帮助用户使用知名URL更改密码

你好！



我们正在分享一个小而有用的文章的翻译，该文章涉及如何简化用于身份验证的数据更新过程。

从/.well-known/change-password重定向到您网站的密码更改页面。这将允许密码管理器将用户直接定向到此页面。

介绍

密码不是管理帐户的最佳方法。是的，诸如WebAuthn和一次性密码之类的新兴技术正在拉近未来的世界。但是，这些方法仍在开发中，并且至少在未来几年内，开发人员将必须使用密码。在新技术对我们而言司空见惯之前，我们至少可以尝试简化生活。



一种方法是为密码管理器提供更好的支持。

密码管理器如何帮助我们

密码管理器可以内置在浏览器中或用作第三方应用程序。它们有什么用？



自动完成以在正确的字段中输入正确的密码。即使该网站没有为此目的进行优化，某些浏览器也会自行找到必填字段。这样做，Web开发人员可以通过正确注释输入的HTML标签来便利密码管理器的工作。



预防网络钓鱼攻击。密码管理器会记住输入密码的位置，因此只能为匹配的URL自动输入密码，而不是在钓鱼网站上输入密码。



创建强而独特的密码。此类密码由密码管理器生成和存储。用户不需要记住它们。



使用密码管理器生成和自动填充密码是Internet上的一种流行选择，但是您需要考虑其生命周期：更新密码与生成和自动填充密码同样重要。为此，密码管理器添加了一项新功能：



识别易受攻击的密码并提出替换它们。密码管理器可以检测到重用的密码，可以分析其熵和弱点，并且可以识别潜在的易受攻击的密码或被“是否被我拥有”之类的来源视为不安全的密码。



密码管理器可以警告用户有关密码问题的信息，但这里有很多复杂之处：除了密码更改过程本身之外，您还需要提示用户从主页转到密码更改页面，这可能因站点而异。当然，如果密码管理器可以将用户直接重定向到更改密码页面，则会容易得多。这是一些众所周知的密码更改URL，在这种情况下可以派上用场。



通过保留重定向到更改密码页面的知名URL路径，该站点可以轻松地将用户带到正确的位置以更改其密码。

设置众所周知的URL来更改密码

建议使用.well-known / change-password中的路径作为更改密码的众所周知的URL。您要做的就是将服务器配置为将对.well-known / change-password的请求重定向到您站点的密码更改URL。



例如，假设您的网站为example.com，密码更改URL为example.com/settings/password。您必须配置服务器以将请求从example.com/.well-known/change-password重定向到example.com/settings/password。就是这样！要重定向，请使用HTTP状态代码 302 Found，303 See Other或307临时重定向。



或者，您可以使用带有http-equiv =“ refresh”的<meta>标记，在您的。众所周知的/更改密码URL上提供HTML 。

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

检查密码重置页面的HTML

此阶段的目标是使密码生命周期更加灵活。我们可以为用户执行2个步骤来更新密码，而不会出现任何问题：

• 如果您的密码更改表单需要当前密码，请在<input>标记中添加autocomplete =“ current-password”，以便密码管理器可以自动填写它。
• 对于新密码字段（在许多情况下，甚至两个字段可确保用户正确输入了新密码），在<input>标记中添加autocomplete =“ new-password”以帮助密码管理器建议生成的密码。

您可以在此处通过网站了解有关使用登录表单的建议的更多信息。

所描述的一切如何在现实中使用

示例

多亏了Apple Safari的支持，/. well-known/change-password在一些主要站点上可用：

• 谷歌
• Github
• 脸书
• 推特
• WordPress的

尝试在那里填写注册表，并为您的网站做同样的事情！

浏览器兼容性

自2019年以来，Safari 一直支持著名的Password Changer URL 。Chrome密码管理器自86版以来一直支持它（计划于2020年10月下旬发布稳定版本）。其他基于Chromium的浏览器也可能会效仿。Firefox认为密码管理器值得实施，但确切时间尚无任何信息。

Chrome密码管理器行为

让我们看看Chrome密码管理器如何处理易受攻击的密码。



Chrome Password Manager能够检查泄漏的密码。进入chrome：//设置/密码页面时，用户可以检查密码是否与保存的密码匹配，并查看建议更新的密码列表。







当您选择“更改密码”框，旁边建议要更新的密码，浏览器会显示：

• 如果/.well-known/change-password配置正确，则打开站点密码更改页面。
• 如果未配置/.well-known/change-password，并且Google不知道备用站，请打开网站的主页。

反馈

如果您有任何反馈或建议，请在作者的资料库中发布错误。

有用的资源

• 知名URL更改密码
• 确定HTTP状态代码的可靠性
• 实施登录表单的最佳做法

Matthew Brodeur 摄，并发布在Unsplash上