Ga naar de inhoud
cutty.dev
All posts

Beveiliging van wachtwoordgelinkte links - wat gebeurt er als je klikt

Je kunt een wachtwoord toevoegen aan je korte link. We laten zien wat er achter de schermen gebeurt, zonder jargon, en waarom het de moeite waard is.

De korte link met wachtwoord is eenvoudig. Je voert het wachtwoord in, iemand anders moet het ook invoeren om te zien waar de link naartoe leidt. Er gebeurt echter meer onder de oppervlakte. We laten zien wat, waarom en wanneer dit handig is.

Waarom links überhaupt met een wachtwoord beschermen

Drie contexten waarin het zinvol is:

De inhoud die u alleen aan specifieke personen wilt tonen. Prijslijst voor premiumklanten, een beta-document vóór de publieke aankondiging, trainingsmateriaal voor personen die een cursus hebben betaald. Zonder wachtwoord zou iemand deze link in een zoekmachine kunnen vinden of via een andere weg kunnen krijgen.

Inhoud met een korte levensduur die je wilt afsluiten. Speciale aanbieding voor vrijdag, conferentiemateriaal dat alleen beschikbaar moet zijn voor deelnemers. Een wachtwoord maakt van een link een gecontroleerde toegang — je weet zeker dat de bezoeker het wachtwoord van jou heeft gekregen, en niet van een derde partij.

Inhoud die je publiekelijk publiceert maar wel controle over wilt houden. Je volledige prijslijst, je interne productproces, je aanbod aan de klant. De link kan worden verzonden — maar zonder wachtwoord kan niemand er toegang toe krijgen.

Wat gebeurt er als je een wachtwoord instelt

Je voert het wachtwoord in in het formulier om een link te maken. Het wachtwoord wordt onmiddellijk versleuteld — omgezet in een reeks tekens die niet leesbaar is. Het feit dat het wachtwoord "tajne123" is, verdwijnt op het moment dat je op "Opslaan" klikt. Zelfs ik, als beheerder van de dienst, kan het niet lezen.

Wat er in de database staat: niet het wachtwoord, maar een vingerafdruk (technisch gezien een "hash") — een reeks die alleen overeenkomt met je wachtwoord als iemand exact hetzelfde invoert. Als iemand inbreuk maakt op onze database, krijgt diegene alleen deze reeksen — geen wachtwoorden voor je links.

We gebruiken hiervoor de branche-standaard die door de meeste inlogsystemen op internet wordt gebruikt. Deze is opzettelijk traag — zodat een hacker die de database heeft gestolen, miljoenen jaren zou moeten wachten om wachtwoorden te raden.

Wat gebeurt er als iemand op jouw link klikt

  1. De bezoeker ziet het vergrendelingsscherm in plaats van een directe doorverwijzing. Een korte informatie "deze link is beveiligd met een wachtwoord" en een invoerveld.
  2. Voer het wachtwoord in en klik op "Ontgrendelen". Het wachtwoord wordt op de server gecontroleerd tegen de opgeslagen hash.
  3. Als het overeenkomt — de bezoeker krijgt een sessietoken dat 24 uur geldig is. Gedurende de volgende dag kan hij/zij terugkeren naar deze link zonder het wachtwoord opnieuw in te voeren. Hij/zij hoeft het niet te onthouden.
  4. Als het niet overeenkomt — een foutmelding. Na vijf mislukte pogingen vanaf hetzelfde IP-adres — blokkade voor vijf minuten. Bots krijgen geen toegang.

Wat we NIET doen

  • We loggen wachtwoorden niet in leesbare vorm. Nooit. Zelfs niet in debuglogs.
  • We sturen wachtwoorden niet per e-mail. Zelfs niet als een bezoeker ze vergeten is; wij kunnen ze niet voor hem/her herstellen omdat wij ze zelf niet weten. U moet het wachtwoord opnieuw verzenden vanaf het account waarmee het oorspronkelijk is ontvangen.
  • We sturen wachtwoorden niet naar derden. Geen enkele externe leverancier van analytics, marketing of AI heeft toegang tot deze gegevens.

Praktische tips

Maak wachtwoorden die niet voor de hand liggen. De naam van het bedrijf + het oprichtingsjaar is een slecht idee. Een wachtwoordgenerator in de browser doet dit beter.

Stuur het wachtwoord niet via hetzelfde kanaal als de link. Als je de link per e-mail verstuurt, stuur het wachtwoord dan per sms. Of andersom. Dan geeft een inbraak in één communicatiekanaal geen volledige toegang.

Je kunt meerdere links hebben met dezelfde doel-URL maar verschillende wachtwoorden. Handig wanneer je toegang geeft aan verschillende personen — je kunt één link blokkeren wanneer die toegang moet eindigen, zonder invloed op de anderen.

Het wachtwoord kan worden gewijzigd zonder een nieuwe link te maken. In het paneel, "Bewerken" → voer het nieuwe wachtwoord in. Alle actieve sessies van 24 uur vervallen onmiddellijk, elke bezoeker moet het nieuwe wachtwoord invoeren.

Wanneer een wachtwoord NIET voldoende is

Het wachtwoord beschermt tegen publieke indexering en tegen onbedoelde toegang. Het beschermt niet tegen iemand die het wachtwoord kent en het wil delen. Als jouw scenario vereist dat "alleen deze ene specifieke persoon dit kan zien" — heb je aanvullend inloggen, gebruikersaccounts en autorisatie nodig. Dit is een hoger niveau van functionaliteit (gepland in het toekomstige Pro-plan).

Voor 95% van de gevallen is "ik wil niet dat een willekeurige persoon dit ziet" — een wachtwoord voldoende.

Probeer het zelf — bij het maken van een link, vink "Geavanceerde opties" aan → "Wachtwoord toevoegen".