Come funziona l'accesso senza password — Un unico codice per login e verifica WhatsApp
WALLAWHATS usa un unico codice a 6 cifre sia per l'accesso che per la verifica WhatsApp. Ecco come funziona il flusso, perché è sicuro e come si confronta con l'autenticazione a password.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Ogni password che hai mai creato è una piccola passività seduta in un database da qualche parte — il tuo o quello di qualcun altro. Password riutilizzate, password deboli, password rubate col phishing: la maggior parte delle violazioni di account parte ancora da una credenziale, non da uno zero-day. WALLAWHATS elimina l’intera categoria di problemi non avendo affatto password. L’accesso e la verifica WhatsApp sono gestiti dallo stesso meccanismo: un unico codice a 6 cifre inviato a una destinazione che controlli tu.
Non è solo una scorciatoia di UX. Significa che nel momento in cui crei un account, hai anche dimostrato di possedere il numero di telefono o la casella email dove, pochi secondi dopo, arriveranno gli avvisi sui post di X (Twitter).

Cosa significa davvero l’accesso “senza password” qui
L’autenticazione senza password non è un’idea nuova — le banche usano codici via SMS da anni, e la maggior parte dei password manager ormai ti spinge verso i magic link. Quello che rende diversa l’implementazione di WALLAWHATS è che lo stesso codice monouso che ti fa entrare nell’account verifica anche la destinazione che riceverà i tuoi avvisi. Non c’è un passaggio separato di “conferma il tuo numero di telefono” nascosto nelle impostazioni dopo la registrazione. Proprietà e prontezza alla consegna vengono stabilite in un solo passaggio.
In concreto:
- Inserisci un indirizzo email o un numero WhatsApp nella schermata di accesso.
- WALLAWHATS genera un codice numerico a 6 cifre e lo invia a quella destinazione.
- Digiti il codice nell’app entro una breve finestra di validità.
- Se tutto va a buon fine, sei dentro — e se la destinazione era un numero di telefono, ora è un canale verificato pronto a ricevere avvisi.
Nessuna password da scegliere, ricordare, cambiare periodicamente o far trapelare. Nessun flusso di “password dimenticata”, perché non c’è mai stata una password da dimenticare.
I meccanismi: Cognito Custom Auth, non una libreria OTP aggiunta a posteriori
Sotto il cofano, tutto gira sul flusso di Custom Authentication di AWS Cognito — non un componente OTP di terze parti aggiunto sopra un tradizionale pool username/password. Tre trigger Lambda collaborano per far funzionare il sistema:
- PreSignUp conferma automaticamente i nuovi utenti al primo tentativo di accesso con una destinazione mai vista prima. Non esiste un modulo separato di “crea account”; accedere con una nuova email o un nuovo numero è la creazione dell’account.
- CreateAuthChallenge genera il codice a 6 cifre, lo salva lato server con un TTL breve e lo invia alla destinazione — via WhatsApp se hai inserito un numero di telefono, via email altrimenti.
- VerifyAuthChallengeResponse confronta il codice che hai digitato con quello emesso, respingendo i tentativi scaduti o non corrispondenti e limitando il numero di ritentativi.
Poiché tutto questo gira all’interno della state machine di autenticazione gestita da Cognito, valgono le garanzie standard: i token hanno vita breve, i flussi di refresh sono gestiti dalla stessa infrastruttura che protegge il resto della piattaforma, e non c’è alcun codice di gestione delle sessioni “fatto in casa” da controllare per i soliti bug (ID prevedibili, entropia insufficiente, controlli di scadenza mancanti) che affliggono le implementazioni artigianali del tipo “gli mandiamo un codice via email e basta”.
Perché lo stesso codice copre due compiti
La maggior parte dei servizi tratta “dimostra chi sei” e “dimostra che puoi ricevere messaggi qui” come due passaggi separati — ti registri con una password, poi verifichi separatamente il tuo numero di telefono per le notifiche. WALLAWHATS li fonde in uno solo perché, per un prodotto di avvisi, sono la stessa domanda posta due volte.
Se WALLAWHATS deve recapitare un messaggio WhatsApp a un numero, ha bisogno di sapere due cose: che il numero è reale e raggiungibile, e che la persona che sta accedendo lo controlla davvero. Un codice a 6 cifre inviato esattamente a quel numero e digitato correttamente risponde a entrambe le domande in un colpo solo. Non esiste uno scenario in cui sei “connesso” ma la tua destinazione WhatsApp non è verificata, perché l’accesso era la verifica.
La stessa logica vale per l’email. Accedi con un indirizzo email, ricevi lì un codice, lo digiti di nuovo — ora sei connesso, e quella casella è una destinazione confermata per gli avvisi via email (che, in ogni piano, includono uno screenshot renderizzato di ogni tweet accanto al testo).
