Kako funkcionira prijava bez lozinke — jedan kod pokriva prijavu i WhatsApp verifikaciju
WALLAWHATS koristi jedan 6-znamenkasti kod i za prijavu i za WhatsApp verifikaciju. Evo kako to funkcionira, zašto je sigurno i kako se uspoređuje s prijavom putem lozinke.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Svaka lozinka koju ste ikada stvorili mala je obveza koja negdje sjedi u bazi podataka — vašoj ili tuđoj. Ponovno korištene lozinke, slabe lozinke, phishingom ukradene lozinke: većina preuzimanja računa i dalje počinje s vjerodajnicom, a ne s zero-day ranjivosti. WALLAWHATS zaobilazi cijelu tu kategoriju tako što uopće nema lozinki. Prijava i WhatsApp verifikacija rješavaju se istim mehanizmom: jedinstvenim 6-znamenkastim kodom poslanim na odredište koje sami kontrolirate.
To nije samo skraćeni put u korisničkom iskustvu. Znači da u trenutku kad stvorite račun, ujedno ste dokazali da posjedujete broj telefona ili inbox na koji će upozorenja o objavama na X-u (Twitteru) stići samo nekoliko sekundi kasnije.

Što ovdje zapravo znači “bez lozinke”
Prijava bez lozinke nije nova ideja — banke godinama koriste SMS kodove, a većina upravitelja lozinkama danas vas potiče na magične poveznice. Ono što je drugačije u WALLAWHATS-ovoj implementaciji jest to što isti jednokratni kod kojim se prijavljujete u svoj račun ujedno verificira i odredište na koje će stizati vaša upozorenja. Ne postoji zaseban korak “potvrdite svoj broj telefona” skriven u postavkama nakon registracije. Vlasništvo nad odredištem i spremnost za dostavu uspostavljaju se u jednom potezu.
Konkretno:
- Na ekranu za prijavu unosite adresu e-pošte ili WhatsApp broj.
- WALLAWHATS generira 6-znamenkasti brojčani kod i šalje ga na to odredište.
- Kod upisujete natrag u aplikaciju unutar kratkog vremenskog okvira valjanosti.
- Nakon uspješne provjere prijavljeni ste — a ako je odredište bio broj telefona, sada je to verificirani kanal spreman za primanje upozorenja.
Nema lozinke koju treba odabrati, zapamtiti, mijenjati ili koja može procuriti. Nema toka “zaboravljena lozinka”, jer lozinke nikad nije ni bilo da se zaboravi.
Mehanika: Cognito Custom Auth, a ne dograđena OTP biblioteka
Ispod haube, ovo se pokreće na AWS Cognito Custom Authentication toku — ne na OTP dodatku trećih strana nadograđenom na tradicionalni pool s korisničkim imenom i lozinkom. Tri Lambda okidača surađuju kako bi ovo funkcioniralo:
- PreSignUp automatski potvrđuje nove korisnike prvi put kada se pokušaju prijaviti s odredištem koje prije nije viđeno. Ne postoji zaseban obrazac “otvorite račun”; prijava s novom adresom e-pošte ili brojem jest otvaranje računa.
- CreateAuthChallenge generira 6-znamenkasti kod, sprema ga na poslužiteljskoj strani s kratkim TTL-om i šalje ga na odredište — putem WhatsAppa ako ste unijeli broj telefona, odnosno putem e-pošte u suprotnom.
- VerifyAuthChallengeResponse provjerava kod koji ste upisali u odnosu na izdani kod, odbija istekle ili nepodudarne pokušaje i ograničava broj ponovnih pokušaja.
Budući da se sve ovo odvija unutar Cognitovog upravljanog stroja stanja za autentifikaciju, vrijede standardna jamstva: tokeni imaju kratak vijek trajanja, tokovi osvježavanja obrađuju se istom infrastrukturom koja štiti ostatak platforme, a ne postoji prilagođeni kôd za sesijske tokene koji bi trebalo revidirati zbog uobičajenih grešaka (predvidljivi ID-jevi, nedovoljna entropija, izostanak provjere isteka valjanosti) koje muče domaće implementacije tipa “samo im pošaljite kod e-poštom”.
