इस पेज का अनुवाद Cloud Translation API से किया गया है.

पासवर्ड बदलने के लिए एक लोकप्रिय यूआरएल जोड़कर, लोगों को आसानी से पासवर्ड बदलने में मदद करें

/.well-known/change-password पर किए गए अनुरोध को, पासवर्ड बदलने वाले यूआरएल पर रीडायरेक्ट करना

Eiji Kitamura

अपनी वेबसाइट के 'पासवर्ड बदलें' पेज पर, /.well-known/change-password से रीडायरेक्ट सेट अप करें. इससे पासवर्ड मैनेजर, लोगों को सीधे उस पेज पर ले जा सकेंगे.

परिचय

आपको शायद पता होगा कि पासवर्ड, खातों को मैनेज करने का सबसे अच्छा तरीका नहीं है. अच्छी बात यह है कि WebAuthn जैसी नई टेक्नोलॉजी और वन-टाइम पासवर्ड जैसी तकनीकें उपलब्ध हैं. इनकी मदद से, हम पासवर्ड के बिना लॉगिन करने की सुविधा को बेहतर बना पा रहे हैं. हालांकि, इन टेक्नोलॉजी पर अब भी काम किया जा रहा है. इसलिए, इनमें तुरंत बदलाव नहीं होगा. कई डेवलपर को अगले कुछ सालों तक पासवर्ड का इस्तेमाल करना होगा. जब तक नई टेक्नोलॉजी और तकनीकें आम नहीं हो जातीं, तब तक हम कम से कम पासवर्ड को इस्तेमाल करने में आसान बना सकते हैं.

इसके लिए, पासवर्ड मैनेजर को बेहतर तरीके से काम करने की सुविधा देना एक अच्छा तरीका है.

पासवर्ड मैनेजर किस तरह मदद करते हैं

पासवर्ड मैनेजर, ब्राउज़र में पहले से मौजूद हो सकते हैं या तीसरे पक्ष के ऐप्लिकेशन के तौर पर उपलब्ध कराए जा सकते हैं. ये कुकी, उपयोगकर्ताओं की कई तरह से मदद कर सकती हैं:

सही इनपुट फ़ील्ड के लिए पासवर्ड अपने-आप भरने की सुविधा: कुछ ब्राउज़र, सही इनपुट फ़ील्ड का पता अपने-आप लगा सकते हैं. भले ही, वेबसाइट को इस सुविधा के लिए ऑप्टिमाइज़ न किया गया हो. वेब डेवलपर, पासवर्ड मैनेजर की मदद कर सकते हैं. इसके लिए, उन्हें एचटीएमएल इनपुट टैग को सही तरीके से एनोटेट करना होगा.

फ़िशिंग से बचें: पासवर्ड मैनेजर को यह याद रहता है कि पासवर्ड कहां रिकॉर्ड किया गया था. इसलिए, पासवर्ड सिर्फ़ सही यूआरएल पर अपने-आप भरा जा सकता है. फ़िशिंग वेबसाइटों पर ऐसा नहीं होता.

मज़बूत और यूनीक पासवर्ड जनरेट करना: पासवर्ड मैनेजर, मज़बूत और यूनीक पासवर्ड सीधे तौर पर जनरेट और सेव करता है. इसलिए, उपयोगकर्ताओं को पासवर्ड का एक भी अक्षर याद रखने की ज़रूरत नहीं होती.

पासवर्ड मैनेजर का इस्तेमाल करके पासवर्ड जनरेट करने और उन्हें अपने-आप भरने की सुविधा, वेब के लिए पहले से ही उपलब्ध है. हालांकि, पासवर्ड के लाइफ़साइकल को ध्यान में रखते हुए, जब भी ज़रूरत हो पासवर्ड अपडेट करना उतना ही ज़रूरी है जितना कि उन्हें जनरेट करना और अपने-आप भरने की सुविधा का इस्तेमाल करना. इस सुविधा का सही तरीके से इस्तेमाल करने के लिए, पासवर्ड मैनेजर एक नई सुविधा जोड़ रहे हैं:

कमज़ोर पासवर्ड का पता लगाना और उन्हें अपडेट करने का सुझाव देना: पासवर्ड मैनेजर, एक से ज़्यादा बार इस्तेमाल किए गए पासवर्ड का पता लगा सकते हैं. साथ ही, वे पासवर्ड की एंट्रॉपी और कमज़ोरी का विश्लेषण कर सकते हैं. इसके अलावा, वे लीक हुए पासवर्ड या ऐसे पासवर्ड का भी पता लगा सकते हैं जो Have I Been Pwned जैसे सोर्स से असुरक्षित माने जाते हैं.

