Како ради пријава без лозинке — један код покрива и пријаву и WhatsApp верификацију
WALLAWHATS користи један 6-цифарски код и за пријаву и за WhatsApp верификацију. Ево како ток изгледа, зашто је безбедан и како се пореди са пријавом лозинком.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Свака лозинка коју сте икада направили представља малу обавезу која негде седи у некој бази података — вашој или туђој. Поново коришћене лозинке, слабе лозинке, лозинке добијене пецањем (phishing): већина преузимања налога и даље почиње компромитованим приступним подацима, а не zero-day рањивошћу. WALLAWHATS цео тај проблем избегава тако што уопште нема лозинке. Пријава и WhatsApp верификација се обављају истим механизмом: један 6-цифарски код који се шаље на одредиште које ви контролишете.
То није само пречица у корисничком искуству. То значи да у тренутку када направите налог, уједно доказујете да сте власник броја телефона или инбокса на који ће, свега неколико секунди касније, стизати обавештења о постовима на X-у (Twitter-у).

Шта овде заправо значи „без лозинке”
Аутентификација без лозинке није нова идеја — банке годинама користе SMS кодове, а већина менаџера лозинки вас данас усмерава ка magic линковима. Оно што је другачије код WALLAWHATS имплементације јесте да исти једнократни код који вас пушта у налог уједно верификује и одредиште на које ће стизати ваша обавештења. Не постоји посебан корак „потврдите свој број телефона” сакривен негде у подешавањима после регистрације. Власништво и спремност за испоруку се успостављају у једном потезу.
Конкретно:
- Уносите имејл адресу или WhatsApp број на екрану за пријаву.
- WALLAWHATS генерише 6-цифарски нумерички код и шаље га на то одредиште.
- Уносите тај код назад у апликацију у кратком временском року пре него што истекне.
- Ако је успешно, пријављени сте — а ако је одредиште био број телефона, он је сада верификован канал спреман да прима обавештења.
Нема лозинке коју треба измислити, запамтити, мењати или процурети. Нема ни тока „заборавили сте лозинку”, јер лозинке никада ни није било да се заборави.
Механика: Cognito Custom Auth, а не додатна OTP библиотека
Испод хаубе, ово ради на AWS Cognito Custom Authentication току — а не на OTP додатку трећих страна налепљеном преко традиционалног пула за корисничко име и лозинку. Три Lambda окидача сарађују да би ово функционисало:
- PreSignUp аутоматски потврђује нове кориснике први пут када покушају да се пријаве са одредиштем које раније није виђено. Не постоји посебна форма „направи налог”; пријава са новим имејлом или бројем јесте креирање налога.
- CreateAuthChallenge генерише 6-цифарски код, чува га на серверској страни са кратким TTL-ом и шаље га на одредиште — преко WhatsApp-а ако сте унели број телефона, или имејлом у супротном.
- VerifyAuthChallengeResponse проверава код који сте унели у односу на онај који је издат, одбацује истекле или неодговарајуће покушаје и ограничава учесталост поновних покушаја.
Пошто се све ово одвија унутар Cognito-ове управљане машине стања за аутентификацију, важе стандардне гаранције: токени имају кратак век трајања, токове освежавања (refresh) обрађује иста инфраструктура која обезбеђује остатак платформе, и не постоји прилагођени код за токене сесије који би требало проверавати због уобичајених грешака (предвидиви ID-јеви, недовољна ентропија, изостанак провере истека) које муче доморадне имплементације типа „само им пошаљи код имејлом”.
Зашто исти код покрива два посла
Већина сервиса третира „докажи ко си” и „докажи да овде можеш примати поруке” као два одвојена корака — региструј се лозинком, па затим засебно верификуј број телефона за обавештења. WALLAWHATS ова два корака спаја у један, јер су за производ намењен обавештењима то, у ствари, исто питање постављено двапут.
Ако WALLAWHATS треба да испоручи WhatsApp поруку на неки број, потребно је да зна две ствари: да је број стваран и доступан, и да особа која се пријављује заиста тим бројем управља. 6-цифарски код послат тачно на тај број и тачно унет назад одговара на оба питања истовремено. Не постоји сценарио у ком сте „пријављени”, а ваше WhatsApp одредиште није верификовано, јер је пријава и била верификација.
Иста логика важи и за имејл. Пријавите се имејл адресом, примите код тамо, унесите га назад — сада сте пријављени, а тај инбокс је потврђено одредиште за имејл обавештења (која, на сваком плану, укључују и рендерован снимак сваког твита уз текст).
