Authentification par lien magique.

Flux de connexion sans mot de passe ou l'utilisateur recoit une URL a usage unique par e-mail ou SMS, qui authentifie la session a l'ouverture. Cette notion relève de la catégorie Identité et accès en cybersécurité.

Flux de connexion sans mot de passe ou l'utilisateur recoit une URL a usage unique par e-mail ou SMS, qui authentifie la session a l'ouverture.

L'authentification par lien magique remplace l'etape du mot de passe par une URL unique et a duree limitee envoyee sur un canal que l'utilisateur controle deja, generalement son e-mail principal ou un numero verifie. Le lien contient un jeton signe a courte duree de vie (souvent un JWT ou un nonce opaque) que l'application valide pour ouvrir une session. Slack, Notion, Substack, Vercel et beaucoup de SaaS l'utilisent comme flux par defaut, car il evite la reutilisation et le stockage des mots de passe. Le NIST SP 800-63B le classe comme authentifieur hors bande (AAL2) si le canal est suffisamment independant. Les risques sont le phishing du lien, le piratage de la boite mail et les relais AiTM ; les contre-mesures sont TTL courts, binding device, jetons usage unique et combinaison avec passkey ou controle de confiance.

Les défenses contre Authentification par lien magique combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Lien magique, Lien de connexion unique, Lien sans mot de passe.