Så fungerar lösenordsfri inloggning — en kod för både inloggning och WhatsApp-verifiering
WALLAWHATS använder en 6-siffrig kod för både inloggning och WhatsApp-verifiering. Här är flödet, varför det är säkert och hur det jämförs med lösenordsbaserad autentisering.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Varje lösenord du någonsin har skapat är en liten risk som ligger i en databas någonstans — din egen eller någon annans. Återanvända lösenord, svaga lösenord, nätfiskade lösenord: de flesta kontokapningar börjar fortfarande med en inloggningsuppgift, inte en zero-day-sårbarhet. WALLAWHATS kringgår hela kategorin genom att inte ha lösenord över huvud taget. Inloggning och WhatsApp-verifiering hanteras av samma mekanism: en enda 6-siffrig kod som skickas till en destination du kontrollerar.
Det här är inte bara en genväg för användarupplevelsen. Det innebär att i samma stund du skapar ett konto har du också bevisat att du äger det telefonnummer eller den inkorg som aviseringar om X (Twitter)-inlägg landar i bara sekunder senare.

Vad “lösenordsfritt” faktiskt betyder här
Lösenordsfri autentisering är ingen ny idé — banker har använt SMS-koder i åratal, och de flesta lösenordshanterare knuffar dig numera mot magiska länkar. Det som skiljer WALLAWHATS implementation åt är att samma engångskod som släpper in dig på ditt konto också verifierar destinationen som ska ta emot dina aviseringar. Det finns inget separat steg för att “bekräfta ditt telefonnummer” undangömt i inställningarna efter registrering. Ägarskap och leveransberedskap fastställs i en och samma rörelse.
Konkret:
- Du anger en e-postadress eller ett WhatsApp-nummer på inloggningsskärmen.
- WALLAWHATS genererar en 6-siffrig sifferkod och skickar den till den destinationen.
- Du skriver in koden i appen inom ett kort tidsfönster innan den går ut.
- Vid lyckad verifiering är du inloggad — och om destinationen var ett telefonnummer är det nu en verifierad kanal redo att ta emot aviseringar.
Inget lösenord att välja, komma ihåg, byta ut eller läcka. Inget flöde för “glömt lösenord”, eftersom det aldrig fanns ett lösenord att glömma.
Mekaniken: Cognito Custom Auth, inte ett påklistrat OTP-bibliotek
Under huven körs det här på AWS Cognitos Custom Authentication-flöde — inte ett tredjeparts-OTP-tillägg ovanpå en traditionell användarnamn/lösenord-pool. Tre Lambda-utlösare samarbetar för att få det att fungera:
- PreSignUp bekräftar automatiskt nya användare första gången de försöker logga in med en destination som inte setts tidigare. Det finns inget separat formulär för att “skapa konto”; att logga in med en ny e-postadress eller ett nytt nummer är kontoskapandet.
- CreateAuthChallenge genererar den 6-siffriga koden, sparar den server-side med en kort TTL, och skickar den till destinationen — via WhatsApp om du angav ett telefonnummer, annars via e-post.
- VerifyAuthChallengeResponse kontrollerar koden du skrev in mot den som utfärdades, avvisar utgångna eller felaktiga försök och begränsar antalet nya försök.
Eftersom allt detta körs inne i Cognitos hanterade tillståndsmaskin för autentisering gäller de vanliga garantierna: token har kort livslängd, förnyelseflöden hanteras av samma infrastruktur som skyddar resten av plattformen, och det finns ingen egenutvecklad sessionstoken-kod att granska för de vanliga buggarna (förutsägbara ID:n, otillräcklig entropi, saknade utgångskontroller) som plågar hemsnickrade “skicka bara en kod via mejl”-implementationer.
Varför samma kod täcker två uppgifter
De flesta tjänster behandlar “bevisa vem du är” och “bevisa att du kan ta emot meddelanden här” som två separata steg — registrera dig med ett lösenord, verifiera sedan separat ditt telefonnummer för aviseringar. WALLAWHATS slår ihop dem, eftersom de för en aviseringsprodukt är samma fråga ställd två gånger.
Om WALLAWHATS ska leverera ett WhatsApp-meddelande till ett nummer behöver tjänsten veta två saker: att numret är riktigt och nåbart, och att personen som loggar in faktiskt kontrollerar det. En 6-siffrig kod som skickas till exakt det numret och skrivs in korrekt besvarar båda på samma gång. Det finns inget scenario där du är “inloggad” men din WhatsApp-destination är overifierad, eftersom inloggningen var verifieringen.
Samma logik gäller för e-post. Logga in med en e-postadress, ta emot en kod där, skriv in den — du är nu inloggad, och den inkorgen är en bekräftad destination för e-postaviseringar (som på alla planer inkluderar en renderad bild av varje tweet tillsammans med texten).
