Lanjut ke konten utama
cutty.dev
All posts

Keamanan tautan berpassword - apa yang terjadi saat Anda mengkliknya

Anda dapat menambahkan kata sandi ke tautan pendek Anda. Kami menunjukkan apa yang terjadi di balik layar tanpa menggunakan istilah teknis, dan mengapa hal itu penting.

Link pendek dengan kata sandi terdengar sederhana. Anda memasukkan kata sandi, dan orang lain juga harus memasukkannya untuk melihat ke mana link tersebut mengarah. Di baliknya, ada lebih banyak yang terjadi. Kami menunjukkan apa, mengapa, dan kapan hal ini berguna.

Mengapa perlu melindungi tautan dengan kata sandi

Tiga konteks yang masuk akal:

Konten yang ingin Anda tampilkan hanya kepada orang-orang tertentu. Daftar harga untuk pelanggan premium, dokumen beta sebelum pengumuman publik, materi pelatihan bagi mereka yang telah membayar kursus. Tanpa kata sandi, seseorang bisa menemukan tautan ini di mesin pencari atau menerimanya dari pihak lain.

Konten berumur pendek yang ingin Anda tutup. Penawaran spesial untuk hari Jumat, materi konferensi yang hanya tersedia bagi peserta. Kata sandi mengubah tautan menjadi akses terkontrol — Anda yakin bahwa pengunjung mendapatkan kata sandi dari Anda, bukan dari pihak lain.

Konten yang Anda publikasikan secara publik tetapi ingin tetap mengendalikannya. Daftar harga lengkap Anda, proses internal produk Anda, penawaran Anda kepada pelanggan. Tautan dapat dikirimkan — namun tanpa kata sandi, tidak ada yang bisa mengaksesnya.

Apa yang terjadi saat Anda mengatur kata sandi

Anda memasukkan kata sandi dalam formulir pembuatan tautan. Kata sandi segera dienkripsi — diubah menjadi rangkaian karakter yang tidak dapat dibaca. Fakta bahwa kata sandi tersebut adalah "tajne123" hilang saat Anda mengklik "Simpan". Bahkan saya, sebagai pengelola situs, tidak dapat membacanya.

Apa yang tersimpan di dalam basis data: bukan kata sandi, melainkan sidik jari (secara teknis "hash") — sebuah string yang hanya cocok dengan kata sandimu jika seseorang mengetikkan persis hal yang sama. Jika seseorang menembus basis data kami, mereka hanya akan mendapatkan string-string tersebut — bukan kata sandi untuk tautan-tautanmu.

Kami menggunakan standar industri yang digunakan oleh sebagian besar sistem login di web. Ini dirancang secara sengaja agar lambat — sehingga peretas yang mencuri basis data harus menunggu jutaan tahun untuk menebak kata sandi.

Apa yang terjadi ketika seseorang mengklik tautan Anda

  1. Pengunjung melihat layar kunci alih-alih dialihkan langsung. Ada pesan singkat "tautan ini dilindungi kata sandi" dan kolom untuk dimasukkan.
  2. Memasukkan kata sandi dan mengklik "Buka Kunci". Kata sandi diperiksa di server terhadap hash yang tersimpan.
  3. Jika cocok — pengunjung mendapatkan token sesi yang berlaku selama 24 jam. Selama 24 jam berikutnya, mereka dapat kembali ke tautan ini tanpa memasukkan kata sandi. Tidak perlu mengingatnya.
  4. Jika tidak cocok — pesan kesalahan ditampilkan. Setelah lima percobaan dari alamat IP yang sama — diblokir selama lima menit. Bot tidak akan bisa menembusnya.

Apa yang TIDAK kami lakukan

  • Kami tidak menyimpan kata sandi dalam bentuk teks biasa. Tidak pernah. Bahkan dalam log untuk debugging.
  • Kami tidak mengirimkan kata sandi melalui email. Meskipun pengunjung lupa, kami tidak dapat mengingatkan mereka — karena kami juga tidak mengetahuinya. Anda harus mengirimkan ulang kata sandi tersebut dari akun yang digunakan saat pertama kali menerimanya.
  • Kami tidak mengirimkan kata sandi kepada pihak ketiga. Tidak ada penyedia analitik, pemasaran, atau AI eksternal yang memiliki akses ke data tersebut.

Tips Praktis

Buat kata sandi yang tidak mudah ditebak. Nama perusahaan + tahun pendirian adalah ide yang buruk. Generator kata sandi di peramban melakukannya dengan lebih baik.

Jangan kirimkan kata sandi melalui saluran yang sama dengan tautan. Jika Anda mengirimkan tautan melalui email, kirimkan kata sandi melalui SMS. Atau sebaliknya. Dengan demikian, peretasan pada satu saluran komunikasi tidak akan memberikan akses penuh.

Anda dapat memiliki beberapa tautan dengan URL tujuan yang sama tetapi kata sandi yang berbeda. Berguna saat memberikan akses kepada berbagai orang — Anda dapat menonaktifkan satu tautan ketika akses tersebut berakhir, tanpa memengaruhi yang lain.

Kata sandi dapat diubah tanpa membuat tautan baru. Di panel, "Edit" → masukkan kata sandi baru. Semua sesi aktif 24 jam akan kedaluwarsa secara instan, setiap pengunjung harus memasukkan kata sandi baru.

Ketika kata sandi TIDAK cukup

Kata sandi melindungi dari indeks publik dan akses tidak sengaja. Tidak melindungi terhadap orang yang mengetahui kata sandi dan ingin membagikannya. Jika skenario Anda memerlukan "hanya satu orang tertentu ini yang dapat melihatnya" — Anda perlu login, akun pengguna, dan otorisasi tambahan. Ini adalah tingkat fungsionalitas yang lebih tinggi (direncanakan dalam rencana Pro masa depan).

Untuk 95% kasus "saya tidak ingin orang asing melihatnya" — kata sandi sudah cukup.

Coba sendiri — saat membuat tautan, pilih "Opsi lanjutan" → "Tambahkan kata sandi".