Apakah ini praktik yang baik (dari sudut pandang keamanan) untuk mengirim kata sandi yang diberikan kepada pelanggan saat pendaftaran melalui email?
Tidak, itu pasti tidak!
Apakah kita sering mengubah ini untuk klien?
Sayangnya kami tidak. Kita mungkin harus, tetapi biasanya salah satu item terendah dalam daftar kekhawatiran. Dalam 5 tahun terakhir, saya hanya ingat satu klien yang menanyakan hal ini. Itu setelah menerima email berapi-api dari seorang pelanggan yang tidak terlalu senang atas kata sandi mereka yang telah diemailkan kepada mereka, dan yang kemudian mempertanyakan keamanan setelah memberikan situs informasi CC mereka untuk melakukan pemesanan.
Saya sangat merekomendasikan untuk membuat perubahan ini untuk setiap toko baru. Ini sepadan dengan jumlah waktu yang sedikit, dan "manfaat" yang seharusnya saya sebutkan di bawah ini tidak sebanding dengan risiko pengiriman kata sandi yang tidak aman.
Apakah ada manfaat untuk memasukkan kata sandi dalam email akun baru?
Ya, ada (meskipun IMO mereka tidak benar-benar bermanfaat). Ini mungkin tergantung pada demografis dari beberapa situs, dan sayangnya saya tidak memiliki statistik di sini, tetapi orang kehilangan kata sandi. Orang-orang seperti saya menggunakan kata sandi unik untuk semuanya dan menyimpannya di gantungan kunci, tetapi kebanyakan orang tidak, tetapi mereka menuliskannya pada catatan tempel, menempelkannya ke komputer atau mengirim email kepada mereka sendiri. Pelanggan yang tidak dapat melakukan pemesanan karena mereka tidak dapat masuk adalah pesanan yang hilang / pelanggan atau pelanggan yang tidak bahagia dimana CSR harus membantu menggunakan situs ini.
Saya sama sekali tidak mengatakan bahwa itu membuat risiko keamanan layak! Itu hanya "alasan" semata-mata mengapa mereka ada di email sejak awal.
Hal besar yang ikut berperan adalah fakta sederhana bahwa orang masih menggunakan kata sandi yang sama di banyak tempat berbeda. Jadi, bahkan jika tidak masalah jika satu akun pelanggan di situs web khusus Anda dikompromikan, kata sandi dapat digunakan untuk mengkompromikan akun yang mungkin lebih sensitif. Bukan berarti situs eCommerce tidak mengandung PII, tetapi biasanya tidak mengandung tingkat informasi sensitif yang sama dengan yang dimiliki bank, misalnya.
Risiko untuk masing-masing toko eCommerce menjadi jauh lebih besar (terlepas dari polinasi silang kata sandi) ketika informasi kartu kredit disimpan untuk memungkinkan pemesanan ulang dan pembelian yang lebih mudah. Ini membuka Anda pada risiko memiliki pengguna yang tidak diarsipkan membobol akun, membeli kartu kredit pelanggan dan pesanan dikirim ke tempat lain.
Versi Magento mana yang digunakan, dalam hal ini, tidak terlalu menjadi masalah. Semua versi yang telah saya gunakan (termasuk EE 1.13) mengirimkan kata sandi akun pelanggan dalam teks lengkap melalui email setelah pembuatan akun awal. Versi yang lebih baru tidak memasukkan kata sandi dalam email pengaturan ulang kata sandi dan memilih tautan yang kedaluwarsa. Tetapi jika Anda mengatur ulang kata sandi dari admin, dalam situasi yang sama, kata sandi itu dikirim dalam bentuk teks.
Mencegah kata sandi dikirim dalam email pendaftaran akun cukup sederhana dan mudah dapat dilakukan dari admin Magento dengan mengikuti beberapa langkah sederhana:
Buka Sistem> Email Transaksional
Klik tombol Tambahkan Template Baru
Dari drop down Template, pilih "Akun baru"
Muat templat ke dalam formulir dengan mengklik tombol Muat Templat
Temukan baris kode berikut di templat dan hapus:
<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
Edit salinan dalam templat untuk lebih mencerminkan sifat surel. Bagian dari templat default (Mis: "nilai berikut") tidak akan masuk akal tanpa kata sandi yang ada ...