Ir para o conteúdo
cutty.dev
All posts

Segurança de links com senha: o que acontece quando você clica

Você pode adicionar uma senha ao seu link curto. Mostramos o que acontece nos bastidores, sem usar jargões, e por que vale a pena.

O link curto com senha é simples. Você insere a senha, e outra pessoa precisa inseri-la para ver para onde esse link direciona. Por trás disso, há um pouco mais acontecendo. Mostramos o que, por quê e quando isso pode ser útil.

Por que proteger links com senha?

Três contextos nos quais faz sentido:

Conteúdo que você deseja mostrar apenas a pessoas específicas. Tabela de preços para clientes premium, documento beta antes do anúncio público, material de treinamento para pessoas que pagaram pelo curso. Sem senha, alguém poderia encontrar esse link no mecanismo de busca ou recebê-lo de terceiros.

Conteúdo de curta duração que você deseja encerrar. Oferta especial para sexta-feira, material de conferência que deve estar disponível apenas para participantes. A senha transforma o link em uma entrada controlada — você tem certeza de que o visitante recebeu a senha diretamente de você, e não de terceiros.

Conteúdo que você publica publicamente, mas deseja controlar. Sua lista completa de preços, seu processo interno de produto, sua oferta ao cliente. O link pode ser enviado — mas sem a senha, ninguém terá acesso.

O que acontece quando você define uma senha

Você insere a senha no formulário de criação do link. A senha é criptografada imediatamente — convertida em uma sequência de caracteres ilegível. O próprio fato de a senha ser "segredo123" desaparece no momento em que você clica em "Salvar". Nem eu, como administrador do site, consigo lê-la.

O que está salvo no banco de dados: não a senha, mas sim a impressão digital (tecnicamente "hash") — uma sequência que corresponde à sua senha apenas se alguém inserir exatamente o mesmo valor. Se alguém invadir nosso banco de dados, receberá apenas essas sequências — não as senhas dos seus links.

Utilizamos o padrão da indústria usado pela maioria dos sistemas de login na web. Ele é projetado intencionalmente para ser lento — para que um hacker que roube a base de dados tenha que esperar milhões de anos para adivinhar as senhas.

O que acontece quando alguém clica no seu link

  1. O visitante vê a tela de bloqueio em vez de um redirecionamento direto. Uma breve mensagem "este link é protegido por senha" e o campo para inserir.
  2. Insere a senha e clica em "Desbloquear". A senha é verificada no servidor contra a hash armazenada.
  3. Se coincidir — o visitante recebe um token de sessão válido por 24 horas. Durante as próximas 24 horas, pode voltar ao link sem inserir a senha. Não precisa lembrar.
  4. Se não coincidir — mensagem de erro. Após cinco tentativas do mesmo endereço IP — bloqueio por cinco minutos. Bots não conseguirão acessar à força.

O que NÃO fazemos

  • Não registramos senhas em texto claro. Nunca. Nem nos logs de depuração.
  • Não enviamos senhas por e-mail. Mesmo que o visitante esqueça, não podemos lembrá-lo — porque nós também não sabemos. Você deve enviar a senha novamente para ele a partir da conta da qual ele a recebeu.
  • Não enviamos senhas a terceiros. Nenhum fornecedor externo de análise, marketing ou IA tem acesso a esses dados.

Dicas práticas

Crie senhas que não sejam óbvias. Nome da empresa + ano de fundação é uma ideia ruim. O gerador de senhas do navegador faz isso melhor.

Não envie a senha pelo mesmo canal que o link. Se você enviar o link por e-mail, envie a senha por SMS. Ou vice-versa. Assim, uma invasão em um dos canais de comunicação não dará acesso completo.

Pode ter vários links com o mesmo URL de destino, mas com senhas diferentes. Útil quando você dá acesso a diferentes pessoas — pode bloquear um link quando esse acesso deve terminar, sem afetar os outros.

A senha pode ser alterada sem criar um novo link. No painel, "Editar" → digite a nova senha. Todas as sessões ativas de 24 horas expirarão imediatamente; cada visitante deverá inserir a nova senha.

Quando a senha NÃO é suficiente

A senha protege contra indexação pública e acesso acidental. Não protege contra alguém que conhece a senha e deseja compartilhá-la. Se o seu cenário exige "apenas essa pessoa específica pode ver isso", você precisará adicionalmente de login, contas de usuário e autorização. Isso é uma camada superior de funcionalidade (prevista no futuro plano Pro).

Para 95% dos casos, “não quero que uma pessoa aleatória veja isso” — a senha é suficiente.

Tente você mesmo — ao criar um link, selecione "Opções avançadas" → "Adicionar senha".