Contraseñas en el correo electrónico de registro. ¿Mala práctica? ¿Cumple con PCI?

49

Usamos Magento Enterprise (1.12) y varios clientes me han enviado correos electrónicos quejándose de que recibieron su contraseña por correo electrónico cuando se registraron para obtener una cuenta. Sé que esto se considera una mala práctica, pero viene con Magento fuera de la caja.

Voy a cambiarlo y eliminarlo de la plantilla de correo electrónico, lo cual es bastante fácil, pero tenía curiosidad por qué Magento hace esto si durante mucho tiempo se ha considerado una mala práctica. Sé que hay poca información confidencial almacenada en una cuenta de usuario, y validamos la tarjeta de crédito, pero "Magento Enterprise lo hace de esa manera, por lo que debe estar bien". Parece una mala respuesta para mí.

Además, ¿muchos desarrolladores de Magento hacen que esto sea una solución frecuente de 'lista de tareas pendientes' al crear un nuevo sitio de Magento, como eliminar la validación del teléfono?

email  security  ee-1.12 
willboudle
fuente
¿Qué versión de EE?
Benmarks
@benmarks La versión de EE realmente no importa en este caso, todos envían la contraseña en los correos electrónicos de registro de la cuenta. :)
davidalger
@davidalger mira mi respuesta. Desde EE 1.10 ha habido dos versiones de la plantilla de restablecimiento de contraseña.
philwinkle
1
@philwinkle Correcto, pero el correo electrónico de restablecimiento no era el que pedía el OP.
Preguntaban
@davidalger bien Dios. Merezco todo tipo de votos negativos :) Te editaré y votaré porque realmente te tomas el tiempo de leer.
philwinkle

Respuestas:

32

¿Es una buena práctica (desde un punto de vista de seguridad) enviar a un cliente la contraseña que proporcionó durante el registro por correo electrónico?

¡No, definitivamente no lo es!

¿Cambiamos esto frecuentemente para los clientes?

No. Lamentablemente no lo hacemos. Probablemente deberíamos, pero generalmente es uno de los elementos más bajos en la lista de preocupaciones. En los últimos 5 años, solo recuerdo que un solo cliente preguntó sobre esto. Fue después de recibir un correo electrónico ardiente de un cliente que no estaba muy contento de que le hubieran enviado su contraseña por correo electrónico, y que luego estaba cuestionando la seguridad de haberle dado al sitio su información de CC para realizar un pedido.

Recomiendo encarecidamente hacer este cambio para cualquier tienda nueva. Vale la pena la pequeña cantidad de tiempo, y los supuestos "beneficios" que menciono a continuación no valen los riesgos de transmitir inseguramente la contraseña.

¿Hay beneficios al incluir la contraseña en el correo electrónico de la nueva cuenta?

Sí, los hay (aunque IMO no son realmente beneficiosos). Esto probablemente depende de la demografía del sitio, y desafortunadamente no tengo ninguna estadística aquí, pero la gente pierde las contraseñas. Las personas como yo usan contraseñas únicas para todo y las almacenan en llaveros, pero la mayoría no, sino que las escriben en notas adhesivas, las graban en las computadoras o se las envían por correo electrónico. Un cliente que no puede realizar un pedido porque no puede iniciar sesión es un pedido / cliente perdido o un cliente insatisfecho que un CSR debe ayudar a usar el sitio.

¡Sin embargo, no estoy diciendo que valga la pena el riesgo de seguridad! Es solo una "razón" per-se por qué están en correos electrónicos en primer lugar.

Una gran cosa que entra en juego es el simple hecho de que las personas todavía usan la misma contraseña en muchos lugares diferentes. Por lo tanto, incluso si no importa si una sola cuenta de cliente en su sitio web en particular se ve comprometida, la contraseña se puede usar para comprometer cuentas que podrían ser de naturaleza más sensible. No es que un sitio de comercio electrónico no contenga PII, pero por lo general no contiene el mismo nivel de información confidencial que un banco, por ejemplo.

