Cara Log Masuk Tanpa Kata Laluan Berfungsi — Satu Kod untuk Log Masuk + Pengesahan WhatsApp

WALLAWHATS menggunakan satu kod 6 digit untuk log masuk dan pengesahan WhatsApp. Berikut ialah aliran prosesnya, sebab ia selamat, dan bagaimana ia dibandingkan dengan pengesahan kata laluan.

Nacho Colloleh Dikemas kini: 11 minit bacaan
WALLAWHATS menggunakan satu kod 6 digit untuk log masuk dan pengesahan WhatsApp. Berikut ialah aliran prosesnya, sebab ia selamat, dan bagaimana ia dibandingkan dengan pengesahan kata laluan.

Setiap kata laluan yang pernah anda cipta adalah liabiliti kecil yang tersimpan dalam pangkalan data di suatu tempat — sama ada milik anda atau orang lain. Kata laluan yang digunakan semula, kata laluan lemah, kata laluan yang terdedah kepada phishing: kebanyakan pengambilalihan akaun masih bermula dengan kata kelayakan (credential), bukan zero-day. WALLAWHATS mengelakkan keseluruhan kategori ini dengan tidak mempunyai kata laluan langsung. Log masuk dan pengesahan WhatsApp dikendalikan oleh mekanisme yang sama: satu kod 6 digit yang dihantar ke destinasi yang anda kawal.

Ini bukan sekadar jalan pintas UX. Ia bermaksud sebaik sahaja anda mencipta akaun, anda turut membuktikan bahawa anda memiliki nombor telefon atau peti mel yang bakal menerima makluman tentang siaran X (Twitter) dalam beberapa saat kemudian.

Sign-in screen with email entry for the passwordless OTP flow

Apa maksud sebenar “tanpa kata laluan” di sini

Pengesahan tanpa kata laluan bukanlah idea baharu — bank telah menggunakan kod SMS selama bertahun-tahun, dan kebanyakan pengurus kata laluan kini menggalakkan anda ke arah pautan ajaib (magic link). Apa yang berbeza tentang pelaksanaan WALLAWHATS ialah kod sekali guna yang sama yang membolehkan anda log masuk ke akaun anda turut mengesahkan destinasi yang akan menerima makluman anda. Tiada langkah berasingan “sahkan nombor telefon anda” yang tersembunyi dalam tetapan selepas mendaftar. Pemilikan dan kesediaan penghantaran ditetapkan dalam satu gerakan sahaja.

Secara konkrit:

  1. Anda memasukkan alamat e-mel atau nombor WhatsApp pada skrin log masuk.
  2. WALLAWHATS menjana kod berangka 6 digit dan menghantarnya ke destinasi tersebut.
  3. Anda menaip semula kod tersebut ke dalam aplikasi dalam tempoh singkat sebelum ia tamat tempoh.
  4. Apabila berjaya, anda log masuk — dan jika destinasi tersebut adalah nombor telefon, ia kini menjadi saluran disahkan yang sedia menerima makluman.

Tiada kata laluan untuk dipilih, diingati, ditukar secara berkala, atau bocor. Tiada aliran “lupa kata laluan”, kerana tiada kata laluan untuk dilupakan pada mulanya.

Mekanismenya: Cognito Custom Auth, bukan pustaka OTP tampalan

Di sebalik tabir, ini berjalan menggunakan aliran Custom Authentication AWS Cognito — bukan tambahan OTP pihak ketiga yang dilapisi di atas kumpulan nama pengguna/kata laluan tradisional. Tiga pencetus (trigger) Lambda bekerjasama untuk menjadikan ini berfungsi:

  • PreSignUp mengesahkan secara automatik pengguna baharu pada kali pertama mereka cuba log masuk menggunakan destinasi yang belum pernah dilihat sebelum ini. Tiada borang “cipta akaun” yang berasingan; log masuk dengan e-mel atau nombor baharu ialah proses penciptaan akaun.
  • CreateAuthChallenge menjana kod 6 digit, menyimpannya di pihak pelayan (server-side) dengan TTL yang singkat, dan menghantarnya ke destinasi — melalui WhatsApp jika anda memasukkan nombor telefon, atau melalui e-mel jika sebaliknya.
  • VerifyAuthChallengeResponse menyemak kod yang anda taip berbanding kod yang dikeluarkan, menolak percubaan yang telah tamat tempoh atau tidak sepadan serta mengehadkan kadar (rate-limit) percubaan semula.

