Skip to main content
    Identidade do Consumidor · Autenticação

    Ligação de Conta Bidirecional Verificada através de uma Plataforma de Identidade de Nove Marcas

    Apple, Google e login por palavra-passe, unificados por uma conta partilhada, ligados apenas após um desafio de código de email.

    Um grupo de consumidores composto por nove marcas permite aos clientes iniciar sessão com a Apple, Google ou email e palavra-passe, e reutilizar uma única conta em cada marca. Quando uma nova identidade Apple ou Google correspondia a uma conta existente por email, a plataforma não os ligava automaticamente. Primeiro fez um desafio ao código de email para provar que o cliente controlava essa caixa de entrada. Liderei o design de identidade que tornou o acesso social seguro e reutilizável: deteção do mesmo email, ligação bidirecional verificada, OTP baseado em risco, gestão por retransmissão privada, desvinculação de fornecedores após alteração de email e bloqueio ao nível da conta em todas as nove marcas.

    Diagrama isométrico da plataforma de identidade: nove experiências de marca alimentam um hub partilhado de identidade de clientes, gateways de fornecedores Apple e Google com Share My Email e Hide My Email, uma camada segura de resolução de identidade, um desafio de código de email e verificação OTP, níveis de risco baixos, médios, altos e indeterminados, e bloqueio ao nível da conta em todas as interfaces.

    Imagem gerada com IA

    Os nomes dos clientes e das marcas são anonimizados. Os números são aproximados e baseiam-se na proporção de visitantes fornecida pelo cliente. Não foram fornecidas divisões separadas para Apple versus Google, registo versus início de sessão, novas contas versus contas previamente ligadas, e fraude ou redução de suporte e ficam por quantificar.

    Função

    AI Product Manager

    Fornecedores

    Início de sessão da AppleIniciar sessão no GoogleEmail + palavra-passe

    Verificação

    Desafio de código de emailOTP baseado em riscoBloqueio por falhas repetidas

    Identidade

    Conta partilhada entre marcasResolução de identidade do lado do servidorDesvinculação de fornecedores

    Privacidade

    Apple Partilhar o Meu EmailApple Hide My Email Relay

    Escala e Controlos

    Nove marcas de consumoLigação bidirecional Apple ↔ GoogleBloqueio ao nível da contaRecuperação segura de falhas do fornecedor

    01 Contexto & Problema

    Um grupo de consumidores geria nove marcas distintas numa única plataforma partilhada de clientes. Um cliente pode criar uma conta uma vez e reutilizá-la em todo o lado, iniciando sessão com a Apple, Google ou email e palavra-passe. O login social destinava-se a ser uma entrada principal, não uma conveniência secundária, por isso a mesma pessoa muitas vezes chegava através de fornecedores diferentes em momentos distintos: Google numa marca, Apple noutra, e uma palavra-passe mais tarde.

    Essa flexibilidade criou um problema de identidade. Quando um cliente iniciava sessão com uma nova identidade Apple ou Google cujo email já pertencia a uma conta existente, a plataforma tinha de decidir o que fazer. Ligar os dois automaticamente apenas numa correspondência de email seria inseguro: um endereço de email correspondente sugere uma relação, mas não prova que a pessoa que faz login controla realmente essa caixa de entrada. A plataforma precisava de uma forma de ligar identidades compatíveis da Apple e Google a uma única conta partilhada sem nunca conceder acesso a uma correspondência de email por si só, e fazê-lo de forma consistente em todas as nove marcas, incluindo os casos embaraçosos: endereços privados de retransmissão da Apple, contas com palavra-passe, logins arriscados e falhas de operadores.

    02 Papel e Restrições

    Como AI Product Manager , assumi o design de identidade e ligação de contas de ponta a ponta: as jornadas de autenticação em todas as nove marcas, a lógica de deteção e resolução de emails iguais, o modelo de verificação que bloqueava a ligação bloqueada, a política de desafios baseada em risco, o tratamento de relés privados, as regras de desvinculação e re-verificação na alteração de email, a política de bloqueio e o comportamento de falha segura para falhas de fornecedores. O princípio orientador era que a correspondência de emails podia iniciar uma jornada de ligação, mas nunca a completar. O cliente tinha sempre de demonstrar o acesso ao email associado à conta existente antes de dois métodos de autenticação serem associados a um único perfil.

