Şifresiz Oturum Açma Nasıl Çalışır — Tek Kod Hem Girişi Hem WhatsApp Doğrulamasını Kapsar

WALLAWHATS, hem oturum açma hem de WhatsApp doğrulaması için tek bir 6 haneli kod kullanır. İşte akışın kendisi, neden güvenli olduğu ve şifreyle kimlik doğrulamayla nasıl karşılaştırıldığı.

Nacho Collyazan Güncelleme: 9 dk okuma
WALLAWHATS, hem oturum açma hem de WhatsApp doğrulaması için tek bir 6 haneli kod kullanır. İşte akışın kendisi, neden güvenli olduğu ve şifreyle kimlik doğrulamayla nasıl karşılaştırıldığı.

Şimdiye kadar oluşturduğunuz her şifre, bir yerlerde -sizin ya da başka birinin- veritabanında duran küçük bir risktir. Tekrar kullanılan şifreler, zayıf şifreler, oltalanmış şifreler: hesap ele geçirmelerinin çoğu hâlâ bir sıfırıncı gün açığıyla değil, çalınan bir kimlik bilgisiyle başlar. WALLAWHATS, şifreleri baştan hiç var etmeyerek bu sorun kategorisinin tamamından kaçınır. Oturum açma ve WhatsApp doğrulaması aynı mekanizma üzerinden yürütülür: kontrol ettiğiniz bir hedefe gönderilen tek bir 6 haneli kod.

Bu sadece bir kullanıcı deneyimi kısayolu değil. Hesabınızı oluşturduğunuz anda, X (Twitter) paylaşımlarıyla ilgili uyarıların saniyeler içinde düşeceği telefon numarasının veya gelen kutusunun sahibi olduğunuzu da kanıtlamış olursunuz.

Sign-in screen with email entry for the passwordless OTP flow

Burada “şifresiz” gerçekte ne anlama geliyor

Şifresiz kimlik doğrulama yeni bir fikir değil - bankalar yıllardır SMS kodları kullanıyor, çoğu şifre yöneticisi de artık sizi sihirli bağlantılara yönlendiriyor. WALLAWHATS’ın uygulamasında farklı olan şey, hesabınıza girmenizi sağlayan aynı tek kullanımlık kodun, uyarılarınızı alacak hedefi de doğrulaması. Kayıttan sonra ayarların içine gömülü ayrı bir “telefon numaranızı onaylayın” adımı yok. Sahiplik ve teslimata hazır olma durumu tek bir hareketle kuruluyor.

Somut olarak:

  1. Oturum açma ekranına bir e-posta adresi veya bir WhatsApp numarası girersiniz.
  2. WALLAWHATS 6 haneli sayısal bir kod üretir ve bunu o hedefe gönderir.
  3. Kodu, kısa bir geçerlilik süresi içinde uygulamaya geri yazarsınız.
  4. Başarılı olursa oturumunuz açılır - ve hedef bir telefon numarasıysa, artık uyarı almaya hazır doğrulanmış bir kanaldır.

Seçilecek, hatırlanacak, döndürülecek ya da sızdırılacak bir şifre yok. “Şifremi unuttum” akışı da yok, çünkü unutulacak bir şifre hiç olmadı.

Mekanizma: bolt-on bir OTP kütüphanesi değil, Cognito Custom Auth

Bunun altyapısında, geleneksel bir kullanıcı adı/şifre havuzunun üzerine eklenmiş üçüncü taraf bir OTP eklentisi değil, AWS Cognito’nun Custom Authentication akışı çalışır. Üç Lambda tetikleyicisi bunu mümkün kılmak için birlikte çalışır:

  • PreSignUp, daha önce hiç görülmemiş bir hedefle ilk kez oturum açmaya çalışan yeni kullanıcıları otomatik olarak onaylar. Ayrı bir “hesap oluştur” formu yoktur; yeni bir e-posta veya numarayla oturum açmak, hesap oluşturmanın ta kendisidir.
  • CreateAuthChallenge, 6 haneli kodu üretir, kısa bir TTL ile sunucu tarafında saklar ve hedefe gönderir - telefon numarası girdiyseniz WhatsApp üzerinden, aksi halde e-posta üzerinden.
  • VerifyAuthChallengeResponse, yazdığınız kodu verilen kodla karşılaştırır, süresi dolmuş veya eşleşmeyen denemeleri reddeder ve tekrar denemeleri hız sınırlamasına tabi tutar.

