Як працює вхід без пароля — один код для входу та перевірки WhatsApp
WALLAWHATS використовує один 6-значний код для входу та перевірки WhatsApp. Розповідаємо, як це працює, чому це безпечно і чим відрізняється від входу за паролем.
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried.

Кожен пароль, який ви коли-небудь створювали, — це маленька вразливість, що зберігається десь у базі даних: вашій або чужій. Повторно використані паролі, слабкі паролі, паролі, вкрадені фішингом: більшість випадків захоплення облікових записів досі починаються з облікових даних, а не з нульового дня вразливості. WALLAWHATS повністю оминає цю проблему, просто не маючи паролів як таких. Вхід та перевірка WhatsApp обробляються одним і тим самим механізмом: єдиним 6-значним кодом, який надсилається на призначення, яке контролюєте ви.
Це не просто зручність інтерфейсу. Це означає, що в момент створення облікового запису ви також доводите, що володієте номером телефону або поштовою скринькою, куди за лічені секунди почнуть надходити сповіщення про пости з X (Twitter).

Що насправді означає «вхід без пароля»
Автентифікація без пароля — це не нова ідея: банки роками використовують SMS-коди, а більшість менеджерів паролів тепер підштовхують вас до magic links. Особливість реалізації WALLAWHATS у тому, що той самий одноразовий код, який дає вам доступ до облікового запису, водночас підтверджує призначення, куди надходитимуть ваші сповіщення. Тут немає окремого кроку «підтвердіть свій номер телефону», захованого в налаштуваннях після реєстрації. Володіння номером і готовність до доставки повідомлень підтверджуються одночасно, за одну дію.
Конкретно це виглядає так:
- Ви вводите електронну адресу або номер WhatsApp на екрані входу.
- WALLAWHATS генерує 6-значний числовий код і надсилає його на це призначення.
- Ви вводите код у застосунку протягом короткого періоду дії.
- У разі успіху ви входите в систему — а якщо призначенням був номер телефону, він одразу стає підтвердженим каналом, готовим отримувати сповіщення.
Немає пароля, який потрібно вигадувати, запам’ятовувати, змінювати чи який може витекти. Немає процесу «забув пароль», бо забувати нічого — пароля просто ніколи не було.
Механіка: Cognito Custom Auth, а не стороння бібліотека OTP
Під капотом усе працює на потоці Custom Authentication від AWS Cognito, а не на сторонньому доповненні OTP, накладеному поверх традиційного пулу «ім’я користувача/пароль». Для цього взаємодіють три тригери Lambda:
- PreSignUp автоматично підтверджує нових користувачів під час першої спроби входу з призначенням, яке раніше не траплялося. Окремої форми «створити обліковий запис» немає — вхід із новою електронною адресою чи номером і є створенням облікового запису.
- CreateAuthChallenge генерує 6-значний код, зберігає його на сервері з коротким TTL і надсилає на призначення — через WhatsApp, якщо ви ввели номер телефону, або електронною поштою в іншому випадку.
- VerifyAuthChallengeResponse звіряє введений вами код із виданим, відхиляючи прострочені або невідповідні спроби та обмежуючи частоту повторних запитів.
Оскільки все це відбувається всередині керованої машини станів автентифікації Cognito, діють стандартні гарантії: токени короткочасні, оновлення обробляються тією самою інфраструктурою, що захищає решту платформи, і немає власного коду токенів сесії, який довелося б перевіряти на типові помилки (передбачувані ідентифікатори, недостатня ентропія, відсутність перевірки терміну дії), що зазвичай трапляються в саморобних реалізаціях на кшталт «просто надішлемо код на пошту».
Чому один код виконує дві функції
Більшість сервісів розглядають «доведіть, хто ви» і «доведіть, що можете отримувати повідомлення тут» як два окремі кроки: спершу реєстрація з паролем, потім окреме підтвердження номера телефону для сповіщень. WALLAWHATS об’єднує ці кроки, адже для продукту зі сповіщеннями це, по суті, одне й те саме запитання, поставлене двічі.
Якщо WALLAWHATS має доставити повідомлення WhatsApp на номер, потрібно знати дві речі: що номер справжній і доступний, і що людина, яка входить у систему, справді ним володіє. 6-значний код, надісланий на цей самий номер і правильно введений назад, відповідає на обидва питання одразу. Не існує сценарію, коли ви «увійшли», але ваше призначення WhatsApp не підтверджене, — адже вхід і був підтвердженням.
Та сама логіка стосується електронної пошти. Увійдіть за допомогою електронної адреси, отримайте код туди, введіть його назад — і ви вже увійшли, а ця скринька стала підтвердженим призначенням для сповіщень електронною поштою (які на будь-якому тарифі містять готовий знімок кожного твіта поряд із текстом).
