تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

مساعدة المستخدمين على تغيير كلمات المرور بسهولة من خلال إضافة عنوان URL معروف لتغيير كلمات المرور

إعادة توجيه طلب إلى /.well-known/change-password إلى عنوان URL الخاص بتغيير كلمات المرور

Eiji Kitamura

اضبط عملية إعادة توجيه من /.well-known/change-password إلى صفحة تغيير كلمة المرور في موقعك الإلكتروني. سيسمح ذلك لمديري كلمات المرور بتوجيه المستخدمين مباشرةً إلى تلك الصفحة.

مقدمة

كما تعلم، كلمات المرور ليست أفضل طريقة لإدارة الحسابات. لحسن الحظ، هناك تكنولوجيات ناشئة، مثل WebAuthn، وتقنيات أخرى، مثل كلمات المرور الصالحة لمرة واحدة، تساعدنا في الاقتراب من عالم خالٍ من كلمات المرور. ومع ذلك، لا تزال هذه التكنولوجيات قيد التطوير، ولن تتغيّر الأمور بسرعة. سيظل العديد من المطوّرين بحاجة إلى التعامل مع كلمات المرور خلال السنوات القليلة المقبلة على الأقل. في انتظار أن تصبح التقنيات والأساليب الحديثة شائعة، يمكننا على الأقل تسهيل استخدام كلمات المرور.

ويمكن تحقيق ذلك من خلال توفير دعم أفضل لخدمات إدارة كلمات المرور.

كيف تساعد خدمات إدارة كلمات المرور؟

يمكن أن تكون برامج إدارة كلمات المرور مضمّنة في المتصفحات أو متوفّرة كتطبيقات تابعة لجهات خارجية. ويمكن أن تساعد المستخدمين بطرق مختلفة:

الملء التلقائي لكلمة المرور في حقل الإدخال الصحيح: يمكن لبعض المتصفّحات العثور على حقل الإدخال الصحيح بشكل تجريبي حتى إذا لم يكن الموقع الإلكتروني محسّنًا لهذا الغرض. يمكن لمطوّري الويب مساعدة خدمات إدارة كلمات المرور من خلال إضافة تعليقات توضيحية بشكل صحيح إلى علامات إدخال HTML.

منع التصيّد الاحتيالي: بما أنّ خدمات إدارة كلمات المرور تتذكّر المكان الذي تم فيه تسجيل كلمة المرور، يمكن ملء كلمة المرور تلقائيًا في عناوين URL المناسبة فقط، وليس في المواقع الإلكترونية التي تهدف إلى التصيّد الاحتيالي.

إنشاء كلمات مرور قوية وفريدة: بما أنّ مدير كلمات المرور ينشئ كلمات مرور قوية وفريدة ويخزّنها مباشرةً، لا يحتاج المستخدمون إلى تذكُّر أي حرف من كلمة المرور.

لقد ساهمت ميزة إنشاء كلمات المرور وملؤها تلقائيًا باستخدام خدمة إدارة كلمات المرور في تحسين تجربة المستخدمين على الويب، ولكن بالنظر إلى دورة حياة كلمات المرور، فإنّ تعديلها عند الحاجة لا يقل أهمية عن إنشائها وملؤها تلقائيًا. للاستفادة من هذه الميزة بشكل صحيح، تضيف خدمات إدارة كلمات المرور ميزة جديدة:

رصد كلمات المرور المعرَّضة للخطر واقتراح تعديلها: يمكن لخدمات إدارة كلمات المرور رصد كلمات المرور التي تتم إعادة استخدامها، وتحليل مستوى عشوائيتها وضعفها، وحتى رصد كلمات المرور التي يُحتمَل أن تم تسريبها أو التي يُعرف أنّها غير آمنة من مصادر مثل Have I Been Pwned.

يمكن لخدمة إدارة كلمات المرور أن تحذّر المستخدمين من كلمات المرور التي تتضمّن مشاكل، ولكنّها تتطلّب الكثير من الجهد، إذ يجب أن ينتقل المستخدمون من الصفحة الرئيسية إلى صفحة تغيير كلمة المرور، بالإضافة إلى تنفيذ عملية تغيير كلمة المرور الفعلية (التي تختلف من موقع إلكتروني إلى آخر). سيكون من الأسهل بكثير إذا تمكّنت خدمات إدارة كلمات المرور من توجيه المستخدم مباشرةً إلى عنوان URL الخاص بتغيير كلمة المرور. وهنا تكمن أهمية عنوان URL المعروف لتغيير كلمات المرور.

من خلال حجز مسار عنوان URL معروف يعيد توجيه المستخدم إلى صفحة تغيير كلمة المرور، يمكن للموقع الإلكتروني إعادة توجيه المستخدمين بسهولة إلى المكان المناسب لتغيير كلمات المرور.

إعداد "عنوان URL معروف لتغيير كلمات المرور"

يتم اقتراح .well-known/change-password كـ عنوان URL معروف لتغيير كلمات المرور. كل ما عليك فعله هو إعداد الخادم لإعادة توجيه الطلبات الخاصة بـ .well-known/change-password إلى عنوان URL لتغيير كلمة المرور على موقعك الإلكتروني.

على سبيل المثال، لنفترض أنّ موقعك الإلكتروني هو https://example.com وأنّ عنوان URL لتغيير كلمة المرور هو https://example.com/settings/password. كل ما عليك فعله هو ضبط الخادم لإعادة توجيه الطلب الخاص بـ https://example.com/.well-known/change-password إلى https://example.com/settings/password. انتهيت! لإعادة التوجيه، استخدِم رمز حالة HTTP 302 Found أو 303 See Other أو 307 Temporary Redirect.

بدلاً من ذلك، يمكنك عرض HTML على عنوان URL .well-known/change-password باستخدام علامة <meta> باستخدام http-equiv="refresh".

