비밀번호 변경을 위한 잘 알려진 URL을 추가하여 사용자가 비밀번호를 쉽게 변경할 수 있도록 지원합니다.

/.well-known/change-password에 대한 요청을 비밀번호 변경 URL로 리디렉션

Eiji Kitamura

/.well-known/change-password에서 비밀번호 변경 페이지로의 리디렉션 설정 확인할 수 있습니다 이렇게 하면 비밀번호 관리자가 사용자를 탐색할 수 있습니다. 해당 페이지로 바로 연결할 수 있습니다.

소개

아시다시피 비밀번호는 계정을 참조하세요. 다행히도 데이터 레이크와 같은 새로운 기술이 WebAuthn 및 웹 애플리케이션 액세스를 허용하는 일회용 비밀번호 등의 기술을 비밀번호 없는 세상에 더 가까이 다가가는 데 도움이 되고 있습니다. 그러나 이러한 기술은 아직 개발 중이며 상황이 빠르게 변하지 않을 것입니다. 여러 항목 개발자는 적어도 앞으로 몇 시간 동안은 여전히 비밀번호를 처리해야 합니다. 있습니다. 우리는 새로운 기술과 기법이 적어도 비밀번호를 사용하기 쉽게 만들 수는 있습니다.

이를 위한 좋은 방법은 비밀번호 관리자를 더 효과적으로 지원하는 것입니다.

비밀번호 관리자의 지원 방식

비밀번호 관리자는 브라우저에 내장하거나 서드 파티 앱으로 제공할 수 있습니다. 다음과 같이 다양한 방식으로 사용자에게 도움을 줄 수 있습니다.

올바른 입력란에 비밀번호 자동 완성: 일부 브라우저에서는 웹사이트가 이에 최적화되지 않았더라도 휴리스틱 방식으로 정확한 입력을 있습니다. 웹 개발자는 HTML에 올바르게 주석을 달아 비밀번호 관리자를 도울 수 있습니다. 입력 태그와 동일합니다.

피싱 방지: 비밀번호 관리자가 비밀번호 위치를 기억하므로 저장된 경우 비밀번호는 적절한 URL에서만 자동 완성될 수 있고 피싱 웹사이트입니다.

안전하고 고유한 비밀번호 생성: 안전하고 고유한 비밀번호를 만들어야 합니다. 비밀번호 관리자에 의해 직접 생성되고 저장되므로 사용자가 로그인할 필요가 없습니다. 비밀번호의 한 문자를 기억해야 합니다

비밀번호 관리자를 사용하여 비밀번호를 생성하고 자동 완성하는 기능은 이미 웹 환경을 효과적으로 제공했지만 수명 주기를 고려하여 비밀번호를 생성 및 자동 완성만큼 중요할 때마다 그렇습니다. 받는사람 이를 적절히 활용하기 위해 비밀번호 관리자는 다음과 같은 새로운 기능을 추가하고 있습니다.

취약한 비밀번호를 감지하여 업데이트 제안: 비밀번호 관리자는 다음 작업을 실행할 수 있습니다. 재사용되는 비밀번호를 감지하고, 비밀번호의 엔트로피와 약점을 분석하며, 유출되었을 가능성이 있는 비밀번호나 안전하지 않은 것으로 알려진 비밀번호를 출처(have I Been Pwned)가

비밀번호 관리자는 문제가 있는 비밀번호에 대해 사용자에게 경고할 수 있지만, 사용자가 홈페이지에서 비밀번호 변경으로 이동하도록 요청할 때 불편함 비밀번호 (비밀번호)를 변경하는 실제 과정을 거치게 됩니다. 사이트마다 다름). 비밀번호 관리자가 사용자를 비밀번호 변경 URL로 직접 이동 여기에서 잘 알려진 URL 변경 비밀번호가 유용해집니다.

사용자를 변경사항으로 리디렉션하는 잘 알려진 URL 경로를 예약함 해당 웹사이트는 사용자를 올바른 위치로 쉽게 리디렉션할 수 있고 비밀번호를 변경할 수 없습니다.

