Siirry sisältöön
cutty.dev
All posts

Salasanalla suojattujen linkkien turvallisuus – mitä tapahtuu kun klikkaat niitä

Voit lisätä salasanan lyhyeen linkkiisi. Näytämme, mitä tapahtuu taustalla – ilman jargonia – ja miksi se on ylipäätään kannattavaa.

Lyhyt link salasanalla on yksinkertainen. Syötät salasanan, ja jonkun muun on syötettävä se nähdäkseen, mihin tämä linkki vie. Taustalla tapahtuu hieman enemmän. Näytämme mitä, miksi ja milloin tämä on hyödyllistä.

Miksi ollenkaan suojata linkkiä salasanalla

Kolme kontekstia, joissa se on järkevää:

Sisältö, jonka haluat näyttää vain tietyille henkilöille. Premium-asiakkaiden hinnasto, beta-dokumentti ennen julkista ilmoitusta, koulutusmateriaali niille, jotka ovat maksaneet kurssin. Ilman salasanaa joku voisi löytää tämän linkin hakukoneesta tai saada sen toiselta taholta.

Lyhytaikainen sisältö, jonka haluat sulkea. Erityistarjous perjantaille, konferenssimateriaali, joka on saatavilla vain osallistujille. Salasana tekee linkistä hallitun pääsyn — varmistat, että vierailija on saanut salasanan sinulta, ei toiselta taholta.

Sisältö, jonka julkaiset yleisesti mutta haluat pitää hallinnassa. Koko hintalistasi, sisäinen tuotantoprosessisi, asiakkaalle tarjottava palvelusi. Linkin voi lähettää — mutta ilman salasanaa kukaan ei pääse sisään.

Mitä tapahtuu, kun asetat salasanan

Syötät salasanasi linkin luontilomakkeeseen. Salasana salataan välittömästi — se muutetaan lukemattomaksi merkkijonoksi. Jo pelkkä se, että salasana on "tajne123", katoaa hetkellä, kun painat "Tallenna". Minäkään palvelun ylläpitäjänä en voi lukea sitä.

Mikä on tietokannassa tallennettuna: ei salasanaa, vaan sormenjälki (teknisesti "hash") — merkkijono, joka vastaa salaustasi vain, jos joku kirjoittaa täsmälleen saman. Jos joku murtautuu tietokantaamme, hän saa vain nämä merkkijonot — ei salasanoja linkkeihisi.

Käytämme tähän alan standardia, jota käytetään useimmissa verkkokirjautumisjärjestelmissä. Se on laskennallisesti tarkoituksella hidastettu — jotta hakkerin, joka varaisi tietokannan, pitäisi odottaa miljoonia vuosia salasanien arvaamiseksi.

Mitä tapahtuu, kun joku napsauttaa linkkiäsi

  1. Vierailija näkee lukitun näytön välittömän uudelleenohjauksen sijaan. Lyhyt viesti "Tämä linkki on suojattu salasanalla" ja kenttä salasanan syöttämistä varten.
  2. Syöttää salasanan ja napsauttaa "Avaa". Salasana tarkistetaan palvelimella tallennetun hash-arvon perusteella.
  3. Jos salasana on oikein — vierailija saa sessiotunnisteen, joka on voimassa 24 tuntia. Seuraavan vuorokauden ajan hän voi palata tähän linkkiin ilman salasanan syöttämistä. Ei tarvitse muistaa.
  4. Jos salasana on väärin — virheilmoitus. Viiden yrityksen jälkeen samasta IP-osoitteesta — viiden minuutin esto. Botit eivät pääse sisään pakolla.

Mitä EI tehdä

  • Emme tallenna salasanoja selkeänä tekstinä. Koskaan. Edes vianetsintilokeissa.
  • Emme lähetä salasanoja sähköpostiin. Vaikka vierailija unohtaisi salasanansa, emme voi muistuttaa sitä — koska emme mekään tiedä sitä. Sinun on lähetettävä salasana uudelleen samalta tililtä, jolta se alun perin lähetettiin.
  • Emme lähetä salasanoja kolmansille osapuolille. Mikään ulkopuolinen analytiikka-, markkinointi- tai tekoälypalveluntarjoaja ei pääse näihin tietoihin.

Käytännön vinkit

Luo salasanat, jotka eivät ole ilmeisiä. Yrityksen nimi + perustamisvuosi on huono idea. Selaimen salasananluonti toimii paremmin.

Älä lähetä salasanaa samalla viestintäkanavalla kuin linkki. Jos lähetät linkin sähköpostilla, lähetä salasana tekstiviestillä. Tai päinvastoin. Tällöin yhden viestintäkanavan murto ei anna täyttä pääsyä.

Voit käyttää useita linkkejä, joilla on sama kohde-URL mutta eri salasanat. Tämä on hyödyllistä, kun annat pääsyn eri henkilöille — voit estää yhden linkin, kun tämän henkilön käyttöoikeus päättyy, ilman että se vaikuttaa muihin.

Salasanan voi vaihtaa luomatta uutta linkkiä. Hallintapaneelissa “Muokkaa” → kirjoita uusi salasana. Kaikki aktiiviset 24 tunnin istunnot päättyvät välittömästi, ja jokaisen kävijän on syötettävä uusi salasana.

Kun salasana EI riitä

Salasana suojaa julkaisemalta indeksiltä ja satunnaiselta pääsyltä. Se ei suojaa henkilöltä, joka tuntee salasanansa ja haluaa jakaa sen. Jos skenaariosi vaatii “vain tämä yksi tietty henkilö voi nähdä tämän” — tarvitset lisäksi kirjautumisen, käyttäjätilit ja valtuutuksen. Tämä on korkeampi toiminnallisuustaso (suunniteltu tulevaan Pro-suunnitelmaan).

95 % tapauksissa lause “en halua, että satunnainen ihminen näkee tämän” riittää salasanan osalta.

Suorita itse — linkkiä luotaessa valitse "Edistyneet asetukset" → "Lisää salasana".