पासवर्ड बदलने के यूआरएल /.well-known/change-password
पर अनुरोध को रीडायरेक्ट करें
/.well-known/change-password
से अपनी वेबसाइट के 'पासवर्ड बदलें' पेज पर रीडायरेक्ट सेट करें. इससे पासवर्ड मैनेजर आपके उपयोगकर्ताओं को सीधे उस पेज पर नेविगेट कर पाएंगे.
शुरुआती जानकारी
जैसा कि आपको पता होगा, खातों को मैनेज करने के लिए पासवर्ड सबसे सही तरीका नहीं है. अच्छी बात यह है कि WebAuthn जैसी उभरती हुई टेक्नोलॉजी और एक बार इस्तेमाल होने वाले पासवर्ड जैसी तकनीकें मौजूद हैं. ये टेक्नोलॉजी, पासवर्ड के बिना दुनिया को करीब से जानने में हमारी मदद कर रही हैं. हालांकि, ये तकनीक अब भी डेवलप की जा रही हैं और चीज़ें तेज़ी से नहीं बदलेगी. कई डेवलपर को कम से कम अगले कुछ सालों तक पासवर्ड का इस्तेमाल करने की ज़रूरत होगी. हम नई टेक्नोलॉजी और तकनीकों के सामान्य होने का इंतज़ार कर रहे हैं, लेकिन कम से कम पासवर्ड को इस्तेमाल में आसान बना सकते हैं.
पासवर्ड मैनेज करने वाले ऐप्लिकेशन की बेहतर तरीके से मदद करना, इसका सबसे अच्छा तरीका है.
पासवर्ड मैनेजर कैसे मदद करते हैं
पासवर्ड मैनेज करने वाले ऐप्लिकेशन, ब्राउज़र में पहले से मौजूद हो सकते हैं या तीसरे पक्ष के ऐप्लिकेशन के तौर पर उपलब्ध कराए जा सकते हैं. वे कई तरीकों से लोगों की मदद कर सकते हैं:
सही इनपुट फ़ील्ड के लिए पासवर्ड ऑटोमैटिक भरना: कुछ ब्राउज़र ज़रूरत के हिसाब से सही इनपुट ढूंढ सकते हैं, भले ही वेबसाइट इस काम के लिए ऑप्टिमाइज़ न की गई हो. वेब डेवलपर एचटीएमएल इनपुट टैग की सही जानकारी देकर, पासवर्ड मैनेजर की मदद कर सकते हैं.
फ़िशिंग से बचें: क्योंकि पासवर्ड मैनेजर यह याद रखते हैं कि पासवर्ड कहां रिकॉर्ड किया गया था, इसलिए पासवर्ड को सिर्फ़ सही यूआरएल पर ऑटोमैटिक भरा जा सकता है, न कि फ़िशिंग वेबसाइटों पर.
मज़बूत और यूनीक पासवर्ड जनरेट करें: मज़बूत और यूनीक पासवर्ड सीधे तौर पर जनरेट और सेव किए जाते हैं. इन्हें पासवर्ड मैनेजर करता है. इसलिए, लोगों को पासवर्ड का एक-एक वर्ण याद नहीं रखना पड़ता.
Password Manager की मदद से पासवर्ड जनरेट करना और ऑटोमैटिक भरने की सुविधा का इस्तेमाल पहले से ही कर रहा है. हालांकि, इसकी लाइफ़साइकल को ध्यान में रखते हुए, ज़रूरत पड़ने पर पासवर्ड को अपडेट करना और ऑटोमैटिक भरने की सुविधा को जनरेट करना जितना ज़रूरी है. इसका सही तरीके से फ़ायदा पाने के लिए, पासवर्ड मैनेजर एक नई सुविधा जोड़ रहे हैं:
कमज़ोर पासवर्ड का पता लगाएं और उन्हें अपडेट करने का सुझाव दें: पासवर्ड मैनेजर ऐसे पासवर्ड का पता लगा सकते हैं जिनका फिर से इस्तेमाल किया जा रहा है. साथ ही, वे पासवर्ड की एंट्रॉपी और उनकी कमज़ोरियों का विश्लेषण कर सकते हैं. साथ ही, वे संभावित रूप से लीक हुए पासवर्ड या ऐसे पासवर्ड का भी पता लगा सकते हैं जो हैव I Been Pwned जैसे सोर्स से असुरक्षित माने जाते हैं.