Зашто је ово безбедније него што делује
Аутентификација без лозинке звучи као да би требало да буде мање безбедна — нема лозинке, нема трезора. У пракси, она затвара неколико најчешћих начина на које се стварни налози компромитују:
- Нема credential stuffing напада. Не постоји поново коришћена лозинка са компромитованог сајта коју би нападач могао да проба против ваше WALLAWHATS пријаве, јер лозинке нема ни да се украде.
- Нема површине за напад преко ресетовања лозинке. Огроман део преузимања налога дешава се управо кроз ток „заборавили сте лозинку” — нападач који контролише ваш инбокс ресетује вам лозинку свуда. Уклањањем лозинки уклања се и тај ток у потпуности.
- Заснива се на поседовању, не на памћењу. Код доказује да управо сада имате приступ телефону или инбоксу, а не да сте пре месеци запамтили (или записали, или поново користили) неку тајну.
- Кратког века трајања и једнократни. Кодови брзо истичу и поништавају се након једне успешне употребе, за разлику од лозинке која остаје важећа док је ручно не промените.
Компромис је у томе што испорука преко WhatsApp-а или имејла постаје део критичне путање за пријаву — ако изгубите приступ обома, опоравак налога прати исти модел верификованог одредишта, уместо резервног решења типа „сигурносна питања”, које је историјски представљало најслабију карику у системима заснованим на лозинкама.
Како се ово пореди са традиционалном лозинком + засебном OTP верификацијом
Уобичајени ток изгледа овако: изаберете лозинку, потврдите имејл преко засебног линка, а потом накнадно одете у подешавања и верификујете број телефона за SMS или push обавештења. То су три одвојене тачке доказивања, три одвојена места на којима нешто може да „ускисне” — неверификован број телефона који седи у налогу недељама, лозинка идентична оној коришћеној на четири друга сервиса, линк за потврду имејла који је истекао пре него што је ико кликнуо на њега.
WALLAWHATS то своди на једну тачку доказивања по одредишту. Додате WhatsApp број, и код који добијете да га верификујете исти је код који вас убудуће пријављује на том уређају. Нема неверификованог стања које би остало да виси, јер налог и одредиште заједно постижу статус „верификовано”.
Ово такође значи да је промена или додавање одредишта само… пријава новим одредиштем. Желите да додате други верификован број у оквиру Business или Enterprise плана? Унесите га, примите код, потврдите га. Нема посебне форме „додај број телефона” сакривене три менија дубоко.
Подешавање: шта ћете заправо видети
На wallawhats.com/signup од вас се тражи само једна ствар: имејл адреса или WhatsApp број. То је цела форма.
- Унесите WhatsApp број, и код стиже као WhatsApp порука за свега неколико секунди — исти канал који ће касније носити ваша обавештења са X-а.
- Унесите имејл, и код стиже у ваш инбокс — корисно ако желите да се пријавите са дељеног или пословног уређаја а да не дирате свој лични WhatsApp, или ако подешавате имејл као свој канал за обавештења.
У сваком случају, добијате екран који тражи 6-цифарски код, унесете га, и налазите се на контролној табли (dashboard). Одатле можете у сваком тренутку додати други канал (рецимо, WhatsApp број пошто сте се регистровали имејлом, или обрнуто) са странице Channels — свако ново одредиште пролази кроз исту верификацију једнократним кодом пре него што може да прима обавештења. Ако нисте сигурни коју врсту WhatsApp броја да користите за то, наш водич Business vs Personal број разлаже компромисе.
Не постоји подешавање налога у ком број телефона седи као „додат, али неверификован”. Свако одредиште је или прошло сопствену проверу кодом, или уопште није везано за ваш налог.
Напомена о томе шта ово није
Да будемо прецизни у вези са безбедносним моделом: ово је аутентификација једнократним кодом преко канала којима већ верујете (WhatsApp, имејл), а не вишефакторска аутентификација у традиционалном смислу „лозинка плус други фактор”. Разлика је значајна. Традиционални MFA додаје други независан доказ поврх лозинке. WALLAWHATS модел замењује лозинку поседовањем комуникационог канала — што представља другачији однос ризика, а не строго јачи у сваком погледу. То је прави компромис за сервис за обавештења, где је цела поента у томе да вам је верификовано одредиште и иначе потребно да бисте уопште користили производ; поновно коришћење тог корака верификације за пријаву смањује трење а да се не губи значајан безбедносни слој, будући да слоја заснованог на лозинци од самог почетка није ни било.
