Установите перенаправление с /.well-known/change-password на страницу смены пароля вашего сайта. Это позволит менеджерам паролей направлять ваших пользователей непосредственно на эту страницу.
Введение
Как вы, возможно, знаете, пароли - не лучший способ управления учетными записями. К счастью, существуют новые технологии, такие как WebAuthn, и методы, такие как одноразовые пароли, которые помогают нам приблизиться к миру без паролей. Однако эти технологии все еще находятся в стадии разработки, и ситуация не изменится быстро. Многим разработчикам все еще придется иметь дело с паролями, по крайней мере, в течение следующих нескольких лет. Пока мы ждем, когда новые технологии и методы станут обычным делом, мы можем хотя бы упростить использование паролей.
Хороший способ сделать это - обеспечить лучшую поддержку менеджеров паролей.
Как менеджеры паролей помогают
Менеджеры паролей могут быть встроены в браузеры или предоставляться в виде сторонних приложений. Они могут помочь пользователям различными способами:
Автозаполнение пароля для правильного поля ввода: Некоторые браузеры могут эвристически находить правильное поле ввода, даже если сайт не оптимизирован для этого. Веб-разработчики могут помочь менеджерам паролей, правильно аннотируя теги ввода HTML.
Предотвращение фишинга: поскольку менеджеры паролей запоминают, где был записан пароль, пароль может быть автоматически заполнен только на соответствующих URL-адресах, а не на фишинговых сайтах.
Генерировать надежные и уникальные пароли: Поскольку надежные и уникальные пароли генерируются и хранятся непосредственно менеджером паролей, пользователям не нужно запоминать ни одного символа пароля.
Генерация и автозаполнение паролей с помощью менеджера паролей уже хорошо зарекомендовали себя в Интернете, но, учитывая их жизненный цикл, обновление паролей каждый раз, когда это необходимо, так же важно, как и генерация и автозаполнение. Чтобы должным образом использовать это, менеджеры паролей добавляют новую функцию:
Обнаружение уязвимых паролей и предложение обновить их: Менеджеры паролей могут обнаруживать пароли, которые используются повторно, анализировать их энтропию и слабость, и даже обнаруживать потенциальные утечки паролей или пароли, которые известны как небезопасные из таких источников, как Have I Been Pwned.
Менеджер паролей может предупреждать пользователей о проблемных паролях, но при этом возникает много трудностей, связанных с тем, что пользователям приходится переходить с домашней страницы на страницу смены пароля, а также проходить сам процесс смены пароля (который варьируется от сайта к сайту). Было бы гораздо проще, если бы менеджеры паролей могли направлять пользователя непосредственно на URL-адрес смены пароля.
Зарезервировав известный путь URL, который перенаправляет пользователя на страницу смены пароля, сайт может легко перенаправить пользователей в нужное место для смены пароля.
Установите "well-known URL для смены паролей"
.well-known/change-password предлагается в качестве общеизвестного URL для смены паролей. Все, что вам нужно сделать, это настроить ваш сервер на перенаправление запросов к .well-known/change-password на URL вашего сайта для смены пароля.
Например, допустим, ваш сайт - https://example.com, а URL для смены пароля - https://example.com/settings/password. Вам просто нужно настроить свой сервер на перенаправление запроса https://example.com/.well-known/change-password на https://example.com/settings/password. Вот и все. Для перенаправления используйте код состояния HTTP 302 Found, 303 See Other или 307 Temporary Redirect.
В качестве альтернативы вы можете передать HTML по URL .well-known/change-password с помощью тега <meta>, используя http-equiv="refresh".
| 1 | <meta http-equiv="refresh" content="0;url=https://[domain]/settings/password"> |
Как он используется в реальном мире
"/.well-known/change-password" доступен на некоторых крупных сайтах:
Попробуйте их сами и сделайте то же самое для своих сайтов!
Совместимость с браузерами
Известный URL для смены паролей поддерживается в Safari с 2019 года. Менеджер паролей Chrome начинает поддерживать его, начиная с версии 86 (выпуск которой запланирован на конец октября 2020 года в версии Stable), и другие браузеры на базе Chromium могут последовать за ним. Firefox считает, что эту функцию стоит внедрить.