Gå til indhold
cutty.dev
All posts

Sikkerheden ved links med adgangskode — hvad sker der, når du klikker

Du kan tilføje en adgangskode til dit korte link. Vi viser, hvad der sker bag kulisserne — uden at bruge fagudtryk — og hvorfor det overhovedet er værd at gøre.

Et kort link med adgangskode lyder enkelt. Du indtaster adgangskoden, og en anden person skal indtaste den for at se, hvor linket fører hen. Nedenfor sker der lidt mere. Vi viser hvad, hvorfor, og hvornår det er nyttigt.

Hvorfor overhovedet beskytte et link med en adgangskode

Tre kontekster hvor det giver mening:

Indhold som du kun ønsker at vise til bestemte personer. Prisliste for premium-kunder, beta-dokument før offentliggørelse, træningsmateriale til personer, der har betalt for kurset. Uden en adgangskode kunne nogen finde dette link i en søgemaskine eller få det fra andre.

Indhold med kort levetid som du ønsker at lukke. Et specialtilbud til fredag, materiale fra konferencen som kun skal være tilgængeligt for deltagerne. Adgangskoden gør linket til en kontrolleret indgang — du er sikker på, at den besøgende har fået adgangskoden fra dig, og ikke fra tredjemand.

Indhold som du offentliggør, men som du ønsker at have kontrol over. Din fulde prisliste, din interne produktproces, dit tilbud til kunden. Linket kan sendes — men uden adgangskode kan ingen komme ind.

Hvad sker der, når du indstiller en adgangskode

Du indtaster adgangskoden i formularen til oprettelse af linket. Adgangskoden bliver øjeblikkeligt krypteret — omdannet til en streng af tegn, som ikke kan læses. Selve det faktum, at adgangskoden er "tajne123", forsvinder i det øjeblik, du klikker på "Gem". Selv jeg, som administrator af tjenesten, har ingen måde at læse den på.

Hvad er gemt i databasen: ikke adgangskoden, men et fingeraftryk (teknisk set et "hash") — en streng, der kun passer til din adgangskode, hvis nogen indtaster præcis det samme. Hvis nogen bryder ind i vores database, får de kun disse strenge — ikke adgangskoderne til dine links.

Vi bruger til dette en branchestandard, som bruges af de fleste login-systemer på nettet. Den er langsom til at beregne bevidst — så en hacker, der stjæler databasen, skal vente millioner af år på at gætte adgangskoderne.

Hvad sker der, når nogen klikker på dit link

  1. Den besøgende ser låseskærmen i stedet for en direkte omdirigering. En kort besked "dette link er beskyttet med adgangskode" og et felt til indtastning.
  2. Indtaster adgangskoden og klikker på "Lås op". Adgangskoden kontrolleres på serveren mod det gemte hash.
  3. Hvis den er korrekt — den besøgende får et sessionstoken, der er gyldigt i 24 timer. I det næste døgn kan de vende tilbage til dette link uden at indtaste adgangskoden. De behøver ikke huske den.
  4. Hvis den er forkert — en fejlmeddelelse. Efter fem forsøg fra samme IP-adresse — blokering i fem minutter. Bots kan ikke bryde ind med magt.

Hvad vi IKKE gør

  • Vi logger ikke adgangskoder i klartekst. Aldrig. Selv ikke i debug-logs.
  • Vi sender ikke adgangskoder via e-mail. Selv hvis den besøgende glemmer det, kan vi ikke minde dem om det — for vi ved det heller ikke. Du skal sende adgangskoden igen fra den konto, som de modtog den fra.
  • Vi sender ikke adgangskoder til tredjeparter. Ingen ekstern leverandør af analyse, marketing eller AI har adgang til disse data.

Praktiske tips

Opret adgangskoder, der ikke er åbenlyse. Firmanavn + stiftelsesår er en dårlig idé. En adgangskodegenerator i browseren gør det bedre.

Send ikke adgangskoden via den samme kanal som linket. Hvis du sender linket via e-mail, skal du sende adgangskoden via SMS. Eller omvendt. På den måde vil et indbrud på én kommunikationskanal ikke give fuld adgang.

Du kan have flere links med den samme mål-URL, men med forskellige ankre. Nyttigt når du giver adgang til forskellige personer — du kan blokere ét link, når denne adgang skal udløbe, uden at påvirke andre.

Adgangskoden kan ændres uden at oprette et nyt link. I panelet, "Rediger" → indtast ny adgangskode. Alle aktive 24-timers sessioner udløber øjeblikkeligt, og alle besøgende skal indtaste den nye adgangskode.

Når et kodeord IKKE er nok

Adgangskoden beskytter mod offentlig indeksering og mod utilsigtet adgang. Beskytter ikke mod en person, der kender adgangskoden og ønsker at dele den. Hvis dit scenarie kræver "kun denne ene specifikke person må se dette" — har du brug for yderligere login, brugerkonti og autorisation. Dette er et højere funktionsniveau (planlagt i den kommende Pro-plan).

For 95% af tilfældene "jeg vil ikke have, at en fremmed ser det" — sloganet er nok.

Prøv selv — når du opretter et link, skal du markere "Avancerede indstillinger" → "Tilføj adgangskode".