Cosa impedisce alla tua app di consentire l'accesso simultaneo su più dispositivi

Nel 2023, la collaborazione tra dispositivi è diventata una necessità per la maggior parte delle persone. Sotto la guida di Apple, vari produttori di terminali stanno costruendo i loro propri ecosistemi di dispositivi cross, che includono, ma non sono limitati a, screen casting, condivisione degli appunti, condivisione dati tra dispositivi, ecc. all'interno dello stesso ecosistema.

Stato attuale#

Anche in questa tendenza inevitabile, molte società di software non sono riuscite a stare al passo con la collaborazione tra dispositivi. Al livello più basilare, molte app non supportano l'opzione che consente allo stesso account di accedere su più dispositivi. Quando parliamo di accesso multi-dispositivo o accesso simultaneo, ci riferiamo all'accesso allo stesso account su più dispositivi simultaneamente, dove gli stati di accesso tra dispositivi diversi non si influenzano l'un l'altro e hanno accessi indipendenti e completi.

Per queste app che non supportano l'accesso simultaneo, l'approccio normale è quello di uscire automaticamente dall'account sul primo dispositivo al momento in cui l'accesso sul secondo dispositivo ha successo, senza dare alcuna indicazione per informare l'utente.

Usare l'accesso automatico per comodità può sembrare vantaggioso per gli utenti, ma può causare problemi per l'uso futuro. Ad esempio, se sei stato disconnesso automaticamente da un dispositivo e devi usarlo di nuovo subito dopo, potresti dover superare ulteriori passaggi di sicurezza come l'inserimento di codici di verifica SMS o il riconoscimento facciale. Questi passaggi aggiuntivi possono portare più inconvenienti, come la necessità di specifiche condizioni di luce o pose per il riconoscimento facciale, e comportano anche alcuni rischi.

Potresti chiederti, qual è l'approccio preferibile in questo caso? L'approccio migliore è informare gli utenti che possono accedere solo su un dispositivo alla volta. Quando c'è un conflitto, dovrebbe essere la scelta dell'utente quella di decidere quale dispositivo rimuovere o se annullare il tentativo di accesso sul nuovo dispositivo. In questo modo, gli utenti hanno più controllo sulla situazione.

Sfide e soluzioni potenziali#

Abbiamo analizzato le app che attualmente non supportano l'accesso simultaneo e abbiamo individuato alcuni problemi potenziali a cui sono confrontate, stiamo cercando di condividere questi problemi e fornire le nostre possibili soluzioni.

Requisiti di conformità#

In alcuni paesi e regioni, le app di specifiche categorie (come la messaggistica istantanea e i social media) richiedono la registrazione con il nome reale per soddisfare i requisiti di conformità.

Come rispondono le app ai requisiti di conformità?#

In risposta a tali requisiti, diverse app hanno adottato diverse strategie:

• richiedere la registrazione con il vero nome
• permettere la registrazione ma concedere l'accesso a certe funzionalità solo dopo la verifica del vero nome
• realizzare i requisiti del vero nome indirettamente attraverso mezzi come la richiesta di legare le carte di credito per le app di pagamento

Con l'esistenza di questi requisiti, le soluzioni adottate dalle diverse app variano. Una cosa che si può confermare è che - nessuna app impedirà a un utente di creare più account sulla loro piattaforma. Questo significa che non impongono restrizioni tecniche all'uso di più account su diversi dispositivi, anche se gli account hanno lo stesso proprietario.

Riflessioni & possibile soluzione#

Se l'intento originale delle regolamentazioni era di tracciare l'uso di un account e i dispositivi attraverso un ID account unico, i protocolli di autorizzazione attuali e la tecnologia possono ancora rilevare quale dispositivo specifico ha avviato un'attività anche quando un singolo account è accessibile su più dispositivi.

Abilitare l'accesso multi-dispositivo non preclude necessariamente la tracciabilità regolamentare. Con adeguate implementazioni tecniche, le attività dell'account che provengono da ciascun dispositivo possono ancora essere distinte e tracciate. Pertanto, si possono rispettare le regolamentazioni senza imporre restrizioni di singolo dispositivo agli utenti.

Considerazioni sulla crescita aziendale#

Crediamo che questa questione non debba essere discussa a lungo - ogni azienda ha le sue ragioni per le decisioni commerciali.

Un caso reale che abbiamo appreso#

Tuttavia, come sappiamo, alcune aziende hanno incoraggiato gli utenti a creare multiple account come strategia di crescita in anticipo. Successivamente, queste aziende sono entrate in una nuova fase in cui, per ragioni tecniche e commerciali, avevano bisogno di consolidare i dati tra gli account multipli degli utenti, cosa che ha richiesto ai loro team di passare anni a cercare di fare bene la consolidazione degli account.

Cosa faremmo se fossimo noi?#

Anche se avere utenti che creano più account sembra positivo per la crescita a breve termine, sul lungo termine diventa difficile per gli utenti gestire i dati tra gli account, e le aziende fanno fatica a estrarre informazioni preziose da molti "account zombie" inattivi. Questo danneggia l'esperienza dell'utente e aumenta i costi operativi.

Quindi, anche se incoraggiare multipli account per utente potrebbe gonfiare temporaneamente le metriche di crescita, crea debito tecnico e danneggia l'esperienza dell'utente a lungo termine.

Motivi di sicurezza#

Le preoccupazioni per la sicurezza sono forse il motivo più convincente per i publisher di app di giustificare agli utenti il motivo per cui non supportano l'accesso simultaneo su più dispositivi.

Molte persone potrebbero accettare questa spiegazione senza ulteriori riflessioni, ma abbiamo cercato di trovare i motivi reali.

Misure di sicurezza in atto#

Consideriamo le app bancarie, che hanno requisiti di sicurezza rigorosi. Quando apri un'app del genere, il primo passo è fare l'accesso. Molte app bancarie offrono la comodità di usare Face ID o l'impronta digitale per sbloccare e accedere all'app. Tuttavia, per operazioni più sensibili come le grandi transazioni finanziarie, sono necessari ulteriori passaggi di verifica per garantire la sicurezza. Questi passaggi spesso coinvolgono varie forme di autenticazione multi-fattore (MFA) e servizi di verifica dell'identità online ufficiali forniti da terze parti fidate, spesso agenzie governative.

È importante notare che la maggior parte dei metodi MFA può solo confermare che l'utente attuale ha accesso al dispositivo, ma non può garantire che l'utente sia il legittimo proprietario dell'account. È possibile che qualcuno abbia ottenuto le credenziali dell'account attraverso altri mezzi. Tuttavia, i servizi di verifica dell'identità online di terzi affrontano efficacemente questo limite. Combinando l'uso della MFA e i controlli di identità di terzi per operazioni ad alto rischio, molti dei rischi di sicurezza associati all'accesso su più dispositivi possono essere mitigati.

Cosa possiamo fare da una prospettiva di prodotto?#

Finora, non abbiamo trovato blocchi tecnici che impedirebbero il supporto all'accesso multi-dispositivo da un punto di vista della sicurezza. Se le misure attuali su un singolo dispositivo possono assicurare la sicurezza, l'espansione al supporto multi-dispositivo non introdurrebbe rischi di sicurezza aggiuntivi.

Abbiamo determinato che non ci sono ostacoli tecnici al supporto dell'accesso simultaneo in termini di sicurezza. Inoltre, se la sicurezza può essere adeguatamente mantenuta su un singolo dispositivo, non c'è una grande preoccupazione nell'estendere il supporto a più dispositivi. Può essere affrontato senza significativi problemi.

Tuttavia, alcune misure di prodotto possono contribuire a migliorare ulteriormente la sicurezza (supponendo che l'accesso simultaneo sia già stato supportato):

1. Disconnettete automaticamente un dispositivo se non ci sono attività per un periodo di tempo.
2. Supportate la gestione degli stati di accesso e monitorate le attività per tutti i dispositivi su ciascun dispositivo. Questo permette agli utenti di forzare la disconnessione di altri dispositivi quando necessario, per garantire la sicurezza.
3. Spingete le notifiche sulle attività sospette ai dispositivi, in modo che gli utenti possano giudicare se si tratta di azioni malevole e bloccarle se necessario.

Esiste una soluzione esistente ad-hoc che può aiutare a risolvere queste sfide?#

Per quanto riguarda le prime due questioni, non ne parleremo troppo, poiché coinvolgono considerazioni commerciali e regolamentari. Tuttavia, se stai cercando una soluzione di identità che supporta l'accesso simultaneo, Logto vale la pena di essere controllato!

La prima questione citava la necessità di tracciare da quale dispositivo proviene ogni attività. I log delle attività utente esistenti di Logto registrano già le informazioni sul dispositivo, che possono aiutare gli utenti di Logto a soddisfare i requisiti di conformità in questo campo. Poiché i requisiti di conformità differiscono tra le regioni, potrebbero esserci contraddizioni tra le regole normative in diverse aree. Se avete bisogni speciali, non esitate a contattare il team di Logto.

Per quanto riguarda la seconda questione della consolidazione degli account, eravamo ben consapevoli delle difficoltà e dell'importanza di più metodi di accesso per ogni account quando abbiamo progettato Logto. I nostri flussi di accesso e registrazione cercano di prevenire la creazione di account ridondanti, permettendo a un solo account di essere accessibile tramite metodi diversi come Google, email, nome utente/password, ecc.

Riguardo al "servizio di verifica dell'identità online di terzi" citato nella terza questione, gli utenti di Logto possono integrarsi con terzi per ottenerlo.

L'attenzione di Logto è rivolta a consentire la compatibilità della MFA con i metodi mainstream (sarà rilasciato nel 2023H2, iscriviti alla nostra newsletter per essere avvisato!), e combinare configurazioni con la nostra esistente esperienza di accesso (Capitolo1, Capitolo2). Accogliamo con grande favore qualsiasi caso d'uso MFA da condividere con noi - quelli forniranno importanti riferimenti per il nostro prodotto finale. Tutte le caratteristiche di Logto aderiscono a tre principi: sicure, il più facili da usare possibile, e risolventi i problemi degli utenti. Con la nostra potente configurazione dell'esperienza di accesso, gli utenti possono facilmente costruire un flusso di accesso/registrazione pronto per l'azienda in pochissimo tempo. Logto SUPPORTA GIÀ l'accesso a più dispositivi. Una volta che la MFA è pronta, Logto può portare gli utenti a un livello superiore di sicurezza!