Ако бирате између канала за пријаву и за обавештења, наш упоредни преглед имејл vs WhatsApp обрађује компромисе у брзини испоруке и стопи читања, који важе и за кодове за пријаву — WhatsApp код приметићете за секунде; имејл код се такмичи са остатком вашег инбокса.
Зашто је ово посебно важно за производ намењен обавештењима
За производ чији је читав посао „поуздано испоручити поруку на одредиште које сте изабрали”, идентитет и одредиште не смеју да се разиђу. Да су пријава и верификација канала одвојени системи, могли бисте да завршите пријављени на налог чији је WhatsApp број додат пре година, у међувремену можда прерасподељен некој другој особи од стране оператера, и никада поново непотврђен. Везивање пријаве за свеж код послат на само одредиште значи да тај ризик не постоји по самој конструкцији система — не можете бити пријављени преко канала који тренутно није доступан, јер вас управо доступност тог канала и пријављује.
То такође значи да опоравак налога у уобичајеном случају не захтева тикет за подршку. Изгубили сте телефон? Пријавите се уместо тога имејлом — исти ток, исти једнократни код, а ваше WhatsApp одредиште (чим га поново верификујете на новом уређају) наставља тачно тамо где је стало.
Шта се дешава када код не стигне
Сваки систем који испоруку препушта мрежи треће стране — оператеру, WhatsApp-овој сопственој инфраструктури, провајдеру имејла — мора да рачуна на то да код неће увек стићи тренутно. Неколико практичних напомена о томе како се то решава:
- Рок важења је кратак, и то намерно. Код који важи сатима представља већу мету него онај који важи минутима. Ако вашем истекне пре него што га унесете, захтевање новог одмах поништава стари код.
- Поново пошаљите, немојте поново уносити. Ако је WhatsApp порука закаснила неколико секунди (уобичајено у периодима вршног оптерећења) или је имејл завршио у folder-у за спам, екран за пријаву нуди опцију поновног слања, уместо да вас тера да бесконачно чекате на први покушај.
- Ограничавање учесталости штити обе стране. Поновљени захтеви за код ка истом одредишту се успоравају. Ово није само мера против злоупотребе за WALLAWHATS — она такође спречава да један налог случајно преоптерети системе за испоруку код WhatsApp-а или провајдера имејла ако се негде узводно агресивно понављају покушаји.
- Пребаците канал ако један није доступан. Ако ваш телефон нема сигнал, али сте за лаптопом, пријавите се уместо тога имејлом — то је потпуно независна путања до истог налога, а не резервно решење које зависи од тога да WhatsApp покушај прво мора да не успе.
Ништа од овога није јединствено за WALLAWHATS; то је иста оперативна реалност око које мора да се дизајнира сваки систем заснован на OTP-у. Разлика је у томе што, пошто је код уједно и верификација вашег канала, успешна пријава вам говори да је ваше одредиште за обавештења тренутно активно — што лозинка никада не би могла.
Често постављана питања
Могу ли да користим и WhatsApp и имејл за пријаву? Да. Свако од њих се верификује независно приликом прве употребе, а после тога вас било које од њих пушта у исти налог.
Да ли нови код поништава мој WhatsApp канал ако не завршим пријаву? Не. Недовршен или истекао покушај пријаве не утиче на већ верификован канал — то је важно једино приликом верификације новог одредишта по први пут.
Шта ако касније желим да променим број телефона? Додајте нови број као канал са странице Channels; он пролази кроз сопствени једнократни код пре него што може да прима обавештења. Ваш стари број остаје нетакнут док га не уклоните.
Да ли је ово исто што и двофакторска аутентификација заснована на SMS-у? Не баш. Традиционални SMS 2FA је други фактор наслојен поврх лозинке. Овде, код јесте читав механизам аутентификације — испод њега нема лозинке којој би се додавао други фактор.
Како почети
Пријава без лозинке није посебна функција коју треба подешавати — то је једноставно начин на који функционише пријављивање на WALLAWHATS, на сваком плану почев од Free наопред. Ако још нисте подесили обавештења, упутство у нашем водичу за почетак обрађује цео пут од прве пријаве до вашег првог WhatsApp обавештења.
Никада више не пропустите важан пост. Направите бесплатан налог — 1 WhatsApp број, обавештења у реалном времену, без потребе за кредитном картицом.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

О аутору
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



