Аутентификация по magic link
Что такое Аутентификация по magic link?
Аутентификация по magic linkБеспарольный сценарий входа, при котором пользователь получает одноразовый URL по почте или SMS, и переход по нему аутентифицирует сессию.
Аутентификация по magic link заменяет шаг ввода пароля одноразовым URL с ограниченным сроком жизни, доставляемым по каналу, которым пользователь уже владеет — обычно основная почта или подтверждённый телефон. В ссылке закодирован недолговечный подписанный токен (часто JWT или opaque nonce), который приложение проверяет и обменивает на сессию. Slack, Notion, Substack, Vercel и многие SaaS используют magic link как основной поток, поскольку он устраняет проблемы повторного использования и хранения паролей. NIST SP 800-63B классифицирует его как out-of-band-аутентификатор (AAL2) при достаточной независимости канала. Риски: фишинг ссылки, перехват почты, AiTM-релеи. Митигации: короткие TTL, привязка к устройству, одноразовые токены и сочетание с passkey или проверкой доверия устройства.
● Примеры
- 01
Slack позволяет участникам входить по 15-минутной ссылке, отправленной на рабочую почту.
- 02
Команда 'vercel login' в CLI Vercel отправляет ссылку подтверждения, которая авторизует сессию терминала.
● Частые вопросы
Что такое Аутентификация по magic link?
Беспарольный сценарий входа, при котором пользователь получает одноразовый URL по почте или SMS, и переход по нему аутентифицирует сессию. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Аутентификация по magic link?
Беспарольный сценарий входа, при котором пользователь получает одноразовый URL по почте или SMS, и переход по нему аутентифицирует сессию.
Как работает Аутентификация по magic link?
Аутентификация по magic link заменяет шаг ввода пароля одноразовым URL с ограниченным сроком жизни, доставляемым по каналу, которым пользователь уже владеет — обычно основная почта или подтверждённый телефон. В ссылке закодирован недолговечный подписанный токен (часто JWT или opaque nonce), который приложение проверяет и обменивает на сессию. Slack, Notion, Substack, Vercel и многие SaaS используют magic link как основной поток, поскольку он устраняет проблемы повторного использования и хранения паролей. NIST SP 800-63B классифицирует его как out-of-band-аутентификатор (AAL2) при достаточной независимости канала. Риски: фишинг ссылки, перехват почты, AiTM-релеи. Митигации: короткие TTL, привязка к устройству, одноразовые токены и сочетание с passkey или проверкой доверия устройства.
Как защититься от Аутентификация по magic link?
Защита от Аутентификация по magic link обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Аутентификация по magic link?
Распространённые альтернативные названия: Magic link по почте, Одноразовая ссылка для входа, Беспарольная ссылка.
● Связанные термины
- identity-access№ 793
Passkey
Устойчивые к фишингу учётные данные FIDO2/WebAuthn — асимметричная пара ключей, привязанная к устройству или синхронизируемая, заменяющая пароль криптографическим вызов-ответом.
- identity-access№ 1066
Социальный логин
Шаблон аутентификации, при котором пользователь входит на сторонний сайт с помощью существующего аккаунта Google, Apple, Microsoft, Facebook, GitHub и подобных провайдеров.
- identity-access№ 708
Многофакторная аутентификация (MFA)
Метод аутентификации, при котором перед предоставлением доступа требуется два и более независимых фактора, обычно из разных категорий.
- attacks№ 821
Фишинг
Атака с применением социальной инженерии, при которой злоумышленник выдаёт себя за доверенную сторону, чтобы заставить жертву раскрыть учётные данные, перевести деньги или запустить вредоносное ПО.
- identity-access№ 1018
Управление сессиями
Набор средств, которые выдают, поддерживают, обновляют и отзывают аутентифицированную сессию, связывая личность пользователя с последующими запросами до выхода или истечения срока.
- identity-access№ 076
Аутентификация
Процесс проверки того, что субъект — пользователь, устройство или сервис — действительно является тем, за кого себя выдаёт, перед предоставлением доступа.