verschlüsselte Passwörter in Mail an Kunden

Begonnen von dobra, August 04, 2012, 19:05:25

« vorheriges - nächstes »

0 Mitglieder und 1 Gast betrachten dieses Thema.

dobra

Hallo,

wenn ich im WC unter Optionen/Projekt/Datenschutz "Verschlüsselung im Onlineshop" aktiviere, werden die PWs ja in der DB verschlüsselt abgelegt und im WC im Klartext angezeigt.
Soweit alles OK

aber....
Der Kunde bekommt das PW mit der automatisch versendeten Mail an Kunden -> Anmeldung_kunde.txt
Ihre Login-Daten:
Login: __user__
Passwort: __pass__

jetzt auch verschlüsselt :(
z.B.: so e7fdeb0db4a31725757cca10fdb66da1
und damit kann er sich nicht einloggen ....

Wie kann ich das entschlüsseln ?
= was muss ich ändern damit der Kunde sein PW wieder im Klartext bekommt ?

P.S.: gerade getestet -  bei "Passwort vergessen" wird das PW auch mit __pass__ ausgegeben (ebenfalls txt-Mail), hier wird es aber im Klartext gesendet
PP.S.:  die Anmeldungsmail kommt aus dem alternativen Bestellablauf - falls das einen Unterschied macht ?
mfG
dobra

ahe

Hallo Dobra,

das Passwort lässt sich nicht entschlüsseln.
Das ist ja der Sinn einer Passwortverschlüsselung ;)

Der Kunde kann sich nur ein neues Passwort generieren lassen.
Genau das passiert beim ausführen von "Passwort vergessen".
Dem Kunden wird hierbei ein neues Zufallspasswort generiert mit dem er sich dann einloggen kann.
Idealerweise sollte in der Mail darauf hingewiesen werden, dass er sein Passwort im Kundenkonto umgehend ändern sollte.
MfG ahe

dobra

#2
ja - stimmt
Habe es nochmal getestet, bei udc_pwlost bekommt er nicht SEIN PW sondern ein neues zufälliges.
(war früher anders.... glaube ich ?)

aber
Wenn er im alt. Bestellablauf nur das codierte PW bekommt, kann er sich damit ja nicht einloggen  ???
Wenn er sich das PW das er bei der Anmeldung eingetippt hat also nicht gemerkt hat, kann er sich dann nur ein neues generieren lassen und das dann wieder ändern.

bisschen umständlich ....
Jedenfalls muss ich dann den Text der Mail ändern - mit dem jetzt zugesandten codierten PW macht das ja keinen Sinn und verwirrt den Kunden nur.

Habe bereits eine Mail bekommen
"kann mich nicht einloggen"
mfG
dobra

ahe

Das ganze ist zwar umständlich, in der heutigen Zeit aber leider aus Sicherheitsgründen üblich geworden.
Passwörter sollten nach Möglichkeit nirgends im Klartext gespeichert werden und auch nicht per Mail verschickt werden.
Der ganze Vorgang orientiert sich an den aktuell geläufigen Methoden.
In den meisten Foren zb wird das ähnlich gelöst.
Dort registriert man sich mit einem Passwort, das einem aber nicht zugeschickt wird.
Wenn ein Benutzer dann sein Passwort vergisst muss er sich ein neues anfordern.

Aber das mit der Mail stimmt natürlich.
Dort sollte das verschlüsselte Passwort nicht mehr auftauchen.
Das ist für den Kunden verwirrend.
MfG ahe