Kā darbojas pieteikšanās bez paroles — viens kods nosedz gan pieslēgšanos, gan WhatsApp verifikāciju

WALLAWHATS izmanto vienu 6 ciparu kodu gan pieteikšanās, gan WhatsApp verifikācijai. Šeit ir process, kāpēc tas ir drošs un kā tas salīdzinās ar autentifikāciju ar paroli.

Nacho Collautors Atjaunināts: 10 min lasīšanas
WALLAWHATS izmanto vienu 6 ciparu kodu gan pieteikšanās, gan WhatsApp verifikācijai. Šeit ir process, kāpēc tas ir drošs un kā tas salīdzinās ar autentifikāciju ar paroli.

Katra parole, ko jebkad esat izveidojuši, ir neliela atbildība, kas kaut kur glabājas kādā datubāzē — jūsu vai kāda cita. Atkārtoti izmantotas paroles, vājas paroles, izkrāptas paroles: lielākā daļa kontu pārņemšanas gadījumu joprojām sākas ar kādiem pieejas datiem, nevis ar zero-day ievainojamību. WALLAWHATS apiet visu šo kategoriju, jo paroļu vispār nav. Pieteikšanos un WhatsApp verifikāciju nodrošina viens un tas pats mehānisms: vienreizējs 6 ciparu kods, kas tiek nosūtīts uz jūsu izvēlētu galamērķi.

Tas nav tikai lietotāja pieredzes saīsinājums. Tas nozīmē, ka brīdī, kad izveidojat kontu, jūs jau esat pierādījuši, ka jums pieder tālruņa numurs vai e-pasta iesūtne, uz kuru dažu sekunžu laikā sāks nākt brīdinājumi par X (Twitter) ierakstiem.

Sign-in screen with email entry for the passwordless OTP flow

Ko šeit patiesībā nozīmē „bez paroles”

Autentifikācija bez paroles nav jauna ideja — bankas jau gadiem izmanto SMS kodus, un lielākā daļa paroļu pārvaldnieku tagad mudina izmantot maģiskās saites. Tas, kas atšķir WALLAWHATS īstenojumu, ir tas, ka tas pats vienreizējais kods, kas ļauj jums iekļūt kontā, vienlaikus arī pārbauda galamērķi, kurā ienāks jūsu brīdinājumi. Nav atsevišķa „apstipriniet savu tālruņa numuru” soļa, kas paslēpts iestatījumos pēc reģistrācijas. Piederība un gatavība saņemt ziņas tiek nodibinātas vienā solī.

Konkrēti:

  1. Jūs pieteikšanās ekrānā ievadāt e-pasta adresi vai WhatsApp numuru.
  2. WALLAWHATS izveido 6 ciparu skaitlisku kodu un nosūta to uz šo galamērķi.
  3. Jūs ievadāt šo kodu atpakaļ lietotnē neilgā derīguma termiņa laikā.
  4. Ja tas izdodas, jūs esat pieteikušies — un, ja galamērķis bija tālruņa numurs, tas tagad ir verificēts kanāls, kas gatavs saņemt brīdinājumus.

Nav paroles, ko izvēlēties, atcerēties, mainīt vai nejauši izpaust. Nav arī „aizmirsu paroli” plūsmas, jo paroles, ko aizmirst, nekad nav bijis.

Mehānika: Cognito pielāgotā autentifikācija, nevis piesprausta OTP bibliotēka

Zem pārsega tas darbojas, izmantojot AWS Cognito pielāgoto autentifikācijas (Custom Authentication) plūsmu — nevis trešās puses OTP papildinājumu, kas uzlikts virs tradicionāla lietotājvārda/paroles pūla. Lai tas darbotos, sadarbojas trīs Lambda trigeri:

  • PreSignUp automātiski apstiprina jaunus lietotājus pirmajā reizē, kad viņi mēģina pieteikties ar galamērķi, kas iepriekš nav redzēts. Nav atsevišķas „izveidot kontu” formas; pieteikšanās ar jaunu e-pastu vai numuru ir konta izveide.
  • CreateAuthChallenge izveido 6 ciparu kodu, saglabā to servera pusē ar īsu TTL un nosūta uz galamērķi — ja ievadījāt tālruņa numuru, tad ar WhatsApp starpniecību, citādi pa e-pastu.
  • VerifyAuthChallengeResponse pārbauda jūsu ievadīto kodu pret izsniegto kodu, noraidot novecojušus vai nesakrītošus mēģinājumus un ierobežojot atkārtotu mēģinājumu skaitu.

