Como funciona o login sem senha — Um único código cobre login + verificação do WhatsApp
O WALLAWHATS usa um único código de 6 dígitos tanto para o login quanto para a verificação do WhatsApp. Veja como funciona o fluxo, por que é seguro e como se compara à autenticação por senha.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Toda senha que você já criou é um pequeno passivo sentado em um banco de dados em algum lugar — seu ou de outra pessoa. Senhas reutilizadas, senhas fracas, senhas phishadas: a maioria das invasões de conta ainda começa por uma credencial, não por um zero-day. O WALLAWHATS evita toda essa categoria de problema simplesmente não tendo senhas. O login e a verificação do WhatsApp são tratados pelo mesmo mecanismo: um único código de 6 dígitos enviado a um destino que você controla.
Isso não é só um atalho de UX. Significa que no momento em que você cria uma conta, você também já provou que é dono do número de telefone ou da caixa de entrada onde os alertas sobre posts do X (Twitter) vão chegar segundos depois.

O que “sem senha” realmente significa aqui
Autenticação sem senha não é uma ideia nova — bancos usam códigos por SMS há anos, e a maioria dos gerenciadores de senha já empurra você para links mágicos. O que é diferente na implementação do WALLAWHATS é que o mesmo código de uso único que te dá acesso à conta também verifica o destino que vai receber seus alertas. Não existe uma etapa separada de “confirme seu número de telefone” escondida nas configurações depois do cadastro. Posse e prontidão para entrega são estabelecidas em um único movimento.
Concretamente:
- Você digita um endereço de e-mail ou um número de WhatsApp na tela de login.
- O WALLAWHATS gera um código numérico de 6 dígitos e o envia para esse destino.
- Você digita o código de volta no app dentro de uma janela curta de expiração.
- Em caso de sucesso, você está logado — e, se o destino era um número de telefone, ele agora é um canal verificado pronto para receber alertas.
Nenhuma senha para escolher, lembrar, trocar ou vazar. Nenhum fluxo de “esqueci minha senha”, porque nunca existiu uma senha para esquecer.
A mecânica: Cognito Custom Auth, não uma biblioteca de OTP colada por cima
Por baixo do capô, isso roda sobre o fluxo de Autenticação Customizada do AWS Cognito — não um complemento de OTP de terceiros colocado em cima de um pool tradicional de usuário e senha. Três gatilhos Lambda cooperam para fazer isso funcionar:
- PreSignUp confirma automaticamente novos usuários na primeira vez que eles tentam entrar com um destino ainda não visto. Não existe um formulário separado de “criar conta”; entrar com um e-mail ou número novo é a criação da conta.
- CreateAuthChallenge gera o código de 6 dígitos, o persiste no servidor com um TTL curto, e o despacha para o destino — via WhatsApp se você digitou um número de telefone, via e-mail caso contrário.
- VerifyAuthChallengeResponse verifica o código que você digitou contra o que foi emitido, rejeitando tentativas expiradas ou incorretas e limitando a taxa de novas tentativas.
Como tudo isso roda dentro da máquina de estados de autenticação gerenciada do Cognito, as garantias padrão se aplicam: tokens de vida curta, fluxos de renovação tratados pela mesma infraestrutura que protege o restante da plataforma, e nenhum código customizado de token de sessão para auditar em busca dos bugs de sempre (IDs previsíveis, entropia insuficiente, checagens de expiração ausentes) que assombram implementações caseiras do tipo “só manda um código por e-mail”.
Por que o mesmo código cobre dois trabalhos
A maioria dos serviços trata “provar quem você é” e “provar que você consegue receber mensagens aqui” como duas etapas separadas — cadastre-se com uma senha e depois, separadamente, verifique seu número de telefone para notificações. O WALLAWHATS unifica isso porque, para um produto de alertas, são a mesma pergunta feita duas vezes.
Se o WALLAWHATS vai entregar uma mensagem de WhatsApp a um número, ele precisa saber duas coisas: que o número é real e alcançável, e que a pessoa entrando na conta realmente o controla. Um código de 6 dígitos enviado exatamente para esse número e digitado corretamente de volta responde às duas ao mesmo tempo. Não existe cenário em que você está “logado” mas seu destino de WhatsApp não está verificado, porque o login foi a verificação.
A mesma lógica vale para o e-mail. Entre com um endereço de e-mail, receba um código lá, digite-o de volta — agora você está logado, e essa caixa de entrada é um destino confirmado para alertas por e-mail (que, em todos os planos, incluem um snapshot renderizado de cada tweet junto com o texto).
