Mergi la conținut
cutty.dev
All posts

Siguranța linkurilor cu parolă — ce se întâmplă când dai clic

Poți adăuga o parolă linkului tău scurt. Îți arătăm ce se întâmplă în spate, fără a folosi jargon, și de ce merită cu adevărat.

Linkul scurt cu parolă este simplu. Introduci parola, iar o altă persoană trebuie să o introducă pentru a vedea unde duce acel link. În spate, se întâmplă puțin mai mult. Îți arătăm ce, de ce și când este util.

De ce să protejăm link-ul cu o parolă

Trei contexte în care are sens:

Conținutul pe care dorești să îl afișezi doar anumitor persoane. Tarifar pentru clienții premium, document beta înainte de anunțul public, material de formare pentru persoanele care au plătit cursul. Fără parolă, cineva ar putea găsi acest link în motorul de căutare sau l-ar putea primi de la altcineva.

Conținut cu durată de viață scurtă pe care dorești să îl închizi. Ofertă specială pentru vineri, material din conferință care trebuie să fie disponibil doar pentru participanți. Parola transformă linkul într-o intrare controlată — ai certitudinea că vizitatorul a primit parola de la tine, nu de la altcineva.

Conținutul pe care îl publici public, dar vrei să ai control. Lista ta completă de prețuri, procesul tău intern de produs, oferta ta pentru client. Link-ul poate fi trimis — dar fără parolă, nimeni nu va accesa.

Ce se întâmplă când setezi o parolă

Introduci parola în formularul de creare a link-ului. Parola este criptată instantaneu — transformată într-un șir de caractere care nu poate fi citit. Faptul că parola este „tajente123” dispare în momentul în care apeși „Salvează”. Chiar și eu, ca persoană care administrează site-ul, nu am cum să o citesc.

Ce este stocat în baza de date: nu parola, ci amprenta digitală (tehnic „hash”) — un șir care se potrivește cu parola ta doar dacă cineva introduce exact același lucru. Dacă cineva pătrunde în baza noastră de date, va primi doar aceste șiruri — nu parolele pentru link-urile tale.

Utilizăm standardul de industrie utilizat de majoritatea sistemelor de autentificare de pe internet. Este gratuit pentru a fi intentionat — astfel încât un hacker care ar fura baza de date ar trebui să aștepte milioane de ani pentru a ghici parolele.

Ce se întâmplă când cineva dă click pe linkul tău

  1. Oaspetele vede ecranul de deblocare în loc de redirecționarea directă. Un mesaj scurt „acest link este protejat cu parolă” și un câmp de introducere.
  2. Introduce parola și face clic pe „Deblochează”. Parola este verificată pe server împotriva hash-ului stocat.
  3. Dacă se potrivește — oaspetele primește un token de sesiune valabil 24 de ore. În următoarele 24 de ore, poate reveni la acest link fără a introduce parola. Nu trebuie să o rețină.
  4. Dacă nu se potrivește — mesaj de eroare. După cinci încercări eșuate de la aceeași adresă IP — blocare pentru cinci minute. Boturile nu vor reuși să pătrundă forțat.

Ce NU facem

  • Nu stocăm parolele în clar. Niciodată. Chiar și în jurnalele de depanare.
  • Nu trimitem parolele prin e-mail. Chiar dacă vizitatorul uită parola, noi nu îi putem reaminti — pentru că nici noi nu știm care este. Trebuie să i se trimită parola din nou din contul din care a primit-o inițial.
  • Nu trimitem parolele terților. Niciun furnizor extern de analitică, marketing sau AI nu are acces la aceste date.

Sfaturi practice

Creează parole care nu sunt evidente. Numele companiei + anul fondării este o idee slabă. Generatorul de parole din browser face acest lucru mai bine.

Nu trimite parola pe același canal ca link-ul. Dacă trimiți link-ul prin e-mail, trimite parola prin SMS. Sau invers. Astfel, o încălcare a unui canal de comunicare nu va oferi acces complet.

Poți avea mai multe linkuri cu același URL de destinație, dar cu parole diferite. Este util când oferi acces diferitelor persoane — poți bloca un link când accesul trebuie să se încheie, fără a afecta pe ceilalți.

Parola poate fi schimbată fără a crea un link nou. În panou, „Editează” → introduceți noua parolă. Toate sesiunile active de 24 de ore vor expira imediat, iar fiecare vizitator va trebui să introducă noua parolă.

Când parola NU este suficientă

Parola protejează împotriva indexării publice și a accesului accidental. Nu protejează împotriva persoanei care cunoaște parola și dorește să o partajeze. Dacă scenariul tău necesită „doar această persoană specifică poate vedea” — ai nevoie, în plus, de autentificare, conturi de utilizator și autorizare. Aceasta este o funcționalitate de nivel superior (prevăzută în planul Pro viitor).

Pentru 95% din cazuri, „nu vreau ca o persoană oarecare să vadă asta” — parola este suficientă.

Încearcă singur — la crearea unui link, selectează „Opțiuni avansate” → „Adaugă parolă”.