Português (Portugal)
  • conformidade
  • sessão simultâneo
  • vários dispositivos
  • segurança
  • MFA

O que impede a sua aplicação de permitir o início de sessão simultâneo em vários dispositivos

Com a chegada da era da colaboração multi-dispositivo, a sua aplicação suporta a colaboração entre dispositivos? Se não, quais são os problemas que está a enfrentar? Neste artigo, vamos explorar como uma aplicação pode dar o primeiro passo para se adaptar à colaboração entre dispositivos, permitindo o início de sessão em vários dispositivos.

Darcy Ye
Darcy Ye
Developer

Em 2023, a colaboração entre dispositivos tornou-se uma necessidade para a maioria das pessoas. Sob a liderança da Apple, vários fabricantes de terminais estão a construir os seus próprios ecossistemas de dispositivos cruzados, incluindo mas não limitado a transmissões de ecrã, partilha de área de transferência, partilha de dados entre dispositivos, etc. dentro do mesmo ecossistema.

Estado atual

Mesmo nesta tendência inevitável, muitas empresas de software não acompanharam a colaboração entre dispositivos. No nível mais básico, muitas aplicações não suportam a opção de a mesma conta iniciar sessão em vários dispositivos. Quando falamos de início de sessão multi-dispositivo ou simultâneo, referimo-nos ao início de sessão na mesma conta em vários dispositivos simultaneamente, onde os estados de início de sessão entre diferentes dispositivos não se afetam uns aos outros e têm acessos independentes e completos.

Para estas aplicações que não suportam o início de sessão simultâneo, a abordagem normal é sair automaticamente da conta no primeiro dispositivo no momento em que o início de sessão no segundo dispositivo é bem sucedido, sem dar qualquer aviso para informar o utilizador.

Usar o início de sessão automático para conveniência pode parecer benéfico para os utilizadores, mas pode causar problemas para uso futuro. Por exemplo, se você foi automaticamente desligado de um dispositivo e precisa usá-lo novamente em breve, você pode ter que passar por etapas de segurança extra como digitar códigos de verificação por SMS ou fazer reconhecimento facial. Estas etapas adicionais podem trazer mais inconvenientes, como a necessidade de iluminação específica ou poses para reconhecimento facial, e também trazem alguns riscos.

Você pode estar a perguntar, qual seria a abordagem preferível então? A melhor abordagem é informar os utilizadores que só podem iniciar sessão num dispositivo de cada vez. Quando há um conflito, deve ser a escolha do utilizador decidir que dispositivo remover ou se cancela a tentativa de início de sessão no novo dispositivo. Desta forma, os utilizadores têm mais controle sobre a situação.

Desafios e potenciais soluções

Analisámos aplicações que atualmente não suportam o início de sessão simultâneo e encontrámos alguns potenciais problemas enfrentados por elas, tentamos postar estes problemas e dar as nossas próprias soluções possíveis.

Requisitos de conformidade

Em alguns países e regiões, aplicações com categorias específicas (tais como mensagens instantâneas e mídia social) exigem registro de nome real para atender aos requisitos de conformidade.

Como as aplicações respondem aos requisitos de conformidade?

Em resposta a tais requisitos, diferentes aplicações adotaram diferentes estratégias:

  • exigem registro de nome real
  • permitem o registo mas só concedem acesso a certas funcionalidades após verificação de nome real
  • alcançam requisitos de nome real indiretamente através de meios como exigir ligação de cartões bancários para aplicações de pagamento

Com a existência destes requisitos, as soluções adotadas por diferentes aplicações variam. Uma coisa que pode ser confirmada é que — nenhuma aplicação vai impedir um utilizador de criar várias contas na sua plataforma. Ou seja, não impõem restrições técnicas ao uso de várias contas em dispositivos diferentes, mesmo que as contas tenham o mesmo proprietário.

Pensamentos & possível solução

Se a intenção original das regulamentações era rastrear o uso de uma conta e os dispositivos através de um ID de conta único, os protocolos de autorização atuais e a tecnologia ainda podem detectar qual dispositivo específico iniciou uma atividade mesmo quando uma única conta está conectada a vários dispositivos.

Ativar o início de sessão em vários dispositivos não exclui necessariamente a rastreabilidade regulatória. Com implementações técnicas adequadas, as atividades da conta originadas de cada dispositivo ainda podem ser distinguidas e rastreadas. Portanto, as regulamentações podem ser aderidas sem impor restrições de um único dispositivo aos utilizadores.

Considerações sobre o crescimento do negócio

Acreditamos que esta questão não deve ser discutida em grande detalhe - cada empresa tem os seus motivos para decisões comerciais.

Um caso real que aprendemos

No entanto, pelo que sabemos, algumas empresas incentivaram os utilizadores a criar várias contas como uma estratégia de crescimento no início. Mais tarde, estas empresas entraram numa nova fase onde, por razões técnicas e comerciais, precisavam de consolidar dados através das múltiplas contas de um utilizador, o que exigia que as suas equipas passassem anos a tentar fazer bem a consolidação de contas.

O que faríamos se fossemos nós?

Embora ter utilizadores a criar várias contas pareça bom para o crescimento a curto prazo, a longo prazo torna-se difícil para os utilizadores gerir dados entre contas, e as empresas lutam para extrair insights valiosos de muitas contas "zombie" inativas. Isso prejudicará a experiência do utilizador e aumentará os custos operacionais.

