पासवर्ड बदलने के लिए लोकप्रिय यूआरएल जोड़कर, आसानी से पासवर्ड बदलने में उपयोगकर्ताओं की मदद करें

पासवर्ड बदलने के यूआरएल /.well-known/change-password पर अनुरोध को रीडायरेक्ट करें

/.well-known/change-password से अपनी वेबसाइट के 'पासवर्ड बदलें' पेज पर रीडायरेक्ट सेट करें. इससे पासवर्ड मैनेजर आपके उपयोगकर्ताओं को सीधे उस पेज पर नेविगेट कर पाएंगे.

शुरुआती जानकारी

जैसा कि आपको पता होगा, खातों को मैनेज करने के लिए पासवर्ड सबसे सही तरीका नहीं है. अच्छी बात यह है कि WebAuthn जैसी उभरती हुई टेक्नोलॉजी और एक बार इस्तेमाल होने वाले पासवर्ड जैसी तकनीकें मौजूद हैं. ये टेक्नोलॉजी, पासवर्ड के बिना दुनिया को करीब से जानने में हमारी मदद कर रही हैं. हालांकि, ये तकनीक अब भी डेवलप की जा रही हैं और चीज़ें तेज़ी से नहीं बदलेगी. कई डेवलपर को कम से कम अगले कुछ सालों तक पासवर्ड का इस्तेमाल करने की ज़रूरत होगी. हम नई टेक्नोलॉजी और तकनीकों के सामान्य होने का इंतज़ार कर रहे हैं, लेकिन कम से कम पासवर्ड को इस्तेमाल में आसान बना सकते हैं.

पासवर्ड मैनेज करने वाले ऐप्लिकेशन की बेहतर तरीके से मदद करना, इसका सबसे अच्छा तरीका है.

पासवर्ड मैनेजर कैसे मदद करते हैं

पासवर्ड मैनेज करने वाले ऐप्लिकेशन, ब्राउज़र में पहले से मौजूद हो सकते हैं या तीसरे पक्ष के ऐप्लिकेशन के तौर पर उपलब्ध कराए जा सकते हैं. वे कई तरीकों से लोगों की मदद कर सकते हैं:

सही इनपुट फ़ील्ड के लिए पासवर्ड ऑटोमैटिक भरना: कुछ ब्राउज़र ज़रूरत के हिसाब से सही इनपुट ढूंढ सकते हैं, भले ही वेबसाइट इस काम के लिए ऑप्टिमाइज़ न की गई हो. वेब डेवलपर एचटीएमएल इनपुट टैग की सही जानकारी देकर, पासवर्ड मैनेजर की मदद कर सकते हैं.

फ़िशिंग से बचें: क्योंकि पासवर्ड मैनेजर यह याद रखते हैं कि पासवर्ड कहां रिकॉर्ड किया गया था, इसलिए पासवर्ड को सिर्फ़ सही यूआरएल पर ऑटोमैटिक भरा जा सकता है, न कि फ़िशिंग वेबसाइटों पर.

मज़बूत और यूनीक पासवर्ड जनरेट करें: मज़बूत और यूनीक पासवर्ड सीधे तौर पर जनरेट और सेव किए जाते हैं. इन्हें पासवर्ड मैनेजर करता है. इसलिए, लोगों को पासवर्ड का एक-एक वर्ण याद नहीं रखना पड़ता.

Password Manager की मदद से पासवर्ड जनरेट करना और ऑटोमैटिक भरने की सुविधा का इस्तेमाल पहले से ही कर रहा है. हालांकि, इसकी लाइफ़साइकल को ध्यान में रखते हुए, ज़रूरत पड़ने पर पासवर्ड को अपडेट करना और ऑटोमैटिक भरने की सुविधा को जनरेट करना जितना ज़रूरी है. इसका सही तरीके से फ़ायदा पाने के लिए, पासवर्ड मैनेजर एक नई सुविधा जोड़ रहे हैं:

कमज़ोर पासवर्ड का पता लगाएं और उन्हें अपडेट करने का सुझाव दें: पासवर्ड मैनेजर ऐसे पासवर्ड का पता लगा सकते हैं जिनका फिर से इस्तेमाल किया जा रहा है. साथ ही, वे पासवर्ड की एंट्रॉपी और उनकी कमज़ोरियों का विश्लेषण कर सकते हैं. साथ ही, वे संभावित रूप से लीक हुए पासवर्ड या ऐसे पासवर्ड का भी पता लगा सकते हैं जो हैव I Been Pwned जैसे सोर्स से असुरक्षित माने जाते हैं.

