Cara Kerja Sign-In Tanpa Kata Sandi — Satu Kode untuk Login + Verifikasi WhatsApp
WALLAWHATS menggunakan satu kode 6 digit untuk sign-in sekaligus verifikasi WhatsApp. Berikut alurnya, alasan keamanannya, dan perbandingannya dengan autentikasi kata sandi.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Setiap kata sandi yang pernah Anda buat adalah risiko kecil yang tersimpan di suatu database — milik Anda atau milik orang lain. Kata sandi yang dipakai berulang, kata sandi lemah, kata sandi yang di-phishing: sebagian besar pengambilalihan akun masih berawal dari kredensial yang bocor, bukan dari zero-day. WALLAWHATS menghindari seluruh kategori masalah ini dengan tidak memiliki kata sandi sama sekali. Sign-in dan verifikasi WhatsApp ditangani oleh mekanisme yang sama: satu kode 6 digit yang dikirim ke tujuan yang Anda kendalikan sendiri.
Ini bukan sekadar jalan pintas UX. Artinya, begitu Anda membuat akun, Anda juga sudah membuktikan bahwa Anda memang pemilik nomor telepon atau inbox tempat notifikasi tentang postingan X (Twitter) akan tiba beberapa detik kemudian.

Apa Arti “Tanpa Kata Sandi” yang Sebenarnya di Sini
Autentikasi tanpa kata sandi bukanlah ide baru — bank sudah menggunakan kode SMS selama bertahun-tahun, dan sebagian besar pengelola kata sandi kini mengarahkan Anda ke magic link. Yang berbeda dari implementasi WALLAWHATS adalah kode sekali pakai yang sama yang memberi Anda akses ke akun juga sekaligus memverifikasi tujuan yang akan menerima alert Anda. Tidak ada langkah terpisah “konfirmasi nomor telepon Anda” yang tersembunyi di pengaturan setelah signup. Kepemilikan dan kesiapan pengiriman terbentuk dalam satu gerakan yang sama.
Secara konkret:
- Anda memasukkan alamat email atau nomor WhatsApp pada layar sign-in.
- WALLAWHATS membuat kode numerik 6 digit dan mengirimkannya ke tujuan tersebut.
- Anda mengetikkan kembali kode tersebut ke dalam aplikasi dalam jendela waktu kedaluwarsa yang singkat.
- Jika berhasil, Anda langsung login — dan jika tujuannya berupa nomor telepon, nomor itu kini menjadi kanal terverifikasi yang siap menerima alert.
Tidak ada kata sandi yang perlu dipilih, diingat, diganti, atau bocor. Tidak ada alur “lupa kata sandi”, karena memang tidak pernah ada kata sandi yang bisa dilupakan.
Mekanismenya: Cognito Custom Auth, Bukan Library OTP Tempelan
Di balik layar, ini berjalan di atas alur Custom Authentication milik AWS Cognito — bukan add-on OTP pihak ketiga yang ditumpuk di atas pool username/password tradisional. Tiga Lambda trigger bekerja sama untuk mewujudkan ini:
- PreSignUp secara otomatis mengonfirmasi pengguna baru pada percobaan pertama mereka sign in dengan tujuan yang belum pernah tercatat sebelumnya. Tidak ada formulir “buat akun” terpisah; sign in dengan email atau nomor baru adalah pembuatan akun itu sendiri.
- CreateAuthChallenge membuat kode 6 digit, menyimpannya di sisi server dengan TTL singkat, dan mengirimkannya ke tujuan — lewat WhatsApp jika Anda memasukkan nomor telepon, lewat email jika sebaliknya.
- VerifyAuthChallengeResponse memeriksa kode yang Anda ketik terhadap kode yang diterbitkan, menolak percobaan yang kedaluwarsa atau tidak cocok, serta membatasi laju percobaan ulang (rate-limiting).
Karena semuanya berjalan di dalam state machine autentikasi terkelola milik Cognito, jaminan standarnya tetap berlaku: token berumur pendek, alur refresh ditangani oleh infrastruktur yang sama yang mengamankan seluruh platform, dan tidak ada kode session-token custom yang perlu diaudit untuk bug-bug umum (ID yang bisa ditebak, entropi yang tidak cukup, pemeriksaan kedaluwarsa yang hilang) yang biasa menjangkiti implementasi buatan sendiri seperti “kirim saja kode lewat email”.