Tā kā tas viss darbojas Cognito pārvaldītajā autentifikācijas stāvokļu mašīnā, ir spēkā standarta garantijas: pilnvaras (tokeni) ir īslaicīgas, atjaunošanas plūsmas apstrādā tā pati infrastruktūra, kas nodrošina drošību pārējai platformai, un nav pašrocīgi rakstīta sesijas pilnvaru koda, kas jāaudita tipiskām kļūdām (paredzami ID, nepietiekama entropija, trūkstošas derīguma pārbaudes), kas mocī pašrocīgi taisītus „vienkārši nosūtīsim kodu pa e-pastu” risinājumus.

Kāpēc viens un tas pats kods sedz divus uzdevumus

Lielākā daļa pakalpojumu uzskata „pierādi, kas tu esi” un „pierādi, ka vari šeit saņemt ziņas” par diviem atsevišķiem soļiem — reģistrējieties ar paroli, tad atsevišķi verificējiet tālruņa numuru paziņojumiem. WALLAWHATS šos soļus apvieno, jo brīdinājumu produktam tas ir viens un tas pats jautājums, uzdots divreiz.

Ja WALLAWHATS gatavojas piegādāt WhatsApp ziņu uz kādu numuru, tam jāzina divas lietas: ka numurs ir reāls un sasniedzams, un ka persona, kas piesakās, to patiešām kontrolē. Tieši uz šo numuru nosūtīts 6 ciparu kods, kas pareizi ievadīts atpakaļ, atbild uz abiem jautājumiem vienlaikus. Nav tāda scenārija, kurā jūs esat „pieteikušies”, bet jūsu WhatsApp galamērķis ir neverificēts, jo pieteikšanās bija verifikācija.

Tā pati loģika attiecas uz e-pastu. Piesakieties ar e-pasta adresi, saņemiet tur kodu, ievadiet to atpakaļ — un jūs esat pieteikušies, un šī iesūtne ir apstiprināts galamērķis e-pasta brīdinājumiem (kuri jebkurā plānā ietver arī attēlotu katra tvīta momentuzņēmumu līdzās tekstam).

Kāpēc tas ir drošāk, nekā šķiet

Autentifikācija bez paroles izklausās pēc kaut kā, kam vajadzētu būt mazāk drošam — nav paroles, nav glabātuves. Praksē tā aizver vairākus no visbiežāk sastopamajiem veidiem, kā reāli konti tiek pārņemti:

  • Nav credential stuffing uzbrukumu. Uzbrucējam nav atkārtoti izmantotas paroles no uzlauztas vietnes, ko izmēģināt pret jūsu WALLAWHATS kontu, jo paroles, ko nozagt, vienkārši nav.
  • Nav paroles atiestatīšanas uzbrukuma virsmas. Liela daļa kontu pārņemšanu notiek tieši caur „aizmirsu paroli” plūsmu — uzbrucējs, kas kontrolē jūsu iesūtni, atiestata jūsu paroli visur. Paroļu novēršana pilnībā novērš arī šo plūsmu.
  • Balstīts uz piederību, nevis atmiņu. Kods pierāda, ka jums tieši tagad ir piekļuve tālrunim vai iesūtnei, nevis to, ka pirms mēnešiem esat iegaumējuši (vai pierakstījuši, vai atkārtoti izmantojuši) kādu noslēpumu.
  • Īslaicīgs un vienreizējs. Kodi ātri zaudē derīgumu un tiek anulēti pēc vienas veiksmīgas izmantošanas — atšķirībā no paroles, kas paliek derīga, kamēr to pats nenomaināt.

Kompromiss ir tāds, ka WhatsApp vai e-pasta piegāde kļūst par daļu no jūsu pieteikšanās kritiskā ceļa — ja zaudējat piekļuvi abiem, konta atgūšana notiek pēc tā paša verificēta-galamērķa modeļa, nevis izmantojot „drošības jautājumu” rezerves variantu, kas vēsturiski bijis vājākais posms uz paroli balstītās sistēmās.

Kā tas salīdzinās ar tradicionālu paroli + atsevišķu OTP verifikāciju

Tradicionāla plūsma izskatās šādi: izvēlaties paroli, apstiprināt e-pastu ar atsevišķu saiti, tad vēlāk dodaties uz iestatījumiem un verificējat tālruņa numuru SMS vai push paziņojumiem. Tie ir trīs atsevišķi pierādījumu punkti, trīs atsevišķas vietas, kur kaut kas var novecot — neverificēts tālruņa numurs, kas kontā guļ nedēļām ilgi, parole, kas ir identiska tai, ko izmantojat vēl četros citos pakalpojumos, e-pasta apstiprinājuma saite, kurai beidzies derīgums, pirms kāds paguva to noklikšķināt.

WALLAWHATS to samazina līdz vienam pierādījuma punktam katram galamērķim. Pievienojiet WhatsApp numuru, un kods, ko saņemat tā verifikācijai, ir tas pats kods, ar kuru turpmāk piesakāties šajā ierīcē. Nav neverificēta stāvokļa, kas paliktu karājamies gaisā, jo konts un galamērķis kļūst „verificēti” vienlaikus.

