No, ciò che stanno facendo è troncare ogni carattere e memorizzarlo o archiviare la password in chiaro in un dispositivo sicuro, ad es. HSM.
Non è un approccio negativo; la banca richiede all'utente di inserire un numero di caratteri (ad esempio HSBC è 3 da posizioni casuali). Significa che se un trojan, un key logger o un sito di phishing hanno catturato quei 3 caratteri, non hanno la password completa.
Permette inoltre alla banca di utilizzare la password parziale per autenticare gli utenti al telefono ecc. senza fare affidamento su domande segrete o una password diversa, sempre senza che il call centre conosca la password completa
Alcuni problemi che probabilmente sono il motivo per cui non è più usato:
-
Il principale è che non si desidera archiviare la password in chiaro (infatti i regolamenti come PCI-DSS non lo consentono). Quindi l'approccio è creare un hash unidirezionale della password e memorizzarlo. Quando l'utente immette la password, questa viene sottoposta a hash e confrontata con l'hash memorizzato, se corrispondono all'utente autenticato. Con una password parziale è necessario memorizzare la password con crittografia reversibile che non è la procedura migliore o memorizzare un numero elevato di hash, ad es. per HSBC con un compleanno più ogni carattere della password richiede un hash separato. Devi anche imporre una lunghezza massima della password in modo da poter allocare i campi nel database per archiviare tutti gli hash (anche se probabilmente ci sono probabilmente più intelligenti tecnologie di database e applicazioni che potrebbero aggirare questo)
-
Incoraggia gli utenti a selezionare password deboli, ad es. se ho una password complessa di 8 caratteri: tpEz% e2S. Cercando di ricordare quale sia il secondo, il quinto e il quinto carattere di questo è difficile, il che incoraggia gli utenti a selezionare una semplice parola del dizionario.
-
Inoltre, se non ci sono funzionalità di blocco degli account, è esponenzialmente più facile da indovinare o forza bruta 3 caratteri di 8 caratteri.
-
La confidenza che la password completa non è nota potrebbe essere collocata erroneamente ad es. se la password è Fulham e conosci F, l, h, potresti forse fare una discreta supposizione con la password completa
-
Un sito di phishing che chiedeva semplicemente il 1 °, 3 °, 5 °, poi ha detto che la password errata e cambiata per chiedere il 2 °, 4 °, 6 ° potrebbe anche ottenere la password completa come utente probabilmente inserirla prima che ci pensassero due volte
-
Dal punto di vista dell'utente, significa che non possono utilizzare i browser per ricordare password o un gestore di password come Lastpass o 1Password
La maggior parte delle banche si sta allontanando dal fare affidamento su nome utente e password, ad es. HSBC offre un token RSA per i clienti aziendali, Barclays ha un lettore di smart card EMV, quasi tutti utilizzano la tecnologia di rilevamento come l'autenticazione adattiva RSA per stabilire una linea di base di browser, posizione, profilo di utilizzo, velocità ecc per l'autenticazione passiva e il rilevamento di uso non autorizzato.