Unterstützung von Benutzern beim Ändern von Kennwörtern mit bekannten URLs

Hallo!



Wir teilen die Übersetzung eines kleinen, aber nützlichen Artikels zur Vereinfachung der Aktualisierung von Daten für die Authentifizierung.

Leiten Sie von /.well-known/change-password zur Seite zum Ändern des Kennworts für Ihre Site um. Dadurch können Kennwortmanager Benutzer direkt auf diese Seite leiten.

Einführung

Passwörter sind nicht der beste Weg, um Ihre Konten zu verwalten . Ja, es entstehen neue Technologien wie WebAuthn und Einmalpasswörter , die die Welt der Zukunft näher bringen . Diese Methoden entwickeln sich jedoch noch weiter und Entwickler müssen zumindest in den nächsten Jahren mit Passwörtern arbeiten. Bis neue Technologien für uns alltäglich werden, können wir zumindest versuchen, unser Leben zu vereinfachen.



Eine Möglichkeit besteht darin, Kennwortmanager besser zu unterstützen.

Wie Passwortmanager uns helfen können

Kennwortmanager können in Browser integriert oder als Anwendungen von Drittanbietern verwendet werden. Was nützt es ihnen?



Autocomplete, um das richtige Passwort in das entsprechende Feld einzugeben . Einige Browser finden das erforderliche Feld selbst, auch wenn die Site nicht für diesen Zweck optimiert ist. Auf diese Weise erleichtern Webentwickler die Arbeit von Kennwortmanagern, indem sie eingegebene HTML-Tags korrekt mit Anmerkungen versehen .



Verhinderung von Phishing-Angriffen . Passwortmanager merken sich, wo das Passwort eingegeben wurde, sodass es nur automatisch für übereinstimmende URLs eingegeben werden kann, nicht auf Phishing-Sites.



Erstellen Sie sichere und eindeutige Passwörter . Solche Passwörter werden von einem Passwortmanager generiert und gespeichert. Benutzer müssen sie nicht auswendig lernen.



Das Generieren und automatische Ausfüllen von Passwörtern mit einem Passwort-Manager ist eine beliebte Wahl im Internet. Sie müssen jedoch deren Lebenszyklus berücksichtigen: Das Aktualisieren von Passwörtern ist genauso wichtig wie das Generieren und automatische Ausfüllen von Passwörtern. Zu diesem Zweck fügen Kennwortmanager eine neue Funktion hinzu:



Sie identifizieren anfällige Kennwörter und bieten an, diese zu ersetzen . Passwortmanager können wiederverwendete Passwörter erkennen, ihre Entropie und Schwäche analysieren und potenziell anfällige oder von Quellen wie Have I Been Pwned als unsicher eingestufte Passwörter identifizieren .



Ein Passwort-Manager kann den Benutzer vor problematischen Passwörtern warnen, aber hier gibt es viele Komplikationen: Sie müssen den Benutzer zusätzlich zum Passwortänderungsprozess selbst, der von Site zu Site variieren kann, auffordern, von der Startseite zur Seite zum Ändern des Passworts zu wechseln. Natürlich wäre es viel einfacher, wenn Passwortmanager den Benutzer direkt zur Seite zum Ändern des Passworts umleiten könnten. Hier sind einige bekannte URLs zur Kennwortänderung, die in einer solchen Situation nützlich sein können.



Durch Reservieren eines bekannten URL-Pfads, der zur Seite zum Ändern des Kennworts weiterleitet, kann die Site Benutzer problemlos an den richtigen Ort bringen, um ihre Kennwörter zu ändern.

Richten Sie eine bekannte URL ein , um Kennwörter zu ändern

Der Pfad in .well-know / change-password wird als bekannte URL zum Ändern von Passwörtern vorgeschlagen . Alles, was Sie tun müssen, ist, den Server so zu konfigurieren, dass Anforderungen für das bekannte / Änderungskennwort an die Kennwortänderungs-URL Ihrer Site umgeleitet werden .



Angenommen, Ihre Website lautet example.com und die URL zur Kennwortänderung lautet example.com/settings/password . Sie müssen den Server so konfigurieren, dass die Anforderung von example.com/.well-known/change-password an example.com/settings/password umgeleitet wird . Und alle! Verwenden Sie zur Umleitung den HTTP-Statuscode 302 Found , 303 See Other oder307 Temporäre Weiterleitung .



Alternativ können Sie HTML unter Ihrer bekannten URL zum Ändern des Kennworts mithilfe des <meta> -Tags mit http-equiv = " refresh" bereitstellen .

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

Überprüfen Sie den HTML-Code der Seite zum Zurücksetzen des Kennworts

Ziel dieser Phase ist es, den Passwortlebenszyklus flexibler zu gestalten. Wir können zwei Schritte ausführen, damit der Benutzer das Kennwort problemlos aktualisiert:

• Wenn für Ihr Kennwortänderungsformular das aktuelle Kennwort erforderlich ist, fügen Sie dem Tag <input> autocomplete = "current-password" hinzu , damit der Kennwortmanager es automatisch ausfüllen kann.
• Fügen Sie für das neue Kennwortfeld (in vielen Fällen sogar zwei Felder, um sicherzustellen, dass der Benutzer das neue Kennwort korrekt eingegeben hat) dem Tag <input> autocomplete = "new-password" hinzu , damit der Kennwortmanager das generierte Kennwort vorschlagen kann.

Weitere Informationen zu den Empfehlungen für die Verwendung des Anmeldeformulars finden Sie auf der Website hier .

Wie alles Beschriebene in der Realität verwendet wird

Beispiele von

Dank der Unterstützung von Apple Safari ist /.well-known/change-password auf einigen der wichtigsten Websites verfügbar geworden:

• Google
• Github
• Facebook
• Twitter
• WordPress

Füllen Sie dort das Registrierungsformular aus und machen Sie dasselbe für Ihre Website!

Browser-Kompatibilität

Die bekannte Password Changer-URL wird in Safari seit 2019 unterstützt . Chrome Password Manager unterstützt es seit Version 86 (eine stabile Version ist für Ende Oktober 2020 geplant). Andere Chromium-basierte Browser könnten ebenfalls folgen. Firefox ist der Meinung, dass ein Passwort-Manager implementiert werden sollte, aber es gibt noch keine Informationen, wann genau.

Verhalten des Chrome-Passwort-Managers

Mal sehen, wie der Chrome-Passwort-Manager mit anfälligen Passwörtern umgeht.



Chrome Password Manager kann nach durchgesickerten Passwörtern suchen. Auf der Seite chrome: // settings / passwords können Benutzer überprüfen, ob die Passwörter mit den gespeicherten übereinstimmen, und eine Liste der Passwörter anzeigen, deren Aktualisierung empfohlen wird.







Wenn Sie den Block "Passwort ändern" neben dem Passwort auswählen , dessen Aktualisierung empfohlen wird, zeigt der Browser Folgendes an:

• Öffnen Sie die Seite zum Ändern des Site-Passworts, wenn /.well-known/change-password korrekt konfiguriert ist.
• Öffnen Sie die Homepage der Website, wenn /.well-known/change-password nicht konfiguriert ist und Google keinen Fallback kennt.

Rückkopplung

Wenn Sie Feedback oder Vorschläge haben, posten Sie bitte einen Fehler im Repository des Autors .

Nützliche Ressourcen

• Bekannte URL zum Ändern von Passwörtern
• Bestimmen der Zuverlässigkeit von HTTP-Statuscodes
• Best Practices für die Implementierung eines Anmeldeformulars

Foto von Matthew Brodeur und gepostet auf Unsplash