Klartext Kundenpasswort in Email - Abgelehnt durch Trusted Shop Zertifizierung

[ove]

Moin Moin,

wir sind grad in der Zertifizierungsphase von Trusted Shops. Die Übertragung der Kundenpasswörter nach Accounterstellung und bei "Passwort vergessen" erfolgt im Klartext und sind somit ein No-Go für die Zertifizierung, laut dem Prüfprotokoll. Aktuell wird ein 3.20er Shop genutzt. Wenn ich das richtig gelesen habe schickt der Shop4 diese Passwörter wohl nicht mehr mit, allerdings ist das Update auf den 4er so kurzfristig nicht möglich.

Ich frage mich jetzt wie ihr das macht? Schneidet ihr ein paar Stellen ab und ersetzt diese mit Sternchen? (wie hier beschrieben) Verzichtet ihr ganz auf das Senden von Passwörtern? Grade bei der "Passwort vergessen" Funktion würde beides aktuell ja nicht wirklich funktionieren. Es wird ja nicht das Passwort resettet und ein one-time-link verschickt, sondern eben ein neues eindeutiges Passwort gesetzt. Dieses Passwort muss dem Kunden ja mitgeteilt werden.

Oder übersehe ich einfach irgendwo eine Option, die diese ganze Problematik umgeht? Es gibt ja etliche Trusted Shops zertifizierte JTL Shop3s, da hat doch nicht jeder solche grundlegenden Funktionen umgebaut, oder doch?

Danke für eure Hilfe!

 

[Hangman]

AW: Klartext Kundenpasswort in Email - Abgelehnt durch Trusted Shop Zertifizierung

Bei der Neukundenanmeldung haben wir im E-Mail-Template das Passwort ausgeblendet und durch einen Text alá "aus Datenschutzgründen bla..." ersetzt. Ist sowieso eine Unart, das Passwort im Klartext durchs Internet zu jagen.

Beim Reset (Passwort vergessen) wird ein neues Passwort generiert und wir teilen dem Kunden in der E-Mail mit, dass er sein Passwort ändern soll. Besser wäre ein temporäres Passwort mit 24h Gültigkeit und der Zwang beim nächsten Login das Passwort zu ändern. Trusted Shops hat damit kein Problem (gehabt).

 

[ove]

AW: Klartext Kundenpasswort in Email - Abgelehnt durch Trusted Shop Zertifizierung

Wie genau macht ihr das beim Reset? Ich dachte, dass das generierte neue Passwort dann sofort gesetzt ist und der Kunde sich mit seinem alten nicht mehr anmelden kann?

Die Variante mit einem 24Std one-time-Passwort wäre perfekt! Genau das hätte ich gerne, aber der Aufwand ist wohl erstmal zu groß.

 

[Hangman]

AW: Klartext Kundenpasswort in Email - Abgelehnt durch Trusted Shop Zertifizierung

Das generierte Passwort ist dann auch sofort gesetzt. Teil dem Kunden mit, dass er das Passwort dann zeitnah durch ein eigenes ersetzen soll.

Das andere ist möglicherweise durch ein Plugin machbar, mir ist aber keines bekannt.

 

[ove]

AW: Klartext Kundenpasswort in Email - Abgelehnt durch Trusted Shop Zertifizierung

Verstehen kann ich nicht wieso Trusted Shop den Shop3 vorzertifiziert, wenn sie sich an einer so grundlegenden Funktion stören. Ich kann aus Datenschutzgründen komplett verstehen, dass sie es als Mangel deklarieren. Ich frage mich allerdings wie es die ganzen anderen zertifizierten Shop3s lösen.

Gibt es eventuell ein Plugin, dass ich die ganze Zeit übersehe?

 

[ag-websolutions.de]

AW: Klartext Kundenpasswort in Email - Abgelehnt durch Trusted Shop Zertifizierung

Der Shop 4 arbeitet nach den neuesten Vorgaben von TS

 

[HMS_IT]

AW: Klartext Kundenpasswort in Email - Abgelehnt durch Trusted Shop Zertifizierung

Der Shop 4 arbeitet nach den neuesten Vorgaben von TS

Das ist ja sehr schön, dass der Shop4 das macht... Allerdings gibt es eben auch noch Shops auf Shop3-Basis, die genau deswegen jetzt aus der Zertifizierung fliegen. Da ist diese Aussage so hilfreich wie der Wetterbericht für China... Sorry AGWS, aber etwas Mehrwert würde ich mir von einem Service-Partner schon wünschen.

Wir haben gerade seit heute das gleiche Problem... Hat noch jemand einen Tip?