Anar al contingut
cutty.dev
All posts

Seguretat dels enllaços amb contrasenya — què passa quan fas clic

Pots afegir una contrasenya al teu enllaç curt. Et mostrem què passa sota la superfície — sense entrar en tecnicismes — i per què realment val la pena.

L'enllaç curt amb contrasenya sona senzill. Introduïu la contrasenya, algú més ha de introduir-la per veure cap on porta aquest enllaç. A continuació passa una mica més. Mostrem què, per què i quan és útil.

Per què protegir un enllaç amb contrasenya?

Tres contextos en els quals té sentit:

Contingut que vols mostrar només a persones determinades. Llista de preus per a clients premium, document beta abans de l'anunci public, material formatiu per a persones que han pagat el curs. Sense contrasenya, algú podria trobar aquest enllaç en un buscador o rebre'l de segona mà.

Contingut de vida curta que vols tancar. Oferta especial per al divendres, material de la conferència que només estarà disponible per als participants. La contrasenya crea un accés controlat des de l'enllaç — tens la seguretat que el visitant ha rebut la contrasenya de part de tu, no de tercers.

Contingut que publiques públicament però sobre el qual vols tenir control. La teva llista de preus completa, el teu procés productiu intern, la teva oferta per al client. El lloc web es pot enviar — però sense contrasenya ningú no hi entrarà.

Què passa quan configures una contrasenya

Escriu la contrasenya al formulari de creació de l'enllaç. La contrasenya s'encripta immediatament — convertida en una cadena de caràcters que no es pot llegir. El simple fet que la contrasenya sigui "tajne123" desapareix en el moment de fer clic a "Zapisz". Ni tan sols jo, com a persona responsable del servei, no puc llegir-la.

Què és el que s'emmagatzema a la base de dades: no la contrasenya, sinó una empremta digital (técnicament un "hash") — una cadena que coincideix amb la teva contrasenya només si algú escriu exactament la mateixa. Si algú penetra en la nostra base de dades, només obtingrà aquestes cadenas — no les contrasenyes dels teus enllaços.

Utilitzem per a això l'estàndard de la indústria utilitzat per la majoria dels sistemes d'inici de sessió a la xarxa. És lent de calcular voluntariament — perquè un hacker que robés la base de dades hagués de esperar milions d'anys per adivinar les contrasenyes.

Què passa quan algú fa clic al teu enllaç

  1. El visitant veu la pantalla de desbloqueig en lloc d'una redirecció directa. Una breu informació "aquest enllaç està protegit amb contrasenya" i un camp per escriure.
  2. Introdueix la contrasenya i clica a "Desbloquejar". La contrasenya es verifica al servidor contra l'hash guardat.
  3. Si coincideix — el visitant rep un token de sessió vàlid durant 24 hores. Durant la següent tarda, pot tornar a aquest enllaç sense introduir la contrasenya. No cal que la recordi.
  4. Si no coincideix — missatge d'error. Després de cinc intents des de la mateixa adreça IP — bloqueig durant cinc minuts. Els bots no podran entrar per la força.

Què NO fem

  • No registrem contrasenyes en text clar. Mai. Ni tan sols en els logs de depuració.
  • No enviem contrasenyes per correu electrònic. Encara que l'usuari les oblidi, nosaltres no podem recordar-li — perquè nosaltres tampoc les sabem. Has de tornar a enviar la contrasenya des del mateix compte des què la va rebre.
  • No enviem contrasenyes a tercers. Cap proveïdor extern d'anàlisi, màrqueting o IA té accés a aquestes dades.

Consells pràctics

Crea contrasenyes que no siguin evidents. El nom de l'empresa + l'any de fundació és una mala idea. El generador de contrasenyes del navegador ho fa millor.

No enviïs la contrasenya pel mateix canal que l'enllaç. Si envies l'enllaç per correu electrònic, envia la contrasenya per SMS. O al contrari. Així, l'intrusió en un canal de comunicació no donarà accés total.

Pots tenir diversos enllaços amb la mateixa URL de destí però amb paraules clau diferents. Útil quan dones accés a diverses persones — pots bloquejar un enllaç quan aquest accés s'ha d'acabar, sense afectar els altres.

Es pot canviar la contrasenya sense crear un nou enllaç. Al panell, "Edita" → escriu la nova contrasenya. Totes les sessions actives de 24 hores caducaran immediatament, cada visitant ha de introduir la nova contrasenya.

Quan la contrasenya NO és suficient

La contrasenya protegeix contra l'índex públic i contra l'accés accidental. No protegeix contra una persona que coneix la contrasenya i vol compartir-la. Si el teu escenari requereix "només aquesta persona concreta pot veure això" — necessites addicionalment inici de sessió, comptes d'usuari, autorització. Això és un nivell superior de funcionalitat (previst en el futur pla Pro).

Per al 95% dels casos "no vull que una persona a l'atzar ho vegi" — la frase és suficient.

Prova-ho tu mateix — en crear l'enllaç, marca "Opcions avançades" → "Afegeix una contrasenya".