साइन अप ईमेल में पासवर्ड। बुरा अभ्यास? PCI का अनुपालन?


49

हम Magento Enterprise (1.12) का उपयोग करते हैं और मेरे पास कई ग्राहक आए हैं जिन्होंने मुझे पहले से ही शिकायत की है कि जब उन्होंने एक खाते के लिए साइन अप किया था, तो उन्हें ईमेल के माध्यम से अपना पासवर्ड प्राप्त हुआ था। मुझे पता है कि यह बुरा अभ्यास माना जाता है, लेकिन बॉक्स के बाहर मैगनेटो के साथ आता है।

मैं इसे बदलने जा रहा हूं और इसे ईमेल टेम्प्लेट से हटा दूंगा, जो काफी आसान है, लेकिन मैं बस उत्सुक था कि मैगेंटो ऐसा क्यों करता है अगर इसे लंबे समय तक खराब अभ्यास माना जाता है? मुझे पता है कि उपयोगकर्ताओं के खाते में बहुत कम संवेदनशील जानकारी संग्रहीत है, और हम क्रेडिट कार्ड सत्यापन करते हैं, लेकिन "मैगेंटो एंटरप्राइज इस तरह से करता है, इसलिए यह ठीक होना चाहिए।" मुझे देने के लिए एक गरीब जवाब की तरह लगता है ..

इसके अलावा, कई Magento डेवलपर्स फोन मैग्‍नेशन को हटाने की तरह, नई Magento साइट बनाते समय इसे लगातार 'टू-डू लिस्‍ट' बनाते हैं?


EE का कौन सा संस्करण?
बॉनमार्क

ईई के @ चिह्न चिह्न वास्तव में इस मामले में मायने नहीं रखते हैं, वे सभी खाता पंजीकरण ईमेल में पासवर्ड भेजते हैं। :)
डेविडलगर

@davidalger मेरा जवाब देखें। EE 1.10 के बाद से पासवर्ड रीसेट टेम्पलेट के दो संस्करण हो गए हैं।
philwinkle

1
@ एफिलविंकल राइट, लेकिन रीसेट ईमेल वह नहीं था जिसके बारे में ओपी पूछ रहा था। वे साइन अप ईमेल के बारे में पूछ रहे थे ...
davidalger

@davidalger अच्छी तरह से अच्छाई। मैं सभी प्रकार के डाउनवोट के लायक हूं :) आपको संपादित करेगा और अपकेंद्रित करेगा क्योंकि आप वास्तव में पढ़ने के लिए समय लेते हैं।
philwinkle

जवाबों:


32

क्या ईमेल के माध्यम से पंजीकरण के दौरान प्रदान किए गए पासवर्ड को ग्राहक को भेजना एक सुरक्षा दृष्टिकोण से अच्छा है?

नहीं, यह निश्चित रूप से नहीं है!

क्या हम अक्सर ग्राहकों के लिए इसे बदलते हैं?

नहीं, दुर्भाग्य से हम नहीं। हमें शायद चाहिए, लेकिन यह आमतौर पर चिंता सूची में सबसे कम वस्तुओं में से एक है। पिछले 5 वर्षों में, मुझे केवल एक ही ग्राहक को इस बारे में पूछने की याद है। यह एक ग्राहक से एक उग्र ईमेल प्राप्त करने के बाद था, जो उनके ईमेल पर उनके पासवर्ड से बहुत खुश नहीं थे, और जो तब एक आदेश देने के लिए साइट को अपनी सीसी जानकारी देने की सुरक्षा पर सवाल उठा रहे थे।

मैं किसी भी नए स्टोर के लिए यह बदलाव करने की अत्यधिक सलाह दूंगा। यह समय की थोड़ी मात्रा के लायक है, और माना जाता है कि "लाभ" जिसका मैं नीचे उल्लेख करता हूं, पासवर्ड को असुरक्षित रूप से प्रसारित करने के जोखिमों के लायक नहीं है।

क्या नए अकाउंट ईमेल में पासवर्ड शामिल करने के फायदे हैं?

हाँ, वहाँ हैं (हालांकि IMO वे वास्तव में फायदेमंद नहीं हैं)। यह संभवतः साइट के जनसांख्यिकीय पर निर्भर करता है, और मैं दुर्भाग्य से यहां कोई आँकड़े नहीं है, लेकिन लोग पासवर्ड खो देते हैं। मेरे जैसे लोग हर चीज के लिए अद्वितीय पासवर्ड का उपयोग करते हैं और उन्हें किचेन में संग्रहीत करते हैं, लेकिन ज्यादातर लोग ऐसा नहीं करते हैं, बल्कि वे उन्हें स्टिकी नोट्स पर लिखते हैं, उन्हें कंप्यूटर पर टेप करते हैं या उन्हें खुद को ईमेल करते हैं। एक ग्राहक जो एक आदेश नहीं दे सकता क्योंकि वे लॉग इन नहीं कर सकते हैं या तो एक खोया हुआ आदेश / ग्राहक या एक दुखी ग्राहक है जिसे सीएसआर को साइट का उपयोग करने में मदद करनी चाहिए।

मैं बिल्कुल नहीं कह रहा हूँ कि यह हालांकि सुरक्षा जोखिम के लायक बनाता है! यह केवल "कारण" प्रति-से है क्यों वे पहली बार ईमेल में हैं।

