Varnost povezav s geslom — kaj se zgodi, ko kliknete

Kratka povezava s geslom zveni preprosto. Vnesete geslo, nekdo drug mora vneti isto, da vidi, kam ta povezava vodi. Spodaj se dogaja še malo več. Pokazujemo kaj, zakaj in kdaj je to uporabno.

Zakaj sploh zaščititi povezavo s geslom

Tri kontekstov, v katerih ima smisel:

Vsebina, ki jo želite prikazati le določenim osebam. Cenevik za premium stranke, beta dokument pred javnim objavo, izobraževalni material za osebe, ki so plačale tečaj. Brez gesla bi lahko nekdo našel to povezavo v iskalniku ali jo prejel od druge osebe.

Vsebina o kratki življenjškem trajanju, ki jo želite zaprli. Posebna ponudba za petek, gradivo s konference, ki bo na voljo le udeležencem. Geslo ustvari nadzorovan vstop preko povezave — imate zagotovilo, da je obiskovalec geslo prejel od vas, ne iz druge roke.

Vsebina, ki jo objavljate javno, vendar želite imeti nadzor. Vaš celoten seznam cen, vaš notranji produktni proces, vaša ponudba za stranko. Povezavo lahko pošljete — vendar brez gesla nihče ne bo lahko vstopil.

Kaj se zgodi, ko nastavite geslo

V formularju za ustvarjanje povezave vnesete geslo. Geslo je takoj šifrirano — spremenjeno v niz znakov, ki ga ni mogoče prebrati. Sama dejstva, da je geslo "tajne123", izgine v trenutku, ko kliknete "Shrani". Tudi jaz, kot upravljavec storitve, ga ne morem prebrati.

Kaj je zapisano v bazi: ne geslo, temveč prstni odtis (tehnično "hash") — niz, ki ustreza tvojemu geslu le, če nekdo vnese natanko isto. Če se nekdo vdre v našo bazo, bo dobil le te nizove — ne gesel za tvoje povezave.

Za to uporabljamo industrijski standard, ki ga uporablja večina sistemov za prijavo na omrežju. Je zamasten pri računanju namerno — da bi moral heker, ki bi ukradel bazo, čakati milijone let na ugibanje gesel.

Kaj se zgodi, ko nekdo klikne na vašo povezavo

1. Obiskovalec vidi drezni zaslon namesto neposrednega usmerjanja. Kratna informacija "ta povezava je zaščitena s geslom" in polje za vnos.
2. Vpiše geslo in klikne »Odblokaj«. Geslo se na strežniku preveri glede na shranjen hash.
3. Če se ujema — obiskovalec prejme sesijski token, ki velja 24 ur. V naslednji dobi se lahko vrne na to povezavo brez vnašanja gesla. Ni perluжно zapomnati.
4. Če se ne ujema — sporočilo o napaki. Po petih poskusih iz iste IP naslove — blokada za pet minut. Botov ne bo lahko pretekli z silo.

Česa NE počivamo

• Ne beležimo gesel v nedoločenem obliku. Nikoli. Tudi ne v logih zaಿಗಳು debugging.
• Ne pošiljamo gesel po e-pošti. Tudi če obiskovalec pozabi, mu ne moremo opomniti — ker niti mi ne vemo. Ponovno mu morate poslati geslo s tistega računa, iz katerega ga je prejel.
• Ne pošiljamo gesel tretjim osebam. Noben zunanji ponudnik analitike, marketinga ali AI — nima dostopa do teh podatkov.

Praktični nasveti

Ustvarjajte gesla, ki niso očitna. Ime podjetja + leto nastanka je slaba ideja. Generator gesel v brskalniku to naredi bolje.

Ne pošiljajte gesla po istem kanalu kot povezavo. Če povezavo pošljate prek e-pošte, pošljite geslo prek SMS-a. Ali obratno. V tem primeru vdor v en kanal komunikacije ne bo omogočil popolnega dostopa.

Lahko imate več povezav z isto ciljno URL, vendar z različnimi gesli. Uporabno, ko dajete dostop različnim osebam — lahko blokirate eno povezavo, ko se ta dostop zaključi, ne da bi pri tem vplinjali na druge.

Geslo lahko spremenite brez ustvarjanja nove povezave. V oknu "Editi" → vnesite novo geslo. Vse aktivne 24-urnostne seje bodo takoj potele, vsak obiskovalec mora vneti novo geslo.

Ko geslo NI dovolj

Geslo ščiti pred javnim indeksom in pred naključnim dostopom. Ne ščiti pred osebo, ki pozna geslo in ga želi deliti. Če vaš scenarij zahteva "le ta ena konkretna oseba to lahko vidi" — potrebujete dodatno prijavo, uporabniške račune, avtorizacijo. To je višja stopnja funkcionalnosti (načrtovana v prihodnjem načrtu Pro).

Za 95 % primerov "ne želim, da bi to videl naključen človek" — ta zaklete besede so dovolj.

Poskusi sam — pri ustvarjanju povezave označite "Napredne možnosti" → "Dodaj geslo".