Átjuks a tartalomhoz
cutty.dev
All posts

Jelszavas linkek biztonsága – mi történik, amikor rákattintasz

Hozzáadhatsz jelszót a rövid hivatkozásodhoz. Megmutatjuk, mi történik a háttérben – szakszavak nélkül –, és miért egyáltalán érdemes ezt megtenni.

A rövid hivatkozás jelszóval egyszerűen működik. Megadod a jelszót, valaki másnak is meg kell adnia ahhoz, hogy lássa, hová vezet ez a link. A háttérben azonban több történik. Megmutatjuk, mit, miért és mikor lehet hasznos.

Miért érdemes egyáltalán jelszóval védeni a hivatkozást

Három kontextus, amelyekben értelme van:

Csak a meghatározott személyeknek szánt tartalom. Premium ügyfeleknek szóló árlista, beta dokumentáció nyilvános bejelentés előtt, oktatási anyag azoknak, akik fizettek a kurzusért. Jelszó nélkül valaki megtalálhatta volna ezt a linket egy keresőmotorban, vagy másodkézből kaphatta meg.

A rövid életű tartalom, amelyet le szeretnél zárni. Pénteki különleges ajánlat, konferenciás anyag, amely csak a résztvevők számára lesz elérhető. A jelszó a linket ellenőrzött belépéssé teszi — biztos vagy benne, hogy a látogató tőled kapta a jelszót, nem másodkézből.

A tartalom, amelyet nyilvánosan publikálsz, de szeretnéd a kontrollt megőrizni. A teljes árszámlád, a belső termékfolyamatod, az ügyfél felé kínált ajánlatod. A linket elküldheted – jelszó nélkül azonban senki nem fér hozzá.

Mi történik, amikor beállítasz egy jelszót

Jelszót a link létrehozásának űrlapjában adsz meg. A jelszó azonnal titkosításra kerül – egy olvashatatlan karakterlánccá alakul. A tény, hogy a jelszó például „tajne123”, a „Mentés” gomb megnyomásakor eltűnik. Még én, mint a szolgáltatás üzemeltetője sem tudom elolvasni.

Mi van tárolva az adatbázisban: nem a jelszó, hanem egy ujjlenyomat (technikailag „hash”) – egy olyan karakterlánc, amely csak akkor egyezik meg a jelszavaddal, ha valaki pontosan ugyanazt írja be. Ha valaki behatol az adatbázisunkba, csak ezeket a karakterláncokat kapja meg – nem a hivatkozásaidhoz tartozó jelszavakat.

Ehhez iparági szabványt használunk, amelyet a legtöbb hálózati bejelentkezési rendszer alkalmaz. Szándékosan lassú, hogy aki ellopta az adatbázist, milliókat kellene várnia a jelszavak kitalálására.

Mi történik, amikor valaki rákattint a linkedre

  1. A látogató a zárolási képernyőt látja közvetlen átirányítás helyett. Rövid üzenet: „Ez a link jelszóval védett”, és egy beviteli mező.
  2. Beírja a jelszót, és rákattint az „Odblokuj” (Feloldás) gombra. A jelszót a szerver ellenőrzi a tárolt hash ellenében.
  3. Ha egyezik — a látogató egy 24 óráig érvényes munkamenet-token-t kap. A következő 24 órában visszatérhet ehhez a linkhez jelszó megadása nélkül. Nem kell megjegyeznie.
  4. Ha nem egyezik — hibaüzenet. Öt próbálkozás után ugyanarról az IP-címről — öt perces letiltás. A botok nem tudnak erővel belépni.

Amit NEM csinálunk

  • Jelszavakat nem tárolunk nyers formában. Soha. Még a hibakeresési naplókban sem.
  • Jelszavakat nem küldünk e-mailben. Még akkor sem, ha az látogató elfelejti, nem tudjuk felidézni — mert nekünk magunknak sincs meg. Újrakell küldenie a jelszót azon a fiókon keresztül, ahonnan azt kapta.
  • Jelszavakat nem továbbítunk harmadik feleknek. Semmilyen külső analitikai, marketing vagy AI szolgáltató nem fér hozzá ezekhez az adatokhoz.

Gyakorlati tippek

Olyan jelszavakat alkoss, amelyek nem magától értetődőek. A cég neve + a létrejött éve gyenge ötlet. A böngészőben lévő jelszógenerátor ezt jobban megcsinálja.

Ne küldd el a jelszót ugyanazon a csatornán, mint a linket. Ha e-mailben küldesz egy linket, a jelszót SMS-ben küldd el. Vagy fordítva. Ekkor az egyik kommunikációs csatorna feltörése nem biztosít teljes hozzáférést.

Lehet több linked is ugyanazzal a cél URL-lel, de különböző jelszavakkal. Hasznos, amikor különböző személyeknek adsz hozzáférést – letilthatsz egy linket, amikor az adott hozzáférésnek vége, anélkül, hogy másokat érintenél.

A jelszó új link létrehozása nélkül módosítható. A panelen az „Szerkesztés” → írja be az új jelszót. Minden aktív, 24 órás munkamenet azonnal lejár, minden látogatónak meg kell adnia az új jelszót.

Amikor a jelszó NEM elég

A jelszó véd a nyilvános indexeléstől és a véletlenszerű hozzáféréstől. Nem véd azt az személyt, aki ismeri a jelszót, és meg akarja osztani azt. Ha a forgatókönyved azt igényli, hogy „csak ez az egy konkrét ember láthassa”, akkor további bejelentkezésre, felhasználói fiókokra és engedélyezési mechanizmusokra van szükséged. Ez a funkciók magasabb szintje (a jövőbeli Pro tervben tervezve).

A esetek 95%-ában a „nem akarom, hogy egy véletlenszerű ember megnézze” — a jelszó elegendő.

Próbáld ki magad — a hivatkozás létrehozásakor jelöld be a „Speciális beállítások” → „Jelszó hozzáadása” lehetőséget.