Чому це безпечніше, ніж здається
Автентифікація без пароля звучить так, ніби вона має бути менш безпечною — немає пароля, немає сховища. На практиці ж вона закриває кілька найпоширеніших способів, якими реальні облікові записи стають скомпрометованими:
- Немає credential stuffing. У зловмисника немає повторно використаного пароля зі зламаного сайту, який можна спробувати проти вашого входу в WALLAWHATS, бо красти просто нічого — пароля немає.
- Немає поверхні атаки через скидання пароля. Величезна частка захоплень облікових записів відбувається саме через процес «забув пароль» — зловмисник, який контролює вашу поштову скриньку, скидає ваш пароль усюди. Прибравши паролі, ми повністю прибираємо і цей процес.
- Базується на володінні, а не на пам’яті. Код доводить, що у вас прямо зараз є доступ до телефону чи поштової скриньки, а не те, що ви кілька місяців тому запам’ятали (записали чи повторно використали) якийсь секрет.
- Короткочасний і одноразовий. Коди швидко втрачають чинність і анулюються після першого успішного використання, на відміну від пароля, який залишається дійсним, доки ви не зміните його вручну.
Компроміс полягає в тому, що доставка через WhatsApp або електронну пошту стає частиною критичного шляху входу — якщо ви втратите доступ до обох каналів, відновлення облікового запису йтиме за тією ж моделлю підтвердженого призначення, а не через резервні «контрольні запитання», які історично були найслабшою ланкою систем на основі паролів.
Як це порівнюється з традиційним паролем + окремою перевіркою OTP
Звичний процес виглядає так: вигадати пароль, підтвердити електронну пошту окремим посиланням, а потім згодом зайти в налаштування і підтвердити номер телефону для SMS чи push-сповіщень. Це три окремі точки підтвердження, три окремі місця, де щось може застаріти: непідтверджений номер телефону тижнями висить в обліковому записі, пароль ідентичний тому, що використовується ще на чотирьох інших сервісах, посилання для підтвердження електронної пошти, яке протерміновується ще до того, як хтось його відкриє.
WALLAWHATS зводить це до однієї точки підтвердження на кожне призначення. Додайте номер WhatsApp — і код, який ви отримаєте для його підтвердження, надалі буде тим самим кодом, яким ви входитимете з цього пристрою. Немає непідтвердженого стану, який можна залишити «висіти», бо обліковий запис і призначення досягають статусу «підтверджено» одночасно.
Це також означає, що зміна чи додавання призначення — це просто… вхід із новим призначенням. Хочете додати другий підтверджений номер на тарифі Business чи Enterprise? Введіть його, отримайте код, підтвердьте. Жодної окремої форми «додати номер телефону», захованої на три меню вглиб.
Налаштування: що ви побачите на практиці
На сторінці wallawhats.com/signup у вас запитують лише одне: електронну адресу або номер WhatsApp. Це вся форма.
- Введіть номер WhatsApp — і код надійде повідомленням WhatsApp протягом кількох секунд, тим самим каналом, яким пізніше надходитимуть ваші сповіщення з X.
- Введіть електронну адресу — і код потрапить у вашу поштову скриньку. Це зручно, якщо ви хочете увійти із загального чи робочого пристрою, не торкаючись особистого WhatsApp, або якщо ви налаштовуєте електронну пошту як канал для сповіщень.
У будь-якому разі ви побачите екран із запитом 6-значного коду, введете його — і опинитеся на панелі керування. Звідти ви можете будь-коли додати другий канал (наприклад, номер WhatsApp після реєстрації через електронну пошту, або навпаки) на сторінці Channels — кожне нове призначення проходить ту саму перевірку одноразовим кодом, перш ніж зможе отримувати сповіщення. Якщо не впевнені, який тип номера WhatsApp тут використовувати, наш посібник Business vs Personal number розкладає всі компроміси по поличках.
У налаштуваннях облікового запису немає стану, де номер телефону просто «додано, але не підтверджено». Кожне призначення або пройшло власну перевірку кодом, або взагалі не прив’язане до вашого облікового запису.
Застереження: чим це не є
Якщо бути точними щодо моделі безпеки: це автентифікація одноразовим кодом через канали, яким ви вже довіряєте (WhatsApp, електронна пошта), а не багатофакторна автентифікація в традиційному розумінні «пароль плюс другий фактор». Різниця тут суттєва. Традиційний MFA додає другий незалежний доказ поверх пароля. Модель WALLAWHATS замінює пароль володінням каналом зв’язку — а це інший компроміс щодо ризиків, не обов’язково суворо сильніший в усіх вимірах. Але це правильний компроміс для сервісу сповіщень, де вся суть у тому, що вам і так потрібне підтверджене призначення, аби взагалі користуватися продуктом; повторне використання цього кроку підтвердження для входу прибирає зайве тертя, не прибираючи жодного значущого рівня безпеки, — адже рівня на основі пароля тут ніколи й не було.