Bunların hepsi Cognito’nun yönetilen kimlik doğrulama durum makinesi içinde çalıştığı için standart güvenceler geçerlidir: tokenlar kısa ömürlüdür, yenileme akışları platformun geri kalanını koruyan aynı altyapı tarafından yürütülür ve ev yapımı “sadece kodu e-postayla gönder” uygulamalarının musallat olduğu tipik hatalar (tahmin edilebilir kimlikler, yetersiz entropi, eksik geçerlilik süresi kontrolleri) için denetlenmesi gereken özel bir oturum tokeni kodu yoktur.

Aynı kod neden iki işi birden görüyor

Çoğu servis “kim olduğunuzu kanıtlama” ile “buradan mesaj alabileceğinizi kanıtlama” işlemlerini iki ayrı adım olarak ele alır - bir şifreyle kaydolun, sonra bildirimler için telefon numaranızı ayrıca doğrulayın. WALLAWHATS bunları birleştirir, çünkü bir uyarı ürünü için bu, aynı sorunun iki kez sorulmasıdır.

WALLAWHATS bir numaraya WhatsApp mesajı göndermek istiyorsa, iki şeyi bilmesi gerekir: numaranın gerçek ve ulaşılabilir olduğunu, ve oturum açan kişinin o numaraya gerçekten sahip olduğunu. O tam numaraya gönderilen ve doğru şekilde geri yazılan 6 haneli bir kod ikisini birden yanıtlar. “Oturum açmış” olduğunuz ama WhatsApp hedefinizin doğrulanmamış olduğu bir senaryo yoktur, çünkü oturum açma işlemi doğrulamanın kendisiydi.

Aynı mantık e-posta için de geçerlidir. Bir e-posta adresiyle oturum açın, oraya bir kod gelsin, geri yazın - artık oturumunuz açık ve o gelen kutusu e-posta uyarıları için doğrulanmış bir hedef (ki bu uyarılar, her planda, metnin yanında her tweetin render edilmiş bir görüntüsünü de içerir).

Bunun neden hissettirdiğinden daha güvenli olduğu

Şifresiz kimlik doğrulama, kulağa daha az güvenli gelmesi gereken bir şey gibi geliyor - şifre yok, kasa yok. Pratikte ise gerçek hesapların ele geçirilmesinin en yaygın yollarından birkaçını kapatıyor:

  • Kimlik bilgisi doldurma (credential stuffing) yok. Bir saldırganın WALLAWHATS girişinize karşı deneyebileceği, ihlal edilmiş bir siteden gelen tekrar kullanılmış bir şifre yok, çünkü çalınacak bir şifre baştan yok.
  • Şifre sıfırlama saldırı yüzeyi yok. Hesap ele geçirmelerinin büyük bir kısmı “şifremi unuttum” akışı üzerinden gerçekleşir - gelen kutunuzu kontrol eden bir saldırgan şifrenizi her yerde sıfırlar. Şifreleri kaldırmak bu akışı tamamen ortadan kaldırır.
  • Hafızaya değil, sahipliğe dayalı. Kod, aylar önce ezberlediğiniz (ya da bir yere yazdığınız, ya da tekrar kullandığınız) bir sırrı değil, şu anda telefona veya gelen kutusuna erişiminiz olduğunu kanıtlar.
  • Kısa ömürlü ve tek kullanımlık. Kodlar hızla süresi dolar ve bir kez başarıyla kullanıldıktan sonra geçersiz kılınır; siz manuel olarak değiştirene kadar geçerli kalan bir şifrenin aksine.

Bunun bedeli, WhatsApp veya e-posta teslimatının giriş sürecinizin kritik yolunun bir parçası hâline gelmesidir - ikisine de erişiminizi kaybederseniz, hesap kurtarma, şifre tabanlı sistemlerde tarihsel olarak en zayıf halka olmuş bir “güvenlik soruları” yedeğinden ziyade aynı doğrulanmış-hedef modelini izler.

Bunun geleneksel şifre + ayrı OTP doğrulamasıyla karşılaştırması

Geleneksel bir akış şöyle görünür: bir şifre seçersiniz, e-postanızı ayrı bir bağlantıyla onaylarsınız, sonra bir gün ayarlara girip SMS veya push bildirimleri için bir telefon numarasını doğrularsınız. Bu üç ayrı kanıt noktasıdır, bir şeylerin eskimesi için üç ayrı yer - haftalarca hesapta duran doğrulanmamış bir telefon numarası, dört farklı serviste kullanılanla aynı olan bir şifre, kimse tıklamadan önce süresi dolan bir e-posta onay bağlantısı.

WALLAWHATS bunu hedef başına tek bir kanıt noktasına indirger. Bir WhatsApp numarası ekleyin, onu doğrulamak için aldığınız kod, bundan sonra o cihazda oturum açmanızı sağlayan aynı koddur. Geride bırakılacak doğrulanmamış bir durum yoktur, çünkü hesap ve hedef “doğrulanmış” durumuna birlikte ulaşır.

