Passer au contenu principal

Rediriger une demande vers /.well-known/change-password à l'URL de changement de mot de passe

Définir une redirection depuis /.well-known/change-password à la page de changement de mot de passe de votre site Web. Cela permettra aux gestionnaires de mots de passe de diriger leurs utilisateurs directement vers cette page.

Présentation

Comment peux-tu savoir les mots de passe ne sont pas le meilleur moyen de gérer les comptes. Heureusement, il existe des technologies émergentes telles que
WebAuthn et des techniques telles que les mots de passe à usage unique qui nous aident à aborder un monde sans mots de passe. Cependant, ces technologies sont toujours en cours de développement et les choses ne changeront pas rapidement. De nombreux développeurs devront encore gérer les mots de passe pendant au moins les prochaines années. En attendant que les technologies et techniques émergentes deviennent monnaie courante, nous pouvons au moins rendre les mots de passe plus faciles à utiliser.

Une bonne façon de faire est de mieux prendre en charge les gestionnaires de mots de passe.

Aide des gestionnaires de mots de passe

Les gestionnaires de mots de passe peuvent être intégrés aux navigateurs ou fournis en tant qu'applications tierces. Ils peuvent aider les utilisateurs de plusieurs manières:

igraal_fr-fr

Mot de passe de saisie semi-automatique pour le champ de saisie correct: Certains navigateurs peuvent trouver de manière heuristique l'entrée correcte même si le site Web n'est pas optimisé à cet effet. Les développeurs Web peuvent aider les gestionnaires de mots de passe en annotant correctement les balises d'entrée HTML.

Empêcher le phishing: Étant donné que les gestionnaires de mots de passe se souviennent où le mot de passe a été enregistré, le mot de passe ne peut être rempli automatiquement qu'aux URL appropriées et non sur les sites Web de phishing.

Générez des mots de passe forts et uniques: Étant donné que le gestionnaire de mots de passe génère et stocke directement des mots de passe forts et uniques, les utilisateurs n'ont pas à se souvenir d'un seul caractère du mot de passe.

La génération et le remplissage automatique des mots de passe avec un gestionnaire de mots de passe a déjà bien fonctionné sur le Web, mais compte tenu de son cycle de vie, la mise à jour des mots de passe chaque fois que nécessaire est tout aussi importante que la génération et le remplissage automatique. Pour en profiter correctement, les gestionnaires de mots de passe ajoutent une nouvelle fonctionnalité:

Détectez les mots de passe vulnérables et suggérez de les mettre à jourLes gestionnaires de mots de passe peuvent détecter les mots de passe qui sont réutilisés, analyser les mots de passe pour l'entropie et la faiblesse, et même détecter les mots de passe potentiellement divulgués ou ceux qui sont connus pour être dangereux à partir de sources telles que Ils m'ont trompé?.

Un gestionnaire de mots de passe peut avertir les utilisateurs des mots de passe problématiques, mais il y a beaucoup de friction à demander aux utilisateurs de naviguer de la page d'accueil à une page de changement de mot de passe, en plus de passer par le processus de changement de mot de passe réel (qui varie d'un site à l'autre) . . Ce serait beaucoup plus facile si les gestionnaires de mots de passe pouvaient diriger l'utilisateur directement vers l'URL de changement de mot de passe. C'est ici que une URL bien connue pour changer les mots de passe cela devient utile.

En réservant un chemin d'URL connu qui redirige l'utilisateur vers la page de changement de mot de passe, le site Web peut facilement rediriger les utilisateurs vers le bon endroit pour changer leurs mots de passe.

Configurer "une URL connue pour modifier les mots de passe"

.well-known / changer-mot de passe il est proposé comme une URL bien connue pour changer les mots de passe. Tout ce que vous avez à faire est de configurer votre serveur pour rediriger les demandes de .well-known / changer-mot de passe
à l'URL de changement de mot de passe de votre site Web.

Par exemple, disons que votre site Web est https://example.com et l'URL de changement de mot de passe est https://example.com/settings/password. Il vous suffira de configurer votre serveur pour rediriger une demande de
https://example.com/.well-known/change-password à
https://example.com/settings/password. Voilà. Pour la redirection, utiliser le code d'état HTTP
302 Trouvés, 303 Voir Autre ou 307 Redirection temporaire.

Vous pouvez également diffuser du HTML dans votre .well-known / changer-mot de passe URL avec un étiquette à l'aide d'un
http-equiv = "rafraîchir".

