Le Gestionnaire de mots de passe de Google modifie automatiquement les mots de passe des identifiants compromis.
La modification automatique des mots de passe aide les utilisateurs de Chrome sur ordinateur aux États-Unis à modifier rapidement les mots de passe qui ont fait l'objet d'une violation de données publiques. Lorsque Google détecte qu'un mot de passe enregistré a été exposé, le Gestionnaire de mots de passe de Google peut créer un mot de passe de remplacement unique et sécurisé, puis le mettre à jour pour vos utilisateurs.
Cette fonctionnalité remplit le formulaire de modification du mot de passe du site pour l'utilisateur avec un nouveau mot de passe sécurisé et l'enregistre dans le Gestionnaire de mots de passe de Google, le tout en arrière-plan. Les mises à jour manuelles ne sont plus nécessaires, ce qui permet aux utilisateurs de sécuriser leur compte.
Expérience utilisateur
Lorsqu'un utilisateur se connecte à un site Web compatible à l'aide d'un mot de passe compromis, le Gestionnaire de mots de passe de Google peut lui proposer de le modifier. S'il accepte, le processus de modification automatique du mot de passe commence.
La modification automatique du mot de passe permet de naviguer sur le site Web et de mettre à jour le mot de passe de l'utilisateur.
L'utilisateur peut l'annuler pendant qu'elle est en cours. Une fois le processus terminé, le nouveau mot de passe est enregistré dans le Gestionnaire de mots de passe Google et associé à son compte Google. Il est donc disponible sur tous les appareils synchronisés.
Comment les mots de passe compromis sont-ils identifiés ?
Lorsqu'un utilisateur enregistre un mot de passe ou se connecte à un site, Chrome vérifie si le nom d'utilisateur et le mot de passe ont été divulgués lors d'une violation des données publique.
Pour ce faire, Chrome utilise un processus respectueux de la confidentialité pour comparer vos identifiants chiffrés à une liste de failles de sécurité connues. Si une correspondance est trouvée, Chrome avertit l'utilisateur que le mot de passe est compromis. Google ne voit jamais les noms d'utilisateur ni les mots de passe. Pour en savoir plus, consultez l'article du blog Google Sécurité sur la façon dont Google vous aide à protéger vos comptes contre les fuites de données.
Les listes de mots de passe compromis sont établies par des analystes de la sécurité et à partir de violations de données publiques.
Optimisation de la modification automatique du mot de passe
Pour prendre en charge le changement de mot de passe automatique et améliorer la compatibilité avec le Gestionnaire de mots de passe Google et d'autres outils, implémentez les normes Web et les bonnes pratiques suivantes. Ces modifications permettent aux navigateurs et aux gestionnaires de mots de passe d'interagir de manière fiable avec les formulaires liés aux mots de passe.
Utiliser une URL de modification du mot de passe connue
Utilisez le chemin d'accès /.well-known/change-password pour indiquer l'emplacement de la page de modification de votre mot de passe. Cette URL aide les navigateurs et les gestionnaires de mots de passe, comme le Gestionnaire de mots de passe de Google, à rediriger rapidement les utilisateurs vers le bon endroit lorsqu'un mot de passe doit être modifié.
Exemple :
https://yourdomain.com/.well-known/change-password Cela améliore l'expérience utilisateur et permet d'utiliser des fonctionnalités telles que la modification automatique du mot de passe. Si vous suivez cette méthode, votre site sera plus susceptible d'être compatible avec les outils automatisés.
L'URL /.well-known/change-password doit rediriger vers votre formulaire de modification du mot de passe.
Vous pouvez implémenter la redirection de deux manières :
- Côté serveur (recommandé) :
- Configurez votre serveur Web (Apache ou Nginx, par exemple) pour qu'il émette une redirection temporaire à l'aide du code d'état HTTP 302, 303 ou 307.
- Évitez d'utiliser la redirection 301 (redirection permanente) au cas où la destination changerait.
- Si l'utilisateur n'est pas connecté, la redirection peut d'abord l'envoyer vers un flux de connexion.
Actualisation des métadonnées HTML (alternative) :
- Diffusez une page HTML de base au chemin d'accès connu qui effectue une redirection côté client :
<!DOCTYPE html> <html> <head> <meta http-equiv="refresh" content="0;url=https://example.com/settings/password"> <title>Redirecting...</title> </head> <body> <p>Redirecting you to the change password page...</p> </body> </html>- Le chemin
/.well-known/change-passwordne doit pas héberger le formulaire de modification du mot de passe. Elle est uniquement destinée à la découverte et à la redirection. Pour en savoir plus, consultez A Well-Known URL for Changing Passwords (URL bien connue pour modifier les mots de passe).
Pour en savoir plus sur l'URL connue de modification du mot de passe, consultez l'article Aidez les utilisateurs à modifier facilement leur mot de passe en ajoutant une URL connue de modification du mot de passe.
Utiliser des attributs de saisie semi-automatique dans les formulaires
Les navigateurs et les gestionnaires de mots de passe utilisent l'attribut autocomplete pour comprendre l'objectif des champs de formulaire. Cet attribut permet d'améliorer la précision de la saisie automatique, d'activer la génération de mots de passe et est requis pour que des fonctionnalités telles que le changement automatique de mot de passe fonctionnent de manière fiable.
Utilisez les valeurs autocomplete suivantes :
| Valeur | Objectif | Utilisation courante |
|---|---|---|
username | Identifie le nom d'utilisateur du compte | Connexion, inscription, modification du mot de passe |
current-password | Champ pour le mot de passe existant | Connexion, modification du mot de passe |
new-password | Champ pour un nouveau mot de passe | Inscription, modification et réinitialisation du mot de passe |
L'extrait de code suivant présente un exemple de formulaire avec des valeurs autocomplete :
... <form action="/change-password-handler" method="post"> <div> <label for="current-pw">Current password:</label> <input type="password" id="current-pw" name="current-password" autocomplete="current-password" required> </div> <div> <label for="new-pw">New password:</label> <input type="password" id="new-pw" name="new-password" autocomplete="new-password" required minlength="8" aria-describedby="password-constraints"> <div id="password-constraints">Minimum 8 characters.</div> </div> <div> <label for="confirm-pw">Confirm new password:</label> <input type="password" id="confirm-pw" name="confirm-password" autocomplete="new-password" required minlength="8"> </div> <button type="submit">Change password</button> </form> ... Autres bonnes pratiques
Suivez ces consignes pour améliorer l'usabilité et la compatibilité de vos formulaires de modification de mot de passe :
- Utilisez des éléments HTML sémantiques tels que
<form>,<label>et<button>. - Vérifiez que les libellés sont correctement associés aux entrées à l'aide des attributs
foretid. - Affichez les règles relatives aux mots de passe avec des attributs tels que
minlengthoupattern, et fournissez des conseils intégrés. - Affichez un message de confirmation ou d'erreur à proximité du formulaire.