Sigurnost poveznica s lozinkom — što se događa kada kliknete

Kratka poveznica s lozinkom zvuči jednostavno. Upišete lozinku, netko drugi je mora upisati kako bi vidio kamo ta poveznica vodi. Ispod se događa malo više. Pokazujemo što, zašto i kada je to korisno.

Zašto uopće šifrirati poveznicu lozinkom

Tri konteksta u kojima ima smisla:

Sadržaj koji želite prikazati samo određenim osobama. Cjenik za premium klijente, beta dokument prije javnog objavljivanja, materijal za obuku za osobe koje su platile tečaj. Bez lozinke netko bi mogao pronaći ovu poveznicu u tražilici ili je dobiti iz druge ruke.

Sadržaj kratkog vijeka koji želiš zatvoriti. Posebna ponuda za petak, materijal s konferencije koji će biti dostupan samo sudionicima. Lozinka stvara kontrolirani ulaz putem linka — imaš sigurnost da je posjetitelj dobio lozinku od tebe, a ne iz druge ruke.

Sadržaj koji objavljuješ javno, ali želiš imati kontrolu. Tvoj potpuni popis cijena, tvoj unutarnji proces proizvoda, tvoja ponuda klijentu. Poveznica se može poslati — ali bez lozinke nitko neće ući.

Što se događa kada postavljate lozinku

Unosite lozinku u obrascu za izradu poveznice. Lozinka se odmah šifrira — pretvara se u niz znakova koji se ne može pročitati. Sam činjenica da je lozinka "tajne123" nestaje u trenutku klikanja na "Spremi". Čak ni ja, kao osoba koja vodi servis, nemam način da je pročitam.

Što je zapisano u bazi: ne lozinka, već otisak prsta (tehnički "hash") — niz koji odgovara tvojoj lozinki samo ako netko upiše točno isto. Ako se netko upadne u našu bazu, dobit će samo te nizove — ne lozinke za tvoje poveznice.

Koristimo za to industrijski standard koji koristi većina sustava za prijavu na mreži. Spor je za izračunavanje namjerno — kako bi haker koji ukrade bazu morao čekati milijune godina na pogađanje lozinki.

Što se događa kada netko klikne vašu poveznicu

1. Posjetitelj vidi zaslon za otključavanje umjesto izravnog preusmjeravanja. Kratka informacija "ovaj link je zaštićen lozinkom" i polje za unos.
2. Unosi lozinku i klikne "Otključaj". Lozinka se provjerava na poslužitelju u odnosu na spremljeni hash.
3. Ako se podudara — posjetitelj dobiva sesijski token važeći 24 sata. Tijekom sljedeća 24 sata može se vratiti na ovaj link bez upisivanja lozinke. Ne mora je pamtiti.
4. Ako se ne podudara — poruka o pogrešci. Nakon pet pokušaja s iste IP adrese — blokada na pet minuta. Botovi neće ući silom.

Što NE radimo

• Ne pohranjujemo lozinke u čistom tekstu. Nikada. Čak ni u logovima za debugiranje.
• Ne šaljemo lozinke putem e-pošte. Čak i ako posjetitelj zaboravi, mi mu ne možemo podsjetiti — jer ni mi ne znamo. Morate mu ponovno poslati lozinku s onog računa s kojeg ju je primio.
• Ne šaljemo lozinke trećim stranama. Nijedan vanjski pružatelj analitike, marketinga, AI — nema pristup tim podacima.

Praktični savjeti

Stvarajte lozinke koje nisu očite. Ime tvrtke + godina osnivanja je loša ideja. Generator lozinki u pregledniku to radi bolje.

Ne šalji lozinku istim kanalom kao i poveznicu. Ako šalješ poveznicu e-poštom, lozinku pošalji SMS-om. Ili obrnuto. Na taj način provala u jedan komunikacijski kanal neće dati potpuni pristup.

Možete imati više poveznica s istom ciljanom URL adresom, ali različitim lozinkama. Korisno kada dajete pristup različitim osobama — možete blokirati jednu poveznicu kada taj pristup treba isteći, bez utjecaja na ostale.

Lozinku možete promijeniti bez stvaranja novog linka. U izborniku, "Edytuj" → upišite novu lozinku. Sve aktivne 24-satne sesije isteknut će trenutno, svaki posjetitelj mora unijeti novu lozinku.

Kada lozinka NIJE dovoljna

Lozinka štiti od javnog indeksiranja i od slučajnog pristupa. Ne štiti od osobe koja zna lozinku i želi je podijeliti. Ako vaš scenarij zahtijeva "samo ova jedna konkretna osoba to može vidjeti" — trebate dodatnu prijavu, korisničke račune, autorizaciju. To je viša razina funkcionalnosti (planirana u budućem Pro planu).

Za 95% slučajeva "ne želim da slučajna osoba ovo vidi" — slogan je dovoljan.

Pokušaj sam — prilikom izrade poveznice označite "Napredne opcije" → "Dodaj lozinku".