Como Funciona o Início de Sessão Sem Palavra-passe — Um Código Cobre o Login e a Verificação do WhatsApp
A WALLAWHATS usa um único código de 6 dígitos tanto para o início de sessão como para a verificação do WhatsApp. Aqui tens o fluxo, porque é seguro e como se compara à autenticação por palavra-passe.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Cada palavra-passe que alguma vez criaste é um pequeno passivo à espera nalguma base de dados algures — a tua ou a de outra pessoa. Palavras-passe reutilizadas, palavras-passe fracas, palavras-passe roubadas por phishing: a maioria dos roubos de conta ainda começa por uma credencial, não por uma vulnerabilidade de dia zero. A WALLAWHATS contorna toda esta categoria por, simplesmente, não ter palavras-passe. O início de sessão e a verificação do WhatsApp são geridos pelo mesmo mecanismo: um único código de 6 dígitos enviado para um destino que tu controlas.
Isto não é apenas um atalho de UX. Significa que, no momento em que crias uma conta, também já provaste que és dono do número de telemóvel ou da caixa de correio para onde os alertas sobre publicações no X (Twitter) vão chegar segundos depois.

O que “sem palavra-passe” significa realmente aqui
A autenticação sem palavra-passe não é uma ideia nova — os bancos usam códigos por SMS há anos, e a maioria dos gestores de palavras-passe já te incentiva a usar magic links. O que é diferente na implementação da WALLAWHATS é que o mesmo código de utilização única que te dá acesso à tua conta também verifica o destino que vai receber os teus alertas. Não existe um passo separado de “confirma o teu número de telemóvel” escondido nas definições depois do registo. A posse e a prontidão para entrega são estabelecidas num único gesto.
Concretamente:
- Introduzes um endereço de email ou um número de WhatsApp no ecrã de início de sessão.
- A WALLAWHATS gera um código numérico de 6 dígitos e envia-o para esse destino.
- Introduzes o código de volta na app dentro de uma janela curta de validade.
- Se tiver sucesso, ficas com sessão iniciada — e se o destino era um número de telemóvel, este passa a ser um canal verificado e pronto para receber alertas.
Nenhuma palavra-passe para escolher, memorizar, rodar ou perder. Nenhum fluxo de “esqueci-me da palavra-passe”, porque nunca existiu uma palavra-passe para esquecer.
A mecânica: Cognito Custom Auth, não uma biblioteca de OTP acoplada
Por baixo do capô, isto corre sobre o fluxo de Autenticação Personalizada (Custom Authentication) do AWS Cognito — não um extra de OTP de terceiros montado sobre uma pool tradicional de utilizador/palavra-passe. Três triggers Lambda cooperam para que isto funcione:
- PreSignUp confirma automaticamente novos utilizadores na primeira vez que tentam iniciar sessão com um destino ainda não visto. Não existe um formulário separado de “criar conta”; iniciar sessão com um novo email ou número é a criação da conta.
- CreateAuthChallenge gera o código de 6 dígitos, guarda-o do lado do servidor com um TTL curto, e envia-o para o destino — via WhatsApp se introduziste um número de telemóvel, via email caso contrário.
- VerifyAuthChallengeResponse verifica o código que introduziste face ao que foi emitido, rejeitando tentativas expiradas ou incorretas e limitando a taxa de novas tentativas.
Como tudo isto corre dentro da máquina de estados de autenticação gerida pelo Cognito, aplicam-se as garantias habituais: os tokens têm vida curta, os fluxos de refresh são geridos pela mesma infraestrutura que protege o resto da plataforma, e não há código de tokens de sessão personalizado para auditar em busca dos erros habituais (IDs previsíveis, entropia insuficiente, verificações de expiração em falta) que afetam as implementações caseiras do tipo “basta enviar-lhes um código por email”.
Porque é que o mesmo código cobre dois papéis
A maioria dos serviços trata “provar quem és” e “provar que consegues receber mensagens aqui” como dois passos separados — regista-te com uma palavra-passe e, depois, verifica separadamente o teu número de telemóvel para notificações. A WALLAWHATS junta os dois porque, para um produto de alertas, são a mesma pergunta feita duas vezes.
Se a WALLAWHATS vai entregar uma mensagem de WhatsApp a um número, precisa de saber duas coisas: que o número é real e acessível, e que a pessoa que está a iniciar sessão realmente o controla. Um código de 6 dígitos enviado exatamente para esse número, e introduzido corretamente de volta, responde às duas ao mesmo tempo. Não existe cenário em que estejas “com sessão iniciada” mas o teu destino de WhatsApp esteja por verificar, porque o login foi a verificação.
