비밀번호 변경을 위한 잘 알려진 URL을 추가하여 사용자가 비밀번호를 쉽게 변경할 수 있도록 지원합니다.

/.well-known/change-password에 대한 요청을 비밀번호 변경 URL로 리디렉션

/.well-known/change-password에서 비밀번호 변경 페이지로의 리디렉션 설정 확인할 수 있습니다 이렇게 하면 비밀번호 관리자가 사용자를 탐색할 수 있습니다. 해당 페이지로 바로 연결할 수 있습니다.

소개

아시다시피 비밀번호는 계정을 참조하세요. 다행히도 데이터 레이크와 같은 새로운 기술이 WebAuthn 및 웹 애플리케이션 액세스를 허용하는 일회용 비밀번호 등의 기술을 비밀번호 없는 세상에 더 가까이 다가가는 데 도움이 되고 있습니다. 그러나 이러한 기술은 아직 개발 중이며 상황이 빠르게 변하지 않을 것입니다. 여러 항목 개발자는 적어도 앞으로 몇 시간 동안은 여전히 비밀번호를 처리해야 합니다. 있습니다. 우리는 새로운 기술과 기법이 적어도 비밀번호를 사용하기 쉽게 만들 수는 있습니다.

이를 위한 좋은 방법은 비밀번호 관리자를 더 효과적으로 지원하는 것입니다.

비밀번호 관리자의 지원 방식

비밀번호 관리자는 브라우저에 내장하거나 서드 파티 앱으로 제공할 수 있습니다. 다음과 같이 다양한 방식으로 사용자에게 도움을 줄 수 있습니다.

올바른 입력란에 비밀번호 자동 완성: 일부 브라우저에서는 웹사이트가 이에 최적화되지 않았더라도 휴리스틱 방식으로 정확한 입력을 있습니다. 웹 개발자는 HTML에 올바르게 주석을 달아 비밀번호 관리자를 도울 수 있습니다. 입력 태그와 동일합니다.

피싱 방지: 비밀번호 관리자가 비밀번호 위치를 기억하므로 저장된 경우 비밀번호는 적절한 URL에서만 자동 완성될 수 있고 피싱 웹사이트입니다.

안전하고 고유한 비밀번호 생성: 안전하고 고유한 비밀번호를 만들어야 합니다. 비밀번호 관리자에 의해 직접 생성되고 저장되므로 사용자가 로그인할 필요가 없습니다. 비밀번호의 한 문자를 기억해야 합니다

비밀번호 관리자를 사용하여 비밀번호를 생성하고 자동 완성하는 기능은 이미 웹 환경을 효과적으로 제공했지만 수명 주기를 고려하여 비밀번호를 생성 및 자동 완성만큼 중요할 때마다 그렇습니다. 받는사람 이를 적절히 활용하기 위해 비밀번호 관리자는 다음과 같은 새로운 기능을 추가하고 있습니다.

취약한 비밀번호를 감지하여 업데이트 제안: 비밀번호 관리자는 다음 작업을 실행할 수 있습니다. 재사용되는 비밀번호를 감지하고, 비밀번호의 엔트로피와 약점을 분석하며, 유출되었을 가능성이 있는 비밀번호나 안전하지 않은 것으로 알려진 비밀번호를 출처(have I Been Pwned)가

비밀번호 관리자는 문제가 있는 비밀번호에 대해 사용자에게 경고할 수 있지만, 사용자가 홈페이지에서 비밀번호 변경으로 이동하도록 요청할 때 불편함 비밀번호 (비밀번호)를 변경하는 실제 과정을 거치게 됩니다. 사이트마다 다름). 비밀번호 관리자가 사용자를 비밀번호 변경 URL로 직접 이동 여기에서 잘 알려진 URL 변경 비밀번호가 유용해집니다.

사용자를 변경사항으로 리디렉션하는 잘 알려진 URL 경로를 예약함 해당 웹사이트는 사용자를 올바른 위치로 쉽게 리디렉션할 수 있고 비밀번호를 변경할 수 없습니다.

'비밀번호 변경 시 잘 알려진 URL' 설정

.well-known/change-password은(는) 변경 가능한 잘 알려진 URL로 제안되었습니다. 비밀번호를 사용합니다. 사용자는 .well-known/change-password의 요청을 리디렉션하도록 서버를 구성합니다. 웹사이트의 비밀번호 변경 URL로 연결됩니다.

예를 들어 웹사이트가 https://example.com이고 비밀번호 URL은 https://example.com/settings/password입니다. 네트워크에서 요청을 리디렉션하도록 https://example.com/.well-known/change-password부터 https://example.com/settings/password 이상입니다. 리디렉션의 경우 HTTP 상태 코드 302 Found, 303 See Other 또는 307 Temporary Redirect.

