ساعِد المستخدمين على تغيير كلمات المرور بسهولة من خلال إضافة عنوان URL معروف لتغيير كلمات المرور.

إعادة توجيه طلب إلى /.well-known/change-password إلى عنوان URL لتغيير كلمة المرور

يمكنك ضبط عملية إعادة توجيه من /.well-known/change-password إلى صفحة تغيير كلمة المرور في موقعك الإلكتروني. سيتيح ذلك لمديري كلمات المرور إمكانية التنقل بين المستخدمين مباشرةً إلى تلك الصفحة.

مقدمة

كما تعلم، لا تُعدّ كلمات المرور الطريقة الأفضل لإدارة الحسابات. لحسن الحظ، هناك تقنيات ناشئة مثل WebAuthn وأساليب مثل كلمات المرور التي تُستخدم مرة واحدة، تساعدنا على الاقتراب من عالم بدون كلمات مرور. ومع ذلك، لا تزال هذه التقنيات قيد التطوير ولن تتغير الأمور بسرعة. سيظل العديد من المطوّرين بحاجة إلى استخدام كلمات المرور على الأقل للأعوام القليلة القادمة. وبينما ننتظر أن تصبح التقنيات والتقنيات الناشئة شائعة، يمكننا على الأقل تسهيل استخدام كلمات المرور.

هناك طريقة جيدة لتنفيذ ذلك وهي توفير دعم أفضل لخدمات إدارة كلمات المرور.

كيفية الاستفادة من تطبيقات إدارة كلمات المرور

يمكن تضمين تطبيقات إدارة كلمات المرور في المتصفحات أو تقديمها كتطبيقات تابعة لجهات خارجية. يمكن أن تساعد المستخدمين بطرق مختلفة:

الملء التلقائي لكلمة المرور لحقل الإدخال الصحيح: يمكن لبعض المتصفحات العثور على الإدخال الصحيح بشكل إرشادي حتى إذا لم يكن الموقع الإلكتروني محسّنًا لهذا الغرض. يمكن لمطوّري البرامج على الويب مساعدة مدراء كلمات المرور من خلال إضافة تعليقات توضيحية إلى علامات إدخال HTML بشكلٍ صحيح.

منع التصيّد الاحتيالي: بما أنّ مدراء كلمات المرور يتذكّرون مكان تسجيل كلمة المرور، لا يمكن ملء كلمة المرور تلقائيًا إلا في عناوين URL المناسبة، وليس على المواقع الإلكترونية للتصيّد الاحتيالي.

إنشاء كلمات مرور قوية وفريدة: بما أنّ كلمات المرور القوية والفريدة يتم إنشاؤها وتخزينها مباشرةً من خلال مدير كلمات المرور، لن يحتاج المستخدمون إلى تذكّر حرف واحد من كلمة المرور.

نجح إنشاء كلمات المرور وملؤها تلقائيًا باستخدام مدير كلمات المرور في تقديم خدمات على الويب بشكل جيد، ولكن بالنظر إلى مراحل نشاطها، إنّ تعديل كلمات المرور متى كان مطلوبًا لا يقل أهمية عن إنشاء كلمات المرور وملؤها تلقائيًا. وللاستفادة من ذلك بشكل مناسب، يضيف مديرو كلمات المرور ميزة جديدة، وهي:

رصد كلمات المرور المعرَّضة للاختراق واقتراح تعديلها: يمكن لخدمات إدارة كلمات المرور رصد كلمات المرور التي تتم إعادة استخدامها وتحليل القصور الذاتي وضعفها ورصد كلمات المرور التي يُحتمل أن يكون قد تم تسريبها أو تلك المعروف أنّها غير آمنة من مصادر مثل Clear I Been Pwned.

يمكن لمدير كلمات المرور تحذير المستخدمين بشأن كلمات المرور التي تسبب مشاكل، ولكن هناك قدر كبير من الصعوبات في توجيه طلب إلى المستخدمين للانتقال من الصفحة الرئيسية إلى صفحة تغيير كلمة المرور، بالإضافة إلى إجراء العملية الفعلية لتغيير كلمة المرور (التي تختلف من موقع إلى آخر). سيكون من الأسهل بكثير أن يتنقل مديرو كلمات المرور إلى المستخدم مباشرة إلى عنوان URL لتغيير كلمة المرور. هذا هو المكان الذي يصبح فيه عنوان URL المعروف لتغيير كلمات المرور مفيدًا.

من خلال حجز مسار عنوان URL معروف يعيد توجيه المستخدم إلى صفحة تغيير كلمة المرور، يمكن للموقع الإلكتروني إعادة توجيه المستخدمين بسهولة إلى المكان المناسب لتغيير كلمات المرور.

إعداد "عنوان URL معروف لتغيير كلمات المرور"

تم اقتراح .well-known/change-password باعتباره عنوان URL معروفًا لتغيير كلمات المرور. ما عليك سوى ضبط الخادم على إعادة توجيه طلبات .well-known/change-password إلى عنوان URL الخاص بتغيير كلمة المرور على موقعك الإلكتروني.

على سبيل المثال، لنفترض أنّ موقعك الإلكتروني هو https://example.com وأنّ عنوان URL لتغيير كلمة المرور هو https://example.com/settings/password. ما عليك سوى ضبط خادمك لإعادة توجيه طلب https://example.com/.well-known/change-password إلى https://example.com/settings/password. وهذا كل ما في الأمر. بالنسبة إلى إعادة التوجيه، استخدِم رمز حالة HTTP 302 Found أو 303 See Other أو 307 Temporary Redirect.

بدلاً من ذلك، يمكنك عرض محتوى HTML على عنوان URL الخاص بـ .well-known/change-password من خلال علامة <meta> باستخدام http-equiv="refresh".

