Paano Gumagana ang Passwordless Sign-In — Isang Code Lang para sa Login + WhatsApp Verification
Gumagamit ang WALLAWHATS ng iisang 6-digit code para sa sign-in at WhatsApp verification. Narito ang flow, bakit ito secure, at paano ito ikumpara sa password auth.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Bawat password na nagawa mo na ay isang maliit na liability na nakaupo sa isang database kung saan-saan — sa’yo man o sa iba. Reused passwords, mahihinang password, na-phish na password: karamihan sa account takeovers ay nagsisimula pa rin sa isang credential, hindi sa isang zero-day. Nilalampasan ng WALLAWHATS ang buong kategoryang ito sa pamamagitan ng hindi paggamit ng password sa umpisa pa lang. Ang sign-in at WhatsApp verification ay hinahawakan ng parehong mekanismo: isang 6-digit code na ipinapadala sa destinasyong kontrolado mo.
Hindi lang ito basta UX shortcut. Ibig sabihin, sa mismong sandaling gumawa ka ng account, napatunayan mo na rin na pag-aari mo ang phone number o inbox na tatanggap ng mga alerto tungkol sa mga X (Twitter) posts ilang segundo lang matapos.

Ano talaga ang ibig sabihin ng “passwordless” dito
Ang passwordless authentication ay hindi bagong ideya — matagal nang gumagamit ang mga bangko ng SMS codes, at karamihan sa mga password manager ngayon ay itinuturo ka na sa magic links. Ang kaibahan sa implementasyon ng WALLAWHATS ay ang parehong one-time code na nagpapapasok sa’yo sa account mo ay siya ring nag-ve-verify sa destinasyong tatanggap ng mga alerto mo. Walang hiwalay na “kumpirmahin ang phone number mo” na hakbang na nakatago sa settings pagkatapos mag-signup. Ang ownership at delivery-readiness ay naitatatag sa iisang galaw.
Sa konkretong paraan:
- Maglalagay ka ng email address o WhatsApp number sa sign-in screen.
- Gagawa ang WALLAWHATS ng 6-digit numeric code at ipapadala ito sa destinasyong iyon.
- I-type mo ulit ang code sa app sa loob ng maikling expiry window.
- Kapag successful, naka-log in ka na — at kung ang destinasyon ay isang phone number, ito ay isa na ngayong verified channel na handang tumanggap ng mga alerto.
Walang password na pipiliin, tatandaan, iikutin (rotate), o mata-tagas (leak). Walang “forgot password” flow, dahil wala namang password na malilimutan.
Ang mekanismo: Cognito Custom Auth, hindi isang bolt-on na OTP library
Sa ilalim ng hood, tumatakbo ito sa Custom Authentication flow ng AWS Cognito — hindi isang third-party OTP add-on na nakapatong lang sa isang tradisyunal na username/password pool. Tatlong Lambda triggers ang nagtutulungan para gumana ito:
- PreSignUp awtomatikong nagko-confirm sa mga bagong user sa unang pagkakataon na sila ay sumubok mag-sign in gamit ang destinasyong hindi pa nakikita dati. Walang hiwalay na “create account” form; ang pag-sign in gamit ang bagong email o number ay siya na ang account creation.
- CreateAuthChallenge gumagawa ng 6-digit code, ini-imbak ito server-side na may maikling TTL, at ipinapadala ito sa destinasyon — sa pamamagitan ng WhatsApp kung phone number ang inilagay mo, o sa email kung hindi.
- VerifyAuthChallengeResponse chine-check ang code na na-type mo laban sa inisyu, tinatanggihan ang mga expired o mismatched na attempts at rine-rate-limit ang mga retry.
Dahil tumatakbo ito lahat sa loob ng managed auth state machine ng Cognito, ang standard guarantees ay applicable: ang mga token ay short-lived, ang refresh flows ay hinahawakan ng parehong infrastructure na nagpoprotekta sa buong platform, at walang custom session-token code na kailangang i-audit para sa mga karaniwang bugs (predictable IDs, kulang na entropy, missing expiry checks) na kadalasang nagpapahirap sa mga homegrown na “i-email lang sila ng code” na implementasyon.
