مساعدة المستخدمين على تغيير كلمات المرور بسهولة من خلال إضافة عنوان URL معروف لتغيير كلمات المرور

إعادة توجيه الطلب إلى /.well-known/change-password إلى عنوان URL الخاص بتغيير كلمات المرور

ضبط عملية إعادة توجيه من /.well-known/change-password إلى صفحة تغيير كلمة المرور في موقعك الإلكتروني ستتيح هذه الميزة لمديري كلمات المرور إمكانية التنقّل بين المستخدمين. مباشرةً إلى تلك الصفحة.

مقدمة

كما تعلم، ليست كلمات المرور هي أفضل طريقة لإدارة الحسابات. لحسن الحظ، هناك تقنيات ناشئة مثل WebAuthn وأساليب مثل كلمات المرور التي تُستخدم لمرة واحدة تساعدنا في الاقتراب من عالم لا يخلو من كلمات المرور. ومع ذلك، فإن هذه لا تزال التكنولوجيات قيد التطوير ولن تتغير الأمور بسرعة. نتائج عديدة سيظل مطوِّرو البرامج بحاجة إلى معالجة كلمات المرور سنوات. وبينما ننتظر حتى تصبح التقنيات والتقنيات الناشئة شائعًا، يمكننا على الأقل تسهيل استخدام كلمات المرور.

الطريقة الجيدة لإجراء ذلك هي تقديم دعم أفضل لخدمات إدارة كلمات المرور.

كيفية مساعدة تطبيقات إدارة كلمات المرور

يمكن دمج تطبيقات إدارة كلمات المرور في المتصفّحات أو توفيرها كتطبيقات تابعة لجهات خارجية. يمكنها مساعدة المستخدمين بطرق مختلفة:

الملء التلقائي لكلمة المرور لحقل الإدخال الصحيح: يمكن لبعض المتصفّحات العثور على المدخل الصحيح من الناحية التجريبية حتى لو لم يكن الموقع الإلكتروني محسّنًا لهذا الغرض الغرض. يمكن لمطوّري الويب مساعدة مدراء كلمات المرور من خلال إضافة تعليقات توضيحية إلى ملفات HTML بشكل صحيح. علامات الإدخال.

منع التصيّد الاحتيالي: لأنّ مدراء كلمات المرور يتذكّرون مكان تخزين كلمة المرور ، فلا يمكن الملء التلقائي لكلمة المرور إلا في عناوين URL المناسبة، وليس في مواقع التصيّد الاحتيالي على الويب.

إنشاء كلمات مرور قوية وفريدة: لأنّ كلمات المرور القوية والفريدة يتم إنشاؤها وتخزينها مباشرةً بواسطة مدير كلمات المرور، فلا يحتاج المستخدمون إلى تذكر حرفًا واحدًا من كلمة المرور.

سبق أن تم إنشاء كلمات المرور وملؤها تلقائيًا باستخدام مدير كلمات المرور على الويب، ولكن مع الأخذ في الاعتبار مراحل نشاطها، عبر تحديث كلمات المرور متى كان ذلك مطلوبًا بنفس أهمية الإنشاء والملء التلقائي. إلى للاستفادة من ذلك، يضيف مديرو كلمات المرور ميزة جديدة، وهي:

رصد كلمات المرور المحتمَل تعرّضها للاختراق واقتراح تعديلها: بإمكان تطبيقات إدارة كلمات المرور واكتشاف كلمات المرور المعاد استخدامها وتحليل القصور والضعف فيها حتى رصد كلمات المرور التي يُحتمَل أنّه تم تسريبها أو تلك التي تُعرف بأنّها غير آمنة من مصادر مثل Does I Been Pwned.

يمكن لمدير كلمات المرور تحذير المستخدمين بشأن كلمات المرور التي تحتوي على مشاكل، إلا أنّ هناك عند مطالبة المستخدمين بالانتقال من الصفحة الرئيسية إلى تغيير كلمة المرور إلى جانب تنفيذ عملية تغيير كلمة المرور (والتي من موقع إلى آخر). سيكون من الأسهل بكثير لو تمكّن مدراء كلمات المرور نقل المستخدم مباشرةً إلى عنوان URL لتغيير كلمة المرور. هذا هو المكان الذي عنوان URL مشهور لتغيير كلمات المرور مفيدة.

من خلال حجز مسار عنوان URL معروف يعيد توجيه المستخدم إلى التغيير يمكن لموقع الويب إعادة توجيه المستخدمين بسهولة إلى المكان الصحيح تغيير كلمات مرورهم.

إعداد "عنوان URL معروف لتغيير كلمات المرور"

تم اقتراح .well-known/change-password باعتباره عنوان URL معروفًا للتغيير. كلمات المرور. كل ما عليك فعله هو لإعداد خادمك على إعادة توجيه طلبات .well-known/change-password بعنوان URL لتغيير كلمة المرور في موقعك الإلكتروني

على سبيل المثال، لنفترض أنّ موقعك الإلكتروني هو https://example.com وأنّ التغيير عنوان URL لكلمة المرور هو https://example.com/settings/password. ستحتاج فقط إلى تحديد على خادمك لإعادة توجيه طلب من https://example.com/.well-known/change-password إلى https://example.com/settings/password ما مِن إجراءات أخرى مطلوبة. لإعادة التوجيه، استخدم رمز حالة HTTP 302 Found أو 303 See Other أو 307 Temporary Redirect

بدلاً من ذلك، يمكنك عرض رمز HTML على عنوان URL الخاص بـ .well-known/change-password باستخدام علامة <meta> باستخدام http-equiv="refresh"

