क्या ईमेल के माध्यम से पंजीकरण के दौरान प्रदान किए गए पासवर्ड को ग्राहक को भेजना एक सुरक्षा दृष्टिकोण से अच्छा है?
नहीं, यह निश्चित रूप से नहीं है!
क्या हम अक्सर ग्राहकों के लिए इसे बदलते हैं?
नहीं, दुर्भाग्य से हम नहीं। हमें शायद चाहिए, लेकिन यह आमतौर पर चिंता सूची में सबसे कम वस्तुओं में से एक है। पिछले 5 वर्षों में, मुझे केवल एक ही ग्राहक को इस बारे में पूछने की याद है। यह एक ग्राहक से एक उग्र ईमेल प्राप्त करने के बाद था, जो उनके ईमेल पर उनके पासवर्ड से बहुत खुश नहीं थे, और जो तब एक आदेश देने के लिए साइट को अपनी सीसी जानकारी देने की सुरक्षा पर सवाल उठा रहे थे।
मैं किसी भी नए स्टोर के लिए यह बदलाव करने की अत्यधिक सलाह दूंगा। यह समय की थोड़ी मात्रा के लायक है, और माना जाता है कि "लाभ" जिसका मैं नीचे उल्लेख करता हूं, पासवर्ड को असुरक्षित रूप से प्रसारित करने के जोखिमों के लायक नहीं है।
क्या नए अकाउंट ईमेल में पासवर्ड शामिल करने के फायदे हैं?
हाँ, वहाँ हैं (हालांकि IMO वे वास्तव में फायदेमंद नहीं हैं)। यह संभवतः साइट के जनसांख्यिकीय पर निर्भर करता है, और मैं दुर्भाग्य से यहां कोई आँकड़े नहीं है, लेकिन लोग पासवर्ड खो देते हैं। मेरे जैसे लोग हर चीज के लिए अद्वितीय पासवर्ड का उपयोग करते हैं और उन्हें किचेन में संग्रहीत करते हैं, लेकिन ज्यादातर लोग ऐसा नहीं करते हैं, बल्कि वे उन्हें स्टिकी नोट्स पर लिखते हैं, उन्हें कंप्यूटर पर टेप करते हैं या उन्हें खुद को ईमेल करते हैं। एक ग्राहक जो एक आदेश नहीं दे सकता क्योंकि वे लॉग इन नहीं कर सकते हैं या तो एक खोया हुआ आदेश / ग्राहक या एक दुखी ग्राहक है जिसे सीएसआर को साइट का उपयोग करने में मदद करनी चाहिए।
मैं बिल्कुल नहीं कह रहा हूँ कि यह हालांकि सुरक्षा जोखिम के लायक बनाता है! यह केवल "कारण" प्रति-से है क्यों वे पहली बार ईमेल में हैं।
खेलने में आने वाली एक बड़ी बात यह है कि लोग अभी भी कई अलग-अलग जगहों पर एक ही पासवर्ड का उपयोग करते हैं। यहां तक कि अगर इससे कोई फर्क नहीं पड़ता कि आपकी विशेष वेबसाइट पर एक भी ग्राहक खाते से समझौता किया गया है, तो पासवर्ड का उपयोग उन खातों से समझौता करने के लिए किया जा सकता है जो अधिक संवेदनशील प्रकृति के हो सकते हैं। ऐसा नहीं है कि एक ईकामर्स साइट में पीआईआई शामिल नहीं है, लेकिन आमतौर पर इसमें संवेदनशील जानकारी का एक ही स्तर शामिल नहीं होता है जो एक बैंक होता है, उदाहरण के लिए।
व्यक्तिगत ईकामर्स स्टोर के लिए जोखिम बहुत अधिक हो जाता है (पासवर्ड क्रॉस-पॉलिनेशन से स्वतंत्र) जब क्रेडिट कार्ड की जानकारी को आसान री-ऑर्डर करने और खरीदने में सक्षम किया जाता है। यह आपको अनधिकृत उपयोगकर्ताओं के खाते में टूटने, ग्राहकों के क्रेडिट कार्ड से खरीदारी करने और अन्य जगहों पर ऑर्डर किए गए ऑर्डर होने के जोखिम के लिए खोलता है।
मैगेंटो के किस संस्करण का उपयोग किया जा रहा है, इस मामले में, इससे ज्यादा फर्क नहीं पड़ता। मेरे द्वारा काम किए गए सभी संस्करणों (ईई 1.13 सहित) ने ग्राहक के खाता पासवर्ड को प्रारंभिक खाता निर्माण पर ईमेल के माध्यम से क्लीयरटेक्स्ट में भेज दिया। नए संस्करणों में पासवर्ड रीसेट ईमेल में पासवर्ड शामिल नहीं है और इसके बजाय एक एक्सपायरिंग लिंक का विकल्प चुनते हैं। लेकिन यदि आप व्यवस्थापक से पासवर्ड रीसेट करते हैं, तो उसी स्थिति में, यह क्लीयरटेक्स्ट में भेजा जाता है।
खाता पंजीकरण ईमेल में भेजे जाने से पासवर्ड को रोकना बहुत सरल है और कुछ सरल चरणों का पालन करके आसानी से Magento के व्यवस्थापक से किया जा सकता है:
सिस्टम> ट्रांजेक्शनल ईमेल पर जाएं
नया टेम्पलेट जोड़ें बटन पर क्लिक करें
टेम्पलेट ड्रॉप डाउन से, "नया खाता" चुनें
लोड टेम्पलेट बटन पर क्लिक करके टेम्पलेट को फ़ॉर्म में लोड करें
टेम्प्लेट में कोड की निम्न पंक्ति खोजें और इसे हटा दें:
<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
ईमेल की प्रकृति को बेहतर ढंग से दर्शाने के लिए टेम्पलेट में प्रतिलिपि संपादित करें। डिफ़ॉल्ट टेम्प्लेट के भाग (उदा: "निम्न मान") बिना मौजूद पासवर्ड के समझ में नहीं आएंगे ...