مساعدة المستخدمين على تغيير كلمات المرور بسهولة من خلال إضافة عنوان URL معروف لتغيير كلمات المرور

إعادة توجيه الطلب إلى /.well-known/change-password إلى عنوان URL الخاص بتغيير كلمات المرور

اضبط إعادة توجيه من /.well-known/change-password إلى صفحة تغيير كلمة المرور في موقعك الإلكتروني. سيتيح ذلك لمدراء كلمات المرور توجيه المستخدمين مباشرةً إلى تلك الصفحة.

مقدمة

إنّ كلمات المرور ليست أفضل طريقة لإدارة الحسابات. لحسن الحظ، هناك تقنيات ناشئة مثل WebAuthn وأساليب مثل كلمات المرور لمرة واحدة، مما يساعدنا في الاقتراب من عالم بدون كلمات مرور. ومع ذلك، لا تزال هذه التقنيات في مرحلة التطوير ولن تتغيّر الأمور بسرعة. سيظلّ على العديد من المطوّرين التعامل مع كلمات المرور على الأقل في السنوات القليلة التالية. في حين أنّنا ننتظر أن تصبح التقنيات والأساليب الناشئة مألوفة، يمكننا على الأقل تسهيل استخدام كلمات المرور.

وإحدى الطرق الجيدة لإجراء ذلك هي توفير دعم أفضل لخدمات إدارة كلمات المرور.

فوائد استخدام خدمات إدارة كلمات المرور

يمكن دمج برامج إدارة كلمات المرور في المتصفّحات أو توفيرها كتطبيقات تابعة لجهات خارجية. يمكنها مساعدة المستخدمين بطرق مختلفة:

ملء كلمة المرور تلقائيًا في حقل الإدخال الصحيح: يمكن لبعض المتصفّحات العثور على الحقول الصحيحة بشكل استكشافي حتى إذا لم يكن الموقع الإلكتروني محسّنًا لهذا الغرض. يمكن لمطوّري الويب مساعدة مدراء كلمات المرور من خلال إضافة تعليقات توضيحية بشكل صحيح إلى علامات HTML الإدخال.

منع التصيّد الاحتيالي: بما أنّ تطبيقات إدارة كلمات المرور تتذكر مكان تسجيل كلمة المرور، لا يمكن ملء كلمة المرور تلقائيًا إلا في عناوين URL المناسبة، وليس في المواقع الإلكترونية التي تمارس التصيّد الاحتيالي.

إنشاء كلمات مرور قوية وفريدة: بما أنّ مدير كلمات المرور هو الذي ينشئ ويخزّن مباشرةً كلمات المرور القوية والفريدة، لا يحتاج المستخدمون إلى تذكُّر حرف واحد من كلمة المرور.

لقد أدى إنشاء كلمات المرور وملئها تلقائيًا باستخدام خدمة إدارة كلمات المرور إلى تحسين أداء الويب، ولكن بالنظر إلى دورة حياتها، فإنّ تعديل كلمات المرور عند الحاجة إليها مهمّ تمامًا مثل إنشائها وملئها تلقائيًا. للاستفادة من ذلك بشكل مناسب، يضيف مديرو كلمات المرور ميزة جديدة:

رصد كلمات المرور المعرَّضة للاختراق واقتراح تعديلها: يمكن لـ "مديري كلمات المرور" رصد كلمات المرور التي يُعاد استخدامها وتحليل القصور والضعف فيها، وأيضًا رصد كلمات المرور المُحتمَل تسريبها أو تلك التي تُعرف بأنّها غير آمنة، وذلك من مصادر مثل Does I Been Pwned.

يمكن لمدير كلمات المرور تحذير المستخدمين من كلمات المرور التي تتضمّن مشاكل، ولكن هناك الكثير من الصعوبات في مطالبة المستخدمين بالانتقال من الصفحة الرئيسية إلى صفحة تغيير كلمة المرور، بالإضافة إلى تنفيذ العملية الفعلية لتغيير كلمة المرور (التي تختلف من موقع إلكتروني إلى آخر). سيكون من الأسهل بكثير أن يتمكن مدراء كلمات المرور من نقل المستخدم مباشرةً إلى عنوان URL لتغيير كلمة المرور. في هذه الحالة، يكون عنوان URL معروف لتغيير كلمات المرور مفيدًا.

من خلال حجز مسار عنوان URL معروف يعيد توجيه المستخدم إلى صفحة تغيير كلمة المرور، يمكن للموقع الإلكتروني إعادة توجيه المستخدمين بسهولة إلى المكان المناسب لتغييركلمات المرور.

إعداد "عنوان URL معروف لتغيير كلمات المرور"

تم اقتراح .well-known/change-password كعنوان URL معروف لتغيير كلمات المرور. ما عليك سوى ضبط الخادم لإعادة توجيه طلبات .well-known/change-password إلى عنوان URL لتغيير كلمة المرور في موقعك الإلكتروني.

على سبيل المثال، لنفترض أنّ موقعك الإلكتروني هو https://example.com وأنّ عنوان URL لتغيير كلمة المرور هو https://example.com/settings/password. ما عليك سوى ضبط الخادم لإعادة توجيه طلب https://example.com/.well-known/change-password إلى https://example.com/settings/password. ما مِن إجراءات أخرى مطلوبة. بالنسبة إلى إعادة التوجيه، استخدِم رمز حالة HTTP 302 Found أو 303 See Other أو 307 Temporary Redirect.

بدلاً من ذلك، يمكنك عرض صفحات HTML على عنوان URL .well-known/change-password باستخدام علامة <meta> باستخدام http-equiv="refresh".

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

راجِع ملف HTML لصفحة تغيير كلمة المرور.