Oleh kerana semua ini berjalan dalam mesin keadaan (state machine) pengesahan terurus Cognito, jaminan piawai terpakai: token bertempoh singkat, aliran muat semula (refresh) dikendalikan oleh infrastruktur yang sama yang melindungi selebihnya platform, dan tiada kod token sesi tersuai untuk diaudit bagi pepijat biasa (ID yang boleh diramal, entropi tidak mencukupi, semakan tamat tempoh yang tiada) yang sering menjejaskan pelaksanaan buatan sendiri seperti “hantar sahaja kod melalui e-mel”.

Sebab kod yang sama merangkumi dua tugas

Kebanyakan perkhidmatan menganggap “buktikan siapa anda” dan “buktikan anda boleh menerima mesej di sini” sebagai dua langkah berasingan — daftar dengan kata laluan, kemudian secara berasingan sahkan nombor telefon anda untuk notifikasi. WALLAWHATS menggabungkan kedua-duanya kerana, bagi produk makluman, ia sebenarnya soalan yang sama yang ditanya dua kali.

Jika WALLAWHATS hendak menghantar mesej WhatsApp ke sesuatu nombor, ia perlu mengetahui dua perkara: bahawa nombor itu benar dan boleh dihubungi, dan bahawa orang yang log masuk benar-benar mengawalnya. Kod 6 digit yang dihantar ke nombor tersebut dan ditaip semula dengan betul menjawab kedua-duanya sekali gus. Tiada senario di mana anda “log masuk” tetapi destinasi WhatsApp anda belum disahkan, kerana log masuk itu sendiri adalah pengesahan.

Logik yang sama terpakai untuk e-mel. Log masuk dengan alamat e-mel, terima kod di sana, taip semula kod itu — anda kini log masuk, dan peti mel tersebut menjadi destinasi yang disahkan untuk makluman e-mel (yang, pada setiap pelan, turut menyertakan snapshot terpapar bagi setiap tweet bersama teksnya).

Sebab ini lebih selamat berbanding rasanya

Pengesahan tanpa kata laluan mungkin kedengaran seperti sepatutnya kurang selamat — tiada kata laluan, tiada vault. Namun pada hakikatnya, ia menutup beberapa cara paling lazim akaun sebenar dikompromi:

  • Tiada credential stuffing. Tiada kata laluan yang digunakan semula daripada tapak yang telah digodam untuk dicuba oleh penyerang terhadap log masuk WALLAWHATS anda, kerana tiada kata laluan untuk dicuri pada mulanya.
  • Tiada permukaan serangan set semula kata laluan. Sebahagian besar pengambilalihan akaun berlaku melalui aliran “lupa kata laluan” — penyerang yang menguasai peti mel anda boleh menetapkan semula kata laluan anda di mana-mana sahaja. Menghapuskan kata laluan turut menghapuskan aliran tersebut sepenuhnya.
  • Berasaskan pemilikan, bukan berasaskan ingatan. Kod tersebut membuktikan anda mempunyai akses kepada telefon atau peti mel pada saat ini, bukan bahawa anda pernah menghafal (atau menulis, atau menggunakan semula) rahsia beberapa bulan lalu.
  • Bertempoh singkat dan sekali guna. Kod tamat tempoh dengan cepat dan menjadi tidak sah selepas satu kegunaan yang berjaya, berbeza dengan kata laluan yang kekal sah sehingga anda menukarnya secara manual.

Pertukaran (trade-off) di sini ialah penghantaran WhatsApp atau e-mel menjadi sebahagian daripada laluan kritikal log masuk anda — jika anda kehilangan akses kepada kedua-duanya, pemulihan akaun mengikut model destinasi-disahkan yang sama, bukannya mekanisme fallback “soalan keselamatan” yang secara sejarahnya menjadi mata rantai paling lemah dalam sistem berasaskan kata laluan.

Bagaimana ini dibandingkan dengan kata laluan tradisional + pengesahan OTP berasingan

Aliran konvensional biasanya begini: pilih kata laluan, sahkan e-mel anda melalui pautan berasingan, kemudian pergi ke tetapan dan sahkan nombor telefon untuk notifikasi SMS atau push. Itu tiga titik bukti berasingan, tiga tempat berasingan untuk sesuatu menjadi lapuk — nombor telefon yang tidak disahkan tersimpan dalam akaun selama berminggu-minggu, kata laluan yang sama persis dengan yang digunakan pada empat perkhidmatan lain, pautan pengesahan e-mel yang tamat tempoh sebelum sesiapa sempat mengkliknya.

WALLAWHATS mengurangkan semua itu kepada satu titik bukti bagi setiap destinasi. Tambah nombor WhatsApp, dan kod yang anda terima untuk mengesahkannya adalah kod yang sama yang melogkan anda masuk pada peranti tersebut selepas ini. Tiada keadaan tidak disahkan yang tergantung, kerana akaun dan destinasi mencapai status “disahkan” secara serentak.