Portanto, embora incentivar várias contas por utilizador possa inflar temporariamente as métricas de crescimento, cria dívida técnica e prejudica a experiência do utilizador a longo prazo.

Razões de segurança

As preocupações de segurança são possivelmente a razão mais convincente para os editores de aplicações justificarem aos utilizadores porque o início de sessão simultâneo em multi-dispositivos não é suportado.

Muitas pessoas podem aceitar esta explicação sem pensar mais, mas tentámos encontrar as verdadeiras razões.

Medidas de segurança em vigor

Vamos considerar aplicações bancárias, que têm requisitos de segurança rigorosos. Quando você abre uma dessas aplicações, o primeiro passo é iniciar a sessão. Muitas aplicações bancárias oferecem a conveniência de usar Face ID ou impressões digitais para desbloquear e acessar a aplicação. No entanto, para operações mais sensíveis como grandes transações financeiras, são necessárias etapas de verificação adicionais para garantir a segurança. Estes passos muitas vezes envolvem várias formas de autenticação multifatorial (MFA) e serviços de verificação de identidade online oficiais fornecidos por terceiros confiáveis, muitas vezes agências governamentais.

É importante notar que a maioria dos métodos MFA só pode confirmar que o utilizador atual tem acesso ao dispositivo, mas não pode garantir que o utilizador é o legítimo proprietário da conta. É possível que alguém tenha obtido as credenciais da conta por outros meios. No entanto, os serviços de verificação de identidade online de terceiros abordam efetivamente esta limitação. Ao combinar o uso de MFA e verificações de identidade de terceiros para operações de alto risco, muitos dos riscos de segurança associados ao início de sessão em vários dispositivos podem ser mitigados.

O que mais podemos fazer de uma perspectiva de produto?

Até agora, não encontrámos nenhum bloqueador técnico-wise que preveniria o apoio ao início de sessão multi-dispositivo do ponto de vista de segurança. Se as medidas atuais em um único dispositivo podem garantir a segurança, a expansão para o apoio multi-dispositivo não introduziria riscos de segurança adicionais.

Determinámos que não há barreiras técnicas para apoiar o início de sessão simultâneo em termos de segurança. Além disso, se a segurança pode ser devidamente mantida num único dispositivo, não há preocupação maior em estender o suporte a vários dispositivos. Pode ser tratada sem problemas significativos.

No entanto, algumas medidas de produto podem ajudar a melhorar ainda mais a segurança (assumindo que o início de sessão simultâneo já foi suportado):

  1. Saia automaticamente de um dispositivo se não houver atividade por um período de tempo.
  2. Suportem o gerenciamento de estados de início de sessão e monitorização de atividades para todos os dispositivos em cada dispositivo. Isso permite que os utilizadores forcem a saída de outros dispositivos quando necessário, para garantir a segurança.
  3. Enviar notificações push sobre atividades suspeitas para dispositivos, para que os utilizadores possam julgar se são ações maliciosas e bloquear conforme necessário.

Existe alguma solução pronta a usar que pode ajudar a resolver estes desafios?

Quanto aos primeiros dois problemas, não vamos expandir muito, já que envolvem considerações comerciais e regulamentares. No entanto, se você está procurando por uma solução de identidade que suporte o início de sessão simultâneo, Logto vale a pena conferir!

Experimente o Logto Cloud hoje

O primeiro problema mencionado necessitava de rastrear de qual dispositivo cada atividade se origina. Os logs de atividade do utilizador existentes do Logto já registram informações do dispositivo, o que pode ajudar os utilizadores do Logto a cumprir os requisitos de conformidade nesta área. Como os requisitos de conformidade diferem entre as regiões, pode haver contradições entre as regras regulatórias em áreas diferentes. Se você tiver quaisquer necessidades especiais, não hesite em contactar a equipa Logto.

Quanto ao segundo problema de consolidação de contas, estávamos bem cientes das dificuldades e da importância de vários métodos de início de sessão para cada conta ao projetar o Logto. Nossos fluxos de início de sessão e registo tentam prevenir a criação de contas redundantes, permitindo que uma conta seja acedida através de diferentes métodos, como Google, e-mail, nome de utilizador/senha, etc.

No que se refere aos "serviços de verificação de identidade online de terceiros" mencionados no terceiro problema, os utilizadores do Logto podem integrar-se com terceiros para obter isso.

O foco do Logto é habilitar a compatibilidade MFA com métodos mainstream (será lançado em 2023H2, subscreva a nossa newsletter para ser notificado!), e combinando configurações com a nossa existente experiência de início de sessão (Capítulo1, Capítulo2). Damos as boas vindas a que partilhem connosco qualquer caso de uso MFA - essas serão referências importantes para o nosso produto final. Qualquer funcionalidade Logto adere a três princípios: segura, o mais fácil de usar possível, e soluciona problemas dos utilizadores. Com a nossa poderosa configuração de experiência de início de sessão, os utilizadores podem construir facilmente um fluxo de início de sessão/pronto para o negócio em pouco tempo. O Logto JÁ suporta o início de sessão em vários dispositivos. Assim que o MFA estiver pronto, o Logto pode levar os utilizadores a um nível mais alto de segurança!