Por que isso é mais seguro do que parece
Autenticação sem senha soa como se devesse ser menos segura — sem senha, sem cofre. Na prática, ela fecha várias das formas mais comuns pelas quais contas reais são comprometidas:
- Sem credential stuffing. Não existe uma senha reutilizada de um site vazado para um atacante tentar contra seu login do WALLAWHATS, porque não existe senha para roubar em primeiro lugar.
- Sem superfície de ataque de redefinição de senha. Uma grande parte das invasões de conta acontece através do fluxo de “esqueci minha senha” — um atacante que controla sua caixa de entrada redefine sua senha em todo lugar. Remover senhas remove esse fluxo por completo.
- Baseado em posse, não em memória. O código prova que você tem acesso ao celular ou à caixa de entrada agora, não que você memorizou (ou anotou, ou reutilizou) um segredo meses atrás.
- De vida curta e uso único. Os códigos expiram rapidamente e são invalidados após um uso bem-sucedido, ao contrário de uma senha que permanece válida até você trocá-la manualmente.
A contrapartida é que a entrega via WhatsApp ou e-mail passa a fazer parte do caminho crítico do seu login — se você perder acesso a ambos, a recuperação de conta segue o mesmo modelo de destino verificado, em vez de um fallback de “perguntas de segurança” que historicamente tem sido o elo mais fraco em sistemas baseados em senha.
Como isso se compara à senha tradicional + verificação OTP separada
Um fluxo convencional é assim: escolha uma senha, confirme seu e-mail via um link separado, e depois vá até as configurações e verifique um número de telefone para notificações por SMS ou push. São três pontos de prova separados, três lugares separados para algo ficar desatualizado — um número de telefone não verificado parado na conta por semanas, uma senha idêntica à usada em outros quatro serviços, um link de confirmação de e-mail que expirou antes de alguém clicar.
O WALLAWHATS reduz isso a um ponto de prova por destino. Adicione um número de WhatsApp, e o código que você recebe para verificá-lo é o mesmo código que te loga naquele aparelho daí em diante. Não existe estado não verificado para deixar pendurado, porque a conta e o destino chegam a “verificado” juntos.
Isso também significa que trocar ou adicionar um destino é só… entrar com um novo. Quer adicionar um segundo número verificado em um plano Business ou Enterprise? Digite-o, receba o código, confirme-o. Nenhum formulário separado de “adicionar número de telefone” escondido três menus abaixo.
Configurando: o que você realmente vai ver
Em wallawhats.com/signup, pedimos apenas uma coisa: um endereço de e-mail ou um número de WhatsApp. Esse é o formulário inteiro.
- Digite um número de WhatsApp, e o código chega como mensagem de WhatsApp em segundos — o mesmo canal que depois vai carregar seus alertas do X.
- Digite um e-mail, e o código cai na sua caixa de entrada — útil se você quer entrar de um dispositivo compartilhado ou de trabalho sem mexer no seu WhatsApp pessoal, ou se está configurando o e-mail como seu canal de alertas.
De qualquer forma, você recebe uma tela pedindo o código de 6 dígitos, digita e já está no painel. A partir daí, você pode adicionar um segundo canal (digamos, um número de WhatsApp depois de se cadastrar com e-mail, ou o contrário) a qualquer momento na página de Canais — cada novo destino passa pela mesma verificação de código único antes de poder receber alertas. Se você não tem certeza de qual tipo de número de WhatsApp usar para isso, nosso guia Business vs Personal number detalha as vantagens e desvantagens.
Não existe uma configuração de conta em que um número de telefone fique “adicionado mas não verificado”. Todo destino ou completou seu próprio desafio de código, ou não está vinculado à sua conta.
Uma observação sobre o que isso não é
Para ser preciso sobre o modelo de segurança: isso é autenticação por código de uso único através de canais em que você já confia (WhatsApp, e-mail), não autenticação multifator no sentido tradicional de “senha mais um segundo fator”. Há uma diferença relevante. O MFA tradicional adiciona uma segunda prova independente em cima de uma senha. O modelo do WALLAWHATS substitui a senha pela posse de um canal de comunicação — o que é uma contrapartida de risco diferente, não estritamente mais forte em todas as dimensões. É a contrapartida certa para um serviço de notificações, em que todo o ponto é que você já precisa de um destino verificado para usar o produto; reaproveitar essa etapa de verificação para o login remove fricção sem remover uma camada de segurança relevante, já que não havia uma camada baseada em senha para começar.
