/.well-known/change-password
에 대한 요청을 비밀번호 변경 URL로 리디렉션
/.well-known/change-password
에서 비밀번호 변경 페이지로의 리디렉션 설정
확인할 수 있습니다 이렇게 하면 비밀번호 관리자가 사용자를 탐색할 수 있습니다.
해당 페이지로 바로 연결할 수 있습니다.
소개
아시다시피 비밀번호는 계정을 참조하세요. 다행히도 데이터 레이크와 같은 새로운 기술이 WebAuthn 및 웹 애플리케이션 액세스를 허용하는 일회용 비밀번호 등의 기술을 비밀번호 없는 세상에 더 가까이 다가가는 데 도움이 되고 있습니다. 그러나 이러한 기술은 아직 개발 중이며 상황이 빠르게 변하지 않을 것입니다. 여러 항목 개발자는 적어도 앞으로 몇 시간 동안은 여전히 비밀번호를 처리해야 합니다. 있습니다. 우리는 새로운 기술과 기법이 적어도 비밀번호를 사용하기 쉽게 만들 수는 있습니다.
이를 위한 좋은 방법은 비밀번호 관리자를 더 효과적으로 지원하는 것입니다.
비밀번호 관리자의 지원 방식
비밀번호 관리자는 브라우저에 내장하거나 서드 파티 앱으로 제공할 수 있습니다. 다음과 같이 다양한 방식으로 사용자에게 도움을 줄 수 있습니다.
올바른 입력란에 비밀번호 자동 완성: 일부 브라우저에서는 웹사이트가 이에 최적화되지 않았더라도 휴리스틱 방식으로 정확한 입력을 있습니다. 웹 개발자는 HTML에 올바르게 주석을 달아 비밀번호 관리자를 도울 수 있습니다. 입력 태그와 동일합니다.
피싱 방지: 비밀번호 관리자가 비밀번호 위치를 기억하므로 저장된 경우 비밀번호는 적절한 URL에서만 자동 완성될 수 있고 피싱 웹사이트입니다.
안전하고 고유한 비밀번호 생성: 안전하고 고유한 비밀번호를 만들어야 합니다. 비밀번호 관리자에 의해 직접 생성되고 저장되므로 사용자가 로그인할 필요가 없습니다. 비밀번호의 한 문자를 기억해야 합니다
비밀번호 관리자를 사용하여 비밀번호를 생성하고 자동 완성하는 기능은 이미 웹 환경을 효과적으로 제공했지만 수명 주기를 고려하여 비밀번호를 생성 및 자동 완성만큼 중요할 때마다 그렇습니다. 받는사람 이를 적절히 활용하기 위해 비밀번호 관리자는 다음과 같은 새로운 기능을 추가하고 있습니다.
취약한 비밀번호를 감지하여 업데이트 제안: 비밀번호 관리자는 다음 작업을 실행할 수 있습니다. 재사용되는 비밀번호를 감지하고, 비밀번호의 엔트로피와 약점을 분석하며, 유출되었을 가능성이 있는 비밀번호나 안전하지 않은 것으로 알려진 비밀번호를 출처(have I Been Pwned)가
비밀번호 관리자는 문제가 있는 비밀번호에 대해 사용자에게 경고할 수 있지만, 사용자가 홈페이지에서 비밀번호 변경으로 이동하도록 요청할 때 불편함 비밀번호 (비밀번호)를 변경하는 실제 과정을 거치게 됩니다. 사이트마다 다름). 비밀번호 관리자가 사용자를 비밀번호 변경 URL로 직접 이동 여기에서 잘 알려진 URL 변경 비밀번호가 유용해집니다.
사용자를 변경사항으로 리디렉션하는 잘 알려진 URL 경로를 예약함 해당 웹사이트는 사용자를 올바른 위치로 쉽게 리디렉션할 수 있고 비밀번호를 변경할 수 없습니다.
'비밀번호 변경 시 잘 알려진 URL' 설정
.well-known/change-password
은(는) 변경 가능한 잘 알려진 URL로 제안되었습니다.
비밀번호를 사용합니다. 사용자는
.well-known/change-password
의 요청을 리디렉션하도록 서버를 구성합니다.
웹사이트의 비밀번호 변경 URL로 연결됩니다.
예를 들어 웹사이트가 https://example.com
이고
비밀번호 URL은 https://example.com/settings/password
입니다. 네트워크에서
요청을 리디렉션하도록
https://example.com/.well-known/change-password
부터
https://example.com/settings/password
이상입니다. 리디렉션의 경우
HTTP 상태 코드
302 Found
, 303 See
Other
또는 307
Temporary Redirect
.
