Rediriger une demande vers /.well-known/change-password
aile URL de cambio de contraseña
Establecer una réorienter depuis /.well-known/change-password
a la página de cambio de contraseña de su sitio la toile. Esto permitirá a los administradores de contraseñas navegar a sus usuarios directamente a esa página.
Présentation
Comment peux-tu savoir les mots de passe ne sont pas le meilleur moyen de gérer les comptes. Heureusement, il existe des technologies émergentes telles que
WebAuthn et des techniques telles que les mots de passe à usage unique qui nous aident à aborder un monde sans mots de passe. Cependant, ces technologies sont toujours en cours de développement et les choses ne changeront pas rapidement. De nombreux développeurs devront encore gérer les mots de passe pendant au moins les prochaines années. En attendant que les technologies et techniques émergentes deviennent monnaie courante, nous pouvons au moins rendre les mots de passe plus faciles à utiliser.
Une bonne façon de faire est de mieux prendre en charge les gestionnaires de mots de passe.
Aide des gestionnaires de mots de passe
Los administradores de contraseñas pueden integrarse en los navigateurs o proporcionarse como aplicaciones de terceros. Pueden ayudar a los usuarios de varias formas:
Mot de passe de saisie semi-automatique pour le champ de saisie correct: Algunos navegadores pueden encontrar la entrada correcta de forma heurística incluso si el sitio web no está optimizado para este propósito. Los desarrolladores web pueden ayudar a los administradores de contraseñas anotando correctamente las etiquetas de entrada HTML.
Prevenir el Hameçonnage: Étant donné que les gestionnaires de mots de passe se souviennent où le mot de passe a été enregistré, le mot de passe ne peut être rempli automatiquement qu'aux URL appropriées et non sur les sites Web de phishing.
Générez des mots de passe forts et uniques: Étant donné que le gestionnaire de mots de passe génère et stocke directement des mots de passe forts et uniques, les utilisateurs n'ont pas à se souvenir d'un seul caractère du mot de passe.
La generación y el autocompletado de contraseñas con un administrador de contraseñas ya han funcionado bien en la web, pero considerando su ciclo de vida, actualizar las contraseñas siempre que être necesario es tan importante como generar y autocompletar. Para aprovechar eso adecuadamente, los administradores de contraseñas están agregando una nueva función:
Détectez les mots de passe vulnérables et suggérez de les mettre à jourLes gestionnaires de mots de passe peuvent détecter les mots de passe qui sont réutilisés, analyser les mots de passe pour l'entropie et la faiblesse, et même détecter les mots de passe potentiellement divulgués ou ceux qui sont connus pour être dangereux à partir de sources telles que Ils m'ont trompé?.
Un administrador de contraseñas puede advertir a los usuarios sobre contraseñas problemáticas, pero hay mucha fricción al pedir a los usuarios que naveguen desde la página de inicio a una página de cambio de contraseña, además de pasar por el proceso real de cambio de contraseña (que varía de un sitio a otro). . Sería mucho más fácil si los administradores de contraseñas pudieran llevar al Nom d'utilisateur directamente a la URL de cambio de contraseña. Aquí es donde une URL bien connue pour changer les mots de passe cela devient utile.
En réservant un chemin d'URL connu qui redirige l'utilisateur vers la page de changement de mot de passe, le site Web peut facilement rediriger les utilisateurs vers le bon endroit pour changer leurs mots de passe.
Configurer "une URL connue pour modifier les mots de passe"
.well-known / changer-mot de passe
il est proposé comme une URL bien connue pour changer les mots de passe. Todo lo que tiene que hacer es configurar su serveur para redirigir las solicitudes de .well-known / changer-mot de passe
à l'URL de changement de mot de passe de votre site Web.
Par exemple, disons que votre site Web est https://example.com
et l'URL de changement de mot de passe est https://example.com/settings/password
. Il vous suffira de configurer votre serveur pour rediriger une demande de
https://example.com/.well-known/change-password
à
https://example.com/settings/password
. Voilà. Pour la redirection, utiliser le code d'état HTTP
302 Trouvés
, 303 Voir Autre
ou 307 Redirection temporaire
.
Vous pouvez également diffuser du HTML dans votre .well-known / changer-mot de passe
URL avec un étiquette à l'aide d'un
http-equiv = "rafraîchir"
.
