Aider les utilisateurs à changer facilement de mot de passe en ajoutant une URL connue pour changer de mot de passe

Rediriger une requête vers /.well-known/change-password vers l'URL de modification des mots de passe

Définissez une redirection de /.well-known/change-password vers la page de modification du mot de passe de votre site Web. Les gestionnaires de mots de passe pourront ainsi rediriger directement vos utilisateurs vers cette page.

Introduction

Comme vous le savez peut-être, les mots de passe ne sont pas le meilleur moyen de gérer les comptes. Heureusement, il existe des technologies émergentes telles que WebAuthn et des techniques telles que les mots de passe à usage unique, qui nous permettent de nous rapprocher d'un monde sans mots de passe. Toutefois, ces technologies sont encore en cours de développement, et les choses ne changeront pas rapidement. De nombreux développeurs devront encore gérer des mots de passe pendant au moins les prochaines années. En attendant que les technologies et techniques émergentes deviennent courantes, nous pouvons au moins rendre les mots de passe plus faciles à utiliser.

Pour ce faire, nous proposons une meilleure prise en charge des gestionnaires de mots de passe.

Comment les gestionnaires de mots de passe vous aident

Les gestionnaires de mots de passe peuvent être intégrés aux navigateurs ou fournis en tant qu'applications tierces. Ils peuvent aider les utilisateurs de différentes manières:

Saisie automatique du mot de passe dans le champ de saisie approprié: certains navigateurs peuvent trouver la saisie appropriée de manière heuristique, même si le site Web n'est pas optimisé à cette fin. Les développeurs Web peuvent aider les gestionnaires de mots de passe en annotant correctement les balises d'entrée HTML.

Empêcher l'hameçonnage: comme les gestionnaires de mots de passe se souviennent de l'emplacement où le mot de passe a été enregistré, il ne peut être renseigné automatiquement que dans les URL appropriées, et non sur les sites Web d'hameçonnage.

Générer des mots de passe sécurisés et uniques: comme les mots de passe sécurisés et uniques sont générés et stockés directement par le gestionnaire de mots de passe, les utilisateurs n'ont pas besoin de se souvenir d'un seul caractère du mot de passe.

La génération et la saisie automatique des mots de passe à l'aide d'un gestionnaire de mots de passe ont déjà bien servi le Web, mais compte tenu de leur cycle de vie, mettre à jour les mots de passe chaque fois que cela est nécessaire est tout aussi important que la génération et la saisie automatique. Pour exploiter pleinement cette fonctionnalité, les gestionnaires de mots de passe ajoutent une nouvelle fonctionnalité:

Détectez les mots de passe vulnérables et suggérez de les mettre à jour: les gestionnaires de mots de passe peuvent détecter les mots de passe réutilisés, analyser leur entropie et leur faiblesse, et même détecter les mots de passe potentiellement divulgués ou dont la sécurité est connue à partir de sources telles que Have I Been Pwned.

Un gestionnaire de mots de passe peut avertir les utilisateurs des mots de passe problématiques, mais il est très contraignant de demander aux utilisateurs de passer de la page d'accueil à une page de modification de mot de passe, en plus de suivre la procédure de modification du mot de passe (qui varie d'un site à l'autre). Il serait beaucoup plus facile si les gestionnaires de mots de passe pouvaient rediriger l'utilisateur directement vers l'URL de modification du mot de passe. C'est là qu'une URL bien connue pour modifier les mots de passe est utile.

En réservant un chemin d'URL connu qui redirige l'utilisateur vers la page de modification du mot de passe, le site Web peut facilement rediriger les utilisateurs vers le bon endroit pour modifier leur mot de passe.

Configurer "une URL bien connue pour modifier les mots de passe"

.well-known/change-password est proposée comme URL bien connue pour modifier les mots de passe. Il vous suffit de configurer votre serveur pour rediriger les requêtes pour .well-known/change-password vers l'URL de modification du mot de passe de votre site Web.

Par exemple, imaginons que votre site Web soit https://example.com et que l'URL de modification du mot de passe soit https://example.com/settings/password. Il vous suffit de configurer votre serveur pour rediriger une requête pour https://example.com/.well-known/change-password vers https://example.com/settings/password. Et voilà ! Pour la redirection, utilisez le code d'état HTTP 302 Found, 303 See Other ou 307 Temporary Redirect.

Vous pouvez également diffuser du code HTML sur votre URL .well-known/change-password avec une balise <meta> à l'aide d'un élément http-equiv="refresh".