पासवर्ड मैनेज करने वाला ऐप्लिकेशन, उपयोगकर्ताओं को समस्या वाले पासवर्ड के बारे में चेतावनी दे सकता है. हालांकि, उपयोगकर्ताओं को होम पेज से पासवर्ड बदलने वाले पेज पर जाने के लिए कहने में बहुत मुश्किल होती है. साथ ही, पासवर्ड बदलने की असल प्रोसेस (यह अलग-अलग साइटों के हिसाब से अलग-अलग होती है) करने में भी बहुत मुश्किल होती है. अगर पासवर्ड मैनेजर, उपयोगकर्ता को सीधे पासवर्ड बदलने वाले यूआरएल पर नेविगेट कर सकें, तो ज़्यादा आसान होता. यहां पासवर्ड बदलने के लिए जाना-पहचाना यूआरएल मददगार साबित होता है.

कोई ऐसा लोकप्रिय यूआरएल पाथ रिज़र्व करके, जो लोगों को पासवर्ड बदलने वाले पेज पर रीडायरेक्ट करता है. इससे वेबसाइट, लोगों को पासवर्ड बदलने के लिए आसानी से सही जगह पर रीडायरेक्ट कर सकती है.

"पासवर्ड बदलने के लिए कोई जाना-माना यूआरएल" सेट अप करना

.well-known/change-password को पासवर्ड बदलने के लिए लोकप्रिय यूआरएल के तौर पर सुझाया गया है. आपको बस अपने सर्वर को इस तरह कॉन्फ़िगर करना होगा कि .well-known/change-password के अनुरोधों को आपकी वेबसाइट के पासवर्ड बदलने वाले यूआरएल पर रीडायरेक्ट किया जा सके.

उदाहरण के लिए, मान लें कि आपकी वेबसाइट https://example.com है और पासवर्ड बदलने का यूआरएल https://example.com/settings/password है. आपको बस अपना सर्वर सेट करना होगा, ताकि https://example.com/.well-known/change-password के अनुरोध को https://example.com/settings/password पर रीडायरेक्ट किया जा सके. हो गया. रीडायरेक्ट करने के लिए, एचटीटीपी स्टेटस कोड 302 Found, 303 See Other या 307 Temporary Redirect का इस्तेमाल करें.

इसके अलावा, http-equiv="refresh" का इस्तेमाल करके, <meta> टैग की मदद से अपने .well-known/change-password यूआरएल पर एचटीएमएल दिखाया जा सकता है.

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

अपने पासवर्ड बदलें पेज के एचटीएमएल पर फिर से जाएं

इस सुविधा का मकसद, उपयोगकर्ता के पासवर्ड की लाइफ़साइकल को ज़्यादा आसान बनाने में मदद करना है. उपयोगकर्ता को बिना किसी रुकावट के अपना पासवर्ड अपडेट करने की सुविधा देने के लिए, ये दो काम किए जा सकते हैं:

  • अगर आपके बदलाव पासवर्ड वाले फ़ॉर्म में मौजूदा पासवर्ड की ज़रूरत है, तो <input> टैग में autocomplete="current-password" जोड़ें. इससे पासवर्ड मैनेजर उसे अपने-आप भरने में मदद करता है.
  • नए पासवर्ड फ़ील्ड के लिए (कई मामलों में, यह पक्का करने के लिए दो फ़ील्ड होते हैं कि उपयोगकर्ता ने सही पासवर्ड डाला है), पासवर्ड मैनेजर को जनरेट किए गए पासवर्ड का सुझाव देने में मदद करने के लिए, <input> टैग में autocomplete="new-password" जोड़ें.

साइन-इन करने के फ़ॉर्म के सबसे सही तरीकों के बारे में ज़्यादा जानें.

असल दुनिया में इसका इस्तेमाल कैसे किया जाता है

उदाहरण

Apple Safari के लागू करने की वजह से, /.well-known/change-password, कुछ समय से कुछ बड़ी वेबसाइटों पर पहले से ही उपलब्ध है:

इन्हें खुद आज़माएं और इनके लिए भी ऐसा ही करें!

वेबसाइट का अलग-अलग ब्राउज़र पर चलना

पासवर्ड बदलने का एक जाना-माना यूआरएल Safari में 2019 से काम कर रहा है. Chrome का पासवर्ड मैनेजर, 86 और उसके बाद के वर्शन से काम करना शुरू करेगा. यह सुविधा अक्टूबर 2020 के आखिर में, स्टेबल रिलीज़ के लिए शेड्यूल की गई है. इसके बाद, Chromium पर आधारित अन्य ब्राउज़र भी इसका इस्तेमाल कर सकते हैं. Firefox इसे लागू करने लायक मानता है, लेकिन उसने ऐसा कोई संकेत नहीं दिया कि अगस्त 2020 से ऐसा करना होगा.

