Zum Inhalt wechseln
cutty.dev
All posts

Sicherheit von Passwort-Links – Was passiert, wenn du klickst

Sie können Ihrem Shortlink ein Passwort hinzufügen. Wir zeigen Ihnen, was im Hintergrund passiert – ohne Fachjargon – und warum es sich überhaupt lohnt.

Der kurze Link mit Passwort ist ganz einfach. Du gibst das Passwort ein, jemand anderes muss es ebenfalls eingeben, um zu sehen, wohin dieser Link führt. Darunter passiert etwas mehr. Wir zeigen, was, warum und wann das nützlich ist.

Warum überhaupt ein Link mit einem Passwort schützen

Drei Kontexte, in denen es Sinn ergibt:

Inhalt, der nur bestimmten Personen angezeigt werden soll. Preisliste für Premium-Kunden, Beta-Dokumentation vor der öffentlichen Ankündigung, Schulungsmaterial für Personen, die einen Kurs bezahlt haben. Ohne Passwort könnte jemand diesen Link in einer Suchmaschine finden oder auf anderem Wege erhalten.

Inhalt mit kurzer Lebensdauer, den du schließen möchtest. Sonderangebot für Freitag, Konferenzmaterial, das nur für Teilnehmer verfügbar sein soll. Ein Passwort verwandelt einen Link in einen kontrollierten Zugang – du bist sicher, dass der Besucher das Passwort von dir erhalten hat und nicht von einer anderen Quelle.

Inhalt, den du öffentlich veröffentlichst, aber kontrollieren möchtest. Deine vollständige Preisliste, dein interner Produktprozess, dein Kundenangebot. Der Link kann versendet werden – aber ohne Passwort kann niemand darauf zugreifen.

Was passiert, wenn du ein Passwort festlegst

Du gibst das Passwort im Formular zum Erstellen des Links ein. Das Passwort wird sofort verschlüsselt – es wird in eine Zeichenkette umgewandelt, die nicht lesbar ist. Der Umstand, dass das Passwort „tajente123“ lautet, verschwindet im Moment des Klicks auf „Speichern“. Selbst ich als Betreiber der Website kann es nicht lesen.

Was in der Datenbank gespeichert ist: nicht das Passwort, sondern der Fingerabdruck (technisch „Hash“) — eine Zeichenkette, die nur dann mit deinem Passwort übereinstimmt, wenn jemand exakt dasselbe eingibt. Wenn sich jemand in unsere Datenbank einbringt, erhält er nur diese Zeichenketten — keine Passwörter für deine Links.

Wir verwenden dafür den branchenüblichen Standard, der von den meisten Anmeldesystemen im Internet genutzt wird. Er ist absichtlich so gestaltet, dass er rechenintensiv ist – damit ein Hacker, der die Datenbank stiehlt, Millionen von Jahre warten müsste, um die Passwörter zu erraten.

Was passiert, wenn jemand auf deinen Link klickt

  1. Der Besucher sieht den Sperrbildschirm statt einer direkten Weiterleitung. Kurze Information „Dieser Link ist passwortgeschützt“ und ein Eingabefeld.
  2. Gibt das Passwort ein und klickt auf „Entsperren“. Das Passwort wird auf dem Server gegen den gespeicherten Hash überprüft.
  3. Wenn es übereinstimmt — der Besucher erhält ein Sitzungstoken, das 24 Stunden gültig ist. Für den nächsten Tag kann er ohne Passwort-Eingabe auf diesen Link zurückgreifen. Er muss es sich nicht merken.
  4. Wenn es nicht übereinstimmt — Fehlermeldung. Nach fünf fehlgeschlagenen Versuchen von derselben IP-Adresse — Sperrung für fünf Minuten. Bots können nicht gewaltsam eindringen.

Was wir NICHT tun

  • Wir protokollieren Passwörter nicht im Klartext. Niemals. Selbst nicht in Debug-Logs.
  • Wir senden keine Passwörter per E-Mail. Selbst wenn ein Besucher sein Passwort vergisst, können wir es ihm nicht mitteilen – weil wir es selbst nicht wissen. Sie müssen ihm das Passwort erneut von dem Konto aus senden, von dem es ursprünglich stammt.
  • Wir senden keine Passwörter an Dritte. Kein externer Anbieter für Analytik, Marketing oder KI hat Zugriff auf diese Daten.

Praktische Tipps

Erstellen Sie Passwörter, die nicht offensichtlich sind. Der Firmenname plus das Gründungsjahr ist eine schlechte Idee. Ein im Browser integrierter Passwortgenerator macht das besser.

Sende das Passwort nicht über denselben Kanal wie den Link. Wenn du den Link per E-Mail sendest, übertrage das Passwort per SMS. Oder umgekehrt. Dann gibt ein Eindringen in einen Kommunikationskanal keinen vollständigen Zugriff.

Du kannst mehrere Links mit derselben Ziel-URL, aber unterschiedlichen Passwörtern haben. Nützlich, wenn du verschiedenen Personen Zugriff gewährst – du kannst einen Link sperren, wenn dieser Zugriff enden soll, ohne die anderen zu beeinflussen.

Das Passwort kann geändert werden, ohne einen neuen Link zu erstellen. Im Panel „Bearbeiten“ → geben Sie das neue Passwort ein. Alle aktiven 24-Stunden-Sitzungen werden sofort ablaufen, jeder Besucher muss das neue Passwort eingeben.

Wenn das Passwort NICHT ausreicht

Das Passwort schützt vor öffentlichem Indexieren und vor zufälligem Zugriff. Es schützt nicht vor Personen, die das Passwort kennen und es weitergeben möchten. Wenn dein Szenario „nur diese eine spezifische Person darf es sehen“ erfordert – benötigst du zusätzlich eine Anmeldung, Benutzerkonten und Autorisierung. Dies ist eine höhere Ebene an Funktionalität (geplant im zukünftigen Pro-Plan).

Für 95 % der Fälle reicht ein Passwort aus, wenn es darum geht: „Ich möchte nicht, dass ein zufälliger Mensch das sieht“.

Probieren Sie es selbst — beim Erstellen eines Links wählen Sie „Erweiterte Optionen“ → „Passwort hinzufügen“.