Uygulamanızın birden fazla cihazda aynı anda oturum açmayı engelleyen nedir

2023 yılında, cihazlar arası işbirliği çoğu kişi için bir zorunluluk haline gelmiştir. Apple'ın öncülüğünde, çeşitli uç üreticileri kendi cihazlar arası ekosistemlerini oluşturuyorlar, bu ekosistemler içerisinde ekran dökümü, panonun paylaşılması, cihazlar arası veri paylaşımı, vb. dahil olmak üzere birçok işlemi içeriyorlar.

Mevcut durum#

Bu kaçınılmaz trende rağmen, birçok yazılım şirketi cihazlar arası işbirliği hızına yetişemedi. En temel seviyede, birçok uygulama aynı hesabın birden fazla cihazda oturum açılmasına olanak sağlamıyor. Çoklu cihazda oturum açmayı veya aynı anda oturum açmayı konuştuğumuzda, bunun farklı cihazlarda birbirini etkilemeyen ve bağımsız ve tam erişime sahip oturum açma durumlarına işaret ediyoruz.

Bu esnada aynı anda oturum açmayı desteklemeyen uygulamalar için normal yaklaşım, ikinci cihazda oturum açma işlemi başarılı olduğunda ilk cihazdaki hesabı otomatik olarak çıkış yapmak ve kullanıcıyı bilgilendirecek bir uyarı göndermemektir.

Kolaylık için otomatik oturum açmayı kullanmak, kullanıcılara faydalı gibi görünebilir ancak gelecekteki kullanım için sorunlara neden olabilir. Örneğin, bir cihazdan otomatik olarak çıkış yaptıysanız ve kısa süre sonra tekrar kullanmanız gerekiyorsa, SMS doğrulama kodlarını girme veya yüz tanıma gibi ek güvenlik adımlarını uygulamanız gerekebilir. Bu ek adımlar, yüz tanıma için belirli bir ışıklandırmaya veya pozlara ihtiyaç duyma gibi daha fazla rahatsızlığa neden olabilir ve aynı zamanda bazı riskler içerir.

Şimdi merak ediyor olabilirsiniz, tercih edilecek yaklaşım ne olurdu? Daha iyi bir yaklaşım, kullanıcılara bir seferde sadece bir cihaza oturum açabileceklerini bildirmektir. Bir çakışma olduğunda, hangi cihazın kaldırılacağına veya yeni cihazdaki oturum açma girişiminin iptal edilip edilmeyeceğine kullanıcının karar vermesi gerekir. Bu şekilde, kullanıcılar durum üzerinde daha fazla kontrol sahibi olur.

Zorluklar ve potansiyel çözümler#

Şu anda aynı anda oturum açmayı desteklemeyen uygulamaları analiz ettik ve karşılaştıkları bazı olası sorunları bulduk, bu sorunları paylaşıp kendi olası çözümlerimizi vermeye çalışıyoruz.

Uyumluluk gereksinimleri#

Bazı ülkeler ve bölgelerde, belirli kategorilerdeki uygulamaların (örneğin anlık mesajlaşma ve sosyal medya gibi) gerçek isimli kayıt olma gerekliliği, uyumluluk gereksinimlerini karşılamaktadır.

Uygulamalar uyumluluk gereksinimlerine nasıl yanıt veriyor?#

Bu tür gereksinimlere yanıt olarak, farklı uygulamalar farklı stratejiler uyguladı:

• gerçek isim kaydını gerektir
• kayıt olmayı kabul et ancak gerçek isim doğrulamasının ardından belirli özelliklere erişime izin ver
• ödeme uygulamaları için banka kartlarının bağlanmasını gerektiren gibi yöntemlerle dolaylı yoldan gerçek isim gerekliliklerini karşılar

Bu gereksinimlerin varlığı ile birlikte, farklı uygulamalar tarafından benimsenen çözümler farklılık gösterir. Onaylanabilecek bir şey var ki — hiçbir uygulama, bir kullanıcının platformlarında birden fazla hesap oluşturmasını engellemez. Yani, aynı sahibe sahip olan birden fazla hesabın cihazlarda kullanılmasına teknik kısıtlamalar getirmezler.

