Web-Technik 26.03.2021
well-known: 'change password' - URL sollte jede Website haben
Seit dem Aufkommen von Passwort-Managern und den Prüfdatenbanken für gehackte Passwörter ist das Ändern von Kennwörtern bei Bedarf ein größeres Interesse. Auch die Browser haben das erkannt.Und so wollen Browser und Passwort-Manager das Ändern von Passwörtern möglichst einfach machen, sobald ein Sicherheitsleck bekannt wird. Sie melden dann, dass für eine Website ein neues Passwort erforderlich ist und man es demnächst bitte ändern möge.
Links & Fotos zum Text...
Nun stellt sich für die Software aber die Frage, wohin sie den User zum Ändern des Passwortes leiten solle. Bekannt ist dem Browser nur die zuständige Domain (also die URL zur Startseite), nicht aber die Seite mit den Einstellungen des Passwortes. Ein Standard, den die meisten Browser und Passwortmanager aber seit kurzer Zeit kennen, hilft weiter.
Definiert wurde einfach eine Standard-URL zum Passwortmanagement. Ist diese vorhanden und leitet weiter zum Änderungsformular, so kann ein Browser für eine Website abtesten, ob es eine Möglichkeit dafür gibt und wohin ein User zu leiten ist.
www. ... .at/.well-known/change-password
Eine Adresse in exakt diesem Muster sollte also auf der eigenen Homepage vorhanden sein, sollte es ein Login geben. Das Script an dieser Adresse muss nun nur noch eine Weiterleitung (302 wäre perfekt) zum Formular bieten, das die Änderung ermöglicht. Das .well-known-Verzeichnis muss laut RFC 8615 immer an höchster Verzeichnisebene starten, also direkt hinter der Domain im Root-Verzeichnis des Webs starten. Fertig!
Wer es nun noch den Passwort-Managern leichter machen will, das alte vom neuen Passwort in den Eingabefeldern zu unterscheiden (und daher das neue Passwort leichter speichern kann), sollte im HTML-Formular auch noch eine entsprechende Kennzeichnung vornehmen. Hierzu wird das alte Passwort im Input-Tag mit einem autocomplete='current-password' gekennzeichnet (und dann meist vorausgefüllt), das neue hingegen mit autocomplete='new-password' (zum Speichern markiert). Programme und der User haben es dann besonders einfach, eine Änderung vorzunehmen.
Die Möglichkeit, diese Standard-URL und die Eingabefelder auf diese Art zu nutzen, gibt es seit Ende 2019 bis Mitte 2020 in den wesentlichen Browsern und Passwortmanagern. Solche Unterstützung einzurichten hat keine Nachteile oder Inkompatibilitäten mit alter Software, kann also bedenkenlos implementiert werden.
Weiter in der Web-Version mit Fotos, Videos, Links und mehr...
#Passwort #Software #Browser #Sicherheit #HTML
Auch interessant!
Login-Bereich für Passwortmanager auf mehrere Domains erweitern
Der Google Chrome Passwortmanager ist praktisch, um die Logindaten zwischenspeichern zu können. Und ab so...
Wurde mein Passwort geknackt?
Phishing und Hacker: Ob das eigene Konto gehackt wurde, kann man mit Datenbanken bekannter Leaks überprüf...
Chrome warnt besser
Der Google-Browser Chrome warnt Smartphone-Nutzer ab jetzt vor gehackten Passwörtern....
Die unsichersten Passwörter der Welt
Die gehackten Daten von Yahoo erlauben eine Top-Liste für die Sicherheit. Ermittelt wurden die häufigst g...