Является ли хорошей практикой (с точки зрения безопасности) отправлять клиенту пароль, который он указал при регистрации по электронной почте?
Нет, это определенно нет!
Мы часто меняем это для клиентов?
К сожалению, нет. Мы, вероятно, должны, но это, как правило, один из самых низких пунктов в списке беспокойства. За последние 5 лет я вспоминаю только одного клиента, который спрашивал об этом. Это было после получения пламенного электронного письма от клиента, который не очень обрадовался тому, что его пароль был отправлен им по электронной почте, и который затем подверг сомнению безопасность, предоставив сайту их данные CC для размещения заказа.
Я очень рекомендую сделать это изменение для любого нового магазина. Это стоит небольшого количества времени, и предполагаемые «преимущества», о которых я упоминаю ниже, не стоят рисков небезопасной передачи пароля.
Есть ли польза от включения пароля в новую учетную запись электронной почты?
Да, есть (хотя IMO они не очень полезны). Это, вероятно, зависит от демографической ситуации на сайте, и, к сожалению, у меня нет статистики, но люди теряют пароли. Такие люди, как я, используют уникальные пароли для всего и хранят их в цепочках для ключей, но большинство людей этого не делают, а записывают их на липкие заметки, прикрепляют к компьютерам или отправляют по электронной почте. Клиент, который не может разместить заказ из-за невозможности войти в систему, является либо потерянным заказом / клиентом, либо недовольным клиентом, которому CSR должен помочь в использовании сайта.
Я абсолютно не говорю, что это стоит риска для безопасности! Это просто «причина» как таковая, почему они в первую очередь в электронных письмах.
Важной вещью, которая вступает в игру, является тот простой факт, что люди все еще используют один и тот же пароль во многих разных местах. Таким образом, даже если не имеет значения, была ли взломана одна учетная запись клиента на вашем конкретном веб-сайте, пароль можно использовать для взлома учетных записей, которые могут иметь более чувствительный характер. Не то чтобы сайт электронной коммерции не содержал PII, но, как правило, он не содержал такой же уровень конфиденциальной информации, как, например, банк.
Риск для отдельного магазина электронной коммерции становится гораздо более значительным (независимо от перекрестного опроса паролей), когда хранится информация о кредитной карте, чтобы упростить повторный заказ и покупку. Это открывает вам риск того, что неавторизованные пользователи проникнут в учетную запись, сделают покупки по кредитной карте клиента и отправят заказ в другое место.
Какая версия Magento используется, в этом случае не имеет большого значения. Все версии, с которыми я работал (включая EE 1.13), отправляют пароль учетной записи клиента в виде открытого текста по электронной почте при первоначальном создании учетной записи. Более новые версии не включают пароль в электронные письма для сброса пароля и вместо этого выбирают ссылку с истекающим сроком действия. Но если вы сбрасываете пароль от администратора, такая же ситуация, он отправляется в виде открытого текста.
Предотвратить отправку пароля в письмах о регистрации аккаунта довольно просто, и администратор Magento может легко сделать это, выполнив несколько простых шагов:
Перейдите в Система> Транзакционные письма
Нажмите кнопку Добавить новый шаблон
В раскрывающемся списке «Шаблон» выберите «Новая учетная запись».
Загрузите шаблон в форму, нажав кнопку Загрузить шаблон
Найдите следующую строку кода в шаблоне и удалите ее:
<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
Отредактируйте копию в шаблоне, чтобы лучше отразить характер письма. Части шаблона по умолчанию (например, «следующие значения») не будут иметь смысла без пароля ...