'비밀번호 변경 시 잘 알려진 URL' 설정

.well-known/change-password은(는) 변경 가능한 잘 알려진 URL로 제안되었습니다. 비밀번호를 사용합니다. 사용자는 .well-known/change-password의 요청을 리디렉션하도록 서버를 구성합니다. 웹사이트의 비밀번호 변경 URL로 연결됩니다.

예를 들어 웹사이트가 https://example.com이고 비밀번호 URL은 https://example.com/settings/password입니다. 네트워크에서 요청을 리디렉션하도록 https://example.com/.well-known/change-password부터 https://example.com/settings/password입니다. 이상입니다. 리디렉션의 경우 HTTP 상태 코드 302 Found, 303 See Other 또는 307 Temporary Redirect.

또는 다음을 사용하여 .well-known/change-password URL에 HTML을 게재할 수 있습니다. <meta> 태그를 생성할 때 http-equiv="refresh"

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

비밀번호 변경 페이지 HTML 다시 방문

이 기능의 목표는 사용자의 비밀번호 수명 주기를 더 유연하게 하는 것입니다. 다음 두 가지 조치를 취하면 사용자가 비밀번호 변경 없이 직접 비밀번호를 업데이트하도록 할 수 있습니다. 마찰:

• 비밀번호 변경 양식에 현재 비밀번호가 필요한 경우 비밀번호 지원을 위해 <input> 태그에 autocomplete="current-password" 추가 관리자가 자동으로 완성합니다.
• 새 비밀번호 필드의 경우 (대부분의 경우 사용자가 새 비밀번호를 올바르게 입력함) 비밀번호 지원을 위해 <input> 태그에 autocomplete="new-password" 추가 관리자가 생성된 비밀번호를 제안합니다.

가장 적합한 로그인 양식에서 자세히 알아보기 권장사항을 참고하세요.

실제 사용 방식

예

덕분에 Apple Safari에서 구현, /.well-known/change-password은(는) 일부 주요 버전에서 이미 제공되고 있습니다. 한동안 여러 웹사이트를 방문했습니다.

• Google
• GitHub
• Facebook
• 트위터
• WordPress

스스로 시도해 보고 여러분에게도 똑같이 해 보세요.

브라우저 호환성

비밀번호 변경을 위한 잘 알려진 URL은 이후, Safari에서 지원되어 왔습니다. 2019 Chrome의 비밀번호 관리자가 버전 86부터 이를 지원하기 시작했습니다. (2020년 10월 말에 안정화 버전 출시 예정) 다른 Chromium 기반 브라우저도 이후에 사용할 수 있습니다 Firefox는 구현, 2020년 8월 현재로 지원할 계획임을 나타내지 않았습니다.

Chrome의 비밀번호 관리자 동작

Chrome의 비밀번호 관리자가 취약한 비밀번호를 어떻게 처리하는지 살펴보겠습니다.

Chrome의 비밀번호 관리자에서 유출된 비밀번호가 있는지 확인할 수 있습니다. 탐색 about://settings/passwords명의 사용자에게 저장된 파일에 대해 비밀번호 확인을 실행할 수 있습니다. 비밀번호를 확인하고 업데이트에 권장되는 비밀번호 목록을 확인합니다.

</ph> <ph type="x-smartling-placeholder">

권장되는 비밀번호 옆의 비밀번호 변경 버튼을 클릭하면 가 업데이트되면 브라우저에서 다음 작업을 수행합니다.

• /.well-known/change-password이(가) 다음에 해당하는 경우 웹사이트의 비밀번호 변경 페이지 열기 설정하는 것이 좋습니다.
• /.well-known/change-password이(가) 설정되어 있지 않은 경우 웹사이트 홈페이지 열기 Google은 대체를 알 수 없습니다

의견

사양에 대한 의견이 있는 경우 사양에 문제를 신고해 주세요. 저장소를 사용합니다.

리소스

• 변경을 위한 잘 알려진 URL 비밀번호
• HTTP 상태의 안정성 감지 코드
• 로그인 양식 권장사항

사진: 매튜 브로듀어(Unsplash 제공)