כדי לעזור למשתמשים לשנות סיסמאות בקלות, אפשר להוסיף כתובת URL ידועה לשינוי סיסמאות

הפניה אוטומטית של בקשה אל /.well-known/change-password לכתובת ה-URL לשינוי סיסמאות

Eiji Kitamura

הגדרת הפניה אוטומטית מ-/.well-known/change-password לדף שינוי הסיסמה של האתר שלכם. כך מנהלי הסיסמאות יוכלו לנווט בין המשתמשים ישירות לדף הזה.

מבוא

כידוע לך, סיסמאות הן לא הדרך הטובה ביותר לנהל חשבונות Google. למרבה המזל, קיימות טכנולוגיות מתפתחות כמו WebAuthn ושיטות כמו סיסמאות חד-פעמיות עוזרות לנו להתקרב לעולם ללא סיסמאות. אבל, הטכנולוגיות עדיין מתפתחות ודברים לא ישתנו במהירות. הרבה הם עדיין יצטרכו לטפל בסיסמאות לפחות שנים. בזמן שאנחנו ממתינים לטכנולוגיות והטכניקות המתפתחות הוא תופעה נפוצה, אנחנו לפחות יכולים להקל על השימוש בסיסמאות.

דרך טובה לעשות זאת היא לספק תמיכה טובה יותר למנהלי סיסמאות.

איך מנהלי סיסמאות עוזרים

מנהלי סיסמאות יכולים להיות מובנים בדפדפנים או לספק אותם כאפליקציות צד שלישי. הם יכולים לעזור למשתמשים בדרכים שונות:

מילוי אוטומטי של הסיסמה בשדה הקלט הנכון: דפדפנים מסוימים יכולים למצוא את את הקלט הנכון בצורה היוריסטית, גם אם האתר לא עבר אופטימיזציה למטרה. מפתחי אתרים יכולים לעזור למנהלי סיסמאות על ידי הוספת הערות HTML בצורה נכונה תגי קלט.

מניעת פישינג: מנהלי הסיסמאות זוכרים איפה הסיסמה ניתן למלא את הסיסמה באופן אוטומטי רק בכתובות URL מתאימות, ולא ב אתרי פישינג.

ליצור סיסמאות חזקות וייחודיות: כי צריך ליצור סיסמאות חזקות וייחודיות. נוצרים ונשמרים ישירות על ידי מנהל הסיסמאות, המשתמשים לא צריכים לזכור תו אחד בסיסמה.

כבר יש יצירה ומילוי אוטומטי של סיסמאות באמצעות מנהל סיסמאות פעלה היטב באינטרנט, אבל בהתחשב במחזור החיים שלהם, עדכנו את הסיסמאות בכל פעם שהוא נדרש, חשובים כמו יצירה ומילוי אוטומטי. שפת תרגום כדי למנף את זה בצורה נכונה, מנהלי סיסמאות מוסיפים תכונה חדשה:

לזהות סיסמאות פגיעות ולהציע לעדכן אותן: מנהלי סיסמאות יכולים לזהות סיסמאות שנעשה בהן שימוש חוזר, לנתח את האנטרופיה והחולשה שלהן אפילו לזהות סיסמאות פוטנציאליות שדלפו או סיסמאות שידוע שהן לא בטוחות ממקורות כמו Did I Been Pwned.

מנהל הסיסמאות יכול להזהיר משתמשים מפני סיסמאות בעייתיות, אבל יש הרבה של קשיים בניסיון לבקש מהמשתמשים לעבור מדף הבית לשינוי סיסמה בנוסף לביצוע התהליך בפועל של שינוי הסיסמה (ש משתנה מאתר לאתר). היה הרבה יותר קל אם מנהלי הסיסמאות היו יכולים לנווט את המשתמש ישירות לכתובת ה-URL של שינוי הסיסמה. כאן כתובת URL ידועה לשינוי לשימוש בסיסמאות.

על ידי שמירת נתיב כתובת URL ידוע שמפנה את המשתמש לשינוי דף הסיסמה, האתר יכול להפנות בקלות את המשתמשים למקום הנכון לשנות את הסיסמאות שלהם.

הגדרת 'כתובת URL ידועה לשינוי סיסמאות'

.well-known/change-password מוצעת בתור כתובת URL ידועה לשינוי סיסמאות. כל מה שצריך לעשות הוא כדי להגדיר את השרת שלך כך שיפנה בקשות של .well-known/change-password לכתובת אחרת לכתובת ה-URL לשינוי הסיסמה באתר שלכם.

לדוגמה, נניח שהאתר שלך הוא https://example.com והשינוי כתובת ה-URL לסיסמה היא https://example.com/settings/password. צריך רק להגדיר לשרת להפנות באופן אוטומטי בקשה https://example.com/.well-known/change-password עד https://example.com/settings/password. זה הכול. לצורך ההפניה האוטומטית, משתמשים קוד מצב HTTP 302 Found, 303 See Other או 307 Temporary Redirect.