<meta http-equiv="refresh" contenu="0;url=https://example.com/settings/password">
Rendez-vous sur la page de changement de mot de passe HTML
le objectif de esta función es ayudar a que el ciclo de vida de la contraseña del usuario sea más fluido. Puede hacer dos cosas para que el usuario pueda actualizar su contraseña sin problemas:
- Si votre formulaire de changement de mot de passe nécessite le mot de passe actuel, ajoutez
autocomplete = "mot de passe actuel"
aulabel pour aider le gestionnaire de mots de passe à le remplir automatiquement.
- Pour le nouveau champ de mot de passe (dans de nombreux cas, il y a deux champs pour s'assurer que l'utilisateur a correctement saisi le nouveau mot de passe), ajoutez
autocomplete = "nouveau-mot de passe"
aulabel pour aider le gestionnaire de mots de passe à suggérer un mot de passe généré.
En savoir plus sur les meilleures pratiques pour le formulaire de connexion.
Comment l'utiliser dans le monde réel
Exemples
Merci à Apple Safari
la mise en oeuvre,
/.well-known/change-password
, est déjà disponible sur certains sites Web majeurs depuis un certain temps:
Essayez-les par vous-même et faites de même pour les vôtres.
Compatibilidad del le navigateur
Une URL bien connue a été créée pour changer les mots de passe. pris en charge dans Safari depuis 2019. Le gestionnaire de mots de passe de Chrome commence à le prendre en charge à partir de la version 86 (dont une version stable est prévue pour fin octobre 2020) et d'autres navigateurs basés sur Chromium pourraient suivre. Firefox trouve que cela vaut la peine d'être implémenté, mais n'a pas indiqué son intention de le faire à partir d'août 2020.
Comportement du gestionnaire de mots de passe Chrome
Voyons comment le gestionnaire de mots de passe de Chrome gère les mots de passe vulnérables.
Le gestionnaire de mots de passe de Chrome peut rechercher les mots de passe divulgués. Naviguer vers chrome://settings/passwords
les utilisateurs peuvent exécuter Vérifier les mots de passe par rapport aux mots de passe stockés et affichez une liste de mots de passe qu'il est recommandé de mettre à jour.
En cliquant sur le Changer le mot de passe avec un mot de passe qu'il est recommandé de mettre à jour, le navigateur:
- Ouvrez la page de changement de mot de passe du site Web si
/.well-known/change-password
est configuré correctement. - Ouvrez la page d'accueil du site Web si
/.well-known/change-password
no está configurado y Google no conoce la alternativa.
Les gestionnaires de mots de passe tentent de déterminer si un site Web prend en charge une URL connue pour modifier les mots de passe en envoyant une demande à /.well-known/change-password
avant de rediriger un utilisateur vers cette URL. Si la demande revient 404 introuvable
l'url n'est évidemment pas disponible, mais un 200 OK
La réponse ne signifie pas nécessairement que l'URL est disponible, car il existe des cas extrêmes:
- Un sitio web de representación del lado del servidor muestra «No encontrado» cuando no hay Contenu pero con
200 OK
. - Un site Web de rendu côté serveur répond avec
200 OK
lorsqu'il n'y a pas de contenu après la redirection vers la page "Non trouvé". - Une application d'une seule page répond avec le shell avec
200 OK
y muestra la página «No encontrado» en el lado del client cuando no hay contenido.
Pour ces cas extrêmes, les utilisateurs seront redirigés vers une page "Non trouvé" et cela sera source de confusion.
À cause de cela, il y a un mécanisme standard proposé
pour déterminer si le serveur est configuré pour répondre avec 404 introuvable
quand il n'y a vraiment pas de contenu, demander une page aléatoire. En fait, l'URL est également réservée:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
. Chrome, par exemple, utilise ce chemin d'URL pour déterminer s'il peut s'attendre à une URL de changement de mot de passe appropriée à partir de /.well-known/change-password
à l'avance.
Lorsque vous déployez /.well-known/change-password
, assurez-vous que votre serveur retourne 404 introuvable
pour tout contenu inexistant.
Retour
Si vous avez des commentaires sur la spécification, veuillez soumettre un problème à le référentiel de spécifications.
Ressources
photo par Matthieu Brodeur au Unsplash