Hogyan működik a jelszó nélküli bejelentkezés — egyetlen kód fedi le a belépést és a WhatsApp-ellenőrzést

A WALLAWHATS egyetlen 6 jegyű kódot használ a bejelentkezéshez és a WhatsApp-ellenőrzéshez is. Íme a folyamat, hogy miért biztonságos, és hogyan viszonyul a jelszavas hitelesítéshez.

Nacho Collszerző: Frissítve: 10 perc olvasás
A WALLAWHATS egyetlen 6 jegyű kódot használ a bejelentkezéshez és a WhatsApp-ellenőrzéshez is. Íme a folyamat, hogy miért biztonságos, és hogyan viszonyul a jelszavas hitelesítéshez.

Minden jelszó, amit valaha létrehoztál, egy apró kockázati tényező, amely valahol egy adatbázisban lapul — a tiéd vagy valaki másé. Újrafelhasznált jelszavak, gyenge jelszavak, adathalászattal megszerzett jelszavak: a legtöbb fiók feltörése még mindig egy hitelesítő adaton múlik, nem egy zero-day sebezhetőségen. A WALLAWHATS az egész kategóriát megkerüli azzal, hogy eleve nincsenek jelszavak. A bejelentkezést és a WhatsApp-ellenőrzést ugyanaz a mechanizmus kezeli: egyetlen 6 jegyű kód, amelyet egy általad megadott célra küldünk el.

Ez nem csupán egy UX-trükk. Azt jelenti, hogy a fiók létrehozásának pillanatában egyúttal azt is bizonyítottad, hogy a tiéd az a telefonszám vagy postafiók, amelybe másodperceken belül megérkeznek majd az X-en (Twitteren) megjelenő bejegyzésekről szóló riasztások.

Sign-in screen with email entry for the passwordless OTP flow

Mit jelent valójában a „jelszó nélküli” itt

A jelszó nélküli hitelesítés nem új ötlet — a bankok évek óta használnak SMS-kódokat, és a legtöbb jelszókezelő ma már a mágikus linkek felé tereli a felhasználókat. Ami a WALLAWHATS megvalósításában más, az az, hogy ugyanaz az egyszer használatos kód, amely beenged a fiókodba, egyúttal ellenőrzi azt a célt is, amely a riasztásaidat fogja fogadni. Nincs külön, a beállítások mélyén elrejtett „telefonszám megerősítése” lépés a regisztráció után. A tulajdonjog és a kézbesítésre való készenlét egyetlen mozdulattal jön létre.

Konkrétan:

  1. Megadsz egy e-mail-címet vagy egy WhatsApp-számot a bejelentkezési képernyőn.
  2. A WALLAWHATS generál egy 6 jegyű numerikus kódot, és elküldi az adott célra.
  3. A kódot rövid lejárati időn belül visszaírod az alkalmazásba.
  4. Sikeres beírás esetén be vagy jelentkezve — és ha a cél egy telefonszám volt, az mostantól ellenőrzött csatorna, amely készen áll a riasztások fogadására.

Nincs jelszó, amit ki kellene választani, megjegyezni, cserélni vagy elveszíteni. Nincs „elfelejtett jelszó” folyamat, mert soha nem is volt jelszó, amit el lehetett volna felejteni.

A működés mögött: Cognito Custom Auth, nem egy rácsatolt OTP-könyvtár

A háttérben mindez az AWS Cognito Custom Authentication folyamatára épül — nem egy harmadik féltől származó OTP-kiegészítőre, amelyet egy hagyományos felhasználónév/jelszó-poolra pakoltak rá. Három Lambda-trigger működik együtt, hogy ez működjön:

  • PreSignUp automatikusan megerősíti az új felhasználókat, amikor először próbálnak bejelentkezni egy még nem látott céllal. Nincs külön „fiók létrehozása” űrlap; egy új e-mail-címmel vagy számmal való bejelentkezés maga a fiók létrehozása.
  • CreateAuthChallenge legenerálja a 6 jegyű kódot, szerveroldalon eltárolja rövid TTL-lel, és elküldi a célnak — WhatsAppon, ha telefonszámot adtál meg, egyébként e-mailben.
  • VerifyAuthChallengeResponse összeveti a beírt kódot a kiadottal, elutasítja a lejárt vagy nem egyező próbálkozásokat, és korlátozza az ismételt kísérletek gyakoriságát.

