Có phải là một thực hành tốt (từ quan điểm bảo mật) để gửi cho khách hàng mật khẩu họ đã cung cấp trong quá trình đăng ký qua email?
Không, nó chắc chắn là không!
Chúng tôi có thường xuyên thay đổi điều này cho khách hàng?
Không may là chúng tôi không. Có lẽ chúng ta nên, nhưng nó thường là một trong những mục thấp nhất trong danh sách lo lắng. Trong 5 năm qua, tôi chỉ nhớ lại một khách hàng hỏi về điều này. Đó là sau khi nhận được một email bốc lửa từ một khách hàng không hài lòng về mật khẩu của họ đã được gửi qua email cho họ, và sau đó họ đã đặt câu hỏi về tính bảo mật của việc cung cấp cho trang web thông tin CC của họ để đặt hàng.
Tôi rất khuyên bạn nên thực hiện thay đổi này cho bất kỳ cửa hàng mới. Nó đáng giá ít thời gian và "lợi ích" được cho là mà tôi đề cập dưới đây không đáng để mạo hiểm khi truyền mật khẩu không an toàn.
Có lợi ích gì trong việc bao gồm mật khẩu trong email tài khoản mới không?
Vâng, có (mặc dù IMO họ không thực sự có lợi). Điều này có thể phụ thuộc vào nhân khẩu học của một số trang web và tôi không may không có bất kỳ số liệu thống kê nào ở đây, nhưng mọi người bị mất mật khẩu. Những người như tôi sử dụng mật khẩu duy nhất cho mọi thứ và lưu trữ chúng trong móc khóa, nhưng hầu hết mọi người không, thay vào đó họ viết chúng ra trên các ghi chú dán, dán chúng vào máy tính hoặc gửi email cho chính họ. Một khách hàng không thể đặt hàng vì họ không thể đăng nhập là một đơn hàng / khách hàng bị mất hoặc một khách hàng không hài lòng mà CSR phải giúp sử dụng trang web.
Tôi hoàn toàn không nói rằng nó làm cho nó có giá trị rủi ro bảo mật! Đó chỉ là một "lý do" cho mỗi lý do tại sao họ ở trong email ngay từ đầu.
Một điều quan trọng xuất hiện là một thực tế đơn giản là mọi người vẫn sử dụng cùng một mật khẩu ở nhiều nơi khác nhau. Vì vậy, ngay cả khi không có vấn đề gì nếu một tài khoản khách hàng trên trang web cụ thể của bạn bị xâm phạm, mật khẩu có thể được sử dụng để thỏa hiệp các tài khoản có thể có tính chất nhạy cảm hơn. Không phải là một trang web thương mại điện tử không chứa PII, nhưng nó thường không chứa cùng một mức thông tin nhạy cảm mà một ngân hàng sẽ lấy, chẳng hạn.
Rủi ro đối với cửa hàng Thương mại Điện tử riêng lẻ trở nên lớn hơn (không phụ thuộc vào chính sách chéo mật khẩu) khi thông tin thẻ tín dụng đang được lưu trữ để cho phép đặt hàng và mua lại dễ dàng hơn. Nó mở ra cho bạn nguy cơ có những người dùng không được phép xâm nhập vào tài khoản, mua bằng thẻ tín dụng của khách hàng và giao hàng ở nơi khác.
Phiên bản nào của Magento đang được sử dụng, trong trường hợp này, không quan trọng lắm. Tất cả các phiên bản tôi đã làm việc với (bao gồm EE 1.13) gửi mật khẩu tài khoản của khách hàng ở dạng văn bản rõ ràng qua email khi tạo tài khoản ban đầu. Các phiên bản mới hơn không bao gồm mật khẩu trong email đặt lại mật khẩu và thay vào đó chọn một liên kết hết hạn. Nhưng nếu bạn đặt lại mật khẩu từ quản trị viên, tình huống tương tự, nó sẽ được gửi trong văn bản rõ ràng.
Ngăn chặn mật khẩu được gửi trong email đăng ký tài khoản khá đơn giản và có thể dễ dàng thực hiện từ quản trị viên Magento bằng cách làm theo một số bước đơn giản:
Chuyển đến Hệ thống> Email giao dịch
Nhấp vào nút Thêm mẫu mới
Từ mẫu thả xuống, chọn "Tài khoản mới"
Tải mẫu vào biểu mẫu bằng cách nhấp vào nút Tải mẫu
Tìm dòng mã sau trong mẫu và xóa nó:
<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
Chỉnh sửa bản sao trong mẫu để phản ánh tốt hơn bản chất của email. Các phần của mẫu mặc định (Ví dụ: "các giá trị sau") sẽ không có ý nghĩa nếu không có mật khẩu ...