Bakit iisang code lang ang sumasaklaw sa dalawang trabaho
Karamihan sa mga serbisyo ay itinuturing ang “patunayan kung sino ka” at “patunayan na makakatanggap ka ng mensahe dito” bilang dalawang hiwalay na hakbang — mag-sign up gamit ang password, tapos hiwalay mong i-verify ang phone number mo para sa notifications. Pinagsasama ito ng WALLAWHATS dahil, para sa isang alerts product, magkatulad lang ang tanong na dalawang beses lang tinatanong.
Kung magde-deliver ang WALLAWHATS ng WhatsApp message sa isang number, kailangan nitong malaman ang dalawang bagay: na ang number ay totoo at reachable, at na ang taong nag-sign in ay talagang kontrolado ito. Ang 6-digit code na ipinadala sa eksaktong number na iyon at tama namang na-type pabalik ay sumasagot sa dalawa nang sabay. Walang senaryo kung saan ikaw ay “naka-log in” pero unverified pa ang WhatsApp destination mo, dahil ang login ay mismo ang verification.
Ganito rin ang logic para sa email. Mag-sign in gamit ang email address, tumanggap ng code doon, i-type ito pabalik — naka-log in ka na ngayon, at ang inbox na iyon ay isa nang kumpirmadong destinasyon para sa email alerts (na, sa bawat plan, kasama ang isang rendered snapshot ng bawat tweet kasabay ng text).
Bakit mas secure ito kaysa sa nararamdaman
Parang dapat mas mababa ang security ng passwordless auth — walang password, walang vault. Pero sa totoong buhay, sinasarhan nito ang ilan sa pinakakaraniwang paraan kung paano na-compromise ang totoong mga account:
- Walang credential stuffing. Walang reused password mula sa isang na-breach na site na susubukan ng attacker laban sa WALLAWHATS login mo, dahil walang password na nanakawin sa umpisa pa lang.
- Walang password-reset attack surface. Malaking bahagi ng account takeovers ay nangyayari sa pamamagitan ng “forgot password” flow — isang attacker na kontrolado ang inbox mo ay nagre-reset ng password mo kahit saan. Ang pagtanggal ng passwords ay ganap na nagtatanggal ng flow na iyon.
- Based sa possession, hindi sa memory. Pinapatunayan ng code na may access ka sa phone o inbox ngayon, hindi na na-memorize mo (o isinulat, o ginamit ulit) ang isang secret ilang buwan na ang nakalipas.
- Short-lived at single-use. Mabilis mag-expire ang mga code at nawawalan ng bisa pagkatapos ng isang successful use, hindi tulad ng password na valid hanggang manwal mong baguhin ito.
Ang trade-off ay nagiging bahagi ng login critical path mo ang WhatsApp o email delivery — kung mawalan ka ng access sa pareho, susundan ng account recovery ang parehong verified-destination model sa halip na isang “security questions” fallback na sa kasaysayan ang pinakamahinang link sa mga password-based na sistema.
Paano ito ikumpara sa tradisyunal na password + hiwalay na OTP verification
Ganito ang itsura ng isang conventional flow: pumili ng password, kumpirmahin ang email mo sa pamamagitan ng hiwalay na link, tapos pumunta sa settings para i-verify ang phone number para sa SMS o push notifications. Iyan ay tatlong hiwalay na proof points, tatlong hiwalay na lugar kung saan puwedeng mag-stale ang isang bagay — isang unverified phone number na nakaupo sa account nang ilang linggo, isang password na kaparehong-kapareho ng ginamit sa apat pang ibang serbisyo, isang email confirmation link na nag-expire bago pa man ma-click ng kahit sino.
Binabawasan ito ng WALLAWHATS sa iisang proof point kada destinasyon. Magdagdag ng WhatsApp number, at ang code na matatanggap mo para i-verify ito ay parehong code na nagpapa-log in sa’yo sa device na iyon mula ngayon. Walang unverified state na maiiwan nakabitin, dahil ang account at ang destinasyon ay sabay na nakakarating sa “verified.”