Zašto isti kod obavlja dva posla
Većina usluga tretira “dokažite tko ste” i “dokažite da ovdje možete primati poruke” kao dva odvojena koraka — registrirate se lozinkom, a zatim zasebno verificirate broj telefona za obavijesti. WALLAWHATS ih spaja jer su, za proizvod za upozorenja, to zapravo isto pitanje postavljeno dvaput.
Ako WALLAWHATS treba dostaviti WhatsApp poruku na neki broj, mora znati dvije stvari: da je broj stvaran i dostupan te da osoba koja se prijavljuje doista njime upravlja. 6-znamenkasti kod poslan na taj točan broj i ispravno upisan natrag odgovara na oboje odjednom. Ne postoji scenarij u kojem ste “prijavljeni”, a vaše WhatsApp odredište nije verificirano, jer je prijava bila verifikacija.
Ista logika vrijedi za e-poštu. Prijavite se adresom e-pošte, primite kod na nju, upišite ga natrag — sada ste prijavljeni, a taj je inbox potvrđeno odredište za upozorenja e-poštom (koja, na svakom planu, uključuju prikaz snimke svakog tweeta uz tekst).
Zašto je ovo sigurnije nego što djeluje
Prijava bez lozinke zvuči kao da bi trebala biti manje sigurna — nema lozinke, nema trezora. U praksi zatvara nekoliko najčešćih načina na koje stvarni računi bivaju kompromitirani:
- Nema credential stuffinga. Ne postoji ponovno korištena lozinka iz probijene stranice koju bi napadač mogao isprobati na vašoj WALLAWHATS prijavi, jer nema lozinke koju bi mogao ukrasti.
- Nema površine za napad putem resetiranja lozinke. Velik dio preuzimanja računa događa se kroz tok “zaboravljena lozinka” — napadač koji kontrolira vaš inbox resetira vam lozinku posvuda. Uklanjanjem lozinki taj tok u potpunosti nestaje.
- Temelji se na posjedovanju, a ne na pamćenju. Kod dokazuje da upravo sada imate pristup telefonu ili inboxu, a ne da ste zapamtili (ili zapisali, ili ponovno koristili) tajnu prije nekoliko mjeseci.
- Kratkog je vijeka i jednokratan. Kodovi brzo istječu i poništavaju se nakon jedne uspješne upotrebe, za razliku od lozinke koja ostaje valjana dok je ručno ne promijenite.
Kompromis je u tome što dostava putem WhatsAppa ili e-pošte postaje dio vašeg kritičnog puta prijave — ako izgubite pristup objema, oporavak računa slijedi isti model verificiranog odredišta, umjesto rezervnog rješenja tipa “sigurnosna pitanja” koje je povijesno bilo najslabija karika u sustavima temeljenim na lozinkama.
Kako se ovo uspoređuje s tradicionalnom lozinkom + zasebnom OTP verifikacijom
Uobičajen tok izgleda ovako: odaberete lozinku, potvrdite e-poštu putem zasebne poveznice, a zatim kasnije odete u postavke i verificirate broj telefona za SMS ili push obavijesti. To su tri odvojene točke dokaza, tri odvojena mjesta na kojima nešto može zastarjeti — neverificiran broj telefona koji tjednima stoji na računu, lozinka identična onoj korištenoj na četiri druge usluge, poveznica za potvrdu e-pošte koja je istekla prije nego što ju je itko kliknuo.
WALLAWHATS to svodi na jednu točku dokaza po odredištu. Dodate WhatsApp broj, a kod koji primite radi njegove verifikacije isti je kod kojim se ubuduće prijavljujete na tom uređaju. Ne postoji neverificirano stanje koje bi ostalo visjeti, jer račun i odredište zajedno postižu status “verificirano”.