Se você está escolhendo entre canais tanto para login quanto para alertas, nossa comparação e-mail vs WhatsApp cobre as diferenças de velocidade de entrega e taxa de leitura que também se aplicam a códigos de login — um código no WhatsApp você percebe em segundos; um código por e-mail compete com sua caixa de entrada.
Por que isso importa especificamente para um produto de alertas
Para um produto cujo trabalho inteiro é “entregar de forma confiável uma mensagem a um destino que você escolheu”, a identidade e o destino não podem se distanciar um do outro. Se login e verificação de canal fossem sistemas separados, você poderia acabar logado em uma conta cujo número de WhatsApp foi adicionado anos atrás, possivelmente reatribuído a outra pessoa pela operadora desde então, e nunca reconfirmado. Vincular o login a um código recém-enviado ao próprio destino faz com que esse risco simplesmente não exista por construção — você não consegue estar logado através de um canal que não está alcançável no momento, porque a alcançabilidade é o que te logou.
Isso também significa que a recuperação de conta não exige um chamado de suporte no caso comum. Perdeu seu celular? Entre com seu e-mail — mesmo fluxo, mesmo código de uso único, e seu destino de WhatsApp (assim que você o reverificar em um novo dispositivo) retoma exatamente de onde parou.
O que acontece quando um código não chega
Qualquer sistema que terceiriza a entrega para uma rede externa — uma operadora, a própria infraestrutura do WhatsApp, um provedor de e-mail — precisa lidar com a possibilidade de o código não aparecer instantaneamente. Algumas notas práticas sobre como isso é tratado:
- A expiração é curta, e isso é intencional. Um código válido por horas é um alvo maior do que um válido por minutos. Se o seu expirar antes de você digitá-lo, solicitar um novo invalida o código antigo imediatamente.
- Reenviar, não redigitar. Se uma mensagem de WhatsApp atrasar alguns segundos (normal em horários de pico de envio) ou um e-mail cair na caixa de spam, a tela de login oferece uma ação de reenvio em vez de pedir que você espere indefinidamente pela primeira tentativa.
- A limitação de taxa protege os dois lados. Solicitações repetidas de código para o mesmo destino são limitadas. Isso não é só uma medida antiabuso para o WALLAWHATS — também evita que uma única conta sobrecarregue acidentalmente os sistemas de entrega do WhatsApp ou de um provedor de e-mail, caso algo a montante esteja sendo reenviado de forma agressiva.
- Troque de canal se um deles estiver inalcançável. Se seu celular está sem sinal mas você está no laptop, entre com o e-mail — é um caminho completamente independente para a mesma conta, não um fallback que depende da tentativa via WhatsApp falhar primeiro.
Nada disso é exclusivo do WALLAWHATS; é a mesma realidade operacional que qualquer sistema baseado em OTP precisa contornar. A diferença é que, como o código também é sua verificação de canal, um login bem-sucedido te diz que seu destino de alertas está ativo agora — o que uma senha nunca conseguiria.
Perguntas frequentes
Posso usar WhatsApp e e-mail para entrar? Sim. Cada um é verificado independentemente na primeira vez que você o usa, e qualquer um dos dois te dá acesso à mesma conta depois.
Um novo código invalida meu canal de WhatsApp se eu não terminar de entrar? Não. Uma tentativa de login inacabada ou expirada não afeta um canal já verificado — isso só importa para verificar um novo destino pela primeira vez.
E se eu quiser trocar meu número de telefone depois? Adicione o novo número como um canal na página de Canais; ele passa pelo próprio código de uso único antes de poder receber alertas. Seu número antigo permanece intacto até você removê-lo.
Isso é o mesmo que autenticação de dois fatores baseada em SMS? Não exatamente. O 2FA tradicional via SMS é um segundo fator em cima de uma senha. Aqui, o código é todo o mecanismo de autenticação — não há senha por baixo dele para adicionar um segundo fator.
Para começar
O login sem senha não é um recurso separado para configurar — é simplesmente como entrar no WALLAWHATS funciona, em todos os planos a partir do Free. Se você ainda não configurou seus alertas, o passo a passo em nosso guia de primeiros passos cobre todo o caminho, do primeiro login ao seu primeiro alerta de WhatsApp.
Nunca mais perca um post importante. Crie uma conta grátis — 1 número de WhatsApp, alertas em tempo real, sem cartão de crédito.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Sobre o autor
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



