verschlüsselte Passwörter in Mail an Kunden

[dobra]

Hallo,

wenn ich im WC unter Optionen/Projekt/Datenschutz "Verschlüsselung im Onlineshop" aktiviere, werden die PWs ja in der DB verschlüsselt abgelegt und im WC im Klartext angezeigt.
Soweit alles OK

aber....
Der Kunde bekommt das PW mit der automatisch versendeten Mail an Kunden -> Anmeldung_kunde.txt

Code: [Auswählen]

Ihre Login-Daten:
Login: __user__
Passwort: __pass__jetzt auch verschlüsselt
z.B.: so e7fdeb0db4a31725757cca10fdb66da1
und damit kann er sich nicht einloggen ....

Wie kann ich das entschlüsseln ?
= was muss ich ändern damit der Kunde sein PW wieder im Klartext bekommt ?

P.S.: gerade getestet -  bei "Passwort vergessen" wird das PW auch mit __pass__ ausgegeben (ebenfalls txt-Mail), hier wird es aber im Klartext gesendet
PP.S.:  die Anmeldungsmail kommt aus dem alternativen Bestellablauf - falls das einen Unterschied macht ?

Linkback: https://www.shoppilot.net/pf/index.php?topic=1623.0

[ahe]

Hallo Dobra,

das Passwort lässt sich nicht entschlüsseln.
Das ist ja der Sinn einer Passwortverschlüsselung

Der Kunde kann sich nur ein neues Passwort generieren lassen.
Genau das passiert beim ausführen von "Passwort vergessen".
Dem Kunden wird hierbei ein neues Zufallspasswort generiert mit dem er sich dann einloggen kann.
Idealerweise sollte in der Mail darauf hingewiesen werden, dass er sein Passwort im Kundenkonto umgehend ändern sollte.

[dobra]

ja - stimmt
Habe es nochmal getestet, bei udc_pwlost bekommt er nicht SEIN PW sondern ein neues zufälliges.
(war früher anders.... glaube ich ?)

aber
Wenn er im alt. Bestellablauf nur das codierte PW bekommt, kann er sich damit ja nicht einloggen  
Wenn er sich das PW das er bei der Anmeldung eingetippt hat also nicht gemerkt hat, kann er sich dann nur ein neues generieren lassen und das dann wieder ändern.

bisschen umständlich ....
Jedenfalls muss ich dann den Text der Mail ändern - mit dem jetzt zugesandten codierten PW macht das ja keinen Sinn und verwirrt den Kunden nur.

Habe bereits eine Mail bekommen
"kann mich nicht einloggen"

[ahe]

Das ganze ist zwar umständlich, in der heutigen Zeit aber leider aus Sicherheitsgründen üblich geworden.
Passwörter sollten nach Möglichkeit nirgends im Klartext gespeichert werden und auch nicht per Mail verschickt werden.
Der ganze Vorgang orientiert sich an den aktuell geläufigen Methoden.
In den meisten Foren zb wird das ähnlich gelöst.
Dort registriert man sich mit einem Passwort, das einem aber nicht zugeschickt wird.
Wenn ein Benutzer dann sein Passwort vergisst muss er sich ein neues anfordern.

Aber das mit der Mail stimmt natürlich.
Dort sollte das verschlüsselte Passwort nicht mehr auftauchen.
Das ist für den Kunden verwirrend.