Slik fungerer passordfritt innlogging — én kode dekker både innlogging og WhatsApp-verifisering
WALLAWHATS bruker én 6-sifret kode til både innlogging og WhatsApp-verifisering. Her er flyten, hvorfor den er sikker, og hvordan den sammenlignes med passordbasert autentisering.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Hvert passord du noensinne har laget, er en liten sikkerhetsrisiko som ligger i en database et sted — din egen eller noen andres. Gjenbrukte passord, svake passord, phishede passord: de fleste kontokapringer starter fortsatt med et kompromittert passord, ikke en zero-day. WALLAWHATS unngår hele denne kategorien ved rett og slett ikke å ha passord. Innlogging og WhatsApp-verifisering håndteres av samme mekanisme: én enkelt 6-sifret kode sendt til et mål du kontrollerer.
Dette er ikke bare en UX-snarvei. Det betyr at i det øyeblikket du oppretter en konto, har du samtidig bevist at du eier telefonnummeret eller innboksen som varslene om X (Twitter)-innlegg havner i, bare sekunder senere.

Hva “passordfritt” faktisk betyr her
Passordfri autentisering er ikke en ny idé — banker har brukt SMS-koder i årevis, og de fleste passordbehandlere dytter deg nå mot magiske lenker. Det som er annerledes med WALLAWHATS’ implementasjon, er at den samme engangskoden som slipper deg inn på kontoen din, også verifiserer målet som skal motta varslene dine. Det finnes ikke noe eget “bekreft telefonnummeret ditt”-steg gjemt i innstillingene etter registrering. Eierskap og leveringsklarhet etableres i én og samme bevegelse.
Konkret:
- Du taster inn en e-postadresse eller et WhatsApp-nummer på innloggingsskjermen.
- WALLAWHATS genererer en 6-sifret numerisk kode og sender den til dette målet.
- Du taster koden inn i appen igjen, innenfor et kort utløpsvindu.
- Ved suksess er du logget inn — og hvis målet var et telefonnummer, er det nå en verifisert kanal klar til å motta varsler.
Ingen passord å velge, huske, rotere eller lekke. Ingen “glemt passord”-flyt, fordi det aldri fantes et passord å glemme.
Mekanikken: Cognito Custom Auth, ikke et påklistret OTP-bibliotek
Under panseret kjører dette på AWS Cognitos Custom Authentication-flyt — ikke en tredjeparts OTP-tilleggsløsning lagt oppå en tradisjonell brukernavn/passord-pool. Tre Lambda-triggere samarbeider for å få dette til å fungere:
- PreSignUp bekrefter automatisk nye brukere første gang de forsøker å logge inn med et mål som ikke er sett før. Det finnes ikke noe eget “opprett konto”-skjema; å logge inn med en ny e-postadresse eller et nytt nummer er kontoopprettelse.
- CreateAuthChallenge genererer den 6-sifrede koden, lagrer den server-side med en kort TTL, og sender den til målet — via WhatsApp hvis du oppga et telefonnummer, ellers via e-post.
- VerifyAuthChallengeResponse sjekker koden du tastet inn opp mot den som ble utstedt, avviser utløpte eller feilaktige forsøk og rate-limiterer nye forsøk.
Fordi alt dette kjører inne i Cognitos administrerte auth-tilstandsmaskin, gjelder de vanlige garantiene: tokens er kortlevde, refresh-flyter håndteres av den samme infrastrukturen som sikrer resten av plattformen, og det finnes ingen egenutviklet session-token-kode å revidere for de vanlige feilene (forutsigbare ID-er, utilstrekkelig entropi, manglende utløpssjekker) som plager hjemmesnekrede “bare send dem en kode på e-post”-implementasjoner.
Hvorfor samme kode dekker to jobber
De fleste tjenester behandler “bevis hvem du er” og “bevis at du kan motta meldinger her” som to separate steg — registrer deg med et passord, og verifiser deretter telefonnummeret ditt separat for varsler. WALLAWHATS slår dem sammen fordi de, for et varslingsprodukt, er det samme spørsmålet stilt to ganger.
Hvis WALLAWHATS skal levere en WhatsApp-melding til et nummer, må den vite to ting: at nummeret er ekte og tilgjengelig, og at personen som logger inn, faktisk kontrollerer det. En 6-sifret kode sendt til nettopp det nummeret, og tastet riktig inn igjen, svarer på begge deler samtidig. Det finnes ikke noe scenario der du er “logget inn” mens WhatsApp-målet ditt er uverifisert, fordi innloggingen var verifiseringen.
Samme logikk gjelder for e-post. Logg inn med en e-postadresse, motta en kode der, tast den inn igjen — du er nå logget inn, og den innboksen er et bekreftet mål for e-postvarsler (som på alle planer inkluderer et rendret bilde av hver tweet ved siden av teksten).
