Login com Magic Link
O que é Login com Magic Link?
Login com Magic LinkFluxo de autenticacao sem senha em que o utilizador recebe um URL de uso unico por e-mail ou SMS que, ao ser clicado, autentica a sessao.
A autenticacao por magic link substitui o passo da senha por um URL unico e com validade curta, entregue por um canal que o utilizador ja controla, geralmente o e-mail principal ou um telefone verificado. O link contem um token assinado de vida curta (frequentemente um JWT ou nonce opaco) que a aplicacao valida para abrir a sessao. Slack, Notion, Substack, Vercel e muitos produtos SaaS adoptam-no como fluxo padrao porque elimina problemas de reutilizacao e armazenamento de senhas. O NIST SP 800-63B classifica-o como autenticador out-of-band (AAL2) se o canal for suficientemente independente. Riscos: phishing do link, takeover do e-mail e relays AiTM; mitigacoes: TTL curtos, binding de dispositivo, tokens de uso unico e combinacao com passkey ou verificacao de confianca do dispositivo.
● Exemplos
- 01
Workspaces do Slack que permitem entrar clicando num link de 15 minutos enviado para o e-mail corporativo.
- 02
Comando 'vercel login' do CLI da Vercel que envia um link de verificacao para autenticar a sessao do terminal.
● Perguntas frequentes
O que é Login com Magic Link?
Fluxo de autenticacao sem senha em que o utilizador recebe um URL de uso unico por e-mail ou SMS que, ao ser clicado, autentica a sessao. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Login com Magic Link?
Fluxo de autenticacao sem senha em que o utilizador recebe um URL de uso unico por e-mail ou SMS que, ao ser clicado, autentica a sessao.
Como funciona Login com Magic Link?
A autenticacao por magic link substitui o passo da senha por um URL unico e com validade curta, entregue por um canal que o utilizador ja controla, geralmente o e-mail principal ou um telefone verificado. O link contem um token assinado de vida curta (frequentemente um JWT ou nonce opaco) que a aplicacao valida para abrir a sessao. Slack, Notion, Substack, Vercel e muitos produtos SaaS adoptam-no como fluxo padrao porque elimina problemas de reutilizacao e armazenamento de senhas. O NIST SP 800-63B classifica-o como autenticador out-of-band (AAL2) se o canal for suficientemente independente. Riscos: phishing do link, takeover do e-mail e relays AiTM; mitigacoes: TTL curtos, binding de dispositivo, tokens de uso unico e combinacao com passkey ou verificacao de confianca do dispositivo.
Como se defender contra Login com Magic Link?
As defesas contra Login com Magic Link costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Login com Magic Link?
Nomes alternativos comuns: Magic link, Login por link unico, Login sem senha por link.
● Termos relacionados
- identity-access№ 793
Passkey
Credencial FIDO2/WebAuthn resistente a phishing: par de chaves assimétricas ligado ao dispositivo ou sincronizável que substitui as palavras-passe por um desafio-resposta criptográfico.
- identity-access№ 1066
Login Social
Padrao de autenticacao em que os utilizadores entram num site de terceiros usando a sua identidade existente em Google, Apple, Microsoft, Facebook, GitHub e similares.
- identity-access№ 708
Autenticação multifator (MFA)
Método de autenticação que exige dois ou mais fatores independentes — geralmente de categorias diferentes — antes de conceder acesso.
- attacks№ 821
Phishing
Ataque de engenharia social no qual o atacante se faz passar por uma entidade de confiança para enganar a vítima e obter credenciais, transferir dinheiro ou executar malware.
- identity-access№ 1018
Gestão de sessões
Conjunto de controlos que emitem, mantêm, renovam e revogam uma sessão autenticada, ligando a identidade do utilizador aos pedidos subsequentes até ao logout ou expiração.
- identity-access№ 076
Autenticação
Processo de verificar que uma entidade — utilizador, dispositivo ou serviço — é realmente quem afirma ser antes de conceder acesso.