Bezpečnost odkazů s heslem – co se děje, když na ně kliknete

Krátký odkaz s heslem je jednoduchý. Zadáte heslo, někdo jiný ho musí zadat, aby viděl, kam tento odkaz vede. Pod povrchem se děje trochu víc. Ukážeme, co, proč a kdy se to hodí.

K čemu vůbec chránit odkaz heslem

Tři kontexty, ve kterých to dává smysl:

Obsah, který chcete zobrazit pouze určeným osobám. Ceník pro prémiové klienty, beta dokumentace před veřejným oznámením, školicí materiály pro osoby, které zaplatily za kurz. Bez hesla by mohl někdo tento odkaz najít ve vyhledávači nebo jej získat z druhé ruky.

Obsah s krátkou životností, který chcete uzavřít. Speciální nabídku na pátek, materiál z konference, který má být dostupný pouze pro účastníky. Heslo z odkazu dělá kontrolovaný přístup — máte jistotu, že návštěvník dostal heslo od vás, ne z druhé ruky.

Obsah, který zveřejňujete veřejně, ale chcete mít nad ním kontrolu. Váš kompletní ceník, váš interní produktový proces, vaše nabídka pro klienta. Odkaz lze odeslat — ale bez hesla se do něj nikdo nedostane.

Co se děje, když nastavíte heslo

Do formuláře pro vytvoření odkazu zadáte heslo. Heslo je okamžitě šifrováno – převedeno na řetězec znaků, který nelze přečíst. Skutečnost, že heslo je „tajne123“, zmizí v okamžiku kliknutí na „Uložit“. Ani já, jako provozovatel webu, ho nemohu přečíst.

Co je uloženo v databázi: ne heslo, ale otisk prstu (technicky „hash“) — řetězec, který odpovídá tvému heslu pouze tehdy, pokud někdo zadá přesně totéž. Pokud se někdo vloupá do naší databáze, získá pouze tyto řetězce — ne hesla k tvým odkazům.

Používáme k tomu průmyslový standard používaný většinou systémů přihlašování na webu. Je zdarma počítat úmyslně — aby hacker, který by ukradl databázi, musel čekat miliony let na uhodnutí hesel.

Co se děje, když někdo klikne na váš odkaz

1. Návštěvník vidí obrazovku odemknutí místo přímého přesměrování. Krátká informace „tento odkaz je chráněn heslem“ a pole pro zadání.
2. Zadává heslo a klikne na „Odemknout“. Heslo je ověřeno na serveru proti uloženému hashi.
3. Pokud se shoduje — návštěvník obdrží session token platný 24 hodin. Po dobu následujících 24 hodin se může k tomuto odkazu vracet bez zadávání hesla. Nemusí si ho pamatovat.
4. Pokud se neshoduje — chybová zpráva. Po pěti neúspěšných pokusech ze stejné IP adresy — blokování na pět minut. Boti se nedostanou násilím.

Co NEděláme

• Neukládáme hesla v čitelné podobě. Nikdy. Ani v debugovacích logech.
• Neodesíláme hesla emailem. I když návštěvník zapomenete, my mu nemůžeme připomenout — protože my ho také neznáme. Musíte mu poslat heslo znovu z účtu, ze kterého ho dostal.
• Neodesíláme hesla třetím stranám. Žádný externí poskytovatel analytiky, marketingu, AI — nemá přístup k těmto datům.

Praktické tipy

Vytvářejte hesla, která nejsou zřejmá. Jméno firmy + rok založení je slabý nápad. Generátor hesel v prohlížeči to zvládne lépe.

Neodesílejte heslo stejným kanálem jako odkaz. Pokud posíláte odkaz e-mailem, odešlete heslo SMS. Nebo naopak. Pak průnik do jednoho komunikačního kanálu nedá plný přístup.

Můžete mít několik odkazů se stejným cílovým URL, ale s různými hesly. Užitečné, když poskytujete přístup různým osobám – můžete zablokovat jeden odkaz, když má skončit přístup, aniž by to ovlivnilo ostatní.

Heslo lze změnit bez vytváření nového odkazu. V panelu „Upravit“ zadejte nové heslo. Všechny aktivní 24hodinové relace okamžitě vyprší, každý návštěvník musí zadat nové heslo.

Kdy heslo nestačí

Heslo chrání před veřejným indexem a před náhodným přístupem. Nechrání před osobou, která heslo zná a chce se jím podělit. Pokud tvůj scénář vyžaduje „jen tento jeden konkrétní člověk to může vidět“, potřebuješ navíc přihlášení, uživatelské účty a autorizaci. Jde o vyšší úroveň funkcionality (plánovaná v budoucím plánu Pro).

Pro 95 % případů „nechci, aby to viděl náhodný člověk“ — heslo stačí.

Zkuste to sami — při vytváření odkazu zaškrtněte "Pokročilé možnosti" → "Přidat heslo".