Hvorfor dette er sikrere enn det føles
Passordfri autentisering høres ut som den burde være mindre sikker — ingen passord, ingen hvelv. I praksis lukker den flere av de vanligste måtene ekte kontoer blir kompromittert på:
- Ingen credential stuffing. Det finnes ikke noe gjenbrukt passord fra et lekket nettsted som en angriper kan prøve mot WALLAWHATS-innloggingen din, fordi det ikke finnes noe passord å stjele i utgangspunktet.
- Ingen angrepsflate for passord-tilbakestilling. En stor andel kontokapringer skjer gjennom “glemt passord”-flyten — en angriper som kontrollerer innboksen din, tilbakestiller passordet ditt overalt. Å fjerne passord fjerner denne flyten fullstendig.
- Basert på besittelse, ikke hukommelse. Koden beviser at du har tilgang til telefonen eller innboksen akkurat nå, ikke at du husket (eller skrev ned, eller gjenbrukte) en hemmelighet for måneder siden.
- Kortlevd og til engangsbruk. Koder utløper raskt og blir ugyldiggjort etter én vellykket bruk, i motsetning til et passord som forblir gyldig helt til du manuelt endrer det.
Avveiningen er at levering via WhatsApp eller e-post blir en del av den kritiske innloggingsbanen din — hvis du mister tilgangen til begge, følger kontogjenoppretting den samme verifisert-mål-modellen, i stedet for et “sikkerhetsspørsmål”-fallback som historisk har vært det svakeste leddet i passordbaserte systemer.
Hvordan dette sammenlignes med tradisjonelt passord + separat OTP-verifisering
En konvensjonell flyt ser slik ut: velg et passord, bekreft e-posten din via en separat lenke, og gå deretter senere inn i innstillingene for å verifisere et telefonnummer for SMS- eller push-varsler. Det er tre separate bevispunkter, tre separate steder noe kan bli foreldet — et uverifisert telefonnummer som ligger på kontoen i ukevis, et passord som er identisk med det som brukes på fire andre tjenester, en e-postbekreftelseslenke som utløp før noen rakk å klikke på den.
WALLAWHATS reduserer dette til ett bevispunkt per mål. Legg til et WhatsApp-nummer, og koden du mottar for å verifisere det, er den samme koden som logger deg inn på den enheten fremover. Det finnes ingen uverifisert tilstand som blir hengende, fordi kontoen og målet når “verifisert” sammen.
Dette betyr også at å bytte eller legge til et mål bare er… å logge inn med et nytt et. Vil du legge til et andre verifisert nummer under en Business- eller Enterprise-plan? Skriv det inn, motta koden, bekreft den. Ikke noe eget “legg til telefonnummer”-skjema gjemt tre menyer ned.
Slik setter du det opp: hva du faktisk vil se
På wallawhats.com/signup blir du bedt om én ting: en e-postadresse eller et WhatsApp-nummer. Det er hele skjemaet.
- Oppgi et WhatsApp-nummer, og koden kommer som en WhatsApp-melding i løpet av sekunder — den samme kanalen som senere vil frakte X-varslene dine.
- Oppgi en e-post, og koden havner i innboksen din — nyttig hvis du vil logge inn fra en delt enhet eller en jobbenhet uten å røre den personlige WhatsApp-en din, eller hvis du setter opp e-post som varslingskanal.
Uansett får du en skjerm som ber om den 6-sifrede koden, du taster den inn, og du er på dashbordet. Derfra kan du legge til en andre kanal (si, et WhatsApp-nummer etter å ha registrert deg med e-post, eller omvendt) når som helst fra Channels-siden — hvert nytt mål går gjennom den samme engangskode-verifiseringen før det kan motta varsler. Hvis du er usikker på hvilken type WhatsApp-nummer du bør bruke til dette, går vår guide om Business vs. personlig nummer gjennom avveiningene.
Det finnes ingen kontoinnstilling der et telefonnummer ligger “lagt til, men uverifisert.” Hvert mål har enten fullført sin egen kodeutfordring, eller så er det ikke knyttet til kontoen din.
En kommentar om hva dette ikke er
For å være presis om sikkerhetsmodellen: dette er engangskode-autentisering over kanaler du allerede stoler på (WhatsApp, e-post), ikke multifaktor-autentisering i tradisjonell forstand av “passord pluss en andre faktor.” Det er en vesentlig forskjell. Tradisjonell MFA legger til et andre, uavhengig bevis oppå et passord. WALLAWHATS’ modell erstatter passordet med besittelse av en kommunikasjonskanal — noe som er en annen risikoavveining, ikke nødvendigvis en strengt sterkere en i alle dimensjoner. Det er den riktige avveiningen for en varslingstjeneste, der hele poenget er at du allerede trenger et verifisert mål for å bruke produktet i det hele tatt; å gjenbruke det verifiseringssteget for innlogging fjerner friksjon uten å fjerne et vesentlig sikkerhetslag, siden det aldri fantes et passordbasert lag i utgangspunktet.