לחלופין, אפשר להציג HTML בכתובת ה-URL של .well-known/change-password עם תג <meta> באמצעות http-equiv="refresh".

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

חזרה ל-HTML של דף שינוי הסיסמה

מטרת התכונה הזו היא לעזור למחזור החיים של המשתמש להיות גמיש יותר. ניתן לעשות שני דברים כדי לעודד את המשתמשים לעדכן את הסיסמה שלהם חיכוך:

  • אם בטופס שינוי הסיסמה נדרשת הסיסמה הנוכחית, יש להוסיף autocomplete="current-password" לתג <input> כדי לעזור בסיסמה והמנהל שימלא אותו באופן אוטומטי.
  • בשדה הסיסמה החדשה (במקרים רבים מדובר בשני שדות כדי לוודא המשתמש הזין את הסיסמה החדשה בצורה נכונה), הוסף autocomplete="new-password" לתג <input> כדי לעזור בסיסמה המנהל מציע סיסמה שנוצרה.

מידע נוסף זמין בקישור טופס הכניסה המתאים ביותר שיטות.

איך משתמשים בהם בעולם האמיתי

דוגמאות

הודות ל-Apple Safari הטמעה, /.well-known/change-password, כבר זמין בכמה אתרים לזמן מה:

נסו אותם בעצמכם ועשו זאת גם בשבילכם!

תאימות דפדפן

כתובת URL ידועה לשינוי סיסמאות נתמכת ב-Safari מאז 2019. מנהל הסיסמאות של Chrome מתחיל לתמוך בגרסה 86 ואילך (מתוכננת לגרסה יציבה בסוף אוקטובר 2020) ודפדפנים אחרים המבוססים על Chromium עשויים לפעול לפי ההנחיות. Firefox רואה ערך מסוים בהטמעה, אבל לא הודיעה שהיא מתכננת לעשות זאת החל מאוגוסט 2020.

ההתנהגות של מנהל הסיסמאות ב-Chrome

בואו נראה איך מנהל הסיסמאות של Chrome מטפל בסיסמאות פגיעות.

מנהל הסיסמאות של Chrome יכול לבדוק אם יש סיסמאות שנחשפו. על ידי ניווט ל-about://settings/passwords משתמשים יכולים להריץ בדיקת סיסמאות מול סיסמאות ולראות רשימה של סיסמאות שמומלץ לעדכן.

הפונקציונליות של בדיקת סיסמאות ב-Chrome

על ידי לחיצה על הלחצן שינוי סיסמה לצד סיסמה מומלץ יעודכן, הדפדפן:

  • פתיחת דף שינוי הסיסמה של האתר אם /.well-known/change-password מוגדר בצורה נכונה.
  • אם המדיניות /.well-known/change-password לא מוגדרת, פותחים את דף הבית של האתר ו-Google לא יודעת מהי החלופה.
מה אם השרת מחזיר 200 OK גם אם /.well-known/change-password לא קיים?

מנהלי סיסמאות מנסים לקבוע אם אתר תומך בכתובת URL ידועה שינוי סיסמאות על ידי שליחת בקשה אל /.well-known/change-password לפני מעביר בפועל משתמש לכתובת האתר הזו. אם הבקשה מחזירה 404 Not Found ברור שכתובת ה-URL אינה זמינה, אבל תגובת 200 OK לא המשמעות היא שכתובת ה-URL זמינה, מפני שיש מספר מקרי קצה:

  • אתר לעיבוד בצד השרת מציג את ההודעה 'לא נמצא' כשאין תוכן אבל עם 200 OK.
  • אתר לעיבוד בצד השרת מגיב באמצעות הערך 200 OK כאשר לא תוכן אחרי הפניה אוטומטית אל הקטע 'לא נמצא' הדף הזה.
  • אפליקציה עם דף יחיד מגיבה עם המעטפת עם 200 OK ומעבדת את השגיאה "Not נמצא" בצד הלקוח כאשר אין תוכן.

במקרי קצה כאלה, המשתמשים יועברו והוא יגרום מקור לבלבול.

לכן יש הצעה לתקן מנגנון כדי לקבוע אם השרת מוגדר להגיב באמצעות 404 Not Found כשבאמת אין תוכן, על ידי בקשת דף אקראי. למעשה, גם כתובת ה-URL שמורה: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200 לדוגמה, Chrome משתמש בנתיב כתובת האתר הזה כדי לקבוע אם הוא יכול לצפות שינוי תקין של כתובת URL לסיסמה מ-/.well-known/change-password מראש.

כשפורסים את /.well-known/change-password, צריך לוודא השרת מחזיר את הערך 404 Not Found עבור תוכן שלא קיים.

משוב

אם יש לך משוב על המפרט, אפשר לדווח על בעיה למפרט מאגר הנתונים.

משאבים

תמונה מאת Matthew Brodeur ב-Unbounce