با افزودن یک URL شناخته شده برای تغییر رمز عبور، به کاربران کمک کنید به راحتی رمزهای عبور را تغییر دهند

یک درخواست را به /.well-known/change-password به URL change-passwords هدایت کنید

یک تغییر مسیر از /.well-known/change-password به صفحه تغییر رمز عبور وب سایت خود تنظیم کنید. این به مدیران رمز عبور اجازه می دهد تا کاربران شما را مستقیماً به آن صفحه هدایت کنند.

مقدمه

همانطور که می دانید، رمز عبور بهترین راه برای مدیریت حساب ها نیست . خوشبختانه، فناوری‌های نوظهوری مانند WebAuthn و تکنیک‌هایی مانند رمزهای عبور یک‌بار مصرف وجود دارند که به ما کمک می‌کنند به دنیای بدون رمز عبور نزدیک‌تر شویم. با این حال، این فناوری ها هنوز در حال توسعه هستند و همه چیز به سرعت تغییر نخواهد کرد. بسیاری از توسعه دهندگان حداقل تا چند سال آینده همچنان باید با پسوردها سر و کار داشته باشند. در حالی که منتظر هستیم تا فناوری‌ها و تکنیک‌های در حال ظهور رایج شوند، حداقل می‌توانیم استفاده از رمزهای عبور را آسان‌تر کنیم.

یک راه خوب برای انجام این کار، ارائه پشتیبانی بهتر برای مدیریت رمز عبور است.

چگونه مدیریت رمز عبور کمک می کند

مدیریت رمز عبور می تواند در مرورگرها ساخته شود یا به عنوان برنامه های شخص ثالث ارائه شود. آنها می توانند به روش های مختلف به کاربران کمک کنند:

تکمیل خودکار رمز عبور برای فیلد ورودی صحیح : برخی از مرورگرها می توانند ورودی صحیح را به صورت اکتشافی پیدا کنند، حتی اگر وب سایت برای این منظور بهینه نشده باشد. توسعه دهندگان وب می توانند با حاشیه نویسی صحیح تگ های ورودی HTML به مدیران رمز عبور کمک کنند.

جلوگیری از فیشینگ : از آنجایی که مدیران گذرواژه به خاطر می‌آورند که گذرواژه در کجا ثبت شده است، رمز عبور را می‌توان فقط در آدرس‌های اینترنتی مناسب تکمیل کرد، نه در وب‌سایت‌های فیشینگ.

ایجاد رمزهای عبور قوی و منحصر به فرد : از آنجا که رمزهای عبور قوی و منحصر به فرد مستقیماً توسط مدیر رمز عبور تولید و ذخیره می شوند، کاربران مجبور نیستند یک نویسه از رمز عبور را به خاطر بسپارند.

ایجاد و تکمیل خودکار رمزهای عبور با استفاده از یک مدیر رمز عبور قبلاً به خوبی به وب سرویس داده است، اما با توجه به چرخه عمر آنها، به روز رسانی رمزهای عبور در هر زمان که لازم باشد به اندازه تولید و تکمیل خودکار مهم است. برای استفاده صحیح از آن، مدیران رمز عبور یک ویژگی جدید اضافه می کنند:

گذرواژه‌های آسیب‌پذیر را شناسایی کنید و به‌روزرسانی آن‌ها را پیشنهاد دهید : مدیران گذرواژه می‌توانند رمزهای عبوری را که مجدداً استفاده می‌شوند شناسایی کنند، آنتروپی و ضعف آن‌ها را تجزیه و تحلیل کنند، و حتی رمزهای عبور احتمالی فاش شده یا مواردی را که از منابعی مانند Have I Been Pwned ناامن هستند، شناسایی کنند.

یک مدیر رمز عبور می تواند به کاربران در مورد رمزهای عبور مشکل دار هشدار دهد، اما درخواست از کاربران برای پیمایش از صفحه اصلی به صفحه تغییر رمز عبور، علاوه بر انجام فرآیند واقعی تغییر رمز عبور (که از سایتی به سایت دیگر متفاوت است) وجود دارد. . اگر مدیران رمز عبور بتوانند کاربر را مستقیماً به URL تغییر رمز عبور هدایت کنند، بسیار ساده تر خواهد بود. اینجاست که یک URL معروف برای تغییر رمز عبور مفید می شود.

با رزرو یک مسیر URL شناخته شده که کاربر را به صفحه تغییر رمز عبور هدایت می کند، وب سایت می تواند به راحتی کاربران را به مکان مناسب برای تغییر رمز عبور هدایت کند.

"یک URL شناخته شده برای تغییر رمز عبور" را تنظیم کنید

.well-known/change-password به عنوان یک URL شناخته شده برای تغییر رمز عبور پیشنهاد شده است. تنها کاری که باید انجام دهید این است که سرور خود را پیکربندی کنید تا درخواست‌های .well-known/change-password به URL تغییر رمز عبور وب‌سایت خود هدایت کنید.

به عنوان مثال، فرض کنید وب سایت شما https://example.com است و URL تغییر رمز عبور https://example.com/settings/password است. فقط باید سرور خود را تنظیم کنید تا درخواستی برای https://example.com/.well-known/change-password به https://example.com/settings/password هدایت شود. همین است. برای تغییر مسیر، از کد وضعیت HTTP 302 Found ، 303 See Other یا 307 Temporary Redirect استفاده کنید.