To također znači da je promjena ili dodavanje odredišta samo… prijava s novim odredištem. Želite dodati drugi verificirani broj u sklopu Business ili Enterprise plana? Unesite ga, primite kod, potvrdite ga. Nema zasebnog obrasca “dodaj broj telefona” skrivenog tri izbornika duboko.
Postavljanje: što ćete zapravo vidjeti
Na wallawhats.com/signup od vas se traži samo jedna stvar: adresa e-pošte ili WhatsApp broj. To je cijeli obrazac.
- Unesete WhatsApp broj, i kod stiže kao WhatsApp poruka u roku od nekoliko sekundi — istim kanalom kojim će kasnije stizati vaša upozorenja s X-a.
- Unesete e-poštu, i kod slijeće u vaš inbox — korisno ako se želite prijaviti sa zajedničkog ili poslovnog uređaja bez diranja osobnog WhatsAppa, ili ako e-poštu postavljate kao svoj kanal za upozorenja.
U svakom slučaju, dobijete ekran koji traži 6-znamenkasti kod, upišete ga i nalazite se na nadzornoj ploči. Odatle u bilo kojem trenutku možete dodati drugi kanal (recimo, WhatsApp broj nakon registracije e-poštom, ili obrnuto) na stranici Channels — svako novo odredište prolazi kroz istu jednokratnu verifikaciju kodom prije nego što može primati upozorenja. Ako niste sigurni koju vrstu WhatsApp broja koristiti za ovo, naš vodič Business vs Personal broj razlaže prednosti i nedostatke.
Ne postoji postavka računa u kojoj broj telefona stoji “dodan, ali neverificiran”. Svako odredište ili je prošlo vlastiti izazov kodom, ili nije povezano s vašim računom.
Napomena o tome što ovo nije
Da budemo precizni oko sigurnosnog modela: ovo je autentifikacija jednokratnim kodom putem kanala kojima već vjerujete (WhatsApp, e-pošta), a ne višefaktorska autentifikacija u tradicionalnom smislu “lozinka plus drugi faktor”. Postoji značajna razlika. Tradicionalni MFA dodaje drugi neovisni dokaz povrh lozinke. WALLAWHATS-ov model zamjenjuje lozinku posjedovanjem komunikacijskog kanala — što je drugačiji kompromis rizika, a ne strogo jači u svakoj dimenziji. To je pravi kompromis za uslugu obavijesti, gdje je cijela poanta da vam već treba verificirano odredište da biste uopće koristili proizvod; ponovna upotreba tog koraka verifikacije za prijavu uklanja trenje bez uklanjanja značajnog sigurnosnog sloja, jer sloj temeljen na lozinci nikad nije ni postojao.
Ako birate između kanala i za prijavu i za upozorenja, naša usporedba e-pošte i WhatsAppa obrađuje kompromise brzine dostave i stope čitanja koji vrijede i za kodove prijave — WhatsApp kod primijetit ćete u roku od nekoliko sekundi; kod e-poštom natječe se s ostatkom vašeg inboxa.
Zašto je ovo posebno važno za proizvod za upozorenja
Za proizvod čiji je cijeli posao “pouzdano dostaviti poruku na odredište koje ste odabrali”, identitet i odredište ne smiju se razdvojiti. Da su prijava i verifikacija kanala bili odvojeni sustavi, mogli biste završiti prijavljeni na računu čiji je WhatsApp broj dodan prije godina, možda u međuvremenu preraspodijeljen nekom drugom od strane operatera, i nikad ponovno potvrđen. Vezivanje prijave uz svjež kod poslan izravno na odredište znači da taj rizik po konstrukciji ne postoji — ne možete biti prijavljeni putem kanala koji trenutno nije dostupan, jer je dostupnost ono što vas je uopće prijavilo.
