En el pasado, siempre he usado una única sesión por configuración de usuario, pero ahora estoy trabajando en un proyecto donde un usuario puede iniciar sesión desde varias ubicaciones / navegadores al mismo tiempo.
¿Cuáles son los problemas de seguridad para las sesiones simultáneas únicas frente a las múltiples por cuenta? ¿Se considera que un método es la mejor práctica sobre el otro? ¿Qué otras consideraciones se deben hacer y cómo se debe implementar la solución ideal?
Personalmente no veo ningún problema de seguridad en el hecho de que el usuario pueda iniciar sesión desde varias ubicaciones al mismo tiempo.
Sin embargo, cuando esto sucede, podría indicar que la cuenta está comprometida y que otro usuario la utiliza al mismo tiempo. Creo que la mejor solución sería informar al usuario de la situación ("Oye, ya has iniciado sesión en otra ubicación") y darle la opción de descartar la advertencia o de tomar medidas (generalmente, cambiar su contraseña) .
Obviamente, sería necesario usar una autenticación más sólida antes de realizar cualquier acción en la cuenta.
Para agregar a las otras respuestas, existe otra preocupación sobre el hecho de permitir múltiples inicios de sesión desde una sola cuenta, ya que permite a los usuarios compartir inicios de sesión en el sistema, lo que a su vez podría afectar cualquier rastro de auditoría que la aplicación almacene. .
Mi opinión en cuanto a la implementación de esto sería que la mejor manera de manejarlo sería que cuando un usuario que ya ha iniciado sesión intenta autenticarse, le notifique que ya ha iniciado sesión y les pregunte si desea hacerlo. para cerrar sesión en el otro sistema e iniciar sesión en su ubicación actual. Si lo hacen, termina la sesión existente.
Si la cuenta ha sido comprometida, es estadístico que el atacante no la use al mismo tiempo que el usuario legítimo. Puede ser útil detectar cuentas utilizadas desde múltiples ubicaciones y reaccionar a patrones sospechosos (teniendo en cuenta que es necesario administrar la experiencia del usuario en falsos positivos), pero detectar específicamente los inicios de sesión simultáneos no ayuda.
El inicio de sesión múltiple desde una ubicación puede ser que el usuario desee utilizar un navegador diferente (la probabilidad depende en gran medida de la técnica de sus usuarios). Por otro lado, podría ser alguien que esté olfateando activamente una conexión wifi. Esto es especialmente relevante si el diseño de su aplicación hace que sea más fácil para un rastreador agarrar la cookie del usuario que obtener sus datos de autenticación, pero podría decirse que si está haciendo algo incorrecto, como no usar HTTPS para todo lo que debería. Además, tenga en cuenta que si el atacante está utilizando el mismo navegador detrás del mismo NAT, es posible que no pueda decirle al atacante de manera confiable el usuario legítimo.
Cambiar a una ubicación diferente puede ser que el usuario cambie de un dispositivo a otro (saliendo de casa y cambiando a mi celular). Incluso podría tratarse de un dispositivo móvil que cambia de proveedor de IP (salirse del alcance de la conexión wifi gratuita del campus y cambiar a mi conexión 3G).
Para la mayoría de las aplicaciones, permitir inicios de sesión simultáneos y tratar las conexiones de ubicaciones inusuales (no necesariamente simultáneas) como sospechosas. Una notificación (no de miedo ("has sido hackeado") o disruptiva (una pancarta, no es una ventana emergente modal), solo informativa) de ubicaciones anteriores y concurrentes puede alertar al usuario; asegúrese de proporcionar una manera para que el usuario averigüe qué debe hacer si cree que algo no está sucediendo. Algunas aplicaciones, como la banca, deberían usar reglas más estrictas, pero esa no es la norma.
Lea otras preguntas en las etiquetas authentication session-management