Saltar al contenido principal

Redirigir una solicitud a /.well-known/change-password a la URL de cambio de contraseña

Establecer una redirección desde /.well-known/change-password a la página de cambio de contraseña de su sitio web. Esto permitirá a los administradores de contraseñas navegar a sus usuarios directamente a esa página.

Introducción

Como podrias saber, las contraseñas no son la mejor manera de administrar cuentas. Afortunadamente, existen tecnologías emergentes como
WebAuthn y técnicas como las contraseñas de un solo uso que nos ayudan a acercarnos a un mundo sin contraseñas. Sin embargo, estas tecnologías aún se están desarrollando y las cosas no cambiarán rápidamente. Muchos desarrolladores todavía necesitarán lidiar con contraseñas durante al menos los próximos años. Mientras esperamos que las tecnologías y técnicas emergentes se conviertan en algo común, al menos podemos hacer que las contraseñas sean más fáciles de usar.

Una buena forma de hacer esto es brindar un mejor soporte a los administradores de contraseñas.

Cómo ayudan los administradores de contraseñas

Los administradores de contraseñas pueden integrarse en los navegadores o proporcionarse como aplicaciones de terceros. Pueden ayudar a los usuarios de varias formas:

igraal_es-es

Autocompletar la contraseña para el campo de entrada correcto: Algunos navegadores pueden encontrar la entrada correcta de forma heurística incluso si el sitio web no está optimizado para este propósito. Los desarrolladores web pueden ayudar a los administradores de contraseñas anotando correctamente las etiquetas de entrada HTML.

Prevenir el phishing: Debido a que los administradores de contraseñas recuerdan dónde se registró la contraseña, la contraseña se puede completar automáticamente solo en las URL apropiadas y no en los sitios web de phishing.

Genere contraseñas sólidas y únicas: Debido a que el administrador de contraseñas genera y almacena directamente contraseñas seguras y únicas, los usuarios no tienen que recordar ni un solo carácter de la contraseña.

La generación y el autocompletado de contraseñas con un administrador de contraseñas ya han funcionado bien en la web, pero considerando su ciclo de vida, actualizar las contraseñas siempre que sea necesario es tan importante como generar y autocompletar. Para aprovechar eso adecuadamente, los administradores de contraseñas están agregando una nueva función:

Detecte contraseñas vulnerables y sugiera actualizarlas: Los administradores de contraseñas pueden detectar contraseñas que se reutilizan, analizar la entropía y la debilidad de las mismas, e incluso detectar contraseñas potencialmente filtradas o aquellas que se sabe que no son seguras de fuentes como ¿Me han engañado?.

Un administrador de contraseñas puede advertir a los usuarios sobre contraseñas problemáticas, pero hay mucha fricción al pedir a los usuarios que naveguen desde la página de inicio a una página de cambio de contraseña, además de pasar por el proceso real de cambio de contraseña (que varía de un sitio a otro). . Sería mucho más fácil si los administradores de contraseñas pudieran llevar al usuario directamente a la URL de cambio de contraseña. Aquí es donde una URL conocida para cambiar contraseñas se vuelve útil.

Al reservar una ruta URL conocida que redirige al usuario a la página de cambio de contraseña, el sitio web puede redirigir fácilmente a los usuarios al lugar correcto para cambiar sus contraseñas.

Configurar «una URL conocida para cambiar contraseñas»

.well-known/change-password se propone como una URL conocida para cambiar contraseñas. Todo lo que tiene que hacer es configurar su servidor para redirigir las solicitudes de .well-known/change-password
a la URL de cambio de contraseña de su sitio web.

Por ejemplo, digamos que su sitio web es https://example.com y la URL de cambio de contraseña es https://example.com/settings/password. Solo necesitará configurar su servidor para redirigir una solicitud de
https://example.com/.well-known/change-password a
https://example.com/settings/password. Eso es. Para la redirección, usa el código de estado HTTP
302 Found, 303 See Other o 307 Temporary Redirect.

Alternativamente, puede servir HTML en su .well-known/change-password URL con un <meta> etiqueta usando un
http-equiv="refresh".