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

مراجعة ملف HTML لصفحة تغيير كلمة المرور

وتهدف هذه الميزة إلى المساعدة في جعل مراحل نشاط المستخدم لكلمة مرور أكثر سلاسة. يمكنك تنفيذ أمرين لتمكين المستخدم من تحديث كلمة المرور الخاصة به بدون معوقات:

  • إذا كان نموذج تغيير كلمة المرور يتطلّب إدخال كلمة المرور الحالية، أضِف autocomplete="current-password" إلى العلامة <input> لمساعدة مدير كلمات المرور في ملؤها تلقائيًا.
  • بالنسبة إلى حقل كلمة المرور الجديدة (يضم في كثير من الحالات حقلين لضمان إدخال المستخدم كلمة المرور الجديدة بشكل صحيح)، أضِف autocomplete="new-password" إلى العلامة <input> لمساعدة مدير كلمات المرور في اقتراح كلمة مرور تم إنشاؤها.

تعرَّف على مزيد من المعلومات من خلال أفضل الممارسات في نموذج تسجيل الدخول.

كيفية استخدامه في العالم الحقيقي

أمثلة

بفضل تنفيذ Apple Safari، أصبح /.well-known/change-password متاحًا منذ فترة على بعض المواقع الإلكترونية الرئيسية:

جربها بنفسك وافعل الشيء نفسه بالنسبة لك!

توافُق المتصفح

هناك عنوان URL معروف لتغيير كلمات المرور كان متوافقًا في متصفّح Safari منذ عام 2019. سيبدأ مدير كلمات المرور في Chrome في توفيره بدءًا من الإصدار 86 وما بعده (الذي من المقرر أن يصبح متوفرًا في أواخر تشرين الأول (أكتوبر) 2020) وقد تتبعه متصفّحات أخرى مستندة إلى Chromium. يعتقد Firefox أنّ الأمر يستحق التنفيذ، ولكنه لم يُشِر إلى أنّه يخطط لتنفيذ ذلك اعتبارًا من آب (أغسطس) 2020.

سلوك مدير كلمات المرور في Chrome

دعنا نلقي نظرة على كيفية تعامل مدير كلمات المرور في Chrome مع كلمات المرور المعرَّضة للاختراق.

يمكن لمدير كلمات المرور في Chrome التحقُّق من كلمات المرور التي تم تسريبها. من خلال الانتقال إلى about://settings/passwords، يمكن للمستخدمين تشغيل التحقّق من كلمات المرور مقابل كلمات المرور المخزَّنة، والاطّلاع على قائمة بكلمات المرور التي يُنصَح بتعديلها.

وظيفة التحقّق من كلمات المرور على Chrome

بالنقر على زر تغيير كلمة المرور بجانب كلمة المرور التي يُنصَح بتحديثها، سيحدث ما يلي:

  • افتح صفحة تغيير كلمة المرور الخاصة بالموقع الإلكتروني في حال إعداد /.well-known/change-password بشكل صحيح.
  • افتح الصفحة الرئيسية للموقع الإلكتروني إذا لم يتم إعداد /.well-known/change-password ولم يتعرّف محرّك بحث Google على الإجراء الاحتياطي.
ماذا لو عرض الخادم 200 OK حتى إذا لم يكن /.well-known/change-password متوفرًا؟

يحاول مدراء كلمات المرور تحديد ما إذا كان الموقع الإلكتروني يتيح استخدام عنوان URL معروف لتغيير كلمات المرور من خلال إرسال طلب إلى /.well-known/change-password قبل إعادة توجيه المستخدم إلى عنوان URL هذا. إذا عرض الطلب 404 Not Found، يكون من الواضح أنّ عنوان URL غير متاح، لكنّ الاستجابة 200 OK لا تعني بالضرورة أنّ عنوان URL متاح، لأنّ هناك بعض الحالات الحدّية:

  • يعرض الموقع الإلكتروني من جهة الخادم الرسالة "لم يتم العثور على الصفحة" في حال عدم توفّر محتوى إلا من خلال السمة 200 OK.
  • يستجيب الموقع الإلكتروني للعرض من جهة الخادم باستخدام العلامة 200 OK في حال عدم توفّر محتوى بعد إعادة التوجيه إلى صفحة "لم يتم العثور على الصفحة".
  • يستجيب التطبيق المكوّن من صفحة واحدة باستخدام واجهة الأوامر 200 OK ويعرض الصفحة "لم يتم العثور على الصفحة" من جهة العميل في حال عدم توفّر محتوى.

وبالنسبة إلى هذه الحالات الحدّية، ستتم إعادة توجيه المستخدمين إلى صفحة "لم يتم العثور على الصفحة"، ما سيجعل ذلك مصدرًا للالتباس.

لهذا السبب، هناك آلية عادية مقترَحة لتحديد ما إذا تم ضبط الخادم للاستجابة للسمة 404 Not Found عندما لا يكون هناك أي محتوى، وذلك من خلال طلب صفحة عشوائية. في الواقع، عنوان URL محجوز أيضًا: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. يستخدم متصفِّح Chrome مسار عنوان URL هذا مثلاً لتحديد ما إذا كان من المتوقّع أن يتم مسبقًا تغيير عنوان URL لكلمة المرور من /.well-known/change-password.

عند نشر /.well-known/change-password، احرص على أن يعرض الخادم الرمز 404 Not Found لأي محتوى غير متوفّر.

إضافة ملاحظات

إذا كان لديك أي ملاحظات حول المواصفات، يُرجى الإبلاغ عن مشكلة في مستودع المواصفات.

المراجِع

صورة من تصوير ماثيو برودور على موقع Unسبلاش