Zum Hauptinhalt springen

Leiten Sie eine Anfrage an um /.well-known/change-password zur Passwortänderungs-URL

Legen Sie eine Umleitung von fest /.well-known/change-password auf die Seite zum Ändern des Passworts Ihrer Website. Auf diese Weise können Kennwortmanager ihre Benutzer direkt zu dieser Seite navigieren.

Einführung

Wie kannst du das wissen Passwörter sind nicht der beste Weg, um Konten zu verwalten. Glücklicherweise gibt es neue Technologien wie
WebAuthn und Techniken wie Einmalpasswörter, die uns helfen, uns einer Welt ohne Passwörter zu nähern. Diese Technologien werden jedoch noch entwickelt und die Dinge werden sich nicht schnell ändern. Viele Entwickler müssen sich zumindest in den nächsten Jahren noch mit Passwörtern befassen. Während wir darauf warten, dass neue Technologien und Techniken alltäglich werden, können wir zumindest die Verwendung von Passwörtern vereinfachen.

Eine gute Möglichkeit, dies zu tun, besteht darin, Kennwortmanager besser zu unterstützen.

Wie Passwortmanager helfen

Passwortmanager können in Browser integriert oder als Anwendungen von Drittanbietern bereitgestellt werden. Sie können Benutzern auf verschiedene Weise helfen:

Autocomplete-Passwort für korrektes Eingabefeld: Einige Browser können heuristisch den richtigen Eintrag finden, auch wenn die Website nicht für diesen Zweck optimiert ist. Webentwickler können Kennwortmanagern helfen, indem sie HTML-Eingabe-Tags korrekt mit Anmerkungen versehen.

Verhindern Sie Phishing: Da sich Kennwortmanager daran erinnern, wo das Kennwort aufgezeichnet wurde, kann das Kennwort nur unter den entsprechenden URLs und nicht auf Phishing-Websites automatisch ausgefüllt werden.

Generieren Sie sichere und eindeutige Passwörter: Da der Passwort-Manager sichere und eindeutige Passwörter direkt generiert und speichert, müssen sich Benutzer kein einziges Zeichen des Passworts merken.

Das Generieren und automatische Ausfüllen von Passwörtern mit einem Passwort-Manager hat im Web bereits gut funktioniert. Angesichts des Lebenszyklus ist das Aktualisieren von Passwörtern bei Bedarf jedoch genauso wichtig wie das Generieren und automatische Ausfüllen. Um dies richtig zu nutzen, fügen Passwortmanager eine neue Funktion hinzu:

Erkennen Sie anfällige Kennwörter und schlagen Sie vor, diese zu aktualisierenPasswortmanager können wiederverwendete Passwörter erkennen, Passwörter auf Entropie und Schwäche analysieren und sogar potenziell durchgesickerte Passwörter oder Passwörter erkennen, von denen bekannt ist, dass sie aus Quellen wie z Sie haben mich betrogen?.

Ein Passwort-Manager kann Benutzer vor problematischen Passwörtern warnen. Es ist jedoch sehr reibungslos, Benutzer aufzufordern, von der Startseite zu einer Seite zum Ändern von Passwörtern zu navigieren und den eigentlichen Prozess zum Ändern von Passwörtern durchzuführen (der von Site zu Site unterschiedlich ist). . . Es wäre viel einfacher, wenn Kennwortmanager den Benutzer direkt zur Kennwortänderungs-URL führen könnten. Das ist wo eine bekannte URL zum Ändern von Passwörtern es wird nützlich.

Durch Reservieren eines bekannten URL-Pfads, der den Benutzer zur Seite zur Kennwortänderung umleitet, kann die Website Benutzer problemlos an den richtigen Ort umleiten, um ihre Kennwörter zu ändern.

Konfigurieren Sie "eine bekannte URL zum Ändern von Passwörtern"

.bekanntes / Passwort ändern es wird vorgeschlagen als eine bekannte URL zum Ändern von Passwörtern. Sie müssen lediglich Ihren Server so konfigurieren, dass Anforderungen für umgeleitet werden .bekanntes / Passwort ändern
zur Passwortänderungs-URL Ihrer Website.

Angenommen, Ihre Website ist https://example.com und die Passwortänderungs-URL ist https://example.com/settings/password. Sie müssen Ihren Server nur so konfigurieren, dass eine Anfrage für umgeleitet wird
https://example.com/.well-known/change-password zu
https://example.com/settings/password. Das ist. Zur Umleitung, Verwenden Sie den HTTP-Statuscode
302 gefunden, 303 Siehe Andere oder 307 Temporäre Weiterleitung.

Alternativ können Sie HTML in Ihrem .bekanntes / Passwort ändern URL mit a Etikett mit einem
http-equiv = "Aktualisieren".

