Português (Brasil)
  • conformidade
  • login-simultaneo
  • vários dispositivos
  • segurança
  • MFA

O que impede o seu aplicativo de permitir o login simultâneo em vários dispositivos

Com a chegada da era da colaboração entre vários dispositivos, o seu aplicativo suporta a colaboração entre dispositivos? Se não, quais problemas você está enfrentando? Neste artigo, exploraremos como um aplicativo pode dar o primeiro passo para se adaptar à colaboração entre dispositivos, permitindo o login em vários dispositivos.

Darcy Ye
Darcy Ye
Developer

Em 2023, a colaboração entre dispositivos tornou-se uma necessidade para a maioria das pessoas. Sob a liderança da Apple, vários fabricantes de terminais estão construindo seus próprios ecossistemas de dispositivos, incluindo, mas não se limitando a, transmissão de tela, compartilhamento de área de transferência, compartilhamento de dados entre dispositivos, etc. dentro do mesmo ecossistema.

Estado atual

Mesmo nesta tendência inevitável, muitas empresas de software não acompanharam a colaboração entre dispositivos. No nível mais básico, muitos aplicativos não suportam a opção da mesma conta fazer login em vários dispositivos. Quando falamos sobre login em vários dispositivos ou login simultâneo, nos referimos a fazer login na mesma conta em vários dispositivos simultaneamente, onde os estados de login entre diferentes dispositivos não afetam um ao outro e têm acessos independentes e completos.

Para esses aplicativos que não suportam login simultâneo, a abordagem normal é sair automaticamente da conta no primeiro dispositivo no momento em que o login no segundo dispositivo é bem-sucedido, sem dar nenhum aviso para informar o usuário.

Usar login automático para conveniência pode parecer benéfico para os usuários, mas pode causar problemas para o uso futuro. Por exemplo, se você foi desconectado automaticamente de um dispositivo e precisa usá-lo novamente logo depois, talvez tenha que passar por etapas de segurança extras, como inserir códigos de verificação por SMS ou fazer reconhecimento facial. Essas etapas adicionais podem trazer mais inconveniências, como precisar de iluminação específica ou poses para o reconhecimento facial, e também vêm com alguns riscos.

Você pode estar se perguntando, qual seria a abordagem preferível então? A melhor abordagem é informar aos usuários que eles só podem fazer login em um dispositivo por vez. Quando há um conflito, deve ser a escolha do usuário decidir qual dispositivo remover ou se deseja cancelar a tentativa de login no novo dispositivo. Desta forma, os usuários têm mais controle sobre a situação.

Desafios e possíveis soluções

Analisamos os aplicativos que atualmente não suportam login simultâneo e encontramos alguns problemas potenciais enfrentados por eles, estamos tentando postar esses problemas e dar nossas próprias soluções possíveis.

Requisitos de conformidade

Em alguns países e regiões, aplicativos de categorias específicas (como mensagens instantâneas e mídias sociais) requerem registro em nome real para atender aos requisitos de conformidade.

Como os aplicativos respondem aos requisitos de conformidade?

Em resposta a esses requisitos, diferentes aplicativos adotaram diferentes estratégias:

  • exigem registro em nome real
  • permitem o registro, mas só dão acesso a certos recursos após a verificação em nome real
  • atender aos requisitos de nome real indiretamente através de meios como exigir a vinculação de cartões bancários para aplicativos de pagamento

Com a existência desses requisitos, as soluções adotadas pelos diferentes aplicativos variam. Uma coisa que pode ser confirmada é que — nenhum aplicativo impedirá um usuário de criar várias contas em sua plataforma. Ou seja, eles não impõem restrições técnicas ao uso de várias contas em dispositivos diferentes, mesmo que as contas tenham o mesmo proprietário.

Pensamentos & possível solução

Se a intenção original das regulamentações era rastrear o uso e os dispositivos de uma conta através de um ID de conta único, os protocolos de autorização e a tecnologia atuais ainda podem detectar qual dispositivo específico iniciou uma atividade mesmo quando uma única conta está conectada em vários dispositivos.

Habilitar o login em vários dispositivos não necessariamente exclui a rastreabilidade regulatória. Com implementações técnicas adequadas, as atividades da conta originadas de cada dispositivo ainda podem ser distinguidas e rastreadas. Portanto, as regulamentações podem ser cumpridas sem impor restrições de dispositivo único aos usuários.

Considerações sobre o crescimento do negócio

Acreditamos que essa questão não deveria ser discutida a fundo - cada empresa tem suas razões para tomar decisões comerciais.

Um caso real que aprendemos

No entanto, como sabemos, algumas empresas incentivaram os usuários a criar várias contas como estratégia de crescimento no início. Mais tarde, essas empresas entraram em uma nova fase onde, por razões técnicas e comerciais, precisaram consolidar dados em diversas contas de um usuário, o que exigiu que suas equipes passassem anos tentando fazer uma boa consolidação de contas.

O que faríamos se fosse conosco?

