从安全角度出发,通过电子邮件向客户发送他们在注册过程中提供的密码,这是一种好习惯吗?
不,绝对不是!
我们是否经常为客户更改此设置?
不。不幸的是我们没有。我们可能应该这样做,但它通常是担忧列表中最低的一项。在过去的五年中,我只记得有一个客户问过这个问题。这是在收到来自客户的火热电子邮件之后,该客户对通过电子邮件发送给他们的密码不太满意,然后又质疑将站点的CC信息提供给网站下订单的安全性。
我强烈建议对任何新商店进行此更改。这花了很少的时间,我在下面提到的所谓“好处”不值得不安全地传输密码。
在新帐户电子邮件中包含密码是否有好处?
是的,有(尽管IMO并没有真正的好处)。这可能取决于站点的人口统计信息,但不幸的是,这里没有任何统计信息,但是人们会丢失密码。像我这样的人对所有事物都使用唯一的密码,并将其存储在钥匙串中,但是大多数人却不这样做,而是将它们写下在便笺上,用胶带粘贴到计算机上或通过电子邮件发送给自己。因无法登录而无法下订单的客户是丢失的订单/客户或不满意的客户,CSR必须帮助该客户使用该网站。
我绝对不是说这值得付出安全风险!从本质上来说,为什么它们首先出现在电子邮件中只是一个“原因”。
一个重要的事实是,人们仍然在许多不同的地方使用相同的密码。因此,即使您的特定网站上的单个客户帐户是否受到威胁也没关系,也可以使用密码来破坏具有更敏感性质的帐户。并不是说电子商务网站不包含PII,而是例如,它通常不包含与银行相同级别的敏感信息。
当存储信用卡信息以方便重新订购和购买时,单个电子商务商店的风险变得更大(与密码交叉定位无关)。它使您冒着未经授权的用户闯入帐户,使用客户信用卡购买商品以及将订单运送到其他地方的风险。
在这种情况下,使用哪个版本的Magento并不重要。我使用过的所有版本(包括EE 1.13)在创建初始帐户时都会通过电子邮件以明文形式发送客户的帐户密码。较新版本的密码重置电子邮件中未包含密码,而是选择了过期链接。但是,如果您在同样的情况下从管理员重置密码,则该密码以明文形式发送。
防止在帐户注册电子邮件中发送密码非常简单,可以通过以下几个简单的步骤由Magento管理员轻松完成:
转到系统>交易电子邮件
点击添加新模板按钮
从模板下拉列表中,选择“新帐户”
通过单击“加载模板”按钮将模板加载到表单中
在模板中找到以下代码行并将其删除:
<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
在模板中编辑副本,以更好地反映电子邮件的性质。如果没有密码,则默认模板的某些部分(例如:“以下值”)将不起作用。