    As limitações eram concretas. A ligação tinha de ser bidirecional e independente da ordem: primeiro a Google, depois a Apple, ou a Apple primeiro e depois a Google, tinham de chegar à mesma conta partilhada. O Esconder o Meu Email da Apple teve de ser tratado separadamente, porque um endereço de retransmissão privada que não corresponde ao email real da conta do cliente não pode estar silenciosamente ligado a essa conta. A verificação teve de reutilizar o mesmo mecanismo de desafio de código já confiado para autenticação de alto risco, pelo que a ligação herdou controlos comprovados em vez de inventar novos. O risco tinha de modular o atrito: os registos de baixo risco deveriam manter-se sem atrito, enquanto o risco médio, elevado e indeterminado exigia um OTP. As falhas repetidas tinham de ser contidas através de uma política de bloqueio aplicada ao nível da conta, em todas as marcas, não por marca. E as falhas dos fornecedores tinham de ser seguras, nunca deixando um cliente com uma conta parcial ou duplicada.

    03 Abordagem do Produto

    A reformulação principal foi tratar uma correspondência por email como o início de uma jornada de verificação, e não como prova de propriedade. Quando a Apple ou a Google autenticavam um cliente, a resposta do fornecedor e o seu email eram resolvidos do lado do servidor contra a plataforma de contas partilhadas. Se o email correspondesse a uma conta existente, a plataforma ainda não ligou nada. Emitia um código único para o email da conta existente e ligava o novo fornecedor apenas depois de o cliente introduzir esse código. Dois métodos de autenticação foram associados a um perfil cruzado de marcas apenas depois de demonstrada a propriedade.

    O mesmo caminho verificado cobria ambas as direções de ligação. Se um cliente criasse uma conta na Google e depois escolhesse Continuar com a Apple usando o mesmo email partilhado, o sistema detetava a conta existente, enviava um código para o email e ligava a Apple após a verificação bem-sucedida. O inverso, o Partilhar o Meu Email da Apple primeiro e o Google depois, resolveu-se para a mesma conta partilhada através do mesmo desafio. Após a ligação, o cliente podia iniciar sessão com a Apple, com a Google ou com email e palavra-passe onde uma tivesse sido configurada, e ficar na mesma conta.

    O Esconder o Meu Email da Apple manteve-se num caminho deliberadamente separado. Quando o endereço de retransmissão privada não correspondia ao email pessoal não divulgado do cliente, as identidades não eram elegíveis para ligação ao mesmo email. Em vez de ligar o relé a uma conta não relacionada, a plataforma mostrou uma explicação de acesso limitado e criou uma conta de email de retransmissão separada. Para além da ligação inicial, a mesma conta tinha o seu próprio ciclo de vida: um cliente podia definir uma palavra-passe numa conta social, alterar o email principal (que desvinculava o fornecedor social anterior e exigia reverificação), e cada login que retornava passava por avaliação de risco antes de a sessão ser emitida.

    A reformulação

    Um email correspondente parece prova de identidade, mas é apenas um sinal. A plataforma usou-o para abrir uma jornada de verificação, nunca para conceder acesso. As identidades compatíveis da Apple e da Google eram ligadas a uma única conta partilhada apenas depois de o cliente completar um desafio de código de email, pelo que uma correspondência iniciava a verificação em vez de fundir automaticamente dois logins.

    04 Características Construídas

    Login Apple & Google

    Um orquestrador de autenticação rota: Continue com a Apple, Continue com o Google e login por palavra-passe em todas as nove marcas.

    Conta partilhada entre marcas

    Um cliente cria uma conta uma vez e reutiliza-a em todas as marcas, seja qual for o fornecedor através do qual chegue.

    Deteção do mesmo email

    A resolução de identidade do lado do servidor sinaliza quando o email de um novo fornecedor já pertence a uma conta existente.

    Desafio de código de email

    Deve ser introduzido um código único enviado para o email da conta existente antes de dois fornecedores estarem ligados.

    Ligação bidirecional

    Primeiro a Google, depois a Apple, ou a Apple primeiro e depois a Google, resolve-se para a mesma conta partilhada através do mesmo desafio.

    Caminho de relé privado Apple

    Ocultar os meus endereços de email que não correspondem não estão ligados; Em vez disso, cria-se uma conta de email de retransmissão separada.

    OTP baseado em risco

    Os registos de baixo risco têm direito a uma sessão; Risco médio, elevado e indeterminado exigem um OTP por email antes do acesso.

    Bloqueio ao nível da conta

    Falhas repetidas de OTP, código ou palavra-passe bloqueiam a conta partilhada em todas as nove interfaces das marcas.

    Configuração de palavra-passe para redes sociais

    Os clientes podem adicionar um login por email e palavra-passe a uma conta criada inicialmente através de um fornecedor social.

    Desvinculação do fornecedor após alteração de email

    Alterar o email principal desliga o fornecedor social anterior e requer a verificação do prestador.

    Recuperação segura de falhas do fornecedor

    Falhas nos serviços Apple ou Google devolvem um erro seguro e tentam novamente, impedindo contas parciais ou duplicadas.

