אופטימיזציות לשינוי סיסמה אוטומטי

כדאי לבצע אופטימיזציה של האתר כדי שמנהל הסיסמאות של Google יוכל לשנות באופן אוטומטי סיסמאות של פרטי כניסה שנחשפו.

José Luis Zapata
Ece Scheuss
Ece Scheuss
LinkedIn

התכונה 'שינוי סיסמה אוטומטי' עוזרת למשתמשים לעדכן במהירות סיסמאות שנמצאו בפרצות באבטחת מידע שפורסמו לציבור. התכונה זמינה למשתמשי Chrome במחשבים בארה"ב. כש-Google מזהה שסיסמה שמורה נחשפה, מנהל הסיסמאות של Google יכול ליצור סיסמה חזקה וייחודית במקומה ולעדכן אותה בשביל המשתמשים.

התכונה ממלאת את טופס שינוי הסיסמה באתר עבור המשתמש בסיסמה חדשה וחזקה, ושומרת אותה במנהל הסיסמאות של Google. כל הפעולות האלה מתבצעות ברקע. כך לא צריך לבצע עדכונים ידניים, והמשתמשים יכולים לשמור על אבטחת החשבון שלהם.

חוויית משתמש

כשמשתמש נכנס לאתר נתמך באמצעות סיסמה שנחשפה, יכול להיות שמנהל הסיסמאות של Google יציע לו לשנות אותה. אם הם מאשרים, מתחיל תהליך אוטומטי של שינוי הסיסמה.

שינוי סיסמה אוטומטי מנווט באתר ומשלים את עדכון הסיסמה בשביל המשתמש.

המשתמש יכול לבטל את ההקלטה בזמן שהיא מתבצעת. אחרי שהתהליך מסתיים, הסיסמה החדשה נשמרת במנהל הסיסמאות של Google ומקושרת לחשבון Google, כך שהיא זמינה בכל המכשירים המסונכרנים.

איך מזוהות סיסמאות שנחשפו

כשמשתמש שומר סיסמה או נכנס לאתר, Chrome בודק אם שם המשתמש והסיסמה הופיעו בפרצה באבטחת מידע שפורסמה לציבור.

לשם כך, Chrome משתמש בתהליך ששומר על הפרטיות כדי להשוות את פרטי הכניסה המוצפנים שלכם לרשימה של פרצות אבטחה ידועות. אם נמצאת התאמה, Chrome מודיע למשתמש שהסיסמה נפרצה. ‫Google אף פעם לא רואה שמות משתמשים או סיסמאות בפועל. לפרטים נוספים, אפשר לקרוא על האופן שבו Google עוזרת להגן על החשבונות שלכם מפני פרצות אבטחה בבלוג האבטחה של Google.

רשימות של סיסמאות שנפרצו נוצרות על ידי פרצות באבטחת מידע ועל ידי אנליסטים בתחום האבטחה.

אופטימיזציה לשינוי סיסמה אוטומטי

כדי לבצע אופטימיזציה של האתר לשינוי סיסמה אוטומטי ולשפר את התאימות שלו ל-Google Password Manager ולכלים אחרים, צריך להטמיע את תקני האינטרנט והשיטות המומלצות הבאים. השינויים האלה עוזרים לדפדפנים ולמנהלי סיסמאות ליצור אינטראקציה אמינה עם טפסים שקשורים לסיסמאות.

שימוש בכתובת URL מוכרת לשינוי סיסמה

משתמשים בנתיב /.well-known/change-password כדי לפרסם את המיקום של דף שינוי הסיסמה. כתובת ה-URL הזו עוזרת לדפדפנים ולמנהלי סיסמאות, כמו מנהל הסיסמאות של Google, להפנות במהירות את המשתמשים למקום הנכון כשצריך לעדכן סיסמה.

לדוגמה:

https://yourdomain.com/.well-known/change-password

כך משפרים את חוויית המשתמש ותומכים בתכונות כמו שינוי סיסמה אוטומטי. תמיכה בנתיב הזה מגדילה את הסיכוי שהאתר שלכם יהיה תואם לכלים אוטומטיים.

