Erleichtern Sie Ihren Nutzern das Ändern von Passwörtern, indem Sie eine bekannte URL zum Ändern von Passwörtern hinzufügen

Anfrage an /.well-known/change-password an die URL zum Ändern von Passwörtern weiterleiten

Eiji Kitamura

Leite eine Weiterleitung von /.well-known/change-password zur Seite „Passwort ändern“ ein Ihrer Website. Dadurch können Passwortmanager in Ihren Nutzern navigieren direkt zu dieser Seite weiterleiten.

Einführung

Wie Sie vielleicht wissen, sind Passwörter nicht die beste Möglichkeit, Konten Zum Glück gibt es neue Technologien wie WebAuthn und Techniken wie Einmalpasswörter, helfen uns, einer Welt ohne Passwörter näher zu kommen. Diese Technologien sind noch in der Entwicklung und die Dinge werden sich nicht so schnell ändern. Viele müssen Entwickler zumindest für die nächsten paar Jahren. Während wir darauf warten, dass neue Technologien und Techniken können wir wenigstens die Nutzung von Passwörtern vereinfachen.

Dazu bietet es sich an, Passwortmanager besser zu unterstützen.

Vorteile von Passwortmanagern

Passwortmanager können in Browser integriert oder als Drittanbieter-Apps bereitgestellt werden. Sie können Nutzenden auf verschiedene Weise helfen:

Das Passwort für das richtige Eingabefeld automatisch ausfüllen lassen: Einige Browser können heuristisch korrekt eingeben, auch wenn die Website nicht dafür optimiert ist zu verstehen. Webentwickler können Passwortmanagern helfen, indem sie HTML korrekt annotieren Eingabe-Tags.

Schutz vor Phishing: Passwortmanager speichern, wo das Passwort gespeichert wurde. kann das Passwort nur unter den entsprechenden URLs ausgefüllt werden, nicht unter Phishing-Websites verwendet werden.

Starke und eindeutige Passwörter generieren: direkt im Passwortmanager generiert und gespeichert werden, ein einzelnes Zeichen des Passworts erinnern zu müssen.

Es wurden bereits Passwörter mit einem Passwortmanager generiert und automatisch ausgefüllt für das Web gut, aber unter Berücksichtigung ihres Lebenszyklus wann immer sie benötigt werden, so wichtig wie das Generieren und das automatische Ausfüllen. Bis nutzen Passwortmanager eine neue Funktion:

Angreifbare Passwörter erkennen und ihre Aktualisierung vorschlagen: Passwortmanager können wiederverwendete Passwörter zu erkennen, ihre Entropie und Schwäche zu analysieren sogar potenziell gehackte oder bekanntermaßen unsichere Passwörter zu erkennen. aus Quellen wie Have I Been Pwned.

Ein Passwortmanager kann Nutzer vor problematischen Passwörtern warnen. die Nutzer auffordern, von der Startseite aus ein Passwort zu ändern. neben dem eigentlichen Vorgang der Passwortänderung (das variiert von Website zu Website). Es wäre viel einfacher, wenn Passwortmanager können Sie den Nutzer direkt zur URL für die Passwortänderung weiterleiten. Hier kommt ein bekannte URL zum Ändern Passwörter nützlicher ist.

Indem Sie einen bekannten URL-Pfad reservieren, der den Nutzer zur Änderung weiterleitet kann die Website die Nutzer an die richtige Seite weiterleiten, ihre Passwörter zu ändern.

Richten Sie eine bekannte URL zum Ändern von Passwörtern ein.

.well-known/change-password wird als bekannte URL zum Ändern vorgeschlagen Passwörter. Alles, was Sie tun müssen, um Ihren Server so zu konfigurieren, dass Anfragen für .well-known/change-password weitergeleitet werden an die URL zur Passwortänderung Ihrer Website an.

Beispiel: Ihre Website ist https://example.com und die Änderung Passwort-URL lautet https://example.com/settings/password. Sie müssen nur um eine Anfrage für https://example.com/.well-known/change-password bis https://example.com/settings/password. Das war's. Verwenden Sie für die Weiterleitung HTTP-Statuscode 302 Found, 303 See Other oder 307 Temporary Redirect.

