QR с паролем
Динамический QR-код, при сканировании которого пользователь попадает на промежуточную страницу с формой ввода пароля. Без правильного кода целевая ссылка недоступна — даже если URL короткой ссылки известен.
Что такое QR с паролем
QR с паролем — это динамический QR-код, за которым стоит не прямой редирект на целевую страницу, а промежуточный gateway. Пользователь сканирует символ, видит форму ввода, вбивает код — и только после этого попадает по назначению. Если пароль неверный или его нет — ссылка ведёт в никуда.
Ключевая разница со статическим QR: сам QR-символ кодирует короткую ссылку вида qrkoder.ru/x7k, а не целевой URL. Логика gateway-страницы (пароль, cookie, редирект) живёт на стороне сервиса. Это значит, что пароль можно сменить, добавить TTL или отключить защиту совсем — без перепечатки кода.
Архитектура: gateway-редирект
Технически схема выглядит так:
- QR кодирует короткий URL сервиса (например, qrkoder.ru/p/nda2026).
- Пользователь сканирует — браузер открывает gateway-страницу.
- Gateway показывает форму ввода пароля.
- После верного пароля сервер ставит cookie и делает HTTP 302-редирект на целевой URL.
- При повторном сканировании — cookie уже есть, форма не показывается.
Дополнительные слои защиты, которые добавляются поверх пароля: TTL (пароль действует N часов/дней), single-use (один переход — и gateway деактивируется), IP-whitelist (доступ только с корпоративного диапазона адресов), ограничение числа попыток ввода. QRkoder поддерживает базовый сценарий с паролем и TTL; bit.ly Pro и t.ly предлагают схожие функции на платных тарифах.
Подробнее о принципе редиректа — в глоссарии URL Shortener. Про динамику QR-символа — в статье Динамические QR-коды.
Сценарии применения
NDA-документы и договоры. Контрагент должен увидеть оферту — но только после идентификации. QR на бумажном экземпляре, пароль сообщается устно на встрече. Лог попыток фиксирует время и устройство каждого обращения.
Закрытые мероприятия. Программа конференции, схема рассадки, материалы воркшопа — только для зарегистрированных участников. QR в бейдже, пароль — в письме с подтверждением регистрации.
Корпоративные ресурсы. Внутренний wiki, инструкции для стажёров, каталог партнёрских цен — не для публичного индекса. QR в распечатке, пароль меняется раз в квартал через админку без перепечатки материалов.
Премиум-контент. Видеокурс, методичка, эксклюзивные шаблоны — доступ только оплатившим. Gateway с паролем вместо OAuth — быстрее в настройке для небольших проектов.
Конфиденциальные файлы. Финансовая модель для инвестора, медицинское заключение, тендерное ТЗ. Особенно ценна связка: пароль + TTL + single-use — адресат, открывший документ первым, «сжигает» ссылку, и любая попытка повторного доступа будет видна.
Частые вопросы
Чем QR с паролем отличается от обычного динамического QR?
Обычный динамический QR редиректит пользователя сразу на целевую страницу — без промежуточных шагов. QR с паролем добавляет gateway: браузер сначала попадает на форму ввода, и только после успешной проверки получает редирект. Оба работают на одной технологии — динамическом QR-коде с короткой ссылкой, но логика доступа разная.
Можно ли обойти QR с паролем, зная короткую ссылку?
Нет. Пароль проверяется на сервере, а не на стороне клиента. Даже если URL короткой ссылки известен (например, человек заметил адрес в браузере), переход по нему всё равно откроет gateway-страницу с формой ввода. Логика защиты целиком на бэкенде: без верного пароля сервер не выдаёт целевой URL. Дополнительно можно включить ограничение числа попыток — после 5 неверных вводов IP временно блокируется.
Как передать пароль адресату безопасно?
Главное правило — пароль и ссылка не должны идти по одному каналу. QR на распечатке или в email + пароль голосом, по телефону или отдельным SMS. Если оба идут в одном письме — злоумышленнику достаточно перехватить письмо. Для NDA и финансовых документов пароль лучше генерировать случайным образом (от 8 символов, без словарных слов) и сообщать на встрече или через звонок. Такой подход приближается по уровню защиты к двухфакторной аутентификации через QR.
Что происходит с паролем при истечении TTL?
Gateway деактивируется по расписанию: пользователь попадает на страницу «доступ истёк» вместо формы ввода. Сам QR-символ при этом остаётся физически целым — он по-прежнему кодирует ту же короткую ссылку. В любой момент можно открыть доступ заново (сменить TTL или убрать защиту) через личный кабинет — без перепечатки кодов. Это и есть главное преимущество динамики перед статикой.
Чем QR с паролем хуже OTP или magic link?
OTP (одноразовый пароль по SMS или email) надёжнее: каждая попытка входа требует свежего кода, который знает только владелец телефона. Но OTP дороже в реализации и создаёт трение — пользователю нужен доступ к почте или телефону в момент сканирования. Magic link (одноразовая ссылка с токеном в URL) — проще в опыте, но уязвима при перехвате ссылки. QR с паролем — баланс: дешевле OTP, надёжнее голого динамического QR, достаточно для большинства корпоративных сценариев без высокого риска физической слежки за устройствами. При повышенных требованиях — смотрите в сторону QR с двухфакторной аутентификацией.
QR с паролем и quishing — связано ли это?
Косвенно. Quishing — это атака, при которой злоумышленник подменяет легитимный QR поддельным, ведущим на фишинговую страницу. Gateway с паролем не защищает от подмены физического QR-кода (наклейки поверх вашего). Но он защищает от того, что злоумышленник, скопировав URL вашей короткой ссылки, сможет получить доступ к защищённому контенту — для этого всё равно нужен пароль. Чтобы защититься и от физической подмены, используйте QR с брендингом и периодически проверяйте, что по коду открывается именно ваш gateway.