Mivel mindez a Cognito felügyelt hitelesítési állapotgépén belül fut, a szokásos garanciák érvényesek: a tokenek rövid élettartamúak, a frissítési folyamatokat ugyanaz az infrastruktúra kezeli, amely a platform többi részét is védi, és nincs egyedi munkamenet-token kód, amit auditálni kellene a házi „csak küldjünk egy kódot e-mailben” megoldásokat sújtó szokásos hibák (kiszámítható azonosítók, elégtelen entrópia, hiányzó lejárat-ellenőrzés) miatt.

Miért fedi le ugyanaz a kód két feladatot

A legtöbb szolgáltatás két külön lépésként kezeli a „bizonyítsd, ki vagy” és a „bizonyítsd, hogy itt tudsz üzenetet fogadni” kérdést — regisztrálsz egy jelszóval, majd külön ellenőrzöd a telefonszámodat az értesítésekhez. A WALLAWHATS ezt összevonja, mert egy riasztási termék esetében ez ugyanaz a kérdés, kétszer feltéve.

Ha a WALLAWHATS egy WhatsApp-üzenetet akar kézbesíteni egy számra, két dolgot kell tudnia: hogy a szám valós és elérhető, és hogy a bejelentkező személy valóban rendelkezik felette. Egy pontosan erre a számra küldött, majd helyesen visszaírt 6 jegyű kód egyszerre válaszol mindkét kérdésre. Nincs olyan forgatókönyv, amelyben „be vagy jelentkezve”, de a WhatsApp-célod nincs ellenőrizve, mert a bejelentkezés maga volt az ellenőrzés.

Ugyanez a logika érvényes az e-mailre is. Jelentkezz be egy e-mail-címmel, kapj ott egy kódot, írd vissza — mostantól be vagy jelentkezve, és az a postafiók megerősített célja lesz az e-mailes riasztásoknak (amelyek minden csomagban tartalmazzák az adott tweet renderelt pillanatképét a szöveg mellett).

Miért biztonságosabb ez, mint amilyennek érződik

A jelszó nélküli hitelesítés elsőre kevésbé biztonságosnak hangzik — nincs jelszó, nincs széf. A gyakorlatban viszont bezár számos olyan utat, amelyen keresztül a valódi fiókokat leggyakrabban feltörik:

  • Nincs credential stuffing. Nincs egy feltört oldalról származó, újrafelhasznált jelszó, amit egy támadó kipróbálhatna a WALLAWHATS-bejelentkezéseden, mert eleve nincs ellopható jelszó.
  • Nincs jelszó-visszaállítási támadási felület. A fiókfeltörések jelentős része az „elfelejtett jelszó” folyamaton keresztül történik — egy támadó, aki uralja a postafiókodat, mindenhol visszaállítja a jelszavadat. A jelszavak megszüntetése ezt a folyamatot teljesen kiiktatja.
  • Birtokláson alapul, nem memórián. A kód azt bizonyítja, hogy most éppen hozzáférsz a telefonhoz vagy a postafiókhoz, nem azt, hogy hónapokkal ezelőtt megjegyeztél (vagy leírtál, vagy újrafelhasználtál) egy titkot.
  • Rövid élettartamú és egyszer használatos. A kódok gyorsan lejárnak, és egy sikeres felhasználás után érvénytelenné válnak, ellentétben egy jelszóval, amely mindaddig érvényes marad, amíg manuálisan meg nem változtatod.

A kompromisszum az, hogy a WhatsApp- vagy e-mail-kézbesítés a bejelentkezési folyamat kritikus részévé válik — ha mindkettőhöz elveszíted a hozzáférést, a fiók-helyreállítás ugyanazt az ellenőrzött célra épülő modellt követi, nem pedig egy „biztonsági kérdések” tartalék megoldást, amely történelmileg a jelszavas rendszerek leggyengébb láncszeme volt.

Hogyan viszonyul ez a hagyományos jelszó + külön OTP-ellenőrzéshez

Egy hagyományos folyamat így néz ki: választasz egy jelszót, egy külön linken megerősíted az e-mail-címedet, majd később bemész a beállításokba, és ellenőrzöl egy telefonszámot az SMS- vagy push-értesítésekhez. Ez három külön bizonyítási pont, három külön hely, ahol valami elavulhat — egy hetekig ellenőrizetlenül lógó telefonszám a fiókban, egy jelszó, amely megegyezik a négy másik szolgáltatásnál használttal, egy e-mailes megerősítő link, amely lejárt, mielőtt bárki rákattintott volna.

A WALLAWHATS ezt egyetlen bizonyítási pontra csökkenti célonként. Adj hozzá egy WhatsApp-számot, és az ellenőrzéséhez kapott kód lesz ugyanaz a kód, amellyel ezen az eszközön a jövőben be tudsz jelentkezni. Nincs ellenőrizetlen állapot, ami lógva marad, mert a fiók és a cél együtt éri el az „ellenőrzött” állapotot.

