Vai al contenuto
cutty.dev
All posts

Sicurezza dei link con password: cosa succede quando clicchi

Puoi aggiungere una password al tuo link breve. Ti mostriamo cosa succede sotto il cofano, senza gergo, e perché vale davvero la pena farlo.

Il link breve con password è semplice da usare. Inserisci la password, qualcun altro dovrà inserirla per vedere dove porta questo link. Sotto la superficie accade un po' di più. Ti mostriamo cosa, perché e quando può tornarti utile.

Perché proteggere un link con una password

Tre contesti in cui ha senso:

Contenuto che desideri mostrare solo a determinate persone. Listino prezzi per clienti premium, documento beta prima dell'annuncio pubblico, materiale formativo per le persone che hanno pagato il corso. Senza password, qualcuno potrebbe trovare questo link nei motori di ricerca o riceverlo da altre fonti.

Contenuti a breve durata che desideri chiudere. Offerta speciale per il venerdì, materiale di una conferenza disponibile solo per i partecipanti. La password trasforma il link in un accesso controllato: sei sicuro che chi visita abbia ricevuto la password direttamente da te, e non da terzi.

Contenuto che pubblichi pubblicamente ma che vuoi controllare. La tua lista completa dei prezzi, il tuo processo interno di prodotto, la tua offerta al cliente. Il link può essere inviato — ma senza la password, nessuno potrà accedervi.

Cosa succede quando imposti una password

Inserisci la password nel modulo di creazione del link. La password viene crittografata immediatamente — trasformata in una sequenza di caratteri illeggibile. Il semplice fatto che la password sia "segreto123" scompare nel momento in cui clicchi su "Salva". Nemmeno io, come gestore del sito, posso leggerla.

Ciò che è salvato nel database: non la password, ma l’impronta digitale (tecnicamente l’"hash") — una stringa che corrisponde alla tua password solo se qualcuno inserisce esattamente la stessa. Se qualcuno si introduce nel nostro database, otterrà solo queste stringhe — non le password dei tuoi link.

Utilizziamo lo standard di settore utilizzato dalla maggior parte dei sistemi di accesso in rete. È progettato appositamente per essere lento — in modo che un hacker che rubasse il database dovesse attendere milioni di anni per indovinare le password.

Cosa succede quando qualcuno clicca sul tuo link

  1. Il visitatore vede lo schermo di sblocco invece di un reindirizzamento diretto. Un breve messaggio "questo link è protetto da password" e un campo da compilare.
  2. Inserisce la password e clicca "Sblocca". La password viene verificata sul server rispetto all'hash memorizzato.
  3. Se corrisponde — il visitatore riceve un token di sessione valido per 24 ore. Per le successive 24 ore può tornare a questo link senza inserire la password. Non deve ricordarsela.
  4. Se non corrisponde — messaggio di errore. Dopo cinque tentativi falliti dallo stesso indirizzo IP — blocco per cinque minuti. I bot non riusciranno ad accedere con la forza.

Cosa NON facciamo

  • Non memorizziamo le password in chiaro. Mai. Nemmeno nei log di debug.
  • Non inviamo le password via email. Anche se l'utente dimentica la password, non possiamo ricordargliela — perché non la conosciamo nemmeno noi. Devi inviare nuovamente la password dall'account da cui l'hai ricevuta.
  • Non inviamo le password a terze parti. Nessun fornitore esterno di analisi, marketing o AI ha accesso a questi dati.

Suggerimenti pratici

Crea password che non siano ovvie. Il nome dell'azienda + l'anno di fondazione è un'idea debole. Il generatore di password del browser lo fa meglio.

Non inviare la password sullo stesso canale del link. Se invii il link via email, invia la password tramite SMS. O viceversa. In questo modo, un'intrusione in un canale di comunicazione non garantirà un accesso completo.

Puoi avere diversi link con lo stesso URL di destinazione ma password diverse. Utile quando concedi l'accesso a persone diverse: puoi bloccare un link quando l'accesso deve terminare, senza influire sugli altri.

La password può essere modificata senza creare un nuovo link. Nel pannello, "Modifica" → inserisci la nuova password. Tutte le sessioni attive di 24 ore scadranno immediatamente, ogni visitatore dovrà inserire la nuova password.

Quando la password NON basta

La password protegge dall'indicizzazione pubblica e dall'accesso accidentale. Non protegge da una persona che conosce la password e vuole condividerla. Se il tuo caso d'uso richiede "solo questa persona specifica può vederlo" — hai bisogno di accesso con login, account utente e autorizzazione. Si tratta di una funzionalità di livello superiore (prevista nel prossimo piano Pro).

Per il 95% dei casi, "non voglio che una persona casuale lo veda" — la password è sufficiente.

Provalo tu — durante la creazione del link, seleziona "Opzioni avanzate" → "Aggiungi password".