Zum Hauptinhalt springen




Leiten Sie eine Anfrage an um /.well-known/change-password zu Url de cambio de contraseña

Establecer una umleiten schon seit /.well-known/change-password a la página de cambio de contraseña de su sitio Netz. Esto permitirá a los administradores de contraseñas navegar a sus usuarios directamente a esa página.

Einführung

Wie kannst du das wissen Passwörter sind nicht der beste Weg, um Konten zu verwalten. Glücklicherweise gibt es neue Technologien wie
WebAuthn und Techniken wie Einmalpasswörter, die uns helfen, uns einer Welt ohne Passwörter zu nähern. Diese Technologien werden jedoch noch entwickelt und die Dinge werden sich nicht schnell ändern. Viele Entwickler müssen sich zumindest in den nächsten Jahren noch mit Passwörtern befassen. Während wir darauf warten, dass neue Technologien und Techniken alltäglich werden, können wir zumindest die Verwendung von Passwörtern vereinfachen.

Eine gute Möglichkeit, dies zu tun, besteht darin, Kennwortmanager besser zu unterstützen.

Wie Passwortmanager helfen

Los administradores de contraseñas pueden integrarse en los Browser o proporcionarse como aplicaciones de terceros. Pueden ayudar a los usuarios de varias formas:

Autocomplete-Passwort für korrektes Eingabefeld: Algunos navegadores pueden encontrar la entrada correcta de forma heurística incluso si el sitio web no está optimizado para este propósito. Los desarrolladores web pueden ayudar a los administradores de contraseñas anotando correctamente las etiquetas de entrada HTML.

Prevenir el Phishing: Da sich Kennwortmanager daran erinnern, wo das Kennwort aufgezeichnet wurde, kann das Kennwort nur unter den entsprechenden URLs und nicht auf Phishing-Websites automatisch ausgefüllt werden.

Generieren Sie sichere und eindeutige Passwörter: Da der Passwort-Manager sichere und eindeutige Passwörter direkt generiert und speichert, müssen sich Benutzer kein einziges Zeichen des Passworts merken.

La generación y el autocompletado de contraseñas con un administrador de contraseñas ya han funcionado bien en la web, pero considerando su ciclo de vida, actualizar las contraseñas siempre que Sein necesario es tan importante como generar y autocompletar. Para aprovechar eso adecuadamente, los administradores de contraseñas están agregando una nueva función:

Erkennen Sie anfällige Kennwörter und schlagen Sie vor, diese zu aktualisierenPasswortmanager können wiederverwendete Passwörter erkennen, Passwörter auf Entropie und Schwäche analysieren und sogar potenziell durchgesickerte Passwörter oder Passwörter erkennen, von denen bekannt ist, dass sie aus Quellen wie z Sie haben mich betrogen?.

Un administrador de contraseñas puede advertir a los usuarios sobre contraseñas problemáticas, pero hay mucha fricción al pedir a los usuarios que naveguen desde la página de inicio a una página de cambio de contraseña, además de pasar por el proceso real de cambio de contraseña (que varía de un sitio a otro). . Sería mucho más fácil si los administradores de contraseñas pudieran llevar al Nutzername directamente a la URL de cambio de contraseña. Aquí es donde eine bekannte URL zum Ändern von Passwörtern es wird nützlich.

Durch Reservieren eines bekannten URL-Pfads, der den Benutzer zur Seite zur Kennwortänderung umleitet, kann die Website Benutzer problemlos an den richtigen Ort umleiten, um ihre Kennwörter zu ändern.

Konfigurieren Sie "eine bekannte URL zum Ändern von Passwörtern"

.bekanntes / Passwort ändern es wird vorgeschlagen als eine bekannte URL zum Ändern von Passwörtern. Todo lo que tiene que hacer es configurar su Server para redirigir las solicitudes de .bekanntes / Passwort ändern
zur Passwortänderungs-URL Ihrer Website.

Angenommen, Ihre Website ist https://example.com und die Passwortänderungs-URL ist https://example.com/settings/password. Sie müssen Ihren Server nur so konfigurieren, dass eine Anfrage für umgeleitet wird
https://example.com/.well-known/change-password zu
https://example.com/settings/password. Das ist. Zur Umleitung, Verwenden Sie den HTTP-Statuscode
302 gefunden, 303 Siehe Andere oder 307 Temporäre Weiterleitung.

Alternativ können Sie HTML in Ihrem .bekanntes / Passwort ändern URL mit a Etikett mit einem
http-equiv = "Aktualisieren".

