Zum Hauptinhalt springen
Ideenkiste
Glossar-Eintrag

Magic Link Authentifizierung

Eine passwortlose Anmeldemethode, bei der der Server einen einmaligen Login-Link per E-Mail versendet.

Magic Link Authentifizierung ist ein passwortloses Login-Verfahren: der Anwender gibt seine E-Mail-Adresse ein, der Server schickt eine E-Mail mit einem einmaligen, zeitlich befristeten Link, ein Klick darauf authentifiziert den Anwender. Es gibt keine Passwoerter, kein „Passwort vergessen?"-Flow und keine Zwei-Faktor-Setup-Huerde.

Ausführliche Erklärung

Technisch erzeugt der Server beim Login-Versuch ein zufälliges Token (typischerweise 32+ Bytes), speichert es zusammen mit der zugehörigen E-Mail-Adresse und einem Ablaufzeitpunkt (oft 15 Minuten bis 1 Stunde) und versendet einen Link der Form https://app.example.com/auth/verify?token=XYZ. Der Klick darauf veranlasst den Server, das Token zu prüfen, zu invalidieren und einen Session-Cookie zu setzen.

Die Sicherheit haengt an mehreren Punkten: das Token muss kryptografisch zufällig sein, der Link nur einmal verwendbar sein, die Gültigkeit kurz, der Versand über TLS erfolgen und der Cookie httpOnly + secure gesetzt sein. Bei korrekter Implementierung ist Magic-Link mindestens so sicher wie Passwort+SMS-2FA und sicherer als reines Passwort, weil keine Brute-Force-Attacken auf Passwoerter mehr greifen.

Aus Nutzersicht entfaellt der Aufwand des Passwort-Erstellens, -Merkens und -Zurücksetzens. Studien aus dem E-Commerce-Bereich zeigen, dass passwortlose Anmeldung die Conversion in der Registrierung um zweistellige Prozent-Werte erhöht – jeder zusätzliche Formularschritt kostet messbar Anwender.

Der Hauptnachteil ist die Abhängigkeit von der E-Mail-Zustellung. Wenn die Magic-Link-Mail im Spam-Ordner landet oder verzögert ankommt, bricht der Login für den Anwender ab. Gut gewartete Setups erreichen jedoch heute Zustellraten im hohen 99-Prozent-Bereich, und die meisten Anwender erwarten ohnehin eine E-Mail nach Eingabe ihrer Adresse.

Magic-Link ist besonders bei B2B-Tools verbreitet, in denen die Hauptnutzer ohnehin eine geschäftliche E-Mail-Adresse haben. Für rein mobile Apps wird oft eine Variante mit Einmal-Code (statt Link) gewählt, weil der Wechsel zwischen Mail-Client und App-Kontext auf Mobilgeräten unkomfortabel sein kann.

Praxisbeispiel

Ein SaaS-Anbieter ersetzt sein Passwort-Login durch Magic Links. Anwender geben auf der Login-Seite ihre E-Mail-Adresse ein, erhalten innerhalb von 10 Sekunden eine Mail mit einem Link, der 15 Minuten gültig ist. Nach Klick werden sie automatisch eingeloggt und bleiben 30 Tage angemeldet (via httpOnly-Cookie). Support-Tickets zum Thema „Passwort vergessen" sind in der ersten Woche auf null gefallen.

Vorteile

  • Keine Passwoerter mehr – kein „Passwort vergessen"-Flow und kein Risiko durch Wiederverwendung schwacher Passwoerter.
  • Höhere Conversion in der Registrierung, weil ein Formularschritt entfaellt.
  • Reduzierter Support-Aufwand, der bei klassischen Logins primär aus Passwort-Resets besteht.
  • Inhaerente E-Mail-Validierung – der Login funktioniert nur, wenn die Adresse tatsächlich erreichbar ist.

Haeufige Fehler und Missverstaendnisse

  • Tokens zu lange gültig lassen – ein 24-Stunden-Token erhöht das Risiko, falls der E-Mail-Account kompromittiert ist.
  • Den gleichen Link mehrfach einloesbar machen – jedes Token sollte beim ersten Klick invalidiert werden.
  • Magic-Links nur über HTTP statt HTTPS übertragen – das Token könnte abgefangen werden.

Verwandte Begriffe

Feature Requests mit ideenkiste.app sammeln – kostenlos starten

Strukturiertes Feedback-Board, Voting, oeffentliche Roadmap und Magic-Link-Login. In zwei Minuten startklar.

Kostenlos starten

Zuletzt aktualisiert: