Co uniemożliwia twojej aplikacji jednoczesne logowanie na wielu urządzeniach

W 2023 roku współpraca między urządzeniami stała się koniecznością dla większości osób. Pod wodzą Apple'a różni producenci terminali budują swoje własne ekosystemy współpracy między urządzeniami, obejmujące (ale nie ograniczające się do) transmisje ekranu, udostępnianie schowka, udostępnianie danych między urządzeniami itp. w ramach tego samego ekosystemu.

Aktualny stan#

Pomimo tego nieuniknionego trendu wiele firm programistycznych nie nadąża za współpracą między urządzeniami. Na najbardziej podstawowym poziomie wiele aplikacji nie obsługuje opcji logowania tego samego konta na wielu urządzeniach. Kiedy mówimy o logowaniu na wiele urządzeń lub jednoczesnym logowaniu, mamy na myśli logowanie na to samo konto na wielu urządzeniach jednocześnie, gdzie stany logowania między różnymi urządzeniami nie wpływają na siebie i mają niezależne i pełne dostępy.

Dla tych aplikacji, które nie obsługują jednoczesnego logowania, normalnym podejściem jest automatyczne wylogowanie konta na pierwszym urządzeniu w momencie, gdy logowanie na drugim urządzeniu powiedzie, bez informowania użytkownika.

Używanie automatycznego logowania dla wygody może wydawać się korzystne dla użytkowników, ale może powodować problemy w przyszłym użyciu. Na przykład, jeśli zostałeś automatycznie wylogowany z urządzenia i musisz go użyć ponownie krótko po tym, możesz musieć podjąć dodatkowe kroki zabezpieczające, takie jak wprowadzanie kodów weryfikacyjnych SMS lub wykonanie rozpoznawania twarzy. Te dodatkowe kroki mogą przynieść więcej niedogodności, takich jak konieczność specjalnego oświetlenia lub pozycji do rozpoznawania twarzy, a także wiążą się z pewnymi ryzykami.

Możesz się zastanawiać, jaka byłaby preferowane podejście? Lepszym rozwiązaniem jest poinformowanie użytkowników, że mogą zalogować się tylko na jedno urządzenie na raz. W przypadku konfliktu użytkownik powinien decydować, które urządzenie usunąć lub czy anulować próbę zalogowania na nowym urządzeniu. W ten sposób użytkownicy mają większą kontrolę nad sytuacją.

Wyzwania i potencjalne rozwiązania#

Analizowaliśmy aplikacje, które obecnie nie obsługują jednoczesnego logowania i znaleźliśmy potencjalne problemy, z którymi one się borykają, staramy się te problemy zgłosić i dać nasze możliwe rozwiązania.

Wymagania zgodności#

W niektórych krajach i regionach aplikacje z określonymi kategoriami (takimi jak komunikatory i media społecznościowe) wymagają od użytkowników rejestracji pod prawdziwym nazwiskiem, aby spełniać wymagania zgodne z prawem.

Jak aplikacje odpowiadają na wymagania zgodności?#

W odpowiedzi na te wymagania różne aplikacje przyjęły różne strategie:

• wymagają rejestracji pod prawdziwym nazwiskiem
• pozwalają na założenie konta, ale udzielają dostępu do niektórych funkcji dopiero po zweryfikowaniu prawdziwego imienia i nazwiska
• osiągają wymagania dotyczące prawdziwego imienia i nazwiska pośrednio, na przykład poprzez wymaganie powiązania kart bankowych dla aplikacji płatniczych

Przy istnieniu tych wymagań rozwiązania przyjmowane przez różne aplikacje różnią się. Jedno można potwierdzić — żadna aplikacja nie powstrzyma użytkownika przed utworzeniem wielu kont na swojej platformie. To znaczy, że nie nakładają one technicznych ograniczeń na korzystanie z wielu kont na różnych urządzeniach, nawet jeżeli konta mają tego samego właściciela.

Przemyślenia & możliwe rozwiązanie#

Jeśli pierwotnym celem regulacji było śledzenie użytkowania konta i urządzeń za pomocą unikalnego ID konta, obecne protokoły autoryzacji i technologia nadal mogą wykrywać, które konkretne urządzenie zainicjowało aktywność, nawet gdy jedno konto jest zalogowane na wiele urządzeń.

Włączenie logowania na wiele urządzeń nie oznacza koniecznie utraty możliwości śledzenia regulacji. Dzięki odpowiedniej implementacji technologicznej aktywności konta pochodzące z każdego urządzenia nadal można odróżnić i śledzić. Dlatego uregulowania mogą być przestrzegane bez nakładania jedno urządzenie restrykcje na użytkowników.

Rozważania dotyczące wzrostu biznesowego#

Wierzymy, że nie powinno się nad tym zagadnieniem za długo dyskutować - każda firma ma swoje powody do podejmowania decyzji komercyjnych.

Prawdziwy przypadek, o którym się dowiedzieliśmy#

Jednak, jak wiemy, niektóre firmy na początku zachęcały użytkowników do tworzenia wielu kont jako strategię wzrostu. Później te firmy wkroczyły w nową fazę, gdzie ze względów technicznych i biznesowych musiały konsolidować dane z wielu kont użytkownika, co wymagało od ich zespołów wieloletnich prób dobrze wykonania konsolidacji kont.

Co byśmy zrobili, gdybyśmy byli na ich miejscu?#

Choć posiadanie przez użytkowników wielu kont wygląda dobrze pod kątem krótkoterminowego wzrostu, w dłuższej perspektywie staje się trudne dla użytkowników zarządzanie danymi między kontami, a firmy mają trudności z wydobyciem cennych informacji z wielu nieaktywnych "kont-zombie". To negatywnie wpływa na doświadczenia użytkowników i zwiększa koszty operacyjne.

Więc choć zachęcanie do posiadania wielu kont przez jednego użytkownika może tymczasowo zwiększać wskaźniki wzrostu, tworzy to dług techniczny i szkodzi doświadczeniu użytkownika na dłuższą metę.

Powody związane z bezpieczeństwem#

Obawy o bezpieczeństwo są prawdopodobnie najbardziej przekonującym argumentem dla wydawców aplikacji, aby usprawiedliwić użytkownikom, dlaczego nie obsługują jednoczesnego logowania na wielu urządzeniach.

Wiele osób może przyjąć to wyjaśnienie bez dalszych zastanowień, ale staraliśmy się znaleźć prawdziwe powody.

Istniejące środki bezpieczeństwa#

Rozważmy aplikacje bankowe, które mają surowe wymagania dotyczące bezpieczeństwa. Kiedy otwierasz taką aplikację, pierwszym krokiem jest zalogowanie się. Wiele aplikacji bankowych oferuje wygodę korzystania z Face ID lub odcisku palca do odblokowania i dostępu do aplikacji. Jednak w przypadku bardziej wrażliwych operacji, takich jak duże transakcje finansowe, konieczne są dodatkowe kroki weryfikacji, aby zapewnić bezpieczeństwo. Te kroki często obejmują różne formy wieloczynnikowego uwierzytelnienia (MFA) oraz oficjalne usługi weryfikacji tożsamości online oferowane przez zaufane strony trzecie, często agencje rządowe.

Ważne jest, aby zauważyć, że większość metod MFA może tylko potwierdzić, że obecny użytkownik ma dostęp do urządzenia, ale nie mogą zagwarantować, że użytkownik jest prawowitym właścicielem konta. Możliwe jest, że ktoś uzyskał dane uwierzytelniające konta innymi sposobami. Jednak usługi weryfikacji tożsamości online przez inne firmy skutecznie rozwiązują ten problem. Łącząc użycie MFA i sprawdzania tożsamości przez strony trzecie dla operacji o wysokim ryzyku, można zminimalizować wiele zagrożeń związanych z logowaniem na wiele urządzeń.

Co jeszcze możemy zrobić z perspektywy produktu?#

Dotychczas nie znaleźliśmy żadnych przeszkód technicznych, które uniemożliwiałyby obsługę logowania na wiele urządzeń z punktu widzenia bezpieczeństwa. Jeśli obecne środki na jednym urządzeniu mogą zapewnić bezpieczeństwo, rozszerzenie na wsparcie dla wielu urządzeń nie wprowadza dodatkowych zagrożeń dla bezpieczeństwa.

Stwierdziliśmy, że nie ma żadnych technicznych barier dla obsługi jednoczesnego logowania pod względem bezpieczeństwa. Ponadto, jeśli bezpieczeństwo może być odpowiednio utrzymane na jednym urządzeniu, nie ma większych obaw co do rozszerzenia wsparcia na wiele urządzeń. Można to zrobić bez żadnych poważnych problemów.

Jednak niektóre środki produktowe mogą pomóc dodatkowo poprawić bezpieczeństwo (zakładając, że już obsługiwane jest jednoczesne logowanie):

1. Automatycznie wyloguj urządzenie, jeśli nie jest używane przez określony czas.
2. Obsługa zarządzania stanami logowania i monitorowania aktywności dla wszystkich urządzeń na każdym urządzeniu. Daje to użytkownikom możliwość wymuszenia wylogowania innych urządzeń w razie potrzeby, aby zapewnić bezpieczeństwo.
3. Powiadomienia push o podejrzanych aktywnościach na urządzenia, dzięki czemu użytkownicy mogą ocenić, czy są to złośliwe działania i zablokować je w razie potrzeby.

Czy istnieje jakieś gotowe rozwiązanie, które mogłoby pomóc rozwiązać te wyzwania?#

Jeśli chodzi o pierwsze dwa problemy, nie będziemy się nad nimi zbyt długo rozpisywać, ponieważ dotyczą one rozważań biznesowych i regulacyjnych. Jednak jeśli szukasz rozwiązania tożsamości obsługującego jednoczesne logowanie, warto sprawdzić Logto!

Pierwszy problem wymaga śledzenia, z jakiego urządzenia pochodzi każda aktywność. Istniejące dzienniki aktywności użytkowników Logto już rejestrują informacje o urządzeniach, co może pomóc użytkownikom Logto spełniać wymagania zgodności w tym obszarze. Ponieważ wymagania zgodności różnią się w zależności od regionu, mogą występować sprzeczności między regulacjami w różnych obszarach. Jeśli masz jakiekolwiek specjalne potrzeby, nie wahaj się skontaktować się z zespołem Logto.

Co do drugiego problemu konsolidacji kont, byliśmy świadomi trudności i znaczenia wielu sposobów logowania do każdego konta podczas projektowania Logto. Nasze przepływy logowania i zakładania kont starają się zapobiegać tworzeniu zbędnych kont, umożliwiając jednemu kontu dostęp poprzez różne metody, takie jak Google, e-mail, nazwa użytkownika/hasło itp.

W odniesieniu do "usług weryfikacji tożsamości online przez inne firmy" wspomnianych w trzecim problemie, użytkownicy Logto mogą zintegrować się ze stronami trzecimi, aby to uzyskać.

Skupienie Logto polega na umożliwieniu zgodności MFA z powszechnymi metodami (będzie wydawany w 2023H2, zapisz się do naszego newslettera, aby być na bieżąco!), oraz łączenie konfiguracji z naszym istniejącym doświadczeniem logowania (Rozdział1, Rozdział2). Gorąco zachęcamy do dzielenia się z nami przypadkami użycia MFA - te staną się ważnymi referencjami dla naszego finalnego produktu. Każda funkcja Logto przestrzega trzech zasad: jest bezpieczna, jak najłatwiejsza w użyciu i rozwiązuje problemy użytkowników. Dzięki potężnej konfiguracji doświadczenia logowania użytkownicy mogą łatwo zbudować gotowy do biznesu przepływ logowania/rejestracji. Logto JUŻ obsługuje logowanie na wiele urządzeń. Kiedy MFA będzie gotowy, Logto może przenieść użytkowników na wyższy poziom bezpieczeństwa!