Gå till innehåll
cutty.dev
All posts

Säkerhet för länkar med lösenord – vad händer när du klickar

Du kan lägga till ett lösenord till din korta länk. Vi visar vad som händer under ytan – utan att använda fackspråk – och varför det är värt det.

En kort länk med lösenord ser enkel ut. Du skriver in lösenordet, och någon annan måste ange det för att se vart länken leder. Men bakom kulisserna händer det lite mer. Vi visar vad, varför och när detta är till nytta.

Varför ska man överhuvudtaget skydda länkar med lösenord

Tre kontexter där det har mening:

Innehållet som du vill visa endast för specifika personer. Prissättning för premiumkunder, beta-dokument innan offentliggörande, utbildningsmaterial för de som har betalat för kursen. Utan lösenord kan någon hitta denna länk via en sökmotor eller få den på andra vägen.

Innehåll med kort livslängd som du vill stänga. Erbjudande för fredag, material från konferensen som ska vara tillgängligt endast för deltagare. Lösenordet gör länken till en kontrollerad åtkomst – du är säker på att besökaren fick lösenordet av dig, inte i andra hand.

Innehåll som du publicerar offentligt men vill ha kontroll över. Din fullständiga prislista, din interna produktprocess, ditt erbjudande till kunden. Länken kan skickas – men utan lösenord kommer ingen in.

Vad händer när du ställer in ett lösenord

Du skriver in lösenordet i formuläret för att skapa en länk. Lösenordet krypteras omedelbart – det omvandlas till en teckensträng som inte går att läsa av. Det faktum att lösenordet är "tajne123" försvinner i ögonblicket du klickar på "Spara". Även jag, som ägare av webbplatsen, kan inte läsa det.

Vad som sparas i databasen: inte lösenordet, utan fingeravtrycket (tekniskt sett ett "hash") – en sträng som matchar ditt lösenord endast om någon skriver in exakt samma sak. Om någon bryr sig in i vår databas får de bara dessa strängar – inte lösenorden till dina länkar.

Vi använder branschstandarden som används av de flesta inloggningssystem på nätet. Den är medvetet kostsam att beräkna — så att en hacker som stöldbaser måste vänta miljontals år för att gissa lösenord.

Vad händer när någon klickar på din länk

  1. Besökaren ser skärmen för upplåsning istället för omdirigering. Kort information "länken är lösenordsskyddad" och ett fält att skriva in.
  2. Använder lösenordet och klickar på "Lås upp". Lösenordet kontrolleras mot servern mot det sparade hash-värdet.
  3. Om det stämmer — besökaren får en sessionstoken som är giltig i 24 timmar. Under de kommande dygnet kan hen återvända till länken utan att ange lösenordet. Ingen behöver komma ihåg det.
  4. Om det inte stämmer — felmeddelande. Efter fem försök från samma IP-adress — blockering i fem minuter. Botar kommer inte in med våld.

Vad vi INTE gör

  • Vi lagrar inte lösenord i klartext. Aldrig. Inte ens i felsökningsloggar.
  • Vi skickar inte lösenord via e-post. Även om en besökare glömmer sitt lösenbud, kan vi inte påminna dem — eftersom vi heller inte vet det. Du måste skicka ett nytt lösenord till dem från det konto de fick det ifrån.
  • Vi skickar inte lösenord till tredje part. Ingen extern leverantör av analys, marknadsföring eller AI har tillgång till dessa data.

Praktiska tips

Skapa lösenord som inte är uppenbara. Företagets namn plus grundningsåret är ett dåligt val. En lösenordsgenerator i webbläsaren gör det bättre.

Skicka inte lösenordet via samma kanal som länken. Om du skickar länken med e-post, skicka lösenordet med SMS. Eller tvärtom. Då ger ett intrång i en kommunikationskanal inte fullständig åtkomst.

Du kan ha flera länkar med samma mål-URL men olika lösenord. Användbart när du ger tillgång till olika personer – du kan blockera en länk när den tillgången ska upphöra, utan att påverka andra.

Lösenordet kan ändras utan att skapa en ny länk. I panelen, "Redigera" → ange nytt lösenord. Alla aktiva 24-timmars-sessioner upphör omedelbart, varje besökare måste ange det nya lösenordet.

När lösenord INTE räcker

Lösenordet skyddar mot offentlig indexering och mot oavsiktlig åtkomst. Det skyddar inte mot någon som känner till lösenordet och vill dela med sig av det. Om ditt scenario kräver att "endast denna ena specifika personen kan se detta" behöver du dessutom inloggning, användarkonton och auktorisering. Detta är en högre nivå av funktionalitet (planerad i framtida Pro-plan).

För 95 % av fallen räcker ett lösenord för "jag vill inte att en slumpmässig person ska se detta".

Försök själv — när du skapar en länk, markera "Avancerade alternativ" → "Lägg till lösenord".