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

Revoir le code HTML de votre page de modification du mot de passe

L'objectif de cette fonctionnalité est de rendre le cycle de vie du mot de passe de l'utilisateur plus fluide. Vous pouvez effectuer deux opérations pour permettre à l'utilisateur de mettre à jour son mot de passe sans friction:

  • Si le mot de passe actuel est nécessaire pour votre formulaire de modification de mot de passe, ajoutez autocomplete="current-password" à la balise <input> pour aider le gestionnaire de mots de passe à le renseigner automatiquement.
  • Pour le champ du nouveau mot de passe (dans de nombreux cas, il s'agit de deux champs pour s'assurer que l'utilisateur a correctement saisi le nouveau mot de passe), ajoutez autocomplete="new-password" à la balise <input> pour aider le gestionnaire de mots de passe à suggérer un mot de passe généré.

Pour en savoir plus, consultez les bonnes pratiques concernant les formulaires de connexion.

Comment l'utiliser dans le monde réel

Exemples

Grâce à l'implémentation d'Apple Safari, /.well-known/change-password est déjà disponible sur certains sites Web majeurs depuis un certain temps:

Essayez-les et faites de même pour la vôtre !

Compatibilité du navigateur

Une URL connue pour modifier les mots de passe est compatible avec Safari depuis 2019. Le Gestionnaire de mots de passe de Chrome commencera à le prendre en charge à partir de la version 86 (dont la version stable est prévue fin octobre 2020), et d'autres navigateurs basés sur Chromium peuvent suivre. Firefox considère que cette fonctionnalité est intéressante à implémenter, mais n'a pas indiqué qu'il prévoyait de le faire en août 2020.

Comportement du Gestionnaire de mots de passe de Chrome

Voyons comment le Gestionnaire de mots de passe de Chrome traite les mots de passe vulnérables.

Le Gestionnaire de mots de passe de Chrome peut détecter les mots de passe divulgués. En accédant à about://settings/passwords, les utilisateurs peuvent exécuter Vérifier les mots de passe par rapport aux mots de passe stockés et consulter la liste des mots de passe dont la mise à jour est recommandée.

Fonctionnalité Vérifier les mots de passe de Chrome

Lorsque vous cliquez sur le bouton Modifier le mot de passe à côté d'un mot de passe que vous devez mettre à jour, le navigateur:

  • Ouvrez la page de modification du mot de passe du site Web si /.well-known/change-password est configuré correctement.
  • Ouvre la page d'accueil du site Web si /.well-known/change-password n'est pas configuré et que Google ne connaît pas l'option de remplacement.
Que se passe-t-il si le serveur renvoie 200 OK même si /.well-known/change-password n'existe pas ?

Les gestionnaires de mots de passe tentent de déterminer si un site Web accepte une URL connue pour modifier les mots de passe. Pour cela, il envoie une requête à /.well-known/change-password avant de rediriger l'utilisateur vers cette URL. Si la requête renvoie 404 Not Found, il est évident que l'URL n'est pas disponible. Toutefois, une réponse 200 OK ne signifie pas nécessairement que l'URL est disponible, car il existe quelques cas particuliers:

  • Un site Web qui s'affiche côté serveur affiche la mention "Introuvable" lorsqu'il n'y a pas de contenu, mais avec 200 OK.
  • Un site Web qui s'affiche côté serveur envoie une réponse 200 OK lorsqu'il n'y a pas de contenu après la redirection vers la page "Introuvable".
  • Une application monopage répond avec le shell avec 200 OK et affiche la page "Introuvable" côté client lorsqu'il n'y a pas de contenu.

Dans ces cas limites, les utilisateurs seront redirigés vers une page "Introuvable", ce qui peut prêter à confusion.

C'est pourquoi un mécanisme standard proposé permet de déterminer si le serveur est configuré pour répondre avec 404 Not Found lorsqu'il n'y a pas de contenu, en demandant une page aléatoire. En fait, l'URL est également réservée : /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. Chrome, par exemple, utilise ce chemin d'URL pour déterminer s'il peut s'attendre à une URL de modification du mot de passe correcte à l'avance de la part de /.well-known/change-password.

Lorsque vous déployez /.well-known/change-password, assurez-vous que votre serveur renvoie 404 Not Found pour tout contenu non existant.

Commentaires

Si vous avez des commentaires sur les spécifications, veuillez signaler un problème dans le dépôt de spécifications.

Ressources

Photo de Matthew Brodeur sur Unsplash