Anfrage an /.well-known/change-password
an die URL zum Ändern von Passwörtern weiterleiten
Leite eine Weiterleitung von /.well-known/change-password
zur Seite „Passwort ändern“ ein
Ihrer Website. Dadurch können Passwortmanager in Ihren Nutzern navigieren
direkt zu dieser Seite weiterleiten.
Einführung
Wie Sie vielleicht wissen, sind Passwörter nicht die beste Möglichkeit, Konten Zum Glück gibt es neue Technologien wie WebAuthn und Techniken wie Einmalpasswörter, helfen uns, einer Welt ohne Passwörter näher zu kommen. Diese Technologien sind noch in der Entwicklung und die Dinge werden sich nicht so schnell ändern. Viele müssen Entwickler zumindest für die nächsten paar Jahren. Während wir darauf warten, dass neue Technologien und Techniken können wir Passwörter zumindest benutzerfreundlicher gestalten.
Dazu bietet es sich an, Passwortmanager besser zu unterstützen.
Vorteile von Passwortmanagern
Passwortmanager können in Browser integriert oder als Drittanbieter-Apps bereitgestellt werden. Sie können Nutzenden auf verschiedene Weise helfen:
Das Passwort für das richtige Eingabefeld automatisch ausfüllen lassen: Einige Browser können heuristisch korrekt eingeben, auch wenn die Website nicht dafür optimiert ist zu verstehen. Webentwickler können Passwortmanagern helfen, indem sie HTML korrekt annotieren Eingabe-Tags.
Schutz vor Phishing: Passwortmanager speichern, wo das Passwort gespeichert wurde. kann das Passwort nur unter den entsprechenden URLs ausgefüllt werden, nicht unter Phishing-Websites verwendet werden.
Starke und eindeutige Passwörter generieren: direkt im Passwortmanager generiert und gespeichert werden, ein einzelnes Zeichen des Passworts erinnern zu müssen.
Es wurden bereits Passwörter mit einem Passwortmanager generiert und automatisch ausgefüllt für das Web gut, aber unter Berücksichtigung ihres Lebenszyklus wann immer sie benötigt werden, so wichtig wie das Generieren und das automatische Ausfüllen. Bis nutzen Passwortmanager eine neue Funktion:
Angreifbare Passwörter erkennen und ihre Aktualisierung vorschlagen: Passwortmanager können wiederverwendete Passwörter zu erkennen, ihre Entropie und Schwäche zu analysieren sogar potenziell gehackte oder bekanntermaßen unsichere Passwörter zu erkennen. aus Quellen wie Have I Been Pwned.
Ein Passwortmanager kann Nutzer vor problematischen Passwörtern warnen. die Nutzer auffordern, von der Startseite aus ein Passwort zu ändern. neben dem eigentlichen Vorgang der Passwortänderung (das variiert von Website zu Website). Es wäre viel einfacher, wenn Passwortmanager können Sie den Nutzer direkt zur URL für die Passwortänderung weiterleiten. Hier kommt ein bekannte URL zum Ändern Passwörter nützlicher ist.
Indem Sie einen bekannten URL-Pfad reservieren, der den Nutzer zur Änderung weiterleitet kann die Website die Nutzer an die richtige Seite weiterleiten, ihre Passwörter zu ändern.
Richten Sie eine bekannte URL zum Ändern von Passwörtern ein.
.well-known/change-password
wird als bekannte URL zum Ändern vorgeschlagen
Passwörter. Alles, was Sie tun müssen,
um Ihren Server so zu konfigurieren, dass Anfragen für .well-known/change-password
weitergeleitet werden
an die URL zur Passwortänderung Ihrer Website an.
Beispiel: Ihre Website ist https://example.com
und die Änderung
Passwort-URL lautet https://example.com/settings/password
. Sie müssen nur
um eine Anfrage für
https://example.com/.well-known/change-password
bis
https://example.com/settings/password
. Das war's. Verwenden Sie für die Weiterleitung
HTTP-Statuscode
302 Found
, 303 See
Other
oder 307
Temporary Redirect
.
