הפניה אוטומטית של בקשה אל /.well-known/change-password
לכתובת ה-URL לשינוי סיסמאות
הגדרת הפניה אוטומטית מ-/.well-known/change-password
לדף שינוי הסיסמה
של האתר שלכם. כך מנהלי הסיסמאות יוכלו לנווט בין המשתמשים
ישירות לדף הזה.
מבוא
כידוע לך, סיסמאות הן לא הדרך הטובה ביותר לנהל חשבונות Google. למרבה המזל, קיימות טכנולוגיות מתפתחות כמו WebAuthn ושיטות כמו סיסמאות חד-פעמיות עוזרות לנו להתקרב לעולם ללא סיסמאות. אבל, הטכנולוגיות עדיין מתפתחות ודברים לא ישתנו במהירות. הרבה הם עדיין יצטרכו לטפל בסיסמאות לפחות שנים. בזמן שאנחנו ממתינים לטכנולוגיות והטכניקות המתפתחות הוא תופעה נפוצה, אנחנו לפחות יכולים להקל על השימוש בסיסמאות.
דרך טובה לעשות זאת היא לספק תמיכה טובה יותר למנהלי סיסמאות.
איך מנהלי סיסמאות עוזרים
מנהלי סיסמאות יכולים להיות מובנים בדפדפנים או לספק אותם כאפליקציות צד שלישי. הם יכולים לעזור למשתמשים בדרכים שונות:
מילוי אוטומטי של הסיסמה בשדה הקלט הנכון: דפדפנים מסוימים יכולים למצוא את את הקלט הנכון בצורה היוריסטית, גם אם האתר לא עבר אופטימיזציה למטרה. מפתחי אתרים יכולים לעזור למנהלי סיסמאות על ידי הוספת הערות HTML בצורה נכונה תגי קלט.
מניעת פישינג: מנהלי הסיסמאות זוכרים איפה הסיסמה ניתן למלא את הסיסמה באופן אוטומטי רק בכתובות URL מתאימות, ולא ב אתרי פישינג.
ליצור סיסמאות חזקות וייחודיות: כי צריך ליצור סיסמאות חזקות וייחודיות. נוצרים ונשמרים ישירות על ידי מנהל הסיסמאות, המשתמשים לא צריכים לזכור תו אחד בסיסמה.
כבר יש יצירה ומילוי אוטומטי של סיסמאות באמצעות מנהל סיסמאות פעלה היטב באינטרנט, אבל בהתחשב במחזור החיים שלהם, עדכנו את הסיסמאות בכל פעם שהוא נדרש, חשובים כמו יצירה ומילוי אוטומטי. שפת תרגום כדי למנף את זה בצורה נכונה, מנהלי סיסמאות מוסיפים תכונה חדשה:
לזהות סיסמאות פגיעות ולהציע לעדכן אותן: מנהלי סיסמאות יכולים לזהות סיסמאות שנעשה בהן שימוש חוזר, לנתח את האנטרופיה והחולשה שלהן אפילו לזהות סיסמאות פוטנציאליות שדלפו או סיסמאות שידוע שהן לא בטוחות ממקורות כמו Did I Been Pwned.
מנהל הסיסמאות יכול להזהיר משתמשים מפני סיסמאות בעייתיות, אבל יש הרבה של קשיים בניסיון לבקש מהמשתמשים לעבור מדף הבית לשינוי סיסמה בנוסף לביצוע התהליך בפועל של שינוי הסיסמה (ש משתנה מאתר לאתר). היה הרבה יותר קל אם מנהלי הסיסמאות היו יכולים לנווט את המשתמש ישירות לכתובת ה-URL של שינוי הסיסמה. כאן כתובת URL ידועה לשינוי לשימוש בסיסמאות.
על ידי שמירת נתיב כתובת URL ידוע שמפנה את המשתמש לשינוי דף הסיסמה, האתר יכול להפנות בקלות את המשתמשים למקום הנכון לשנות את הסיסמאות שלהם.
הגדרת 'כתובת URL ידועה לשינוי סיסמאות'
.well-known/change-password
מוצעת בתור כתובת URL ידועה לשינוי
סיסמאות. כל מה שצריך לעשות הוא
כדי להגדיר את השרת שלך כך שיפנה בקשות של .well-known/change-password
לכתובת אחרת
לכתובת ה-URL לשינוי הסיסמה באתר שלכם.
לדוגמה, נניח שהאתר שלך הוא https://example.com
והשינוי
כתובת ה-URL לסיסמה היא https://example.com/settings/password
. צריך רק להגדיר
לשרת להפנות באופן אוטומטי בקשה
https://example.com/.well-known/change-password
עד
https://example.com/settings/password
. זה הכול. לצורך ההפניה האוטומטית, משתמשים
קוד מצב HTTP
302 Found
, 303 See
Other
או 307
Temporary Redirect
.
לחלופין, אפשר להציג HTML בכתובת ה-URL של .well-known/change-password
עם
תג <meta>
באמצעות
http-equiv="refresh"
.