Ini juga bermaksud menukar atau menambah destinasi hanyalah… log masuk dengan yang baharu. Mahu menambah nombor kedua yang disahkan di bawah pelan Business atau Enterprise? Masukkan nombor tersebut, terima kod, sahkannya. Tiada borang “tambah nombor telefon” berasingan yang tersembunyi tiga menu ke dalam.

Menyediakannya: apa yang anda akan lihat sebenarnya

Di wallawhats.com/signup, anda hanya diminta satu perkara: alamat e-mel atau nombor WhatsApp. Itu sahaja keseluruhan borang tersebut.

  • Masukkan nombor WhatsApp, dan kod akan tiba sebagai mesej WhatsApp dalam beberapa saat — saluran yang sama yang kelak akan membawa makluman X anda.
  • Masukkan e-mel, dan kod akan tiba di peti mel anda — berguna jika anda mahu log masuk daripada peranti kongsi atau peranti kerja tanpa menyentuh WhatsApp peribadi anda, atau jika anda menyediakan e-mel sebagai saluran makluman anda.

Walau apa cara sekalipun, anda akan mendapat skrin yang meminta kod 6 digit, taipkannya, dan anda akan berada di papan pemuka (dashboard). Dari situ anda boleh menambah saluran kedua (contohnya, nombor WhatsApp selepas mendaftar dengan e-mel, atau sebaliknya) pada bila-bila masa dari halaman Channels — setiap destinasi baharu melalui pengesahan kod sekali guna yang sama sebelum ia boleh menerima makluman. Jika anda tidak pasti jenis nombor WhatsApp yang perlu digunakan untuk ini, panduan Business vs Personal number kami menghuraikan pertukaran (trade-off) yang terlibat.

Tiada tetapan akaun di mana nombor telefon berstatus “ditambah tetapi belum disahkan”. Setiap destinasi sama ada telah melengkapkan cabaran kodnya sendiri, atau ia tidak dilampirkan pada akaun anda.

Nota tentang apa yang ini bukan

Untuk lebih tepat tentang model keselamatan ini: ini adalah pengesahan kod sekali guna melalui saluran yang anda sudah percayai (WhatsApp, e-mel), bukan pengesahan berbilang faktor (multi-factor authentication) dalam pengertian tradisional “kata laluan ditambah faktor kedua”. Terdapat perbezaan yang bererti di sini. MFA tradisional menambah bukti kedua yang berasingan di atas kata laluan. Model WALLAWHATS menggantikan kata laluan dengan pemilikan sesebuah saluran komunikasi — iaitu pertukaran risiko yang berbeza, bukan semestinya lebih kukuh dalam setiap dimensi. Ini adalah pertukaran yang tepat bagi perkhidmatan makluman, di mana keseluruhan intipatinya ialah anda sudah pun memerlukan destinasi yang disahkan untuk menggunakan produk ini langsung; menggunakan semula langkah pengesahan itu untuk log masuk mengurangkan geseran tanpa menghapuskan lapisan keselamatan yang bererti, kerana tiada lapisan berasaskan kata laluan pada mulanya.

Jika anda sedang memilih antara saluran untuk log masuk dan makluman, perbandingan e-mel vs WhatsApp kami membincangkan kelajuan penghantaran dan kadar pembacaan yang turut terpakai kepada kod log masuk — kod WhatsApp yang akan anda perasan dalam beberapa saat; kod e-mel pula bersaing dengan peti mel anda.

Sebab ini penting khusus untuk produk makluman

Bagi produk yang keseluruhan tugasnya ialah “menghantar mesej dengan boleh dipercayai ke destinasi yang anda pilih”, identiti dan destinasi tidak boleh terpisah antara satu sama lain. Jika log masuk dan pengesahan saluran adalah sistem berasingan, anda mungkin berakhir log masuk ke akaun yang nombor WhatsApp-nya ditambah bertahun-tahun lalu, mungkin telah diberikan semula kepada orang lain oleh pembawa telekomunikasi sejak itu, dan tidak pernah disahkan semula. Mengikat log masuk kepada kod baharu yang dihantar terus ke destinasi itu sendiri bermaksud risiko tersebut tidak wujud secara reka bentuk — anda tidak boleh log masuk melalui saluran yang tidak boleh dihubungi pada masa ini, kerana kebolehcapaian (reachability) itulah yang membolehkan anda log masuk.