खेलने में आने वाली एक बड़ी बात यह है कि लोग अभी भी कई अलग-अलग जगहों पर एक ही पासवर्ड का उपयोग करते हैं। यहां तक ​​कि अगर इससे कोई फर्क नहीं पड़ता कि आपकी विशेष वेबसाइट पर एक भी ग्राहक खाते से समझौता किया गया है, तो पासवर्ड का उपयोग उन खातों से समझौता करने के लिए किया जा सकता है जो अधिक संवेदनशील प्रकृति के हो सकते हैं। ऐसा नहीं है कि एक ईकामर्स साइट में पीआईआई शामिल नहीं है, लेकिन आमतौर पर इसमें संवेदनशील जानकारी का एक ही स्तर शामिल नहीं होता है जो एक बैंक होता है, उदाहरण के लिए।


व्यक्तिगत ईकामर्स स्टोर के लिए जोखिम बहुत अधिक हो जाता है (पासवर्ड क्रॉस-पॉलिनेशन से स्वतंत्र) जब क्रेडिट कार्ड की जानकारी को आसान री-ऑर्डर करने और खरीदने में सक्षम किया जाता है। यह आपको अनधिकृत उपयोगकर्ताओं के खाते में टूटने, ग्राहकों के क्रेडिट कार्ड से खरीदारी करने और अन्य जगहों पर ऑर्डर किए गए ऑर्डर होने के जोखिम के लिए खोलता है।

मैगेंटो के किस संस्करण का उपयोग किया जा रहा है, इस मामले में, इससे ज्यादा फर्क नहीं पड़ता। मेरे द्वारा काम किए गए सभी संस्करणों (ईई 1.13 सहित) ने ग्राहक के खाता पासवर्ड को प्रारंभिक खाता निर्माण पर ईमेल के माध्यम से क्लीयरटेक्स्ट में भेज दिया। नए संस्करणों में पासवर्ड रीसेट ईमेल में पासवर्ड शामिल नहीं है और इसके बजाय एक एक्सपायरिंग लिंक का विकल्प चुनते हैं। लेकिन यदि आप व्यवस्थापक से पासवर्ड रीसेट करते हैं, तो उसी स्थिति में, यह क्लीयरटेक्स्ट में भेजा जाता है।


खाता पंजीकरण ईमेल में भेजे जाने से पासवर्ड को रोकना बहुत सरल है और कुछ सरल चरणों का पालन करके आसानी से Magento के व्यवस्थापक से किया जा सकता है:

  1. सिस्टम> ट्रांजेक्शनल ईमेल पर जाएं

  2. नया टेम्पलेट जोड़ें बटन पर क्लिक करें

  3. टेम्पलेट ड्रॉप डाउन से, "नया खाता" चुनें

  4. लोड टेम्पलेट बटन पर क्लिक करके टेम्पलेट को फ़ॉर्म में लोड करें

  5. टेम्प्लेट में कोड की निम्न पंक्ति खोजें और इसे हटा दें:

    <strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
  6. ईमेल की प्रकृति को बेहतर ढंग से दर्शाने के लिए टेम्पलेट में प्रतिलिपि संपादित करें। डिफ़ॉल्ट टेम्प्लेट के भाग (उदा: "निम्न मान") बिना मौजूद पासवर्ड के समझ में नहीं आएंगे ...


जानकारीपूर्ण उत्तर के लिए धन्यवाद। यह वही है जो मैंने सोचा था, लेकिन जब से यह मंच के कई संस्करणों के माध्यम से जीवित रहने में कामयाब रहा है, मुझे लगा कि मुझे पूछना चाहिए। इस प्रतिक्रिया को लिखने की तुलना में इसे ठीक करने में कम समय लगा, लेकिन ऐसा लग रहा था कि पहली बार में ऐसा ही होना बुरा है।

1
यदि आप एक नया ईमेल टेम्प्लेट बनाते हैं, तो आपको इस नए टेम्प्लेट को चुनने की आवश्यकता हो सकती है:System > Configuration > Customers > Customer Configuration > Create New Account Options > Welcome Email
Willster

9

दो अलग पासवर्ड रीसेट टेम्पलेट्स के साथ ~ 1.6.1-rc CE Magento के जहाजों के बाद से । एक में पासवर्ड प्लेटेक्स्ट है, दूसरे में रीसेट लिंक है। रीसेट लिंक टेम्प्लेट फ़ाइल नाम है, account_password_reset_confirmation.htmlजबकि प्लेटेक्स्ट पासवर्ड ईमेल फ़ाइल कहा जाता हैpassword_new.html

के लिए जाओ:

System > Configuration > Customers > Customer Configuration > Password Options

"भूल गए ईमेल टेम्पलेट" का मान बदलकर "पासवर्ड भूल गए" (लोकेल से डिफ़ॉल्ट टेम्पलेट)।

संपादित करें

फिर से पढ़ने पर (और @davidalger इस तरह के एक सज्जन होने के नाते) मुझे गलत समझा जा सकता है। हालाँकि, नए ग्राहक साइनअप ईमेल में पासवर्ड रिमाइंडर फ़ील्ड को हटाना बहुत आसान है। लाइन संपादित करें (~ लाइन 34):

<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

फ़ाइल में app/locale/en_US/template/email/account_new.html

या, बस @ davidalger के उत्तर को स्वीकार करें और स्वीकार करें क्योंकि वह इसके हकदार हैं!


1

ध्यान दें कि 1.9.x (और शायद पहले) में एक अन्य टेम्पलेट है (इसके अलावा)

नया खाता टेम्प्लेट) बदलने के लिए: नया खाता पुष्टि कुंजी अस्थायी

देर से भी स्पष्ट पाठ में पासवर्ड भेजता है।


0

ध्यान दें कि 1.9.x (और शायद पहले) में New Accountबदलने के लिए एक अन्य टेम्पलेट (टेम्पलेट के अलावा ) है: New Account Confirmation Keyटेम्पलेट भी स्पष्ट पाठ में पासवर्ड भेजता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.