Bu aynı zamanda bir hedefi değiştirmenin ya da yeni bir tane eklemenin sadece… yenisiyle oturum açmak olduğu anlamına gelir. Business veya Enterprise planı altında ikinci bir doğrulanmış numara mı eklemek istiyorsunuz? Girin, kodu alın, onaylayın. Üç menü derinliğinde gömülü ayrı bir “telefon numarası ekle” formu yok.

Kurulum: gerçekte ne göreceksiniz

wallawhats.com/signup adresinde sizden tek bir şey istenir: bir e-posta adresi veya bir WhatsApp numarası. Form bundan ibarettir.

  • Bir WhatsApp numarası girin, kod saniyeler içinde bir WhatsApp mesajı olarak gelir - daha sonra X uyarılarınızı da taşıyacak aynı kanal.
  • Bir e-posta girin, kod gelen kutunuza düşer - kişisel WhatsApp’ınıza dokunmadan paylaşılan veya iş cihazından oturum açmak istiyorsanız, ya da e-postayı uyarı kanalınız olarak ayarlıyorsanız işinize yarar.

Her iki durumda da 6 haneli kodu isteyen bir ekran görürsünüz, kodu yazarsınız ve panodasınızdır. Oradan, istediğiniz zaman Channels sayfasından ikinci bir kanal ekleyebilirsiniz (örneğin e-postayla kaydolduktan sonra bir WhatsApp numarası, ya da tam tersi) - her yeni hedef, uyarı alabilmeden önce aynı tek kullanımlık kod doğrulamasından geçer. Bunun için hangi tür WhatsApp numarasını kullanacağınızdan emin değilseniz, Business ve Kişisel numara rehberimiz artıları ve eksileri ayrıntılı olarak ele alır.

“Eklenmiş ama doğrulanmamış” olarak duran bir telefon numarasının bulunduğu bir hesap ayarı yoktur. Her hedef ya kendi kod doğrulamasını tamamlamıştır, ya da hesabınıza hiç eklenmemiştir.

Bunun ne olmadığına dair bir not

Güvenlik modeli konusunda net olmak gerekirse: bu, zaten güvendiğiniz kanallar (WhatsApp, e-posta) üzerinden yürütülen tek kullanımlık kod kimlik doğrulamasıdır; “şifre artı ikinci bir faktör” anlamındaki geleneksel çok faktörlü kimlik doğrulama değildir. Aralarında anlamlı bir fark vardır. Geleneksel MFA, bir şifrenin üzerine ikinci, bağımsız bir kanıt ekler. WALLAWHATS’ın modeli ise şifreyi bir iletişim kanalına sahip olmakla değiştirir - bu, her boyutta kesinlikle daha güçlü değil, farklı bir risk dengesidir. Bu, bir bildirim servisi için doğru dengedir; çünkü ürünü kullanmak için zaten doğrulanmış bir hedefe ihtiyacınız vardır - bu doğrulama adımını giriş için yeniden kullanmak, anlamlı bir güvenlik katmanını ortadan kaldırmadan sürtünmeyi azaltır, zira baştan itibaren şifre tabanlı bir katman hiç olmamıştır.

Hem giriş hem de uyarılar için kanallar arasında seçim yapıyorsanız, e-posta ve WhatsApp karşılaştırmamız oturum açma kodları için de geçerli olan teslimat hızı ve okunma oranı dengelerini ele alır - bir WhatsApp kodunu saniyeler içinde fark edersiniz; bir e-posta kodu ise gelen kutunuzdaki diğer her şeyle rekabet eder.

Bunun özellikle bir uyarı ürünü için neden önemli olduğu

Tüm işi “seçtiğiniz bir hedefe güvenilir şekilde mesaj iletmek” olan bir ürün için kimlik ve hedef birbirinden ayrılamaz. Oturum açma ve kanal doğrulaması ayrı sistemler olsaydı, yıllar önce eklenmiş, o zamandan beri operatör tarafından muhtemelen başka birine yeniden atanmış ve hiç yeniden onaylanmamış bir WhatsApp numarasına sahip bir hesapta oturum açmış olabilirdiniz. Girişi doğrudan hedefe gönderilen yeni bir koda bağlamak, bu riskin yapı gereği var olmadığı anlamına gelir - şu anda ulaşılabilir olmayan bir kanal üzerinden oturum açmış olamazsınız, çünkü sizi oturum açmış hâle getiren şey ulaşılabilirliktir.