Ini juga bermaksud pemulihan akaun tidak memerlukan tiket sokongan dalam kebanyakan kes. Kehilangan telefon anda? Log masuk dengan e-mel anda sebaliknya — aliran yang sama, kod sekali guna yang sama, dan destinasi WhatsApp anda (sebaik sahaja anda mengesahkannya semula pada peranti baharu) akan bersambung tepat di mana ia terhenti.

Apa yang berlaku apabila kod tidak sampai

Mana-mana sistem yang menyerahkan penghantaran kepada rangkaian pihak ketiga — pembawa telekomunikasi, infrastruktur WhatsApp sendiri, penyedia e-mel — perlu mengambil kira kemungkinan kod tidak muncul serta-merta. Berikut beberapa nota praktikal tentang cara ini dikendalikan:

  • Tempoh sah adalah singkat, dan ini disengajakan. Kod yang sah selama berjam-jam adalah sasaran yang lebih besar berbanding kod yang sah selama beberapa minit. Jika kod anda tamat tempoh sebelum anda memasukkannya, meminta kod baharu akan terus membatalkan kod lama.
  • Hantar semula, bukan taip semula. Jika mesej WhatsApp lewat beberapa saat (perkara biasa semasa waktu puncak penghantaran) atau e-mel tersasar ke folder spam, skrin log masuk menawarkan tindakan hantar semula berbanding meminta anda menunggu tanpa had untuk percubaan pertama.
  • Pengehadan kadar (rate limiting) melindungi kedua-dua pihak. Permintaan kod berulang ke destinasi yang sama akan dikawal kadarnya. Ini bukan sekadar langkah anti-penyalahgunaan untuk WALLAWHATS — ia juga mengelakkan satu akaun daripada tidak sengaja membebankan sistem penghantaran WhatsApp atau penyedia e-mel sekiranya sesuatu di hulu dicuba semula secara agresif.
  • Tukar saluran jika salah satu tidak boleh dihubungi. Jika telefon anda tiada isyarat tetapi anda berada di depan komputer riba, log masuk dengan e-mel sahaja — ia adalah laluan yang benar-benar bebas ke akaun yang sama, bukan fallback yang bergantung kepada kegagalan percubaan WhatsApp terlebih dahulu.

Tiada satu pun daripada ini yang unik kepada WALLAWHATS; ia adalah realiti operasi yang sama yang perlu diambil kira oleh mana-mana sistem berasaskan OTP. Perbezaannya ialah kerana kod tersebut turut menjadi pengesahan saluran anda, log masuk yang berjaya memberitahu anda bahawa destinasi makluman anda kini aktif — sesuatu yang tidak mampu dilakukan oleh kata laluan.

Soalan lazim

Bolehkah saya menggunakan WhatsApp dan e-mel kedua-duanya untuk log masuk? Boleh. Setiap satu disahkan secara berasingan pada kali pertama anda menggunakannya, dan mana-mana satu akan membawa anda ke akaun yang sama selepas itu.

Adakah kod baharu membatalkan saluran WhatsApp saya jika saya tidak selesai log masuk? Tidak. Percubaan log masuk yang tidak selesai atau tamat tempoh tidak menjejaskan saluran yang sudah disahkan — ia hanya penting untuk mengesahkan destinasi baharu buat kali pertama.

Bagaimana jika saya mahu menukar nombor telefon saya kemudian? Tambah nombor baharu sebagai saluran dari halaman Channels; ia akan melalui kod sekali gunanya sendiri sebelum boleh menerima makluman. Nombor lama anda kekal utuh sehingga anda mengeluarkannya.

Adakah ini sama seperti pengesahan dua faktor berasaskan SMS? Tidak juga. 2FA SMS tradisional adalah faktor kedua yang dilapiskan di atas kata laluan. Di sini, kod itu adalah keseluruhan mekanisme pengesahan — tiada kata laluan di bawahnya untuk ditambah faktor kedua.

Bermula

Log masuk tanpa kata laluan bukanlah ciri berasingan yang perlu dikonfigurasi — ia hanyalah cara log masuk ke WALLAWHATS berfungsi, pada setiap pelan bermula daripada Free ke atas. Jika anda belum menyediakan makluman lagi, panduan langkah demi langkah dalam panduan bermula kami merangkumi keseluruhan laluan daripada log masuk pertama sehingga makluman WhatsApp pertama anda.

Jangan sesekali terlepas siaran penting lagi. Cipta akaun percuma — 1 nombor WhatsApp, makluman masa nyata, tiada kad kredit diperlukan.

Nacho Coll

Mengenai penulis

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Kembali ke Blog

Artikel Berkaitan

Lihat Semua Artikel »