繁體中文(香港)
  • 合規
  • 同時登入
  • 多個裝置
  • 安全
  • MFA

什麼阻止你的應用程式允許多個裝置同時登入

隨着多裝置協作時代的來臨,你的應用程式是否支持跨裝置的協作?如果沒有,你面對什麼問題?在這篇文章中,我們將探討應用程式如何通過允許同時登入多個裝置來適應跨裝置協作的第一步。

Darcy Ye
Darcy Ye
Developer

Stop wasting weeks on user auth
Launch secure apps faster with Logto. Integrate user auth in minutes, and focus on your core product.
Get started
Product screenshot

在 2023 年,跨裝置協作已經成為大多數人的必要需求。在蘋果的引領下,各大終端製造商正在構建自己的跨裝置生態系統,包括但不限於同一生態系統內的投屏、剪貼板共享、裝置間數據共享等。

當前狀態

即便在這個不可避免的趨勢中,許多軟件公司還沒有跟上跨裝置協作的步伐。在最基本的層面上,許多應用程式不支持相同帳戶在多個裝置上的登入選項。當我們談論多裝置登入或同時登入時,是指在多個裝置上同時登入同一帳戶,不同裝置間的登入狀態不相互影響,且擁有獨立且完整的訪問權限。

對於那些不支持同時登入的應用程式,正常的方法是在第二個裝置的登入成功時,自動登出第一個裝置上的帳戶,而不給任何提示來告知用戶。

使用自動登入增加便利似乎對用戶有利,但可能給未來的使用帶來問題。例如,如果你在某裝置上被自動登出,並且不久後需要再次使用它,你可能需要經歷額外的安全步驟,比如輸入短信驗證碼或進行面部識別。這些額外步驟可能會增加不便,比如面部識別需要特定照明或姿勢,並且也伴隨一些風險。

你可能會想,那麼較好的方法是什麼?較好的方法是告知用戶他們只能一次登入一個裝置。當發生衝突時,應由用戶來決定移除哪個裝置或取消新的裝置上的登入嘗試。這樣,能讓用戶更好地控制局面。

挑戰和潛在的解決方案

我們分析了當前不支持同時登入的應用程式,發現它們面臨一些潛在問題,我們嘗試提出這些問題並給出我們可能的解決方案。

合規要求

在一些國家和地區,某些類別的應用程式(如即時通訊和社交媒體)需要實名註冊以符合合規要求。

應用程式如何應對合規要求?

針對這類要求,不同的應用程式采取了不同的策略:

  • 要求實名註冊
  • 允許註冊,但僅在實名驗證後授予某些功能的訪問權限
  • 通過要求綁定銀行卡等方式間接實現實名要求,針對支付應用程式

有了這些要求,不同應用程式採取的解決方案各不相同。一件可以確認的事是—— 沒有任何應用程式會阻止用戶在其平台上創建多個帳戶。也就是說,即便帳戶有相同的所有者,他們不會對跨裝置使用多個帳戶施加技術限制。

思考與可能的解決方案

如果原始的法規意圖是通過唯一帳戶 ID 跟踪帳戶的使用和裝置,即便同一帳戶登入多個裝置,當前的授權協議和技術仍然可以檢測到是哪個特定裝置啟動了一項活動。

啟用多裝置登入並不一定排除合規的可追溯性。通過適當的技術實現,來源於每個裝置的帳戶活動仍然可以區分和追蹤。因此,即便不對用戶施加單裝置限制,仍然可以遵循規例。

商業增長考量

我們相信這個問題不應過多地討論——每家公司都有其商業決策的理由。

我們學到的一個真實案例

不過,正如我們所知,有一些公司在早期將鼓勵用戶創建多個帳戶作為增長策略。隨後,這些公司進入了一個新的階段,基於技術和商業原因,他們需要整合用戶多個帳戶之間的數據,需要他們的團隊努力多年來進行成功的帳戶整合。

如果是我們的話,我們會怎樣做?