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

إعادة النظر في ملف HTML الخاص بصفحة تغيير كلمة المرور

تهدف هذه الميزة إلى المساعدة في جعل دورة حياة كلمة مرور المستخدم أكثر سلاسة. يمكنك اتّخاذ إجراءَين لتسهيل عملية تعديل كلمة المرور على المستخدمين:

إذا كان نموذج تغيير كلمة المرور يتطلّب إدخال كلمة المرور الحالية، أضِف autocomplete="current-password" إلى العلامة <input> لمساعدة مدير كلمات المرور في ملء النموذج تلقائيًا.
بالنسبة إلى حقل كلمة المرور الجديدة (في كثير من الحالات، يكون حقلَين لضمان أنّ المستخدم أدخل كلمة المرور الجديدة بشكل صحيح)، أضِف autocomplete="new-password" إلى العلامة <input> لمساعدة مدير كلمات المرور في اقتراح كلمة مرور تم إنشاؤها.

يمكنك الاطّلاع على مزيد من المعلومات في مقالة أفضل الممارسات المتعلّقة بنماذج تسجيل الدخول.

طريقة استخدامها في العالم الحقيقي

أمثلة

بفضل تنفيذ ميزة /.well-known/change-password في متصفّح Apple Safari، أصبحت هذه الميزة متاحة منذ فترة على بعض المواقع الإلكترونية الرئيسية:

جرِّب هذه الميزات بنفسك وافعل الشيء نفسه في قناتك.

توافُق المتصفح

يتوافق متصفّح Safari مع عنوان URL معروف لتغيير كلمات المرور منذ عام 2019. سيتيح مدير كلمات المرور في Chrome هذه الميزة بدءًا من الإصدار 86 (المقرَّر إطلاقه في القناة الثابتة في أواخر أكتوبر 2020)، وقد تتيحها متصفّحات أخرى مستندة إلى Chromium أيضًا. يرى متصفّح Firefox أنّ هذه الميزة تستحق التنفيذ، ولكن لم يعلن عن نيته تنفيذها حتى آب (أغسطس) 2020.

سلوك "مدير كلمات المرور" في Chrome

لنلقِ نظرة على طريقة تعامل "مدير كلمات المرور" في Chrome مع كلمات المرور المعرَّضة للخطر.

يمكن لمدير كلمات المرور في Chrome التحقّق من كلمات المرور المسروقة. من خلال الانتقال إلى about://settings/passwords، يمكن للمستخدمين تشغيل التحقّق من كلمات المرور مقارنةً بكلمات المرور المخزّنة، والاطّلاع على قائمة بكلمات المرور التي يُنصح بتحديثها.

وظيفة **التحقّق من كلمات المرور** في Chrome

عند النقر على الزر تغيير كلمة المرور بجانب كلمة مرور يُنصح بتعديلها، سيفعل المتصفّح ما يلي:

افتح صفحة تغيير كلمة المرور على الموقع الإلكتروني إذا تم إعداد /.well-known/change-password بشكلٍ صحيح.
افتح الصفحة الرئيسية للموقع الإلكتروني إذا لم يتم إعداد /.well-known/change-password ولم يكن لدى Google معلومات عن عنوان URL الاحتياطي.

ماذا يحدث إذا عرض الخادم الرمز 200 OK حتى إذا لم يكن /.well-known/change-password متوفّرًا؟

تحاول خدمات إدارة كلمات المرور تحديد ما إذا كان الموقع الإلكتروني يتيح عنوان URL معروفًا لتغيير كلمات المرور من خلال إرسال طلب إلى /.well-known/change-password قبل إعادة توجيه المستخدم إلى عنوان URL هذا. إذا عرض الطلب الرمز 404 Not Found، من الواضح أنّ عنوان URL غير متاح، ولكن الرد 200 OK لا يعني بالضرورة أنّ عنوان URL متاح، لأنّ هناك بعض الحالات الحدّية:

يعرض الموقع الإلكتروني الذي يستخدم العرض من جهة الخادم رسالة "لم يتم العثور على الصفحة" عندما لا يتوفّر أي محتوى، ولكن مع الرمز 200 OK.
يستجيب الموقع الإلكتروني الذي يعرض المحتوى من جهة الخادم برمز الحالة 200 OK عندما لا يتوفّر أي محتوى بعد إعادة التوجيه إلى صفحة "لم يتم العثور على الصفحة".
يستجيب تطبيق الصفحة الواحدة باستخدام واجهة التطبيق مع 200 OK ويعرض الصفحة "لم يتم العثور على الصفحة" من جهة العميل عندما لا يتوفّر أي محتوى.

في هذه الحالات الحدّية، سيتم توجيه المستخدمين إلى صفحة "لم يتم العثور على الصفحة"، ما سيؤدي إلى حدوث التباس.

لهذا السبب، يتم اقتراح آلية معيارية لتحديد ما إذا كان الخادم معدًا للاستجابة بالرمز 404 Not Found عندما لا يتوفّر أي محتوى، وذلك من خلال طلب صفحة عشوائية. في الواقع، عنوان URL محجوز أيضًا: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. يستخدم Chrome مثلاً مسار عنوان URL هذا لتحديد ما إذا كان بإمكانه توقّع الحصول على عنوان URL صحيح لتغيير كلمة المرور من /.well-known/change-password مسبقًا.

عند نشر /.well-known/change-password، تأكَّد من أنّ الخادم يعرض الرمز 404 Not Found لأي محتوى غير متوفّر.

الملاحظات

إذا كان لديك أي ملاحظات حول المواصفات، يُرجى تسجيل مشكلة في مستودع المواصفات.

الموارد

الصورة من ماثيو برودور على Unsplash