Varför det här är säkrare än det känns
Lösenordsfri autentisering låter som att den borde vara mindre säker — inget lösenord, inget valv. I praktiken stänger den av flera av de vanligaste sätten på vilka riktiga konton blir komprometterade:
- Ingen credential stuffing. Det finns inget återanvänt lösenord från en läckt webbplats för en angripare att testa mot din WALLAWHATS-inloggning, eftersom det inte finns något lösenord att stjäla över huvud taget.
- Ingen attackyta för lösenordsåterställning. En stor andel kontokapningar sker via flödet för “glömt lösenord” — en angripare som kontrollerar din inkorg återställer ditt lösenord överallt. Att ta bort lösenord tar bort det flödet helt.
- Baserat på innehav, inte minne. Koden bevisar att du har tillgång till telefonen eller inkorgen just nu, inte att du memorerade (eller skrev ner, eller återanvände) en hemlighet för månader sedan.
- Kortlivad och engångsanvänd. Koder går ut snabbt och blir ogiltiga efter en lyckad användning, till skillnad från ett lösenord som förblir giltigt tills du manuellt byter det.
Avvägningen är att WhatsApp- eller e-postleverans blir en del av din kritiska inloggningsväg — om du förlorar tillgången till båda följer kontoåterställning samma modell med verifierad destination, snarare än en reservlösning med “säkerhetsfrågor” som historiskt har varit den svagaste länken i lösenordsbaserade system.
Så jämförs det här med traditionellt lösenord + separat OTP-verifiering
Ett konventionellt flöde ser ut så här: välj ett lösenord, bekräfta din e-post via en separat länk, gå sedan senare in i inställningarna och verifiera ett telefonnummer för SMS- eller push-notiser. Det är tre separata bevispunkter, tre separata ställen där något kan bli inaktuellt — ett overifierat telefonnummer som legat på kontot i veckor, ett lösenord som är identiskt med det som används på fyra andra tjänster, en e-postbekräftelselänk som hann gå ut innan någon klickade på den.
WALLAWHATS reducerar det till en bevispunkt per destination. Lägg till ett WhatsApp-nummer, och koden du får för att verifiera det är samma kod som loggar in dig på den enheten framöver. Det finns inget overifierat tillstånd att lämna hängande, eftersom kontot och destinationen når “verifierad” tillsammans.
Det betyder också att att byta eller lägga till en destination bara är… att logga in med en ny en. Vill du lägga till ett andra verifierat nummer under en Business- eller Enterprise-plan? Ange det, ta emot koden, bekräfta den. Inget separat formulär för att “lägga till telefonnummer” gömt tre menyer djupt ner.
Att sätta upp det: vad du faktiskt kommer att se
På wallawhats.com/signup blir du ombedd om en enda sak: en e-postadress eller ett WhatsApp-nummer. Det är hela formuläret.
- Ange ett WhatsApp-nummer, så anländer koden som ett WhatsApp-meddelande inom sekunder — samma kanal som senare kommer att bära dina X-aviseringar.
- Ange en e-postadress, så landar koden i din inkorg — praktiskt om du vill logga in från en delad enhet eller jobbenhet utan att röra din personliga WhatsApp, eller om du sätter upp e-post som din aviseringskanal.
Oavsett vilket får du en skärm som ber om den 6-siffriga koden, du skriver in den, och du är på instrumentpanelen. Därifrån kan du lägga till en andra kanal (till exempel ett WhatsApp-nummer efter att ha registrerat dig med e-post, eller tvärtom) när som helst från sidan Kanaler — varje ny destination går igenom samma engångskodsverifiering innan den kan ta emot aviseringar. Om du är osäker på vilken typ av WhatsApp-nummer du ska använda för det här går vår guide om Business kontra privat nummer igenom avvägningarna.
Det finns ingen kontoinställning där ett telefonnummer ligger “tillagt men overifierat.” Varje destination har antingen genomfört sin egen kodutmaning, eller så är den inte kopplad till ditt konto.
En kommentar om vad det här inte är
För att vara exakt om säkerhetsmodellen: det här är engångskodsautentisering över kanaler du redan litar på (WhatsApp, e-post), inte flerfaktorsautentisering i traditionell mening av “lösenord plus en andra faktor.” Det finns en meningsfull skillnad. Traditionell MFA lägger till ett andra oberoende bevis ovanpå ett lösenord. WALLAWHATS modell ersätter lösenordet med innehav av en kommunikationskanal — vilket är en annan riskavvägning, inte strikt starkare i varje dimension. Det är rätt avvägning för en aviseringstjänst, där hela poängen är att du redan behöver en verifierad destination för att över huvud taget använda produkten; att återanvända det verifieringssteget för inloggning tar bort friktion utan att ta bort ett meningsfullt säkerhetslager, eftersom det aldrig fanns något lösenordsbaserat lager från början.
