Ako funguje prihlásenie bez hesla — jeden kód pokrýva prihlásenie aj overenie WhatsAppu

WALLAWHATS používa jeden 6-miestny kód na prihlásenie aj overenie WhatsAppu. Tu je postup, prečo je bezpečný a ako sa porovnáva s autentifikáciou heslom.

Nacho Collod Aktualizované: 10 min čítania
WALLAWHATS používa jeden 6-miestny kód na prihlásenie aj overenie WhatsAppu. Tu je postup, prečo je bezpečný a ako sa porovnáva s autentifikáciou heslom.

Každé heslo, ktoré ste kedy vytvorili, je malé riziko ležiace niekde v databáze — vašej alebo niekoho iného. Opakovane používané heslá, slabé heslá, odcudzené heslá: väčšina prevzatí účtov stále začína pri kompromitovaných prihlasovacích údajoch, nie pri zero-day zraniteľnosti. WALLAWHATS sa celej tejto kategórii vyhýba tak, že heslá vôbec nemá. Prihlásenie aj overenie WhatsAppu rieši ten istý mechanizmus: jediný 6-miestny kód odoslaný na cieľ, ktorý ovládate.

Nejde len o skratku v používateľskom zážitku. Znamená to, že v momente vytvorenia účtu ste zároveň dokázali, že vlastníte telefónne číslo alebo schránku, kam o pár sekúnd neskôr dorazia upozornenia na príspevky z X (Twitter).

Sign-in screen with email entry for the passwordless OTP flow

Čo tu skutočne znamená pojem „bez hesla”

Autentifikácia bez hesla nie je nový nápad — banky používajú SMS kódy už roky a väčšina správcov hesiel vás dnes nabáda k magickým odkazom. Na implementácii WALLAWHATS je iné to, že ten istý jednorazový kód, ktorý vás pustí do účtu, zároveň overuje cieľ, na ktorý budú prichádzať vaše upozornenia. Neexistuje samostatný krok „potvrďte svoje telefónne číslo” schovaný v nastaveniach po registrácii. Vlastníctvo a pripravenosť na doručovanie sa overia jedným krokom.

Konkrétne:

  1. Na prihlasovacej obrazovke zadáte e-mailovú adresu alebo číslo WhatsApp.
  2. WALLAWHATS vygeneruje 6-miestny číselný kód a odošle ho na tento cieľ.
  3. Kód zadáte späť do aplikácie počas krátkeho časového okna, kým platí.
  4. Po úspechu ste prihlásení — a ak bol cieľom telefónne číslo, ide teraz o overený kanál pripravený prijímať upozornenia.

Žiadne heslo, ktoré by ste si museli vymyslieť, zapamätať, meniť alebo ktoré by mohlo uniknúť. Žiadny proces „zabudnuté heslo”, pretože žiadne heslo na zabudnutie nikdy neexistovalo.

Mechanika: Cognito Custom Auth, nie prilepená OTP knižnica

Pod kapotou to celé beží na toku Custom Authentication od AWS Cognito — nie na doplnku OTP tretej strany naliatom na tradičný pool s používateľským menom a heslom. Na fungovaní tohto systému spolupracujú tri Lambda triggery:

  • PreSignUp automaticky potvrdí nových používateľov pri prvom pokuse o prihlásenie s cieľom, ktorý ešte nebol videný. Neexistuje samostatný formulár „vytvoriť účet”; prihlásenie s novým e-mailom alebo číslom je vytvorením účtu.
  • CreateAuthChallenge vygeneruje 6-miestny kód, uloží ho na strane servera s krátkym TTL a odošle ho na cieľ — cez WhatsApp, ak ste zadali telefónne číslo, inak e-mailom.
  • VerifyAuthChallengeResponse porovná kód, ktorý ste zadali, s vydaným kódom, odmietne expirované alebo nesúhlasiace pokusy a obmedzí frekvenciu opakovaných pokusov.

Keďže sa toto všetko odohráva v rámci spravovaného stavového automatu autentifikácie Cognito, platia štandardné záruky: tokeny majú krátku životnosť, obnovovacie procesy zabezpečuje tá istá infraštruktúra, ktorá chráni zvyšok platformy, a neexistuje žiadny vlastný kód session tokenov, ktorý by bolo treba auditovať na bežné chyby (predvídateľné ID, nedostatočná entropia, chýbajúce kontroly platnosti), ktoré trápia domáce implementácie typu „len im pošlite kód e-mailom”.