Hvis du velger mellom kanaler for både innlogging og varsler, dekker vår sammenligning av e-post vs. WhatsApp avveiningene rundt leveringshastighet og leserate som også gjelder for innloggingskoder — en WhatsApp-kode legger du merke til i løpet av sekunder; en e-postkode konkurrerer med resten av innboksen din.
Hvorfor dette betyr noe spesifikt for et varslingsprodukt
For et produkt hvis eneste jobb er å “levere en melding pålitelig til et mål du har valgt,” kan ikke identiteten og målet gli fra hverandre. Hvis innlogging og kanalverifisering var separate systemer, kunne du ende opp logget inn på en konto der WhatsApp-nummeret ble lagt til for flere år siden, kanskje omfordelt til noen andre av operatøren siden den gang, og aldri bekreftet på nytt. Å binde innlogging til en fersk kode sendt til selve målet betyr at denne risikoen ikke eksisterer av design — du kan ikke være logget inn via en kanal som ikke er tilgjengelig akkurat nå, fordi tilgjengelighet er det som fikk deg logget inn.
Det betyr også at kontogjenoppretting vanligvis ikke krever en support-sak. Mistet du telefonen? Logg inn med e-posten din i stedet — samme flyt, samme engangskode, og WhatsApp-målet ditt (så snart du reverifiserer det på en ny enhet) fortsetter akkurat der det slapp.
Hva som skjer når en kode ikke kommer frem
Ethvert system som overlater levering til et tredjeparts nettverk — en operatør, WhatsApps egen infrastruktur, en e-postleverandør — må ta høyde for at koden ikke dukker opp øyeblikkelig. Noen praktiske notater om hvordan dette håndteres:
- Utløpstiden er kort, med hensikt. En kode som er gyldig i timevis, er et større mål enn én som er gyldig i minutter. Hvis din utløper før du rekker å taste den inn, gjør en ny forespørsel at den gamle koden ugyldiggjøres umiddelbart.
- Send på nytt, ikke tast på nytt. Hvis en WhatsApp-melding forsinkes med noen sekunder (normalt i perioder med høy trafikk), eller en e-post havner i søppelpost-mappen, tilbyr innloggingsskjermen en “send på nytt”-handling i stedet for å be deg vente i det uendelige på det første forsøket.
- Rate limiting beskytter begge sider. Gjentatte kodeforespørsler til samme mål blir strupet. Dette er ikke bare et anti-misbruk-tiltak for WALLAWHATS — det hindrer også at én enkelt konto ved et uhell overbelaster leveringssystemene til WhatsApp eller en e-postleverandør hvis noe oppstrøms blir forsøkt på nytt aggressivt.
- Bytt kanal hvis én er utilgjengelig. Hvis telefonen din ikke har dekning, men du sitter ved bærbaren, logg inn med e-post i stedet — det er en helt uavhengig vei til samme konto, ikke et fallback som er avhengig av at WhatsApp-forsøket feiler først.
Ingenting av dette er unikt for WALLAWHATS; det er den samme driftsmessige virkeligheten ethvert OTP-basert system må designes rundt. Forskjellen er at fordi koden også er kanalverifiseringen din, forteller en vellykket innlogging deg at varslingsmålet ditt er aktivt akkurat nå — noe et passord aldri kunne fortelle deg.
Ofte stilte spørsmål
Kan jeg bruke både WhatsApp og e-post for å logge inn? Ja. Hver av dem verifiseres uavhengig første gang du bruker den, og begge gir deg tilgang til samme konto etterpå.
Ugyldiggjør en ny kode WhatsApp-kanalen min hvis jeg ikke fullfører innloggingen? Nei. Et ufullstendig eller utløpt innloggingsforsøk påvirker ikke en allerede verifisert kanal — det har bare betydning for å verifisere et nytt mål for første gang.
Hva om jeg vil endre telefonnummeret mitt senere? Legg til det nye nummeret som en kanal fra Channels-siden; det går gjennom sin egen engangskode før det kan motta varsler. Det gamle nummeret ditt forblir intakt til du fjerner det.
Er dette det samme som SMS-basert tofaktorautentisering? Ikke helt. Tradisjonell SMS-2FA er en andre faktor lagt oppå et passord. Her er koden hele autentiseringsmekanismen — det finnes ikke noe passord under den å legge en andre faktor til.
Kom i gang
Passordfri innlogging er ikke en egen funksjon du må konfigurere — det er rett og slett slik innlogging på WALLAWHATS fungerer, på alle planer fra Free og oppover. Hvis du ikke har satt opp varsler ennå, dekker gjennomgangen i vår kom-i-gang-guide hele veien fra første innlogging til ditt første WhatsApp-varsel.
Gå aldri glipp av et viktig innlegg igjen. Opprett en gratis konto — 1 WhatsApp-nummer, sanntidsvarsler, ikke behov for kredittkort.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Om forfatteren
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