    Palavra-passe + paridade social

    Uma vez configurada uma palavra-passe, o email e a palavra-passe funcionam em conjunto com a Apple e a Google como um login igual.

    Também foram enviados: configuração de palavra-passe para contas sociais, email e palavra-passe como login adicional depois de configurados, alterações de email com controlo de palavra-passe, nova verificação do fornecedor após alteração de email, gestão de risco indeterminado e uma jornada de segurança consistente independentemente da marca de onde o cliente partiu.

    Arquitetura 05

    Nove experiências de marca alimentaram um único orquestrador de autenticação. Um cliente que chegava através de qualquer marca era encaminhado para o mesmo fluxo: continuar com a Apple, continuar com o Google, ou email e palavra-passe. As respostas da Apple e da Google passaram por validação de resposta por provedor e depois resolução de identidade na plataforma de contas partilhadas, enquanto os logins por palavra-passe foram resolvidos diretamente para a conta partilhada. A resolução de identidade colocou duas perguntas em ordem: este fornecedor já está ligado e, se não, existe uma conta de email compatível elegível para ligar.

    CustomerNine brand experiencesAuthentication OrchestratorSign-in optionsApple Sign-InShare / Hide My EmailGoogle Sign-InEmail + PasswordProvider responseProvider Response ValidationApple & GooglePassword pathIdentity ResolutionAlready linked? · Same-email?Eligible email matchApple relay emailAlready linkedEmail Code ChallengeCode to existing emailRelay-Email AccountHide My Email · new accountVerified · linkedNew accountShared Cross-Brand AccountActiveRisk CategoryLow · Med · High · Undet.Email One Time PasswordMed / High / undeterminedAuthenticated SessionCross-brand accessMed / HighValidLow risk · Direct sessionSession issuedSigned InAccess all nine brandsRepeated failuresAccount BlockingAll nine brandsAnalytics & Data Layer · events + audit logsSafe recovery · retry

    A partir daí, o fluxo ramificou-se para resultados claramente limitados. Uma correspondência de email elegível emitia um código de ligação ao email da conta existente; Após verificação bem-sucedida, o fornecedor era ligado; em caso de falha, a tentativa era rejeitada e registada. Um email de retransmissão da Apple que não correspondia foi encaminhado para uma explicação de acesso limitado e uma conta de retransmissão separada. Uma vez resolvido para uma conta partilhada entre marcas, o estado da conta era verificado: uma conta bloqueada era mostrada como bloqueada, uma conta ativa era classificada numa categoria de risco. Baixo risco emitia uma sessão autenticada diretamente; o risco médio, elevado e indeterminado enviou um OTP de autenticação, e repetidos desafios falhados, até um limiar fixo, bloquearam a conta partilhada em todas as nove marcas. A própria conta expôs a configuração de palavras-passe e alterações de email, onde alterar o email principal desvinculou o fornecedor social anterior e exigiu uma nova verificação do fornecedor. Falhas no serviço do fornecedor não criaram um estado parcial: devolveram um erro seguro e uma nova tentativa que foi encaminhada de volta para o mesmo orquestrador, pelo que uma chamada falhada da Apple ou Google nunca produziu uma conta meio ligada ou duplicada. O limite de ligação combinava três verificações: uma resposta validada do fornecedor, uma correspondência compatível com o mesmo email e um desafio de código de email bem-sucedido, e as submissões falhadas de código passavam pela mesma política de controlo e bloqueio de desafios que os OTPs de risco.

    06 Medição e Análise

    As jornadas de identidade foram medidas como um funil desde a autenticação do fornecedor até à resolução, verificação e emissão da sessão, para que uma queda pudesse ser rastreada até à fase que a causou: resposta do fornecedor, deteção do mesmo email, contestação de código, pontuação de risco ou bloqueio. Os dados disponíveis apoiaram uma estimativa combinada de adoção, cerca de quarenta mil de cem mil visitantes diários por marca usando uma via Apple, Google ou associada a contas, mas deliberadamente não exageraram o que não podiam separar. Apple versus Google, registo versus retorno de login, contas recentemente ligadas versus anteriormente ligadas, desafios de código bem-sucedidos versus abandonados, contas Apple de relay-email versus email partilhado, e qualquer redução de contas duplicadas, fraudes ou contactos de suporte foram deixados por quantificar até que as suas análises subjacentes estivessem disponíveis, em vez de reportadas como números precisos.

    Métricas de adoção

    Quota de visitantes diários por marca que utiliza uma experiência Apple, Google ou conta ligada, agregada entre as nove marcas.

    Funil de verificação

    Resposta do fornecedor, deteção do mesmo email, código enviado, código verificado e ligação ao prestador, medido etapa a etapa.

    Risco e métricas OTP

    Distribuição por categorias de risco, taxas de desafio dos OTPs para risco médio, elevado e indeterminado, e sucesso e abandono dos OTPs.