Password Manager, उपयोगकर्ताओं को मुश्किल पासवर्ड के बारे में चेतावनी दे सकता है. हालांकि, उपयोगकर्ताओं को होम पेज से पासवर्ड बदलने वाले पेज पर जाने के लिए कहना, एक मुश्किल काम है. इसके अलावा, पासवर्ड बदलने की प्रोसेस (जो साइट के हिसाब से अलग-अलग होती है) को पूरा करना भी मुश्किल होता है. अगर पासवर्ड मैनेजर, उपयोगकर्ता को सीधे पासवर्ड बदलने वाले यूआरएल पर ले जा सकें, तो यह ज़्यादा आसान होगा. यहां पासवर्ड बदलने के लिए, जाने-माने यूआरएल का इस्तेमाल करना फ़ायदेमंद होता है.

पासवर्ड बदलने वाले पेज पर रीडायरेक्ट करने वाले किसी जाने-माने यूआरएल पाथ को रिज़र्व करके, वेबसाइट आसानी से लोगों को पासवर्ड बदलने के लिए सही जगह पर रीडायरेक्ट कर सकती है.

"पासवर्ड बदलने के लिए जाना-माना यूआरएल" सेट अप करना

.well-known/change-password को पासवर्ड बदलने के लिए, एक जाने-माने यूआरएल के तौर पर सुझाया गया है. आपको बस अपने सर्वर को कॉन्फ़िगर करना होगा, ताकि वह .well-known/change-password के अनुरोधों को आपकी वेबसाइट के पासवर्ड बदलने वाले यूआरएल पर रीडायरेक्ट कर सके.

उदाहरण के लिए, मान लें कि आपकी वेबसाइट https://example.com है और पासवर्ड बदलने का यूआरएल https://example.com/settings/password है. आपको सिर्फ़ अपने सर्वर को सेट करना होगा, ताकि https://example.com/.well-known/change-password के लिए किए गए अनुरोध को https://example.com/settings/password पर रीडायरेक्ट किया जा सके. हो गया. रीडायरेक्ट करने के लिए, एचटीटीपी स्टेटस कोड 302 Found, 303 See Other या 307 Temporary Redirect का इस्तेमाल करें.

इसके अलावा, http-equiv="refresh" का इस्तेमाल करके, <meta> टैग के साथ अपने .well-known/change-password यूआरएल पर एचटीएमएल दिखाया जा सकता है.

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

पासवर्ड बदलने वाले पेज के एचटीएमएल पर फिर से जाएं

इस सुविधा का मकसद, उपयोगकर्ता के पासवर्ड के लाइफ़साइकल को ज़्यादा आसान बनाना है. उपयोगकर्ता को बिना किसी परेशानी के अपना पासवर्ड अपडेट करने की सुविधा देने के लिए, ये दो काम किए जा सकते हैं:

अगर पासवर्ड बदलने के फ़ॉर्म में मौजूदा पासवर्ड की ज़रूरत है, तो <input> टैग में autocomplete="current-password" जोड़ें. इससे पासवर्ड मैनेजर को पासवर्ड अपने-आप भरने में मदद मिलेगी.
नए पासवर्ड वाले फ़ील्ड के लिए (कई मामलों में, यह दो फ़ील्ड होते हैं, ताकि यह पक्का किया जा सके कि उपयोगकर्ता ने नया पासवर्ड सही तरीके से डाला है), <input> टैग में autocomplete="new-password" जोड़ें. इससे पासवर्ड मैनेजर को जनरेट किया गया पासवर्ड सुझाने में मदद मिलेगी.

साइन-इन फ़ॉर्म इस्तेमाल करने के सबसे सही तरीकों के बारे में ज़्यादा जानें.

असल दुनिया में इसका इस्तेमाल कैसे किया जाता है

उदाहरण

Apple Safari के इस्तेमाल की वजह से, /.well-known/change-password पहले से ही कुछ मुख्य वेबसाइटों पर उपलब्ध है:

इन्हें खुद आज़माएं और अपने वीडियो के लिए भी ऐसा ही करें!

ब्राउज़र के साथ काम करना

पासवर्ड बदलने के लिए, Safari में 2019 से ही एक लोकप्रिय यूआरएल इस्तेमाल किया जा रहा है. Chrome का Password Manager, वर्शन 86 से इसका इस्तेमाल कर सकता है. यह वर्शन, अक्टूबर 2020 के आखिर में स्टेबल रिलीज़ के लिए शेड्यूल किया गया है. साथ ही, Chromium पर आधारित अन्य ब्राउज़र भी इसका इस्तेमाल कर सकते हैं. Firefox इसे लागू करने लायक मानता है, लेकिन अगस्त 2020 तक उसने यह नहीं बताया है कि वह ऐसा कब करेगा.