A mesma lógica aplica-se ao email. Inicia sessão com um endereço de email, recebe um código aí, escreve-o de volta — agora estás com sessão iniciada, e essa caixa de correio é um destino confirmado para alertas por email (que, em todos os planos, incluem uma captura renderizada de cada tweet junto ao texto).
Porque é que isto é mais seguro do que parece
A autenticação sem palavra-passe soa a algo que devia ser menos seguro — sem palavra-passe, sem cofre. Na prática, fecha várias das formas mais comuns pelas quais contas reais são comprometidas:
- Sem credential stuffing. Não há nenhuma palavra-passe reutilizada de um site atacado para um atacante experimentar contra o teu login na WALLAWHATS, porque não há palavra-passe nenhuma para roubar, para começar.
- Sem superfície de ataque via reposição de palavra-passe. Uma grande parte dos roubos de conta acontece através do fluxo de “esqueci-me da palavra-passe” — um atacante que controla a tua caixa de correio repõe a tua palavra-passe em todo o lado. Remover as palavras-passe remove esse fluxo por completo.
- Baseado em posse, não em memória. O código prova que tens acesso ao telemóvel ou à caixa de correio neste momento, não que memorizaste (ou anotaste, ou reutilizaste) um segredo há meses.
- De vida curta e uso único. Os códigos expiram rapidamente e são invalidados após um uso bem-sucedido, ao contrário de uma palavra-passe que se mantém válida até a alterares manualmente.
A contrapartida é que a entrega via WhatsApp ou email passa a fazer parte do teu caminho crítico de login — se perderes o acesso a ambos, a recuperação da conta segue o mesmo modelo de destino verificado, em vez de um fallback de “perguntas de segurança” que, historicamente, tem sido o elo mais fraco nos sistemas baseados em palavra-passe.
Como isto se compara à palavra-passe tradicional + verificação OTP separada
Um fluxo convencional é assim: escolhes uma palavra-passe, confirmas o teu email através de um link separado e, mais tarde, vais às definições verificar um número de telemóvel para notificações por SMS ou push. São três provas separadas, três sítios distintos onde algo pode ficar desatualizado — um número de telemóvel por verificar na conta há semanas, uma palavra-passe idêntica à usada noutros quatro serviços, um link de confirmação de email que expirou antes de alguém clicar nele.
A WALLAWHATS reduz isto a uma única prova por destino. Adiciona um número de WhatsApp, e o código que recebes para o verificar é o mesmo código que te dá acesso nesse dispositivo daí em diante. Não fica nenhum estado por verificar pendurado, porque a conta e o destino ficam “verificados” ao mesmo tempo.
Isto também significa que mudar ou adicionar um destino é apenas… iniciar sessão com um novo. Queres adicionar um segundo número verificado num plano Business ou Enterprise? Introduz o número, recebe o código, confirma-o. Sem um formulário separado de “adicionar número de telemóvel” escondido três menus abaixo.
Como configurar: o que vais realmente ver
Em wallawhats.com/signup, pedem-te apenas uma coisa: um endereço de email ou um número de WhatsApp. É esse o formulário todo.
- Introduz um número de WhatsApp, e o código chega como mensagem de WhatsApp em segundos — o mesmo canal que mais tarde vai transportar os teus alertas do X.
- Introduz um email, e o código chega à tua caixa de correio — útil se quiseres iniciar sessão a partir de um dispositivo partilhado ou de trabalho sem tocar no teu WhatsApp pessoal, ou se estiveres a configurar o email como o teu canal de alertas.
Seja como for, aparece um ecrã a pedir o código de 6 dígitos, escreves e ficas no painel. A partir daí podes adicionar um segundo canal (por exemplo, um número de WhatsApp depois de te registares com email, ou o inverso) a qualquer momento a partir da página Channels — cada novo destino passa pela mesma verificação por código de utilização única antes de poder receber alertas. Se não tiveres a certeza de que tipo de número de WhatsApp usar para isto, o nosso guia de número Business vs Pessoal explica as vantagens e desvantagens de cada opção.
Não existe nenhuma definição de conta onde um número de telemóvel fique “adicionado mas por verificar”. Cada destino ou completou o seu próprio desafio de código, ou não está associado à tua conta.
Uma nota sobre o que isto não é
Para ser preciso quanto ao modelo de segurança: isto é autenticação por código de utilização única sobre canais em que já confias (WhatsApp, email), não autenticação multifator no sentido tradicional de “palavra-passe mais um segundo fator”. Há uma diferença importante. O MFA tradicional adiciona uma segunda prova independente por cima de uma palavra-passe. O modelo da WALLAWHATS substitui a palavra-passe pela posse de um canal de comunicação — o que é uma contrapartida de risco diferente, não estritamente mais forte em todas as dimensões. É a contrapartida certa para um serviço de notificações, onde todo o objetivo é que já precisas de um destino verificado para usar o produto; reutilizar esse passo de verificação para o login remove atrito sem remover uma camada de segurança significativa, já que não existia nenhuma camada baseada em palavra-passe para começar.
