魔法链接登录
魔法链接登录 是什么?
魔法链接登录一种无密码登录流程,用户通过邮件或短信收到一次性 URL,点击后即可完成身份验证。
魔法链接认证用一次性、可过期的 URL 取代密码环节,链接通过用户已经掌控的渠道(通常是工作邮箱或已验证的手机号)送达。链接内含短期签名令牌(常用 JWT 或不透明 nonce),应用验证后换取会话。Slack、Notion、Substack、Vercel 等 SaaS 产品都将其作为默认登录流程,因为它避免了密码复用和存储问题。NIST SP 800-63B 在通道足够独立时将其归类为带外认证器(AAL2)。风险包括链接被钓鱼、邮箱被接管和 AiTM 中继,缓解措施包括短 TTL、设备绑定、单次令牌,以及与 passkey 或设备信任检查结合。
● 示例
- 01
Slack 允许成员点击发送到企业邮箱、15 分钟有效的链接登录工作区。
- 02
Vercel CLI 的 'vercel login' 命令通过邮件发送验证链接来完成终端会话登录。
● 常见问题
魔法链接登录 是什么?
一种无密码登录流程,用户通过邮件或短信收到一次性 URL,点击后即可完成身份验证。 它属于网络安全的 身份与访问 分类。
魔法链接登录 是什么意思?
一种无密码登录流程,用户通过邮件或短信收到一次性 URL,点击后即可完成身份验证。
魔法链接登录 是如何工作的?
魔法链接认证用一次性、可过期的 URL 取代密码环节,链接通过用户已经掌控的渠道(通常是工作邮箱或已验证的手机号)送达。链接内含短期签名令牌(常用 JWT 或不透明 nonce),应用验证后换取会话。Slack、Notion、Substack、Vercel 等 SaaS 产品都将其作为默认登录流程,因为它避免了密码复用和存储问题。NIST SP 800-63B 在通道足够独立时将其归类为带外认证器(AAL2)。风险包括链接被钓鱼、邮箱被接管和 AiTM 中继,缓解措施包括短 TTL、设备绑定、单次令牌,以及与 passkey 或设备信任检查结合。
如何防御 魔法链接登录?
针对 魔法链接登录 的防御通常结合技术控制与运营实践,详见上方完整定义。
魔法链接登录 还有哪些其他名称?
常见的别称包括: 邮件魔法链接, 一次性链接登录, 无密码链接。
● 相关术语
- identity-access№ 793
通行密钥 (Passkey)
一种抗钓鱼的 FIDO2/WebAuthn 凭据,使用绑定设备或可同步的非对称密钥对,以加密挑战-响应取代密码。
- identity-access№ 1066
社交登录
一种允许用户使用 Google、Apple、Microsoft、Facebook、GitHub 等已有身份登录第三方网站的认证模式。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- attacks№ 821
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
- identity-access№ 1018
会话管理
用于颁发、维护、刷新和吊销已认证会话的一组控制措施,将用户身份与后续请求绑定,直至注销或过期。
- identity-access№ 076
身份认证
在授予访问权限前,验证某个实体(用户、设备或服务)确实是其所声称身份的过程。