¿Qué impide que tu aplicación permita el inicio de sesión simultáneo en múltiples dispositivos
Con la llegada de la era de la colaboración multi-dispositivo, ¿tu aplicación admite la colaboración a través de los dispositivos? Si no, ¿qué problemas estás enfrentando? En este artículo, exploraremos cómo una aplicación puede dar el primer paso para adaptarse a la colaboración entre dispositivos al permitir iniciar sesión en varios dispositivos.
Developer
En 2023, la colaboración entre dispositivos se ha convertido en una necesidad para la mayoría de las personas. Bajo el liderazgo de Apple, varios fabricantes de terminales están construyendo sus propios ecosistemas de colaboración entre dispositivos, incluyendo pero no limitado a la proyección de pantalla, el intercambio de portapapeles, el intercambio de datos entre dispositivos, etc. dentro del mismo ecosistema.
Estado actual
Incluso en esta tendencia inevitable, muchas empresas de software no han estado al día con la colaboración entre dispositivos. A nivel más básico, muchas aplicaciones no soportan la opción de que la misma cuenta inicie sesión en múltiples dispositivos. Cuando hablamos de inicio de sesión multi-dispositivo o inicio de sesión concurrente, nos referimos a iniciar sesión en la misma cuenta en múltiples dispositivos simultáneamente, donde los estados de inicio de sesión entre diferentes dispositivos no se afectan entre sí y tienen accesos independientes y completos.
Para estas aplicaciones que no soportan el inicio de sesión concurrente, el enfoque normal es cerrar automáticamente la sesión de la cuenta en el primer dispositivo en el momento en que se tiene éxito en el inicio de sesión en el segundo dispositivo, sin dar ninguna indicación para informar al usuario.
El uso del inicio de sesión automático para la conveniencia puede parecer beneficioso para los usuarios, pero puede causar problemas para el uso futuro. Por ejemplo, si se te cerró automáticamente la sesión de un dispositivo y necesitas usarlo de nuevo pronto, podrías tener que pasar por pasos de seguridad adicionales como introducir códigos de verificación por SMS o realizar reconocimiento facial. Estos pasos adicionales pueden traer más incomodidades, como necesitar una luz específica o poses para el reconocimiento facial, y también vienen con algunos riesgos.
Puede que te estés preguntando, ¿cuál sería entonces el enfoque preferible? El mejor enfoque es informar a los usuarios de que sólo pueden iniciar sesión en un dispositivo a la vez. Cuando hay un conflicto, debería ser la elección del usuario decidir qué dispositivo quitar o si cancelar el intento de inicio de sesión en el nuevo dispositivo. De esta manera, los usuarios tienen más control sobre la situación.
Desafíos y soluciones potenciales
Analizamos las aplicaciones que actualmente no soportan el inicio de sesión concurrente y encontramos algunos problemas potenciales que enfrentan, estamos tratando de publicar estos problemas y dar nuestras propias posibles soluciones.
Requisitos de cumplimiento
En algunos países y regiones, las aplicaciones de categorías específicas (como la mensajería instantánea y las redes sociales) requieren el registro con nombre real para cumplir con los requisitos de cumplimiento.
¿Cómo responden las aplicaciones a los requisitos de cumplimiento?
En respuesta a estos requisitos, diferentes aplicaciones han adoptado diferentes estrategias:
- requerir el registro con nombre real
- permitir el registro pero sólo conceder acceso a ciertas características después de la verificación con nombre real
- cumplir los requisitos de nombre real indirectamente a través de medios como requerir la vinculación de tarjetas bancarias para las aplicaciones de pago
Con la existencia de estos requisitos, las soluciones adoptadas por diferentes aplicaciones varían. Una cosa que se puede confirmar es que — ninguna aplicación impedirá que un usuario cree múltiples cuentas en su plataforma. Es decir, no imponen restricciones técnicas en el uso de múltiples cuentas a través de dispositivos, incluso si las cuentas tienen el mismo propietario.
Reflexiones y posible solución
Si la intención original de las regulaciones era rastrear el uso de una cuenta y los dispositivos a través de una ID de cuenta única, los protocolos de autorización actuales y la tecnología aún pueden detectar qué dispositivo específico inició una actividad incluso cuando una sola cuenta está conectada a múltiples dispositivos.
Habilitar el inicio de sesión en múltiples dispositivos no necesariamente excluye la rastreabilidad regulatoria. Con las implementaciones técnicas adecuadas, las actividades de la cuenta que provienen de cada dispositivo aún pueden distinguirse y rastrearse. Por lo tanto, se pueden adherir a las regulaciones sin imponer restricciones de un solo dispositivo a los usuarios.
Consideraciones de crecimiento comercial
Creemos que esta cuestión no debería ser discutida en detalle - cada empresa tiene sus razones para las decisiones comerciales.
Un caso real que hemos aprendido
Sin embargo, como sabemos, algunas empresas alentaron a los usuarios a crear múltiples cuentas como una estrategia de crecimiento al principio. Más tarde, estas empresas entraron en una nueva fase en la que, por razones técnicas y comerciales, necesitaban consolidar los datos a través de las múltiples cuentas de un usuario, lo que requería que sus equipos pasaran años intentando hacer bien la consolidación de cuentas.
¿Qué haríamos si fuéramos nosotros?
Aunque tener a los usuarios creando múltiples cuentas parece bueno para el crecimiento a corto plazo, a la larga se hace difícil para los usuarios gestionar los datos a través de las cuentas, y las empresas luchan por extraer ideas valiosas de muchas cuentas "zombies" inactivas. Esto perjudica la experiencia del usuario e incrementa los costos operativos.