Om du väljer mellan kanaler för både inloggning och aviseringar går vår jämförelse mellan e-post och WhatsApp igenom avvägningar kring leveranshastighet och läsfrekvens som gäller även för inloggningskoder — en WhatsApp-kod märker du inom sekunder; en e-postkod konkurrerar med resten av din inkorg.
Varför det här spelar roll specifikt för en aviseringsprodukt
För en produkt vars hela uppgift är att “tillförlitligt leverera ett meddelande till en destination du valt” kan inte identiteten och destinationen glida isär. Om inloggning och kanalverifiering vore separata system skulle du kunna hamna inloggad på ett konto vars WhatsApp-nummer lades till för flera år sedan, möjligen omtilldelat till någon annan av operatören sedan dess, och aldrig omverifierat. Att koppla inloggningen till en färsk kod som skickas till själva destinationen innebär att den risken inte existerar genom konstruktion — du kan inte vara inloggad via en kanal som inte är nåbar just nu, eftersom nåbarhet är det som loggade in dig.
Det innebär också att kontoåterställning i normalfallet inte kräver ett supportärende. Har du tappat bort telefonen? Logga in med din e-post istället — samma flöde, samma engångskod, och din WhatsApp-destination (så snart du omverifierar den på en ny enhet) fortsätter exakt där den slutade.
Vad som händer när en kod inte kommer fram
Alla system som lämnar över leveransen till ett tredjepartsnätverk — en operatör, WhatsApps egen infrastruktur, en e-postleverantör — måste ta höjd för att koden inte dyker upp direkt. Några praktiska anteckningar om hur det här hanteras:
- Utgångstiden är kort, och det är avsiktligt. En kod som är giltig i timmar är ett större mål än en som är giltig i minuter. Om din hinner gå ut innan du hinner ange den ogiltigförklarar en ny begäran den gamla koden omedelbart.
- Skicka om, inte skriv om. Om ett WhatsApp-meddelande försenas några sekunder (normalt under högtrafik) eller ett mejl hamnar i skräppostmappen erbjuder inloggningsskärmen ett alternativ för att skicka om istället för att be dig vänta på obestämd tid på det första försöket.
- Hastighetsbegränsning skyddar båda sidor. Upprepade kodbegäranden till samma destination strypas. Det här är inte bara en åtgärd mot missbruk för WALLAWHATS del — det förhindrar också att ett enskilt konto av misstag bombarderar WhatsApps eller en e-postleverantörs leveranssystem om något uppströms försöks igen aggressivt.
- Byt kanal om en är onåbar. Om din telefon saknar täckning men du sitter vid din laptop, logga in med e-post istället — det är en helt oberoende väg till samma konto, inte en reservlösning som beror på att WhatsApp-försöket måste misslyckas först.
Inget av det här är unikt för WALLAWHATS; det är samma operativa verklighet som alla OTP-baserade system måste konstrueras kring. Skillnaden är att eftersom koden också är din kanalverifiering, talar en lyckad inloggning om att din aviseringsdestination är aktiv just nu — vilket ett lösenord aldrig skulle kunna göra.
Vanliga frågor
Kan jag använda både WhatsApp och e-post för att logga in? Ja. Var och en verifieras oberoende första gången du använder den, och båda ger dig efter det tillgång till samma konto.
Ogiltigförklarar en ny kod min WhatsApp-kanal om jag inte slutför inloggningen? Nej. Ett oavslutat eller utgånget inloggningsförsök påverkar inte en redan verifierad kanal — det spelar bara roll för att verifiera en ny destination för första gången.
Vad händer om jag vill byta telefonnummer senare? Lägg till det nya numret som en kanal från sidan Kanaler; det går igenom sin egen engångskod innan det kan ta emot aviseringar. Ditt gamla nummer förblir intakt tills du tar bort det.
Är det här samma sak som SMS-baserad tvåfaktorsautentisering? Inte riktigt. Traditionell SMS-2FA är en andra faktor ovanpå ett lösenord. Här är koden hela autentiseringsmekanismen — det finns inget lösenord under den att lägga en andra faktor till.
Kom igång
Lösenordsfri inloggning är inte en separat funktion att konfigurera — det är helt enkelt hur det fungerar att logga in på WALLAWHATS, på varje plan från Free och uppåt. Om du inte har satt upp aviseringar ännu går genomgången i vår kom-igång-guide igenom hela vägen från första inloggning till din första WhatsApp-avisering.
Missa aldrig ett viktigt inlägg igen. Skapa ett gratis konto — 1 WhatsApp-nummer, aviseringar i realtid, inget kreditkort krävs.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Om författaren
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