पासवर्ड मैनेज करने वाला ऐप्लिकेशन, उपयोगकर्ताओं को समस्या वाले पासवर्ड के बारे में चेतावनी दे सकता है. हालांकि, उपयोगकर्ताओं को होम पेज से पासवर्ड बदलने वाले पेज पर जाने के लिए कहने में बहुत मुश्किल होती है. साथ ही, पासवर्ड बदलने की असल प्रोसेस (यह अलग-अलग साइटों के हिसाब से अलग-अलग होती है) करने में भी बहुत मुश्किल होती है. अगर पासवर्ड मैनेजर, उपयोगकर्ता को सीधे पासवर्ड बदलने वाले यूआरएल पर नेविगेट कर सकें, तो ज़्यादा आसान होता. यहां पासवर्ड बदलने के लिए जाना-पहचाना यूआरएल मददगार साबित होता है.
कोई ऐसा लोकप्रिय यूआरएल पाथ रिज़र्व करके, जो लोगों को पासवर्ड बदलने वाले पेज पर रीडायरेक्ट करता है. इससे वेबसाइट, लोगों को पासवर्ड बदलने के लिए आसानी से सही जगह पर रीडायरेक्ट कर सकती है.
"पासवर्ड बदलने के लिए कोई जाना-माना यूआरएल" सेट अप करना
.well-known/change-password
को पासवर्ड बदलने के लिए लोकप्रिय यूआरएल के तौर पर सुझाया गया है. आपको बस अपने सर्वर को इस तरह कॉन्फ़िगर करना होगा कि .well-known/change-password
के अनुरोधों को आपकी वेबसाइट के पासवर्ड बदलने वाले यूआरएल पर रीडायरेक्ट किया जा सके.
उदाहरण के लिए, मान लें कि आपकी वेबसाइट https://example.com
है और
पासवर्ड बदलने का यूआरएल https://example.com/settings/password
है. आपको बस अपना सर्वर सेट करना होगा, ताकि https://example.com/.well-known/change-password
के अनुरोध को https://example.com/settings/password
पर रीडायरेक्ट किया जा सके. हो गया. रीडायरेक्ट करने के लिए, एचटीटीपी स्टेटस कोड
302 Found
, 303 See
Other
या 307
Temporary Redirect
का इस्तेमाल करें.
इसके अलावा, http-equiv="refresh"
का इस्तेमाल करके, <meta>
टैग की मदद से अपने .well-known/change-password
यूआरएल पर एचटीएमएल दिखाया जा सकता है.
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
अपने पासवर्ड बदलें पेज के एचटीएमएल पर फिर से जाएं
इस सुविधा का मकसद, उपयोगकर्ता के पासवर्ड की लाइफ़साइकल को ज़्यादा आसान बनाने में मदद करना है. उपयोगकर्ता को बिना किसी रुकावट के अपना पासवर्ड अपडेट करने की सुविधा देने के लिए, ये दो काम किए जा सकते हैं:
- अगर आपके बदलाव पासवर्ड वाले फ़ॉर्म में मौजूदा पासवर्ड की ज़रूरत है, तो
<input>
टैग मेंautocomplete="current-password"
जोड़ें. इससे पासवर्ड मैनेजर उसे अपने-आप भरने में मदद करता है. - नए पासवर्ड फ़ील्ड के लिए (कई मामलों में, यह पक्का करने के लिए दो फ़ील्ड होते हैं कि उपयोगकर्ता ने सही पासवर्ड डाला है), पासवर्ड मैनेजर को जनरेट किए गए पासवर्ड का सुझाव देने में मदद करने के लिए,
<input>
टैग मेंautocomplete="new-password"
जोड़ें.
साइन-इन करने के फ़ॉर्म के सबसे सही तरीकों के बारे में ज़्यादा जानें.
असल दुनिया में इसका इस्तेमाल कैसे किया जाता है
उदाहरण
Apple Safari के
लागू करने की वजह से,
/.well-known/change-password
, कुछ समय से कुछ बड़ी वेबसाइटों
पर पहले से ही उपलब्ध है:
इन्हें खुद आज़माएं और इनके लिए भी ऐसा ही करें!
वेबसाइट का अलग-अलग ब्राउज़र पर चलना
पासवर्ड बदलने का एक जाना-माना यूआरएल Safari में 2019 से काम कर रहा है. Chrome का पासवर्ड मैनेजर, 86 और उसके बाद के वर्शन से काम करना शुरू करेगा. यह सुविधा अक्टूबर 2020 के आखिर में, स्टेबल रिलीज़ के लिए शेड्यूल की गई है. इसके बाद, Chromium पर आधारित अन्य ब्राउज़र भी इसका इस्तेमाल कर सकते हैं. Firefox इसे लागू करने लायक मानता है, लेकिन उसने ऐसा कोई संकेत नहीं दिया कि अगस्त 2020 से ऐसा करना होगा.