Ibig din sabihin nito, ang pag-switch o pagdagdag ng destinasyon ay basta… pag-sign in gamit ang bago. Gusto mong magdagdag ng pangalawang verified number sa ilalim ng Business o Enterprise plan? I-enter ito, tanggapin ang code, kumpirmahin ito. Walang hiwalay na “add phone number” form na nakatago tatlong menu ang lalim.
Pag-set up nito: ano talaga ang makikita mo
Sa wallawhats.com/signup, isang bagay lang ang hihilingin sa’yo: email address o WhatsApp number. Iyon na ang buong form.
- Maglagay ng WhatsApp number, at darating ang code bilang WhatsApp message sa loob ng ilang segundo — ang parehong channel na magdadala din ng mga X alert mo mamaya.
- Maglagay ng email, at ang code ay dadating sa inbox mo — kapaki-pakinabang kung gusto mong mag-log in gamit ang shared o work device nang hindi ginagalaw ang personal mong WhatsApp, o kung ise-set up mo ang email bilang alert channel mo.
Sa alinman, makakakuha ka ng screen na hihingi ng 6-digit code, i-type ito, at nasa dashboard ka na. Mula doon, puwede kang magdagdag ng pangalawang channel (halimbawa, WhatsApp number matapos mag-sign up gamit ang email, o kabaligtaran) anumang oras mula sa Channels page — bawat bagong destinasyon ay dumadaan sa parehong one-time-code verification bago ito makatanggap ng mga alerto. Kung hindi ka sigurado kung anong klaseng WhatsApp number ang gagamitin para dito, ang aming Business vs Personal number guide ay nagbabahagi ng mga trade-off.
Walang account setting kung saan nakaupo ang isang phone number na “naidagdag pero unverified.” Ang bawat destinasyon ay natapos ang sarili nitong code challenge, o hindi ito naka-attach sa account mo.
Isang tala tungkol sa kung ano ang hindi ito
Para maging precise tungkol sa security model: ito ay one-time-code authentication sa mga channel na pinagkakatiwalaan mo na (WhatsApp, email), hindi multi-factor authentication sa tradisyunal na kahulugan ng “password plus isang second factor.” May makabuluhang pagkakaiba dito. Ang tradisyunal na MFA ay nagdadagdag ng ikalawang independent proof sa ibabaw ng password. Pinapalitan ng modelo ng WALLAWHATS ang password ng possession ng isang communication channel — na isang ibang risk trade-off, hindi kinakailangang mas strong sa bawat dimensyon. Ito ang tamang trade-off para sa isang notification service, kung saan ang buong punto ay kailangan mo na talaga ng verified destination para magamit ang produkto — ang paggamit ulit sa verification step na iyon para sa login ay nagtatanggal ng friction nang hindi nawawala ang isang makabuluhang security layer, dahil wala namang password-based na layer sa umpisa pa lang.
Kung namimili ka sa pagitan ng mga channel para sa login at alerts, sinasaklaw ng aming email vs WhatsApp comparison ang mga trade-off sa delivery speed at read-rate na applicable din sa sign-in codes — mapapansin mo agad ang WhatsApp code sa loob ng ilang segundo; ang email code naman ay nakikipagkumpetensya sa inbox mo.
Bakit mahalaga ito partikular para sa isang alerts product
Para sa isang produkto na ang buong trabaho ay “maaasahang maghatid ng mensahe sa destinasyong pinili mo,” hindi dapat maghiwalay ang identity at ang destinasyon. Kung magkahiwalay na sistema ang sign-in at channel verification, posibleng maka-log in ka sa isang account na ang WhatsApp number ay idinagdag ilang taon na ang nakalipas, posibleng na-reassign na sa iba ng carrier simula noon, at hindi na kailanman na-re-confirm. Ang pag-uugnay ng login sa isang bagong code na ipinadala mismo sa destinasyon ay nangangahulugan na wala talagang ganoong risk — hindi ka makaka-log in gamit ang isang channel na hindi kasalukuyang reachable, dahil ang reachability mismo ang nagpapa-log in sa’yo.
Ibig din sabihin nito, hindi kailangan ng support ticket ang account recovery sa karaniwang kaso. Nawala ang phone mo? Mag-sign in na lang gamit ang email mo — parehong flow, parehong one-time code, at ang WhatsApp destination mo (kapag na-re-verify mo ito sa bagong device) ay magpapatuloy mismo kung saan ito huminto.