Alternativ können Sie HTML-Code unter der .well-known/change-password-URL mit ein <meta>-Tag mithilfe eines http-equiv="refresh"

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

Den HTML-Code der Seite zur Passwortänderung noch einmal aufrufen

Ziel dieser Funktion ist es, den Lebenszyklus von Passwörtern flüssiger zu gestalten. Es gibt zwei Möglichkeiten, wie Nutzer ihr Passwort aktualisieren können, ohne Reibung:

  • Falls für Ihr Formular zur Passwortänderung das aktuelle Passwort erforderlich ist, fügen Sie autocomplete="current-password" zum <input>-Tag hinzufügen, um das Passwort zu unterstützen oder „Manager“ automatisch ausfüllen lassen.
  • Für das neue Passwortfeld (oft besteht es aus zwei Feldern, Nutzer das neue Passwort richtig eingegeben hat), fügen Sie autocomplete="new-password" zum <input>-Tag hinzufügen, um das Passwort zu unterstützen ein generiertes Passwort vor.

Weitere Informationen finden Sie unter Optimal für das Anmeldeformular. .

Wie es in der Praxis eingesetzt wird

Beispiele

Dank des Projekts von Apple Safari Implementierung von Produkten, /.well-known/change-password war bereits auf einigen wichtigen Websites gesprochen:

Probieren Sie sie selbst aus und tun Sie dasselbe für Ihre!

Browserkompatibilität

Eine bekannte URL zum Ändern von Passwörtern wird in Safari seit 2019 Der Passwortmanager von Chrome unterstützt diese Funktion ab Version 86 (für die stabile Version Ende Oktober 2020 geplant) und andere Chromium-basierte Browser folgen. Für Firefox lohnt es sich Implementierung, aber noch nicht angekündigt, dass dies für August 2020 geplant ist.

Verhalten des Passwortmanagers in Chrome

Sehen wir uns nun an, wie der Passwortmanager von Chrome mit gefährdeten Passwörtern umgeht.

Der Passwortmanager von Chrome kann nach gehackten Passwörtern suchen. Über die Navigation bis about://settings/passwords Nutzer können Passwörter prüfen auf gespeicherte Passwörter prüfen und eine Liste der Passwörter ansehen, die aktualisiert werden sollten.

<ph type="x-smartling-placeholder">
</ph> <ph type="x-smartling-placeholder">
</ph> Funktion Passwörter prüfen in Chrome

Durch Klicken auf die Schaltfläche Passwort ändern neben einem Passwort, das für aktualisiert wird, geschieht im Browser Folgendes:

  • Öffne die Seite zur Passwortänderung der Website, wenn /.well-known/change-password korrekt eingerichtet haben.
  • Startseite der Website öffnen, wenn /.well-known/change-password nicht eingerichtet ist und Google kennt das Fallback nicht.
Was passiert, wenn der Server 200 OK zurückgibt, obwohl /.well-known/change-password nicht existiert?

Passwortmanager versuchen festzustellen, ob eine Website eine bekannte URL für durch Senden einer Anfrage an /.well-known/change-password vor dem Ändern von Passwörtern einen Nutzer an diese URL weiterleitet. Wenn die Anfrage 404 Not Found zurückgibt die URL nicht verfügbar ist, aber die 200 OK-Antwort bedeuten nicht, dass die URL verfügbar ist, da es einige Grenzfälle gibt:

  • Auf einer serverseitigen Website wird „Nicht gefunden“ angezeigt wenn kein Inhalt vorhanden ist aber mit 200 OK.
  • Eine serverseitige Website antwortet mit 200 OK, wenn keine nach der Weiterleitung zur Seite „Nicht gefunden“ Seite.
  • Eine einseitige Anwendung antwortet mit der Shell mit 200 OK und rendert die gefunden" wenn kein Inhalt vorhanden ist.

In diesen Grenzfällen werden Nutzer zur Meldung „Nicht gefunden“ weitergeleitet. und das wird für Verwirrung sorgen.

Deshalb gibt es einen Vorschlag, Mechanismus um zu ermitteln, ob der Server für die Antwort mit 404 Not Found konfiguriert ist wenn überhaupt keine Inhalte vorhanden sind, indem Sie eine beliebige Seite anfordern. Der Parameter URL ist ebenfalls reserviert: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200 Chrome verwendet diesen URL-Pfad beispielsweise, um zu bestimmen, ob ein von /.well-known/change-password im Voraus die richtige URL für die Passwortänderung.

Achten Sie bei der Bereitstellung von /.well-known/change-password darauf, dass Ihr gibt den Server für alle nicht vorhandenen Inhalte 404 Not Found zurück.

Feedback

Wenn Sie Feedback zur Spezifikation haben, melden Sie ein Problem in der Spezifikation .

Ressourcen

Foto von Matthew Brodeur auf Unsplash