Ta strona została przetłumaczona przez Cloud Translation API.

Optymalizacje automatycznego zmieniania hasła

Zoptymalizuj witrynę, aby Menedżer haseł Google mógł automatycznie zmieniać hasła w przypadku naruszenia bezpieczeństwa danych logowania.

José Luis Zapata

Ece Scheuss

Automatyczna zmiana hasła pomaga użytkownikom Chrome na komputerach w Stanach Zjednoczonych szybko aktualizować hasła, które zostały ujawnione w wyniku naruszenia bezpieczeństwa danych. Gdy Google wykryje, że zapisane hasło zostało ujawnione, Menedżer haseł Google może utworzyć silne, unikalne hasło zastępcze i zaktualizować je dla użytkowników.

Ta funkcja wypełnia formularz zmiany hasła na stronie nowym, silnym hasłem i zapisuje je w Menedżerze haseł Google. Wszystko to odbywa się w tle. Dzięki temu nie trzeba ręcznie aktualizować danych, co pomaga użytkownikom dbać o bezpieczeństwo konta.

Interfejs użytkownika

Gdy użytkownik zaloguje się w obsługiwanej witrynie, używając hasła, które zostało ujawnione w wyniku naruszenia bezpieczeństwa danych, Menedżer haseł Google może zaproponować jego zmianę. Jeśli użytkownik zaakceptuje prośbę, rozpocznie się proces automatycznej zmiany hasła.

Automatyczne zmienianie hasła umożliwia poruszanie się po witrynie i aktualizowanie hasła użytkownika.

Użytkownik może anulować tę operację w trakcie jej wykonywania. Po zakończeniu procesu nowe hasło zostanie zapisane w Menedżerze haseł Google i połączone z kontem Google, dzięki czemu będzie dostępne na wszystkich zsynchronizowanych urządzeniach.

Jak identyfikujemy przejęte hasła

Gdy użytkownik zapisuje hasło lub loguje się w witrynie, Chrome sprawdza, czy nazwa użytkownika i hasło zostały ujawnione w wyniku naruszenia bezpieczeństwa danych.

W tym celu Chrome używa procesu chroniącego prywatność, aby porównać Twoje zaszyfrowane dane logowania z listą znanych naruszeń bezpieczeństwa. Jeśli znajdzie dopasowanie, Chrome powiadomi użytkownika, że hasło zostało przejęte. Google nigdy nie widzi rzeczywistych nazw użytkownika ani haseł. Więcej informacji o tym, jak Google pomaga chronić konta przed wyciekami danych, znajdziesz na Blogu Google o bezpieczeństwie.

Listy przejętych haseł są tworzone na podstawie publicznych naruszeń bezpieczeństwa danych i analiz bezpieczeństwa.

Optymalizacja pod kątem automatycznego zmieniania hasła

Aby zoptymalizować witrynę pod kątem automatycznej zmiany hasła i zwiększyć jej zgodność z Menedżerem haseł Google i innymi narzędziami, wdróż te standardy internetowe i sprawdzone metody. Te zmiany pomagają przeglądarkom i menedżerom haseł niezawodnie wchodzić w interakcje z formularzami związanymi z hasłami.

Używanie znanego adresu URL do zmiany hasła

Użyj ścieżki /.well-known/change-password, aby reklamować lokalizację strony zmiany hasła. Ten adres URL pomaga przeglądarkom i menedżerom haseł, takim jak Menedżer haseł Google, szybko kierować użytkowników we właściwe miejsce, gdy trzeba zaktualizować hasło.

Na przykład:

https://yourdomain.com/.well-known/change-password

Zwiększa to wygodę użytkowników i umożliwia korzystanie z funkcji takich jak automatyczna zmiana hasła. Obsługa tej ścieżki zwiększa prawdopodobieństwo, że Twoja witryna będzie zgodna z narzędziami automatycznymi.

Adres URL /.well-known/change-password musi przekierowywać do formularza zmiany hasła.

Przekierowanie możesz wdrożyć na 2 sposoby:

Po stronie serwera (zalecane):
- Skonfiguruj serwer WWW (np. Apache lub Nginx), aby wysyłał tymczasowe przekierowanie za pomocą kodu stanu HTTP 302, 303 lub 307.
- Unikaj używania kodu 301 (przekierowanie trwałe), jeśli miejsce docelowe może się zmienić.
- Jeśli użytkownik nie jest zalogowany, przekierowanie może najpierw przenieść go do procesu logowania.
Odświeżanie metatagu HTML (alternatywne):
- Wyświetl podstawową stronę HTML w dobrze znanym miejscu, która wykonuje przekierowanie po stronie klienta:
```
<!DOCTYPE html>
<html>
<head>
  <meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
  <title>Redirecting...</title>
</head>
<body>
  <p>Redirecting you to the change password page...</p>
</body>
</html>
```
- Ścieżka /.well-known/change-password nie może zawierać rzeczywistego formularza zmiany hasła. Służy ona tylko do wykrywania i przekierowywania. Więcej informacji znajdziesz w artykule A Well-Known URL for Changing Passwords (Znany adres URL do zmiany haseł).

Więcej informacji o dobrze znanym adresie URL do zmiany hasła znajdziesz w artykule Ułatwianie użytkownikom zmiany haseł przez dodanie dobrze znanego adresu URL do zmiany haseł.

Używanie atrybutów autouzupełniania w formularzach

Przeglądarki i menedżery haseł używają atrybutu autocomplete, aby określić przeznaczenie pól formularza. Ten atrybut pomaga zwiększyć dokładność autouzupełniania, umożliwia generowanie haseł i jest wymagany do niezawodnego działania funkcji takich jak automatyczna zmiana hasła.

Użyj tych wartości autocomplete:

Wartość	Cel	Typowe zastosowanie
`username`	Identyfikuje nazwę użytkownika konta.	Logowanie, rejestracja, zmiana hasła
`current-password`	Pole obecnego hasła	Logowanie, zmiana hasła
`new-password`	Pole nowego hasła	Rejestracja, zmiana i resetowanie hasła

Poniższy fragment kodu przedstawia przykładowy formularz z wartościami autocomplete:

...
<form action="/change-password-handler" method="post">
  <div>
    <label for="current-pw">Current password:</label>
    <input type="password" id="current-pw" name="current-password"
           autocomplete="current-password" required>
  </div>

  <div>
    <label for="new-pw">New password:</label>
    <input type="password" id="new-pw" name="new-password"
           autocomplete="new-password" required minlength="8"
           aria-describedby="password-constraints">
    <div id="password-constraints">Minimum 8 characters.</div>
  </div>

  <div>
    <label for="confirm-pw">Confirm new password:</label>
    <input type="password" id="confirm-pw" name="confirm-password"
           autocomplete="new-password" required minlength="8">
  </div>

  <button type="submit">Change password</button>
</form>
...

Dodatkowe sprawdzone metody

Aby zwiększyć użyteczność i kompatybilność formularzy zmiany hasła, postępuj zgodnie z tymi wskazówkami:

Używaj semantycznych elementów HTML, takich jak <form>, <label> i <button>.
Sprawdź, czy etykiety są prawidłowo połączone z polami wejściowymi za pomocą atrybutów for i id.
Wyświetl reguły dotyczące haseł za pomocą atrybutów takich jak minlength lub pattern i podaj wskazówki w tekście.
Wyświetlaj komunikat z potwierdzeniem lub błędem w pobliżu formularza.