サインアップメールのパスワード。悪い練習?PCI準拠ですか?

49

Magento Enterprise(1.12)を使用していますが、アカウントにサインアップしたときにパスワードをメールで受け取ったという苦情を既に複数の顧客にメールで送っています。これは悪い習慣と見なされますが、Magentoにはすぐに使用できます。

これを変更してメールテンプレートから削除しますが、これは非常に簡単ですが、長らく悪い習慣と見なされていたのに、Magentoがこれを行う理由に興味がありましたか?ユーザーアカウントには機密情報がほとんど保存されておらず、クレジットカードの検証を行っていますが、「Magento Enterpriseはそのように処理するため、問題ありません」。答えが悪いようです。

また、Magentoの多くの開発者は、電話の検証を削除するなど、Magentoの新しいサイトを構築するときに、これを頻繁な「To Doリスト」の修正にしていますか?

email  security  ee-1.12 
ウィルボール
ソース
EEのどのバージョンですか?
ベンマーク
この場合、@ benmarks EEのバージョンは実際には問題ではなく、アカウント登録メールでパスワードを送信します。:)
デビダルガー
@davidalgerは私の答えを見る。EE 1.10以降、パスワードリセットテンプレートには2つのバージョンがあります。
-philwinkle
1
@philwinkle正しいですが、リセットメールはOPが尋ねていたものではありませんでした。彼らはサインアップメールについて尋ねていました
...-davidalger
@davidalgerの良さ。私はあらゆる種類のdownvotesに値する:)あなたが実際に読むのに時間がかかるので、あなたを編集し、賛成するでしょう。
-philwinkle

回答:

32

(セキュリティの観点から)登録時に提供したパスワードを電子メールで顧客に送信するのは良い習慣ですか?

いいえ、そうではありません!

クライアントのためにこれを頻繁に変更しますか?

いいえ。残念ながらできません。おそらくそうすべきですが、通常は心配リストの最下位項目の1つです。過去5年間で、私はこれについて尋ねた一人のクライアントを思い出すだけです。パスワードがメールで送信されたことに満足していなかった顧客から激しいメールを受信した後、注文を行うためにサイトにCC情報を与えたというセキュリティに疑問を抱いていました。

新しいストアにはこの変更を行うことを強くお勧めします。それは少しの時間の価値があり、私が以下で言及する想定された「利点」は、パスワードを安全に送信しないというリスクの価値はありません。

新しいアカウントのメールにパスワードを含めることには利点がありますか?

はい、あります(IMOは本当に有益ではありません)。これはおそらくサイトの人口統計に依存し、残念ながらここには統計情報はありませんが、ユーザーはパスワードを失います。私のような人々はすべてに一意のパスワードを使用してキーチェーンに保存しますが、ほとんどの人々はそうではなく、付箋紙にメモしたり、コンピューターにテープで貼り付けたり、電子メールで送信します。ログインできないために注文できない顧客は、注文/顧客を失ったか、CSRがサイトの使用を支援する必要がある不幸な顧客のいずれかです。

しかし、セキュリティリスクに見合うだけの価値があると言っているわけではありません。そもそも彼らが電子メールを送っているのは、それ自体が「理由」そのものです。

重要なのは、人々がいまだに多くの異なる場所で同じパスワードを使用しているという単純な事実です。そのため、特定のWebサイトの単一の顧客アカウントが侵害されても問題にならない場合でも、パスワードを使用して、より機密性の高いアカウントを侵害することができます。電子商取引サイトにPIIが含まれていないということではありませんが、通常、たとえば銀行が持つのと同じレベルの機密情報は含まれていません。

個々のeコマースストアのリスクは、クレジットカード情報が保存されて再注文や購入が容易になると、非常に大きくなります(パスワードのクロスポリネーションに依存しません)。これにより、無防備なユーザーがアカウントに侵入し、顧客のクレジットカードで購入し、注文を別の場所に発送するリスクが生じます。

この場合、Magentoのどのバージョンが使用されているかは重要ではありません。私が使用したすべてのバージョン(EE 1.13を含む)は、最初のアカウント作成時に、顧客のアカウントパスワードを電子メールでクリアテキストで送信します。新しいバージョンでは、パスワードリセットメールにパスワードが含まれず、代わりに期限切れのリンクを選択します。しかし、同じ状況で管理者からパスワードをリセットすると、クリアテキストで送信されます。

アカウント登録メールでパスワードが送信されないようにするのは非常に簡単で、いくつかの簡単な手順に従ってMagentoの管理者から簡単に実行できます。

  1. [システム]> [トランザクションメール]に移動します

  2. [新しいテンプレートを追加]ボタンをクリックします

  3. [テンプレート]ドロップダウンから、[新しいアカウント]を選択します

  4. [テンプレートの読み込み]ボタンをクリックして、テンプレートをフォームに読み込みます

  5. テンプレートで次のコード行を見つけて削除します。

    <strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

  6. テンプレートのコピーを編集して、メールの性質をよりよく反映します。デフォルトのテンプレートの一部(例:「次の値」)は、パスワードが存在しないと意味がありません...

ダビダルジャー
ソース
有益な答えをありがとう。これは私が考えていたものですが、プラットフォームの多くのバージョンを生き延びてきたので、尋ねるべきだと考えました。この応答を作成するよりも修正するのに時間がかかりませんでしたが、そもそもそうするのは悪い習慣のように思えました。
-willboudle
1
新しいメールテンプレートを作成する場合、次の場所でこの新しいテンプレートを選択する必要がありますSystem > Configuration > Customers > Customer Configuration > Create New Account Options > Welcome Email
。– Willster
9

〜1.6.1-rc以降、CE Magentoには2つの異なるパスワードリセットテンプレートが付属しています。1つはパスワードがプレーンテキストで、もう1つはリセットリンクです。リセットリンクテンプレートのファイル名はaccount_password_reset_confirmation.html、プレーンテキストパスワードの電子メールファイルが呼び出されている間ですpassword_new.html

に行きます:

System > Configuration > Customers > Customer Configuration > Password Options

「メールテンプレートを忘れた」の値を「パスワードを忘れた(ロケールのデフォルトテンプレート)」に変更します。

編集

読み直したとき(そして@davidalgerがそのような紳士であること)、私は誤解したかもしれません。ただし、新しい顧客サインアップメールのパスワードリマインダーフィールドも簡単に削除できます。行を編集します(〜行34):

<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

ファイル内app/locale/en_US/template/email/account_new.html

または、@ davidalgerの答えに値するので、賛成して受け入れてください!

フィルウィンクル
ソース
1

1.9.x(およびそれ以前)には、他に1つのテンプレートがあります(

変更する新しいアカウントテンプレート):新しいアカウント確認キーtemp

後半もクリアテキストでパスワードを送信します。

アシッシュ・ヒラ
ソース
0

1.9.x(およびそれ以前)New Accountでは、変更するテンプレートが1つ(テンプレート以外に)あることに注意してください。New Account Confirmation Keyテンプレートはパスワードもクリアテキストで送信します。

ペリー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.