Así que aunque alentar a los usuarios a tener varias cuentas puede inflar temporalmente las métricas de crecimiento, crea una deuda técnica y perjudica la experiencia del usuario a largo plazo.
Razones de seguridad
Las preocupaciones de seguridad son posiblemente la razón más convincente para que los editores de aplicaciones justifiquen a los usuarios por qué no se admite el inicio de sesión simultáneo en varios dispositivos.
Muchas personas pueden aceptar esta explicación sin pensar más, pero nosotros intentamos encontrar las verdaderas razones.
Medidas de seguridad en marcha
Consideremos las aplicaciones bancarias, que tienen estrictos requisitos de seguridad. Cuando abres una de estas aplicaciones, el primer paso es iniciar sesión. Muchas aplicaciones bancarias ofrecen la conveniencia de utilizar Face ID o huella dactilar para desbloquear y acceder a la aplicación. Sin embargo, para operaciones más sensibles como grandes transacciones financieras, se necesitan pasos adicionales de verificación para garantizar la seguridad. Estos pasos a menudo implican diversas formas de autenticación multifactor (MFA) y servicios de verificación de identidad online oficial proporcionados por terceros de confianza, a menudo organismos gubernamentales.
Es importante notar que la mayoría de los métodos MFA sólo pueden confirmar que el usuario actual tiene acceso al dispositivo, pero no pueden garantizar que el usuario sea el legítimo dueño de la cuenta. Es posible que alguien haya obtenido las credenciales de la cuenta por otros medios. Sin embargo, los servicios de verificación de identidad online de terceros abordan efectivamente esta limitación. Al combinar el uso de la MFA y los controles de identidad de terceros para operaciones de alto riesgo, muchos de los riesgos de seguridad asociados con el inicio de sesión en varios dispositivos pueden ser mitigados.
¿Qué más podemos hacer desde una perspectiva de producto?
Hasta ahora, no hemos encontrado ningún bloqueador técnico que impida soportar el inicio de sesión en varios dispositivos desde un punto de vista de seguridad. Si las medidas actuales en un solo dispositivo pueden garantizar la seguridad, la expansión a soporte multi-dispositivo no introduciría riesgos de seguridad adicionales.
Hemos determinado que no hay barreras técnicas para soportar el inicio de sesión concurrente en términos de seguridad. Además, si la seguridad se puede mantener adecuadamente en un solo dispositivo, no hay una preocupación mayor en extender el soporte a múltiples dispositivos. Se puede abordar sin problemas significativos.
Sin embargo, algunas medidas de producto pueden ayudar a mejorar aún más la seguridad (asumiendo que ya se ha soportado el inicio de sesión concurrente):
- Cerrar automáticamente la sesión de un dispositivo si no hay actividad durante un período de tiempo.
- Soportar la gestión de estados de inicio de sesión y monitorizar las actividades de todos los dispositivos en cada dispositivo. Esto permite a los usuarios cerrar la sesión forzadamente de otros dispositivos cuando sea necesario, para asegurar la seguridad.
- Enviar notificaciones push sobre actividades sospechosas a los dispositivos, para que los usuarios puedan juzgar si son acciones maliciosas y bloquearlas según sea necesario.
¿Existe alguna solución existente que pueda ayudar a resolver estos desafíos?
Respecto a los dos primeros problemas, no nos expandiremos demasiado, ya que estos implican consideraciones comerciales y regulatorias. Sin embargo, si estás buscando una solución de identidad que soporte el inicio de sesión concurrente, ¡Logto vale la pena echarle un vistazo!
El primer problema mencionado necesitaba rastrear de qué dispositivo proviene cada actividad. Los registros de actividad del usuario existentes de Logto ya graban la información del dispositivo, lo que puede ayudar a los usuarios de Logto a cumplir con los requisitos de cumplimiento en esta área. Dado que los requisitos de cumplimiento difieren entre regiones, puede haber contradicciones entre las reglas regulatorias en diferentes áreas. Si tienes alguna necesidad especial, no dudes en contactar al equipo de Logto.
En cuanto al segundo problema de la consolidación de cuentas, éramos conscientes de las dificultades y la importancia de múltiples métodos de inicio de sesión para cada cuenta cuando diseñamos Logto. Nuestros flujos de inicio de sesión y registro intentan prevenir la creación de cuentas redundantes, permitiendo que una cuenta sea accedida a través de diferentes métodos como Google, correo electrónico, nombre de usuario/contraseña, etc.
Con respecto a los "servicios de verificación de identidad online de terceros" mencionados en el tercer problema, los usuarios de Logto pueden integrarse con terceros para obtener esto.
El enfoque de Logto está en habilitar la compatibilidad de MFA con métodos convencionales (se lanzará en 2023H2, suscríbete a nuestro boletín informativo para recibir notificaciones!), y combinar las configuraciones con nuestra existente experiencia de inicio de sesión (Capítulo1, Capítulo2). Recibimos con gusto cualquier caso de uso de MFA para compartir con nosotros - estos darán referencias importantes para nuestro producto final. Cualquier función de Logto se adhiere a tres principios: segura, lo más fácil de usar posible, y resolución de problemas de los usuarios. Con nuestra potente configuración de experiencia de inicio de sesión, los usuarios pueden construir fácilmente un flujo de inicio de sesión/registro listo para el negocio en poco tiempo. Logto YA soporta el inicio de sesión en múltiples dispositivos. Una vez que MFA esté listo, Logto puede llevar a los usuarios a un nivel de seguridad más alto!