Ayudar a los usuarios a cambiar las contraseñas con URL conocidas

¡Hola!



Compartimos la traducción de un artículo pequeño pero útil sobre cómo simplificar el proceso de actualización de datos para la autenticación.

Redirigir desde /.well-known/change-password a la página de cambio de contraseña de su sitio. Esto permitirá a los administradores de contraseñas dirigir a los usuarios directamente a esta página.

Introducción

Las contraseñas no son la mejor forma de administrar sus cuentas . Sí, están surgiendo nuevas tecnologías que acercan el mundo del futuro, como WebAuthn y las contraseñas de un solo uso. Sin embargo, estos métodos aún están evolucionando y los desarrolladores tendrán que trabajar con contraseñas, al menos durante los próximos años. Hasta que las nuevas tecnologías se conviertan en algo común para nosotros, al menos podemos intentar simplificar nuestras vidas.



Una forma es brindar un mejor soporte a los administradores de contraseñas.

Cómo pueden ayudarnos los administradores de contraseñas

Los administradores de contraseñas pueden integrarse en los navegadores o utilizarse como aplicaciones de terceros. ¿De qué sirven?



Autocompletar para ingresar la contraseña correcta en el campo correspondiente . Algunos navegadores encuentran el campo obligatorio por sí mismos, incluso si el sitio no está optimizado para este propósito. Al hacerlo, los desarrolladores web facilitan el trabajo de los administradores de contraseñas al anotar correctamente las etiquetas HTML de entrada .



Prevención de ataques de phishing . Los administradores de contraseñas recuerdan dónde se ingresó la contraseña, por lo que solo se puede ingresar automáticamente para URL coincidentes, no en sitios de phishing.



Cree contraseñas sólidas y únicas . Estas contraseñas son generadas y almacenadas por un administrador de contraseñas. Los usuarios no necesitan recordarlos.



Generar y autocompletar contraseñas con un administrador de contraseñas es una opción popular en Internet, pero debe considerar su ciclo de vida: actualizar las contraseñas es tan importante como generarlas y autocompletarlas. Para hacer esto, los administradores de contraseñas agregan una nueva característica:



identifican contraseñas vulnerables y ofrecen reemplazarlas . Los administradores de contraseñas pueden detectar contraseñas que se reutilizan, pueden analizar su entropía y debilidad, y pueden identificar contraseñas potencialmente vulnerables o aquellas consideradas inseguras por fuentes como Have I Been Pwned .



Un administrador de contraseñas puede advertir al usuario sobre contraseñas problemáticas, pero aquí hay muchas complicaciones: debe solicitarle al usuario que vaya de la página de inicio a la página de cambio de contraseña, además del proceso de cambio de contraseña en sí, que puede variar de un sitio a otro. Por supuesto, sería mucho más fácil si los administradores de contraseñas pudieran redirigir al usuario directamente a la página de cambio de contraseña. Aquí hay algunas direcciones URL de cambio de contraseña conocidas que pueden ser útiles en una situación como esta.



Al reservar una ruta URL conocida que redirige a la página de cambio de contraseña, el sitio puede llevar fácilmente a los usuarios al lugar correcto para cambiar sus contraseñas.

Configurar una URL conocida para cambiar contraseñas

La ruta en .well-known / change-password se sugiere como una URL conocida para cambiar contraseñas . Todo lo que tiene que hacer es configurar el servidor para redirigir las solicitudes de .well-known / change-password a la URL de cambio de contraseña de su sitio.



Por ejemplo, digamos que su sitio web es example.com y la URL de cambio de contraseña es example.com/settings/password . Debe configurar el servidor para redirigir la solicitud de example.com/.well-known/change-password a example.com/settings/password . ¡Y eso es! Para redireccionar use el código de estado HTTP 302 Encontrado , 303 Ver Otro, o307 Redireccionamiento temporal .



Alternativamente, puede servir HTML en su URL .well-known / change-password usando la etiqueta <meta> con http-equiv = "refresh" .

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

Verifique el HTML de la página de restablecimiento de contraseña

El objetivo de esta fase es hacer que el ciclo de vida de la contraseña sea más flexible. Podemos hacer 2 pasos para que el usuario actualice la contraseña sin ningún problema:

• Si su formulario de cambio de contraseña requiere la contraseña actual, agregue autocomplete = "current-password" a la etiqueta <input> para que el administrador de contraseñas pueda completarla automáticamente.
• Para el campo de la nueva contraseña (en muchos casos, incluso dos campos para asegurarse de que el usuario haya ingresado la nueva contraseña correctamente) agregue autocomplete = "new-password" a la etiqueta <input> para ayudar al administrador de contraseñas a sugerir la contraseña generada.

Puede obtener más información sobre las pautas para usar el formulario de inicio de sesión en el sitio aquí .

Cómo se usa en realidad todo lo descrito

Ejemplos de

Gracias al soporte de Apple Safari , /.well-known/change-password está disponible en algunos de los sitios principales:

• Google
• Github
• Facebook
• Gorjeo
• WordPress

¡Intente completar el formulario de registro allí y haga lo mismo con su sitio!

Compatibilidad del navegador

Safari es compatible con la conocida URL del cambiador de contraseñas desde 2019 . Chrome Password Manager lo ha admitido desde la versión 86 (se prevé una versión estable para finales de octubre de 2020). Otros navegadores basados ​​en Chromium también pueden hacer lo mismo. Firefox cree que vale la pena implementar un administrador de contraseñas, pero aún no hay información sobre cuándo exactamente.

Comportamiento del administrador de contraseñas de Chrome

Veamos cómo el administrador de contraseñas de Chrome maneja las contraseñas vulnerables.



El Administrador de contraseñas de Chrome puede buscar contraseñas filtradas. Al ir a la página chrome: // settings / passwords , los usuarios pueden verificar si las contraseñas coinciden con las guardadas y ver una lista de las que se recomienda actualizar.







Cuando seleccione el bloque "Cambiar contraseña" , junto a la contraseña que se recomienda actualizar, el navegador mostrará:

• Abra la página de cambio de contraseña del sitio si /.well-known/change-password está configurado correctamente.
• Abra la página de inicio del sitio si /.well-known/change-password no está configurado y Google no conoce una alternativa.

Retroalimentación

Si tiene algún comentario o sugerencia, publique un error en el repositorio del autor .

Recursos útiles

• URL conocida para cambiar contraseñas
• Determinación de la confiabilidad de los códigos de estado HTTP
• Mejores prácticas para implementar un formulario de inicio de sesión

Foto de Matthew Brodeur y publicada en Unsplash