Düşünceler & olası çözüm#

Eğer düzenlemelerin orijinal amacı, bir hesabın kullanımını ve cihazlarını eşsiz bir hesap ID'si aracılığıyla izlemek ise, mevcut yetkilendirme protokolleri ve teknoloji, tek bir hesabın birden fazla cihaza oturum açtığı durumda bile hangi belirli cihazın bir aktiviteyi başlattığını tespit edebilir.

Birden fazla cihazda oturum açmayı etkinleştirmek, düzenleyici izlenebilirliği mutlaka engellemeyecektir. Uygun teknik uygulamalarla, her cihazdan kaynaklanan hesap aktiviteleri ayırt edilebilir ve izlenebilir. Bu nedenle, kullanıcılara tek cihaz kısıtlamaları koymadan düzenlemelere uyulabilir.

İş büyüme düşünceleri#

Bu konunun çok detaylı bir şekilde tartışılmaması gerektiğine inanıyoruz - her şirketin ticari kararlar için kendi sebepleri vardır.

Hakkında bilgi sahibi olduğumuz gerçek bir durum#

Ancak, bildiğimiz kadarıyla, bazı şirketler erken dönemlerde bir büyüme stratejisi olarak kullanıcıları birden fazla hesap oluşturmaya teşvik etti. Daha sonra, bu şirketler teknik ve iş nedenleriyle, kullanıcılarının çoklu hesapları arasındaki verileri birleştirme aşamasına girdi, bu da ekiplerinin hesapları etkili bir şekilde birleştirmeye çalışmak için yıllar harcamasını gerektirdi.

Eğer biz olsak ne yapardık?#

Kullanıcıların birden fazla hesap oluşturması, kısa vadeli büyüme için iyi görünebilir ancak uzun vadede kullanıcıların hesaplar arası veri yönetmesi zor olur ve şirketler, birçok inaktif "zombi hesap"lardan değerli içgörüler elde etmekte zorlanır. Bu, kullanıcı deneyimini zedeleyecek ve işletme maliyetlerini artıracaktır.

Bu yüzden kullanıcı başına birden fazla hesap teşvik etmek, büyüme metriklerini geçici olarak şişirebilir ancak teknik borç yaratır ve uzun vadede kullanıcı deneyimini zedeler.

Güvenlik sebepleri#

Güvenlik endişeleri, uygulama yayıncılarının kullanıcılara neden aynı anda çoklu cihaz oturum açmasının desteklenmediğini haklı çıkarmak için muhtemelen en ikna edici neden olabilir.

Birçok kişi bu açıklamayı daha fazla düşünmeden kabul edebilir, ancak biz gerçek nedenleri bulmak için denemeye çalıştık.

Yerinde güvenlik önlemleri#

Bankacılık uygulamalarını ele alalım, bu tür uygulamaların çok sıkı güvenlik gereksinimleri vardır. Bu tür bir uygulamayı açtığınızda, ilk adım oturum açmaktır. Birçok banka uygulaması, Face ID veya parmak izi kullanarak uygulamanın kilidini açma ve erişim sağlama kolaylığı sunar. Ancak, geniş kapsamlı mali işlemler gibi daha hassas işlemler için, güvenliği sağlamak için ek doğrulama adımları gereklidir. Bu adımlar genellikle çeşitli çeşitlerde çok faktörlü kimlik doğrulama (MFA) ve genellikle devlet kurumları tarafından sağlanan resmi çevrimiçi kimlik doğrulama hizmetlerini içerir.

En önemli not olarak, çoğu MFA yöntemi yalnızca mevcut kullanıcının cihaza erişimi olduğunu onaylayabilir, ancak kullanıcının yasal hesap sahibi olduğunu garanti edemez. Birinin hesap kimlik bilgilerini başka yollarla elde etmiş olması mümkündür. Ancak, çevrimiçi üçüncü taraf kimlik doğrulama hizmetleri bu kısıtlamayı etkili bir şekilde giderir. Yüksek riskli işlemler için MFA ve üçüncü taraf kimlik kontrolünün kullanılmasının birleştirilmesi, çoklu cihaz oturum açmayla ilişkili birçok güvenlik riskini hafifletebilir.

