مساعدة المستخدمين على تغيير كلمات المرور بسهولة من خلال إضافة عنوان URL معروف لتغيير كلمات المرور

إعادة توجيه طلب إلى /.well-known/change-password إلى عنوان URL لتغيير كلمات المرور

اضبط إعادة توجيه من /.well-known/change-password إلى صفحة تغيير كلمة المرور في موقعك الإلكتروني. سيتيح ذلك لمدراء كلمات المرور توجيه المستخدمين مباشرةً إلى تلك الصفحة.

مقدمة

كما تعلم، كلمات المرور ليست أفضل طريقة لإدارة الحسابات. لحسن الحظ، هناك تقنيات ناشئة مثل WebAuthn وأساليب مثل كلمات المرور لمرة واحدة، مما يساعدنا في الاقتراب من عالم بدون كلمات مرور. ومع ذلك، لا تزال هذه التقنياتقيد التطوير ولن تتغيّر الأمور بسرعة. سيظلّ على العديد من المطوّرين التعامل مع كلمات المرور على الأقل في السنوات القليلة التالية. في انتظار أن تصبح التقنيات والأساليب الناشئة مألوفة، يمكننا على الأقل تسهيل استخدام كلمات المرور.

وإحدى الطرق الجيدة لإجراء ذلك هي توفير دعم أفضل لخدمات إدارة كلمات المرور.

فوائد استخدام خدمات إدارة كلمات المرور

يمكن دمج برامج إدارة كلمات المرور في المتصفّحات أو توفيرها كتطبيقات تابعة لجهات خارجية. ويمكن أن تساعد المستخدمين بطرق مختلفة:

ملء كلمة المرور تلقائيًا في حقل الإدخال الصحيح: يمكن لبعض المتصفّحات العثور على الحقول الصحيحة بشكل استكشافي حتى إذا لم يكن الموقع الإلكتروني محسّنًا لهذا الغرض. يمكن لمطوّري الويب مساعدة مدراء كلمات المرور من خلال إضافة تعليقات توضيحية بشكل صحيح إلى علامات HTML الإدخال.

منع التصيّد الاحتيالي: بما أنّ تطبيقات إدارة كلمات المرور تتذكر مكان تسجيل كلمة المرور، لا يمكن ملء كلمة المرور تلقائيًا إلا في عناوين URL المناسبة، وليس في المواقع الإلكترونية التي تمارس التصيّد الاحتيالي.

إنشاء كلمات مرور قوية وفريدة: بما أنّ مدير كلمات المرور هو الذي ينشئ ويخزّن مباشرةً كلمات المرور القوية والفريدة، لا يحتاج المستخدمون إلى تذكُّر حرف واحد من كلمة المرور.

لقد أدى إنشاء كلمات المرور والملء التلقائي لها باستخدام خدمة إدارة كلمات المرور إلى تحسين أداء الويب، ولكن بالنظر إلى دورة حياتها، فإنّ تعديل كلمات المرور عند الحاجة إليها مهمّ تمامًا مثل إنشائها والملء التلقائي لها. للاستفادة من ذلك بشكلٍ سليم، تضيف تطبيقات إدارة كلمات المرور ميزة جديدة:

رصد كلمات المرور المعرضة للاختراق واقتراح تعديلها: يمكن لتطبيقات إدارة كلمات المرور رصد كلمات المرور التي تتم إعادة استخدامها وتحليل التشويش ونقاط ضعفها، وحتى رصد كلمات المرور التي يُحتمل أن تكون قد تم تسريبها أو التي يُعرف أنّها غير آمنة من مصادر مثل Have I Been Pwned.

يمكن لمدير كلمات المرور تحذير المستخدمين من كلمات المرور التي تتضمّن مشاكل، ولكن هناك الكثير من الصعوبات في مطالبة المستخدمين بالانتقال من الصفحة الرئيسية إلى صفحة تغيير كلمة المرور، بالإضافة إلى تنفيذ العملية الفعلية لتغيير كلمة المرور (التي تختلف من موقع إلكتروني إلى آخر). سيكون من الأسهل بكثير أن تتمكّن خدمة إدارة كلمات المرور من توجيه المستخدم مباشرةً إلى عنوان URL لتغيير كلمة المرور. في هذه الحالة، يكون عنوان URL معروف لتغيير كلمات المرور مفيدًا.

من خلال حجز مسار عنوان URL معروف يعيد توجيه المستخدم إلى صفحة تغيير كلمة المرور، يمكن للموقع الإلكتروني إعادة توجيه المستخدمين بسهولة إلى المكان المناسب لتغييركلمات المرور.

إعداد "عنوان URL معروف لتغيير كلمات المرور"

يتم اقتراح .well-known/change-password كعنوان URL معروف لتغيير كلمات المرور. ما عليك سوى ضبط الخادم لإعادة توجيه طلبات .well-known/change-password إلى عنوان URL لتغيير كلمة المرور في موقعك الإلكتروني.

على سبيل المثال، لنفترض أنّ موقعك الإلكتروني هو https://example.com وأنّ عنوان URL لتغيير كلمة المرور هو https://example.com/settings/password. ما عليك سوى ضبط الخادم لإعادة توجيه طلب https://example.com/.well-known/change-password إلى https://example.com/settings/password. ما مِن إجراءات أخرى مطلوبة. بالنسبة إلى إعادة التوجيه، استخدِم رمز حالة HTTP 302 Found أو 303 See Other أو 307 Temporary Redirect.

بدلاً من ذلك، يمكنك عرض صفحات HTML على عنوان URL .well-known/change-password باستخدام علامة <meta> باستخدام http-equiv="refresh".

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

راجِع ملف HTML لصفحة تغيير كلمة المرور.