또는 다음을 사용하여 .well-known/change-password
URL에 HTML을 게재할 수 있습니다.
<meta>
태그를 생성할 때
http-equiv="refresh"
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
비밀번호 변경 페이지 HTML 다시 방문
이 기능의 목표는 사용자의 비밀번호 수명 주기를 더 유연하게 하는 것입니다. 다음 두 가지 조치를 취하면 사용자가 비밀번호 변경 없이 직접 비밀번호를 업데이트하도록 할 수 있습니다. 마찰:
- 비밀번호 변경 양식에 현재 비밀번호가 필요한 경우
비밀번호 지원을 위해
<input>
태그에autocomplete="current-password"
추가 관리자가 자동으로 완성합니다. - 새 비밀번호 필드의 경우 (대부분의 경우
사용자가 새 비밀번호를 올바르게 입력함)
비밀번호 지원을 위해
<input>
태그에autocomplete="new-password"
추가 관리자가 생성된 비밀번호를 제안합니다.
가장 적합한 로그인 양식에서 자세히 알아보기 권장사항을 참고하세요.
실제 사용 방식
예
덕분에 Apple Safari에서
구현,
/.well-known/change-password
은(는) 일부 주요 버전에서 이미 제공되고 있습니다.
한동안 여러 웹사이트를 방문했습니다.
스스로 시도해 보고 여러분에게도 똑같이 해 보세요.
브라우저 호환성
비밀번호 변경을 위한 잘 알려진 URL은 이후, Safari에서 지원되어 왔습니다. 2019 Chrome의 비밀번호 관리자가 버전 86부터 이를 지원하기 시작했습니다. (2020년 10월 말에 안정화 버전 출시 예정) 다른 Chromium 기반 브라우저도 이후에 사용할 수 있습니다 Firefox는 구현, 2020년 8월 현재로 지원할 계획임을 나타내지 않았습니다.
Chrome의 비밀번호 관리자 동작
Chrome의 비밀번호 관리자가 취약한 비밀번호를 어떻게 처리하는지 살펴보겠습니다.
Chrome의 비밀번호 관리자에서 유출된 비밀번호가 있는지 확인할 수 있습니다. 탐색
about://settings/passwords
명의 사용자에게 저장된 파일에 대해 비밀번호 확인을 실행할 수 있습니다.
비밀번호를 확인하고 업데이트에 권장되는 비밀번호 목록을 확인합니다.
권장되는 비밀번호 옆의 비밀번호 변경 버튼을 클릭하면 가 업데이트되면 브라우저에서 다음 작업을 수행합니다.
/.well-known/change-password
이(가) 다음에 해당하는 경우 웹사이트의 비밀번호 변경 페이지 열기 설정하는 것이 좋습니다./.well-known/change-password
이(가) 설정되어 있지 않은 경우 웹사이트 홈페이지 열기 Google은 대체를 알 수 없습니다
/.well-known/change-password
가 존재하지 않더라도 서버가 200 OK
를 반환하면 어떻게 될까요?비밀번호 관리자는 웹사이트가
전에 /.well-known/change-password
에 요청을 전송하여 비밀번호 변경
사용자를 이 URL로
전달합니다 요청이 404 Not Found
를 반환하는 경우
URL을 사용할 수 없지만 200 OK
응답은
다음과 같은 몇 가지 극단적인 사례가 있으므로 URL을 사용할 수 있음을 의미합니다.
- 서버 측 렌더링 웹사이트에 '찾을 수 없음'이 표시됨 콘텐츠가 없을 때
200 OK
사용 - 서버 측 렌더링 웹사이트는
200 OK
'찾을 수 없음' 페이지로 리디렉션된 후 있습니다. - 단일 페이지 앱은
200 OK
로 셸로 응답하고 발견' 클라이언트 측 페이지로 이동해야 합니다.
이러한 특이 케이스의 경우 사용자는 '찾을 수 없음' 이렇게 하면 혼동의 원인이 될 수 있습니다
그렇기 때문에 디지털 데이터 사용에 대해 제안된
메커니즘
서버가 404 Not Found
로 응답하도록 구성되어 있는지 확인합니다.
실제로 콘텐츠가 없는 경우 임의의 페이지를 요청합니다. 사실
예약된 URL:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
예를 들어 Chrome은 이 URL 경로를 사용하여
비밀번호 URL을 /.well-known/change-password
에서 적절히 변경하세요.
/.well-known/change-password
배포 시
서버에서 존재하지 않는 콘텐츠에 대해 404 Not Found
를 반환합니다.
의견
사양에 대한 의견이 있는 경우 사양에 문제를 신고해 주세요. 저장소를 사용합니다.