Olá!
Estamos compartilhando a tradução de um pequeno mas útil artigo sobre como simplificar o processo de atualização de dados para autenticação.
Redirecione de /.well-known/change-password para a página de alteração de senha do seu site. Isso permitirá que os gerentes de senha direcionem os usuários diretamente para esta página.
Introdução
As senhas não são a melhor maneira de gerenciar suas contas . Sim, estão surgindo novas tecnologias que aproximam o mundo do futuro, como WebAuthn e senhas de uso único. No entanto, esses métodos ainda estão em desenvolvimento e os desenvolvedores terão que trabalhar com senhas, pelo menos nos próximos anos, com certeza. Até que novas tecnologias se tornem comuns para nós, podemos pelo menos tentar simplificar nossas vidas.
Uma maneira é fornecer melhor suporte para gerenciadores de senhas.
Como os gerenciadores de senhas podem nos ajudar
Os gerenciadores de senha podem ser integrados aos navegadores ou usados como aplicativos de terceiros. Qual é a utilidade deles?
Preenchimento automático para inserir a senha correta no campo apropriado . Alguns navegadores encontram o campo obrigatório por conta própria, mesmo que o site não seja otimizado para esse fim. Ao fazer isso, os desenvolvedores da web facilitam o trabalho dos gerenciadores de senhas anotando corretamente as tags HTML de entrada .
Prevenção de ataques de phishing . Os gerenciadores de senha lembram onde a senha foi inserida, portanto, ela só pode ser inserida automaticamente para URLs correspondentes, não em sites de phishing.
Crie senhas fortes e exclusivas . Essas senhas são geradas e armazenadas por um gerenciador de senhas. Os usuários não precisam memorizá-los.
Gerar e preencher automaticamente senhas com um gerenciador de senhas é uma escolha popular na Internet, mas você precisa considerar seu ciclo de vida: atualizar as senhas é tão importante quanto gerá-las e preenchê-las automaticamente. Para fazer isso, os gerenciadores de senhas adicionam um novo recurso:
eles identificam senhas vulneráveis e se oferecem para substituí-las . Os gerenciadores de senhas podem detectar senhas que são reutilizadas, podem analisar sua entropia e fraqueza e podem identificar senhas potencialmente vulneráveis ou consideradas inseguras por fontes como Have I Been Pwned .
Um gerenciador de senhas pode alertar o usuário sobre senhas problemáticas, mas há muitas complicações aqui: você precisa solicitar que o usuário vá da página inicial para a página de alteração de senha, além do próprio processo de alteração de senha, que pode variar de site para site. Claro, seria muito mais fácil se os gerenciadores de senha pudessem redirecionar o usuário diretamente para a página de alteração de senha. Aqui estão alguns URLs de alteração de senha conhecidos que podem ser úteis em uma situação como esta.
Ao reservar um caminho de URL conhecido que redireciona para a página de alteração de senha, o site pode facilmente levar os usuários ao lugar certo para alterar suas senhas.
Configure um URL conhecido para alterar as senhas
O caminho em .well-known / change-password é sugerido como um URL conhecido para alteração de senhas . Tudo o que você precisa fazer é configurar o servidor para redirecionar as solicitações de .well-known / change-password para o URL de alteração de senha do seu site.
Por exemplo, digamos que seu site seja example.com e o URL de alteração de senha seja example.com/settings/password . Você deve configurar o servidor para redirecionar a solicitação de example.com/.well-known/change-password para example.com/settings/password . E é isso! Para redirecionar, use o código de status HTTP 302 Found , 303 See Other, ou307 Redirecionamento temporário .
Como alternativa, você pode servir HTML em seu URL .well-known / change-password usando a tag <meta> com http-equiv = "atualizar" .
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">Verifique o HTML da página de redefinição de senha
O objetivo desta fase é tornar o ciclo de vida da senha mais flexível. Podemos realizar 2 etapas para o usuário atualizar a senha sem problemas:
- Se o formulário de alteração de senha exigir a senha atual, adicione autocomplete = "current-password" à tag <input> para que o gerenciador de senhas possa preenchê-la automaticamente.
- Para o campo de nova senha (em muitos casos até dois campos para garantir que o usuário inseriu a nova senha corretamente), adicione autocomplete = "new-password" à tag <input> para ajudar o gerenciador de senha a sugerir a senha gerada.
Saiba mais sobre dicas para usar o formulário de inscrição no site, você pode neste link .
Como tudo descrito é usado na realidade
Exemplos de
Graças ao suporte do Apple Safari , /.well-known/change-password tornou- se disponível em alguns dos principais sites:
Experimente preencher o formulário de registro lá e fazer o mesmo para o seu site!
Compatibilidade do navegador
O conhecido URL de alteração de senha é compatível com o Safari desde 2019 . O Chrome Password Manager tem suporte desde a versão 86 (um lançamento estável está agendado para o final de outubro de 2020). Outros navegadores baseados em Chromium também podem seguir o exemplo. O Firefox acredita que vale a pena implementar um gerenciador de senhas, mas ainda não há informações de quando exatamente.
Comportamento do gerenciador de senhas do Chrome
Vamos ver como o gerenciador de senhas do Chrome lida com senhas vulneráveis.
O Chrome Password Manager é capaz de verificar se há vazamentos de senhas. Ao acessar a página chrome: // settings / passwords , os usuários podem verificar se as senhas correspondem às salvas e visualizar uma lista das senhas recomendadas para atualização
Ao selecionar o bloco "Alterar senha" , ao lado da senha que deve ser atualizada, o navegador exibirá:
- Abra a página de alteração de senha do site se /.well-known/change-password estiver configurado corretamente.
- Abra a página inicial do site se /.well-known/change-password não estiver configurado e o Google não conhecer um substituto.
Comentários
Se você tiver algum feedback ou sugestão, poste um bug no repositório do autor .
Recursos Úteis
- URL conhecido para alterar senhas
- Determinar a confiabilidade dos códigos de status HTTP
- Práticas recomendadas para implementar um formulário de login
Foto de Matthew Brodeur e postada no Unsplash