Ottimizza il tuo sito web in modo che Gestore delle password di Google possa automatizzare le modifiche delle password per le credenziali compromesse.
La funzionalità Modifica automatica della password aiuta gli utenti ad aggiornare rapidamente le password compromesse nell'ambito di violazioni dei dati pubblici per gli utenti di Chrome desktop negli Stati Uniti. Quando Google rileva che una password salvata è stata esposta, Gestore delle password di Google può creare una sostituzione efficace e univoca e aggiornarla per i tuoi utenti.
La funzionalità compila il modulo di modifica della password del sito per l'utente con una nuova password sicura e la salva in Gestore delle password di Google, tutto in background. In questo modo, non è più necessario eseguire aggiornamenti manuali e gli utenti possono mantenere il proprio account al sicuro.
Esperienza utente
Quando un utente accede a un sito web supportato utilizzando una password compromessa, Gestore delle password di Google potrebbe offrire di cambiarla. Se accetta, inizia la procedura di modifica automatica della password.
La modifica automatica della password naviga nel sito web e completa l'aggiornamento della password per l'utente.
L'utente può annullarlo mentre è in corso. Al termine della procedura, la nuova password viene salvata in Gestore delle password di Google e collegata all'Account Google, quindi è disponibile su tutti i dispositivi sincronizzati.
Come vengono identificate le password compromesse
Quando un utente salva una password o accede a un sito, Chrome controlla se il nome utente e la password sono stati compromessi a causa di una violazione dei dati pubblici.
A questo scopo, Chrome utilizza una procedura che tutela la privacy per confrontare le tue credenziali criptate con un elenco di violazioni note. Se viene trovata una corrispondenza, Chrome notifica all'utente che la password è compromessa. Google non visualizza mai nomi utente o password reali. Per maggiori dettagli, puoi leggere come Google ti aiuta a proteggere i tuoi account dalle violazioni dei dati nel blog sulla sicurezza di Google.
Gli elenchi di password compromesse vengono creati in base alle violazioni dei dati pubblici e agli analisti della sicurezza.
Ottimizzazione per la modifica automatica delle password
Per ottimizzare il tuo sito web per la modifica automatica della password e migliorare la compatibilità con Google Password Manager e altri strumenti, implementa i seguenti standard web e best practice. Queste modifiche aiutano i browser e i gestori delle password a interagire in modo affidabile con i moduli correlati alle password.
Utilizzare un URL per la modifica della password noto
Utilizza il percorso /.well-known/change-password per pubblicizzare la posizione della pagina di modifica della password. Questo URL aiuta i browser e i gestori delle password, come Gestore delle password di Google, a indirizzare rapidamente gli utenti al posto giusto quando è necessario aggiornare una password.
Ad esempio:
https://yourdomain.com/.well-known/change-password In questo modo, si migliora l'esperienza utente e si supportano funzionalità come la modifica automatica della password. Il supporto di questo percorso aumenta la probabilità che il tuo sito sia compatibile con gli strumenti automatizzati.
L'URL /.well-known/change-password deve reindirizzare al modulo di modifica della password.
Puoi implementare il reindirizzamento in due modi:
- Lato server (consigliato):
- Configura il server web (ad esempio Apache o Nginx) in modo che emetta un reindirizzamento temporaneo utilizzando il codice di stato HTTP 302, 303 o 307.
- Evita di utilizzare il reindirizzamento permanente (301) nel caso in cui la destinazione cambi.
- Se l'utente non ha eseguito l'accesso, il reindirizzamento può portarlo prima a un flusso di accesso.
Aggiornamento dei metadati HTML (alternativa):
- Pubblica una pagina HTML di base nel percorso noto che esegue un reindirizzamento lato client:
<!DOCTYPE html> <html> <head> <meta http-equiv="refresh" content="0;url=https://example.com/settings/password"> <title>Redirecting...</title> </head> <body> <p>Redirecting you to the change password page...</p> </body> </html>- Il percorso
/.well-known/change-passwordnon deve ospitare il modulo effettivo di modifica della password. È destinato solo alla scoperta e al reindirizzamento. Per ulteriori dettagli, consulta la sezione Un URL noto per la modifica delle password.
Consulta l'articolo Aiutare gli utenti a cambiare facilmente le password aggiungendo un URL noto per la modifica delle password per scoprire di più sull'URL noto per la modifica delle password.
Utilizzare gli attributi di completamento automatico nei moduli
I browser e i gestori di password utilizzano l'attributo autocomplete per comprendere lo scopo dei campi del modulo. Questo attributo contribuisce a migliorare la precisione della compilazione automatica, consente la generazione di password ed è necessario per il corretto funzionamento di funzionalità come la modifica automatica della password.
Utilizza questi valori di autocomplete:
| Valore | Finalità | Utilizzo comune |
|---|---|---|
username | Identifica il nome utente dell'account | Accesso, registrazione, modifica della password |
current-password | Campo per la password esistente | Accesso, modifica della password |
new-password | Campo per una nuova password | Registrazione, modifica e reimpostazione della password |
Il seguente snippet di codice mostra un modulo di esempio con valori autocomplete:
... <form action="/change-password-handler" method="post"> <div> <label for="current-pw">Current password:</label> <input type="password" id="current-pw" name="current-password" autocomplete="current-password" required> </div> <div> <label for="new-pw">New password:</label> <input type="password" id="new-pw" name="new-password" autocomplete="new-password" required minlength="8" aria-describedby="password-constraints"> <div id="password-constraints">Minimum 8 characters.</div> </div> <div> <label for="confirm-pw">Confirm new password:</label> <input type="password" id="confirm-pw" name="confirm-password" autocomplete="new-password" required minlength="8"> </div> <button type="submit">Change password</button> </form> ... Best practice aggiuntive
Segui queste linee guida per migliorare l'usabilità e la compatibilità dei moduli di modifica della password:
- Utilizza elementi HTML semantici come
<form>,<label>e<button>. - Verifica che le etichette siano collegate correttamente agli input utilizzando gli attributi
foreid. - Mostra le regole per le password con attributi come
minlengthopatterne fornisci indicazioni in linea. - Visualizzare un messaggio di conferma o di errore in prossimità del modulo.