Mengapa Kode yang Sama Menangani Dua Tugas Sekaligus
Sebagian besar layanan memperlakukan “buktikan siapa Anda” dan “buktikan Anda bisa menerima pesan di sini” sebagai dua langkah terpisah — signup dengan kata sandi, lalu memverifikasi nomor telepon secara terpisah untuk notifikasi. WALLAWHATS menyatukan keduanya karena, untuk produk alert, keduanya sebenarnya adalah pertanyaan yang sama yang ditanyakan dua kali.
Jika WALLAWHATS akan mengirim pesan WhatsApp ke suatu nomor, ada dua hal yang perlu diketahui: bahwa nomor tersebut nyata dan bisa dijangkau, dan bahwa orang yang sedang sign in memang mengendalikan nomor itu. Kode 6 digit yang dikirim ke nomor tersebut dan diketik kembali dengan benar menjawab keduanya sekaligus. Tidak ada skenario di mana Anda “sudah login” tetapi tujuan WhatsApp Anda belum terverifikasi, karena proses login itu sendiri adalah verifikasinya.
Logika yang sama berlaku untuk email. Sign in dengan alamat email, terima kode di sana, ketik kembali kodenya — Anda pun langsung login, dan inbox tersebut menjadi tujuan terkonfirmasi untuk alert email (yang, di setiap paket, menyertakan snapshot tampilan setiap tweet beserta teksnya).
Mengapa Ini Lebih Aman Daripada yang Anda Kira
Autentikasi tanpa kata sandi terdengar seperti seharusnya kurang aman — tanpa kata sandi, tanpa vault. Pada praktiknya, cara ini justru menutup beberapa jalan paling umum yang membuat akun asli dibobol:
- Tidak ada credential stuffing. Tidak ada kata sandi bekas pakai dari situs yang bocor yang bisa dicoba penyerang terhadap login WALLAWHATS Anda, karena memang tidak ada kata sandi yang bisa dicuri sejak awal.
- Tidak ada celah serangan reset kata sandi. Sebagian besar pengambilalihan akun terjadi lewat alur “lupa kata sandi” — penyerang yang menguasai inbox Anda me-reset kata sandi Anda di mana-mana. Menghilangkan kata sandi berarti menghilangkan alur ini sepenuhnya.
- Berbasis kepemilikan, bukan berbasis ingatan. Kode ini membuktikan bahwa Anda memiliki akses ke telepon atau inbox saat ini juga, bukan bahwa Anda menghafal (atau mencatat, atau memakai ulang) suatu rahasia sejak berbulan-bulan lalu.
- Berumur pendek dan sekali pakai. Kode akan kedaluwarsa dengan cepat dan langsung tidak berlaku setelah satu kali berhasil dipakai, berbeda dengan kata sandi yang tetap berlaku sampai Anda mengubahnya secara manual.
Konsekuensinya, pengiriman lewat WhatsApp atau email menjadi bagian penting dari jalur login Anda — jika Anda kehilangan akses ke keduanya, pemulihan akun mengikuti model tujuan-terverifikasi yang sama, bukan fallback “pertanyaan keamanan” yang secara historis menjadi titik terlemah pada sistem berbasis kata sandi.
Perbandingan dengan Kata Sandi Tradisional + Verifikasi OTP Terpisah
Alur konvensional biasanya begini: pilih kata sandi, konfirmasi email lewat tautan terpisah, lalu belakangan masuk ke pengaturan dan verifikasi nomor telepon untuk SMS atau push notification. Itu tiga titik pembuktian terpisah, tiga tempat terpisah yang bisa menjadi basi — nomor telepon yang belum terverifikasi tertinggal di akun selama berminggu-minggu, kata sandi yang identik dengan yang dipakai di empat layanan lain, tautan konfirmasi email yang kedaluwarsa sebelum sempat diklik siapa pun.
WALLAWHATS memangkas semua itu menjadi satu titik pembuktian per tujuan. Tambahkan nomor WhatsApp, dan kode yang Anda terima untuk memverifikasinya adalah kode yang sama yang akan melogin Anda di perangkat itu ke depannya. Tidak ada status “belum terverifikasi” yang menggantung, karena akun dan tujuan sama-sama mencapai status “terverifikasi” secara bersamaan.
