مساعدة المستخدمين على تغيير كلمات المرور باستخدام عناوين URL معروفة جيدًا

مرحبا!



نحن نشارك ترجمة مقالة صغيرة ولكنها مفيدة حول كيفية تبسيط عملية تحديث البيانات للمصادقة.


أعد التوجيه من /.well-known/change-password إلى صفحة تغيير كلمة المرور لموقعك. سيسمح هذا لمديري كلمات المرور بتوجيه المستخدمين مباشرةً إلى هذه الصفحة.







المقدمة



كلمات المرور ليست أفضل طريقة لإدارة حساباتك . نعم ، تظهر تقنيات جديدة تقرب عالم المستقبل ، مثل WebAuthn وكلمات المرور لمرة واحدة. ومع ذلك ، لا تزال هذه الأساليب قيد التطوير ، وسيتعين على المطورين العمل بكلمات المرور ، على الأقل خلال السنوات القليلة المقبلة ، بالتأكيد. حتى تصبح التقنيات الجديدة شائعة بالنسبة لنا ، يمكننا على الأقل محاولة تبسيط حياتنا.



إحدى الطرق هي تقديم دعم أفضل لمديري كلمات المرور.



كيف يمكن لمديري كلمات المرور مساعدتنا



يمكن دمج مديري كلمات المرور في المتصفحات أو استخدامها كتطبيقات تابعة لجهات خارجية. ما الفائدة منها؟



إكمال تلقائي لإدخال كلمة المرور الصحيحة في الحقل المناسب . تجد بعض المتصفحات الحقل المطلوب من تلقاء نفسها ، حتى لو لم يتم تحسين الموقع لهذا الغرض. عند القيام بذلك ، يقوم مطورو الويب بتسهيل عمل مديري كلمات المرور عن طريق إضافة تعليقات توضيحية لعلامات HTML للإدخال بشكل صحيح .



منع هجمات التصيد . يتذكر مديرو كلمات المرور مكان إدخال كلمة المرور ، لذلك لا يمكن إدخالها تلقائيًا إلا لمطابقة عناوين URL ، وليس في مواقع التصيد.



إنشاء كلمات مرور قوية وفريدة من نوعها . يتم إنشاء كلمات المرور هذه وتخزينها بواسطة مدير كلمات المرور. لا يحتاج المستخدمون إلى تذكرها.



يعد إنشاء كلمات المرور وتعبئتها تلقائيًا باستخدام مدير كلمات المرور خيارًا شائعًا على الإنترنت ، لكنك تحتاج إلى التفكير في دورة حياتها: تحديث كلمات المرور لا يقل أهمية عن إنشائها وتعبئتها تلقائيًا. للقيام بذلك ، يضيف مديرو كلمات المرور ميزة جديدة:



يحددون كلمات المرور الضعيفة ويعرضون استبدالها . يمكن لمديري كلمات المرور اكتشاف كلمات المرور التي يُعاد استخدامها ، وهم قادرون على تحليل إنتروبيا وضعفهم ، ويمكنهم تحديد كلمات المرور التي يُحتمل أن تكون ضعيفة أو تلك التي تعتبر غير آمنة من قبل مصادر مثل Have I Been Pwned .



يمكن لمدير كلمات المرور تحذير المستخدم من مشكلة كلمات المرور ، ولكن هناك الكثير من التعقيدات هنا: تحتاج إلى مطالبة المستخدم بالانتقال من الصفحة الرئيسية إلى صفحة تغيير كلمة المرور ، بالإضافة إلى عملية تغيير كلمة المرور نفسها ، والتي يمكن أن تختلف من موقع إلى آخر. بالطبع ، سيكون من الأسهل بكثير إذا كان بإمكان مديري كلمات المرور إعادة توجيه المستخدم مباشرةً إلى صفحة تغيير كلمة المرور. إليك بعض عناوين URL المعروفة لتغيير كلمات المرور والتي يمكن أن تكون مفيدة في مثل هذا الموقف.



من خلال الاحتفاظ بمسار عنوان URL مشهور يعيد التوجيه إلى صفحة تغيير كلمة المرور ، يمكن للموقع بسهولة نقل المستخدمين إلى المكان الصحيح لتغيير كلمات المرور الخاصة بهم.