    Métricas de falha e bloqueio

    Códigos de ligação falhados, OTPs de risco e palavras-passe contavam para o limiar fixo e os blocos ao nível da conta aplicados.

    Métricas de fornecedor e retransmissão

    Contas Apple de email de retransmissão versus email partilhado, e falhas no serviço de prestadores encaminhadas para uma retentativa segura.

    07 Verificação e Tomada de Decisão de Risco

    A camada de decisão respondeu a uma sequência de perguntas restritas em vez de um único sim ou não. Este fornecedor já está ligado? Se não, existe uma conta de email compatível elegível, ou é um endereço Apple relay que não é elegível? Se for elegível, o cliente já provou a propriedade através do desafio do código de email? E em cada início de sessão resolvido, qual é a categoria de risco da conta, e isso exige um OTP antes de a sessão ser emitida? Baixo risco continuou para uma sessão autenticada; o risco médio, elevado e indeterminado exigia um OTP por email; e falhas repetidas, quer num código de ligação, num OTP de risco ou numa palavra-passe, eram contabilizadas através de um mecanismo partilhado de controlo de desafios que bloqueava a conta a um limiar fixo. O risco aqui modulava o atrito e a força de verificação; não decidia a identidade por si só, e nunca substituiu a prova de propriedade que bloqueava a ligação.

    O que a ligação exigia, e o que nunca assumiu

    A ligação de contas foi protegida por um desafio de código, não foi concluída por correspondência por email. O limite combinava uma resposta validada da Apple ou Google, uma conta de email compatível com o mesmo email e uma verificação de email bem-sucedida. Um email correspondente abriu a jornada; O cliente ainda tinha de demonstrar o acesso ao email na conta existente antes de dois logins estarem associados a um perfil cross-brand.

    08 Estado e Desfecho

    A implementação estabeleceu a autenticação social como um canal de acesso principal em vez de uma opção secundária de login. Os clientes podiam registar-se na Apple ou Google, reutilizar a mesma conta em todas as nove marcas, associar identidades compatíveis da Apple e Google após um desafio de código de email, adicionar uma palavra-passe a uma conta social e avançar por uma jornada de segurança consistente, independentemente da marca de origem. Cada marca recebeu cerca de cem mil visitantes diários, e cerca de quarenta mil por marca por dia usaram uma jornada Apple, Google ou conta ligada: estima-se quarenta por cento de envolvimento com redes sociais ou acesso associado. Em todas as nove marcas, isso representa aproximadamente novecentos mil visitantes diários e cerca de trezentas e sessenta mil viagens diárias de redes sociais ou contas associadas. O resultado foi uma base de autenticação partilhada em que a Apple, o Google e o acesso por palavra-passe operavam como métodos controlados em torno de uma conta de cliente entre marcas, com a ligação bloqueada por verificação, inicios de sessão arriscados bloqueados por OTP, retransmissão privada tratada separadamente e falhas repetidas contidas pelo bloqueio ao nível da conta. Estes valores são aproximados e baseiam-se na razão fornecida; Combinam a atividade social e de contas associadas, em vez de separarem cada fornecedor ou tipo de viagem.

    ~40%

    Visitantes diários que usam uma jornada social ou ligada (por marca)

    9

    Marcas de consumo numa conta partilhada

    ~360K

    Jornadas diárias da Apple, Google ou contas associadas

    ~900K

    Total de visitantes diários em todo o grupo

    09 Reflexão / O Que Vem a Seguir

    A conquista principal foi não adicionar botões Apple e Google. Estava a construir os controlos de identidade que tornaram o acesso social seguro e reutilizável em nove marcas: a plataforma conseguia identificar se a identidade de um fornecedor era nova, já ligada, elegível para ligação, usando um relé privado, com palavra-passe, arriscada ou bloqueada, e só ligava identidades compatíveis após um desafio de código de email. O que reforçaria a seguir: separar as análises que hoje se mantêm combinadas (Apple versus Google, registo versus login, novo versus anteriormente ligado, sucesso do desafio versus abandono, relay versus email partilhado) para que o funil possa ser ajustado com evidências em vez de estimativas; formalizar as definições de categorias e limiares do modelo de risco com governação explícita; reforçar a orientação para contas relay, para que os clientes compreendam porque é que um login do Ocultar o Email criou uma conta separada; e manter as regras de desvinculação e re-verificação nas alterações de email auditáveis de ponta a ponta. O resultado duradouro foi uma camada partilhada de autenticação onde um email correspondente iniciava a verificação em vez de conceder acesso automaticamente, e os logins Apple, Google e passwords funcionavam como métodos controlados e vinculáveis em torno de uma única conta de cliente multi-marca.