É uma boa prática (do ponto de vista de segurança) enviar a um cliente a senha que eles forneceram durante o registro por email?
Não, definitivamente não é!
Nós frequentemente mudamos isso para os clientes?
Não. Infelizmente não. Provavelmente deveríamos, mas normalmente é um dos itens mais baixos da lista de preocupações. Nos últimos 5 anos, lembro-me apenas de um único cliente perguntando sobre isso. Foi depois de receber um e-mail inflamado de um cliente que não estava muito feliz com o fato de sua senha ter sido enviada por e-mail e que estava questionando a segurança de fornecer ao site as informações de CC para fazer um pedido.
Eu recomendo fazer essa alteração em qualquer nova loja. Vale a pouco tempo, e os supostos "benefícios" mencionados abaixo não correm o risco de transmitir a senha de maneira insegura.
Existem benefícios em incluir a senha no novo e-mail da conta?
Sim, existem (embora a IMO não sejam verdadeiramente benéficas). Provavelmente isso depende da demografia do site, e infelizmente não tenho estatísticas aqui, mas as pessoas perdem senhas. Pessoas como eu usam senhas únicas para tudo e as armazenam em chaveiros, mas a maioria não usa, em vez disso, as anota em notas adesivas, as grava em computadores ou as envia por e-mail para elas mesmas. Um cliente que não pode fazer um pedido porque não pode fazer login é um pedido / cliente perdido ou um cliente insatisfeito, que um CSR deve ajudar a usar o site.
Não estou absolutamente dizendo que vale a pena o risco à segurança! É apenas uma "razão" per se por que eles estão em e-mails em primeiro lugar.
Uma coisa importante que entra em jogo é o simples fato de as pessoas ainda usarem a mesma senha em muitos lugares diferentes. Portanto, mesmo que não importe se uma única conta de cliente em seu site específico está comprometida, a senha pode ser usada para comprometer contas que podem ser de natureza mais sensível. Não que um site de comércio eletrônico não contenha PII, mas normalmente não contém o mesmo nível de informações confidenciais que um banco continha, por exemplo.
O risco para a loja de comércio eletrônico individual se torna muito maior (independente da polinização cruzada de senha) quando as informações do cartão de crédito são armazenadas para facilitar o pedido e a compra mais fáceis. Isso abre o risco de usuários não autorizados invadir a conta, comprar no cartão de crédito de clientes e enviar o pedido para outro local.
Qual versão do Magento está sendo usada, neste caso, não importa muito. Todas as versões com as quais trabalhei (incluindo o EE 1.13) enviam a senha da conta do cliente em texto não criptografado por e-mail na criação da conta inicial. As versões mais recentes não incluem a senha nos e-mails de redefinição de senha e optam por um link expirado. Mas se você redefinir a senha do administrador, mesma situação, ela será enviada em texto não criptografado.
Impedir que a senha seja enviada nos e-mails de registro de conta é bastante simples e pode ser feito prontamente pelo administrador do Magento, seguindo algumas etapas simples:
Vá para Sistema> Emails Transacionais
Clique no botão Adicionar novo modelo
No menu suspenso Modelo, escolha "Nova conta"
Carregue o modelo no formulário clicando no botão Carregar Modelo
Encontre a seguinte linha de código no modelo e remova-a:
<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
Edite a cópia no modelo para refletir melhor a natureza do email. Partes do modelo padrão (Ex: "valores a seguir") não farão sentido sem a senha presente ...