Magic-Link-Anmeldung
Was ist Magic-Link-Anmeldung?
Magic-Link-AnmeldungPasswortloser Anmeldeablauf, bei dem der Nutzer per E-Mail oder SMS eine einmalige URL erhalt, deren Aufruf die Sitzung authentifiziert.
Magic-Link-Authentifizierung ersetzt den Passwortschritt durch eine einmalige, ablaufende URL, die uber einen vom Nutzer bereits kontrollierten Kanal zugestellt wird, meist die primaere E-Mail oder eine verifizierte Mobilnummer. Der Link enthaelt ein kurzlebiges signiertes Token (oft ein JWT oder ein opaker Nonce), das die Anwendung validiert und gegen eine Sitzung tauscht. Slack, Notion, Substack, Vercel und viele SaaS-Produkte nutzen Magic Links als Standardweg, weil sie Wiederverwendung und Speicherung von Passwortern vermeiden. NIST SP 800-63B stuft das als Out-of-Band-Authenticator (AAL2) ein, sofern der Kanal hinreichend unabhangig ist. Risiken sind Phishing des Links, Mailbox-Takeover und AiTM-Relays; Gegenmassnahmen: kurze TTLs, Geraetebindung, Einmal-Token und Kombination mit Passkey oder Geraete-Trust.
● Beispiele
- 01
Slack-Workspaces, in denen Mitglieder uber einen 15-minutigen Link in der Arbeits-Mail anmelden.
- 02
'vercel login' im Vercel-CLI, das einen Verifizierungs-Link mailt und damit die Terminal-Sitzung anmeldet.
● Häufige Fragen
Was ist Magic-Link-Anmeldung?
Passwortloser Anmeldeablauf, bei dem der Nutzer per E-Mail oder SMS eine einmalige URL erhalt, deren Aufruf die Sitzung authentifiziert. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Magic-Link-Anmeldung?
Passwortloser Anmeldeablauf, bei dem der Nutzer per E-Mail oder SMS eine einmalige URL erhalt, deren Aufruf die Sitzung authentifiziert.
Wie funktioniert Magic-Link-Anmeldung?
Magic-Link-Authentifizierung ersetzt den Passwortschritt durch eine einmalige, ablaufende URL, die uber einen vom Nutzer bereits kontrollierten Kanal zugestellt wird, meist die primaere E-Mail oder eine verifizierte Mobilnummer. Der Link enthaelt ein kurzlebiges signiertes Token (oft ein JWT oder ein opaker Nonce), das die Anwendung validiert und gegen eine Sitzung tauscht. Slack, Notion, Substack, Vercel und viele SaaS-Produkte nutzen Magic Links als Standardweg, weil sie Wiederverwendung und Speicherung von Passwortern vermeiden. NIST SP 800-63B stuft das als Out-of-Band-Authenticator (AAL2) ein, sofern der Kanal hinreichend unabhangig ist. Risiken sind Phishing des Links, Mailbox-Takeover und AiTM-Relays; Gegenmassnahmen: kurze TTLs, Geraetebindung, Einmal-Token und Kombination mit Passkey oder Geraete-Trust.
Wie schützt man sich gegen Magic-Link-Anmeldung?
Schutzmaßnahmen gegen Magic-Link-Anmeldung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Magic-Link-Anmeldung?
Übliche alternative Bezeichnungen: E-Mail-Magic-Link, Einmal-Link-Login, Passwortloser Link.
● Verwandte Begriffe
- identity-access№ 793
Passkey
Phishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt.
- identity-access№ 1066
Social Login
Authentifizierungsmuster, bei dem Nutzer sich an einer Drittseite mit ihrer vorhandenen Identitaet bei Google, Apple, Microsoft, Facebook, GitHub und Co. anmelden.
- identity-access№ 708
Multi-Faktor-Authentifizierung (MFA)
Authentifizierungsverfahren, das vor der Zugriffsfreigabe mindestens zwei unabhängige Faktoren – meist aus unterschiedlichen Kategorien – verlangt.
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.
- identity-access№ 1018
Session-Management
Die Gesamtheit der Kontrollen, die eine authentifizierte Sitzung ausstellen, pflegen, erneuern und widerrufen und so die Identität des Nutzers bis zu Logout oder Ablauf an nachfolgende Anfragen binden.
- identity-access№ 076
Authentifizierung
Verfahren, mit dem überprüft wird, dass eine Entität – Benutzer, Gerät oder Dienst – tatsächlich diejenige ist, die sie zu sein vorgibt, bevor ein Zugriff gewährt wird.