Bảo mật liên kết có mật khẩu - Điều gì xảy ra khi bạn nhấp vào

Đường dẫn ngắn với mật khẩu hoạt động rất đơn giản. Bạn nhập mật khẩu, người khác cũng phải nhập mật khẩu đó để xem đường link này trỏ đến đâu. Bên dưới là một số thông tin chi tiết hơn về cách thức hoạt động, lý do và thời điểm hữu ích của nó.

Tại sao phải bảo vệ liên kết bằng mật khẩu

Ba ngữ cảnh có ý nghĩa:

Nội dung bạn muốn hiển thị chỉ cho những người cụ thể. Bảng giá dành cho khách hàng cao cấp, tài liệu beta trước khi công bố công khai, tài liệu đào tạo dành cho những người đã trả phí khóa học. Nếu không có mật khẩu, ai đó có thể tìm thấy liên kết này trên công cụ tìm kiếm hoặc nhận được từ nguồn khác.

Nội dung có thời gian tồn tại ngắn mà bạn muốn khóa lại. Ưu đãi đặc biệt cho thứ Sáu, tài liệu từ hội nghị chỉ dành cho người tham dự. Mật khẩu biến liên kết thành quyền truy cập kiểm soát — bạn chắc chắn rằng người truy cập đã nhận mật khẩu trực tiếp từ bạn, không phải từ nguồn khác.

Nội dung bạn công bố công khai nhưng vẫn muốn kiểm soát. Danh sách giá đầy đủ của bạn, quy trình sản phẩm nội bộ, đề xuất dành cho khách hàng. Link có thể được gửi đi — nhưng không có mật khẩu, sẽ không ai truy cập được.

Điều gì xảy ra khi bạn đặt mật khẩu

Bạn nhập mật khẩu vào biểu mẫu tạo liên kết. Mật khẩu được mã hóa ngay lập tức — chuyển đổi thành một chuỗi ký tự không thể đọc được. Ngay cả việc mật khẩu là "tajte123" cũng biến mất ngay khi bạn nhấp vào "Lưu". Ngay cả tôi, với tư cách là người vận hành trang web, cũng không thể đọc nó.

Dữ liệu được lưu trong cơ sở dữ liệu: không phải mật khẩu, mà là dấu vân tay (về mặt kỹ thuật là "hash") — một chuỗi chỉ khớp với mật khẩu của bạn nếu ai đó nhập chính xác cùng một nội dung. Nếu kẻ tấn công xâm nhập vào cơ sở dữ liệu của chúng tôi, họ chỉ nhận được những chuỗi này — chứ không phải mật khẩu cho các liên kết của bạn.

Chúng tôi sử dụng tiêu chuẩn ngành được phần lớn các hệ thống đăng nhập trên mạng áp dụng. Nó được thiết kế cố ý để chậm — nhằm buộc kẻ tấn công, nếu đánh cắp được cơ sở dữ liệu, phải chờ hàng triệu năm mới có thể đoán được mật khẩu.

Điều gì xảy ra khi ai đó nhấp vào liên kết của bạn

1. Khách truy cập thấy màn hình mở khóa thay vì được chuyển hướng trực tiếp. Có một thông báo ngắn "liên kết này được bảo vệ bằng mật khẩu" và ô để nhập.
2. Nhập mật khẩu và nhấp "Mở khóa". Mật khẩu được kiểm tra trên máy chủ so với băm mật khẩu đã lưu.
3. Nếu khớp — khách truy cập nhận được token phiên có hiệu lực trong 24 giờ. Trong vòng 24 giờ tiếp theo, họ có thể quay lại liên kết này mà không cần nhập mật khẩu. Không cần phải ghi nhớ.
4. Nếu không khớp — hiển thị thông báo lỗi. Sau năm lần thử từ cùng một địa chỉ IP — chặn trong năm phút. Bot sẽ không thể xâm nhập bằng cách brute-force.

Những điều chúng tôi KHÔNG làm

• Chúng tôi không lưu trữ mật khẩu dưới dạng văn bản rõ ràng. Không bao giờ. Ngay cả trong nhật ký gỡ lỗi.
• Chúng tôi không gửi mật khẩu qua email. Ngay cả khi người dùng quên, chúng tôi cũng không thể nhắc lại — vì chúng tôi cũng không biết mật khẩu đó. Bạn phải gửi lại mật khẩu cho họ từ tài khoản mà họ đã nhận được.
• Chúng tôi không chia sẻ mật khẩu với bên thứ ba. Không nhà cung cấp phân tích, tiếp thị hay AI nào bên ngoài có quyền truy cập vào dữ liệu này.

Những mẹo thực tế

Tạo mật khẩu không quá dễ đoán. Tên công ty cộng với năm thành lập là một ý tưởng kém hiệu quả. Trình tạo mật khẩu trên trình duyệt sẽ làm điều này tốt hơn.

Không gửi mật khẩu qua cùng kênh với liên kết. Nếu bạn gửi liên kết qua email, hãy gửi mật khẩu qua tin nhắn SMS. Hoặc ngược lại. Khi đó, việc xâm nhập vào một kênh giao tiếp sẽ không mang lại quyền truy cập đầy đủ.

Bạn có thể có nhiều liên kết với cùng một URL đích nhưng khác mật khẩu. Hữu ích khi bạn cấp quyền truy cập cho nhiều người — bạn có thể vô hiệu hóa một liên kết khi quyền truy cập đó hết hạn, mà không ảnh hưởng đến những người khác.

Mật khẩu có thể được thay đổi mà không cần tạo liên kết mới. Trong bảng điều khiển, chọn “Chỉnh sửa” → nhập mật khẩu mới. Tất cả các phiên hoạt động 24 giờ sẽ hết hạn ngay lập tức, và mỗi khách truy cập phải nhập mật khẩu mới.

Khi mật khẩu KHÔNG đủ

Mật khẩu bảo vệ chống lại chỉ mục công khai và truy cập ngẫu nhiên. Không bảo vệ trước người đã biết mật khẩu và muốn chia sẻ nó. Nếu kịch bản của bạn yêu cầu "chỉ một người cụ thể này mới có thể xem" — bạn cần thêm xác thực, tài khoản người dùng và ủy quyền. Đây là cấp độ chức năng cao hơn (được lên kế hoạch trong gói Pro sắp tới).

Đối với 95% trường hợp "không muốn người lạ nhìn thấy" — mật khẩu là đủ.

Thử tự làm — khi tạo liên kết, chọn “Tùy chọn nâng cao” → “Thêm mật khẩu”.