Ano ang mangyayari kapag hindi dumating ang code
Anumang sistema na nagpapasa ng delivery sa isang third-party network — isang carrier, sariling infrastructure ng WhatsApp, isang email provider — ay dapat mag-account para sa posibilidad na hindi agad lumabas ang code. Ilang praktikal na tala kung paano ito hinahawakan:
- Maikli ang expiry, at sinadya iyon. Ang isang code na valid nang ilang oras ay mas malaking target kaysa sa isang valid lang nang ilang minuto. Kung mag-e-expire ang sa’yo bago mo ito ma-enter, ang pag-request ng bago ay nagpapawalang-bisa agad sa lumang code.
- Mag-resend, huwag ulit i-type. Kung na-delay ng ilang segundo ang isang WhatsApp message (normal sa mga peak send times) o napunta sa spam folder ang isang email, nag-aalok ang sign-in screen ng resend action sa halip na patagalin kang maghintay para sa unang attempt.
- Pinoprotektahan ng rate limiting ang parehong panig. Ang paulit-ulit na code requests sa parehong destinasyon ay tine-throttle. Hindi lang ito isang anti-abuse measure para sa WALLAWHATS — pinipigilan din nito ang isang account na hindi sinasadyang bumomba sa delivery systems ng WhatsApp o ng isang email provider kung may retried nang aggressive sa upstream.
- Lumipat ng channel kung hindi maabot ang isa. Kung walang signal ang phone mo pero nasa laptop ka, mag-sign in na lang gamit ang email — isang ganap na independent na path ito patungo sa parehong account, hindi isang fallback na nakadepende sa pagkabigo ng WhatsApp attempt.
Wala sa mga ito ang unique sa WALLAWHATS; parehong operational reality ito na kailangang paikutan ng disenyo ng anumang OTP-based na sistema. Ang pagkakaiba ay dahil ang code ay pati na rin ang channel verification mo, ang isang successful sign-in ay nagsasabi sa’yo na live sa kasalukuyan ang alert destination mo — isang bagay na hindi kailanman magagawa ng password.
Mga madalas itanong
Puwede ko bang gamitin pareho ang WhatsApp at email para mag-sign in? Oo. Bawat isa ay na-verify nang mag-isa sa unang beses na ginamit mo ito, at ang alinman sa dalawa ay makakapasok sa parehong account pagkatapos.
Nawawalan ba ng bisa ang WhatsApp channel ko kapag may bagong code pero hindi ko natapos ang pag-sign in? Hindi. Ang isang hindi natapos o nag-expire na sign-in attempt ay hindi nakakaapekto sa isang channel na na-verify na — mahalaga lang ito kapag nagve-verify ng bagong destinasyon sa unang pagkakataon.
Paano kung gusto kong palitan ang phone number ko sa hinaharap? Idagdag ang bagong number bilang channel mula sa Channels page; dadaan ito sa sarili nitong one-time code bago ito makatanggap ng mga alerto. Mananatiling buo ang lumang number mo hanggang sa alisin mo ito.
Ito ba ay katulad ng SMS-based two-factor authentication? Hindi rin masyado. Ang tradisyunal na SMS 2FA ay isang second factor na nakapatong sa ibabaw ng password. Dito, ang code ang buong authentication mechanism — walang password sa ilalim nito na madadagdagan pa ng second factor.
Pagsisimula
Ang passwordless sign-in ay hindi isang hiwalay na feature na i-co-configure — ito lang talaga ang paraan kung paano gumagana ang pag-log in sa WALLAWHATS, sa bawat plan mula sa Free pataas. Kung hindi mo pa na-set up ang mga alerto, sinasaklaw ng walkthrough sa aming getting-started guide ang buong landas mula sa unang sign-in hanggang sa unang WhatsApp alert mo.
Huwag nang muling palampasin ang isang mahalagang post. Gumawa ng libreng account — 1 WhatsApp number, real-time alerts, walang kailangang credit card.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Tungkol sa may-akda
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