Prečo ten istý kód pokrýva dve úlohy

Väčšina služieb považuje „dokážte, kto ste” a „dokážte, že tu viete prijímať správy” za dva samostatné kroky — zaregistrujete sa heslom a potom samostatne overíte telefónne číslo pre notifikácie. WALLAWHATS tieto kroky zlučuje, pretože pri produkte na upozornenia ide v podstate o tú istú otázku položenú dvakrát.

Ak má WALLAWHATS doručiť správu WhatsApp na dané číslo, potrebuje vedieť dve veci: že číslo je reálne a dostupné, a že osoba, ktorá sa prihlasuje, ho skutočne ovláda. 6-miestny kód odoslaný presne na toto číslo a správne zadaný späť odpovedá na obe otázky naraz. Neexistuje scenár, kde by ste boli „prihlásení”, ale váš cieľ na WhatsAppe by zostal neoverený, pretože prihlásenie bolo overením.

Rovnaká logika platí pre e-mail. Prihlásite sa e-mailovou adresou, dostanete tam kód, zadáte ho späť — teraz ste prihlásení a táto schránka je potvrdeným cieľom pre e-mailové upozornenia (ktoré na každom pláne obsahujú okrem textu aj vykreslený náhľad daného tweetu).

Prečo je to bezpečnejšie, než sa zdá

Autentifikácia bez hesla znie, akoby mala byť menej bezpečná — žiadne heslo, žiadny trezor. V praxi však uzatvára viacero najbežnejších spôsobov, akými dochádza ku kompromitácii reálnych účtov:

  • Žiadny credential stuffing. Neexistuje opakovane použité heslo z prelomenej stránky, ktoré by útočník mohol vyskúšať proti vášmu prihláseniu WALLAWHATS, pretože žiadne heslo, ktoré by sa dalo ukradnúť, v prvom rade neexistuje.
  • Žiadna útočná plocha cez obnovu hesla. Veľká časť prevzatí účtov sa deje cez proces „zabudnuté heslo” — útočník, ktorý ovláda vašu schránku, si tak resetuje heslo všade. Odstránenie hesiel odstráni tento proces úplne.
  • Založené na vlastníctve, nie na pamäti. Kód dokazuje, že máte prístup k telefónu alebo schránke práve teraz, nie to, že ste si pred mesiacmi zapamätali (alebo zapísali, či opakovane použili) nejaké tajomstvo.
  • Krátka životnosť a jednorazové použitie. Kódy rýchlo expirujú a po jednom úspešnom použití sú neplatné, na rozdiel od hesla, ktoré zostáva platné, kým ho ručne nezmeníte.

Kompromisom je, že doručenie cez WhatsApp alebo e-mail sa stáva súčasťou kritickej cesty prihlásenia — ak stratíte prístup k obom, obnova účtu prebieha podľa toho istého modelu overeného cieľa, a nie cez záchrannú sieť „bezpečnostných otázok”, ktorá bola historicky najslabším článkom systémov založených na heslách.

Ako sa to porovnáva s tradičným heslom + samostatným OTP overením

Konvenčný postup vyzerá takto: zvolíte si heslo, potvrdíte e-mail cez samostatný odkaz a neskôr si v nastaveniach overíte telefónne číslo pre SMS alebo push notifikácie. To sú tri samostatné body dôkazu, tri samostatné miesta, kde sa niečo môže zanedbať — neoverené telefónne číslo, ktoré v účte leží celé týždne, heslo identické s tým, ktoré používate na štyroch iných službách, alebo potvrdzovací odkaz na e-mail, ktorý vypršal skôr, než naň niekto klikol.

WALLAWHATS to zredukuje na jeden bod dôkazu na cieľ. Pridáte číslo WhatsApp a kód, ktorý dostanete na jeho overenie, je ten istý kód, ktorým sa na danom zariadení odteraz prihlasujete. Neexistuje žiadny neoverený stav, ktorý by mohol zostať visieť, pretože účet a cieľ dosiahnu stav „overené” spoločne.