Bu aynı zamanda hesap kurtarmanın çoğu durumda bir destek talebi gerektirmediği anlamına gelir. Telefonunuzu mu kaybettiniz? Bunun yerine e-postanızla oturum açın - aynı akış, aynı tek kullanımlık kod, ve WhatsApp hedefiniz (yeni bir cihazda yeniden doğruladığınızda) tam kaldığı yerden devam eder.

Bir kod gelmediğinde ne olur

Teslimatı üçüncü taraf bir ağa - bir operatöre, WhatsApp’ın kendi altyapısına, bir e-posta sağlayıcısına - devreden her sistem, kodun anında görünmeme ihtimalini hesaba katmak zorundadır. Bunun nasıl ele alındığına dair birkaç pratik not:

  • Geçerlilik süresi kısadır ve bu kasıtlıdır. Saatlerce geçerli olan bir kod, dakikalarca geçerli olandan daha büyük bir hedeftir. Kodunuzun süresi siz girmeden önce dolarsa, yenisini istemek eski kodu anında geçersiz kılar.
  • Yeniden yazmak değil, yeniden gönderme. Bir WhatsApp mesajı birkaç saniye gecikirse (yoğun gönderim saatlerinde normaldir) ya da bir e-posta spam klasörüne düşerse, oturum açma ekranı sizi ilk denemeyi süresiz beklemeye zorlamak yerine bir yeniden gönderme seçeneği sunar.
  • Hız sınırlaması her iki tarafı da korur. Aynı hedefe yapılan tekrarlanan kod istekleri sınırlandırılır. Bu sadece WALLAWHATS için bir kötüye kullanım önlemi değildir - aynı zamanda, yukarı akışta bir şey agresif şekilde tekrar denenirse, tek bir hesabın yanlışlıkla WhatsApp’ın ya da bir e-posta sağlayıcısının teslimat sistemlerini zorlamasını da engeller.
  • Biri ulaşılamıyorsa kanal değiştirin. Telefonunuzda sinyal yoksa ama bilgisayarınızın başındaysanız, bunun yerine e-postayla oturum açın - bu, WhatsApp denemesinin başarısız olmasına bağlı bir yedek değil, aynı hesaba tamamen bağımsız bir yoldur.

Bunların hiçbiri WALLAWHATS’a özgü değildir; herhangi bir OTP tabanlı sistemin tasarlamak zorunda olduğu aynı operasyonel gerçekliktir. Farkı, kodun aynı zamanda kanal doğrulamanız olması nedeniyle, başarılı bir oturum açmanın size uyarı hedefinizin şu anda aktif olduğunu söylemesidir - ki bir şifre bunu asla yapamazdı.

Sıkça sorulan sorular

Oturum açmak için hem WhatsApp’ı hem de e-postayı kullanabilir miyim? Evet. Her biri ilk kullanıldığında bağımsız olarak doğrulanır ve ikisinden herhangi biri sizi sonrasında aynı hesaba sokar.

Oturum açmayı tamamlamazsam yeni bir kod WhatsApp kanalımı geçersiz kılar mı? Hayır. Tamamlanmamış veya süresi dolmuş bir oturum açma denemesi, zaten doğrulanmış bir kanalı etkilemez - bu yalnızca yeni bir hedefi ilk kez doğrulamak için önem taşır.

Daha sonra telefon numaramı değiştirmek istersem ne olur? Yeni numarayı Channels sayfasından bir kanal olarak ekleyin; uyarı alabilmeden önce kendi tek kullanımlık kodundan geçer. Eski numaranız siz kaldırana kadar olduğu gibi kalır.

Bu, SMS tabanlı iki faktörlü kimlik doğrulamayla aynı şey mi? Tam olarak değil. Geleneksel SMS 2FA, bir şifrenin üzerine eklenen ikinci bir faktördür. Burada kod, kimlik doğrulama mekanizmasının tamamıdır - üzerine ikinci bir faktör ekleyecek altta bir şifre yoktur.

Başlarken

Şifresiz oturum açma, ayrıca yapılandırılması gereken ayrı bir özellik değildir - Free’den başlayarak her planda WALLAWHATS’a girişin işleyiş biçimidir. Henüz uyarı kurmadıysanız, başlangıç rehberimizdeki yol haritası ilk oturum açmadan ilk WhatsApp uyarınıza kadar tüm süreci ele alır.

Önemli bir paylaşımı bir daha asla kaçırmayın. Ücretsiz bir hesap oluşturun - 1 WhatsApp numarası, gerçek zamanlı uyarılar, kredi kartı gerekmez.

Nacho Coll

Yazar hakkında

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Blog'a Dön

İlgili Yazılar

Tüm Yazıları Gör »