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

إعادة الاطّلاع على ملف HTML لصفحة تغيير كلمة المرور

والهدف من هذه الميزة هو المساعدة في جعل كلمة مرور المستخدم أكثر سلاسة. يمكنك إجراء شيئين لتمكين المستخدم من تعديل كلمة المرور بدون المعاناة:

  • إذا كان نموذج تغيير كلمة المرور يحتاج إلى كلمة المرور الحالية، فأضف autocomplete="current-password" إلى العلامة <input> للمساعدة بشأن كلمة المرور مديرك تلقائيًا.
  • بالنسبة إلى حقل كلمة المرور الجديد (في كثير من الحالات، هناك حقلان للتأكد من أن أدخل المستخدم كلمة المرور الجديدة بشكل صحيح)، أضف autocomplete="new-password" إلى العلامة <input> للمساعدة بشأن كلمة المرور مدير يقترح كلمة مرور تم إنشاؤها.

تعرف على المزيد من خلال أفضل نموذج تسجيل الدخول الممارسات.

كيف يتم استخدامها في العالم الحقيقي

أمثلة

وبفضل متصفّح Apple Safari الاستخدام، /.well-known/change-password، كانت متوفرة بالفعل في بعض البلدان مواقع الويب لفترة من الوقت:

جربها بنفسك وافعل الشيء نفسه بالنسبة لك!

توافُق المتصفح

هناك عنوان URL معروف لتغيير كلمات المرور يتيح في Safari منذ 2019 سيبدأ مدير كلمات المرور في Chrome في دعمه بدءًا من الإصدار 86 فصاعدًا (من المقرّر طرحه على القناة الثابتة في أواخر تشرين الأول (أكتوبر) 2020) قد تتبعها المتصفحات الأخرى المستندة إلى Chromium. يعتبر Firefox أنه يستحق قيد التنفيذ، لكنه لم يشِر إلى أنّه تخطط لتنفيذ ذلك اعتبارًا من آب (أغسطس) 2020.

سلوك مدير كلمات المرور في Chrome

لنلقِ نظرة على كيفية تعامل مدير كلمات المرور في Chrome مع كلمات المرور المعرَّضة للاختراق.

يمكن لمدير كلمات المرور في Chrome التحقّق من كلمات المرور التي تم تسريبها. من خلال التنقل إلى about://settings/passwords مستخدم يمكنه إجراء التحقُّق من كلمات المرور مقابل البيانات المخزَّنة. بكلمات المرور، والاطّلاع على قائمة بكلمات المرور المُقترَحة للتحديث.

وظيفة التحقّق من كلمات المرور في Chrome

النقر على الزر تغيير كلمة المرور بجانب كلمة المرور المُقترَحة الجديد، فإن المتصفح سيقوم بما يلي:

  • فتح صفحة تغيير كلمة المرور الخاصة بالموقع الإلكتروني إذا كان /.well-known/change-password بشكل صحيح.
  • فتح الصفحة الرئيسية للموقع الإلكتروني في حال عدم إعداد "/.well-known/change-password" ولا تعرف Google الإجراء الاحتياطي.
ماذا لو عرض الخادم 200 OK حتى إذا لم يكن /.well-known/change-password متوفرًا؟

تحاول برامج إدارة كلمات المرور تحديد ما إذا كان موقع الويب يدعم عنوان URL معروفًا تغيير كلمات المرور من خلال إرسال طلب إلى /.well-known/change-password قبل في الواقع إعادة توجيه المستخدم إلى عنوان URL هذا. في حال عرض الطلب مبلغ 404 Not Found من الواضح أنّ عنوان URL غير متوفّر، ولكن استجابة 200 OK غير متوفّرة. بالضرورة أن عنوان URL متاح، وذلك بسبب بعض الحالات الهامشية:

  • موقع إلكتروني يعرض من جهة الخادم يعرض الرسالة "لم يتم العثور عليه" عندما لا يتوفر محتوى ولكن مع 200 OK.
  • يستجيب الموقع الإلكتروني للعرض من جهة الخادم باستخدام 200 OK في حال عدم توفّر المحتوى بعد إعادة التوجيه إلى صفحة "لم يتم العثور على الصفحة" .
  • يستجيب تطبيق صفحة واحدة باستخدام واجهة المستخدم مع 200 OK ويعرض رسالة الخطأ "لم تم العثور عليها" المستخدم في حالة عدم وجود محتوى.

وبالنسبة إلى هذه الحالات القصوى، ستتم إعادة توجيه المستخدمين إلى الحالة "لم يتم العثور على الصفحة" صفحة والتي مصدرًا للالتباس.

لذلك، هناك معيار مقترح الآلية لتحديد ما إذا كان الخادم مهيأ للاستجابة باستخدام 404 Not Found عند عدم توفر محتوى فعلي، من خلال طلب صفحة عشوائية. في الواقع، عنوان URL محجوز أيضًا: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200 يستخدم Chrome على سبيل المثال مسار عنوان URL هذا لتحديد ما إذا كان من المتوقع عنوان URL الصحيح لتغيير كلمة المرور من /.well-known/change-password مقدَّمًا.

عند نشر /.well-known/change-password، تأكد من أن يعرض الخادم 404 Not Found لأي محتوى غير موجود.

ملاحظات

إذا كان لديك أي ملاحظات بشأن المواصفات، يُرجى الإبلاغ عن مشكلة في المواصفات المستودع.

الموارد

صورة من تصوير ماثيو برودور على موقع Unسباش