In alcuni siti autenticati da password, ti viene chiesto di inserire una selezione casuale di caratteri specifici dalla tua password piuttosto che dall'intera parola / frase. Ad esempio, potrebbe indicare "Inserire la 1a, 4a e 8a lettera" e fornire tre caselle di input separate.
Da quel poco che so di meccanismi di sicurezza, mi sarei aspettato che questo fosse meno sicuro che inserire l'intera password, salatandola + facendo un hashing e confrontandola con l'hash memorizzato, dato che non c'è alcun testo chiaro da nessuna parte in vista.
Questo sistema viene utilizzato da (si spera) siti Web molto sicuri, anche se alcuni siti bancari nel Regno Unito.
Quindi la mia domanda in due parti è, è così sicuro come il confronto tradizionale tra sale e hash e perché è così?