Bir müşteriye e-posta yoluyla kayıt sırasında verdikleri şifreyi göndermek güvenlik açısından iyi bir uygulama mıdır?
Hayır, kesinlikle değil!
Bunu müşteriler için sık sık değiştirir miyiz?
Hayır. Ne yazık ki yapmıyoruz. Muhtemelen yapmalıyız, ama genellikle endişe listesindeki en düşük maddelerden biri. Son 5 yılda, sadece bunu soran tek bir müşteriyi hatırlıyorum. Parolalarının kendisine e-postayla gönderilmesinden çok memnun olmayan ve daha sonra siteye CC bilgilerini sipariş vermek için vermiş olmalarının güvenliğini sorgulayan bir müşteriden ateşli bir e-posta aldıktan sonraydı.
Herhangi bir yeni mağaza için bu değişikliği yapmanızı şiddetle tavsiye ederim. Bu biraz zamana değer ve aşağıda bahsettiğim sözde "faydalar", şifreyi güvenli bir şekilde iletme riskine değmez.
Yeni hesap e-postasında şifreyi eklemenin faydaları var mı?
Evet, var (IMO'ya rağmen gerçekten faydaları yok). Bu, muhtemelen sitenin demografik özelliklerine bağlıdır ve maalesef burada herhangi bir istatistik yok, ancak insanlar şifrelerini kaybediyor. Benim gibi insanlar her şey için benzersiz şifreler kullanıyor ve bunları anahtarlıklarda saklıyorlar, ancak çoğu insan kullanmıyor, yapışkan notlara yazıyor, bilgisayarlara yapıştırıyor veya kendilerine e-posta ile göndermiyorlar. Giriş yapamadığı için sipariş veremeyen bir müşteri, bir CSR'nin siteyi kullanmasına yardımcı olması gereken kayıp bir sipariş / müşteri veya mutsuz bir müşteridir.
Kesinlikle güvenlik riskine değeceğini bile söylemiyorum! Bu sadece e-postalarda ilk etapta olmalarının nedeni bir "sebep".
Oyuna giren en büyük şey, insanların hala aynı şifreyi birçok farklı yerde kullanmalarıdır. Dolayısıyla, kendi web sitenizdeki tek bir müşteri hesabının riske atılması önemli olmasa bile, daha hassas bir yapıya sahip olabilecek hesapları tehlikeye atmak için şifre kullanılabilir. Bir e-Ticaret sitesinin PII içermediğinden değil, tipik olarak bir bankanın alabileceği aynı hassas bilgileri içermez.
Bireysel e-Ticaret mağazası için risk, kredi kartı bilgileri daha kolay sipariş ve satın alma sağlamak için saklanırken (şifre çapraz polinasyonundan bağımsız olarak) daha da büyük bir hal alır. Bu, sizi yetkisiz kullanıcıların hesaba girme, müşterilerin kredi kartından satın alma ve siparişlerin başka bir yere gönderilme riskine yol açar.
Bu durumda, Magento'nun hangi versiyonunun kullanıldığı önemli değildir. Çalıştığım tüm sürümler (EE 1.13 dahil), ilk hesap oluşturulduktan sonra müşterinin hesap şifresini e-posta yoluyla açık metin olarak gönderir. Yeni sürümler, parola sıfırlama e-postalarına parolayı içermez ve bunun yerine süresi dolmuş bir bağlantıyı seçer. Ancak şifreyi yönetici tarafından sıfırlarsanız, aynı durumda, açık metin olarak gönderilir.
Parolanın hesap kayıt e-postalarında gönderilmesini engellemek oldukça basittir ve birkaç basit adımı izleyerek Magento yöneticisinden kolayca yapılabilir:
Sistem> İşlemsel E-postalar
Yeni Şablon Ekle düğmesini tıklayın
Şablon açılır listesinden "Yeni hesap" seçeneğini seçin
Şablonu Yükle düğmesini tıklatarak şablonu forma yükleyin
Aşağıdaki kod satırını şablonda bulun ve kaldırın:
<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
E-postanın yapısını daha iyi yansıtmak için şablondaki kopyayı düzenleyin. Varsayılan şablonun bölümleri (Örn: "aşağıdaki değerleri"), parola mevcut olmazsa ...