Chrome के Password Manager का व्यवहार

आइए, देखते हैं कि Chrome का Password Manager, कमज़ोर पासवर्ड को कैसे मैनेज करता है.

Chrome का Password Manager, लीक हुए पासवर्ड की जांच कर सकता है. about://settings/passwords पर जाकर, उपयोगकर्ता सेव किए गए पासवर्ड के ख़िलाफ़ पासवर्ड की जांच करें सुविधा का इस्तेमाल कर सकते हैं. साथ ही, उन्हें उन पासवर्ड की सूची दिखती है जिन्हें अपडेट करने का सुझाव दिया गया है.

Chrome में **पासवर्ड की जांच करें** सुविधा

अपडेट करने के लिए सुझाए गए पासवर्ड के बगल में मौजूद, पासवर्ड बदलें बटन पर क्लिक करने से ब्राउज़र यह काम करेगा:

अगर /.well-known/change-password को सही तरीके से सेट अप किया गया है, तो वेबसाइट का पासवर्ड बदलने वाला पेज खोलें.
अगर /.well-known/change-password सेट अप नहीं किया गया है और Google को फ़ॉलबैक के बारे में जानकारी नहीं है, तो वेबसाइट का होम पेज खोलें.

अगर सर्वर, /.well-known/change-password मौजूद न होने पर भी 200 OK दिखाता है, तो क्या होगा?

पासवर्ड मैनेजर यह पता लगाने की कोशिश करते हैं कि कोई वेबसाइट, पासवर्ड बदलने के लिए जाने-माने यूआरएल का इस्तेमाल करती है या नहीं. इसके लिए, वे /.well-known/change-password को एक अनुरोध भेजते हैं. इसके बाद, वे उपयोगकर्ता को इस यूआरएल पर भेजते हैं. अगर अनुरोध से 404 Not Found मिलता है, तो इसका मतलब है कि यूआरएल उपलब्ध नहीं है. हालांकि, 200 OK जवाब का मतलब यह नहीं है कि यूआरएल उपलब्ध है, क्योंकि कुछ खास मामलों में ऐसा हो सकता है:

सर्वर-साइड रेंडरिंग वाली वेबसाइट पर, कॉन्टेंट न होने पर "नहीं मिला" मैसेज दिखता है. हालांकि, 200 OK के साथ ऐसा नहीं होता.
सर्वर-साइड रेंडरिंग वाली वेबसाइट, "नहीं मिला" पेज पर रीडायरेक्ट करने के बाद, 200 OK कोड दिखाती है. ऐसा तब होता है, जब कोई कॉन्टेंट मौजूद न हो.
जब कोई कॉन्टेंट नहीं होता है, तब सिंगल पेज ऐप्लिकेशन, 200 OK के साथ शेल का जवाब देता है. साथ ही, क्लाइंट साइड पर "नहीं मिला" पेज रेंडर करता है.

इन खास मामलों में, उपयोगकर्ताओं को "नहीं मिला" पेज पर भेज दिया जाएगा. इससे उन्हें भ्रम हो सकता है.

इसलिए, यह पता लगाने के लिए एक स्टैंडर्ड मेकेनिज़्म सुझाया गया है कि सर्वर को 404 Not Found के साथ जवाब देने के लिए कॉन्फ़िगर किया गया है या नहीं. ऐसा तब किया जाता है, जब वाकई में कोई कॉन्टेंट मौजूद न हो. इसके लिए, किसी रैंडम पेज का अनुरोध किया जाता है. दरअसल, यह यूआरएल भी रिज़र्व किया गया है: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200. उदाहरण के लिए, Chrome इस यूआरएल पाथ का इस्तेमाल यह तय करने के लिए करता है कि क्या वह /.well-known/change-password से, पासवर्ड बदलने वाले यूआरएल में पहले से ही सही बदलाव की उम्मीद कर सकता है.

/.well-known/change-password को डिप्लॉय करते समय, पक्का करें कि आपका सर्वर, मौजूद न होने वाले किसी भी कॉन्टेंट के लिए 404 Not Found दिखाता हो.

सुझाव/राय दें या शिकायत करें

अगर आपको खास जानकारी के बारे में कोई सुझाव देना है, तो कृपया खास जानकारी के रिपॉज़िटरी में कोई समस्या दर्ज करें.

संसाधन

Unsplash पर Matthew Brodeur की फ़ोटो