पासवर्ड बदलने के यूआरएल के लिए /.well-known/change-password
के अनुरोध को रीडायरेक्ट करें
अपनी वेबसाइट के पासवर्ड बदलने वाले पेज के लिए, /.well-known/change-password
से रीडायरेक्ट सेट करें. इससे पासवर्ड मैनेजर, उपयोगकर्ताओं को सीधे उस पेज पर ले जा सकेंगे.
परिचय
जैसा कि आपको पता होगा, खातों को मैनेज करने के लिए पासवर्ड सबसे सही तरीका नहीं हैं. हालांकि, WebAuthn जैसी नई टेक्नोलॉजी और एक बार इस्तेमाल होने वाले पासवर्ड जैसी तकनीकें, हमें पासवर्ड के बिना काम करने वाली दुनिया के करीब ले जा रही हैं. हालांकि, इन टेक्नोलॉजी को अब भी डेवलप किया जा रहा है और इनमें तेज़ी से बदलाव नहीं होंगे. कई डेवलपर को कम से कम अगले कुछ सालों तक, पासवर्ड का इस्तेमाल अब भी करना होगा. नई टेक्नोलॉजी और तरीकों के आम तौर पर इस्तेमाल होने का इंतज़ार करते हुए, हम कम से कम पासवर्ड को इस्तेमाल करने में आसान बना सकते हैं.
ऐसा करने का एक अच्छा तरीका है, पासवर्ड मैनेजर के लिए बेहतर सहायता उपलब्ध कराना.
पासवर्ड मैनेजर कैसे मदद करते हैं
पासवर्ड मैनेजर, ब्राउज़र में पहले से मौजूद हो सकते हैं या तीसरे पक्ष के ऐप्लिकेशन के तौर पर उपलब्ध हो सकते हैं. वे कई तरीकों से उपयोगकर्ताओं की मदद कर सकते हैं:
सही इनपुट फ़ील्ड के लिए पासवर्ड अपने-आप भरना: कुछ ब्राउज़र, अपने-आप सही इनपुट ढूंढ सकते हैं. भले ही, वेबसाइट इस काम के लिए ऑप्टिमाइज़ न की गई हो. वेब डेवलपर, एचटीएमएल इनपुट टैग पर सही तरीके से एनोटेट करके, पासवर्ड मैनेजर की मदद कर सकते हैं.
फ़िशिंग से बचाव: पासवर्ड मैनेजर यह याद रखते हैं कि पासवर्ड कहां रिकॉर्ड किया गया था. इसलिए, पासवर्ड सिर्फ़ सही यूआरएल पर अपने-आप भरा जा सकता है, न कि फ़िशिंग वेबसाइटों पर.
मज़बूत और यूनीक पासवर्ड जनरेट करें: मज़बूत और यूनीक पासवर्ड, पासवर्ड मैनेजर सीधे जनरेट और सेव करता है. इसलिए, उपयोगकर्ताओं को पासवर्ड का सिर्फ़ एक वर्ण याद रखने की ज़रूरत नहीं होती.
पासवर्ड मैनेजर का इस्तेमाल करके पासवर्ड जनरेट करने और उन्हें ऑटोमैटिक भरने की सुविधा, पहले से ही वेब पर काम कर रही है. हालांकि, पासवर्ड की ज़रूरत पड़ने पर पासवर्ड को अपडेट करना, जनरेट करना और ऑटोमैटिक भरना जितना ही ज़रूरी है. हालांकि, यह ज़रूरी है कि उनका लाइफ़साइकल सही से अपडेट हो. इसका सही तरीके से फ़ायदा पाने के लिए, पासवर्ड मैनेजर एक नई सुविधा जोड़ रहे हैं:
असुरक्षित पासवर्ड का पता लगाना और उन्हें अपडेट करने का सुझाव देना: पासवर्ड मैनेजर, फिर से इस्तेमाल किए गए पासवर्ड का पता लगा सकते हैं. साथ ही, उनके एन्ट्रोपी और कमज़ोरियों का विश्लेषण कर सकते हैं. इसके अलावा, वे Have I Been Pwned जैसे सोर्स से, लीक हुए पासवर्ड या असुरक्षित पासवर्ड का भी पता लगा सकते हैं.
