Bezpečnosť odkazov s heslom — čo sa deje, keď kliknete

Krátky odkaz s heslom znie jednoducho. Zadáte heslo, niekto ďalší ho musí zadať, aby videl, kam tento odkaz vedie. Pod ním sa deje o niečo viac. Ukazujeme čo, prečo a kedy sa to hodí.

Prečo vôbec chrániť odkaz heslom

Tri kontexty, v ktorých to dáva zmysel:

Obsah, ktorý chcete ukázať len určeným osobám. Cenník pre prémiových klientov, beta dokument pred verejným oznámením, školenie pre osoby, ktoré zaplatili za kurz. Bez hesla by niekto mohol nájsť tento odkaz vo vyhľadávači alebo ho dostať z druhej ruky.

Obsah o krátkej životnosti, ktorý chceš uzavrieť. Špeciálna ponuka na piatok, materiál z konferencie, ktorý má byť dostupný len pre účastníkov. Heslo robí z linku kontrolovaný vstup — máš istotu, že návštevník dostal heslo od teba, nie z druhej ruky.

Obsah, ktorý publikujete verejne, ale chcete mať nad ním kontrolu. Váš kompletný cenník, váš interný produktový proces, vaša ponuka pre klienta. Odkaz sa dá odoslať — ale bez hesla nikto nevstúpi.

Čo sa deje, keď nastavujete heslo

Zadávate heslo vo formulári na vytváranie odkazu. Heslo je okamžite šifrované — premenované na reťazec znakov, ktorý nie je možné prečítať. Samotný fakt, že heslo je "tajne123", mizne v momente kliknutia na „Uložiť“. Ani ja, ako prevádzkovateľ služby, ho nemám ako prečítať.

Čo je zapísané v databáze: nie heslo, ale otisk prsta (technicky „hash“) — reťazec, ktorý zodpovedá vášmu heslu len vtedy, ak zadá presne to isté. Ak sa niekomu nabúrat do našej databázy, získa len tieto reťazce — nie heslá k vašim odkazom.

Používame na to odvetný štandard, ktorý používá väčšina prihlasovacích systémov v sieti. Je pomalý na počítanie zámerne — aby hacker, ktorý by ukradol databázu, musel čakať milióny rokov na uhádnutie hesiel.

Čo sa deje, keď niekto klikne na váš odkaz

1. Návštevník vidí obrazovku odblokovania namiesto priameho presmerovania. Krátka informácia „tento odkaz je chránený heslom“ a pole na zadanie.
2. Zadáva heslo a kliká na „Odboliť“. Heslo sa overuje na serveri oproti uloženému hashov.
3. Ak sa zhoduje — návštevník dostane sesijný token platný 24 hodín. Počas nasledujúcej doby sa môže vracať na tento odkaz bez zadávania hesla. Nemusí si ho pamätať.
4. Ak sa nezhoduje — chybové hlásenie. Po piatich pokusoch z tej istej IP adresy — blokáda na päť minút. Boty sa nedostanú silou.

Čo NEROBÍME

• Neukladávame heslá v čitelnej podobe. Nikdy. Ani v logoch na ladenie.
• Neodosielame heslá e-mailom. Aj keď návštevník zabudne, my mu ich nemôžeme pripomenúť — pretože ani my ich nepoznáme. Musíte mu heslo poslať znova z toho účtu, z ktorého ho dostal.
• Neodosielame heslá tretím stranám. Žiadny externý poskytovateľ analytiky, marketingu, AI — nemá prístup k týmto údajom.

Praktické tipy

Vytvárajte heslá, ktoré nie sú očividné. Meno firmy + rok vzniku je slabý nápad. Generátor hesiel v prehliadači to robí lepšie.

Neodosielaj heslo tým istým kanálom ako odkaz. Ak odсилаš odkaz e-mailom, heslo pošli SMS-om. Ale opačne. Vtedy vlam do jedného komunikačného kanála nedá plný prístup.

Môžete mať niekoľko odkazov s rovnakou cieľovou URL, ale s rôznymi heslami. Užitočné, keď poskytujete prístup rôznym osobám — môžete zablokovať jeden odkaz, keď má tento prístup vypršať, bez vplyvu na ostatných.

Heslo môžete zmeniť bez vytvárania nového odkazu. V paneli „Edytuj“ → zadajte nové heslo. Všetky aktívne 24hodinové relácie okamžite vypršia, každý návštevník musí zadať nové heslo.

Keď heslo NESTAČÍ

Heslo chráni pred verejným indexovaním a pred náhodným prístupom. Nechráni pred osobou, ktorá pozná heslo a chce sa ním zdieľať. Ak váš scenár vyžaduje „len tento jeden konkrétny človek to môže vidieť“ — potrebujete navyše prihlásenie, kontá používateľov, autorizáciu. To je vyššia úroveň funkčnosti (plánovaná v budúcom pláne Pro).

Pre 95 % prípadov „nechcem, aby to videl náhodný človek“ — toto heslo stačí.

Skús to sám — pri vytváraní odkazu označte „Pokročilé možnosti“ → „Pridať heslo“.