Паролі для реєстрації електронною поштою. Погана практика? PCI сумісні?

Ми використовуємо Magento Enterprise (1.12), і у мене було декілька клієнтів, які мені вже скаржилися, що вони отримали свій пароль електронною поштою під час реєстрації в акаунті. Я знаю, що це вважається поганою практикою, але Magento виходить з коробки.

Я збираюся його змінити і видалити з шаблону електронної пошти, що досить легко, але мені було просто цікаво, чому Magento робить це, якщо це давно вважається поганою практикою? Я знаю, що в обліковому записі користувачів зберігається мало чутливої ​​інформації, і ми робимо перевірку кредитних карток, але "Magento Enterprise робить це так, тож повинно бути добре". мені здається поганою відповіддю, щоб дати ..

Крім того, чи багато розробників Magento роблять це частим виправленням "списку справ" під час створення нового сайту Magento, як-от видалення перевірки телефону?

Чи є гарною практикою (з точки зору безпеки) надсилати клієнтові пароль, який він надав під час реєстрації електронною поштою?

Ні, це, безумовно, немає!

Чи часто ми змінюємо це для клієнтів?

Ні. На жаль, ми цього не робимо. Ми, мабуть, повинні, але це, як правило, один із найнижчих пунктів у списку турбот. За останні 5 років я згадую лише одного клієнта, який запитував про це. Це було після отримання вогняного електронного листа від замовника, який не надто задоволений тим, що їх пароль був надісланий їм електронною поштою, і який потім розпитував про безпеку, надавши сайту свою інформацію про КС, щоб зробити замовлення.

Я б дуже рекомендував вносити ці зміни в будь-який новий магазин. Варто небагато часу, і передбачувані «переваги», про які я згадую нижче, не варті ризику невпевнено передати пароль.

Чи є переваги включити пароль до нового електронного листа облікового запису?

Так, є (хоча ІМО вони не справді вигідні). Це, мабуть, залежить від демографічної ситуації деяких сайтів, і я, на жаль, не маю тут ніякої статистики, але люди втрачають паролі. Такі люди, як я, використовують унікальні паролі для всього і зберігають їх у брелках, але більшість людей цього не роблять, а записують їх на клейких нотатках, записують їх на комп’ютери або надсилають електронною поштою. Клієнт, який не може зробити замовлення, тому що не може увійти, це або втрачений замовлення / клієнт, або нещасний клієнт, якому КСВ повинен допомогти користуватися сайтом.

Я абсолютно не кажу, що це робить вартим ризик для безпеки! Це просто "причина", чому вони в електронних листах в першу чергу.

Важливою справою є простий факт, що люди все ще використовують один і той же пароль у багатьох місцях. Тож навіть якщо це не має значення, якщо один із клієнтських облікових записів на вашому конкретному веб-сайті порушено, пароль можна використовувати для компрометації облікових записів, які можуть мати більш чутливий характер. Справа не в тому, що сайт електронної комерції не містить PII, але він, як правило, не містить того самого рівня конфіденційної інформації, як, наприклад, банк.

Ризик для окремого магазину електронної комерції стає набагато грандіознішим (незалежно від перехресного полірування паролем), коли зберігається інформація про кредитні картки, що дозволяє легше переоформити замовлення та придбати їх. Це відкриває перед вами ризик потрапляння сторонніх користувачів до облікового запису, придбання на кредитній картці клієнтів та доставки замовлення в іншому місці.

Яка версія Magento використовується, в даному випадку не має великого значення. Усі версії, з якими я працював (включаючи EE 1.13), надсилають пароль облікового запису клієнта в чіткому тексті електронною поштою при первинному створенні облікового запису. Новіші версії не включають пароль у електронні листи для скидання пароля і замість цього вибирають посилання, що закінчується. Але якщо ви скинете пароль від адміністратора, така ж ситуація, він надсилається в чіткому тексті.

Запобігти розсилці пароля в електронних листах з реєстрацією облікового запису досить просто, і їх можна легко виконати у адміністратора Magento, виконавши кілька простих кроків:

1. Перейдіть до системи> Електронна пошта для транзакцій

2. Натисніть кнопку Додати новий шаблон

3. У спадному меню Шаблон виберіть "Новий рахунок"

4. Завантажте шаблон у форму, натиснувши кнопку Завантажити шаблон

5. Знайдіть у шаблоні наступний рядок коду та видаліть його:

   <strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

6. Відредагуйте копію в шаблоні, щоб краще відобразити характер електронної пошти. Частини шаблону за замовчуванням (напр .: "наступні значення") не матимуть сенсу без наявності пароля ...

Оскільки ~ 1.6.1-rc CE Magento постачається з двома різними шаблонами для скидання пароля . В одному є простий текст пароля, в іншому посилання для скидання. Ім'я файлу шаблону посилання для скидання - account_password_reset_confirmation.htmlпід час виклику файлу електронної пошти з простим текстомpassword_new.html

Йти до:

System > Configuration > Customers > Customer Configuration > Password Options

Змініть значення "Забутий шаблон електронної пошти" на "Забутий пароль (Шаблон за замовчуванням з локальної мови").

Редагувати

Після повторного читання (і @davidalger є таким поважним) я, можливо, неправильно трактував. Однак видалити поле нагадування про пароль також легко в новому електронному листі для реєстрації клієнта. Відредагуйте рядок (~ рядок 34):

<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

У файлі app/locale/en_US/template/email/account_new.html.

Або просто підтвердіть і прийміть відповідь @ davidalger, тому що він цього заслуговує!

Зауважте, що в 1.9.x (а може і раніше) є ще один шаблон (крім

Новий шаблон облікового запису), щоб змінити: темп нового ключа підтвердження акаунта

пізніше також надсилає пароль чітким текстом.

Зауважте, що в 1.9.x (а може і раніше) є ще один шаблон (крім New Accountшаблону), який потрібно змінити: New Account Confirmation Keyшаблон також надсилає пароль чітким текстом.