Alternativ können Sie HTML-Code unter der .well-known/change-password
-URL mit
ein <meta>
-Tag mithilfe eines
http-equiv="refresh"
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
Den HTML-Code der Seite zur Passwortänderung noch einmal aufrufen
Ziel dieser Funktion ist es, den Lebenszyklus von Passwörtern flüssiger zu gestalten. Es gibt zwei Möglichkeiten, wie Nutzer ihr Passwort aktualisieren können, ohne Reibung:
- Falls für Ihr Formular zur Passwortänderung das aktuelle Passwort erforderlich ist, fügen Sie
autocomplete="current-password"
zum<input>
-Tag hinzufügen, um das Passwort zu unterstützen oder „Manager“ automatisch ausfüllen lassen. - Für das neue Passwortfeld (oft besteht es aus zwei Feldern,
Nutzer das neue Passwort richtig eingegeben hat), fügen Sie
autocomplete="new-password"
zum<input>
-Tag hinzufügen, um das Passwort zu unterstützen ein generiertes Passwort vor.
Weitere Informationen finden Sie unter Optimal für das Anmeldeformular. .
Wie es in der Praxis verwendet wird
Beispiele
Dank der Unterstützung von Apple Safari
Implementierung von Produkten,
/.well-known/change-password
war bereits auf einigen wichtigen
Websites gesprochen:
Probieren Sie sie selbst aus und tun Sie dasselbe für Ihre!
Browserkompatibilität
Eine bekannte URL zum Ändern von Passwörtern wird in Safari seit 2019 Der Passwortmanager von Chrome unterstützt diese Funktion ab Version 86 (für die stabile Version Ende Oktober 2020 geplant) und andere Chromium-basierte Browser folgen. Für Firefox lohnt es sich Implementierung, aber noch nicht angekündigt, dass dies für August 2020 geplant ist.
Verhalten des Passwortmanagers in Chrome
Sehen wir uns nun an, wie der Passwortmanager von Chrome mit gefährdeten Passwörtern umgeht.
Der Passwortmanager von Chrome kann nach gehackten Passwörtern suchen. Über die Navigation
bis about://settings/passwords
Nutzer können Passwörter prüfen auf gespeicherte Passwörter prüfen
und eine Liste der Passwörter ansehen, die aktualisiert werden sollten.
Durch Klicken auf die Schaltfläche Passwort ändern neben einem Passwort, das für aktualisiert wird, geschieht im Browser Folgendes:
- Öffne die Seite zur Passwortänderung der Website, wenn
/.well-known/change-password
korrekt eingerichtet haben. - Startseite der Website öffnen, wenn
/.well-known/change-password
nicht eingerichtet ist und Google kennt das Fallback nicht.
200 OK
zurückgibt, obwohl /.well-known/change-password
nicht existiert?Passwortmanager versuchen festzustellen, ob eine Website eine bekannte URL für
durch Senden einer Anfrage an /.well-known/change-password
vor dem Ändern von Passwörtern
einen Nutzer an diese URL weiterleitet. Wenn die Anfrage 404 Not Found
zurückgibt
die URL nicht verfügbar ist, aber die 200 OK
-Antwort
bedeuten nicht, dass die URL verfügbar ist, da es einige Grenzfälle gibt:
- Auf einer serverseitigen Website wird „Nicht gefunden“ angezeigt wenn kein Inhalt vorhanden ist
aber mit
200 OK
. - Eine serverseitige Website antwortet mit
200 OK
, wenn keine nach der Weiterleitung zur Seite „Nicht gefunden“ Seite. - Eine einseitige Anwendung antwortet mit der Shell mit
200 OK
und rendert die gefunden" wenn kein Inhalt vorhanden ist.
In diesen Grenzfällen werden Nutzer zur Meldung „Nicht gefunden“ weitergeleitet. und das wird für Verwirrung sorgen.
Deshalb gibt es einen Vorschlag,
Mechanismus
um zu ermitteln, ob der Server für die Antwort mit 404 Not Found
konfiguriert ist
wenn überhaupt keine Inhalte vorhanden sind, indem Sie eine zufällige Seite anfordern. Der Parameter
Die URL ist ebenfalls reserviert:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
Chrome verwendet diesen URL-Pfad beispielsweise, um zu bestimmen, ob ein
von /.well-known/change-password
im Voraus die richtige URL für die Passwortänderung.
Achten Sie bei der Bereitstellung von /.well-known/change-password
darauf, dass Ihr
gibt den Server für alle nicht vorhandenen Inhalte 404 Not Found
zurück.
Feedback
Wenn Sie Feedback zur Spezifikation haben, melden Sie ein Problem in der Spezifikation .
Ressourcen
- Bekannte URL zum Ändern Passwörter
- Zuverlässigkeit des HTTP-Status erkennen Codes
- Best Practices für Anmeldeformulare
Foto von Matthew Brodeur auf Unsplash