قم بإعداد عنوان URL معروف لتغيير كلمات المرور



يُقترح المسار في. well-known / change-password كعنوان URL معروف لتغيير كلمات المرور . كل ما عليك فعله هو تكوين الخادم لإعادة توجيه طلبات. معروف جيدًا / تغيير كلمة المرور إلى عنوان URL لتغيير كلمة مرور موقعك.



على سبيل المثال ، لنفترض أن موقع الويب الخاص بك هو example.com وعنوان URL لتغيير كلمة المرور هو example.com/settings/password . يجب عليك تكوين الخادم لإعادة توجيه الطلب من example.com/.well-known/change-password إلى example.com/settings/password . وهذا كل شيء! لإعادة التوجيه ، استخدم رمز حالة HTTP 302 تم العثور عليه أو 303 راجع أخرى أو307 إعادة توجيه مؤقتة .



بدلاً من ذلك ، يمكنك تقديم HTML على عنوان URL المعروف جيدًا / تغيير كلمة المرور باستخدام العلامة <meta> مع http-equiv = "Refresh" .



<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">




تحقق من HTML لصفحة إعادة تعيين كلمة المرور



الهدف من هذه المرحلة هو جعل دورة حياة كلمة المرور أكثر مرونة. يمكننا القيام بخطوتين للمستخدم لتحديث كلمة المرور دون أي مشاكل:



  • إذا كان نموذج تغيير كلمة المرور يتطلب كلمة المرور الحالية ، فأضف autocomplete = "current-password" إلى علامة <input> حتى يتمكن مدير كلمات المرور من تعبئتها تلقائيًا.
  • بالنسبة لحقل كلمة المرور الجديدة (في كثير من الحالات ، حتى حقلين للتأكد من أن المستخدم قد أدخل كلمة المرور الجديدة بشكل صحيح) أضف الإكمال التلقائي = "new-password" إلى علامة <input> لمساعدة مدير كلمة المرور في اقتراح كلمة المرور التي تم إنشاؤها.


يمكنك معرفة المزيد حول التوصيات الخاصة باستخدام نموذج تسجيل الدخول على الموقع هنا .



كيف يتم استخدام كل ما هو موصوف في الواقع



أمثلة على



بفضل دعم Apple Safari ، أصبح /.well-known/change-password متاحًا في بعض المواقع الرئيسية:





حاول ملء استمارة التسجيل هناك وافعل الشيء نفسه لموقعك!



التوافق المتصفح



تم دعم عنوان URL المعروف لمغير كلمة المرور في Safari منذ عام 2019 . لقد دعمه Chrome Password Manager منذ الإصدار 86 (تمت جدولة إصدار مستقر في أواخر أكتوبر 2020). قد تحذو المتصفحات الأخرى المستندة إلى Chromium حذوها أيضًا. يعتقد Firefox أنه يجب تنفيذ مدير كلمات المرور ، ولكن لا توجد معلومات حتى الآن متى بالضبط.



سلوك مدير كلمات مرور Chrome



دعونا نرى كيف يتعامل مدير كلمات مرور Chrome مع كلمات المرور الضعيفة.



Chrome Password Manager قادر على التحقق من تسريب كلمات المرور. عند الانتقال إلى صفحة chrome: // settings / passwords ، يمكن للمستخدمين التحقق مما إذا كانت كلمات المرور تتطابق مع الكلمات المحفوظة وعرض قائمة بتلك التي يوصى بتحديثها.







عند تحديد كتلة "تغيير كلمة المرور" ، بجوار كلمة المرور الموصى بتحديثها ، سيعرض المتصفح:

  • افتح صفحة تغيير كلمة مرور الموقع إذا تم تكوين /.well-known/change-password بشكل صحيح.
  • افتح الصفحة الرئيسية للموقع إذا لم يتم تكوين /.well-known/change-password ولا تعرف Google وجود احتياطي.




ردود الفعل



إذا كان لديك أي ملاحظات أو اقتراحات ، يرجى نشر خطأ في مستودع المؤلف .



موارد مفيدة





صورة ماثيو برودير ونشرها على Unsplash



All Articles