Se usó la API de Cloud Translation para traducir esta página.

Optimizaciones para el cambio automatizado de contraseña

Optimiza tu sitio web para que el Administrador de contraseñas de Google pueda automatizar los cambios de contraseñas de credenciales hackeadas.

José Luis Zapata

Ece Scheuss

El cambio automático de contraseña ayuda a los usuarios a actualizar rápidamente las contraseñas que se encontraron en las filtraciones públicas de datos para los usuarios de Chrome en computadoras de escritorio en EE.UU. Cuando Google detecta que se expuso una contraseña guardada, el Administrador de contraseñas de Google puede crear un reemplazo seguro y único, y actualizarlo para tus usuarios.

La función completa el formulario de cambio de contraseña del sitio para el usuario con una contraseña nueva y segura, y la guarda en el Administrador de contraseñas de Google, todo en segundo plano. Esto elimina la necesidad de realizar actualizaciones manuales y ayuda a los usuarios a mantener su cuenta protegida.

Experiencia del usuario

Cuando un usuario accede a un sitio web compatible con una contraseña hackeada, es posible que el Administrador de contraseñas de Google le ofrezca cambiarla. Si acepta, se iniciará el proceso de cambio de contraseña automático.

El cambio automatizado de contraseña navega por el sitio web y completa la actualización de la contraseña para el usuario.

El usuario puede cancelar la operación mientras se realiza. Una vez que finalice el proceso, la nueva contraseña se guardará en el Administrador de contraseñas de Google del usuario y se vinculará a su Cuenta de Google, por lo que estará disponible en todos los dispositivos sincronizados.

Cómo se identifican las contraseñas hackeadas

Cuando un usuario guarda una contraseña o accede a un sitio, Chrome verifica si el nombre de usuario y la contraseña aparecieron en una violación de la seguridad de los datos pública.

Para ello, Chrome usa un proceso que preserva la privacidad para comparar tus credenciales encriptadas con una lista de filtraciones conocidas. Si se encuentra una coincidencia, Chrome notifica al usuario que la contraseña está vulnerada. Google nunca ve los nombres de usuario ni las contraseñas reales. Para obtener más detalles, puedes leer sobre cómo Google ayuda a proteger tus cuentas de las filtraciones de datos en el Blog de seguridad de Google.

Las listas de contraseñas vulneradas se establecen a partir de violaciones de la seguridad de los datos públicas y analistas de seguridad.

Optimización para el cambio automatizado de contraseña

Para optimizar tu sitio web para el Cambio de contraseña automático y mejorar la compatibilidad con el Administrador de contraseñas de Google y otras herramientas, implementa los siguientes estándares web y prácticas recomendadas. Estos cambios ayudan a los navegadores y administradores de contraseñas a interactuar de forma confiable con los formularios relacionados con contraseñas.

Usa una URL de cambio de contraseña conocida

Usa la ruta de acceso /.well-known/change-password para promocionar la ubicación de tu página de cambio de contraseña. Esta URL ayuda a los navegadores y administradores de contraseñas, como el Administrador de contraseñas de Google, a dirigir rápidamente a los usuarios al lugar correcto cuando se necesita actualizar una contraseña.

Por ejemplo:

https://yourdomain.com/.well-known/change-password

Esto mejora la experiencia del usuario y admite funciones como el cambio de contraseña automático. Admitir esta ruta aumenta la probabilidad de que tu sitio sea compatible con las herramientas automatizadas.

La URL /.well-known/change-password debe redireccionar a tu formulario de cambio de contraseña.

Puedes implementar el redireccionamiento de dos maneras:

Del servidor (recomendado):
- Configura tu servidor web (como Apache o Nginx) para que emita un redireccionamiento temporal con el código de estado HTTP 302, 303 o 307.
- Evita usar el redireccionamiento 301 (redireccionamiento permanente) en caso de que cambie el destino.
- Si el usuario no accedió, el redireccionamiento puede llevarlo primero a un flujo de acceso.
Actualización de metadatos HTML (alternativa):
- Publica una página HTML básica en la ruta de acceso conocida que realice un redireccionamiento del cliente:
```
<!DOCTYPE html>
<html>
<head>
  <meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
  <title>Redirecting...</title>
</head>
<body>
  <p>Redirecting you to the change password page...</p>
</body>
</html>
```
- La ruta de acceso /.well-known/change-password no debe alojar el formulario de cambio de contraseña real. Solo se usa para el descubrimiento y el redireccionamiento. Consulta Una URL conocida para cambiar contraseñas para obtener más detalles.

Consulta el artículo Ayuda a los usuarios a cambiar contraseñas fácilmente agregando una URL conocida para cambiar contraseñas para obtener más información sobre la URL conocida para cambiar contraseñas.

Cómo usar atributos de autocompletado en formularios

Los navegadores y los administradores de contraseñas usan el atributo autocomplete para comprender el propósito de los campos de formulario. Este atributo ayuda a mejorar la precisión del autocompletado, habilita la generación de contraseñas y es necesario para que funciones como el cambio de contraseña automatizado funcionen de manera confiable.

Usa estos valores de autocomplete:

Valor	Objetivo	Uso común
`username`	Identifica el nombre de usuario de la cuenta.	Acceso, registro y cambio de contraseña
`current-password`	Campo para la contraseña existente	Acceso y cambio de contraseña
`new-password`	Campo para una contraseña nueva	Registro, cambio y restablecimiento de contraseña

En el siguiente fragmento de código, se muestra un formulario de ejemplo con valores de autocomplete:

...
<form action="/https/developer.chrome.google.cn/change-password-handler" method="post">
  <div>
    <label for="current-pw">Current password:</label>
    <input type="password" id="current-pw" name="current-password"
           autocomplete="current-password" required>
  </div>

  <div>
    <label for="new-pw">New password:</label>
    <input type="password" id="new-pw" name="new-password"
           autocomplete="new-password" required minlength="8"
           aria-describedby="password-constraints">
    <div id="password-constraints">Minimum 8 characters.</div>
  </div>

  <div>
    <label for="confirm-pw">Confirm new password:</label>
    <input type="password" id="confirm-pw" name="confirm-password"
           autocomplete="new-password" required minlength="8">
  </div>

  <button type="submit">Change password</button>
</form>
...

Prácticas recomendadas adicionales

Sigue estos lineamientos para mejorar la usabilidad y la compatibilidad de tus formularios de cambio de contraseña:

Usa elementos HTML semánticos, como <form>, <label> y <button>.
Verifica que las etiquetas estén vinculadas correctamente a las entradas con los atributos for y id.
Mostrar reglas de contraseñas con atributos como minlength o pattern, y proporcionar orientación intercalada
Mostrar un mensaje de confirmación o de error cerca del formulario