Google 비밀번호 관리자가 유출된 사용자 인증 정보의 비밀번호 변경을 자동화할 수 있도록 웹사이트를 최적화하세요.
비밀번호 자동 변경은 미국의 Chrome 데스크톱 사용자가 공개 정보 유출로 인해 노출된 비밀번호를 빠르게 업데이트할 수 있도록 지원합니다. 저장된 비밀번호가 노출된 것으로 감지되면 Google 비밀번호 관리자가 안전하고 고유한 대체 비밀번호를 만들어 사용자에게 업데이트할 수 있습니다.
이 기능은 백그라운드에서 사용자를 위해 사이트의 비밀번호 변경 양식을 새롭고 강력한 비밀번호로 작성하고 Google 비밀번호 관리자에 저장합니다. 이렇게 하면 수동 업데이트가 필요하지 않으며 사용자가 계정을 안전하게 유지할 수 있습니다.
사용자 환경
사용자가 유출된 비밀번호를 사용하여 지원되는 웹사이트에 로그인하면 Google 비밀번호 관리자가 비밀번호를 변경하도록 제안할 수 있습니다. 사용자가 수락하면 자동 비밀번호 변경 프로세스가 시작됩니다.
비밀번호 자동 변경은 웹사이트를 탐색하고 사용자의 비밀번호 업데이트를 완료합니다.
사용자는 이 작업을 진행하는 동안 취소할 수 있습니다. 이 프로세스가 완료되면 새 비밀번호가 Google 비밀번호 관리자에 저장되고 Google 계정에 연결되므로 동기화된 모든 기기에서 사용할 수 있습니다.
유출된 비밀번호가 식별되는 방식
사용자가 비밀번호를 저장하거나 사이트에 로그인하면 Chrome에서 사용자 이름과 비밀번호가 공개 정보 유출에 표시되었는지 확인합니다.
이를 위해 Chrome은 개인 정보 보호 프로세스를 사용하여 암호화된 사용자 인증 정보를 알려진 유출 목록과 비교합니다. 일치하는 항목이 있으면 Chrome에서 비밀번호가 유출되었다고 사용자에게 알립니다. Google은 실제 사용자 이름이나 비밀번호를 확인하지 않습니다. 자세한 내용은 Google 보안 블로그에서 Google이 데이터 유출로부터 계정을 보호하는 방법을 참고하세요.
유출된 비밀번호 목록은 공개 정보 유출 및 보안 분석가에 의해 작성됩니다.
비밀번호 자동 변경 최적화
자동 비밀번호 변경에 맞게 웹사이트를 최적화하고 Google 비밀번호 관리자 및 기타 도구와의 호환성을 개선하려면 다음 웹 표준 및 권장사항을 구현하세요. 이러한 변경사항을 통해 브라우저와 비밀번호 관리자가 비밀번호 관련 양식과 안정적으로 상호작용할 수 있습니다.
잘 알려진 비밀번호 변경 URL 사용
/.well-known/change-password 경로를 사용하여 비밀번호 변경 페이지의 위치를 광고합니다. 이 URL은 비밀번호 업데이트가 필요한 경우 브라우저와 비밀번호 관리자(예: Google 비밀번호 관리자)가 사용자를 올바른 위치로 빠르게 안내하는 데 도움이 됩니다.
예를 들면 다음과 같습니다.
https://yourdomain.com/.well-known/change-password 이렇게 하면 사용자 환경이 개선되고 자동 비밀번호 변경과 같은 기능이 지원됩니다. 이 경로를 지원하면 사이트가 자동화된 도구와 호환될 가능성이 높아집니다.
URL /.well-known/change-password은 비밀번호 변경 양식으로 리디렉션되어야 합니다.
다음 두 가지 방법 중 하나로 리디렉션을 구현할 수 있습니다.
- 서버 측 (권장):
- HTTP 상태 코드 302, 303 또는 307을 사용하여 임시 리디렉션을 실행하도록 웹 서버 (예: Apache 또는 Nginx)를 구성합니다.
- 목적지가 변경될 수 있으므로 301 (영구 리디렉션)을 사용하지 마세요.
- 사용자가 로그인되어 있지 않으면 리디렉션으로 먼저 로그인 흐름으로 이동할 수 있습니다.
HTML 메타 새로고침 (대안):
- 클라이언트 측 리디렉션을 실행하는 잘 알려진 경로에서 기본 HTML 페이지를 제공합니다.
<!DOCTYPE html> <html> <head> <meta http-equiv="refresh" content="0;url=https://example.com/settings/password"> <title>Redirecting...</title> </head> <body> <p>Redirecting you to the change password page...</p> </body> </html>/.well-known/change-password경로에는 실제 비밀번호 변경 양식이 호스팅되면 안 됩니다. 디스커버리 및 리디렉션 전용입니다. 자세한 내용은 비밀번호 변경을 위한 잘 알려진 URL을 참고하세요.
비밀번호 변경 잘 알려진 URL에 대해 자세히 알아보려면 비밀번호 변경을 위한 잘 알려진 URL을 추가하여 사용자가 쉽게 비밀번호를 변경하도록 지원 도움말을 참고하세요.
양식에서 자동 완성 속성 사용
브라우저와 비밀번호 관리자는 autocomplete 속성을 사용하여 양식 필드의 용도를 파악합니다. 이 속성은 자동 완성 정확도를 개선하고, 비밀번호 생성을 지원하며, 자동 비밀번호 변경과 같은 기능이 안정적으로 작동하는 데 필요합니다.
다음 autocomplete 값을 사용합니다.
| 값 | 목적 | 일반적인 사용 |
|---|---|---|
username | 계정 사용자 이름을 식별합니다. | 로그인, 가입, 비밀번호 변경 |
current-password | 기존 비밀번호 필드 | 로그인, 비밀번호 변경 |
new-password | 새 비밀번호 필드 | 가입, 비밀번호 변경, 재설정 |
다음 코드 스니펫은 autocomplete 값이 있는 양식의 예를 보여줍니다.
... <form action="/change-password-handler" method="post"> <div> <label for="current-pw">Current password:</label> <input type="password" id="current-pw" name="current-password" autocomplete="current-password" required> </div> <div> <label for="new-pw">New password:</label> <input type="password" id="new-pw" name="new-password" autocomplete="new-password" required minlength="8" aria-describedby="password-constraints"> <div id="password-constraints">Minimum 8 characters.</div> </div> <div> <label for="confirm-pw">Confirm new password:</label> <input type="password" id="confirm-pw" name="confirm-password" autocomplete="new-password" required minlength="8"> </div> <button type="submit">Change password</button> </form> ... 추가 권장사항
이 가이드라인에 따라 비밀번호 변경 양식의 사용성과 호환성을 개선하세요.
<form>,<label>,<button>와 같은 의미론적 HTML 요소를 사용합니다.for및id속성을 사용하여 라벨이 입력에 올바르게 연결되어 있는지 확인합니다.minlength또는pattern과 같은 속성으로 비밀번호 규칙을 표시하고 인라인 안내를 제공합니다.- 양식 근처에 확인 또는 오류 메시지를 표시합니다.