To također znači da oporavak računa u uobičajenom slučaju ne zahtijeva prijavu podrške. Izgubili ste telefon? Prijavite se putem e-pošte umjesto toga — isti tok, isti jednokratni kod, a vaše WhatsApp odredište (nakon što ga ponovno verificirate na novom uređaju) nastavlja točno ondje gdje je stalo.
Što se događa kad kod ne stigne
Svaki sustav koji dostavu prepušta mreži treće strane — operateru, samoj WhatsApp infrastrukturi, pružatelju e-pošte — mora računati na to da kod neće stići trenutačno. Nekoliko praktičnih napomena o tome kako se to rješava:
- Rok valjanosti je kratak, i to namjerno. Kod koji vrijedi satima veća je meta od onoga koji vrijedi minutama. Ako vaš istekne prije nego što ga upišete, zahtjev za novim odmah poništava stari kod.
- Ponovno pošaljite, ne pokušavajte iznova upisivati. Ako je WhatsApp poruka kasnila nekoliko sekundi (uobičajeno u vrijeme vršnog opterećenja) ili je e-pošta sletjela u mapu neželjene pošte, ekran za prijavu nudi opciju ponovnog slanja umjesto da vas tjera da neograničeno čekate prvi pokušaj.
- Ograničenje broja zahtjeva štiti obje strane. Ponovljeni zahtjevi za kodom prema istom odredištu ograničavaju se. To nije samo mjera protiv zlouporabe za WALLAWHATS — također sprječava da jedan račun slučajno preoptereti WhatsAppove ili sustave dostave pružatelja e-pošte ako se nešto uzvodno agresivno ponavlja.
- Promijenite kanal ako je jedan nedostupan. Ako vaš telefon nema signal, ali ste za laptopom, prijavite se umjesto toga putem e-pošte — to je potpuno neovisan put do istog računa, a ne rezervno rješenje koje ovisi o prethodnom neuspjehu WhatsApp pokušaja.
Ništa od ovoga nije jedinstveno za WALLAWHATS; riječ je o istoj operativnoj stvarnosti oko koje se mora dizajnirati svaki sustav temeljen na OTP-u. Razlika je u tome što, budući da je kod ujedno i verifikacija vašeg kanala, uspješna prijava govori vam da je vaše odredište za upozorenja trenutno aktivno — što lozinka nikad ne bi mogla.
Često postavljana pitanja
Mogu li koristiti i WhatsApp i e-poštu za prijavu? Da. Svaki se verificira neovisno prvi put kad ga koristite, a nakon toga vas oba vode na isti račun.
Poništava li novi kod moj WhatsApp kanal ako ne dovršim prijavu? Ne. Nedovršen ili istekao pokušaj prijave ne utječe na već verificirani kanal — bitan je samo pri verifikaciji novog odredišta prvi put.
Što ako kasnije želim promijeniti broj telefona? Dodajte novi broj kao kanal na stranici Channels; on prolazi kroz vlastiti jednokratni kod prije nego što može primati upozorenja. Vaš stari broj ostaje netaknut dok ga ne uklonite.
Je li ovo isto što i dvofaktorska autentifikacija putem SMS-a? Ne baš. Tradicionalna SMS dvofaktorska autentifikacija drugi je faktor koji se nadograđuje povrh lozinke. Ovdje je kod cijeli mehanizam autentifikacije — ispod njega nema lozinke kojoj bi se dodao drugi faktor.
Kako početi
Prijava bez lozinke nije zasebna značajka koju treba konfigurirati — jednostavno je tako kako prijava u WALLAWHATS funkcionira, na svakom planu od Free naviše. Ako još niste postavili upozorenja, vodič u našem uvodnom vodiču obrađuje cijeli put od prve prijave do vašeg prvog WhatsApp upozorenja.
Nikad više ne propustite važnu objavu. Otvorite besplatan račun — 1 WhatsApp broj, upozorenja u stvarnom vremenu, bez potrebe za kreditnom karticom.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

O autoru
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