Ez azt is jelenti, hogy egy cél váltása vagy hozzáadása nem más, mint… bejelentkezés egy újjal. Szeretnél egy második ellenőrzött számot hozzáadni Business vagy Enterprise csomagban? Add meg, kapd meg a kódot, erősítsd meg. Nincs külön, három menüvel lejjebb elrejtett „telefonszám hozzáadása” űrlap.

Beállítás: mit fogsz ténylegesen látni

A wallawhats.com/signup oldalon egyetlen dolgot kérünk tőled: egy e-mail-címet vagy egy WhatsApp-számot. Ennyiből áll a teljes űrlap.

  • Add meg egy WhatsApp-számot, és a kód másodperceken belül WhatsApp-üzenetként érkezik meg — ugyanazon a csatornán, amely később az X-riasztásaidat is hordozza majd.
  • Add meg egy e-mail-címet, és a kód a postafiókodba érkezik — ez akkor hasznos, ha egy közös vagy munkahelyi eszközről szeretnél bejelentkezni anélkül, hogy hozzányúlnál a személyes WhatsAppodhoz, vagy ha az e-mailt állítod be riasztási csatornaként.

Bármelyiket is választod, kapsz egy képernyőt, amely a 6 jegyű kódot kéri, beírod, és máris az irányítópulton vagy. Innen bármikor hozzáadhatsz egy második csatornát (mondjuk egy WhatsApp-számot, miután e-maillel regisztráltál, vagy fordítva) a Channels oldalról — minden új cél ugyanazon az egyszer használatos kódos ellenőrzésen megy keresztül, mielőtt riasztásokat fogadhatna. Ha nem vagy biztos benne, milyen típusú WhatsApp-számot használj ehhez, a Business vs. Personal szám útmutatónk részletesen bemutatja a kompromisszumokat.

Nincs olyan fiókbeállítás, ahol egy telefonszám „hozzáadva, de nem ellenőrizve” állapotban lógna. Minden cél vagy teljesítette a saját kódos ellenőrzését, vagy nincs is hozzáadva a fiókodhoz.

Egy megjegyzés arról, mi ez nem

Hogy pontosak legyünk a biztonsági modellt illetően: ez egyszer használatos kódos hitelesítés olyan csatornákon keresztül, amelyekben már amúgy is megbízol (WhatsApp, e-mail), nem pedig a hagyományos értelemben vett többfaktoros hitelesítés, azaz „jelszó plusz egy második faktor.” Van egy lényegi különbség. A hagyományos MFA egy második, független bizonyítékot ad a jelszó mellé. A WALLAWHATS modellje a jelszót egy kommunikációs csatorna birtoklásával helyettesíti — ez más kockázati kompromisszum, nem feltétlenül minden dimenzióban szigorúan erősebb. Ez a helyes kompromisszum egy értesítési szolgáltatás számára, ahol a lényeg úgyis az, hogy már eleve szükséged van egy ellenőrzött célra a termék használatához; ennek az ellenőrzési lépésnek az újrafelhasználása a bejelentkezéshez csökkenti a súrlódást anélkül, hogy egy jelentős biztonsági réteget elvenne, hiszen eleve nem is volt jelszó alapú réteg.

Ha a bejelentkezéshez és a riasztásokhoz is a csatornák között választasz, az e-mail vs. WhatsApp összehasonlításunk bemutatja a kézbesítési sebesség és az olvasási arány közötti kompromisszumokat, amelyek a bejelentkezési kódokra is érvényesek — egy WhatsApp-kódot másodperceken belül észreveszel; egy e-mailes kód versenyben áll a postafiókod többi tartalmával.

Miért számít ez különösen egy riasztási terméknél

Egy olyan termék esetében, amelynek egyetlen feladata, hogy „megbízhatóan kézbesítsen egy üzenetet az általad választott célra,” az azonosítás és a cél nem térhet el egymástól. Ha a bejelentkezés és a csatorna-ellenőrzés külön rendszerek lennének, előfordulhatna, hogy egy olyan fiókba vagy bejelentkezve, amelynek WhatsApp-száma évekkel ezelőtt lett hozzáadva, azóta esetleg a szolgáltató valaki másnak osztotta ki, és soha nem lett újra megerősítve. Azzal, hogy a bejelentkezést egy magára a célra küldött friss kódhoz kötjük, ez a kockázat eleve nem létezik — nem lehetsz bejelentkezve egy olyan csatornán keresztül, amely jelenleg nem elérhető, mert az elérhetőség az, ami beléptetett.

Ez azt is jelenti, hogy a fiók-helyreállítás a gyakori esetben nem igényel támogatási jegyet. Elvesztetted a telefonodat? Jelentkezz be inkább az e-mail-címeddel — ugyanaz a folyamat, ugyanaz az egyszer használatos kód, és a WhatsApp-célod (miután újra megerősítetted egy új eszközön) pontosan onnan folytatódik, ahol abbamaradt.

Mi történik, ha egy kód nem érkezik meg

Minden rendszernek, amely a kézbesítést egy harmadik fél hálózatára bízza — egy szolgáltatóra, a WhatsApp saját infrastruktúrájára, egy e-mail-szolgáltatóra —, számolnia kell azzal, hogy a kód nem jelenik meg azonnal. Néhány gyakorlati megjegyzés arról, hogyan kezeljük ezt:

  • A lejárati idő rövid, és ez szándékos. Egy órákig érvényes kód sokkal nagyobb célpont, mint egy, amely csak percekig érvényes. Ha a tiéd lejár, mielőtt beírnád, egy új kód kérése azonnal érvényteleníti a régit.
  • Küldd újra, ne írd be újra. Ha egy WhatsApp-üzenet néhány másodperces késéssel érkezik (ez normális a csúcsidőszakokban), vagy egy e-mail a spam mappában landol, a bejelentkezési képernyő egy újraküldés lehetőséget kínál, ahelyett hogy a végtelenségig várnod kellene az első próbálkozásra.
  • A gyakoriságkorlátozás mindkét oldalt védi. Az ugyanarra a célra érkező ismételt kódkéréseket korlátozzuk. Ez nemcsak egy visszaélés elleni intézkedés a WALLAWHATS számára — azt is megakadályozza, hogy egyetlen fiók véletlenül túlterhelje a WhatsApp vagy egy e-mail-szolgáltató kézbesítési rendszereit, ha valami feljebb agresszíven újrapróbálkozik.
  • Válts csatornát, ha az egyik elérhetetlen. Ha a telefonodnak nincs jele, de a laptopodnál vagy, jelentkezz be inkább e-maillel — ez egy teljesen független útvonal ugyanahhoz a fiókhoz, nem egy olyan tartalék, amely attól függ, hogy a WhatsApp-próbálkozás előbb elbukjon.

Ebben semmi sem egyedi a WALLAWHATS-ra nézve; ez ugyanaz a működési valóság, amely köré minden OTP-alapú rendszernek terveznie kell. A különbség az, hogy mivel a kód egyúttal a csatornád ellenőrzése is, egy sikeres bejelentkezés azt is elárulja, hogy a riasztási célod jelenleg élő — amit egy jelszó soha nem tudott volna megmondani.

Gyakran ismételt kérdések

Használhatom a WhatsAppot és az e-mailt is a bejelentkezéshez? Igen. Mindkettőt egymástól függetlenül ellenőrizzük az első használatkor, és utána bármelyikkel be tudsz jelentkezni ugyanabba a fiókba.

Érvényteleníti egy új kód a WhatsApp-csatornámat, ha nem fejezem be a bejelentkezést? Nem. Egy befejezetlen vagy lejárt bejelentkezési kísérlet nem érinti a már ellenőrzött csatornát — ez csak egy új cél első ellenőrzésekor számít.

Mi van, ha később szeretném megváltoztatni a telefonszámomat? Add hozzá az új számot csatornaként a Channels oldalról; a saját egyszer használatos kódos ellenőrzésén megy keresztül, mielőtt riasztásokat fogadhatna. A régi számod érintetlen marad, amíg el nem távolítod.

Ugyanaz ez, mint az SMS-alapú kétfaktoros hitelesítés? Nem egészen. A hagyományos SMS-alapú 2FA egy második faktor, amelyet egy jelszóra pakolnak rá. Itt a kód maga a teljes hitelesítési mechanizmus — nincs alatta jelszó, amihez egy második faktort hozzá lehetne adni.

Kezdő lépések

A jelszó nélküli bejelentkezés nem egy külön beállítható funkció — egyszerűen így működik a WALLAWHATS-ba való belépés, minden csomagban a Free-től felfelé. Ha még nem állítottad be a riasztásokat, kezdő lépések útmutatónk végigvezet a teljes úton az első bejelentkezéstől az első WhatsApp-riasztásig.

Soha többé ne maradj le egy fontos bejegyzésről. Hozz létre egy ingyenes fiókot — 1 WhatsApp-szám, valós idejű riasztások, bankkártya nélkül.

Nacho Coll

A szerzőről

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Vissza a Blogra