マジックリンク認証
マジックリンク認証 とは何ですか?
マジックリンク認証ユーザーが受信したワンタイム URL(メールや SMS)をクリックするだけでセッションが認証される、パスワードレス方式。
マジックリンク認証は、パスワードの代わりに一度限り・有効期限付きの URL を、ユーザーが既に保有するチャネル(通常はメインのメールや検証済み電話番号)に送ります。リンクには短期間有効な署名付きトークン(JWT や不透明 nonce)が含まれており、アプリ側で検証してセッションと交換します。Slack、Notion、Substack、Vercel など多くの SaaS が既定のフローとして採用しているのは、パスワードの再利用や保管の問題を回避できるためです。NIST SP 800-63B では、チャネルが十分に独立していれば帯域外認証器(AAL2)として位置づけられます。リスクはリンクのフィッシング、メール乗っ取り、AiTM 中継などで、TTL の短縮、デバイスバインディング、ワンタイム化、パスキーやデバイス信頼との組み合わせで緩和します。
● 例
- 01
業務メールに送付された 15 分有効のリンクをクリックするだけで Slack ワークスペースにサインインできる。
- 02
'vercel login' コマンドが検証リンクを送信し、ターミナルセッションを認証する。
● よくある質問
マジックリンク認証 とは何ですか?
ユーザーが受信したワンタイム URL(メールや SMS)をクリックするだけでセッションが認証される、パスワードレス方式。 サイバーセキュリティの ID とアクセス カテゴリに属します。
マジックリンク認証 とはどういう意味ですか?
ユーザーが受信したワンタイム URL(メールや SMS)をクリックするだけでセッションが認証される、パスワードレス方式。
マジックリンク認証 はどのように機能しますか?
マジックリンク認証は、パスワードの代わりに一度限り・有効期限付きの URL を、ユーザーが既に保有するチャネル(通常はメインのメールや検証済み電話番号)に送ります。リンクには短期間有効な署名付きトークン(JWT や不透明 nonce)が含まれており、アプリ側で検証してセッションと交換します。Slack、Notion、Substack、Vercel など多くの SaaS が既定のフローとして採用しているのは、パスワードの再利用や保管の問題を回避できるためです。NIST SP 800-63B では、チャネルが十分に独立していれば帯域外認証器(AAL2)として位置づけられます。リスクはリンクのフィッシング、メール乗っ取り、AiTM 中継などで、TTL の短縮、デバイスバインディング、ワンタイム化、パスキーやデバイス信頼との組み合わせで緩和します。
マジックリンク認証 からどのように防御しますか?
マジックリンク認証 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
マジックリンク認証 の別名は何ですか?
一般的な別名: メールマジックリンク, ワンタイムリンクログイン, パスワードレスリンク。
● 関連用語
- identity-access№ 793
パスキー (Passkey)
フィッシング耐性のある FIDO2/WebAuthn 資格情報。端末に紐付くか同期可能な非対称鍵ペアで、パスワードを暗号学的チャレンジ-レスポンスに置き換える。
- identity-access№ 1066
ソーシャルログイン
Google、Apple、Microsoft、Facebook、GitHub などの既存 ID を使ってサードパーティのサイトにサインインする認証パターン。
- identity-access№ 708
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
- attacks№ 821
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
- identity-access№ 1018
セッション管理
認証済みセッションを発行・維持・更新・失効させる一連のコントロール。ログアウトや期限切れまで、利用者の身元を後続のリクエストに紐付ける。
- identity-access№ 076
認証
アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。