Kaip veikia prisijungimas be slaptažodžio — vienas kodas prisijungimui ir „WhatsApp” patvirtinimui

„WALLAWHATS” prisijungimui ir „WhatsApp” patvirtinimui naudoja tą patį 6 skaitmenų kodą. Štai kaip veikia šis procesas, kodėl jis saugus ir kuo skiriasi nuo prisijungimo slaptažodžiu.

Nacho CollAutorius Atnaujinta: 10 min skaitymo
„WALLAWHATS” prisijungimui ir „WhatsApp” patvirtinimui naudoja tą patį 6 skaitmenų kodą. Štai kaip veikia šis procesas, kodėl jis saugus ir kuo skiriasi nuo prisijungimo slaptažodžiu.

Kiekvienas jūsų kada nors sukurtas slaptažodis yra maža rizika, tūnanti kažkurioje duomenų bazėje — jūsų pačių arba kažkieno kito. Pakartotinai naudojami slaptažodžiai, silpni slaptažodžiai, per phishingą išvilioti slaptažodžiai: dauguma paskyrų perėmimų vis dar prasideda nuo pavogtų prisijungimo duomenų, o ne nuo „zero-day” pažeidžiamumo. WALLAWHATS apeina visą šią problemų kategoriją, nes iš viso neturi slaptažodžių. Prisijungimas ir WhatsApp patvirtinimas atliekami tuo pačiu mechanizmu: vienu 6 skaitmenų kodu, siunčiamu į jūsų kontroliuojamą adresą.

Tai ne vien patogumo sumetimais sutrumpintas kelias. Tai reiškia, kad tą pačią akimirką, kai susikuriate paskyrą, jūs taip pat įrodote, kad esate telefono numerio ar pašto dėžutės, į kurią po kelių sekundžių atkeliaus pranešimai apie X (Twitter) įrašus, savininkas.

Sign-in screen with email entry for the passwordless OTP flow

Ką iš tikrųjų reiškia „be slaptažodžio” šiuo atveju

Autentifikavimas be slaptažodžio nėra nauja idėja — bankai jau daugelį metų naudoja SMS kodus, o dauguma slaptažodžių tvarkyklių dabar skatina naudoti magiškas nuorodas (angl. magic links). WALLAWHATS įgyvendinimas skiriasi tuo, kad tas pats vienkartinis kodas, kuris įleidžia jus į paskyrą, taip pat patvirtina adresą, į kurį bus siunčiami jūsų pranešimai. Nėra atskiro žingsnio „patvirtinkite telefono numerį”, paslėpto nustatymuose po registracijos. Nuosavybė ir pasirengimas pristatymui nustatomi vienu veiksmu.

Konkrečiai:

  1. Prisijungimo lange įvedate el. pašto adresą arba WhatsApp numerį.
  2. WALLAWHATS sugeneruoja 6 skaitmenų skaitinį kodą ir išsiunčia jį į tą adresą.
  3. Per trumpą galiojimo laiką įvedate kodą atgal į programėlę.
  4. Jei viskas pavyksta, esate prijungti — o jei adresas buvo telefono numeris, dabar tai patvirtintas kanalas, pasirengęs gauti pranešimus.

Nereikia slaptažodžio, kurį reikėtų sugalvoti, atsiminti, keisti ar dėl kurio reikėtų nerimauti, kad nutekės. Nėra ir „pamiršau slaptažodį” proceso, nes slaptažodžio, kurį būtų galima pamiršti, niekada ir nebuvo.

Mechanika: Cognito Custom Auth, o ne prisegta OTP biblioteka

Po dangčiu tai veikia per AWS Cognito Custom Authentication procesą — o ne per trečiosios šalies OTP papildinį, uždėtą ant tradicinio naudotojo vardo ir slaptažodžio fondo (angl. pool). Šiam veikimui užtikrinti bendradarbiauja trys Lambda trigeriai:

  • PreSignUp automatiškai patvirtina naujus naudotojus, kai jie pirmą kartą bando prisijungti su anksčiau nematytu adresu. Nėra atskiros „sukurti paskyrą” formos; prisijungimas su nauju el. paštu ar numeriu ir yra paskyros sukūrimas.
  • CreateAuthChallenge sugeneruoja 6 skaitmenų kodą, išsaugo jį serverio pusėje su trumpu TTL ir išsiunčia į adresą — per WhatsApp, jei įvedėte telefono numerį, arba el. paštu, jei įvedėte el. pašto adresą.
  • VerifyAuthChallengeResponse patikrina jūsų įvestą kodą su tuo, kuris buvo išsiųstas, atmesdamas pasibaigusio galiojimo ar nesutampančius bandymus ir ribodamas pakartotinių bandymų dažnį.

