Gå til hovedinnhold
cutty.dev
All posts

Sikkerheten til passordbeskyttede lenker — hva skjer når du klikker

Du kan legge til et passord på din korte lenke. Vi viser hva som skjer under panseret — uten å bruke fagsjargong — og hvorfor det i det hele tatt er verdt det.

En kort lenke med passord er enkel. Du skriver inn et passord, og noen andre må skrive det inn for å se hvor lenken fører. Under skjer det litt mer. Vi viser hva, hvorfor, og når dette er nyttig.

Hvorfor i det hele tatt beskytte en lenke med passord

Tre kontekster der det gir mening:

Innhold som du bare vil vise til bestemte personer. Prisliste for premium-kunder, betadokument før offentlig kunngjøring, opplæringsmateriale for personer som har betalt for kurset. Uten passord kunne noen ha funnet denne lenken i en søkemotor eller fått den fra andre.

Innhold med kort levetid som du ønsker å begrense. Et spesialtilbud for fredag, materiale fra konferansen som kun skal være tilgjengelig for deltakerne. Passordet gjør lenken til en kontrollert inngang — du er sikker på at den besøkende har fått passordet fra deg, ikke fra andre hånd.

Innhold som du publiserer offentlig, men som du ønsker å ha kontroll over. Din fullstendige prisliste, din interne produktprosess, ditt tilbud til kunden. Lenken kan sendes — men uten passord kommer ingen inn.

Hva skjer når du setter et passord

Du skriver inn passordet i skjemaet for oppretting av lenke. Passordet blir umiddelbart kryptert — konvertert til en tegnstreng som ikke kan leses. Selve det faktum at passordet er "tajne123" forsvinner i det øyeblikket du klikker på "Lagre". Selv jeg, som administrator av tjenesten, har ingen mulighet til å lese det.

Hva som er lagret i databasen: ikke passordet, men et fingeravtrykk (teknisk sett en "hash") — en streng som kun passer til passordet ditt hvis noen skriver nøyaktig det samme. Hvis noen bryter seg inn i databasen vår, vil de bare få disse strengene — ikke passordene til lenkene dine.

Vi bruker bransjestandarden som brukes av de fleste påloggingssystemer på nettet. Den er bevisst treg å beregne — slik at en hacker som stjeler databasen må vente millioner av år på å gjette passordene.

Hva skjer når noen klikker på lenken din

  1. Besøkende ser låseskjermen i stedet for direkte videresending. En kort melding "dette lenket er passordbeskyttet" og et felt for inntasting.
  2. Skriver inn passord og klikker på "Lås opp". Passordet blir sjekket på serveren mot en lagret hash.
  3. Hvis det stemmer — besøkende får et sesjonstoken som er gyldig i 24 timer. I løpet av det neste døgnet kan de gå tilbake til denne lenken uten å skrive inn passordet. De trenger ikke huske det.
  4. Hvis det ikke stemmer — feilmelding. Etter fem forsøk fra samme IP-adresse — blokkering i fem minutter. Boter vil ikke kunne bryte seg inn med makt.

Hva vi IKKE gjør

  • Vi logger ikke passord i klartekst. Aldri. Ikke engang i debug-logger.
  • Vi sender ikke passord via e-post. Selv om en besøkende glemmer det, kan vi ikke påminne dem — fordi vi heller ikke vet det. Du må sende passordet på nytt fra den samme kontoen som de mottok det fra.
  • Vi sender ikke passord til tredjeparter. Ingen ekstern leverandør av analyse, markedsføring eller AI har tilgang til disse dataene.

Praktiske tips

Lag passord som ikke er åpenbare. Firmanavn + etableringsår er en dårlig idé. En passordgenerator i nettleseren gjør dette bedre.

Ikke send passordet gjennom samme kanal som lenken. Hvis du sender lenken via e-post, send passordet via SMS. Eller omvendt. Da vil et innbrudd i én kommunikasjonskanal ikke gi full tilgang.

Du kan ha flere lenker med samme mål-URL, men med ulike passord. Nyttig når du gir tilgang til forskjellige personer — du kan blokkere én lenke når denne tilgangen skal utløpe, uten å påvirke andre.

Passordet kan endres uten å opprette en ny lenke. I panelet, "Rediger" → skriv inn nytt passord. Alle aktive 24-timers sesjoner vil utløpe umiddelbart, alle besøkende må skrive inn det nye passordet.

Når passord IKKE er nok

Passord beskytter mot offentlig indeksering og mot utilsiktet tilgang. Beskytter ikke mot en person som kjenner passordet og ønsker å dele det. Hvis ditt scenario krever "kun denne ene spesifikke personen kan se dette" — trenger du i tillegg pålogging, brukerkontoer og autorisering. Dette er et høyere funksjonsnivå (planlagt i den fremtidige Pro-planen).

For 95 % av tilfellene "jeg vil ikke at en tilfeldig person skal se dette" — frasen er nok.

Prøv selv — når du lager en lenke, marker "Avanserte alternativer" → "Legg til passord".