Mots de passe dans l'email d'inscription. Mauvaise pratique? Conforme à PCI?

49

Nous utilisons Magento Enterprise (1.12) et plusieurs clients me disent déjà qu'ils ont reçu leur mot de passe par courrier électronique lorsqu'ils se sont inscrits pour créer un compte. Je sais que cela est considéré comme une mauvaise pratique, mais vient avec Magento hors de la boîte.

Je vais le changer et le supprimer du modèle d'e-mail, ce qui est assez simple, mais j'étais simplement curieux de savoir pourquoi Magento le fait si cela a longtemps été considéré comme une mauvaise pratique? Je sais que peu d’informations sensibles sont stockées dans un compte utilisateur et que nous effectuons la validation des cartes de crédit, mais "Magento Enterprise le fait de cette façon, donc ça doit aller." semble être une mauvaise réponse pour moi à donner ..

En outre, de nombreux développeurs Magento font-ils souvent de ce problème une "liste de tâches à faire" lors de la création d'un nouveau site Magento, comme la suppression de la validation du téléphone?

willboudle
la source
Quelle version de EE?
Benmarks
@benmarks La version de EE n'a pas vraiment d'importance dans ce cas, ils envoient tous le mot de passe dans les emails d'inscription au compte. :)
davidalger
@davidalger voir ma réponse. Depuis EE 1.10, il existe deux versions du modèle de réinitialisation de mot de passe.
philwinkle
1
@philwinkle D'accord, mais le courriel de réinitialisation n'était pas celui sur lequel l'OP demandait. Ils demandaient à propos de l'e-mail d'inscription ...
davidalger
@davidalger bien la bonté. Je mérite toutes sortes de votes négatifs :) Je vais vous éditer et vous inviter à voter parce que vous prenez le temps de lire.
philwinkle

Réponses:

32

Est-ce une bonne pratique (du point de vue de la sécurité) d’envoyer par courrier électronique le mot de passe fourni lors de l’enregistrement par un client?

Non, ce n'est vraiment pas le cas!

Est-ce que nous changeons souvent cela pour les clients?

Non, malheureusement pas. Nous devrions probablement, mais c'est généralement l'un des éléments les plus bas de la liste des soucis. Au cours des 5 dernières années, je ne me souviens que d’un seul client à ce sujet. C’est après avoir reçu un e-mail enflammé d’un client qui n’était pas trop content que son mot de passe lui ait été envoyé par e-mail et qui s’interrogeait alors sur la sécurité de l’avoir donné au site leur information CC pour passer commande.

Je recommande fortement de faire ce changement pour tout nouveau magasin. Cela vaut le peu de temps, et les supposés "avantages" que je mentionne ci-dessous ne valent pas les risques de transmission non sécurisée du mot de passe.

Y a-t-il des avantages à inclure le mot de passe dans la nouvelle adresse électronique du compte?

Oui, il y en a (bien que l'OMI, ils ne sont pas vraiment bénéfiques). Cela dépend probablement de la démographie du site, et je n'ai malheureusement pas de statistiques ici, mais les gens perdent leurs mots de passe. Des personnes comme moi utilisent des mots de passe uniques pour tout et les stockent dans des trousseaux, mais la plupart ne les écrivent pas. Un client qui ne peut pas passer de commande parce qu'il ne peut pas se connecter est soit un client / client perdu, soit un client mécontent qu'un RSC doit aider à utiliser le site.

Je ne suis absolument pas en train de dire que cela vaut le risque de sécurité! C'est juste une "raison" en soi pour laquelle ils sont dans les courriels en premier lieu.

Une chose importante qui entre en jeu est le simple fait que les gens utilisent toujours le même mot de passe dans de nombreux endroits. Ainsi, même s'il importe peu qu'un compte client de votre site Web soit compromis, le mot de passe peut être utilisé pour compromettre des comptes qui pourraient être de nature plus sensible. Cela ne signifie pas qu'un site de commerce électronique ne contient pas de données personnelles, mais il ne contient généralement pas le même niveau d'informations sensibles qu'une banque, par exemple.