Kadangi visa tai veikia Cognito valdomoje autentifikavimo būsenų mašinoje, galioja standartinės garantijos: prieigos raktai (angl. tokens) galioja trumpai, atnaujinimo procesus valdo ta pati infrastruktūra, kuri saugo likusią platformos dalį, ir nėra jokio pasirašyto sesijos rakto kodo, kurį reikėtų tikrinti dėl įprastų klaidų (nuspėjamų ID, nepakankamos entropijos, trūkstamų galiojimo patikrų), kurios kankina savarankiškai sukurtus „tiesiog išsiųskime jiems kodą el. paštu” sprendimus.

Kodėl tas pats kodas atlieka du darbus

Dauguma paslaugų „įrodykite, kas esate” ir „įrodykite, kad galite čia gauti žinutes” traktuoja kaip du atskirus žingsnius — registruojatės su slaptažodžiu, o paskui atskirai patvirtinate telefono numerį pranešimams. WALLAWHATS šiuos žingsnius sujungia, nes pranešimų paslaugai tai iš esmės yra tas pats klausimas, užduodamas du kartus.

Jei WALLAWHATS ketina pristatyti WhatsApp žinutę į numerį, jai reikia žinoti du dalykus: kad numeris yra tikras ir pasiekiamas, ir kad prisijungiantis asmuo iš tikrųjų jį valdo. 6 skaitmenų kodas, išsiųstas į tą konkretų numerį ir teisingai įvestas atgal, atsako į abu klausimus vienu metu. Nėra scenarijaus, kai esate „prisijungę”, bet jūsų WhatsApp adresas nepatvirtintas, nes pats prisijungimas ir buvo patvirtinimas.

Ta pati logika galioja ir el. paštui. Prisijungiate su el. pašto adresu, ten gaunate kodą, įvedate jį atgal — dabar esate prisijungę, o ta pašto dėžutė tampa patvirtintu adresu el. pašto pranešimams (kurie, kad ir kokį planą turėtumėte, apima kiekvieno įrašo vaizdo nuotrauką kartu su tekstu).

Kodėl tai saugiau, nei atrodo

Autentifikavimas be slaptažodžio skamba taip, lyg turėtų būti mažiau saugus — nėra slaptažodžio, nėra saugyklos. Praktiškai jis užkerta kelią keliems dažniausiems būdams, kuriais realios paskyros būna nulaužiamos:

  • Jokio prisijungimo duomenų „kimšimo” (credential stuffing). Užpuolikas neturi jokio pakartotinai naudojamo slaptažodžio iš nutekėjusios svetainės, kurį galėtų bandyti prieš jūsų WALLAWHATS prisijungimą, nes slaptažodžio, kurį būtų galima pavogti, iš viso nėra.
  • Jokios atakos per slaptažodžio atstatymą. Didžioji dalis paskyrų perėmimų vyksta būtent per „pamiršau slaptažodį” procesą — užpuolikas, kuris valdo jūsų pašto dėžutę, atstato jūsų slaptažodį visur. Panaikinus slaptažodžius, šis procesas visiškai išnyksta.
  • Grįsta turėjimu, o ne atmintimi. Kodas įrodo, kad šiuo metu turite prieigą prie telefono ar pašto dėžutės, o ne kad prieš kelis mėnesius įsiminėte (ar užsirašėte, ar pakartotinai panaudojote) kokią nors paslaptį.
  • Trumpalaikis ir vienkartinis. Kodai greitai nustoja galioti ir tampa negaliojantys po vieno sėkmingo panaudojimo — kitaip nei slaptažodis, kuris galioja tol, kol jį pakeičiate patys.

Kompromisas toks, kad WhatsApp ar el. pašto pristatymas tampa jūsų prisijungimo kritinio kelio dalimi — jei prarandate prieigą prie abiejų, paskyros atkūrimas vyksta pagal tą patį patvirtinto adreso modelį, o ne per „saugumo klausimų” atsarginį variantą, kuris istoriškai buvo silpniausia grandis slaptažodžiais grįstose sistemose.

Kaip tai lyginasi su tradiciniu slaptažodžiu + atskiru OTP patvirtinimu

Įprastas procesas atrodo taip: pasirenkate slaptažodį, patvirtinate el. paštą per atskirą nuorodą, o vėliau einate į nustatymus ir patvirtinate telefono numerį SMS ar push pranešimams. Tai trys atskiri patvirtinimo taškai, trys atskiros vietos, kuriose kažkas gali „pasenti” — savaitėmis paskyroje tebekabantis nepatvirtintas telefono numeris, slaptažodis, identiškas tam, kuris naudojamas dar keturiose kitose paslaugose, el. pašto patvirtinimo nuoroda, kuri baigė galioti dar prieš kam nors ją paspaudžiant.