Tas arī nozīmē, ka galamērķa maiņa vai pievienošana ir vienkārši… pieteikšanās ar jaunu galamērķi. Vēlaties pievienot otru verificētu numuru Business vai Enterprise plānā? Ievadiet to, saņemiet kodu, apstipriniet to. Nav atsevišķas „pievienot tālruņa numuru” formas, kas paslēpta trīs izvēlnes dziļumā.

Iestatīšana: ko jūs patiesībā redzēsiet

Vietnē wallawhats.com/signup jums tiek jautāta tikai viena lieta: e-pasta adrese vai WhatsApp numurs. Tā ir visa forma.

  • Ievadiet WhatsApp numuru, un kods dažu sekunžu laikā pienāk kā WhatsApp ziņa — tas pats kanāls, kas vēlāk piegādās jūsu X brīdinājumus.
  • Ievadiet e-pastu, un kods nonāk jūsu iesūtnē — noderīgi, ja vēlaties pieteikties no koplietotas vai darba ierīces, neaiztiekot personīgo WhatsApp, vai ja vēlaties iestatīt e-pastu kā brīdinājumu kanālu.

Jebkurā gadījumā jūs redzēsiet ekrānu, kas lūdz 6 ciparu kodu, ievadiet to, un esat panelī (dashboard). No turienes jebkurā brīdī no Channels lapas varat pievienot otru kanālu (piemēram, WhatsApp numuru pēc reģistrēšanās ar e-pastu, vai otrādi) — katrs jauns galamērķis iziet caur to pašu vienreizējā koda verifikāciju, pirms tas var saņemt brīdinājumus. Ja neesat pārliecināti, kāda veida WhatsApp numuru šim nolūkam izmantot, mūsu Business un personīgā numura salīdzinājuma ceļvedis izklāsta kompromisus.

Nav tāda konta iestatījuma, kur tālruņa numurs atrodas stāvoklī „pievienots, bet neverificēts”. Katrs galamērķis vai nu ir pabeidzis savu koda pārbaudi, vai arī vispār nav piesaistīts jūsu kontam.

Piezīme par to, kas tas nav

Lai būtu precīzi par drošības modeli: šī ir vienreizēja koda autentifikācija pa kanāliem, kuriem jūs jau uzticaties (WhatsApp, e-pasts), nevis daudzfaktoru autentifikācija tradicionālajā izpratnē — „parole plus otrs faktors”. Šeit ir nozīmīga atšķirība. Tradicionāls MFA pievieno otru neatkarīgu pierādījumu virs paroles. WALLAWHATS modelis aizstāj paroli ar sakaru kanāla piederību — kas ir cits riska kompromiss, ne tikai vienkārši stiprāks visos aspektos. Tas ir pareizais kompromiss paziņojumu pakalpojumam, kur visa jēga ir tā, ka jums jau ir nepieciešams verificēts galamērķis, lai produktu vispār izmantotu; šī verifikācijas soļa atkārtota izmantošana pieteikšanās vajadzībām samazina berzi, nesamazinot nozīmīgu drošības slāni, jo uz paroli balstīta slāņa vienkārši nekad nav bijis.

Ja izvēlaties starp kanāliem gan pieteikšanās, gan brīdinājumu vajadzībām, mūsu e-pasta un WhatsApp salīdzinājums apskata piegādes ātruma un izlasīšanas rādītāju kompromisus, kas attiecas arī uz pieteikšanās kodiem — WhatsApp kodu jūs pamanīsiet dažu sekunžu laikā; e-pasta kods konkurē ar pārējo jūsu iesūtni.

Kāpēc tam ir īpaša nozīme tieši brīdinājumu produktam

Produktam, kura vienīgais uzdevums ir „droši piegādāt ziņu uz jūsu izvēlēto galamērķi”, identitāte un galamērķis nedrīkst atšķirties. Ja pieteikšanās un kanāla verifikācija būtu atsevišķas sistēmas, jūs varētu nonākt situācijā, kad esat pieteicies kontā, kura WhatsApp numurs pievienots pirms gadiem, kopš tā laika, iespējams, operatora pārdēvēts citam cilvēkam, un nekad atkārtoti nav apstiprināts. Piesaistot pieteikšanos svaigam kodam, kas nosūtīts tieši uz galamērķi, šis risks pēc konstrukcijas vienkārši nepastāv — jūs nevarat būt pieteicies caur kanālu, kas šobrīd nav sasniedzams, jo tieši sasniedzamība ir tas, kas jūs pieteica.