Ürün perspektifinden başka ne yapabiliriz?#

Şu ana kadar, güvenlik açısından çoklu cihazda oturum açmayı desteklememize neden olacak teknik anlamda engeller bulmadık. Eğer mevcut önlemler tek bir cihazda güvenliği sağlayabiliyorsa, çoklu cihaz desteğine genişletmek ek güvenlik riskleri doğurmayacaktır.

Güvenlik açısından eş zamanlı oturum açmayı desteklemenin herhangi bir teknik engeli olmadığını belirledik. Dahası, güvenlik, tek bir cihazda düzgün bir şekilde sürdürülebilirse, birden fazla cihaza destek genişletme konusunda büyük bir endişe yoktur. Bu, herhangi bir önemli sorun olmadan ele alınabilir.

Ancak, bazı ürün önlemleri güvenliği daha da artırmaya yardımcı olabilir (eş zamanlı oturum açma zaten desteklenmiş olsaydı):

1. Belirli bir süre boyunca aktivite olmazsa bir cihazın oturumunu otomatik olarak sonlandırın.

2. Her cihazda tüm cihazlar için oturum açma durumlarını yönetme ve faaliyetleri izleme olanağını destekleyin. Bu, kullanıcıların gerektiğinde diğer cihazların oturumunu zorla sonlandırmasına olanak sağlar, bu da güvenliği sağlar.

3. Şüpheli aktivitelerle ilgili bildirimleri cihazlara gönderin, bu sayede kullanıcılar bunun kötü niyetli eylemler olup olmadığını değerlendirebilir ve gerektiği gibi engelleyebilir.

Bu zorlukları çözmeye yardımcı olabilecek mevcut herhangi bir çözüm var mı?#

İlk iki sorun hakkında çok fazla detay vermeyeceğiz, çünkü bunlar iş ve düzenleyici düşünceleri içerir. Ancak, eşzamanlı oturum açmayı destekleyen bir kimlik çözümü arıyorsanız, Logto'ya göz atmanızda fayda var!

İlk sorunda, her aktivitenin hangi cihazdan kaynaklandığının takip edilmesi gereksiniminden bahsedildi. Logto'nun mevcut kullanıcı aktivite günlükleri zaten cihaz bilgilerini kaydeder, bu da Logto kullanıcılarının bu alandaki uyumluluk gereksinimlerini karşılamalarına yardımcı olabilir. Uyumluluk gereksinimleri bölgelere göre değişir, bu yüzden farklı alanlardaki düzenleyici kurallar arasında çelişkiler olabilir. Herhangi bir özel ihtiyacınız varsa, Logto ekibi ile iletişime geçmekten çekinmeyin.

Hesap birleştirmenin ikinci sorununa gelince, Logto'yu tasarlarken her hesap için çoklu oturum açma yöntemlerinin zorluklarını ve önemini çok iyi biliyorduk. Oturum açma ve kayıt olma akışlarımız, tek bir hesabın Google, email, kullanıcı adı/şifre, vb. gibi farklı yöntemlerle erişilebilir olmasını sağlamak için gereksiz hesap oluşturmayı önlemeye çalışır.

Üçüncü sorunda bahsedilen "üçüncü taraf çevrimiçi kimlik doğrulama hizmetleri" ile ilgili olarak, Logto kullanıcıları, bu hizmeti elde etmek için üçüncü taraflarla entegrasyon yapabilir.

Logto'nun odaklandığı nokta, ana akım yöntemlerle uyumluluğu desteklemektir (2023H2'de yayınlanacak, bültenimize abone olun ve duyurulardan haberdar olun!), mevcut ** oturum açma deneyimimiz** ile (Chapter1, Chapter2) birlikte ayarları bir araya getirir. Herhangi bir MFA kullanım durumlarını bizimle paylaşmanızı kesinlikle paylaşıyoruz - bunlar, final ürünümüz için önemli referanslar sağlayacaktır. Logto özelliği üç prensibe bağlıdır: güvenli, güvenli, olabildiğince kullanımı kolay ve kullanıcıların sorunlarını çözme. Güçlü oturum açma deneyimi yapılandırmamızla, kullanıcılar çok az zamanda işletmelere yönelik hazır bir oturum açma/kayıt akışı oluşturabilirler. Logto ZATEN çoklu cihaz oturum açmayı desteklemektedir. MFA hazır olduğunda, Logto kullanıcılarına daha yüksek bir güvenlik seviyesine getirebilir!