Inloggen met een magische link

Curriculate gebruikt een magische link als standaard inlogmethode. Je vult je e-mailadres in, klikt op de knop in de e-mail en bent direct ingelogd — zonder wachtwoord.

Introductie

Wat is een magische link?

Een magische link is een unieke, tijdgebonden URL die per e-mail verstuurd wordt. In plaats van een wachtwoord in te voeren, klik je op de knop in de e-mail en ben je direct ingelogd. Het principe is hetzelfde als “wachtwoord vergeten” — maar dan als standaard inlogmethode, zonder dat er ooit een wachtwoord hoeft te bestaan.

Samengevat

Je hoeft geen wachtwoord te onthouden, aan te maken of te beheren. Curriculate stuurt je een link — jij klikt erop.

Hoe het werkt

Het inlogproces stap voor stap

1. E-mailadres invullen

   De gebruiker vult zijn e-mailadres in op de inlogpagina. Er is geen wachtwoord nodig.

2. Link wordt aangemaakt en verstuurd

   Curriculate maakt direct een unieke, tijdgebonden link aan en stuurt die naar het opgegeven e-mailadres. De link bevat een cryptografische handtekening van de server.

3. Gebruiker klikt op de link

   De gebruiker opent zijn mailbox en klikt op de knop in de e-mail. Er is geen extra stap nodig.

4. Server valideert en logt in

   Curriculate controleert de handtekening, of de link nog niet gebruikt is en of het account actief is. Als alles klopt, is de gebruiker direct ingelogd.

Technische details

De link wordt gegenereerd met Laravel’s signed route-mechanisme. De URL bevat een HMAC-handtekening die de server aanmaakt met een geheime sleutel. Bij gebruik van de link verifieert de server de handtekening, controleert de vervaldatum en kijkt of de link al eerder gebruikt is.

De link is dertig minuten geldig. Na gebruik wordt een SHA-256-hash van de volledige URL vijfendertig minuten in de cache bewaard, zodat de link ook na gebruik niet opnieuw ingezet kan worden.

Veiligheid

Waarom het veilig is

Een magische link is niet zomaar een link met een random token. Curriculate combineert meerdere beveiligingslagen.

Cryptografische handtekening

Elke link is ondertekend met een geheime sleutel die alleen op de server bekend is. Een aanpassing van ook maar één teken in de URL maakt de link ongeldig.

Korte geldigheidsduur

De link vervalt automatisch na dertig minuten. Wie de link later tegenkomt in een oude mailbox, kan er niets mee.

Eenmalig gebruik

Zodra de link gebruikt is, slaat Curriculate een SHA-256-hash van de URL op in de cache. Elke volgende poging om dezelfde link opnieuw te gebruiken wordt geblokkeerd — ook binnen de geldigheidsperiode.

Account- en organisatiecontrole

Bij het inloggen controleert het systeem of het account actief is. Organisaties die single sign-on (SSO) verplicht stellen, schakelen de magische link automatisch uit voor hun medewerkers.

Sessiebeveiliging

Na het inloggen wordt de sessie-id ververst (session regeneration), zodat eventuele eerder vastgelegde sessie-id’s ongeldig worden.

Vergelijking met wachtwoorden

Wachtwoorden zijn kwetsbaar op drie plekken: ze kunnen gelekt worden uit de database, geraden worden (brute force) of gestolen worden via phishing. Een magische link elimineert het eerste risico volledig — er is geen wachtwoord in de database. Het tweede risico bestaat niet, omdat een link niet geraden kan worden. Het derde risico is beperkt doordat de link snel verloopt en eenmalig is.

Afhankelijkheid van de mailbox

De beveiliging van een magische link is afhankelijk van de beveiliging van de mailbox. Dat is ook precies zo bij het klassieke “wachtwoord vergeten”-systeem — met het verschil dat een magische link altijd gelimiteerd geldig is. Instellingen met hogere beveiligingseisen kunnen overstappen op SSO.

Standaard inlogmethode

Waarom het de standaard is

Curriculate heeft bewust gekozen voor magische links als standaard — niet als extra optie, maar als vertrekpunt.

Geen wachtwoorden bewaren

Curriculate slaat geen wachtwoorden op. Dat betekent geen risico op gelekte wachtwoorddatabases, geen hergebruik-probleem en geen overhead van hashing-beleid.

Bestand tegen phishing

Een aanvaller die een nep-inlogpagina opzet, kan nooit een bruikbare magische link onderscheppen — de link werkt alleen eenmalig en verloopt snel. Er valt niets te stelen wat herbruikbaar is.

Eenvoudiger voor gebruikers

Medewerkers hoeven geen wachtwoord te onthouden of te beheren. Dat verlaagt de drempel voor nieuwe gebruikers en vermindert het aantal hulpvragen bij vergeten wachtwoorden.

Naadloze integratie met SSO

Voor instellingen die al een identity provider hebben (Microsoft Entra, Google Workspace), is SSO beschikbaar en kan de magische link worden uitgeschakeld. Zo past Curriculate in elk securitybeleid.

SSO verplicht stellen

Zodra SSO verplicht is voor een organisatie, wordt de magische link automatisch uitgeschakeld voor alle medewerkers van die organisatie. Platformbeheerders zijn van deze beperking uitgezonderd.