Ini juga berarti mengganti atau menambah tujuan hanyalah… sign in dengan tujuan yang baru. Ingin menambah nomor terverifikasi kedua di paket Business atau Enterprise? Masukkan nomornya, terima kodenya, konfirmasi. Tidak ada formulir “tambah nomor telepon” terpisah yang terkubur tiga menu ke dalam.
Cara Mengaturnya: Apa yang Sebenarnya Akan Anda Lihat
Di wallawhats.com/signup, Anda hanya diminta satu hal: alamat email atau nomor WhatsApp. Itu saja isi formulirnya.
- Masukkan nomor WhatsApp, dan kodenya akan tiba sebagai pesan WhatsApp dalam hitungan detik — kanal yang sama yang nantinya akan membawa alert X Anda.
- Masukkan email, dan kodenya akan masuk ke inbox Anda — berguna jika Anda ingin login dari perangkat bersama atau perangkat kantor tanpa menyentuh WhatsApp pribadi Anda, atau jika Anda ingin menjadikan email sebagai kanal alert Anda.
Bagaimanapun caranya, Anda akan mendapati layar yang meminta kode 6 digit, ketikkan, dan Anda langsung berada di dashboard. Dari sana Anda bisa menambah kanal kedua (misalnya, nomor WhatsApp setelah signup dengan email, atau sebaliknya) kapan saja dari halaman Channels — setiap tujuan baru melewati verifikasi kode sekali pakai yang sama sebelum bisa menerima alert. Jika Anda belum yakin jenis nomor WhatsApp mana yang sebaiknya dipakai, panduan Nomor Business vs Personal kami menguraikan trade-off-nya.
Tidak ada pengaturan akun di mana nomor telepon tersimpan dalam status “sudah ditambahkan tapi belum terverifikasi.” Setiap tujuan pasti sudah menyelesaikan tantangan kodenya sendiri, atau memang tidak terhubung ke akun Anda.
Catatan tentang Apa yang Bukan
Agar tepat soal model keamanannya: ini adalah autentikasi kode sekali pakai lewat kanal yang sudah Anda percayai (WhatsApp, email), bukan autentikasi multifaktor dalam pengertian tradisional “kata sandi ditambah faktor kedua.” Ada perbedaan yang cukup berarti di sini. MFA tradisional menambahkan bukti independen kedua di atas kata sandi. Model WALLAWHATS menggantikan kata sandi dengan kepemilikan atas kanal komunikasi — yang merupakan trade-off risiko berbeda, bukan sesuatu yang selalu lebih kuat di setiap dimensi. Ini trade-off yang tepat untuk layanan notifikasi, karena intinya Anda memang sudah membutuhkan tujuan terverifikasi untuk bisa memakai produk ini sama sekali; menggunakan kembali langkah verifikasi itu untuk login mengurangi friksi tanpa menghilangkan lapisan keamanan yang berarti, karena memang tidak pernah ada lapisan berbasis kata sandi sejak awal.
Jika Anda sedang memilih kanal untuk login sekaligus alert, perbandingan email vs WhatsApp kami membahas trade-off kecepatan pengiriman dan tingkat keterbacaan yang juga berlaku untuk kode sign-in — kode WhatsApp akan langsung Anda sadari dalam hitungan detik; kode email harus bersaing dengan isi inbox Anda.
Mengapa Ini Penting Khusus untuk Produk Alert
Untuk produk yang seluruh tugasnya adalah “mengirimkan pesan secara andal ke tujuan yang Anda pilih,” identitas dan tujuan tidak boleh saling menjauh. Jika sign-in dan verifikasi kanal adalah dua sistem terpisah, Anda bisa saja berakhir login ke akun yang nomor WhatsApp-nya ditambahkan bertahun-tahun lalu, mungkin sudah dialihkan ke orang lain oleh operator seluler sejak saat itu, dan tidak pernah dikonfirmasi ulang. Mengaitkan login dengan kode baru yang dikirim langsung ke tujuan itu sendiri berarti risiko tersebut memang tidak mungkin ada secara struktural — Anda tidak bisa login lewat kanal yang saat ini tidak bisa dijangkau, karena keterjangkauan itulah yang membuat Anda bisa login.