والهدف من هذه الميزة هو تسهيل دورة حياة كلمة المرور لدى المستخدم. يمكنك إجراء أمرَين لتمكين المستخدم من تعديل كلمة المرور بدون أي مشاكل:

  • إذا كان نموذج تغيير كلمة المرور يتطلّب إدخال كلمة المرور الحالية، أضِف autocomplete="current-password" إلى علامة <input> لمساعدة مدير كلمة المرور في ملء هذا الحقل تلقائيًا.
  • بالنسبة إلى حقل كلمة المرور الجديدة (في كثير من الحالات، يكون هناك حقلَان لضمان إدخال العميل لكلمة المرور الجديدة بشكل صحيح)، أضِف autocomplete="new-password" إلى علامة <input> لمساعدة مدير كلمات المرور في اقتراح كلمة مرور تم إنشاؤها.

اطّلِع على مزيد من المعلومات في مقالة أفضل ممارسات نماذج تسجيل الدخول.

كيفية استخدامها في الحياة الواقعية

أمثلة

بفضل تنفيذ Apple Safari، كان/.well-known/change-password متاحًا في بعض المواقع الإلكترونية الكبيرة منذ فترة:

جرِّب هذه الأفكار بنفسك وطبِّقها على قناتك.

توافُق المتصفح

تم إتاحة عنوان URL معروف لتغيير كلمات المرور في Safari منذ 2019. بدأ مدير كلمات المرور في Chrome في توفير هذه الميزة اعتبارًا من الإصدار 86 والإصدارات الأحدث، (المُقرَّر إطلاقها في قناة الإصدار الثابت في أواخر تشرين الأول (أكتوبر) 2020) وقد تتوفّر الميزة أيضًا في المتصفّحات الأخرى المستندة إلى Chromium. يرى فريق Firefox أنّه من المفيد تنفيذ هذه الميزة، ولكنه لم يشير إلى أنّه يعتزم تنفيذها اعتبارًا من آب (أغسطس) 2020.

سلوك "مدير كلمات المرور" في Chrome

لنلقِ نظرة على كيفية تعامل "مدير كلمات المرور" في Chrome مع كلمات المرور المعرّضة للاختراق.

يمكن لخدمة إدارة كلمات المرور في Chrome التحقّق من كلمات المرور التي تم تسريبها. من خلال الانتقال إلى about://settings/passwords، يمكن للمستخدمين إجراء التحقّق من كلمات المرور مقارنةً بكلمات المرور المخزّنة، والاطّلاع على قائمة بكلمات المرور التي يُنصح بتعديلها.

وظيفة التحقّق من كلمات المرور في Chrome

عند النقر على الزر تغيير كلمة المرور بجانب كلمة مرور يُنصح بتعديلها، سينفّذ المتصفّح ما يلي:

  • افتح صفحة تغيير كلمة المرور على الموقع الإلكتروني إذا كان /.well-known/change-password مُعدًّا بشكلٍ صحيح.
  • افتح الصفحة الرئيسية للموقع الإلكتروني إذا لم يتم إعداد /.well-known/change-password وإذا لم تكن Google على دراية بالصفحة الاحتياطية.
ماذا يحدث إذا أرجع الخادم 200 OK حتى إذا لم يكن /.well-known/change-password متوفّرًا؟

تحاول تطبيقات إدارة كلمات المرور تحديد ما إذا كان الموقع الإلكتروني يتيح استخدام عنوان URL معروف ل تغيير كلمات المرور من خلال إرسال طلب إلى /.well-known/change-password قبل إعادة توجيه المستخدم إلى عنوان URL هذا. إذا كان الطلب يعرض القيمة 404 Not Found ، من الواضح أنّ عنوان URL غير متاح، ولكنّ القيمة 200 OK لا تعني بالضرورة أنّ عنوان URL متاح، لأنّ هناك بعض الحالات الشاذة:

  • يعرض الموقع الإلكتروني الذي يستخدم ميزة العرض من جهة الخادم الرسالة "لم يتم العثور على المحتوى" عندما لا يتوفّر محتوى ولكن مع 200 OK.
  • يستجيب الموقع الإلكتروني الذي يستخدم ميزة العرض من جهة الخادم بالرمز 200 OK في حال عدم توفّر أي محتوى بعد إعادة التوجيه إلى صفحة "لم يتم العثور على الصفحة".
  • يستجيب تطبيق الصفحة الواحدة باستخدام القشرة التي تحتوي على 200 OK ويعرض صفحة "لم يتم العثور على المحتوى" من جهة العميل في حال عدم توفّر محتوى.

وفي هذه الحالات الهامشية، سيتم توجيه المستخدمين إلى صفحة "لم يتم العثور على المحتوى"، ما قد يؤدي إلى التباس.

لهذا السبب، هناك آلية قياسية مقترَحة لتحديد ما إذا كان الخادم قد تم ضبطه للردّ برمز 404 Not Found عندما لا يتوفّر محتوى، وذلك من خلال طلب صفحة عشوائية. في الواقع، تم حجز عنوان URL التالي أيضًا: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. على سبيل المثال، يستخدم Chrome مسار عنوان URL هذا لتحديد ما إذا كان يمكنه توقّع تلقّي عنوان URL صالح لتغيير كلمة المرور من /.well-known/change-password مسبقًا.

عند نشر /.well-known/change-password، تأكَّد من أنّ خادمك يعرض 404 Not Found لأي محتوى غير متوفّر.

ملاحظات

إذا كانت لديك أي ملاحظات حول المواصفات، يُرجى إرسال مشكلة إلى مستودع المواصفات.

الموارد

صورة Matthew Brodeur على Unsplash