มันเป็นวิธีปฏิบัติที่ดี (จากมุมมองด้านความปลอดภัย) ในการส่งรหัสผ่านที่ลูกค้าให้ไว้ในระหว่างการลงทะเบียนทางอีเมลหรือไม่?
ไม่ไม่แน่นอนที่สุด!
เราเปลี่ยนแปลงสิ่งนี้บ่อยครั้งสำหรับลูกค้าหรือไม่?
ไม่น่าเสียดายที่เราทำไม่ได้ เราน่าจะควร แต่โดยทั่วไปแล้วมันเป็นหนึ่งในรายการที่ต่ำที่สุดในรายการกังวล ใน 5 ปีที่ผ่านมาฉันจำได้ว่ามีลูกค้าเพียงคนเดียวที่ถามเกี่ยวกับเรื่องนี้ หลังจากได้รับอีเมลที่ร้อนแรงจากลูกค้าที่ไม่พอใจรหัสผ่านที่ถูกส่งไปยังอีเมลของพวกเขาและผู้ที่ถูกถามถึงความปลอดภัยของการให้ข้อมูล CC แก่ไซต์เพื่อสั่งซื้อ
ฉันขอแนะนำให้ทำการเปลี่ยนแปลงนี้สำหรับร้านค้าใหม่ ๆ มันคุ้มค่ากับเวลาเล็กน้อยและ "ประโยชน์" ที่ฉันพูดถึงด้านล่างไม่คุ้มกับความเสี่ยงของการส่งรหัสผ่านที่ไม่ปลอดภัย
การรวมรหัสผ่านในอีเมลบัญชีใหม่มีประโยชน์หรือไม่
ใช่มี (แม้ว่า IMO จะไม่มีประโยชน์อย่างแท้จริง) นี่อาจขึ้นอยู่กับข้อมูลประชากรของเว็บไซต์บางแห่งและฉันโชคไม่ดีที่ไม่มีสถิติใด ๆ ที่นี่ แต่ผู้คนลืมรหัสผ่าน คนอย่างฉันใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับทุกสิ่งและเก็บไว้ในพวงกุญแจ แต่คนส่วนใหญ่ทำไม่ได้ แต่พวกเขาเขียนมันไว้ในบันทึกย่อช่วยเตือนพวกเขาลงคอมพิวเตอร์หรือส่งอีเมลถึงพวกเขาเอง ลูกค้าที่ไม่สามารถสั่งซื้อได้เพราะพวกเขาไม่สามารถเข้าสู่ระบบเป็นคำสั่งที่หายไป / ลูกค้าหรือลูกค้าที่ไม่มีความสุขซึ่ง CSR ต้องช่วยให้ใช้เว็บไซต์
ฉันไม่ได้บอกว่ามันคุ้มค่ากับความเสี่ยงด้านความปลอดภัย! เป็นเพียง "เหตุผล" ต่อครั้งทำไมพวกเขาถึงอยู่ในอีเมล์ตั้งแต่แรก
สิ่งใหญ่ที่เข้ามาเล่นเป็นความจริงง่ายๆที่ผู้คนยังคงใช้รหัสผ่านเดียวกันในหลาย ๆ ที่ ดังนั้นแม้ว่าจะไม่สำคัญว่าบัญชีลูกค้าเดียวในเว็บไซต์ใดเว็บไซต์หนึ่งของคุณจะถูกบุกรุกรหัสผ่านสามารถใช้เพื่อประนีประนอมบัญชีซึ่งอาจมีลักษณะที่ละเอียดอ่อนกว่า ไม่ใช่เว็บไซต์อีคอมเมิร์ซไม่มี PII แต่โดยทั่วไปแล้วจะไม่มีข้อมูลที่ละเอียดอ่อนในระดับเดียวกับที่ธนาคารต้องการตัวอย่างเช่น
ความเสี่ยงสำหรับร้านค้าอีคอมเมิร์ซแต่ละแห่งนั้นมีความสำคัญมากขึ้น (โดยไม่ต้องพึ่งรหัสผ่าน) เมื่อมีการจัดเก็บข้อมูลบัตรเครดิตเพื่อให้สามารถสั่งซื้อและซื้อซ้ำได้ง่ายขึ้น มันเปิดโอกาสให้คุณเสี่ยงต่อการมีผู้ใช้ที่ไม่ได้รับการเจาะเข้าไปในบัญชีซื้อบัตรเครดิตของลูกค้าและมีการส่งคำสั่งซื้อไปที่อื่น
เวอร์ชั่นวีโอไอพีรุ่นใดที่ใช้งานในกรณีนี้ไม่สำคัญอะไรมาก ทุกรุ่นที่ฉันได้ทำงานด้วย (รวมถึง EE 1.13) ส่งรหัสผ่านบัญชีของลูกค้าในรูปแบบข้อความธรรมดาผ่านอีเมลเมื่อมีการสร้างบัญชีครั้งแรก เวอร์ชันที่ใหม่กว่าไม่รวมรหัสผ่านในอีเมลรีเซ็ตรหัสผ่านและเลือกลิงก์ที่หมดอายุแทน แต่ถ้าคุณรีเซ็ตรหัสผ่านจากผู้ดูแลระบบในสถานการณ์เดียวกันมันจะถูกส่งในรูปแบบข้อความธรรมดา
การป้องกันรหัสผ่านจากการส่งออกในอีเมลลงทะเบียนบัญชีนั้นค่อนข้างง่ายและสามารถทำได้จากผู้ดูแลระบบ Magento โดยทำตามขั้นตอนง่าย ๆ ดังนี้:
ไปที่ระบบ> อีเมลธุรกรรม
คลิกปุ่มเพิ่มเทมเพลตใหม่
จากเมนูแบบเลื่อนลงเลือก "บัญชีใหม่"
โหลดเทมเพลตลงในแบบฟอร์มโดยคลิกที่ปุ่มโหลดเทมเพลต
ค้นหาบรรทัดของรหัสต่อไปนี้ในเทมเพลตและลบออก:
<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
แก้ไขสำเนาในเทมเพลตเพื่อสะท้อนลักษณะของอีเมลได้ดียิ่งขึ้น ส่วนของเทมเพลตเริ่มต้น (เช่น: "ค่าต่อไปนี้") จะไม่สมเหตุสมผลหากไม่มีรหัสผ่านอยู่ ...