儘管讓用戶創建多個帳戶在短期內可能看起來對增長有利,但就長期來看,讓用戶難以管理跨帳戶的數據,公司難以從眾多不活躍的"僵尸帳戶"中提取有價值的見解。這將損害用戶體驗並增加運營成本。

所以,當鼓勵每個用戶創建多個帳戶可能暫時夸大增長指標時,長期來看它會創造技術債務並損害用戶體驗。

安全原因

安全問題可能是應用發行商向用戶解釋為何不支持同時多裝置登入的最有力理由。

許多人可能會毫不思考地接受這種解釋,但我們嘗試找出真正的原因。

現有的安全措施

讓我們來看看銀行應用程式,它們有嚴格的安全要求。當你開啟這類應用程式,第一步就是登入。許多銀行應用程式提供了使用 Face ID 或指紋解鎖和訪問應用程式的便利。但是,對於更敏感的操作,如大額金融交易,需要額外的驗證步驟來確保安全。這些步驟通常涉及多種形式的多因素驗證(MFA)和由可信第三方(通常是政府機構)提供的官方在線身份驗證服務。

需要注意的是,大多數 MFA 方法只能確認當前用戶可以訪問該裝置,但無法保證用戶是合法帳戶持有人。有人可能通過其他手段獲得了帳戶憑證。然而,第三方在線身份驗證服務有效地解決了這一限制。通過在高風險操作中使用 MFA 和第三方身份檢查的結合,可以減少許多與多裝置登入相關的安全風險。

從產品角度我們還能做什麼?

截至目前,我們沒有找到任何技術障礙會從安全角度阻止支持多裝置登入。如果單裝置上的現行措施能確保安全,擴展到多裝置支持不會引入額外的安全風險。

我們已經確定,在支持同時登入方面不存在安全的技術障礙。此外,如果能在單裝置上妥善維護安全,則擴展到多裝置支持沒有重大關注點。可以在沒有任何重大問題下解決。

然而,一些產品措施可以進一步改善安全(假設已經支持同時登入):

  1. 若裝置在一段時間內無活動,自動登出。
  2. 支持管理所有裝置的登入狀態並在每個裝置監控活動。這讓用戶在必要時強制登出其他裝置,以確保安全。
  3. 向裝置推送有關可疑活動的通知,使用戶可以判斷是否為惡意行為並在需要時進行攔截。

是否存在任何現成的解決方案可以幫助解決這些挑戰?

關於前兩個問題,我們不會過多擴展,因為這涉及商業和監管考量。但是,如果你在尋找支持同時登入的身份解決方案,Logto 值得檢查!

在所提到的第一個問題中,需要跟踪每個活動的裝置來源。Logto 現有的用戶活動日誌已經記錄了裝置信息,這可以幫助 Logto 用戶在這方面滿足合規要求。由於合規要求在各地區有所不同,不同地區的監管規則可能會產生矛盾。如果有任何特殊需求,請隨時 聯繫 Logto 團隊

至於第二個問題的帳戶整合,我們在設計 Logto 時就對每個帳戶的多重登入方法的重要性和困難性有很好的了解。我們的登入和註冊流程嘗試防止冗餘的帳戶創建,允許一個帳戶通過不同的方法訪問,例如 Google、電子郵件、用戶名/密碼等。

關於第三個問題中提到的「第三方在線身份驗證服務」,Logto 用戶可以集成第三方來獲得這些服務。

Logto 的重點是讓主流方法的 MFA 兼容性(將在 2023H2 發布,訂閱我們的新聞簡報以獲取通知!),並結合配置我們現有的登入體驗Chapter1Chapter2)。我們非常歡迎任何 MFA 用例分享給我們——那些將為我們的最終產品提供重要參考。任何 Logto 功能均遵循三個原則:安全、越簡易越好,以解決用戶問題。我們強大的登入體驗配置使用戶能輕鬆快速地建立商業就緒的登入/註冊流程。Logto 已經支持多裝置登入。一旦 MFA 準備好,Logto 可以將用戶的安全提升到更高的層次!