Chrome का Password Manager व्यवहार

आइए देखते हैं कि Chrome का पासवर्ड मैनेजर, जोखिम की आशंका वाले पासवर्ड का इस्तेमाल कैसे करता है.

Chrome का पासवर्ड मैनेजर, लीक हो चुके पासवर्ड का पता लगा सकता है. about://settings/passwords पर नेविगेट करने पर, उपयोगकर्ता सेव किए गए पासवर्ड की तुलना में पासवर्ड की जांच कर सकते हैं. साथ ही, वे पासवर्ड की सूची देख सकते हैं, जिन्हें अपडेट करने का सुझाव दिया जाता है.

Chrome की पासवर्ड की जांच करें सुविधा

हमारा सुझाव है कि जिस पासवर्ड को अपडेट करने का सुझाव दिया गया है उसके आगे मौजूद पासवर्ड बदलें बटन पर क्लिक करने से, ब्राउज़र ये काम करेगा:

  • अगर /.well-known/change-password को सही तरीके से सेट अप किया गया है, तो वेबसाइट का पासवर्ड बदलें पेज खोलें.
  • अगर /.well-known/change-password सेट अप नहीं है और Google को फ़ॉलबैक के बारे में पता नहीं है, तो वेबसाइट का होम पेज खोलें.
अगर सर्वर 200 OK वापस करता है, तो /.well-known/change-password मौजूद नहीं होने पर भी क्या होगा?

पासवर्ड मैनेज करने वाले ऐप्लिकेशन यह पता लगाने की कोशिश करते हैं कि किसी वेबसाइट पर पासवर्ड बदलने के लिए कोई जाना-माना यूआरएल काम करता है या नहीं. इसके लिए, किसी उपयोगकर्ता को इस यूआरएल पर भेजने से पहले, उसे /.well-known/change-password को अनुरोध भेजकर देखा जाता है. अगर अनुरोध के जवाब में 404 Not Found दिखता है, तो यह साफ़ तौर पर है कि यूआरएल उपलब्ध नहीं है. हालांकि, 200 OK रिस्पॉन्स का यह मतलब नहीं है कि यूआरएल उपलब्ध है, क्योंकि कुछ ऐसे मामले होते हैं जो:

  • 200 OK के साथ कोई कॉन्टेंट न होने पर, सर्वर साइड-रेंडरिंग वाली वेबसाइट में "नहीं मिला" दिखता है.
  • "नहीं मिला" पेज पर रीडायरेक्ट करने के बाद, कोई कॉन्टेंट न होने पर सर्वर साइड-रेंडरिंग वेबसाइट 200 OK के साथ जवाब देती है.
  • एक पेज का ऐप्लिकेशन, 200 OK की मदद से शेल के साथ जवाब देता है. साथ ही, कोई कॉन्टेंट न होने पर, क्लाइंट साइड पर "नहीं मिला" पेज को रेंडर करता है.

ऐसे मामलों में, उपयोगकर्ताओं को "नहीं मिला" पेज पर भेज दिया जाता है और इससे भ्रम की स्थिति पैदा हो सकती है.

इसलिए, एक सुझाया गया स्टैंडर्ड तरीका मौजूद है, जिससे यह तय किया जा सकता है कि सर्वर को किसी भी पेज का अनुरोध करके, 404 Not Found के साथ जवाब देने के लिए कॉन्फ़िगर किया गया है या नहीं. ऐसा तब किया जाता है, जब असल में कोई कॉन्टेंट न हो. असल में, यूआरएल भी रिज़र्व है: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. उदाहरण के लिए, Chrome इस यूआरएल पाथ का इस्तेमाल यह तय करने के लिए करता है कि क्या वह /.well-known/change-password से, यूआरएल के सही पासवर्ड में बदलाव की उम्मीद कर सकता है.

/.well-known/change-password को डिप्लॉय करते समय, पक्का करें कि सर्वर ऐसे कॉन्टेंट के लिए 404 Not Found दिखाए जो मौजूद नहीं है.

सुझाव/राय दें या शिकायत करें

अगर आपको स्पेसिफ़िकेशन के बारे में कोई सुझाव/राय देनी है या शिकायत करनी है, तो कृपया खास जानकारी को स्टोर करने की जगह में समस्या बताएं.

रिसॉर्स

Unsplash पर मैथ्यू ब्रोडर की फ़ोटो