< meta http-equiv = " refresh " content = " 0; url = https: //example.com/settings/password " >

Besuchen Sie die HTML-Seite der Kennwortänderungsseite erneut

Der Zweck dieser Funktion besteht darin, den Passwortlebenszyklus des Benutzers nahtloser zu gestalten. Sie können zwei Dinge tun, damit der Benutzer sein Passwort problemlos aktualisieren kann:

  • Wenn für Ihr Kennwortänderungsformular das aktuelle Kennwort erforderlich ist, fügen Sie hinzu
    autocomplete = "aktuelles Passwort" zum Beschriftung, damit der Passwort-Manager sie automatisch ausfüllen kann.
  • Fügen Sie für das neue Kennwortfeld (in vielen Fällen zwei Felder, um sicherzustellen, dass der Benutzer das neue Kennwort korrekt eingegeben hat) hinzu
    autocomplete = "neues Passwort" zum Beschriftung, die dem Passwort-Manager hilft, ein generiertes Passwort vorzuschlagen.

Weitere Informationen finden Sie unter Best Practices für das Anmeldeformular.

Wie man es in der realen Welt benutzt

Beispiele

Vielen Dank an Apple Safari
Implementierung,
/.well-known/change-passwordist bereits seit einiger Zeit auf einigen wichtigen Websites verfügbar:

Probieren Sie sie selbst aus und machen Sie dasselbe für Sie.

Browser-Kompatibilität

Eine bekannte URL wurde erstellt, um Passwörter zu ändern. wird seit 2019 in Safari unterstützt. Der Passwort-Manager von Chrome unterstützt ihn ab Version 86 (die voraussichtlich Ende Oktober 2020 stabil veröffentlicht wird). Weitere Chromium-basierte Browser werden möglicherweise folgen. Firefox findet es wert, implementiert zu werden, hat aber nicht angegeben, dass dies ab August 2020 geplant ist.

Verhalten des Chrome-Passwort-Managers

Schauen wir uns an, wie der Passwort-Manager von Chrome mit anfälligen Passwörtern umgeht.

Der Passwort-Manager von Chrome kann nach durchgesickerten Passwörtern suchen. Navigieren zu chrome://settings/passwords Benutzer können ausführen Überprüfen Sie die Passwörter gegen gespeicherte Passwörter und zeigen Sie eine Liste der Passwörter an, deren Aktualisierung empfohlen wird.

check-passwords-1659143

Chrom Überprüfen Sie die Passwörter Funktionalität

Durch Klicken auf die Kennwort ändern zusammen mit einem Passwort, das zum Aktualisieren empfohlen wird, der Browser:

  • Öffnen Sie die Seite zum Ändern des Website-Passworts, wenn /.well-known/change-password ist richtig konfiguriert.
  • Öffnen Sie die Homepage der Website, wenn /.well-known/change-password Es ist nicht konfiguriert und Google kennt die Alternative nicht.

Kennwortmanager versuchen festzustellen, ob eine Website eine bekannte URL zum Ändern von Kennwörtern unterstützt, indem sie eine Anfrage an senden /.well-known/change-password bevor Sie einen Benutzer an diese URL weiterleiten. Wenn die Anfrage zurückkehrt 404 Nicht gefunden
Die URL ist offensichtlich nicht verfügbar, aber a 200 OK Die Antwort bedeutet nicht unbedingt, dass die URL verfügbar ist, da es einige Extremfälle gibt:

  • Eine serverseitige Rendering-Website zeigt "Nicht gefunden" an, wenn kein Inhalt vorhanden ist, außer mit 200 OK.
  • Eine serverseitige Rendering-Website antwortet mit 200 OK wenn nach dem Umleiten auf die Seite "Nicht gefunden" kein Inhalt vorhanden ist.
  • Eine einzelne Seitenanwendung antwortet mit der Shell mit 200 OK und zeigt die Seite "Nicht gefunden" auf der Clientseite an, wenn kein Inhalt vorhanden ist.

In diesen extremen Fällen werden Benutzer auf eine Seite "Nicht gefunden" weitergeleitet, was zu Verwirrung führen kann.

Aus diesem Grund gibt es ein vorgeschlagener Standardmechanismus
um festzustellen, ob der Server für die Antwort konfiguriert ist 404 Nicht gefunden
Wenn es wirklich keinen Inhalt gibt, fordern Sie eine zufällige Seite an. Tatsächlich ist die URL auch reserviert:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. Chrome verwendet diesen URL-Pfad beispielsweise, um zu bestimmen, ob eine ordnungsgemäße Kennwortänderungs-URL von erwartet werden kann /.well-known/change-password im Voraus.

Wenn Sie bereitstellen /.well-known/change-passwordStellen Sie sicher, dass Ihr Server zurückkehrt 404 Nicht gefunden für nicht vorhandene Inhalte.

Feedback

Wenn Sie Kommentare zur Spezifikation haben, senden Sie bitte ein Problem an das Spezifikations-Repository.

Meint

Foto von Matthew Brodeur im Unsplash

R Marketing Digital