Le risque pour chaque magasin de commerce électronique individuel devient beaucoup plus grand (indépendamment de la polarité croisée des mots de passe) lorsque les informations de carte de crédit sont stockées pour faciliter la commande et l'achat. Cela vous expose au risque de voir des utilisateurs non autorisés entrer dans le compte, effectuer des achats sur une carte de crédit et faire livrer la commande ailleurs.

Quelle version de Magento est utilisée, dans ce cas, importe peu. Toutes les versions avec lesquelles j'ai travaillé (y compris EE 1.13) envoient le mot de passe du compte du client en texte clair par courrier électronique lors de la création du compte initial. Les versions plus récentes n'incluent pas le mot de passe dans les courriels de réinitialisation de mot de passe et optent plutôt pour un lien expirant. Mais si vous réinitialisez le mot de passe à partir de l’administrateur, même situation, il est envoyé en texte clair.


Empêcher le mot de passe d'être envoyé dans les e-mails d'enregistrement de compte est assez simple et peut être facilement effectué à partir de l'administrateur de Magento en suivant quelques étapes simples:

  1. Allez dans Système> Courriels transactionnels

  2. Cliquez sur le bouton Ajouter un nouveau modèle

  3. Dans le menu déroulant Modèle, choisissez "Nouveau compte".

  4. Chargez le modèle dans le formulaire en cliquant sur le bouton Charger le modèle.

  5. Recherchez la ligne de code suivante dans le modèle et supprimez-la:

    <strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
  6. Modifiez la copie dans le modèle pour mieux refléter la nature de l'e-mail. Certaines parties du modèle par défaut (ex: "valeurs suivantes") n'auront aucun sens si le mot de passe n'est pas présent ...

Davidalger
la source
Merci pour la réponse informative. C’est ce que je pensais, mais comme elle a réussi à survivre dans de nombreuses versions de la plate-forme, j’ai pensé que je devrais demander. Il a fallu moins de temps pour réparer que pour écrire cette réponse, mais cela semblait être une mauvaise pratique d’être comme ça au départ.
willboudle
1
Si vous créez un nouveau modèle de courrier électronique, vous devrez peut-être sélectionner ce nouveau modèle à l' System > Configuration > Customers > Customer Configuration > Create New Account Options > Welcome Email
adresse suivante
9

Depuis ~ 1.6.1-rc CE, Magento est livré avec deux modèles de réinitialisation de mot de passe différents . L'un a le mot de passe en texte clair, l'autre un lien de réinitialisation. Le nom de fichier du modèle de lien de réinitialisation est account_password_reset_confirmation.htmlpendant que le fichier de courrier électronique avec mot de passe en texte brut est appelépassword_new.html

Aller à:

System > Configuration > Customers > Customer Configuration > Password Options

Changez la valeur de "Modèle d'email oublié" en "Mot de passe oublié (Modèle par défaut de l'environnement local).

Modifier

En relisant (et @davidalger étant un homme si gentil), j'ai peut-être mal interprété. Cependant, il est également très facile de supprimer le champ de rappel de mot de passe dans le nouvel e-mail d'inscription du client. Editez la ligne (~ ligne 34):

<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

Dans le dossier app/locale/en_US/template/email/account_new.html.

Ou bien, faites simplement passer votre vote et acceptez la réponse de @ davidalger parce qu'il le mérite!

philwinkle
la source
1

Notez que dans 1.9.x (et peut-être plus tôt), il existe un autre modèle (outre le

Nouveau modèle de compte) à modifier: la clé de confirmation de nouveau compte temp

tard envoie également le mot de passe en texte clair.

Asish Hira
la source
0

Notez que dans 1.9.x (et peut-être plus tôt), il existe un autre modèle (en plus du New Accountmodèle) à modifier: le New Account Confirmation Keymodèle envoie également le mot de passe en texte clair.

Poiré
la source