Znamená to tiež, že prepnutie alebo pridanie cieľa je jednoducho… prihlásenie s novým cieľom. Chcete pridať druhé overené číslo v rámci plánu Business alebo Enterprise? Zadajte ho, prijmite kód, potvrďte ho. Žiadny samostatný formulár „pridať telefónne číslo” schovaný tri menu hlboko.

Nastavenie: čo v skutočnosti uvidíte

Na stránke wallawhats.com/signup sa vás pýta iba na jednu vec: e-mailovú adresu alebo číslo WhatsApp. To je celý formulár.

  • Zadáte číslo WhatsApp a kód príde ako správa vo WhatsAppe do pár sekúnd — rovnakým kanálom, ktorým neskôr budú prichádzať vaše upozornenia z X.
  • Zadáte e-mail a kód pristane vo vašej schránke — užitočné, ak sa chcete prihlásiť zo zdieľaného alebo pracovného zariadenia bez toho, aby ste sa dotýkali osobného WhatsAppu, alebo ak si nastavujete e-mail ako kanál pre upozornenia.

V oboch prípadoch dostanete obrazovku so žiadosťou o 6-miestny kód, zadáte ho a ste na dashboarde. Odtiaľ môžete kedykoľvek zo stránky Channels pridať druhý kanál (napríklad číslo WhatsApp po registrácii e-mailom, alebo naopak) — každý nový cieľ prejde tým istým overením jednorazovým kódom, než môže začať prijímať upozornenia. Ak si nie ste istí, aký typ čísla WhatsApp na to použiť, náš sprievodca Business vs. osobné číslo rozoberá jednotlivé kompromisy.

V nastaveniach účtu neexistuje stav, kde by telefónne číslo bolo „pridané, ale neoverené.” Každý cieľ buď úspešne prešiel vlastnou výzvou s kódom, alebo nie je k vášmu účtu vôbec pripojený.

Poznámka k tomu, čím toto nie je

Aby sme boli presní pri bezpečnostnom modeli: ide o autentifikáciu jednorazovým kódom cez kanály, ktorým už dôverujete (WhatsApp, e-mail), nie o viacfaktorovú autentifikáciu v tradičnom zmysle „heslo plus druhý faktor.” Je v tom podstatný rozdiel. Tradičné MFA pridáva druhý nezávislý dôkaz nad rámec hesla. Model WALLAWHATS nahrádza heslo vlastníctvom komunikačného kanála — čo je iný kompromis rizika, nie striktne silnejší vo všetkých ohľadoch. Pre notifikačnú službu je to však správny kompromis, keďže celý zmysel produktu je, že na jeho použitie tak či tak potrebujete overený cieľ; opätovné využitie tohto overovacieho kroku aj na prihlásenie odstraňuje trenie bez toho, aby odstránilo zmysluplnú bezpečnostnú vrstvu, keďže vrstva založená na hesle tu od začiatku nebola.

Ak si vyberáte medzi kanálmi pre prihlásenie aj upozornenia, naše porovnanie e-mailu a WhatsAppu rozoberá kompromisy medzi rýchlosťou doručenia a mierou prečítania, ktoré platia rovnako aj pre prihlasovacie kódy — kód cez WhatsApp si všimnete do pár sekúnd; e-mailový kód súperí o vašu pozornosť s celou schránkou.

Prečo na tom pri produkte na upozornenia obzvlášť záleží

Pre produkt, ktorého jedinou úlohou je „spoľahlivo doručiť správu na cieľ, ktorý ste si zvolili,” sa identita a cieľ nemôžu od seba vzdialiť. Keby boli prihlásenie a overenie kanála samostatnými systémami, mohli by ste sa ocitnúť prihlásení v účte, ktorého číslo WhatsApp bolo pridané pred rokmi, operátor ho odvtedy možno pridelil niekomu inému a nikdy nebolo znovu potvrdené. Naviazanie prihlásenia na čerstvý kód odoslaný priamo na daný cieľ znamená, že toto riziko z princípu neexistuje — nemôžete byť prihlásení cez kanál, ktorý momentálne nie je dostupný, pretože práve dostupnosť je to, čo vás prihlásila.