Password Manager, उपयोगकर्ताओं को ऐसे पासवर्ड के बारे में चेतावनी दे सकता है जिनमें समस्याएं हो सकती हैं. हालांकि, उपयोगकर्ताओं को होम पेज से पासवर्ड बदलने वाले पेज पर जाने के लिए कहना और पासवर्ड बदलने की प्रोसेस पूरी करना, दोनों ही काम आसान नहीं हैं. पासवर्ड बदलने की प्रोसेस, हर साइट के हिसाब से अलग-अलग होती है. अगर पासवर्ड मैनेजर उपयोगकर्ता को सीधे पासवर्ड बदलने के यूआरएल पर ले जा सकें, तो यह ज़्यादा आसान होता. ऐसे में, पासवर्ड बदलने के लिए कोई ऐसा यूआरएल काम आता है जो लोगों को पता हो.
वेबसाइट, उपयोगकर्ताओं को पासवर्ड बदलने वाले पेज पर रीडायरेक्ट करने के लिए, किसी ऐसे यूआरएल पाथ को रिज़र्व कर सकती है जो लोगों को आसानी से उस पेज पर ले जाता हो.
"पासवर्ड बदलने के लिए एक लोकप्रिय यूआरएल" सेट अप करना
.well-known/change-password
को पासवर्ड बदलने के लिए, एक जाना-पहचाना यूआरएल के तौर पर सुझाया गया है. आपको बस अपने सर्वर को कॉन्फ़िगर करना होगा, ताकि वह .well-known/change-password
के अनुरोधों को रीडायरेक्ट करके, आपकी वेबसाइट के पासवर्ड बदलने के यूआरएल पर ले जाए.
उदाहरण के लिए, मान लें कि आपकी वेबसाइट https://example.com
है और पासवर्ड बदलने का यूआरएल https://example.com/settings/password
है. आपको बस अपने सर्वर को सेट करना होगा, ताकि https://example.com/.well-known/change-password
के लिए किए गए अनुरोध को https://example.com/settings/password
पर रीडायरेक्ट किया जा सके. हो गया. रीडायरेक्ट करने के लिए, एचटीटीपी स्टेटस कोड
302 Found
, 303 See
Other
या 307
Temporary Redirect
का इस्तेमाल करें.
इसके अलावा, .well-known/change-password
यूआरएल पर एचटीएमएल दिखाने के लिए, <meta>
टैग के साथ http-equiv="refresh"
का इस्तेमाल किया जा सकता है.
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
पासवर्ड बदलने वाले पेज के एचटीएमएल को फिर से देखें
इस सुविधा का मकसद, उपयोगकर्ता के पासवर्ड के लाइफ़साइकल को आसान बनाना है. उपयोगकर्ता को बिना किसी रुकावट के अपना पासवर्ड अपडेट करने की सुविधा देने के लिए, ये दो काम किए जा सकते हैं:
- अगर पासवर्ड बदलने वाले फ़ॉर्म में मौजूदा पासवर्ड की ज़रूरत है, तो
<input>
टैग मेंautocomplete="current-password"
जोड़ें, ताकि पासवर्ड मैनेजर इसे अपने-आप भर सके. - नए पासवर्ड फ़ील्ड के लिए,
<input>
टैग मेंautocomplete="new-password"
जोड़ें. इससे पासवर्ड मैनेजर को जनरेट किया गया पासवर्ड सुझाने में मदद मिलेगी. कई मामलों में, यह पक्का करने के लिए कि उपयोगकर्ता ने नया पासवर्ड सही तरीके से डाला है, दो फ़ील्ड होते हैं.
साइन इन फ़ॉर्म इस्तेमाल करने के सबसे सही तरीकों के बारे में ज़्यादा जानें.
इसका इस्तेमाल असल दुनिया में कैसे किया जाता है
उदाहरण
Apple Safari के लागू होने की वजह से, /.well-known/change-password
कुछ समय से कुछ प्रमुख वेबसाइटों पर उपलब्ध है:
इन्हें खुद आज़माएं और अपने वीडियो के लिए भी ऐसा ही करें!
ब्राउज़र के साथ काम करना
पासवर्ड बदलने के लिए, एक जाना-पहचाना यूआरएल Safari में 2019 से काम कर रहा है. Chrome का Password Manager, वर्शन 86 और उसके बाद के वर्शन पर काम करना शुरू कर रहा है. इसे अक्टूबर 2020 के आखिर में रिलीज़ किया जाएगा. इसके बाद, Chromium पर आधारित अन्य ब्राउज़र पर भी यह सुविधा काम कर सकती है. Firefox को लगता है कि लागू करना फ़ायदेमंद है, लेकिन उसने अगस्त 2020 से ऐसा करने की योजना नहीं बनाई है.
