با افزودن یک URL شناخته شده برای تغییر رمز عبور، به کاربران کمک کنید به راحتی رمزهای عبور را تغییر دهند

یک درخواست را به /.well-known/change-password به URL change-passwords هدایت کنید

Eiji Kitamura

یک تغییر مسیر از /.well-known/change-password به صفحه تغییر رمز عبور وب سایت خود تنظیم کنید. این به مدیران رمز عبور اجازه می دهد تا کاربران شما را مستقیماً به آن صفحه هدایت کنند.

مقدمه

همانطور که می دانید، رمز عبور بهترین راه برای مدیریت حساب ها نیست . خوشبختانه، فناوری‌های نوظهوری مانند WebAuthn و تکنیک‌هایی مانند رمزهای عبور یک‌بار مصرف وجود دارند که به ما کمک می‌کنند به دنیای بدون رمز عبور نزدیک‌تر شویم. با این حال، این فناوری ها هنوز در حال توسعه هستند و همه چیز به سرعت تغییر نخواهد کرد. بسیاری از توسعه دهندگان حداقل تا چند سال آینده همچنان باید با پسوردها سر و کار داشته باشند. در حالی که منتظر هستیم تا فناوری‌ها و تکنیک‌های در حال ظهور رایج شوند، حداقل می‌توانیم استفاده از رمزهای عبور را آسان‌تر کنیم.

یک راه خوب برای انجام این کار، ارائه پشتیبانی بهتر برای مدیریت رمز عبور است.

چگونه مدیریت رمز عبور کمک می کند

مدیریت رمز عبور می تواند در مرورگرها ساخته شود یا به عنوان برنامه های شخص ثالث ارائه شود. آنها می توانند به روش های مختلف به کاربران کمک کنند:

تکمیل خودکار رمز عبور برای فیلد ورودی صحیح : برخی از مرورگرها می توانند ورودی صحیح را به صورت اکتشافی پیدا کنند، حتی اگر وب سایت برای این منظور بهینه نشده باشد. توسعه دهندگان وب می توانند با حاشیه نویسی صحیح تگ های ورودی HTML به مدیران رمز عبور کمک کنند.

جلوگیری از فیشینگ : از آنجایی که مدیران گذرواژه به خاطر می‌آورند که گذرواژه در کجا ثبت شده است، رمز عبور را می‌توان فقط در آدرس‌های اینترنتی مناسب تکمیل کرد، نه در وب‌سایت‌های فیشینگ.

ایجاد رمزهای عبور قوی و منحصر به فرد : از آنجا که رمزهای عبور قوی و منحصر به فرد مستقیماً توسط مدیر رمز عبور تولید و ذخیره می شوند، کاربران مجبور نیستند یک نویسه از رمز عبور را به خاطر بسپارند.

ایجاد و تکمیل خودکار رمزهای عبور با استفاده از یک مدیر رمز عبور قبلاً به خوبی به وب سرویس داده است، اما با توجه به چرخه عمر آنها، به روز رسانی رمزهای عبور در هر زمان که لازم باشد به اندازه تولید و تکمیل خودکار مهم است. برای استفاده صحیح از آن، مدیران رمز عبور یک ویژگی جدید اضافه می کنند:

گذرواژه‌های آسیب‌پذیر را شناسایی کنید و به‌روزرسانی آن‌ها را پیشنهاد دهید : مدیران گذرواژه می‌توانند رمزهای عبوری را که مجدداً استفاده می‌شوند شناسایی کنند، آنتروپی و ضعف آن‌ها را تجزیه و تحلیل کنند، و حتی رمزهای عبور احتمالی فاش شده یا مواردی را که از منابعی مانند Have I Been Pwned ناامن هستند، شناسایی کنند.

مدیر رمز عبور می تواند به کاربران در مورد رمزهای عبور مشکل دار هشدار دهد، اما درخواست از کاربران برای رفتن از صفحه اصلی به صفحه تغییر رمز عبور، علاوه بر انجام فرآیند واقعی تغییر رمز عبور (که از سایتی به سایت دیگر متفاوت است) وجود دارد. اگر مدیران رمز عبور بتوانند کاربر را مستقیماً به URL تغییر رمز عبور هدایت کنند، بسیار ساده تر خواهد بود. اینجاست که یک URL معروف برای تغییر رمز عبور مفید می شود.