Tas arī nozīmē, ka biežākajā gadījumā konta atgūšanai nav vajadzīgs atbalsta pieprasījums. Pazaudējāt tālruni? Tā vietā piesakieties ar e-pastu — tā pati plūsma, tas pats vienreizējais kods, un jūsu WhatsApp galamērķis (tiklīdz to atkārtoti verificējat jaunā ierīcē) turpina darboties tieši no tās vietas, kur apstājās.

Kas notiek, ja kods neatnāk

Jebkurai sistēmai, kas piegādi uztic trešās puses tīklam — operatoram, pašai WhatsApp infrastruktūrai, e-pasta pakalpojumu sniedzējam — jāparedz, ka kods var neparādīties uzreiz. Daži praktiski novērojumi par to, kā tas tiek risināts:

  • Derīguma termiņš ir īss, un tas ir ar nolūku. Kods, kas derīgs stundām ilgi, ir lielāks mērķis nekā tāds, kas derīgs tikai minūtes. Ja jūsu kods zaudē derīgumu, pirms paguvāt to ievadīt, jauna koda pieprasīšana nekavējoties anulē veco.
  • Nosūtiet atkārtoti, nevis mēģiniet ievadīt no jauna. Ja WhatsApp ziņa aizkavējas dažas sekundes (normāli intensīvas sūtīšanas laikā) vai e-pasts nonāk mēstuļu mapē, pieteikšanās ekrāns piedāvā atkārtotas nosūtīšanas iespēju, nevis liek jums bezgalīgi gaidīt pirmo mēģinājumu.
  • Ātruma ierobežošana aizsargā abas puses. Atkārtoti koda pieprasījumi uz to pašu galamērķi tiek ierobežoti. Tas nav tikai WALLAWHATS aizsardzības pasākums pret ļaunprātīgu izmantošanu — tas arī pasargā no situācijas, kad viens konts nejauši pārslogo WhatsApp vai e-pasta pakalpojumu sniedzēja piegādes sistēmas, ja kaut kas augšpus ķēdes tiek agresīvi atkārtoti mēģināts.
  • Mainiet kanālu, ja viens nav sasniedzams. Ja jūsu tālrunim nav signāla, bet esat pie klēpjdatora, tā vietā piesakieties ar e-pastu — tas ir pilnīgi neatkarīgs ceļš uz to pašu kontu, nevis rezerves variants, kas atkarīgs no tā, ka vispirms neizdodas WhatsApp mēģinājums.

Nekas no tā nav unikāls WALLAWHATS — tā ir tā pati darbības realitāte, ap kuru jāveido jebkura uz OTP balstīta sistēma. Atšķirība ir tā, ka, tā kā kods vienlaikus ir arī jūsu kanāla verifikācija, veiksmīga pieteikšanās apliecina, ka jūsu brīdinājumu galamērķis šobrīd ir aktīvs — ko parole nekad nevarēja apliecināt.

Biežāk uzdotie jautājumi

Vai varu izmantot gan WhatsApp, gan e-pastu, lai pieteiktos? Jā. Katrs no tiem tiek verificēts neatkarīgi, kad izmantojat to pirmo reizi, un pēc tam ar jebkuru no tiem varat iekļūt tajā pašā kontā.

Vai jauns kods anulē manu WhatsApp kanālu, ja nepabeidzu pieteikšanos? Nē. Nepabeigts vai novecojis pieteikšanās mēģinājums neietekmē jau verificētu kanālu — tam ir nozīme tikai tad, kad pirmo reizi verificējat jaunu galamērķi.

Ko darīt, ja vēlāk vēlos mainīt tālruņa numuru? Pievienojiet jauno numuru kā kanālu no Channels lapas; tas iziet cauri savai vienreizējā koda pārbaudei, pirms var saņemt brīdinājumus. Jūsu vecais numurs paliek neskarts, kamēr to neizņemat.

Vai tas ir tas pats, kas SMS balstīta divfaktoru autentifikācija? Ne gluži. Tradicionāla SMS 2FA ir otrs faktors, kas uzlikts virs paroles. Šeit kods ir viss autentifikācijas mehānisms — zem tā nav paroles, kurai pievienot otru faktoru.

Kā sākt

Pieteikšanās bez paroles nav atsevišķa funkcija, kas jākonfigurē — tā vienkārši ir veids, kā darbojas pieteikšanās WALLAWHATS, sākot no Free plāna un augstāk. Ja vēl neesat iestatījuši brīdinājumus, mūsu darba sākšanas ceļvedis apraksta visu ceļu no pirmās pieteikšanās līdz pirmajam WhatsApp brīdinājumam.

Vairs nekad nepalaidiet garām svarīgu ierakstu. Izveidojiet bezmaksas kontu — 1 WhatsApp numurs, brīdinājumi reāllaikā, kredītkarte nav nepieciešama.

Nacho Coll

Par autoru

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Atpakaļ uz Blogu

Saistītie raksti

Skatīt visus rakstus »