साइन अप ईमेल में पासवर्ड। बुरा अभ्यास? PCI का अनुपालन?

हम Magento Enterprise (1.12) का उपयोग करते हैं और मेरे पास कई ग्राहक आए हैं जिन्होंने मुझे पहले से ही शिकायत की है कि जब उन्होंने एक खाते के लिए साइन अप किया था, तो उन्हें ईमेल के माध्यम से अपना पासवर्ड प्राप्त हुआ था। मुझे पता है कि यह बुरा अभ्यास माना जाता है, लेकिन बॉक्स के बाहर मैगनेटो के साथ आता है।

मैं इसे बदलने जा रहा हूं और इसे ईमेल टेम्प्लेट से हटा दूंगा, जो काफी आसान है, लेकिन मैं बस उत्सुक था कि मैगेंटो ऐसा क्यों करता है अगर इसे लंबे समय तक खराब अभ्यास माना जाता है? मुझे पता है कि उपयोगकर्ताओं के खाते में बहुत कम संवेदनशील जानकारी संग्रहीत है, और हम क्रेडिट कार्ड सत्यापन करते हैं, लेकिन "मैगेंटो एंटरप्राइज इस तरह से करता है, इसलिए यह ठीक होना चाहिए।" मुझे देने के लिए एक गरीब जवाब की तरह लगता है ..

इसके अलावा, कई Magento डेवलपर्स फोन मैग्‍नेशन को हटाने की तरह, नई Magento साइट बनाते समय इसे लगातार 'टू-डू लिस्‍ट' बनाते हैं?

क्या ईमेल के माध्यम से पंजीकरण के दौरान प्रदान किए गए पासवर्ड को ग्राहक को भेजना एक सुरक्षा दृष्टिकोण से अच्छा है?

नहीं, यह निश्चित रूप से नहीं है!

क्या हम अक्सर ग्राहकों के लिए इसे बदलते हैं?

नहीं, दुर्भाग्य से हम नहीं। हमें शायद चाहिए, लेकिन यह आमतौर पर चिंता सूची में सबसे कम वस्तुओं में से एक है। पिछले 5 वर्षों में, मुझे केवल एक ही ग्राहक को इस बारे में पूछने की याद है। यह एक ग्राहक से एक उग्र ईमेल प्राप्त करने के बाद था, जो उनके ईमेल पर उनके पासवर्ड से बहुत खुश नहीं थे, और जो तब एक आदेश देने के लिए साइट को अपनी सीसी जानकारी देने की सुरक्षा पर सवाल उठा रहे थे।

मैं किसी भी नए स्टोर के लिए यह बदलाव करने की अत्यधिक सलाह दूंगा। यह समय की थोड़ी मात्रा के लायक है, और माना जाता है कि "लाभ" जिसका मैं नीचे उल्लेख करता हूं, पासवर्ड को असुरक्षित रूप से प्रसारित करने के जोखिमों के लायक नहीं है।

क्या नए अकाउंट ईमेल में पासवर्ड शामिल करने के फायदे हैं?

हाँ, वहाँ हैं (हालांकि IMO वे वास्तव में फायदेमंद नहीं हैं)। यह संभवतः साइट के जनसांख्यिकीय पर निर्भर करता है, और मैं दुर्भाग्य से यहां कोई आँकड़े नहीं है, लेकिन लोग पासवर्ड खो देते हैं। मेरे जैसे लोग हर चीज के लिए अद्वितीय पासवर्ड का उपयोग करते हैं और उन्हें किचेन में संग्रहीत करते हैं, लेकिन ज्यादातर लोग ऐसा नहीं करते हैं, बल्कि वे उन्हें स्टिकी नोट्स पर लिखते हैं, उन्हें कंप्यूटर पर टेप करते हैं या उन्हें खुद को ईमेल करते हैं। एक ग्राहक जो एक आदेश नहीं दे सकता क्योंकि वे लॉग इन नहीं कर सकते हैं या तो एक खोया हुआ आदेश / ग्राहक या एक दुखी ग्राहक है जिसे सीएसआर को साइट का उपयोग करने में मदद करनी चाहिए।

मैं बिल्कुल नहीं कह रहा हूँ कि यह हालांकि सुरक्षा जोखिम के लायक बनाता है! यह केवल "कारण" प्रति-से है क्यों वे पहली बार ईमेल में हैं।

खेलने में आने वाली एक बड़ी बात यह है कि लोग अभी भी कई अलग-अलग जगहों पर एक ही पासवर्ड का उपयोग करते हैं। यहां तक ​​कि अगर इससे कोई फर्क नहीं पड़ता कि आपकी विशेष वेबसाइट पर एक भी ग्राहक खाते से समझौता किया गया है, तो पासवर्ड का उपयोग उन खातों से समझौता करने के लिए किया जा सकता है जो अधिक संवेदनशील प्रकृति के हो सकते हैं। ऐसा नहीं है कि एक ईकामर्स साइट में पीआईआई शामिल नहीं है, लेकिन आमतौर पर इसमें संवेदनशील जानकारी का एक ही स्तर शामिल नहीं होता है जो एक बैंक होता है, उदाहरण के लिए।