Якщо ви обираєте канал і для входу, і для сповіщень, наше порівняння email проти WhatsApp розповідає про швидкість доставки та рівень прочитання — ці компроміси стосуються і кодів входу теж: код WhatsApp ви помітите за лічені секунди, а код електронної пошти конкурує з усім вмістом вашої скриньки.
Чому це особливо важливо саме для продукту зі сповіщеннями
Для продукту, чиє єдине завдання — «надійно доставити повідомлення на обране вами призначення», особистість і призначення не можуть розходитися. Якби вхід і підтвердження каналу були окремими системами, ви могли б опинитися в обліковому записі, чий номер WhatsApp додали роки тому, який оператор міг відтоді переприв’язати до іншої людини, і який жодного разу не підтверджувався повторно. Прив’язка входу до свіжого коду, надісланого безпосередньо на призначення, означає, що такого ризику не існує за конструкцією — ви не можете увійти через канал, який наразі недоступний, бо саме доступність каналу і дала вам змогу увійти.
Це також означає, що у звичайному випадку відновлення облікового запису не потребує звернення в підтримку. Загубили телефон? Увійдіть натомість за допомогою електронної пошти — той самий процес, той самий одноразовий код, а ваше призначення WhatsApp (щойно ви повторно підтвердите його на новому пристрої) продовжить роботу точно з того місця, де зупинилося.
Що відбувається, якщо код не приходить
Будь-яка система, яка передає доставку сторонній мережі — оператору зв’язку, власній інфраструктурі WhatsApp, провайдеру електронної пошти — має враховувати ймовірність того, що код з’явиться не миттєво. Кілька практичних нюансів того, як це вирішено:
- Термін дії короткий, і це навмисно. Код, дійсний годинами, — набагато привабливіша ціль, ніж код, дійсний хвилинами. Якщо ваш код втратив чинність до того, як ви його ввели, запит нового коду негайно анулює старий.
- Надішліть повторно, а не вводьте старий код. Якщо повідомлення WhatsApp затримується на кілька секунд (нормально в години пікового навантаження) або лист потрапляє в спам, екран входу пропонує повторну відправку замість того, щоб просити вас нескінченно чекати першу спробу.
- Обмеження частоти запитів захищає обидві сторони. Повторні запити коду на те саме призначення обмежуються. Це не лише захід проти зловживань з боку WALLAWHATS — це ще й запобігає тому, щоб один обліковий запис випадково перевантажив системи доставки WhatsApp чи провайдера електронної пошти, якщо десь вище за ланцюгом стався агресивний повторний запит.
- Перемкніться на інший канал, якщо один недоступний. Якщо на телефоні немає сигналу, але ви за ноутбуком, увійдіть натомість через електронну пошту — це повністю незалежний шлях до того самого облікового запису, а не резервний варіант, що чекає, поки спроба через WhatsApp спершу провалиться.
Ніщо з цього не є унікальним для WALLAWHATS — це та сама операційна реальність, під яку доводиться підлаштовуватися будь-якій системі на основі одноразових кодів. Різниця в тому, що оскільки код одночасно є і підтвердженням каналу, успішний вхід говорить вам, що ваше призначення для сповіщень наразі активне, — а пароль ніколи не міг би цього гарантувати.
Часті запитання
Чи можу я використовувати і WhatsApp, і електронну пошту для входу? Так. Кожен канал підтверджується незалежно під час першого використання, а потім будь-який із них дає доступ до того самого облікового запису.
Чи анулює новий код мій канал WhatsApp, якщо я не завершу вхід? Ні. Незавершена або протермінована спроба входу не впливає на вже підтверджений канал — це важливо лише під час першого підтвердження нового призначення.
Що робити, якщо пізніше я захочу змінити номер телефону? Додайте новий номер як канал на сторінці Channels — він пройде власну перевірку одноразовим кодом, перш ніж зможе отримувати сповіщення. Ваш старий номер залишиться недоторканим, доки ви його не видалите.
Чи це те саме, що двофакторна автентифікація на основі SMS? Не зовсім. Традиційна 2FA через SMS — це другий фактор, накладений поверх пароля. Тут код є усім механізмом автентифікації — під ним немає пароля, до якого можна було б додати другий фактор.
Починаємо
Вхід без пароля — це не окрема функція, яку треба налаштовувати, а просто те, як влаштований вхід у WALLAWHATS на будь-якому тарифі, починаючи з Free. Якщо ви ще не налаштували сповіщення, наш вступний посібник описує весь шлях від першого входу до першого сповіщення WhatsApp.
Більше ніколи не пропустіть важливий пост. Створіть безкоштовний обліковий запис — 1 номер WhatsApp, сповіщення в реальному часі, без кредитної картки.
About this article: This article was drafted with the help of an AI assistant using WallaWhats's editorial workflow, then reviewed and approved by Nacho Coll. Every product detail — plans, limits, and how alerts are delivered — is checked against the live WallaWhats service before it's published.

Про автора
Nacho Coll
Founder & Engineer at WallaWhats
Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.



