È buona norma (dal punto di vista della sicurezza) inviare a un cliente la password fornita durante la registrazione via e-mail?
No, sicuramente no!
Cambiamo spesso questo per i clienti?
No. Purtroppo no. Probabilmente dovremmo, ma in genere è uno degli elementi più bassi nell'elenco delle preoccupazioni. Negli ultimi 5 anni, ricordo solo un singolo cliente che lo chiedeva. Fu dopo aver ricevuto un'e-mail infuocata da un cliente che non era molto contento della password che gli era stata inviata e che quindi metteva in dubbio la sicurezza di aver dato al sito le sue informazioni CC per effettuare un ordine.
Consiglio vivamente di apportare questa modifica per qualsiasi nuovo negozio. Vale la pena dedicare poco tempo e i presunti "vantaggi" che cito di seguito non valgono i rischi della trasmissione non sicura della password.
Ci sono dei vantaggi nell'includere la password nell'email del nuovo account?
Sì, ci sono (anche se IMO non sono veramente utili). Questo probabilmente dipende dall'andamento demografico del sito, e sfortunatamente non ho statistiche qui, ma le persone perdono le password. Persone come me usano password uniche per tutto e le archiviano in portachiavi, ma la maggior parte delle persone non le scrive, anzi le annotano su foglietti adesivi, le registrano su computer o le inviano per e-mail a se stesse. Un cliente che non può effettuare un ordine perché non può accedere è un ordine / cliente perso o un cliente infelice che un CSR deve aiutare a utilizzare il sito.
Non sto assolutamente dicendo che valga la pena rischiare la sicurezza! È solo una "ragione" di per sé perché sono in primo luogo nelle e-mail.
Una cosa importante che entra in gioco è il semplice fatto che le persone usano ancora la stessa password in molti luoghi diversi. Quindi, anche se non importa se un singolo account cliente sul tuo particolare sito Web è compromesso, la password può essere utilizzata per compromettere account che potrebbero essere di natura più sensibile. Non che un sito di e-commerce non contenga PII, ma in genere non contiene lo stesso livello di informazioni sensibili che una banca, ad esempio.
Il rischio per il singolo negozio di eCommerce diventa molto più grande (indipendentemente dall'impostazione incrociata della password) quando vengono archiviate le informazioni della carta di credito per facilitare il riordino e l'acquisto. Ti apre al rischio di avere utenti non autorizzati che entrano nell'account, acquistano su una carta di credito dei clienti e spediscono l'ordine altrove.
Quale versione di Magento viene utilizzata, in questo caso, non importa molto. Tutte le versioni con cui ho lavorato (incluso EE 1.13) inviano la password dell'account del cliente in chiaro tramite e-mail al momento della creazione dell'account iniziale. Le versioni più recenti non includono la password nelle e-mail di reimpostazione della password e optano invece per un collegamento in scadenza. Ma se reimposti la password dall'amministratore, stessa situazione, viene inviata in chiaro.
Prevenire l'invio della password nelle e-mail di registrazione dell'account è piuttosto semplice e può essere facilmente eseguito dall'amministratore di Magento seguendo alcuni semplici passaggi:
Vai a Sistema> Email transazionali
Fai clic sul pulsante Aggiungi nuovo modello
Dal menu a discesa Modello, seleziona "Nuovo account"
Caricare il modello nel modulo facendo clic sul pulsante Carica modello
Trova la seguente riga di codice nel modello e rimuovilo:
<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
Modifica la copia nel modello per riflettere meglio la natura dell'email. Parti del modello predefinito (es: "seguenti valori") non avranno senso senza la password presente ...