< meta http-equiv = " refresh " content = " 0; url = https: //example.com/settings/password " >

Rendez-vous sur la page de changement de mot de passe HTML

Le but de cette fonctionnalité est d'aider à rendre le cycle de vie du mot de passe de l'utilisateur plus transparent. Vous pouvez faire deux choses pour que l'utilisateur puisse mettre à jour son mot de passe sans problème:

  • Si votre formulaire de changement de mot de passe nécessite le mot de passe actuel, ajoutez
    autocomplete = "mot de passe actuel" au label pour aider le gestionnaire de mots de passe à le remplir automatiquement.
  • Pour le nouveau champ de mot de passe (dans de nombreux cas, il y a deux champs pour s'assurer que l'utilisateur a correctement saisi le nouveau mot de passe), ajoutez
    autocomplete = "nouveau-mot de passe" au label pour aider le gestionnaire de mots de passe à suggérer un mot de passe généré.

En savoir plus sur les meilleures pratiques pour le formulaire de connexion.

Comment l'utiliser dans le monde réel

Exemples

Merci à Apple Safari
la mise en oeuvre,
/.well-known/change-password, est déjà disponible sur certains sites Web majeurs depuis un certain temps:

Essayez-les par vous-même et faites de même pour les vôtres.

Compatibilité du navigateur

Une URL bien connue a été créée pour changer les mots de passe. pris en charge dans Safari depuis 2019. Le gestionnaire de mots de passe de Chrome commence à le prendre en charge à partir de la version 86 (dont une version stable est prévue pour fin octobre 2020) et d'autres navigateurs basés sur Chromium pourraient suivre. Firefox trouve que cela vaut la peine d'être implémenté, mais n'a pas indiqué son intention de le faire à partir d'août 2020.

Comportement du gestionnaire de mots de passe Chrome

Voyons comment le gestionnaire de mots de passe de Chrome gère les mots de passe vulnérables.

Le gestionnaire de mots de passe de Chrome peut rechercher les mots de passe divulgués. Naviguer vers chrome://settings/passwords les utilisateurs peuvent exécuter Vérifier les mots de passe par rapport aux mots de passe stockés et affichez une liste de mots de passe qu'il est recommandé de mettre à jour.

vérifier-mots de passe-1659143

Chrome Vérifier les mots de passe Fonctionnalité

En cliquant sur le Changer le mot de passe avec un mot de passe qu'il est recommandé de mettre à jour, le navigateur:

  • Ouvrez la page de changement de mot de passe du site Web si /.well-known/change-password est configuré correctement.
  • Ouvrez la page d'accueil du site Web si /.well-known/change-password il n'est pas configuré et Google ne connaît pas l'alternative.

Les gestionnaires de mots de passe tentent de déterminer si un site Web prend en charge une URL connue pour modifier les mots de passe en envoyant une demande à /.well-known/change-password avant de rediriger un utilisateur vers cette URL. Si la demande revient 404 introuvable
l'url n'est évidemment pas disponible, mais un 200 OK La réponse ne signifie pas nécessairement que l'URL est disponible, car il existe des cas extrêmes:

  • Un site Web de rendu côté serveur affiche "Non trouvé" lorsqu'il n'y a pas de contenu mais avec 200 OK.
  • Un site Web de rendu côté serveur répond avec 200 OK lorsqu'il n'y a pas de contenu après la redirection vers la page "Non trouvé".
  • Une application d'une seule page répond avec le shell avec 200 OK et affiche la page "Non trouvé" côté client lorsqu'il n'y a pas de contenu.

Pour ces cas extrêmes, les utilisateurs seront redirigés vers une page "Non trouvé" et cela sera source de confusion.

À cause de cela, il y a un mécanisme standard proposé
pour déterminer si le serveur est configuré pour répondre avec 404 introuvable
quand il n'y a vraiment pas de contenu, demander une page aléatoire. En fait, l'URL est également réservée:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. Chrome, par exemple, utilise ce chemin d'URL pour déterminer s'il peut s'attendre à une URL de changement de mot de passe appropriée à partir de /.well-known/change-password à l'avance.

Lorsque vous déployez /.well-known/change-password, assurez-vous que votre serveur retourne 404 introuvable pour tout contenu inexistant.

Retour

Si vous avez des commentaires sur la spécification, veuillez soumettre un problème à le référentiel de spécifications.

Ressources

photo par Matthieu Brodeur au Unsplash

Erreur: Attention: Contenu protégé.