가입 이메일의 비밀번호. 나쁜 연습? PCI 호환?


49

우리는 Magento Enterprise (1.12)를 사용하고 있으며, 여러 고객이 계정에 가입 할 때 이메일을 통해 비밀번호를 받았다는 불만을 이메일로 받았습니다. 나는 이것이 나쁜 습관으로 여겨지지만 Magento와 함께 제공됩니다.

나는 그것을 변경하고 이메일 템플릿에서 그것을 제거 할 것입니다. 이것은 충분히 쉽지만 Magento가 오랫동안 나쁜 습관으로 여겨지면 왜 그렇게하는지 궁금합니다. 중요한 정보는 사용자 계정에 거의 저장되어 있지 않으며 신용 카드 유효성 검사를 수행하지만 "Magento Enterprise는 그러한 방식으로 정보를 제공하므로 확인해야합니다." 내가 대답하기에는 형편없는 것 같아 ..

또한 많은 Magento 개발자가 전화 유효성 검사를 제거하는 등의 새로운 Magento 사이트를 구축 할 때이 작업을 자주 수행 할 작업 목록으로 수정합니까?


어떤 버전의 EE?
benmarks

이 경우 @benmarks EE 버전은 실제로 중요하지 않으며 계정 등록 이메일에 비밀번호를 모두 보냅니다. :)
davidalger

@ davidalger 내 대답을 참조하십시오. EE 1.10부터 두 가지 버전의 비밀번호 재설정 템플릿이 있습니다.
philwinkle

1
@philwinkle 맞습니다. 그러나 재설정 이메일은 OP가 요청한 것이 아닙니다. 그들은 가입 이메일에 대해 묻고있었습니다 ...
davidalger

@ davidalger 잘 했어요. 나는 모든 종류의 downvotes가 필요하다 :) 당신이 실제로 읽는 데 시간이 걸리기 때문에 당신을 편집하고 투표 할 것이다.
philwinkle

답변:


32

고객에게 등록시 제공 한 비밀번호를 이메일을 통해 보내는 것이 보안상의 관점에서 좋은가?

아니요, 가장 확실하지 않습니다!

고객을 위해 자주 변경합니까?

안타깝게도 우리는 그렇지 않습니다. 우리는 아마해야하지만, 일반적으로 걱정 목록에서 가장 낮은 항목 중 하나입니다. 지난 5 년 동안, 나는 이것에 대해 질문하는 단 한 명의 고객만을 기억합니다. 고객으로부터 비밀번호를 이메일로 보내지 않은 것에 대해 불쾌한 이메일을받은 후, 사이트에 CC 정보를 제공하여 주문을하는 보안에 의문을 품고있었습니다.

새 상점에 대해이 변경을 수행하는 것이 좋습니다. 그것은 적은 시간의 가치가 있으며, 아래 언급 한 "장점"은 안전하지 않은 암호 전송의 위험이 없습니다.

새 계정 이메일에 비밀번호를 포함 시키면 이점이 있습니까?

그렇습니다. (IMO는 실제로 유익하지는 않습니다). 이것은 아마도 사이트의 인구 통계에 따라 다르며 불행히도 여기에는 통계가 없지만 사람들은 암호를 잊어 버립니다. 나와 같은 사람들은 모든 것에 고유 한 암호를 사용하여 키 체인에 저장하지만 대부분의 사람들은 스티커 메모에 기록하지 않고 컴퓨터에 테이프로 붙이거나 전자 메일로 전자 메일을 보냅니다. 로그인 할 수 없어서 주문할 수없는 고객은 주문 / 고객 손실 또는 CSR이 사이트 사용을 도와야하는 불행한 고객입니다.

나는 그것이 보안 위험의 가치가 있다고 말하지는 않습니다! 처음부터 이메일에 나오는 이유는 "이유"일뿐입니다.

중요한 것은 사람들이 여전히 여러 장소에서 동일한 암호를 사용한다는 사실입니다. 따라서 특정 웹 사이트의 단일 고객 계정이 손상 되어도 문제가되지 않더라도 암호를 사용하여보다 민감한 계정을 손상시킬 수 있습니다. 전자 상거래 사이트에는 PII가 포함되어 있지 않지만 일반적으로 은행과 같은 수준의 민감한 정보는 포함되어 있지 않습니다.