Ini juga berarti pemulihan akun tidak memerlukan tiket support pada kasus umum. Kehilangan telepon Anda? Sign in saja dengan email — alur yang sama, kode sekali pakai yang sama, dan tujuan WhatsApp Anda (begitu Anda memverifikasinya ulang di perangkat baru) akan melanjutkan persis dari titik terakhir.
Yang Terjadi Jika Kode Tidak Kunjung Tiba
Sistem apa pun yang menyerahkan pengiriman ke jaringan pihak ketiga — operator seluler, infrastruktur WhatsApp sendiri, penyedia email — harus mengantisipasi kemungkinan kode tidak muncul secara instan. Berikut beberapa catatan praktis tentang cara ini ditangani:
- Waktu kedaluwarsa singkat, dan itu memang disengaja. Kode yang berlaku selama berjam-jam adalah target yang lebih besar dibanding kode yang hanya berlaku beberapa menit. Jika kode Anda kedaluwarsa sebelum sempat dimasukkan, meminta kode baru langsung membatalkan kode yang lama.
- Kirim ulang, bukan ketik ulang. Jika pesan WhatsApp tertunda beberapa detik (hal yang wajar pada jam-jam sibuk) atau email masuk ke folder spam, layar sign-in menyediakan opsi kirim ulang, alih-alih memaksa Anda menunggu tanpa batas untuk percobaan pertama.
- Rate limiting melindungi kedua belah pihak. Permintaan kode yang berulang ke tujuan yang sama akan dibatasi lajunya. Ini bukan sekadar langkah anti-penyalahgunaan untuk WALLAWHATS — ini juga menjaga agar satu akun tidak secara tidak sengaja membanjiri sistem pengiriman WhatsApp atau penyedia email jika ada sesuatu di hulu yang dicoba ulang secara agresif.
- Ganti kanal jika salah satunya tidak terjangkau. Jika telepon Anda tidak ada sinyal tapi Anda sedang di depan laptop, sign in saja dengan email — ini jalur yang sepenuhnya independen menuju akun yang sama, bukan fallback yang bergantung pada gagalnya percobaan WhatsApp terlebih dahulu.
Tidak satu pun dari ini yang unik khusus untuk WALLAWHATS; ini realitas operasional yang sama yang harus dihadapi sistem berbasis OTP mana pun. Bedanya, karena kode ini juga berfungsi sebagai verifikasi kanal Anda, sign-in yang berhasil memberi tahu Anda bahwa tujuan alert Anda saat ini aktif — sesuatu yang tidak akan pernah bisa dilakukan oleh kata sandi.
Pertanyaan yang Sering Diajukan
Bisakah saya menggunakan WhatsApp dan email sekaligus untuk sign in? Bisa. Masing-masing diverifikasi secara independen saat pertama kali Anda memakainya, dan keduanya sama-sama bisa membawa Anda masuk ke akun yang sama sesudahnya.
Apakah kode baru membatalkan kanal WhatsApp saya jika saya tidak menyelesaikan proses sign in? Tidak. Percobaan sign-in yang tidak selesai atau kedaluwarsa tidak memengaruhi kanal yang sudah terverifikasi — ini hanya berlaku saat memverifikasi tujuan baru untuk pertama kalinya.
Bagaimana jika saya ingin mengganti nomor telepon nanti? Tambahkan nomor baru sebagai kanal dari halaman Channels; nomor itu akan melewati kode sekali pakainya sendiri sebelum bisa menerima alert. Nomor lama Anda tetap utuh sampai Anda menghapusnya.
Apakah ini sama dengan autentikasi dua faktor berbasis SMS? Tidak sepenuhnya sama. 2FA SMS tradisional adalah faktor kedua yang ditambahkan di atas kata sandi. Di sini, kode itu adalah keseluruhan mekanisme autentikasinya — tidak ada kata sandi di baliknya yang perlu ditambahi faktor kedua.
Memulai
Sign-in tanpa kata sandi bukanlah fitur terpisah yang perlu diatur — ini sekadar cara login ke WALLAWHATS bekerja, di setiap paket mulai dari Free ke atas. Jika Anda belum mengatur alert, panduan langkah demi langkah di panduan memulai kami membahas jalur lengkap mulai dari sign-in pertama hingga alert WhatsApp pertama Anda.
Jangan pernah lewatkan postingan penting lagi. Buat akun gratis — 1 nomor WhatsApp, alert real-time, tanpa kartu kredit.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Tentang penulis
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