WALLAWHATS tai sumažina iki vieno patvirtinimo taško kiekvienam adresui. Pridėkite WhatsApp numerį, ir kodas, kurį gaunate jam patvirtinti, yra tas pats kodas, kuris ateityje jus prijungs tame įrenginyje. Nelieka jokios nepatvirtintos būsenos, kabančios ore, nes paskyra ir adresas tampa „patvirtinti” kartu.

Tai taip pat reiškia, kad adreso keitimas ar pridėjimas yra tiesiog… prisijungimas su nauju adresu. Norite pridėti antrą patvirtintą numerį pagal Business ar Enterprise planą? Įveskite jį, gaukite kodą, patvirtinkite. Jokios atskiros „pridėti telefono numerį” formos, paslėptos trijuose meniu lygiuose.

Kaip tai atrodo praktiškai

Svetainėje wallawhats.com/signup jūsų paprašo tik vieno dalyko: el. pašto adreso arba WhatsApp numerio. Tai ir yra visa forma.

  • Įveskite WhatsApp numerį, ir kodas per kelias sekundes atkeliaus kaip WhatsApp žinutė — tuo pačiu kanalu, kuriuo vėliau gausite savo X pranešimus.
  • Įveskite el. paštą, ir kodas atkeliaus į jūsų pašto dėžutę — tai naudinga, jei norite prisijungti iš bendro ar darbinio įrenginio nesinaudodami asmeniniu WhatsApp, arba jei nustatote el. paštą kaip savo pranešimų kanalą.

Bet kuriuo atveju pamatysite langą, prašantį 6 skaitmenų kodo, jį įvesite ir atsidursite valdymo skydelyje. Iš ten bet kada galite pridėti antrą kanalą (pavyzdžiui, WhatsApp numerį, jei registravotės su el. paštu, arba atvirkščiai) Channels puslapyje — kiekvienas naujas adresas pereina tą patį vienkartinio kodo patvirtinimą, prieš pradėdamas gauti pranešimus. Jei nesate tikri, kokį WhatsApp numerio tipą naudoti, mūsų Business ir asmeninio numerio palyginimo vadovas išsamiai aptaria kompromisus.

Nėra tokio paskyros nustatymo, kuriame telefono numeris būtų „pridėtas, bet nepatvirtintas”. Kiekvienas adresas arba yra sėkmingai praėjęs savo kodo patikrinimą, arba iš viso nėra prijungtas prie jūsų paskyros.

Pastaba, kas tai nėra

Norint būti tiksliems dėl saugumo modelio: tai yra vienkartinio kodo autentifikavimas per kanalus, kuriais jau pasitikite (WhatsApp, el. paštas), o ne kelių faktorių autentifikavimas tradicine „slaptažodis plius antras faktorius” prasme. Skirtumas reikšmingas. Tradicinis MFA prideda antrą, nepriklausomą įrodymą virš slaptažodžio. WALLAWHATS modelis pakeičia slaptažodį komunikacijos kanalo turėjimu — tai kitoks rizikos kompromisas, o ne griežtai stipresnis visais aspektais. Tai tinkamas kompromisas pranešimų paslaugai, kurioje visa esmė yra ta, kad jums jau reikia patvirtinto adreso, tam apskritai naudotis produktu; pakartotinis šio patvirtinimo žingsnio panaudojimas prisijungimui sumažina trintį neprarandant reikšmingo saugumo sluoksnio, nes slaptažodžiais grįsto sluoksnio čia niekada ir nebuvo.

Jei renkatės tarp kanalų tiek prisijungimui, tiek pranešimams, mūsų el. pašto ir WhatsApp palyginimas aptaria pristatymo greičio ir perskaitymo rodiklio kompromisus, kurie galioja ir prisijungimo kodams — WhatsApp kodą pastebėsite per kelias sekundes; el. pašto kodas turi konkuruoti su likusia jūsų pašto dėžute.

Kodėl tai ypač svarbu būtent pranešimų produktui

Produktui, kurio vienintelė užduotis yra „patikimai pristatyti žinutę į jūsų pasirinktą adresą”, tapatybė ir adresas negali nutolti vienas nuo kito. Jei prisijungimas ir kanalo patvirtinimas būtų atskiros sistemos, galėtumėte atsidurti prisijungę prie paskyros, kurios WhatsApp numeris buvo pridėtas prieš daugelį metų, galbūt operatoriaus nuo tada perskirtas kitam žmogui ir niekada nebeperpatvirtintas. Prisijungimo susiejimas su nauju kodu, siunčiamu tiesiai į patį adresą, reiškia, kad ši rizika iš principo neegzistuoja — negalite būti prisijungę per kanalą, kuris šiuo metu nepasiekiamas, nes būtent pasiekiamumas ir leido jums prisijungti.