또는 다음을 사용하여 .well-known/change-password URL에 HTML을 게재할 수 있습니다. <meta> 태그를 생성할 때 http-equiv="refresh"

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

비밀번호 변경 페이지 HTML 다시 방문

이 기능의 목표는 사용자의 비밀번호 수명 주기를 더 유연하게 하는 것입니다. 다음 두 가지 조치를 취하면 사용자가 비밀번호 변경 없이 직접 비밀번호를 업데이트하도록 할 수 있습니다. 마찰:

  • 비밀번호 변경 양식에 현재 비밀번호가 필요한 경우 비밀번호 지원을 위해 <input> 태그에 autocomplete="current-password" 추가 관리자가 자동으로 완성합니다.
  • 새 비밀번호 필드의 경우 (대부분의 경우 사용자가 새 비밀번호를 올바르게 입력함) 비밀번호 지원을 위해 <input> 태그에 autocomplete="new-password" 추가 관리자가 생성된 비밀번호를 제안합니다.

가장 적합한 로그인 양식에서 자세히 알아보기 권장사항을 참고하세요.

실제 사용 방식

덕분에 Apple Safari에서 구현, /.well-known/change-password은(는) 일부 주요 버전에서 이미 제공되고 있습니다. 한동안 여러 웹사이트를 방문했습니다.

스스로 시도해 보고 여러분에게도 똑같이 해 보세요.

브라우저 호환성

비밀번호 변경을 위한 잘 알려진 URL은 이후, Safari에서 지원되어 왔습니다. 2019 Chrome의 비밀번호 관리자가 버전 86부터 이를 지원하기 시작했습니다. (2020년 10월 말에 안정화 버전 출시 예정) 다른 Chromium 기반 브라우저도 이후에 사용할 수 있습니다 Firefox는 구현, 2020년 8월 현재로 지원할 계획임을 나타내지 않았습니다.

Chrome의 비밀번호 관리자 동작

Chrome의 비밀번호 관리자가 취약한 비밀번호를 어떻게 처리하는지 살펴보겠습니다.

Chrome의 비밀번호 관리자에서 유출된 비밀번호가 있는지 확인할 수 있습니다. 탐색 about://settings/passwords명의 사용자에게 저장된 파일에 대해 비밀번호 확인을 실행할 수 있습니다. 비밀번호를 확인하고 업데이트에 권장되는 비밀번호 목록을 확인합니다.

<ph type="x-smartling-placeholder">
</ph> <ph type="x-smartling-placeholder">
</ph> Chrome의 비밀번호 확인 기능

권장되는 비밀번호 옆의 비밀번호 변경 버튼을 클릭하면 가 업데이트되면 브라우저에서 다음 작업을 수행합니다.

  • /.well-known/change-password이(가) 다음에 해당하는 경우 웹사이트의 비밀번호 변경 페이지 열기 설정하는 것이 좋습니다.
  • /.well-known/change-password이(가) 설정되어 있지 않은 경우 웹사이트 홈페이지 열기 Google은 대체를 알 수 없습니다
/.well-known/change-password가 존재하지 않더라도 서버가 200 OK를 반환하면 어떻게 될까요?

비밀번호 관리자는 웹사이트가 전에 /.well-known/change-password에 요청을 전송하여 비밀번호 변경 사용자를 이 URL로 전달합니다 요청이 404 Not Found를 반환하는 경우 URL을 사용할 수 없지만 200 OK 응답은 다음과 같은 몇 가지 극단적인 사례가 있으므로 URL을 사용할 수 있음을 의미합니다.

  • 서버 측 렌더링 웹사이트에 '찾을 수 없음'이 표시됨 콘텐츠가 없을 때 200 OK 사용
  • 서버 측 렌더링 웹사이트는200 OK '찾을 수 없음' 페이지로 리디렉션된 후 있습니다.
  • 단일 페이지 앱은 200 OK로 셸로 응답하고 발견' 클라이언트 측 페이지로 이동해야 합니다.

이러한 특이 케이스의 경우 사용자는 '찾을 수 없음' 이렇게 하면 혼동의 원인이 될 수 있습니다

그렇기 때문에 디지털 데이터 사용에 대해 제안된 메커니즘 서버가 404 Not Found로 응답하도록 구성되어 있는지 확인합니다. 실제로 콘텐츠가 없는 경우 임의의 페이지를 요청합니다. 사실 예약된 URL: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200 예를 들어 Chrome은 이 URL 경로를 사용하여 비밀번호 URL을 /.well-known/change-password에서 적절히 변경하세요.

/.well-known/change-password 배포 시 서버에서 존재하지 않는 콘텐츠에 대해 404 Not Found를 반환합니다.

의견

사양에 대한 의견이 있는 경우 사양에 문제를 신고해 주세요. 저장소를 사용합니다.

리소스

사진: 매튜 브로듀어(Unsplash 제공)