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
חזרה ל-HTML של דף שינוי הסיסמה
מטרת התכונה הזו היא לעזור למחזור החיים של המשתמש להיות גמיש יותר. ניתן לעשות שני דברים כדי לעודד את המשתמשים לעדכן את הסיסמה שלהם חיכוך:
- אם בטופס שינוי הסיסמה נדרשת הסיסמה הנוכחית, יש להוסיף
autocomplete="current-password"
לתג<input>
כדי לעזור בסיסמה והמנהל שימלא אותו באופן אוטומטי. - בשדה הסיסמה החדשה (במקרים רבים מדובר בשני שדות כדי לוודא
המשתמש הזין את הסיסמה החדשה בצורה נכונה), הוסף
autocomplete="new-password"
לתג<input>
כדי לעזור בסיסמה המנהל מציע סיסמה שנוצרה.
מידע נוסף זמין בקישור טופס הכניסה המתאים ביותר שיטות.
איך משתמשים בהם בעולם האמיתי
דוגמאות
הודות ל-Apple Safari
הטמעה,
/.well-known/change-password
, כבר זמין בכמה
אתרים לזמן מה:
נסו אותם בעצמכם ועשו זאת גם בשבילכם!
תאימות דפדפן
כתובת URL ידועה לשינוי סיסמאות נתמכת ב-Safari מאז 2019. מנהל הסיסמאות של Chrome מתחיל לתמוך בגרסה 86 ואילך (מתוכננת לגרסה יציבה בסוף אוקטובר 2020) ודפדפנים אחרים המבוססים על Chromium עשויים לפעול לפי ההנחיות. Firefox רואה ערך מסוים בהטמעה, אבל לא הודיעה שהיא מתכננת לעשות זאת החל מאוגוסט 2020.
ההתנהגות של מנהל הסיסמאות ב-Chrome
בואו נראה איך מנהל הסיסמאות של Chrome מטפל בסיסמאות פגיעות.
מנהל הסיסמאות של Chrome יכול לבדוק אם יש סיסמאות שנחשפו. על ידי ניווט
ל-about://settings/passwords
משתמשים יכולים להריץ בדיקת סיסמאות מול
סיסמאות ולראות רשימה של סיסמאות שמומלץ לעדכן.
על ידי לחיצה על הלחצן שינוי סיסמה לצד סיסמה מומלץ יעודכן, הדפדפן:
- פתיחת דף שינוי הסיסמה של האתר אם
/.well-known/change-password
מוגדר בצורה נכונה. - אם המדיניות
/.well-known/change-password
לא מוגדרת, פותחים את דף הבית של האתר ו-Google לא יודעת מהי החלופה.
200 OK
גם אם /.well-known/change-password
לא קיים?מנהלי סיסמאות מנסים לקבוע אם אתר תומך בכתובת URL ידועה
שינוי סיסמאות על ידי שליחת בקשה אל /.well-known/change-password
לפני
מעביר בפועל משתמש לכתובת האתר הזו. אם הבקשה מחזירה 404 Not Found
ברור שכתובת ה-URL אינה זמינה, אבל תגובת 200 OK
לא
המשמעות היא שכתובת ה-URL זמינה, מפני שיש מספר מקרי קצה:
- אתר לעיבוד בצד השרת מציג את ההודעה 'לא נמצא' כשאין תוכן
אבל עם
200 OK
. - אתר לעיבוד בצד השרת מגיב באמצעות הערך
200 OK
כאשר לא תוכן אחרי הפניה אוטומטית אל הקטע 'לא נמצא' הדף הזה. - אפליקציה עם דף יחיד מגיבה עם המעטפת עם
200 OK
ומעבדת את השגיאה "Not נמצא" בצד הלקוח כאשר אין תוכן.
במקרי קצה כאלה, המשתמשים יועברו והוא יגרום מקור לבלבול.
לכן יש הצעה לתקן
מנגנון
כדי לקבוע אם השרת מוגדר להגיב באמצעות 404 Not Found
כשבאמת אין תוכן, על ידי בקשת דף אקראי. למעשה,
גם כתובת ה-URL שמורה:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
לדוגמה, Chrome משתמש בנתיב כתובת האתר הזה כדי לקבוע אם הוא יכול לצפות
שינוי תקין של כתובת URL לסיסמה מ-/.well-known/change-password
מראש.
כשפורסים את /.well-known/change-password
, צריך לוודא
השרת מחזיר את הערך 404 Not Found
עבור תוכן שלא קיים.
משוב
אם יש לך משוב על המפרט, אפשר לדווח על בעיה למפרט מאגר הנתונים.
משאבים
- כתובת אתר ידועה לביצוע שינויים סיסמאות
- זיהוי המהימנות של סטטוס HTTP קודים
- שיטות מומלצות לשימוש בטופסי כניסה
תמונה מאת Matthew Brodeur ב-Unbounce