Um link mágico é um tipo de login sem senha onde um link é enviado para um usuário por e-mail ou mensagem de texto após ele inserir seu endereço de e-mail ou nome de usuário em um portal de login. Quando o usuário clica nesse link, ele faz login em sua conta sem precisar inserir uma senha. Esse processo parece ser “mágico”, pois o usuário não precisa inserir uma senha, daí o nome. Os links mágicos também são frequentemente utilizados como um método de autenticação multifator (MFA). No entanto, o site ou aplicativo que você utiliza precisa ser compatível com o uso de links mágicos.
Continue lendo para saber mais sobre links mágicos, além das vantagens e desvantagens de utilizá-los.
Links mágicos, senhas e passkeys: qual é a diferença?
Quando os links mágicos são utilizados em vez de senhas, os usuários não precisam lembrar de nada. Tudo o que precisam saber é o login do e-mail ou ter acesso ao celular e poderão fazer login em sua conta utilizando o link mágico. Quando os usuários fazem login utilizando senhas, eles precisam lembrar qual é sua senha, digitá-la e obter acesso à sua conta. Infelizmente, a experiência de login com senhas nem sempre é tão simples, porque pode ser difícil memorizar as senhas de todas as suas contas.
As passkeys, por outro lado, não exigem que o usuário faça login em seu e-mail ou digite uma senha. Dependendo de onde uma passkey foi gerada, para fazer login com ela, um usuário autenticaria sua identidade da mesma maneira que faz login em seu dispositivo, que pode ser um código de senha ou biométrico, como o FaceID.
Os links mágicos são seguros?
Ao utilizar links mágicos como método de login, não há como garantir que a pessoa que clica no link mágico seja a pessoa que possui ou está autorizada a acessar a conta. Isso ocorre porque os links mágicos podem ser interceptados por meio de ataques de troca de SIM quando enviados por mensagens de texto. Além disso, se a conta de e-mail de um usuário não estiver protegida com uma senha forte e MFA, ela pode ser facilmente comprometida por um cibercriminoso. Quando uma conta de e-mail é comprometida, o cibercriminoso pode fazer login em qualquer outra conta que utilize links mágicos.
Como os links mágicos funcionam
Veja como um link mágico funciona.
- Um usuário insere seu endereço de e-mail ou nome de usuário em um portal de login
- O site ou servidor de aplicativo gera um link incorporado com um token
- O servidor envia o link mágico para o usuário
- O usuário recebe um e-mail ou mensagem de texto contendo o link mágico
- O usuário clica no link mágico
- O servidor verifica o token
- Se o token corresponder, o usuário é autenticado e recebe acesso à sua conta
-
Utilizando um link mágico, um usuário nunca precisa inserir uma senha, o que facilita muito sua experiência de login.
As vantagens de utilizar links mágicos
Aqui estão algumas vantagens de utilizar links mágicos.
Experiência de usuário mais fácil
Não há dúvida de que os links mágicos tornam a experiência de um usuário muito melhor do que se tiverem que fazer login com um nome de usuário e senha. Isso ocorre porque geralmente é difícil para os usuários memorizarem seus logins para várias contas. Os links mágicos também tornam o login em contas muito mais rápido.
Com links mágicos, não há necessidade de os usuários comprarem hardware extra para se autenticarem. Isso difere de outros métodos de autenticação, como chaves de segurança de hardware, que exigem que os usuários comprem sua própria chave física para autenticar sua identidade.
Reduz a fadiga de senhas
A fadiga de senhas é uma frase utilizada para descrever o sentimento de exaustão, estresse e sobrecarga que as pessoas sentem com suas senhas. Com tantas contas e regras para criar senhas fortes, pode se tornar difícil memorizar todas elas por conta própria. Os links mágicos e outros métodos de autenticação sem senha reduzem a fadiga de senhas removendo a necessidade de os usuários inserirem senhas ao fazer login em uma conta.
As desvantagens de utilizar links mágicos
Aqui estão algumas desvantagens de utilizar links mágicos.
A segurança de senhas está ligada ao e-mail
Ao utilizar links mágicos, a segurança do link mágico está ligada à segurança da conta de e-mail do usuário. Se as credenciais de login de e-mail de um usuário forem fracas e a MFA não estiver habilitada, a probabilidade de alguém comprometer a conta de um usuário com um link mágico aumenta.
Alguns sites e aplicativos que utilizam links mágicos começaram a fazer com que os links expirem após um determinado período de tempo ou quando o usuário clica no link para limitar a chance de isso acontecer.
Vulnerável a ataques indiretos
Um ataque indireto (MITM) ocorre quando um cibercriminoso consegue interceptar os dados enviados entre dois indivíduos. O que torna os links mágicos vulneráveis a ataques MITM é que esses links são enviados por meios não criptografados, como e-mails e mensagens de texto. Se um cibercriminoso conseguir interceptar qualquer um deles, ele pode utilizar o link mágico para fazer login na conta do usuário. É mais provável que os ataques MITM aconteçam com pessoas que usam redes Wi-Fi públicas, pois qualquer pessoa pode se conectar a elas.
O resultado
Os links mágicos podem ser uma ótima maneira de autenticar usuários sem que eles precisem digitar uma senha; no entanto, é importante perceber que os links mágicos também têm suas desvantagens. Os usuários que têm a opção de fazer login com links mágicos devem garantir que sua conta de e-mail esteja protegida com uma senha forte e tenha a MFA habilitada para proteção adicional.
Como outra opção, os usuários também podem verificar se a autenticação por passkey está disponível para suas contas. As passkeys são um método de autenticação sem senha que permite que os usuários façam login em suas contas sem precisar inserir uma senha. Em vez disso, tudo o que um usuário precisa fazer é utilizar sua biometria ou o PIN de seu dispositivo para autenticar sua identidade e o login é feito automaticamente em sua conta.