Embora fazer com que os usuários criem várias contas pareça bom para o crescimento a curto prazo, a longo prazo se torna difícil para os usuários gerenciar dados entre contas, e as empresas lutam para extrair insights valiosos de muitas contas "zumbis" inativas. Isso prejudicará a experiência do usuário e aumentará os custos operacionais.

Portanto, embora incentivar várias contas por usuário possa inflar temporariamente as métricas de crescimento, cria dívidas técnicas e prejudica a experiência do usuário a longo prazo.

Razões de segurança

As preocupações de segurança são possivelmente a razão mais convincente para que os editores de aplicativos justifiquem aos usuários por que o login simultâneo em vários dispositivos não é suportado.

Muitas pessoas podem aceitar essa explicação sem pensar mais a fundo, mas tentamos encontrar as verdadeiras razões.

Medidas de segurança em vigor

Vamos considerar os aplicativos bancários, que têm requisitos rigorosos de segurança. Quando você abre um aplicativo desses, a primeira etapa é fazer o login. Muitos aplicativos bancários oferecem a conveniência de usar o Face ID ou impressão digital para desbloquear e acessar o aplicativo. No entanto, para operações mais sensíveis, como grandes transações financeiras, etapas de verificação adicionais são necessárias para garantir a segurança. Essas etapas geralmente envolvem várias formas de autenticação de múltiplos fatores (MFA) e serviços de verificação de identidade online oficial fornecidos por terceiros de confiança, muitas vezes agências governamentais.

É importante notar que a maioria dos métodos de MFA só pode confirmar que o usuário atual tem acesso ao dispositivo, mas não pode garantir que o usuário é o legítimo proprietário da conta. É possível que alguém tenha obtido as credenciais da conta por outros meios. No entanto, os serviços de verificação de identidade online de terceiros abordam essa limitação de maneira eficaz. Ao combinar o uso de MFA e verificações de identidade de terceiros para operações de alto risco, muitos dos riscos de segurança associados ao login em vários dispositivos podem ser mitigados.

O que mais podemos fazer do ponto de vista do produto?

Até agora, não encontramos nenhuma barreira técnica que impediria o suporte ao login em vários dispositivos do ponto de vista da segurança. Se as medidas atuais em um único dispositivo puderem garantir a segurança, a expansão para suporte a vários dispositivos não introduzirá riscos de segurança adicionais.

Determinamos que não há barreiras técnicas para suportar o login simultâneo em termos de segurança. Além disso, se a segurança pode ser mantida adequadamente em um único dispositivo, não há uma grande preocupação em estender o suporte a vários dispositivos. Isso pode ser resolvido sem problemas significativos.

No entanto, algumas medidas de produto podem ajudar a melhorar ainda mais a segurança (assumindo que o login simultâneo já foi suportado):

  1. Sair automaticamente de um dispositivo se não houver atividade por um período de tempo.
  2. Suportar o gerenciamento de estados de login e monitoramento de atividades para todos os dispositivos em cada dispositivo. Isso permite que os usuários forcem a saída de outros dispositivos quando necessário, para garantir a segurança.
  3. Enviar notificações push sobre atividades suspeitas para dispositivos, para que os usuários possam julgar se são ações maliciosas e bloquear conforme necessário.

Existe alguma solução existente pronta para uso que possa ajudar a resolver esses desafios?

Sobre as duas primeiras questões, não vamos expandir muito, uma vez que envolvem considerações de negócios e regulamentares. No entanto, se você está procurando uma solução de identidade que suporta login simultâneo, vale a pena conferir o Logto!

A primeira questão mencionada que precisava rastrear de qual dispositivo cada atividade se originou. Os logs de atividade do usuário existentes do Logto já registram informações do dispositivo, o que pode ajudar os usuários do Logto a atender aos requisitos de conformidade nesta área. Como os requisitos de conformidade diferem entre regiões, pode haver contradições entre as regras regulatórias em diferentes áreas. Se você tem necessidades especiais, não hesite em contatar a equipe do Logto.

Quanto à segunda questão da consolidação de contas, estávamos bem cientes das dificuldades e da importância de vários métodos de login para cada conta ao projetar o Logto. Nossos fluxos de login e registro tentam prevenir a criação de contas redundantes, permitindo que uma conta seja acessada através de diferentes métodos, como Google, e-mail, nome de usuário/senha, etc.

Com relação aos "serviços de verificação de identidade online de terceiros" mencionados na terceira questão, os usuários do Logto podem se integrar a terceiros para obter isso.

O foco do Logto é habilitar a compatibilidade MFA com métodos mainstream (será lançado em 2023H2, inscreva-se em nossa newsletter para ser notificado!), e combinando configurações com nossa experiência de login existente (Capítulo1, Capítulo2). Recebemos calorosamente qualquer caso de uso MFA para compartilhar conosco - esses fornecerão referências importantes para nosso produto final. Todo recurso do Logto adere a três princípios: seguro, o mais fácil de usar possível e solucionando problemas dos usuários. Com nossa poderosa configuração de experiência de login, os usuários podem facilmente construir um fluxo de login/registro pronto para negócios em pouco tempo. Logto JÁ suporta login em vários dispositivos. Quando MFA estiver pronto, Logto pode levar os usuários a um nível mais alto de segurança!