Tai taip pat reiškia, kad įprastu atveju paskyros atkūrimui nereikia pagalbos užklausos. Pametėte telefoną? Prisijunkite su el. paštu — tas pats procesas, tas pats vienkartinis kodas, o jūsų WhatsApp adresas (kai iš naujo jį patvirtinsite naujame įrenginyje) tęsiasi lygiai ten, kur buvo sustojęs.

Kas nutinka, kai kodas neatkeliauja

Bet kuri sistema, kuri pristatymą patiki trečiosios šalies tinklui — operatoriui, pačios WhatsApp infrastruktūrai, el. pašto paslaugų teikėjui — turi numatyti galimybę, kad kodas neatkeliaus akimirksniu. Keletas praktinių pastabų, kaip tai tvarkoma:

  • Galiojimo laikas trumpas, ir tai sąmoninga. Kodas, galiojantis valandas, yra didesnis taikinys nei kodas, galiojantis minutes. Jei jūsų kodas baigia galioti anksčiau, nei jį įvedate, naujo kodo užklausa iškart panaikina seno kodo galiojimą.
  • Siųskite iš naujo, o ne perrašykite. Jei WhatsApp žinutė vėluoja kelias sekundes (tai normalu didžiausio krūvio metu) arba el. laiškas patenka į šlamšto aplanką, prisijungimo langas siūlo pakartotinio siuntimo veiksmą, o ne verčia be galo laukti pirmojo bandymo.
  • Dažnio ribojimas saugo abi puses. Pakartotinės kodo užklausos tam pačiam adresui yra ribojamos. Tai ne vien apsaugos nuo piktnaudžiavimo priemonė WALLAWHATS — tai taip pat apsaugo, kad viena paskyra atsitiktinai neapkrautų WhatsApp ar el. pašto teikėjo pristatymo sistemų, jei kažkas aukščiau grandinėje būtų agresyviai kartojama.
  • Pakeiskite kanalą, jei vienas nepasiekiamas. Jei jūsų telefonas be signalo, bet esate prie nešiojamojo kompiuterio, prisijunkite su el. paštu — tai visiškai nepriklausomas kelias į tą pačią paskyrą, o ne atsarginis variantas, priklausantis nuo to, ar pirmiau nepavyko WhatsApp bandymas.

Nieko iš to nėra unikalu WALLAWHATS — tai ta pati operacinė realybė, su kuria turi susitvarkyti bet kuri OTP sistema. Skirtumas tas, kad, kadangi kodas kartu yra ir jūsų kanalo patvirtinimas, sėkmingas prisijungimas parodo, kad jūsų pranešimų adresas šiuo metu yra aktyvus — o to slaptažodis niekada negalėjo parodyti.

Dažnai užduodami klausimai

Ar galiu prisijungti ir per WhatsApp, ir per el. paštą? Taip. Kiekvienas iš jų patvirtinamas nepriklausomai pirmą kartą juo pasinaudojus, o vėliau bet kuris iš jų leidžia prisijungti prie tos pačios paskyros.

Ar naujas kodas panaikina mano WhatsApp kanalo patvirtinimą, jei nebaigiu prisijungimo? Ne. Nebaigtas ar pasibaigusio galiojimo prisijungimo bandymas neturi įtakos jau patvirtintam kanalui — tai svarbu tik pirmą kartą patvirtinant naują adresą.

O jei vėliau norėsiu pakeisti telefono numerį? Pridėkite naują numerį kaip kanalą Channels puslapyje; jis pereina savo vienkartinio kodo patvirtinimą, prieš pradėdamas gauti pranešimus. Senas numeris išlieka nepakitęs, kol jo nepašalinate.

Ar tai tas pats, kas dviejų faktorių autentifikavimas SMS pagrindu? Ne visai. Tradicinis SMS 2FA yra antras faktorius, pridėtas virš slaptažodžio. Čia kodas ir yra visas autentifikavimo mechanizmas — po juo nėra jokio slaptažodžio, prie kurio būtų galima pridėti antrą faktorių.

Pradžia

Prisijungimas be slaptažodžio nėra atskira funkcija, kurią reikia konfigūruoti — tai tiesiog kaip veikia prisijungimas prie WALLAWHATS, kiekviename plane nuo Free ir aukščiau. Jei dar nesate susikonfigūravę pranešimų, mūsų pradžios vadovas aprašo visą kelią nuo pirmo prisijungimo iki pirmojo WhatsApp pranešimo.

Daugiau niekada nepraleiskite svarbaus įrašo. Susikurkite nemokamą paskyrą — 1 WhatsApp numeris, pranešimai realiuoju laiku, kredito kortelė nereikalinga.

Nacho Coll

Apie autorių

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Grįžti į Tinklaraštį