Bezbednost linkova sa lozinkom — šta se dešava kada kliknete

Kratak link sa lozinkom zvuči jednostavno. Unosite lozinku, neko drugi je mora uneti da bi video gde ovaj link vodi. Ispod se dešava malo više. Pokazujemo šta, zašto i kada je to korisno.

Zašto uopšte štiti link lozinkom

Tri konteksta u kojima ima smisla:

Sadržaj koji želite prikazati samo određenim osobama. Cenovnik za premium klijente, beta dokument pre javnog objavljivanja, materijal za obuku za osobe koje su platile kurs. Bez lozinke, neko bi mogao pronaći ovaj link u pretraživaču ili ga dobiti preko druge ruke.

Sadržaj o kratkom trajanju koji želiš da ograničiš. Specijalna ponuda za petak, materijal sa konferencije koji treba da bude dostupan samo učesnicima. Lozinka pravi od linka kontrolisan ulaz — imaš sigurnost da je posetilac dobio lozinku od tebe, a ne iz druge ruke.

Sadržaj koji objavljuješ javno, ali želiš da imaš kontrolu. Tvoja potpuna lista cena, tvoj interni proces proizvoda, tvoja ponuda klijentu. Link se može poslati — ali bez lozinke niko neće ući.

Šta se dešava kada postavljate lozinku

Unosite lozinku u formu za kreiranje linka. Lozinka se trenutno šifruje — pretvara se u niz karaktera koji se ne može pročitati. Sam činjenica da je lozinka "tajne123" nestaje u trenutku kada kliknete na "Zapisz". Čak ni ja, kao osoba koja vodi servis, nemam način da je pročitam.

Šta je zapisano u bazi: ne lozinka, već otisak prsta (tehnički "hash") — niz koji odgovara vašoj lozinki samo ako neko unese potpuno istu. Ako se neko upadne u našu bazu, dobiće samo te nizove — ne lozinke za vaše linkove.

Koristimo za to industrijski standard koji koristi većina sistema za prijavu na mreži. Spor je za izračunavanje namerno — kako bi haker koji ukrade bazu morao da čeka milione godina da pogodi lozinke.

Šta se dešava kada neko klikne na tvoj link

1. Posetilac vidi ekran za otključavanje umesto direktnog preusmeravanja. Kratka informacija "ovaj link je zaštićen lozinkom" i polje za unos.
2. Unosi lozinku i klikne na "Otključaj". Lozinka se proverava na serveru u odnosu na sačuvani heš.
3. Ako se poklapa — posetilac dobija token sesije koji važi 24 sata. Tokom naredna 24 sata može se vratiti na ovaj link bez unosa lozinke. Ne mora da pamti.
4. Ako se ne poklapa — poruka o grešci. Nakon pet pokušaja sa iste IP adrese — blokada na pet minuta. Botovi neće ući silom.

Šta NE radimo

• Ne logujemo lozinke u čistom tekstu. Nikada. Čak ni u logovima za debagovanje.
• Ne šaljemo lozinke putem e-pošte. Čak i ako posetilac zaboravi, mi mu ne možemo podsetiti — jer ni mi ne znamo. Morate mu ponovo poslati lozinku sa onog naloga sa kojeg ju je dobio.
• Ne šaljemo lozinke trećim stranama. Nijedan eksterni provajder analitike, marketinga, AI — nema pristup ovim podacima.

Praktični saveti

Kreirajte lozinke koje nisu očigledne. Ime kompanije + godina osnivanja je loša ideja. Generator lozinki u pretraživaču to radi bolje.

Ne šalji lozinku istim kanalom kao i link. Ako šalješ link putem e-maila, lozinku pošalji SMS-om. Ili obrnuto. Na taj način provala na jedan kanal komunikacije neće dati pun pristup.

Možete imati nekoliko linkova sa istim ciljnim URL-om ali različitim lozinkama. Korisno kada dajete pristup različitim osobama — možete blokirati jedan link kada taj pristup treba da se završi, bez uticaja na druge.

Lozinku možete promeniti bez kreiranja novog linka. U panelu, "Edytuj" → unesite novu lozinku. Sve aktivne sesije od 24 sata će odmah isteći, svaki posetilac mora uneti novu lozinku.

Kada lozinka NIJE dovoljna

Lozinka štiti od javnog indeksiranja i od slučajnog pristupa. Ne štiti od osobe koja zna lozinku i želi da je podeli. Ako vaš scenario zahteva "samo ova jedna konkretna osoba može ovo da vidi" — potrebni su vam dodatno prijavljivanje, korisnički nalozi, autorizacija. To je viši nivo funkcionalnosti (planiran u budućem Pro planu).

Za 95% slučajeva "ne želim da ovo vidi slučajna osoba" — dovoljno je samo to.

Pokušaj sam — prilikom kreiranja linka označite "Napredne opcije" → "Dodaj lozinku".