Эта страница переведена с помощью Cloud Translation API.

Оптимизации для автоматической смены паролей

Оптимизируйте свой веб-сайт, чтобы Google Password Manager мог автоматизировать смену паролей для скомпрометированных учетных данных.

José Luis Zapata

Ece Scheuss

Автоматическая смена паролей помогает пользователям Chrome для ПК в США быстро обновлять пароли, обнаруженные в результате утечек общедоступных данных. Когда Google обнаруживает, что сохранённый пароль был раскрыт, Менеджер паролей Google может создать надёжную и уникальную замену и обновить её для ваших пользователей.

Эта функция заполняет форму смены пароля на сайте для пользователя новым надёжным паролем и сохраняет его в Менеджере паролей Google. Всё это происходит в фоновом режиме. Это устраняет необходимость ручного обновления и помогает пользователям обеспечивать безопасность своих учётных записей.

Пользовательский опыт

Когда пользователь входит на поддерживаемый сайт, используя скомпрометированный пароль, Google Password Manager может предложить сменить пароль. Если пользователь соглашается, запускается процесс автоматической смены пароля.

Автоматизированная смена пароля осуществляет навигацию по веб-сайту и завершает обновление пароля для пользователя.

Пользователь может отменить его в процессе. После завершения процесса новый пароль сохраняется в Менеджере паролей Google и привязывается к учётной записи Google, становясь доступным на всех синхронизированных устройствах.

Как выявляются скомпрометированные пароли

Когда пользователь сохраняет пароль или входит на сайт, Chrome проверяет, не фигурировали ли имя пользователя и пароль в утечке публичных данных.

Для этого Chrome использует процесс сохранения конфиденциальности, сравнивая ваши зашифрованные учётные данные со списком известных утечек. Если обнаруживается совпадение, Chrome уведомляет пользователя о том, что пароль скомпрометирован. Google никогда не видит фактические имена пользователей и пароли. Подробнее о том, как Google защищает ваши учётные записи от утечек данных, можно прочитать в блоге Google по безопасности .

Списки скомпрометированных паролей составляются аналитиками по утечкам публичных данных и безопасности.

Оптимизация для автоматической смены паролей

Чтобы оптимизировать ваш сайт для автоматической смены паролей и улучшить совместимость с Google Password Manager и другими инструментами, внедрите следующие веб-стандарты и рекомендации. Эти изменения помогут браузерам и менеджерам паролей надёжно взаимодействовать с формами, связанными с паролями.

Используйте известный URL для смены пароля

Используйте путь /.well-known/change-password для указания местоположения страницы смены пароля. Этот URL-адрес помогает браузерам и менеджерам паролей, таким как Google Password Manager, быстро направлять пользователей на нужную страницу, когда требуется обновить пароль.

Например:

https://yourdomain.com/.well-known/change-password

Это улучшает пользовательский опыт и поддерживает такие функции, как автоматическая смена паролей. Поддержка этого пути повышает вероятность совместимости вашего сайта с автоматизированными инструментами.

URL-адрес /.well-known/change-password должен перенаправлять на форму изменения пароля.

Реализовать перенаправление можно двумя способами:

На стороне сервера (рекомендуется) :
- Настройте свой веб-сервер (например, Apache или Nginx) для выполнения временного перенаправления с использованием кода статуса HTTP 302, 303 или 307.
- Избегайте использования 301 (постоянное перенаправление) на случай изменения пункта назначения.
- Если пользователь не вошел в систему, перенаправление может сначала перенаправить его на процедуру входа в систему.
Обновление метаданных HTML (альтернатива) :
- Разместите простую HTML-страницу по известному пути, которая выполняет перенаправление на стороне клиента:
```
<!DOCTYPE html> <html> <head>   <meta http-equiv="refresh" content="0;url=https://example.com/settings/password">   <title>Redirecting...</title> </head> <body>   <p>Redirecting you to the change password page...</p> </body> </html> 
```
- Путь /.well-known/change-password не должен содержать саму форму смены пароля. Он предназначен только для поиска и перенаправления. Подробнее см. в разделе «Известный URL для смены паролей» .

Дополнительную информацию об известном URL-адресе для смены пароля см. в статье Помогите пользователям легко менять пароли, добавив известный URL-адрес для смены паролей.

Используйте атрибуты автозаполнения в формах

Браузеры и менеджеры паролей используют атрибут autocomplete для определения назначения полей форм. Этот атрибут помогает повысить точность автозаполнения, обеспечивает генерацию паролей и необходим для надёжной работы таких функций, как автоматическая смена паролей.

Используйте следующие значения autocomplete :

Ценить	Цель	Общее использование
`username`	Определяет имя пользователя учетной записи	Вход, регистрация, смена пароля
`current-password`	Поле для существующего пароля	Вход, смена пароля
`new-password`	Поле для нового пароля	Регистрация, смена пароля, сброс

В следующем фрагменте кода показан пример формы с autocomplete значений:

... <form action="/change-password-handler" method="post">   <div>     <label for="current-pw">Current password:</label>     <input type="password" id="current-pw" name="current-password"            autocomplete="current-password" required>   </div>    <div>     <label for="new-pw">New password:</label>     <input type="password" id="new-pw" name="new-password"            autocomplete="new-password" required minlength="8"            aria-describedby="password-constraints">     <div id="password-constraints">Minimum 8 characters.</div>   </div>    <div>     <label for="confirm-pw">Confirm new password:</label>     <input type="password" id="confirm-pw" name="confirm-password"            autocomplete="new-password" required minlength="8">   </div>    <button type="submit">Change password</button> </form> ...

Дополнительные рекомендации

Следуйте этим рекомендациям , чтобы улучшить удобство использования и совместимость форм смены пароля:

Используйте семантические элементы HTML, такие как <form> , <label> и <button> .
Проверьте, что метки правильно связаны с входными данными с помощью атрибутов for и id .
Показывать правила создания паролей с такими атрибутами, как minlength или pattern , а также предоставлять встроенные инструкции.
Отобразить подтверждение или сообщение об ошибке рядом с формой.