یا می توانید HTML را در URL .well-known/change-password خود با تگ <meta> با استفاده از http-equiv="refresh" ارائه دهید.

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

HTML صفحه تغییر رمز عبور خود را مجدداً مشاهده کنید

هدف این ویژگی کمک به سیال تر شدن چرخه عمر رمز عبور کاربر است. شما می توانید دو کار را انجام دهید تا کاربر را قادر کنید تا رمز عبور خود را بدون اصطکاک به روز کند:

  • اگر فرم تغییر گذرواژه شما به رمز عبور فعلی نیاز دارد، autocomplete="current-password" را به تگ <input> اضافه کنید تا به مدیر رمز عبور کمک کنید تا آن را تکمیل کند.
  • برای فیلد رمز عبور جدید (در بسیاری از موارد دو فیلد برای اطمینان از اینکه کاربر رمز عبور جدید را به درستی وارد کرده است)، به تگ <input> autocomplete="new-password" اضافه کنید تا به مدیر رمز عبور کمک کنید رمز عبور ایجاد شده را پیشنهاد دهد.

در بهترین روش‌های فرم ورود به سیستم بیشتر بیاموزید.

نحوه استفاده از آن در دنیای واقعی

نمونه ها

به لطف پیاده‌سازی Apple Safari، /.well-known/change-password قبلاً برای مدتی در برخی از وب‌سایت‌های بزرگ در دسترس بوده است:

خودتان آنها را امتحان کنید و همین کار را برای خودتان انجام دهید!

سازگاری با مرورگر

از سال 2019 یک URL معروف برای تغییر رمز عبور در سافاری پشتیبانی می شود. مدیر رمز عبور Chrome از نسخه 86 به بعد شروع به پشتیبانی از آن می کند (که برای انتشار پایدار در اواخر اکتبر 2020 برنامه ریزی شده است) و سایر مرورگرهای مبتنی بر Chromium ممکن است از آن استفاده کنند. فایرفاکس آن را ارزش پیاده‌سازی می‌داند ، اما نشان نداده است که قصد دارد تا اوت 2020 این کار را انجام دهد.

رفتار مدیر رمز عبور کروم

بیایید نگاهی به نحوه برخورد مدیر رمز عبور کروم با رمزهای عبور آسیب پذیر بیندازیم.

مدیر رمز عبور کروم می‌تواند رمزهای عبور افشا شده را بررسی کند. با پیمایش به about://settings/passwords کاربران می‌توانند گذرواژه‌ها را در مقابل گذرواژه‌های ذخیره‌شده بررسی کنند و فهرستی از گذرواژه‌هایی را که برای به‌روزرسانی توصیه می‌شوند، مشاهده کنند.

قابلیت بررسی گذرواژه‌های Chrome

با کلیک بر روی دکمه تغییر رمز عبور در کنار رمز عبوری که توصیه می شود به روز رسانی شود، مرورگر:

  • اگر /.well-known/change-password به درستی تنظیم شده باشد، صفحه تغییر رمز عبور وب سایت را باز کنید.
  • اگر /.well-known/change-password راه‌اندازی نشده باشد و Google از نسخه بازگشتی اطلاعی نداشته باشد، صفحه اصلی وب‌سایت را باز کنید.

مدیران گذرواژه سعی می‌کنند قبل از اینکه کاربر را به این URL بازارسال کنند، با ارسال یک درخواست به /.well-known/change-password تعیین کنند که آیا یک وب‌سایت از یک URL معروف برای تغییر رمز عبور پشتیبانی می‌کند یا خیر. اگر درخواست 404 Not Found واضح است که URL در دسترس نیست، اما پاسخ 200 OK لزوماً به این معنی نیست که URL در دسترس است، زیرا چند مورد لبه وجود دارد:

  • یک وب‌سایت ارائه‌دهنده سمت سرور، زمانی که محتوایی وجود ندارد اما با 200 OK «یافت نشد» را نمایش می‌دهد.
  • یک وب‌سایت ارائه‌دهنده سمت سرور پس از هدایت به صفحه «یافت نشد» زمانی که محتوایی وجود نداشته باشد با 200 OK پاسخ می‌دهد.
  • یک برنامه تک صفحه ای با پوسته با 200 OK پاسخ می دهد و صفحه «یافت نشد» را در سمت کلاینت در صورت عدم وجود محتوا ارائه می دهد.

برای این موارد لبه، کاربران به صفحه "یافت نشد" هدایت می شوند و این یک منبع سردرگمی خواهد بود.

به همین دلیل است که مکانیزم استاندارد پیشنهادی برای تعیین اینکه آیا سرور برای پاسخگویی با 404 Not Found در زمانی که واقعاً محتوایی وجود ندارد، با درخواست یک صفحه تصادفی پیکربندی شده است یا خیر، وجود دارد. در واقع، URL نیز رزرو شده است: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200 . برای مثال، Chrome از این مسیر URL استفاده می‌کند تا مشخص کند آیا می‌تواند از قبل انتظار تغییر URL رمز عبور مناسب را از /.well-known/change-password داشته باشد یا خیر.

وقتی در حال استقرار /.well-known/change-password هستید، مطمئن شوید که سرور شما 404 Not Found برای محتوای موجود برمی گرداند.

بازخورد

اگر بازخوردی در مورد مشخصات دارید، لطفاً یک مشکل را در مخزن مشخصات ثبت کنید.

منابع

عکس متیو برودر در Unsplash