Bei einem Magic Link handelt es sich um eine Art von passwortloser Anmeldung. Diese ermöglicht es den Nutzern, sich mit Hilfe eines Links bei einem Konto anzumelden, den der Nutzer zum Beispiel per E-Mail oder SMS zugeschickt bekommt.
Magic-Links können Nutzern helfen, die Probleme bei der korrekten Eingabe des Passwortes haben, oder den Nutzer-Komfort steigern. Es handelt sich dabei nicht um Magie, sondern um einen Code per Link, der die Anmeldung für die Nutzer schnell und einfach macht.
Statt eines Benutzernamens und eines Passwortes gibt der Nutzer lediglich bei jeder Anmeldung seine E-Mail-Adresse an. Die Anwendung generiert daraufhin einen Link mit einem integrierten Token und sendet ihn per E-Mail an den Nutzer. Öffnet der Nutzer die E-Mail und klickt auf den darin enthaltenen Link, öffnet sich ein neues Browserfenster und mit dem im Link integrierten Token wird der Nutzer direkt authentifiziert und autorisiert und kann im Anschluss auf die Anwendung zugreifen. Der Link verliert daraufhin seine Gültigkeit und kann nicht für einen weiteren Login verwendet werden. Stattdessen muss der Nutzer einen neuen Link anfordern.
Die Gültigkeit eines Links beträgt hierbei häufig 60 Minuten. Um die Sicherheit bei dieser Login-Methode zusätzlich zu erhöhen, haben wir von Engity eine extra Challenge eingebaut. Hierbei wird dem Nutzer direkt nach der Eingabe seiner E-Mail-Adresse im offenen Browserfenster ein Sicherheitscode angezeigt. Klickt der Nutzer nun in der erhaltenen E-Mail den Link an, bekommt er eine Auswahl an möglichen Codes und muss den zuvor angezeigten richtigen Code auswählen, um die Challenge zu bestehen und um Zugriff zu erhalten. So wird verhindert, dass Kriminelle Magic-Link-Anfragen senden, in der Hoffnung, dass die Angegriffenen diese Anfragen irrtümlich bestätigen.