Perché è più sicuro di quanto sembri
L’autenticazione senza password sembra dover essere meno sicura — niente password, niente cassaforte. In pratica, chiude diverse delle strade più comuni attraverso cui gli account reali vengono compromessi:
- Niente credential stuffing. Non esiste una password riutilizzata proveniente da un sito violato che un attaccante possa provare contro il tuo accesso WALLAWHATS, perché non c’è nessuna password da rubare, per cominciare.
- Nessuna superficie di attacco legata al reset della password. Una grossa fetta delle violazioni di account avviene tramite il flusso di “password dimenticata” — un attaccante che controlla la tua casella email resetta la tua password ovunque. Eliminare le password elimina del tutto questo flusso.
- Basato sul possesso, non sulla memoria. Il codice dimostra che hai accesso al telefono o alla casella email proprio ora, non che hai memorizzato (o scritto da qualche parte, o riutilizzato) un segreto mesi fa.
- Di breve durata e monouso. I codici scadono rapidamente e vengono invalidati dopo un utilizzo riuscito, a differenza di una password che resta valida finché non la cambi manualmente.
Il compromesso è che la consegna via WhatsApp o email diventa parte del percorso critico di accesso — se perdi l’accesso a entrambi, il recupero dell’account segue lo stesso modello di destinazione verificata, invece di un ripiego a base di “domande di sicurezza” che storicamente è stato l’anello più debole dei sistemi basati su password.
Come si confronta con password tradizionale + verifica OTP separata
Un flusso convenzionale è più o meno così: scegli una password, confermi la tua email tramite un link separato, poi più avanti vai nelle impostazioni e verifichi un numero di telefono per SMS o notifiche push. Sono tre punti di prova separati, tre punti separati in cui qualcosa può restare in sospeso — un numero di telefono non verificato che resta nell’account per settimane, una password identica a quella usata su altri quattro servizi, un link di conferma email scaduto prima che qualcuno lo cliccasse.
WALLAWHATS riduce tutto questo a un solo punto di prova per destinazione. Aggiungi un numero WhatsApp, e il codice che ricevi per verificarlo è lo stesso codice che d’ora in poi ti farà accedere da quel dispositivo. Non c’è nessuno stato non verificato lasciato in sospeso, perché l’account e la destinazione raggiungono lo stato “verificato” insieme.
Questo significa anche che cambiare o aggiungere una destinazione è semplicemente… accedere con una nuova. Vuoi aggiungere un secondo numero verificato con un piano Business o Enterprise? Inseriscilo, ricevi il codice, confermalo. Nessun modulo separato di “aggiungi numero di telefono” sepolto tre menu più in basso.
Come si configura: cosa vedrai davvero
Su wallawhats.com/signup ti viene chiesta una sola cosa: un indirizzo email o un numero WhatsApp. Tutto il modulo si riduce a questo.
- Inserisci un numero WhatsApp, e il codice arriva come messaggio WhatsApp in pochi secondi — lo stesso canale che in seguito porterà i tuoi avvisi di X.
- Inserisci un’email, e il codice arriva nella tua casella — utile se vuoi accedere da un dispositivo condiviso o di lavoro senza toccare il tuo WhatsApp personale, oppure se stai configurando l’email come canale di avviso.
In entrambi i casi, ti viene mostrata una schermata che chiede il codice a 6 cifre, lo digiti, e sei nella dashboard. Da lì puoi aggiungere un secondo canale (per esempio un numero WhatsApp dopo esserti registrato con l’email, o viceversa) in qualsiasi momento dalla pagina Channels — ogni nuova destinazione passa attraverso la stessa verifica a codice monouso prima di poter ricevere avvisi. Se non sei sicuro di che tipo di numero WhatsApp usare per questo, la nostra guida Business vs Personal number analizza i compromessi.
Non esiste un’impostazione dell’account in cui un numero di telefono resti “aggiunto ma non verificato.” Ogni destinazione ha completato la propria verifica a codice, oppure non è collegata al tuo account.
Una precisazione su cosa questo non è
Per essere precisi sul modello di sicurezza: questa è un’autenticazione a codice monouso su canali di cui ti fidi già (WhatsApp, email), non un’autenticazione a più fattori nel senso tradizionale di “password più un secondo fattore.” C’è una differenza sostanziale. L’MFA tradizionale aggiunge una seconda prova indipendente sopra una password. Il modello di WALLAWHATS sostituisce la password con il possesso di un canale di comunicazione — il che è un compromesso di rischio diverso, non necessariamente più forte in ogni dimensione. È il compromesso giusto per un servizio di notifiche, dove il punto centrale è che hai già bisogno di una destinazione verificata per usare il prodotto in generale; riutilizzare quel passaggio di verifica per l’accesso riduce l’attrito senza eliminare un livello di sicurezza significativo, dato che non esisteva alcun livello basato su password da eliminare.
