Magic Link

TL;DR: Magic link adalah URL bertanda tangan dengan masa berlaku pendek (umumnya 5-15 menit) yang dikirim ke email user. Saat diklik, sistem memverifikasi token dan memberi sesi login. Pendekatan ini menghapus friksi password sambil menjaga keamanan dasar lewat kontrol email.

Apa itu Magic Link?

Magic link mengganti pasangan email-password dengan satu langkah klik tautan. Setelah user memasukkan email, sistem membuat token unik, menyimpan hash-nya, lalu mengirim URL berisi token ke inbox. Saat user klik, server memverifikasi token cocok, belum kedaluwarsa, dan belum pernah dipakai. Magic link cocok untuk produk SaaS dengan login jarang atau aplikasi B2B yang user-nya tidak ingin mengelola banyak password. Bandingkan dengan passkey yang memakai kriptografi perangkat untuk login tanpa password sama sekali.

Kelebihan dan Kekurangan

Kenapa Penting?

Untuk produk Indonesia yang menargetkan profesional sibuk, magic link memangkas waktu sign-in dari 30-60 detik menjadi sekitar 10 detik. Dalam beberapa pengukuran proyek, konversi sign-up bisa naik 10-25% saat password digantikan magic link, terutama di mobile. Catatan: deliverability email harus terjaga (lihat DMARC, SPF, DKIM) supaya magic link tidak nyangkut di spam dan justru menambah friksi.

Pertanyaan Umum

Apakah magic link aman?

Aman jika token punya masa berlaku pendek, single-use, dan dikirim lewat HTTPS. Risiko utama adalah akses email user yang sudah dibajak, jadi kombinasi dengan WebAuthn atau passkey direkomendasikan untuk akun bernilai tinggi.

Berapa lama masa berlaku token magic link?

Standar industri 5-15 menit. Untuk konteks B2B yang user mungkin baru cek email setelah meeting, 15 menit memberi keseimbangan antara keamanan dan UX.