कुछ ही सेकंड में नज़र आ जाएगा; एक ईमेल कोड आपके इनबॉक्स से मुक़ाबला करता है।
खासतौर पर एक अलर्ट्स प्रोडक्ट के लिए यह क्यों मायने रखता है
जिस प्रोडक्ट का पूरा काम ही यह है कि “आपकी चुनी हुई डेस्टिनेशन पर भरोसेमंद तरीके से एक मैसेज डिलीवर करना,” वहां आइडेंटिटी और डेस्टिनेशन एक-दूसरे से अलग नहीं हो सकतीं। अगर साइन-इन और चैनल वेरिफिकेशन अलग-अलग सिस्टम होते, तो आप ऐसे अकाउंट में लॉग इन हो सकते थे जिसका WhatsApp नंबर सालों पहले जोड़ा गया था, हो सकता है कैरियर ने तब से उसे किसी और को असाइन कर दिया हो, और वह कभी दोबारा कन्फर्म ही न हुआ हो। लॉगिन को उस डेस्टिनेशन पर भेजे गए एक ताज़ा कोड से जोड़ने का मतलब है कि यह रिस्क सिरे से ही मौजूद नहीं है — आप किसी ऐसे चैनल के ज़रिए लॉग इन नहीं हो सकते जो अभी रीचेबल नहीं है, क्योंकि रीचेबिलिटी ही वह चीज़ है जिसने आपको लॉग इन कराया।
इसका मतलब यह भी है कि आम मामलों में अकाउंट रिकवरी के लिए किसी सपोर्ट टिकट की ज़रूरत नहीं पड़ती। फ़ोन खो गया? इसके बजाय अपने ईमेल से साइन इन करें — वही फ्लो, वही वन-टाइम कोड, और आपकी WhatsApp डेस्टिनेशन (एक बार जब आप उसे नए डिवाइस पर दोबारा वेरिफाई कर लें) ठीक वहीं से आगे बढ़ जाती है जहां छूटी थी।
जब कोड नहीं पहुंचता तो क्या होता है
कोई भी सिस्टम जो डिलीवरी को किसी थर्ड-पार्टी नेटवर्क के हवाले करता है — एक कैरियर, WhatsApp का अपना इंफ्रास्ट्रक्चर, एक ईमेल प्रोवाइडर — उसे इस बात के लिए भी तैयार रहना होता है कि कोड फ़ौरन न पहुंचे। इसे कैसे हैंडल किया जाता है, इस पर कुछ प्रैक्टिकल नोट्स:
- एक्सपायरी छोटी रखी गई है, और यह जानबूझकर है। एक कोड जो घंटों तक वैलिड रहे, वह मिनटों तक वैलिड रहने वाले कोड से कहीं बड़ा टारगेट है। अगर आपका कोड टाइप करने से पहले एक्सपायर हो जाता है, तो नया कोड मांगते ही पुराना कोड तुरंत इनवैलिड हो जाता है।
- दोबारा भेजें, दोबारा टाइप न करें। अगर कोई WhatsApp मैसेज कुछ सेकंड की देरी से आता है (पीक सेंड टाइम्स में यह सामान्य है) या कोई ईमेल स्पैम फ़ोल्डर में चला जाता है, तो साइन-इन स्क्रीन आपको अनिश्चित काल तक पहले अटेम्प्ट का इंतज़ार कराने के बजाय एक रीसेंड ऑप्शन देती है।
- रेट लिमिटिंग दोनों तरफ़ की सुरक्षा करती है। एक ही डेस्टिनेशन पर बार-बार कोड रिक्वेस्ट थ्रॉटल कर दी जाती हैं। यह सिर्फ़ WALLAWHATS के लिए एक एंटी-अब्यूज़ उपाय नहीं है — यह किसी एक अकाउंट को WhatsApp या किसी ईमेल प्रोवाइडर के डिलीवरी सिस्टम्स को गलती से हथौड़े की तरह पीटने से भी रोकती है, अगर ऊपर से कहीं कुछ आक्रामक तरीके से रीट्राई हो रहा हो।
- अगर एक चैनल अनरीचेबल है तो चैनल बदल लें। अगर आपके फ़ोन में सिग्नल नहीं है लेकिन आप अपने लैपटॉप पर हैं, तो इसके बजाय ईमेल से साइन इन करें — यह उसी अकाउंट तक पहुंचने का एक पूरी तरह इंडिपेंडेंट रास्ता है, कोई ऐसा फॉलबैक नहीं जो WhatsApp अटेम्प्ट के फेल होने पर निर्भर हो।
इनमें से कुछ भी सिर्फ़ WALLAWHATS के लिए खास नहीं है; यह वही ऑपरेशनल रियलिटी है जिसके इर्द-गिर्द किसी भी OTP-बेस्ड सिस्टम को डिज़ाइन करना पड़ता है। फ़र्क़ यह है कि क्योंकि यह कोड आपकी चैनल वेरिफिकेशन भी है, इसलिए एक सफल साइन-इन आपको बता देता है कि आपकी अलर्ट डेस्टिनेशन अभी लाइव है — जो एक पासवर्ड कभी नहीं बता सकता था।
अक्सर पूछे जाने वाले सवाल
क्या मैं साइन इन करने के लिए WhatsApp और ईमेल दोनों इस्तेमाल कर सकता हूं? हां। हर एक को पहली बार इस्तेमाल करते समय अलग-अलग वेरिफाई किया जाता है, और उसके बाद दोनों में से कोई भी आपको उसी अकाउंट में ले जाता है।
अगर मैं साइन इन पूरा नहीं करता, तो क्या नया कोड मेरा WhatsApp चैनल इनवैलिड कर देता है? नहीं। एक अधूरा या एक्सपायर हो चुका साइन-इन अटेम्प्ट किसी पहले से वेरिफाइड चैनल को प्रभावित नहीं करता — यह सिर्फ़ पहली बार किसी नई डेस्टिनेशन को वेरिफाई करते समय मायने रखता है।
अगर मुझे बाद में अपना फ़ोन नंबर बदलना हो तो? Channels पेज से नए नंबर को एक चैनल के तौर पर जोड़ें; अलर्ट्स पाने से पहले वह अपने खुद के वन-टाइम कोड से गुज़रेगा। आपका पुराना नंबर तब तक बरकरार रहता है जब तक आप उसे हटा न दें।
क्या यह SMS-बेस्ड टू-फैक्टर ऑथेंटिकेशन जैसा ही है? पूरी तरह नहीं। पारंपरिक SMS 2FA एक पासवर्ड के ऊपर लगाया गया दूसरा फैक्टर है। यहां, कोड ही पूरा ऑथेंटिकेशन मैकेनिज़्म है — इसके नीचे कोई पासवर्ड ही नहीं है जिसमें एक दूसरा फैक्टर जोड़ा जाए।
शुरुआत कैसे करें
पासवर्डलेस साइन-इन कोई अलग से कॉन्फ़िगर करने वाला फ़ीचर नहीं है — यह बस वह तरीका है जिससे Free से लेकर ऊपर तक हर प्लान पर WALLAWHATS में लॉगिन काम करता है। अगर आपने अभी तक अलर्ट्स सेट अप नहीं किए हैं, तो हमारी गेटिंग-स्टार्टेड गाइड में दिया वॉकथ्रू पहले साइन-इन से लेकर आपके पहले WhatsApp अलर्ट तक का पूरा रास्ता कवर करता है।
अब कभी कोई ज़रूरी पोस्ट मिस न करें। एक फ्री अकाउंट बनाएं — 1 WhatsApp नंबर, रियल-टाइम अलर्ट्स, किसी क्रेडिट कार्ड की ज़रूरत नहीं।
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

लेखक के बारे में
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