<meta http-equiv="refresh" Inhalt="0;url=https://example.com/settings/password">

Besuchen Sie die HTML-Seite der Kennwortänderungsseite erneut

Das Ziel de esta función es ayudar a que el ciclo de vida de la contraseña del usuario sea más fluido. Puede hacer dos cosas para que el usuario pueda actualizar su contraseña sin problemas:

  • Wenn für Ihr Kennwortänderungsformular das aktuelle Kennwort erforderlich ist, fügen Sie hinzu
    autocomplete = "aktuelles Passwort" zum Beschriftung, damit der Passwort-Manager sie automatisch ausfüllen kann.
  • Fügen Sie für das neue Kennwortfeld (in vielen Fällen zwei Felder, um sicherzustellen, dass der Benutzer das neue Kennwort korrekt eingegeben hat) hinzu
    autocomplete = "neues Passwort" zum Beschriftung, die dem Passwort-Manager hilft, ein generiertes Passwort vorzuschlagen.

Weitere Informationen finden Sie unter Best Practices für das Anmeldeformular.

Wie man es in der realen Welt benutzt

Beispiele

Vielen Dank an Apple Safari
Implementierung,
/.well-known/change-passwordist bereits seit einiger Zeit auf einigen wichtigen Websites verfügbar:

Probieren Sie sie selbst aus und machen Sie dasselbe für Sie.

Compatibilidad del Browser

Eine bekannte URL wurde erstellt, um Passwörter zu ändern. wird seit 2019 in Safari unterstützt. Der Passwort-Manager von Chrome unterstützt ihn ab Version 86 (die voraussichtlich Ende Oktober 2020 stabil veröffentlicht wird). Weitere Chromium-basierte Browser werden möglicherweise folgen. Firefox findet es wert, implementiert zu werden, hat aber nicht angegeben, dass dies ab August 2020 geplant ist.

Verhalten des Chrome-Passwort-Managers

Schauen wir uns an, wie der Passwort-Manager von Chrome mit anfälligen Passwörtern umgeht.

Der Passwort-Manager von Chrome kann nach durchgesickerten Passwörtern suchen. Navigieren zu chrome://settings/passwords Benutzer können ausführen Überprüfen Sie die Passwörter gegen gespeicherte Passwörter und zeigen Sie eine Liste der Passwörter an, deren Aktualisierung empfohlen wird.

check-passwords-1659143

Chrom Überprüfen Sie die Passwörter Funktionalität

Durch Klicken auf die Kennwort ändern zusammen mit einem Passwort, das zum Aktualisieren empfohlen wird, der Browser:

  • Öffnen Sie die Seite zum Ändern des Website-Passworts, wenn /.well-known/change-password ist richtig konfiguriert.
  • Öffnen Sie die Homepage der Website, wenn /.well-known/change-password no está configurado y Google no conoce la alternativa.

Kennwortmanager versuchen festzustellen, ob eine Website eine bekannte URL zum Ändern von Kennwörtern unterstützt, indem sie eine Anfrage an senden /.well-known/change-password bevor Sie einen Benutzer an diese URL weiterleiten. Wenn die Anfrage zurückkehrt 404 Nicht gefunden
Die URL ist offensichtlich nicht verfügbar, aber a 200 OK Die Antwort bedeutet nicht unbedingt, dass die URL verfügbar ist, da es einige Extremfälle gibt:

  • Un sitio web de representación del lado del servidor muestra «No encontrado» cuando no hay Inhalt pero con 200 OK.
  • Eine serverseitige Rendering-Website antwortet mit 200 OK wenn nach dem Umleiten auf die Seite "Nicht gefunden" kein Inhalt vorhanden ist.
  • Eine einzelne Seitenanwendung antwortet mit der Shell mit 200 OK y muestra la página «No encontrado» en el lado del Klient cuando no hay contenido.

In diesen extremen Fällen werden Benutzer auf eine Seite "Nicht gefunden" weitergeleitet, was zu Verwirrung führen kann.

Aus diesem Grund gibt es ein vorgeschlagener Standardmechanismus
um festzustellen, ob der Server für die Antwort konfiguriert ist 404 Nicht gefunden
Wenn es wirklich keinen Inhalt gibt, fordern Sie eine zufällige Seite an. Tatsächlich ist die URL auch reserviert:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. Chrome verwendet diesen URL-Pfad beispielsweise, um zu bestimmen, ob eine ordnungsgemäße Kennwortänderungs-URL von erwartet werden kann /.well-known/change-password im Voraus.

Wenn Sie bereitstellen /.well-known/change-passwordStellen Sie sicher, dass Ihr Server zurückkehrt 404 Nicht gefunden für nicht vorhandene Inhalte.

Feedback

Wenn Sie Kommentare zur Spezifikation haben, senden Sie bitte ein Problem an das Spezifikations-Repository.

Meint

Foto von Matthew Brodeur im Unsplash