Se stai scegliendo tra i canali sia per l’accesso che per gli avvisi, il nostro confronto email vs WhatsApp analizza i compromessi di velocità di consegna e tasso di lettura che valgono anche per i codici di accesso — un codice WhatsApp lo noterai in pochi secondi; un codice via email compete con il resto della tua casella.
Perché questo conta in particolare per un prodotto di avvisi
Per un prodotto il cui unico compito è “recapitare in modo affidabile un messaggio a una destinazione che hai scelto,” l’identità e la destinazione non possono allontanarsi l’una dall’altra. Se l’accesso e la verifica del canale fossero sistemi separati, potresti ritrovarti connesso a un account il cui numero WhatsApp è stato aggiunto anni fa, magari nel frattempo riassegnato dall’operatore a qualcun altro, e mai riconfermato. Legare l’accesso a un codice appena inviato alla destinazione stessa fa sì che questo rischio non esista per costruzione — non puoi essere connesso tramite un canale che al momento non è raggiungibile, perché è proprio la raggiungibilità che ti ha fatto accedere.
Significa anche che, nel caso comune, il recupero dell’account non richiede l’apertura di un ticket di supporto. Hai perso il telefono? Accedi con la tua email — stesso flusso, stesso codice monouso, e la tua destinazione WhatsApp (una volta riverificata su un nuovo dispositivo) riprende esattamente da dove si era interrotta.
Cosa succede quando un codice non arriva
Qualsiasi sistema che affida la consegna a una rete di terze parti — un operatore telefonico, l’infrastruttura di WhatsApp stessa, un provider email — deve tenere conto del fatto che il codice potrebbe non arrivare istantaneamente. Alcune note pratiche su come viene gestita questa situazione:
- La scadenza è breve, ed è intenzionale. Un codice valido per ore è un bersaglio più grande di uno valido per minuti. Se il tuo scade prima che tu riesca a inserirlo, richiederne uno nuovo invalida immediatamente quello vecchio.
- Rinvia, non riscrivere a memoria. Se un messaggio WhatsApp viene ritardato di qualche secondo (normale nei momenti di picco d’invio) o un’email finisce nello spam, la schermata di accesso offre un’azione di reinvio invece di chiederti di aspettare indefinitamente il primo tentativo.
- Il rate limiting protegge entrambe le parti. Le richieste ripetute di codice verso la stessa destinazione vengono limitate. Non è solo una misura anti-abuso per WALLAWHATS — serve anche a evitare che un singolo account intasi accidentalmente i sistemi di consegna di WhatsApp o di un provider email se qualcosa a monte viene ritentato in modo aggressivo.
- Cambia canale se uno non è raggiungibile. Se il tuo telefono non ha segnale ma sei al computer, accedi invece con l’email — è un percorso completamente indipendente verso lo stesso account, non un ripiego che dipende dal fallimento preventivo del tentativo via WhatsApp.
Niente di tutto questo è esclusivo di WALLAWHATS; è la stessa realtà operativa attorno a cui deve progettare qualsiasi sistema basato su OTP. La differenza è che, poiché il codice è anche la verifica del tuo canale, un accesso riuscito ti dice che la tua destinazione di avviso è attualmente attiva — cosa che una password non potrebbe mai dirti.
Domande frequenti
Posso usare sia WhatsApp che l’email per accedere? Sì. Ognuno viene verificato in modo indipendente la prima volta che lo usi, e in seguito entrambi ti fanno accedere allo stesso account.
Un nuovo codice invalida il mio canale WhatsApp se non completo l’accesso? No. Un tentativo di accesso incompleto o scaduto non ha alcun effetto su un canale già verificato — conta solo quando si verifica una destinazione nuova per la prima volta.
E se in seguito volessi cambiare il mio numero di telefono? Aggiungi il nuovo numero come canale dalla pagina Channels; passerà attraverso il proprio codice monouso prima di poter ricevere avvisi. Il tuo vecchio numero resta intatto finché non lo rimuovi.
È la stessa cosa dell’autenticazione a due fattori via SMS? Non proprio. Il 2FA tradizionale via SMS è un secondo fattore aggiunto sopra una password. Qui, il codice è l’intero meccanismo di autenticazione — non c’è nessuna password sottostante a cui aggiungere un secondo fattore.
Come iniziare
L’accesso senza password non è una funzione separata da configurare — è semplicemente il modo in cui funziona l’accesso a WALLAWHATS, su ogni piano a partire da Free. Se non hai ancora configurato gli avvisi, la guida passo-passo nella nostra guida introduttiva copre l’intero percorso dal primo accesso al tuo primo avviso WhatsApp.
Non perdere mai più un post importante. Crea un account gratuito — 1 numero WhatsApp, avvisi in tempo reale, nessuna carta di credito richiesta.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Sull'autore
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