व्यक्तिगत ईकामर्स स्टोर के लिए जोखिम बहुत अधिक हो जाता है (पासवर्ड क्रॉस-पॉलिनेशन से स्वतंत्र) जब क्रेडिट कार्ड की जानकारी को आसान री-ऑर्डर करने और खरीदने में सक्षम किया जाता है। यह आपको अनधिकृत उपयोगकर्ताओं के खाते में टूटने, ग्राहकों के क्रेडिट कार्ड से खरीदारी करने और अन्य जगहों पर ऑर्डर किए गए ऑर्डर होने के जोखिम के लिए खोलता है।

मैगेंटो के किस संस्करण का उपयोग किया जा रहा है, इस मामले में, इससे ज्यादा फर्क नहीं पड़ता। मेरे द्वारा काम किए गए सभी संस्करणों (ईई 1.13 सहित) ने ग्राहक के खाता पासवर्ड को प्रारंभिक खाता निर्माण पर ईमेल के माध्यम से क्लीयरटेक्स्ट में भेज दिया। नए संस्करणों में पासवर्ड रीसेट ईमेल में पासवर्ड शामिल नहीं है और इसके बजाय एक एक्सपायरिंग लिंक का विकल्प चुनते हैं। लेकिन यदि आप व्यवस्थापक से पासवर्ड रीसेट करते हैं, तो उसी स्थिति में, यह क्लीयरटेक्स्ट में भेजा जाता है।

खाता पंजीकरण ईमेल में भेजे जाने से पासवर्ड को रोकना बहुत सरल है और कुछ सरल चरणों का पालन करके आसानी से Magento के व्यवस्थापक से किया जा सकता है:

1. सिस्टम> ट्रांजेक्शनल ईमेल पर जाएं

2. नया टेम्पलेट जोड़ें बटन पर क्लिक करें

3. टेम्पलेट ड्रॉप डाउन से, "नया खाता" चुनें

4. लोड टेम्पलेट बटन पर क्लिक करके टेम्पलेट को फ़ॉर्म में लोड करें

5. टेम्प्लेट में कोड की निम्न पंक्ति खोजें और इसे हटा दें:

   <strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

6. ईमेल की प्रकृति को बेहतर ढंग से दर्शाने के लिए टेम्पलेट में प्रतिलिपि संपादित करें। डिफ़ॉल्ट टेम्प्लेट के भाग (उदा: "निम्न मान") बिना मौजूद पासवर्ड के समझ में नहीं आएंगे ...

दो अलग पासवर्ड रीसेट टेम्पलेट्स के साथ ~ 1.6.1-rc CE Magento के जहाजों के बाद से । एक में पासवर्ड प्लेटेक्स्ट है, दूसरे में रीसेट लिंक है। रीसेट लिंक टेम्प्लेट फ़ाइल नाम है, account_password_reset_confirmation.htmlजबकि प्लेटेक्स्ट पासवर्ड ईमेल फ़ाइल कहा जाता हैpassword_new.html

के लिए जाओ:

System > Configuration > Customers > Customer Configuration > Password Options

"भूल गए ईमेल टेम्पलेट" का मान बदलकर "पासवर्ड भूल गए" (लोकेल से डिफ़ॉल्ट टेम्पलेट)।

संपादित करें

फिर से पढ़ने पर (और @davidalger इस तरह के एक सज्जन होने के नाते) मुझे गलत समझा जा सकता है। हालाँकि, नए ग्राहक साइनअप ईमेल में पासवर्ड रिमाइंडर फ़ील्ड को हटाना बहुत आसान है। लाइन संपादित करें (~ लाइन 34):

<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

फ़ाइल में app/locale/en_US/template/email/account_new.html।

या, बस @ davidalger के उत्तर को स्वीकार करें और स्वीकार करें क्योंकि वह इसके हकदार हैं!

ध्यान दें कि 1.9.x (और शायद पहले) में एक अन्य टेम्पलेट है (इसके अलावा)

नया खाता टेम्प्लेट) बदलने के लिए: नया खाता पुष्टि कुंजी अस्थायी

देर से भी स्पष्ट पाठ में पासवर्ड भेजता है।

ध्यान दें कि 1.9.x (और शायद पहले) में New Accountबदलने के लिए एक अन्य टेम्पलेट (टेम्पलेट के अलावा ) है: New Account Confirmation Keyटेम्पलेट भी स्पष्ट पाठ में पासवर्ड भेजता है।