신용 카드 정보를 저장하면 더 쉽게 주문하고 구매할 수 있도록 개별 전자 상거래 상점의 위험이 훨씬 커집니다 (비밀번호 교차 수정과 무관). 그것은 사용자가 계정에 침입하지 않고, 고객 신용 카드로 구매하고, 주문을 다른 곳으로 배송 할 위험이 있습니다.

이 경우 어떤 버전의 Magento가 사용되는지는 중요하지 않습니다. 내가 작업 한 모든 버전 (EE 1.13 포함)은 최초 계정 생성시 이메일을 통해 고객의 계정 비밀번호를 일반 텍스트로 보냅니다. 최신 버전은 비밀번호 재설정 이메일에 비밀번호를 포함하지 않고 대신 만료 링크를 선택합니다. 그러나 동일한 상황에서 관리자로부터 비밀번호를 재설정하면 일반 텍스트로 전송됩니다.


계정 등록 이메일에서 비밀번호가 발송되는 것을 방지하는 것은 매우 간단하며 몇 가지 간단한 단계를 수행하여 Magento 관리자로부터 쉽게 수행 할 수 있습니다.

  1. 시스템> 거래 이메일로 이동

  2. 새 템플릿 추가 버튼을 클릭하십시오

  3. 템플릿 드롭 다운에서 "새 계정"을 선택하십시오.

  4. 템플리트로드 단추를 클릭하여 템플리트를 양식에로드하십시오.

  5. 템플릿에서 다음 코드 줄을 찾아서 제거하십시오.

    <strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
  6. 이메일의 특성을 더 잘 반영하도록 템플리트에서 사본을 편집하십시오. 기본 템플릿의 일부 (예 : "다음 값")는 비밀번호가 없으면 의미가 없습니다 ...


유익한 답변에 감사드립니다. 이것이 내가 생각한 것이지만, 많은 버전의 플랫폼을 통해 살아 남았으므로 물어봐야한다고 생각했습니다. 이 답변을 작성하는 것보다 수정하는 데 시간이 덜 걸렸지 만 처음에는 나쁜 습관처럼 보였습니다.
willboudle

1
새 이메일 템플릿을 작성하는 경우 다음 위치에서이 새 템플릿을 선택해야합니다.System > Configuration > Customers > Customer Configuration > Create New Account Options > Welcome Email
Willster

9

~ 1.6.1-rc CE Magento부터는 두 가지 비밀번호 재설정 템플릿이 제공 됩니다. 하나는 비밀번호 일반 텍스트를 갖고 다른 하나는 재설정 링크를 갖습니다. 링크 템플릿 재설정 파일 이름은 account_password_reset_confirmation.html일반 텍스트 비밀번호 이메일 파일이 호출되는 동안password_new.html

이동 :

System > Configuration > Customers > Customer Configuration > Password Options

"이메일 템플릿 분실"의 값을 "비밀번호 분실 (로케일의 기본 템플릿)"로 변경하십시오.

편집하다

다시 읽었을 때 (그리고 @ davidalger가 그런 신사가되었습니다) 나는 잘못 해석했을 수 있습니다. 그러나 새 고객 가입 이메일에서 비밀번호 알림 필드를 제거하는 것은 매우 쉽습니다. 라인을 편집하십시오 (~ 라인 34).

<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

파일에서 app/locale/en_US/template/email/account_new.html.

또는 @davidalger의 답변을 받아 들이고 받아 들일 만합니다.


1

1.9.x (및 이전 버전)에는 다른 템플릿 외에 다른 템플릿이 있습니다.

변경할 새 계정 템플릿) : 새 계정 확인 키 온도

late 는 암호를 일반 텍스트로 보냅니다.


0

1.9.x (및 이전 버전)에는 New Account변경해야 할 다른 템플릿 (템플릿 외에 )이 있습니다. New Account Confirmation Key템플릿도 비밀번호를 일반 텍스트로 보냅니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.