با رزرو یک مسیر URL شناخته شده که کاربر را به صفحه تغییر رمز عبور هدایت می کند، وب سایت می تواند به راحتی کاربران را به مکان مناسب برای تغییر رمز عبور هدایت کند.

"یک URL شناخته شده برای تغییر رمز عبور" را تنظیم کنید

.well-known/change-password به عنوان یک URL شناخته شده برای تغییر رمز عبور پیشنهاد شده است. تنها کاری که باید انجام دهید این است که سرور خود را پیکربندی کنید تا درخواست‌های .well-known/change-password به URL تغییر رمز عبور وب‌سایت خود هدایت کنید.

به عنوان مثال، فرض کنید وب سایت شما https://example.com است و URL تغییر رمز عبور https://example.com/settings/password است. فقط باید سرور خود را تنظیم کنید تا درخواستی برای https://example.com/.well-known/change-password به https://example.com/settings/password هدایت شود. همین است. برای تغییر مسیر، از کد وضعیت HTTP 302 Found ، 303 See Other یا 307 Temporary Redirect استفاده کنید.

یا می توانید HTML را در URL .well-known/change-password خود با تگ <meta> با استفاده از http-equiv="refresh" ارائه دهید.

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

HTML صفحه تغییر رمز عبور خود را مجدداً مشاهده کنید

هدف این ویژگی کمک به سیال تر شدن چرخه عمر رمز عبور کاربر است. شما می توانید دو کار را انجام دهید تا کاربر را قادر کنید تا رمز عبور خود را بدون اصطکاک به روز کند:

• اگر فرم تغییر گذرواژه شما به رمز عبور فعلی نیاز دارد، autocomplete="current-password" را به تگ <input> اضافه کنید تا به مدیر رمز عبور کمک کنید تا آن را تکمیل کند.
• برای فیلد رمز عبور جدید (در بسیاری از موارد دو فیلد برای اطمینان از اینکه کاربر رمز عبور جدید را به درستی وارد کرده است)، به تگ <input> autocomplete="new-password" اضافه کنید تا به مدیر رمز عبور کمک کنید رمز عبور ایجاد شده را پیشنهاد دهد.

در بهترین روش‌های فرم ورود به سیستم بیشتر بیاموزید.

نحوه استفاده از آن در دنیای واقعی

نمونه ها

به لطف پیاده‌سازی Apple Safari، /.well-known/change-password قبلاً برای مدتی در برخی از وب‌سایت‌های بزرگ در دسترس بوده است:

• گوگل
• GitHub
• فیس بوک
• توییتر
• وردپرس

خودتان آنها را امتحان کنید و همین کار را برای خودتان انجام دهید!

سازگاری با مرورگر

از سال 2019 یک URL معروف برای تغییر رمز عبور در سافاری پشتیبانی می شود. مدیر رمز عبور Chrome از نسخه 86 به بعد شروع به پشتیبانی از آن می کند (که برای انتشار پایدار در اواخر اکتبر 2020 برنامه ریزی شده است) و سایر مرورگرهای مبتنی بر Chromium ممکن است از آن استفاده کنند. فایرفاکس آن را ارزش پیاده‌سازی می‌داند ، اما نشان نداده است که قصد دارد تا اوت 2020 این کار را انجام دهد.

رفتار مدیر رمز عبور کروم

بیایید نگاهی به نحوه برخورد مدیر رمز عبور کروم با رمزهای عبور آسیب پذیر بیندازیم.

مدیر رمز عبور کروم می‌تواند رمزهای عبور افشا شده را بررسی کند. با پیمایش به about://settings/passwords کاربران می‌توانند گذرواژه‌ها را در مقابل گذرواژه‌های ذخیره‌شده بررسی کنند و فهرستی از گذرواژه‌هایی را که برای به‌روزرسانی توصیه می‌شوند، مشاهده کنند.