salut!
Nous partageons la traduction d'un petit mais utile article sur la façon de simplifier le processus de mise à jour des données pour l'authentification.
Redirigez de /.well-known/change-password vers la page de changement de mot de passe de votre site. Cela permettra aux gestionnaires de mots de passe de diriger les utilisateurs directement vers cette page.
introduction
Les mots de passe ne sont pas le meilleur moyen de gérer vos comptes . Oui, de nouvelles technologies émergent qui rapprochent le monde du futur, telles que WebAuthn et les mots de passe à usage unique. Cependant, ces méthodes sont encore en développement et les développeurs devront travailler avec des mots de passe, au moins pour les prochaines années, c'est sûr. Jusqu'à ce que les nouvelles technologies deviennent monnaie courante pour nous, nous pouvons au moins essayer de nous simplifier la vie.
Une solution consiste à fournir une meilleure prise en charge des gestionnaires de mots de passe.
Comment les gestionnaires de mots de passe peuvent nous aider
Les gestionnaires de mots de passe peuvent être intégrés aux navigateurs ou utilisés comme applications tierces. Quelle en est l'utilité?
Saisie automatique du mot de passe correct dans le champ approprié . Certains navigateurs trouvent le champ requis par eux-mêmes, même si le site n'est pas optimisé à cet effet. Ce faisant, les développeurs Web facilitent le travail des gestionnaires de mots de passe en annotant correctement les balises HTML d'entrée .
Prévention des attaques de phishing . Les gestionnaires de mots de passe se souviennent où le mot de passe a été saisi, de sorte qu'il ne peut être saisi automatiquement que pour les URL correspondantes, pas sur les sites de phishing.
Créez des mots de passe forts et uniques . Ces mots de passe sont générés et stockés par un gestionnaire de mots de passe. Les utilisateurs n'ont pas besoin de s'en souvenir.
La génération et le remplissage automatique des mots de passe avec un gestionnaire de mots de passe est un choix populaire sur Internet, mais vous devez tenir compte de leur cycle de vie: la mise à jour des mots de passe est tout aussi importante que leur génération et leur remplissage automatique. Pour ce faire, les gestionnaires de mots de passe ajoutent une nouvelle fonctionnalité:
ils identifient les mots de passe vulnérables et proposent de les remplacer . Les gestionnaires de mots de passe peuvent détecter les mots de passe réutilisés, analyser leur entropie et leurs faiblesses et identifier les mots de passe potentiellement vulnérables ou ceux jugés non sécurisés par des sources telles que Have I Been Pwned .
Un gestionnaire de mots de passe peut avertir l'utilisateur des mots de passe problématiques, mais il y a beaucoup de complications ici: vous devez inviter l'utilisateur à passer de la page d'accueil à la page de changement de mot de passe, en plus du processus de changement de mot de passe lui-même, qui peut varier d'un site à l'autre. Bien sûr, ce serait beaucoup plus facile si les gestionnaires de mots de passe pouvaient rediriger l'utilisateur directement vers la page de changement de mot de passe. Voici quelques URL de changement de mot de passe bien connues qui peuvent être utiles dans une situation comme celle-ci.
En réservant un chemin d'URL bien connu qui redirige vers la page de changement de mot de passe, le site peut facilement amener les utilisateurs au bon endroit pour changer leurs mots de passe.
Configurer une URL connue pour modifier les mots de passe
Le chemin dans .well-known / change-password est suggéré comme URL bien connue pour changer les mots de passe . Tout ce que vous avez à faire est de configurer le serveur pour rediriger les demandes de .well-known / change-password vers l'URL de changement de mot de passe de votre site.
Par exemple, disons que votre site Web est example.com et que l'URL de changement de mot de passe est example.com/settings/password . Vous devez configurer le serveur pour rediriger la demande de example.com/.well-known/change-password vers example.com/settings/password . Et c'est tout! Pour rediriger, utilisez le code d'état HTTP 302 Trouvé , 303 Voir autre ou307 Redirection temporaire .
Vous pouvez également diffuser du HTML à votre URL .well-known / change-password en utilisant la balise <meta> avec http-equiv = "refresh" .
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">Vérifiez le code HTML de la page de réinitialisation du mot de passe
Le but de cette phase est de rendre le cycle de vie des mots de passe plus flexible. Nous pouvons faire 2 étapes pour que l'utilisateur mette à jour le mot de passe sans aucun problème:
- Si votre formulaire de changement de mot de passe nécessite le mot de passe actuel, ajoutez autocomplete = "current-password" à la balise <input> afin que le gestionnaire de mots de passe puisse le remplir automatiquement.
- Pour le nouveau champ de mot de passe (dans de nombreux cas, même deux champs pour s'assurer que l'utilisateur a correctement saisi le nouveau mot de passe), ajoutez autocomplete = "new-password" à la balise <input> pour aider le gestionnaire de mots de passe à suggérer le mot de passe généré.
Vous pouvez en savoir plus sur les recommandations d'utilisation du formulaire de connexion sur le site ici .
Comment tout ce qui est décrit est utilisé dans la réalité
Exemples de
Grâce au support Apple Safari , /.well-known/change-password est devenu disponible sur certains des principaux sites:
Essayez de remplir le formulaire d'inscription et faites de même pour votre site!
Compatibilité du navigateur
L'URL bien connue de Password Changer est prise en charge dans Safari depuis 2019 . Chrome Password Manager le prend en charge depuis la version 86 (une version stable est prévue pour fin octobre 2020). D'autres navigateurs basés sur Chromium peuvent également suivre. Firefox pense qu'un gestionnaire de mots de passe devrait être implémenté, mais il n'y a pas encore d'informations quand exactement.
Comportement du gestionnaire de mots de passe Chrome
Voyons comment le gestionnaire de mots de passe Chrome gère les mots de passe vulnérables.
Chrome Password Manager est capable de rechercher les mots de passe divulgués. En accédant à la page chrome: // paramètres / mots de passe , les utilisateurs peuvent vérifier si les mots de passe correspondent à ceux enregistrés et afficher une liste de ceux qu'il est recommandé de mettre à jour.
Lorsque vous sélectionnez le bloc "Modifier le mot de passe" , à côté du mot de passe qu'il est recommandé de mettre à jour, le navigateur affiche:
- Ouvrez la page de changement de mot de passe du site si /.well-known/change-password est configuré correctement.
- Ouvrez la page d'accueil du site si /.well-known/change-password n'est pas configuré et que Google ne connaît pas de solution de secours.
Retour d'information
Si vous avez des commentaires ou des suggestions, veuillez publier un bogue dans le référentiel de l'auteur .
Ressources utiles
- URL connue pour modifier les mots de passe
- Déterminer la fiabilité des codes d'état HTTP
- Meilleures pratiques pour la mise en œuvre d'un formulaire de connexion
Photo de Matthew Brodeur et publiée sur Unsplash