Chrome का Password Manager व्यवहार
आइए देखते हैं कि Chrome का पासवर्ड मैनेजर, जोखिम की आशंका वाले पासवर्ड का इस्तेमाल कैसे करता है.
Chrome का पासवर्ड मैनेजर, लीक हो चुके पासवर्ड का पता लगा सकता है. about://settings/passwords
पर नेविगेट करने पर, उपयोगकर्ता सेव किए गए पासवर्ड की तुलना में पासवर्ड की जांच कर सकते हैं. साथ ही, वे पासवर्ड की सूची देख सकते हैं, जिन्हें अपडेट करने का सुझाव दिया जाता है.
हमारा सुझाव है कि जिस पासवर्ड को अपडेट करने का सुझाव दिया गया है उसके आगे मौजूद पासवर्ड बदलें बटन पर क्लिक करने से, ब्राउज़र ये काम करेगा:
- अगर
/.well-known/change-password
को सही तरीके से सेट अप किया गया है, तो वेबसाइट का पासवर्ड बदलें पेज खोलें. - अगर
/.well-known/change-password
सेट अप नहीं है और Google को फ़ॉलबैक के बारे में पता नहीं है, तो वेबसाइट का होम पेज खोलें.
200 OK
वापस करता है, तो /.well-known/change-password
मौजूद नहीं होने पर भी क्या होगा?पासवर्ड मैनेज करने वाले ऐप्लिकेशन यह पता लगाने की कोशिश करते हैं कि किसी वेबसाइट पर पासवर्ड बदलने के लिए कोई जाना-माना यूआरएल काम करता है या नहीं. इसके लिए, किसी उपयोगकर्ता को इस यूआरएल पर भेजने से पहले,
उसे /.well-known/change-password
को अनुरोध भेजकर देखा जाता है. अगर अनुरोध के जवाब में 404 Not Found
दिखता है,
तो यह साफ़ तौर पर है कि यूआरएल उपलब्ध नहीं है. हालांकि, 200 OK
रिस्पॉन्स का यह मतलब नहीं है कि यूआरएल उपलब्ध है, क्योंकि कुछ ऐसे मामले होते हैं जो:
200 OK
के साथ कोई कॉन्टेंट न होने पर, सर्वर साइड-रेंडरिंग वाली वेबसाइट में "नहीं मिला" दिखता है.- "नहीं मिला" पेज पर रीडायरेक्ट करने के बाद, कोई कॉन्टेंट न होने पर सर्वर साइड-रेंडरिंग वेबसाइट
200 OK
के साथ जवाब देती है. - एक पेज का ऐप्लिकेशन,
200 OK
की मदद से शेल के साथ जवाब देता है. साथ ही, कोई कॉन्टेंट न होने पर, क्लाइंट साइड पर "नहीं मिला" पेज को रेंडर करता है.
ऐसे मामलों में, उपयोगकर्ताओं को "नहीं मिला" पेज पर भेज दिया जाता है और इससे भ्रम की स्थिति पैदा हो सकती है.
इसलिए, एक सुझाया गया स्टैंडर्ड तरीका
मौजूद है, जिससे यह तय किया जा सकता है कि सर्वर को किसी भी पेज का अनुरोध करके, 404 Not Found
के साथ जवाब देने के लिए कॉन्फ़िगर किया गया है या नहीं. ऐसा तब किया जाता है, जब असल में कोई कॉन्टेंट न हो. असल में, यूआरएल भी रिज़र्व है:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
.
उदाहरण के लिए, Chrome इस यूआरएल पाथ का इस्तेमाल यह तय करने के लिए करता है कि क्या वह /.well-known/change-password
से, यूआरएल के सही पासवर्ड में बदलाव की उम्मीद कर सकता है.
/.well-known/change-password
को डिप्लॉय करते समय, पक्का करें कि
सर्वर ऐसे कॉन्टेंट के लिए 404 Not Found
दिखाए जो मौजूद नहीं है.
सुझाव/राय दें या शिकायत करें
अगर आपको स्पेसिफ़िकेशन के बारे में कोई सुझाव/राय देनी है या शिकायत करनी है, तो कृपया खास जानकारी को स्टोर करने की जगह में समस्या बताएं.
रिसॉर्स
- पासवर्ड बदलने के लिए एक जाना-पहचाना यूआरएल
- एचटीटीपी स्टेटस कोड की विश्वसनीयता का पता लगाना
- साइन-इन फ़ॉर्म इस्तेमाल करने के सबसे सही तरीके
Unsplash पर मैथ्यू ब्रोडर की फ़ोटो