ABAKUS

99% machen es wohl so, wie es die Shopsoftware vorgibt, nech?

Ich versende die Daten auch nochmal zur Kontrolle. Ausserdem kann der user dann immer wieder mal sein PW nachsehen, das er 100% beim nächsten Besuch vergessen hat.

Und wieso Datenschutz?
Ich sende dem Kunden ja nur die Daten zurück, die er mir zuvor angegeben hat.

Hey,

danke für deine Antwort. Ich sehe das eigentlich auch so, hatte jetzt nur einen Kunden, der sich beschwert hatte, das sein Passwort per Mail noch einmal übermittelt wurde.

So eine Kundin hatte ich auch schon - die quasi völlig entsetzt über diese Vorgehensweise war, das Passwort lesbar per Email zu verschicken...

Eigentlich machen das ja aber alle so - egal ob Foren, Shops, oder SB.

Ich kann schwer abschätzen, wie "gefährlich" sowas nun wirklich ist - vielleicht kann sich dazu nochmal einer der Experten äußern?

Grüße

Was soll daran gefährlich sein?
Selbst wenn jemand Ihren Emailaccount hackt oder die mail unterwegs mitliest... was würde schlimmstenfalls passieren?
Der Pöse Mensch loggt sich im shop ein und bestellt Ware. Dann bekommt der Kunde ne Bestellbestätigung. Wenn er die liest und nicht selbst bestellt hat, wird er sich eh melden beim Shopbetreiber.
Falls nicht, versendet der die Ware und die wird retourniert. (Falls es Ware mit Widerrufsrecht/Rückgaberecht war)
Dann geht das ans Inkasso, da ja nachweislich über Ihren Account bestellt wurde.

Wenn das ein Kunde nicht will, dann soll er halt nen öffentlichen PGP-Schlüssel vorher in einer Mail mitschicken und drauf beharren, das er keine unverschlüsselten Mails will. (Und spätestens dann sperre ich ihn eh als Kunden...)

Ich kenne noch als Varianten (allerdings jetzt nicht bei Shopsoftware), dass

bei der Registrierung kein Passwort verschickt wird, weil man es selbst eingegeben hat

bzw. man einen einmaligen Anmeldelink klickt und dann dort ein neues angeben kann.


Wenn man das jetzt wirklich mal vergessen hat, dann

generiert das System ein neues Passwort und schickt einem dieses zu (das alte zuschicken geht nicht, md5 sollte es ja doch mindestens sein) - Nachteil: man hat es wieder in einer E-Mail

oder generiert wieder so einen Einmal-Link, zum Zurücksetzen.

e-fee hat geschrieben:generiert das System ein neues Passwort und schickt einem dieses zu (das alte zuschicken geht nicht, md5 sollte es ja doch mindestens sein) - Nachteil: man hat es wieder in einer E-Mail

ich habe auch schon systeme gesehen bei denen man in der passwort-vergessen-Mail nur einen Link hat mit dem man innerhalb von 30 Minuten ein neues Passwort online eingeben kann.... so steht dies nie in der Mail... und der Link selber ist nur 1 mal für max. 30 Minuten gültig.

Is ja toll. Aber ich weiß aus Erfahrung, das die meisten Kunden anrufen und einem vorjammern: "Könnense mir mein PW sagen?" (Als ob ich das wüßte. Kann und will ich selbst nicht lesen können)