Znamená to tiež, že obnova účtu v bežnom prípade nevyžaduje hlásenie do podpory. Stratili ste telefón? Prihláste sa namiesto toho e-mailom — rovnaký postup, rovnaký jednorazový kód, a váš cieľ na WhatsAppe (hneď ako ho znovu overíte na novom zariadení) pokračuje presne tam, kde skončil.

Čo sa stane, keď kód nepríde

Každý systém, ktorý odovzdáva doručenie sieti tretej strany — operátorovi, samotnej infraštruktúre WhatsAppu, poskytovateľovi e-mailu — musí počítať s tým, že kód sa nezobrazí okamžite. Zopár praktických poznámok, ako sa to rieši:

  • Platnosť je krátka, a je to zámer. Kód platný celé hodiny je väčším cieľom než kód platný pár minút. Ak vám váš kód vyprší skôr, než ho stihnete zadať, vyžiadanie nového okamžite zneplatní ten starý.
  • Radšej znova odoslať než prepisovať. Ak sa správa vo WhatsAppe oneskorí o pár sekúnd (bežné v čase špičky) alebo e-mail skončí v spame, prihlasovacia obrazovka ponúkne možnosť znova odoslať kód namiesto toho, aby ste museli donekonečna čakať na prvý pokus.
  • Obmedzenie frekvencie chráni obe strany. Opakované žiadosti o kód na ten istý cieľ sú tlmené. Nejde len o opatrenie proti zneužitiu na strane WALLAWHATS — zároveň to bráni tomu, aby jeden účet nechtiac zahltil doručovacie systémy WhatsAppu alebo poskytovateľa e-mailu, ak sa niečo vyššie v reťazci agresívne opakuje.
  • Prepnite kanál, ak je jeden nedostupný. Ak váš telefón nemá signál, ale sedíte pri notebooku, prihláste sa radšej e-mailom — je to úplne nezávislá cesta k tomu istému účtu, nie záložné riešenie, ktoré čaká, kým najprv zlyhá pokus cez WhatsApp.

Nič z toho nie je jedinečné pre WALLAWHATS; ide o rovnakú prevádzkovú realitu, s ktorou musí počítať každý systém založený na OTP. Rozdiel je v tom, že keďže kód je zároveň overením vášho kanála, úspešné prihlásenie vám hovorí, že váš cieľ pre upozornenia je práve teraz aktívny — čo heslo nikdy nedokázalo.

Často kladené otázky

Môžem sa prihlasovať cez WhatsApp aj e-mail? Áno. Každý z nich sa overí samostatne pri prvom použití a odvtedy vás ktorýkoľvek z nich dostane do toho istého účtu.

Zneplatní nový kód môj kanál WhatsApp, ak prihlásenie nedokončím? Nie. Nedokončený alebo vypršaný pokus o prihlásenie neovplyvňuje už overený kanál — záleží na tom iba pri prvom overovaní nového cieľa.

Čo ak si neskôr chcem zmeniť telefónne číslo? Pridajte nové číslo ako kanál na stránke Channels; prejde vlastným jednorazovým kódom, než začne prijímať upozornenia. Vaše staré číslo zostáva nedotknuté, kým ho sami neodstránite.

Je to to isté ako dvojfaktorová autentifikácia cez SMS? Nie celkom. Tradičné SMS 2FA je druhý faktor navrstvený na heslo. Tu je kód celým autentifikačným mechanizmom — pod ním neexistuje žiadne heslo, ku ktorému by sa druhý faktor pridával.

Ako začať

Prihlásenie bez hesla nie je samostatná funkcia, ktorú treba nastaviť — je to jednoducho spôsob, akým prihlásenie do WALLAWHATS funguje, na každom pláne od Free vyššie. Ak ste si ešte nenastavili upozornenia, náš úvodný sprievodca prevedie celou cestou od prvého prihlásenia až po prvé upozornenie vo WhatsAppe.

Už nikdy nezmeškajte dôležitý príspevok. Vytvorte si bezplatný účet — 1 číslo WhatsApp, upozornenia v reálnom čase, žiadna kreditná karta.

Nacho Coll

O autorovi

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Späť na Blog