Chrome के Password Manager के काम करने का तरीका
आइए, देखें कि Chrome का Password Manager, आसानी से हैक किए जा सकने वाले पासवर्ड के साथ कैसे काम करता है.
Chrome का पासवर्ड मैनेजर, लीक हुए पासवर्ड की जांच कर सकता है. about://settings/passwords
पर नेविगेट करके, उपयोगकर्ता सेव किए गए पासवर्ड के लिए पासवर्ड की जांच करें सुविधा चला सकते हैं. वे उन पासवर्ड की सूची भी देख सकते हैं जिन्हें अपडेट करने का सुझाव दिया जाता है.
जिस पासवर्ड को अपडेट करने का सुझाव दिया गया है उसके बगल में मौजूद, पासवर्ड बदलें बटन पर क्लिक करने पर, ब्राउज़र:
- अगर
/.well-known/change-password
सही तरीके से सेट अप किया गया है, तो वेबसाइट का पासवर्ड बदलने वाला पेज खोलें. - अगर
/.well-known/change-password
सेट अप नहीं है और Google को फ़ॉलबैक के बारे में जानकारी नहीं है, तो वेबसाइट का होम पेज खोलें.
/.well-known/change-password
मौजूद नहीं है, लेकिन सर्वर 200 OK
दिखाता है, तो क्या होगा?पासवर्ड मैनेजर यह पता लगाने की कोशिश करते हैं कि किसी वेबसाइट पर पासवर्ड बदलने के लिए, कोई जाना-माना यूआरएल काम करता है या नहीं. इसके लिए, उपयोगकर्ता को इस यूआरएल पर भेजने से पहले, /.well-known/change-password
को अनुरोध भेजा जाता है. अगर अनुरोध के जवाब में 404 Not Found
दिखता है, तो इसका मतलब है कि यूआरएल उपलब्ध नहीं है. हालांकि, 200 OK
दिखने का मतलब यह नहीं है कि यूआरएल उपलब्ध है. ऐसा कुछ खास मामलों में होता है:
200 OK
के साथ कॉन्टेंट नहीं होने पर, सर्वर साइड-रेंडरिंग वेबसाइट पर "नहीं मिला" दिखता है.- सर्वर साइड-रेंडरिंग करने वाली वेबसाइट, "नहीं मिला" पेज पर रीडायरेक्ट करने के बाद भी कॉन्टेंट न होने पर,
200 OK
के साथ जवाब देती है. - कोई कॉन्टेंट न होने पर, सिंगल पेज ऐप्लिकेशन
200 OK
वाले शेल के साथ जवाब देता है और क्लाइंट साइड पर "न मिला" पेज रेंडर करता है.
इन असामान्य मामलों में, उपयोगकर्ताओं को "नहीं मिला" पेज पर भेज दिया जाएगा. इससे, उपयोगकर्ताओं को भ्रम हो सकता है.
यही वजह है कि किसी रैंडम पेज का अनुरोध करके, यह तय करने के लिए कि सर्वर को 404 Not Found
के साथ जवाब देने के लिए कॉन्फ़िगर किया गया है या नहीं, यह तय करने के लिए एक स्टैंडर्ड
स्टैंडर्ड तरीका उपलब्ध है. असल में, यूआरएल भी रिज़र्व है:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
.
उदाहरण के लिए, Chrome इस यूआरएल पाथ का इस्तेमाल यह तय करने के लिए करता है कि क्या उसे /.well-known/change-password
से, पासवर्ड बदलने के लिए सही यूआरएल पहले से मिल सकता है.
/.well-known/change-password
को डिप्लॉय करते समय, पक्का करें कि आपका सर्वर उन सभी कॉन्टेंट के लिए 404 Not Found
दिखाए जो मौजूद नहीं हैं.
सुझाव/राय दें या शिकायत करें
अगर आपको स्पेसिफ़िकेशन के बारे में कोई सुझाव/राय देनी है या शिकायत करनी है, तो कृपया स्पेसिफ़िकेशन के डेटाबेस में जाकर ऐसा करें.
संसाधन
- पासवर्ड बदलने के लिए, एक जाना-पहचाना यूआरएल
- एचटीटीपी स्टेटस कोड के भरोसेमंद होने का पता लगाना
- साइन इन फ़ॉर्म बनाने के सबसे सही तरीके
Unsplash पर Matthew Brodeur की फ़ोटो