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

Vuelva a visitar el HTML de la página de cambio de contraseña

El objetivo de esta función es ayudar a que el ciclo de vida de la contraseña del usuario sea más fluido. Puede hacer dos cosas para que el usuario pueda actualizar su contraseña sin problemas:

  • Si su formulario de cambio de contraseña necesita la contraseña actual, agregue
    autocomplete="current-password" al <input> etiqueta para ayudar al administrador de contraseñas a completarla automáticamente.
  • Para el campo de la nueva contraseña (en muchos casos son dos campos para garantizar que el usuario haya ingresado la nueva contraseña correctamente), agregue
    autocomplete="new-password" al <input> etiqueta para ayudar al administrador de contraseñas a sugerir una contraseña generada.

Obtenga más información en Prácticas recomendadas para el formulario de inicio de sesión.

Cómo se usa en el mundo real

Ejemplos

Gracias a Apple Safari
implementación,
/.well-known/change-password, ya está disponible en algunos sitios web importantes durante un tiempo:

Pruébelos usted mismo y haga lo mismo con los suyos.

Compatibilidad del navegador

Se ha creado una conocida URL para cambiar contraseñas. soportado en Safari desde 2019. El administrador de contraseñas de Chrome está comenzando a admitirlo a partir de la versión 86 (que está programada para su lanzamiento estable a fines de octubre de 2020) y es posible que sigan otros navegadores basados ​​en Chromium. Firefox considera que vale la pena implementarlo, pero no ha indicado que planee hacerlo a partir de agosto de 2020.

Comportamiento del administrador de contraseñas de Chrome

Echemos un vistazo a cómo el administrador de contraseñas de Chrome trata las contraseñas vulnerables.

El administrador de contraseñas de Chrome puede buscar contraseñas filtradas. Navegando a chrome://settings/passwords los usuarios pueden ejecutar Comprobar contraseñas contra las contraseñas almacenadas y ver una lista de contraseñas que se recomienda actualizar.

check-passwords-1659143

De Chrome Comprobar contraseñas funcionalidad

Haciendo clic en el Cambia la contraseña junto a una contraseña que se recomienda actualizar, el navegador:

  • Abra la página de cambio de contraseña del sitio web si /.well-known/change-password está configurado correctamente.
  • Abra la página de inicio del sitio web si /.well-known/change-password no está configurado y Google no conoce la alternativa.

Los administradores de contraseñas intentan determinar si un sitio web admite una URL conocida para cambiar contraseñas enviando una solicitud a /.well-known/change-password antes de reenviar a un usuario a esta URL. Si la solicitud regresa 404 Not Found
es obvio que la URL no está disponible, pero una 200 OK La respuesta no significa necesariamente que la URL esté disponible, porque hay algunos casos extremos:

  • Un sitio web de representación del lado del servidor muestra «No encontrado» cuando no hay contenido pero con 200 OK.
  • Un sitio web de renderizado del lado del servidor responde con 200 OK cuando no hay contenido después de redirigir a la página «No encontrado».
  • Una aplicación de una sola página responde con el shell con 200 OK y muestra la página «No encontrado» en el lado del cliente cuando no hay contenido.

Para estos casos extremos, los usuarios serán reenviados a una página «No encontrado» y eso será una fuente de confusión.

Por eso hay un mecanismo estándar propuesto
para determinar si el servidor está configurado para responder con 404 Not Found
cuando realmente no hay contenido, solicitando una página aleatoria. De hecho, la URL también está reservada:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. Chrome, por ejemplo, utiliza esta ruta de URL para determinar si puede esperar una URL de cambio de contraseña adecuada de /.well-known/change-password por adelantado.

Cuando estás desplegando /.well-known/change-password, asegúrese de que su servidor regrese 404 Not Found para cualquier contenido no existente.

Realimentación

Si tiene algún comentario sobre la especificación, envíe un problema a el repositorio de especificaciones.

Recursos

Foto por Matthew Brodeur en Unsplash

error: Atención: Contenido protegido.