Se estiveres a escolher entre canais tanto para login como para alertas, a nossa comparação email vs WhatsApp cobre as diferenças de velocidade de entrega e taxa de leitura que também se aplicam aos códigos de início de sessão — um código de WhatsApp que vais notar em segundos; um código por email compete com a tua caixa de entrada.
Porque é que isto importa especificamente para um produto de alertas
Para um produto cujo trabalho todo é “entregar de forma fiável uma mensagem a um destino que escolheste”, a identidade e o destino não se podem afastar um do outro. Se o início de sessão e a verificação do canal fossem sistemas separados, poderias acabar com sessão iniciada numa conta cujo número de WhatsApp foi adicionado há anos, possivelmente reatribuído a outra pessoa pela operadora entretanto, e nunca reconfirmado. Ligar o login a um código fresco enviado para o próprio destino significa que esse risco não existe, por construção — não podes ter sessão iniciada através de um canal que não está atualmente acessível, porque a acessibilidade é o que te deu acesso.
Também significa que a recuperação de conta não exige um pedido de suporte no caso comum. Perdeste o telemóvel? Inicia sessão com o teu email — mesmo fluxo, mesmo código de utilização única, e o teu destino de WhatsApp (assim que o voltares a verificar num novo dispositivo) retoma exatamente de onde ficou.
O que acontece quando um código não chega
Qualquer sistema que delega a entrega a uma rede de terceiros — uma operadora, a própria infraestrutura do WhatsApp, um fornecedor de email — tem de contar com o código não aparecer instantaneamente. Algumas notas práticas sobre como isto é gerido:
- A validade é curta, e isso é intencional. Um código válido durante horas é um alvo maior do que um válido durante minutos. Se o teu expirar antes de o introduzires, pedir um novo invalida imediatamente o código antigo.
- Reenviar, não reescrever. Se uma mensagem de WhatsApp atrasar alguns segundos (normal em horas de pico) ou um email cair na pasta de spam, o ecrã de início de sessão oferece uma ação de reenvio em vez de te obrigar a esperar indefinidamente pela primeira tentativa.
- A limitação de taxa protege ambos os lados. Pedidos repetidos de código para o mesmo destino são limitados. Isto não é apenas uma medida antiabuso para a WALLAWHATS — também evita que uma única conta sobrecarregue sem querer os sistemas de entrega do WhatsApp ou de um fornecedor de email, caso algo a montante seja repetido de forma agressiva.
- Muda de canal se um estiver inacessível. Se o teu telemóvel não tiver rede mas estiveres no portátil, inicia sessão com o email — é um caminho completamente independente para a mesma conta, não um fallback que depende de a tentativa por WhatsApp falhar primeiro.
Nada disto é exclusivo da WALLAWHATS; é a mesma realidade operacional com que qualquer sistema baseado em OTP tem de lidar. A diferença é que, como o código também é a tua verificação de canal, um início de sessão bem-sucedido diz-te que o teu destino de alertas está atualmente ativo — algo que uma palavra-passe nunca poderia garantir.
Perguntas frequentes
Posso usar tanto o WhatsApp como o email para iniciar sessão? Sim. Cada um é verificado de forma independente da primeira vez que o usas, e qualquer um deles te dá acesso à mesma conta depois disso.
Um código novo invalida o meu canal de WhatsApp se eu não terminar o início de sessão? Não. Uma tentativa de início de sessão inacabada ou expirada não afeta um canal já verificado — só importa para verificar um novo destino pela primeira vez.
E se eu quiser mudar o meu número de telemóvel mais tarde? Adiciona o novo número como canal a partir da página Channels; passa pelo seu próprio código de utilização única antes de poder receber alertas. O teu número antigo mantém-se intacto até o removeres.
Isto é o mesmo que a autenticação de dois fatores por SMS? Não exatamente. O 2FA tradicional por SMS é um segundo fator sobreposto a uma palavra-passe. Aqui, o código é todo o mecanismo de autenticação — não há nenhuma palavra-passe por baixo à qual adicionar um segundo fator.
Começar
O início de sessão sem palavra-passe não é uma funcionalidade separada para configurar — é simplesmente a forma como o login na WALLAWHATS funciona, em todos os planos a partir do Free. Se ainda não configuraste alertas, o passo a passo no nosso guia de introdução cobre todo o percurso desde o primeiro início de sessão até ao teu primeiro alerta de WhatsApp.
Nunca mais percas uma publicação importante. Cria uma conta gratuita — 1 número de WhatsApp, alertas em tempo real, sem necessidade de cartão de crédito.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Sobre o autor
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