כתובת ה-URL‏ /.well-known/change-password צריכה להפנות לטופס לשינוי הסיסמה.

אפשר להטמיע את ההפניה באחת משתי דרכים:

  • בצד השרת (מומלץ):
    • מגדירים את שרת האינטרנט (כמו Apache או Nginx) להנפקת הפניה זמנית באמצעות קוד סטטוס HTTP ‏302, 303 או 307.
    • מומלץ להימנע משימוש בהפניה אוטומטית מסוג 301 (הפניה אוטומטית קבועה) למקרה שהיעד ישתנה.
    • אם המשתמש לא מחובר לחשבון, ההפניה יכולה להעביר אותו קודם לתהליך כניסה.

  • רענון מטא של HTML (חלופה):

    • הצגת דף HTML בסיסי בנתיב המוכר שמבצע הפניה בצד הלקוח:
    <!DOCTYPE html> <html> <head>   <meta http-equiv="refresh" content="0;url=https://example.com/settings/password">   <title>Redirecting...</title> </head> <body>   <p>Redirecting you to the change password page...</p> </body> </html>
    • בנתיב /.well-known/change-password אסור לארח את הטופס בפועל לשינוי הסיסמה. היא מיועדת רק לגילוי ולהפניה אוטומטית. לפרטים נוספים, אפשר לעיין במאמר בנושא כתובת URL מוכרת לשינוי סיסמאות.

במאמר איך עוזרים למשתמשים לשנות סיסמאות בקלות באמצעות הוספה של כתובת URL מוכרת לשינוי סיסמאות אפשר לקרוא מידע נוסף על כתובת URL מוכרת לשינוי סיסמאות.

שימוש במאפייני השלמה אוטומטית בטפסים

דפדפנים ומנהלי סיסמאות משתמשים במאפיין autocomplete כדי להבין את המטרה של שדות הטופס. המאפיין הזה עוזר לשפר את הדיוק של המילוי האוטומטי, מאפשר יצירת סיסמאות ונדרש כדי שתכונות כמו שינוי סיסמה אוטומטי יפעלו בצורה מהימנה.

משתמשים בערכים האלה של autocomplete:

ערך מטרה שימוש נפוץ
username זיהוי שם המשתמש בחשבון כניסה לחשבון, הרשמה, שינוי סיסמה
current-password שדה לסיסמה הקיימת כניסה לחשבון, שינוי סיסמה
new-password שדה לסיסמה חדשה הרשמה, שינוי סיסמה, איפוס

בקטע הקוד הבא מוצג טופס לדוגמה עם ערכים של autocomplete:

... <form action="/change-password-handler" method="post">   <div>     <label for="current-pw">Current password:</label>     <input type="password" id="current-pw" name="current-password"            autocomplete="current-password" required>   </div>    <div>     <label for="new-pw">New password:</label>     <input type="password" id="new-pw" name="new-password"            autocomplete="new-password" required minlength="8"            aria-describedby="password-constraints">     <div id="password-constraints">Minimum 8 characters.</div>   </div>    <div>     <label for="confirm-pw">Confirm new password:</label>     <input type="password" id="confirm-pw" name="confirm-password"            autocomplete="new-password" required minlength="8">   </div>    <button type="submit">Change password</button> </form> ...

שיטות מומלצות נוספות

כדי לשפר את נוחות השימוש בטפסים לשינוי סיסמה ואת התאימות שלהם, מומלץ לפעול לפי ההנחיות האלה:

  • משתמשים ברכיבי HTML סמנטיים כמו <form>,‏ <label> ו-<button>.
  • מוודאים שהתוויות מקושרות בצורה תקינה לרכיבי הקלט באמצעות המאפיינים for ו-id.
  • הצגת כללי סיסמה עם מאפיינים כמו minlength או pattern, ומתן הנחיות מוטבעות.
  • להציג הודעת אישור או הודעת שגיאה בסמוך לטופס.