El riesgo para la tienda individual de comercio electrónico se vuelve mucho más grande (independiente de la polinización cruzada de contraseñas) cuando se almacena la información de la tarjeta de crédito para facilitar el reordenamiento y la compra. Le abre el riesgo de que usuarios no autorizados ingresen a la cuenta, compren con la tarjeta de crédito de un cliente y envíen el pedido a otro lugar.

Qué versión de Magento se está utilizando, en este caso, no importa mucho. Todas las versiones con las que he trabajado (incluida EE 1.13) envían la contraseña de la cuenta del cliente en texto sin formato por correo electrónico después de la creación inicial de la cuenta. Las versiones más recientes no incluyen la contraseña en los correos electrónicos de restablecimiento de contraseña y optan por un enlace que caduque. Pero si restablece la contraseña del administrador, la misma situación, se envía en texto sin formato.

Evitar que la contraseña se envíe en los correos electrónicos de registro de la cuenta es bastante simple y puede hacerse fácilmente desde el administrador de Magento siguiendo unos simples pasos:

  1. Vaya a Sistema> Correos electrónicos transaccionales

  2. Haga clic en el botón Agregar nueva plantilla

  3. En el menú desplegable Plantilla, elija "Nueva cuenta"

  4. Cargue la plantilla en el formulario haciendo clic en el botón Cargar plantilla

  5. Busque la siguiente línea de código en la plantilla y elimínela:

    <strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

  6. Edite la copia en la plantilla para reflejar mejor la naturaleza del correo electrónico. Partes de la plantilla predeterminada (Ej .: "valores siguientes") no tendrán sentido sin la contraseña presente ...

davidalger
fuente
Gracias por la respuesta informativa. Esto es lo que pensé, pero como ha logrado sobrevivir a través de muchas versiones de la plataforma, pensé que debería preguntar. Tomó menos tiempo arreglarlo que escribir esta respuesta, pero en primer lugar parecía una mala práctica.
willboudle
1
Si crea una nueva plantilla de correo electrónico, es posible que deba seleccionar esta nueva plantilla en:System > Configuration > Customers > Customer Configuration > Create New Account Options > Welcome Email
Willster
9

Desde ~ 1.6.1-rc, CE Magento se entrega con dos plantillas de restablecimiento de contraseña diferentes . Uno tiene el texto plano de la contraseña y el otro un enlace de restablecimiento. El nombre de archivo de la plantilla de enlace de restablecimiento es account_password_reset_confirmation.htmlmientras se llama al archivo de correo electrónico de contraseña de texto sin formatopassword_new.html

Ir:

System > Configuration > Customers > Customer Configuration > Password Options

Cambie el valor de "Olvidé la plantilla de correo electrónico" a "Olvidé mi contraseña (Plantilla predeterminada de la configuración regional).

Editar

Al volver a leer (y @davidalger es tan gentil), puedo haber malinterpretado. Sin embargo, también es muy fácil eliminar el campo de recordatorio de contraseña en el nuevo correo electrónico de registro del cliente. Edite la línea (~ línea 34):

<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

En el archivo app/locale/en_US/template/email/account_new.html.

¡O simplemente vota y acepta la respuesta de @davidalger porque se lo merece!

philwinkle
fuente
1

Tenga en cuenta que en 1.9.x (y tal vez antes) hay otra plantilla (además de la

Nueva plantilla de cuenta) para cambiar: la clave de confirmación de nueva cuenta temp

tarde también envía la contraseña en texto claro.

Asish Hira
fuente
0

Tenga en cuenta que en 1.9.x (y tal vez antes) hay otra plantilla (además de la New Accountplantilla) para cambiar: la New Account Confirmation Keyplantilla también envía la contraseña en texto claro.

Sidra de pera
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.