والهدف من هذه الميزة هو تسهيل دورة حياة كلمة مرور المستخدم. يمكنك إجراء شيئين لتمكين المستخدم من تحديث كلمة مروره بدون أي احتكاك:

  • إذا كان نموذج تغيير كلمة المرور يتطلّب إدخال كلمة المرور الحالية، أضِف autocomplete="current-password" إلى علامة <input> لمساعدة مدير كلمة المرور في ملء هذا الحقل تلقائيًا.
  • بالنسبة إلى حقل كلمة المرور الجديد (في كثير من الحالات، يتضمّن هذا الحقل حقلَين لضمان إدخال المستخدم لكلمة المرور الجديدة بشكل صحيح)، أضِف العلامة autocomplete="new-password" إلى العلامة <input> لمساعدة مدير كلمات المرور في اقتراح كلمة مرور تم إنشاؤها.

ويمكنك الاطّلاع على المزيد من المعلومات في أفضل الممارسات المتعلّقة بنماذج تسجيل الدخول.

كيفية استخدامها في الحياة الواقعية

أمثلة

بفضل تنفيذ Apple Safari، أصبح /.well-known/change-password متاحًا على بعض المواقع الإلكترونية الكبيرة منذ فترة:

جرِّب هذه الأفكار بنفسك وطبِّقها على قناتك.

توافُق المتصفح

تم إتاحة عنوان URL معروف لتغيير كلمات المرور في Safari منذ 2019. بدأ مدير كلمات المرور في Chrome إتاحة هذه الميزة بدايةً من الإصدار 86 فصاعدًا (والذي من المقرّر طرحه على الإصدار الثابت في أواخر تشرين الأول (أكتوبر) 2020) وقد تصدر عنه المتصفحات الأخرى المستنِدة إلى Chromium. يرى فريق Firefox أنّه من المفيد تنفيذ هذه الميزة، ولكنه لم يشير إلى أنّه يعتزم تنفيذها اعتبارًا من آب (أغسطس) 2020.

سلوك "مدير كلمات المرور" في Chrome

لنلقِ نظرة على كيفية تعامل "مدير كلمات المرور" في Chrome مع كلمات المرور المعرّضة للاختراق.

يمكن لخدمة إدارة كلمات المرور في Chrome التحقّق من تسرُّب كلمات المرور. من خلال الانتقال إلى about://settings/passwords، يمكن للمستخدمين إجراء التحقّق من كلمات المرور مقابل كلمات المرور المخزَّنة والاطّلاع على قائمة بكلمات المرور المقترَحة للتحديث.

وظيفة التحقّق من كلمات المرور في Chrome

عند النقر على الزر تغيير كلمة المرور بجانب كلمة مرور يُنصح بتعديلها، سينفّذ المتصفّح ما يلي:

  • افتح صفحة تغيير كلمة المرور على الموقع الإلكتروني إذا كان /.well-known/change-password مُعدًّا بشكلٍ صحيح.
  • افتح الصفحة الرئيسية للموقع الإلكتروني إذا لم يتم إعداد /.well-known/change-password وإذا لم تكن Google على دراية بالصفحة الاحتياطية.
ماذا يحدث إذا أرجع الخادم 200 OK حتى إذا لم يكن /.well-known/change-password متوفّرًا؟

تحاول تطبيقات إدارة كلمات المرور تحديد ما إذا كان الموقع الإلكتروني يتيح استخدام عنوان URL معروف ل تغيير كلمات المرور من خلال إرسال طلب إلى /.well-known/change-password قبل إعادة توجيه المستخدم إلى عنوان URL هذا. إذا كان الطلب يعرض القيمة 404 Not Found ، من الواضح أنّ عنوان URL غير متاح، ولكن لا يعني الردّ 200 OK بالضرورة أنّ عنوان URL متاح، لأنّ هناك بعض الحالات الشاذة:

  • يعرض الموقع الإلكتروني الذي يستخدم ميزة العرض من جهة الخادم الرسالة "لم يتم العثور على الصفحة" عندما لا يتوفّر محتوى، ولكن مع 200 OK.
  • يستجيب الموقع الإلكتروني الذي يستخدم ميزة العرض من جهة الخادم بالرمز 200 OK في حال عدم توفّر أي محتوى بعد إعادة التوجيه إلى صفحة "لم يتم العثور على الصفحة".
  • يستجيب تطبيق صفحة واحدة مع واجهة المستخدم مع 200 OK ويعرض صفحة "لم يتم العثور على الصفحة" من جهة العميل في حال عدم توفّر محتوى.

وفي هذه الحالات القصوى، ستتم إعادة توجيه المستخدمين إلى صفحة "لم يتم العثور على الصفحة" ما سيشكّل مصدرًا للالتباس.

لهذا السبب، هناك آلية قياسية مقترَحة لتحديد ما إذا كان الخادم قد تم ضبطه للردّ برمز 404 Not Found عندما لا يتوفّر محتوى فعليًا، وذلك من خلال طلب صفحة عشوائية. في الواقع، تم حجز عنوان URL التالي أيضًا: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. على سبيل المثال، يستخدم Chrome مسار عنوان URL هذا لتحديد ما إذا كان يمكنه توقع تلقّي عنوان URL مناسب لتغيير كلمة المرور من /.well-known/change-password مسبقًا.

عند نشر /.well-known/change-password، تأكَّد من أنّ خادمك يعرض 404 Not Found لأي محتوى غير متوفّر.

ملاحظات

إذا كانت لديك أي ملاحظات حول المواصفات، يُرجى إرسال مشكلة إلى مستودع المواصفات.

الموارد

صورة من تصوير ماثيو برودور على موقع Unسباش