עבור לתוכן
cutty.dev
All posts

אבטחת קישורים עם סיסמה - מה קורה כשלוחצים

אתה יכול להוסיף סיסמה לקישור הקצר שלך. אנו מראים מה קורה מאחורי הקלעים - בלי לטבול במונחים טכניים - ולמה בכלל כדאי לעשות זאת.

הקישור הקצר עם הסיסמה פשוט מאוד. את/ה מזין/ה את הסיסמה, ואדם אחר חייב להזין אותה כדי לראות לאן הקישור מוביל. מאחורי הקלעים קורה מעט יותר. נראה מה, למה, ומתי זה שימושי.

למה בכלל להגן על קישור עם סיסמה

שלושה הקשרים שבהם זה הגיוני:

התוכן שברצונך להציג רק לאנשים ספציפיים. מחירון ללקוחות פרימיום, מסמך בגרסת בטא לפני ההכרזה הציבורית, חומרי הדרכה עבור אנשים ששילמו על הקורס. ללא סיסמה, מישהו עשוי למצוא את הקישור הזה במנוע חיפוש או לקבל אותו ממקור שני.

תוכן בעל חיים קצר שברצונך לסגור. הצעה מיוחדת לחמישי, חומר מכנס שיהיה זמין רק למשתתפים. סיסמה הופכת את הקישור לכניסה מבוקרת — יש לך ודאות שהמבקר קיבל את הסיסמה ממך, לא מידי אחר.

תוכן שאתה מפרסם לציבור אך רוצה לשמור על שליטה. רשימת המחירים המלאה שלך, תהליך הפיתוח הפנימי שלך, ההצעה שלך ללקוח. ניתן לשלוח קישור — אך בלי סיסמה אף אחד לא ייכנס.

מה קורה כשאתה מגדיר סיסמה

אתה מזין את הסיסמה בטופס יצירת הקישור. הסיסמה מוצפרת מיד — היא מומרת לרצף תווים שאינו ניתן לקריאה. העובדה שהסיסמה היא "secret123" נעלמת ברגע שאתה לוחץ על "שמור". גם אני, כמנהל האתר, איני יכול לקרוא אותה.

מה שמאוחסן במסד הנתונים: לא הססמה, אלא טביעת אצבע (במונחים טכניים "האש") — רצף שמתאים לססמה שלך רק אם מישהו מזין בדיוק את אותו הדבר. אם יפרצו למסד הנתונים שלנו, הם יקבלו רק את הרצפים האלה — לא את הססמאות לקישורים שלך.

אנו משתמשים בסטנדרט תעשייתי המשמש את רוב מערכות הכניסה ברשת. הוא חסום לזיהוי בכוונה — כך שחאקר שגנל מאגר חייב להמתין מיליוני שנים כדי לנחש סיסמאות.

מה קורה כאשר מישהו לוחץ על הקישור שלך

  1. המבקר רואה מסך נעילה במקום הפניה ישירה. הודעה קצרה "קישור זה מוגן בסיסמה" ושדה להזנה.
  2. מזין את הסיסמה ולוחץ "שחרור". הסיסמה נבדקת בשרת מול ה-Hash השמור.
  3. אם תואמת — המבקר מקבל אסימון משך (session token) בתוקף של 24 שעות. במהלך היממה הבאה הוא יכול לחזור לקישור זה ללא הזנת סיסמה. אין צורך לזכור.
  4. אם אינה תואמת — הודעת שגיאה. לאחר חמש ניסיונות מאותו כתובת IP — חסימה למשך חמש דקות. בוטים לא יצליחו לפרוץ בכוח.

מה אנו לא עושים

  • אנחנו לא רושמים סיסמאות בטקסט גלוי. לעולם. גם ביוגים לניפוי באגים.
  • אנחנו לא שולחים סיסמאות במייל. גם אם המבקר שוכח, אנחנו לא יכולים להזכיר לו — כי גם אנחנו לא יודעים. עליך לשלוח לו את הסיסמה מחדש מאותו חשבון ממנו קיבל אותה.
  • אנחנו לא שולחים סיסמאות לצדדים שלישיים. כל ספק חיצוני של אנליטיקה, שיווק או בינה מלאכותית — אין לו גישה לנתונים אלו.

טיפים מעשיים

צרו סיסמאות שאינן מובנות מאליהן. שם החברה + שנת ההקמה הוא רעיון גרוע. יוצר הסיסמאות בדפדפן עושה זאת טוב יותר.

אל תשלח את הסיסמה באותו ערוץ תקשורת כמו את הקישור. אם אתה שולח קישור במייל, שלח את הסיסמה ב-SMS. או להפך. כך פריצה לאחד מערוצי התקשורת לא תיתן גישה מלאה.

ייתכן שיהיו לך מספר קישורים עם אותו כתובת יעד (URL) אך עם סיסמאות שונות. זה שימושי כאשר אתה מעניק גישה לאנשים שונים — ניתן לחסום קישור אחד כאשר הגישה הזו אמורה להסתיים, ללא השפעה על האחרים.

את הסיסמה ניתן לשנות ללא יצירת קישור חדש. בלוח הבקרה, "ערוך" → הזן סיסמה חדשה. כל ההפעלות הפעילות של 24 שעות יפגו מיד, וכל מבקר יצטרך להזין את הסיסמה החדשה.

מתי סיסמה אינה מספיקה

הסיסמה מגנה מפני אינדקס ציבורי וגישת אקראית. אינה מגנה מפני מישהו שמכיר את הסיסמה ורוצה לשתף אותה. אם התרחיש שלך דורש "רק האדם הספציפי הזה יכול לראות זאת" — תזדקק גם לכניסה, חשבונות משתמשים ואימות סמכויות. זהו שלב מתקדם יותר של פונקציונליות (מתוכנן בתוכנית Pro העתידית).

ב-95% מהמקרים, עבור הביטוי "לא רוצה שאדם אקראי יראה את זה", סיסמה מספיקה.

נסה בעצמך — בעת יצירת קישור, סמן "אפשרויות מתקדמות" → "הוסף סיסמה".