Vedo che il nuovo meccanismo di accesso utilizzato da alcune banche nel Regno Unito e utilizzato anche dall'autenticazione del visto è chiedere tre caratteri casuali dalla password all'accesso (ad esempio secondo, nono e quarto) ma ciò significa sicuramente che il la password non è hash, giusto? Forse criptato al meglio ... Questo è molto brutto, vero? O c'è un modo per cancellare una password e calcolare ancora questi caratteri? Non riesco a pensare a niente ...
Ciò deriva dal momento in cui le persone continuavano a utilizzare la banca telefonica e un operatore era tenuto a chiedere una password. Per impedire all'operatore di conoscere la password completa, riceverà solo tre caratteri della password e le loro posizioni.
In realtà non è necessariamente una cosa negativa se implementata correttamente. Hai ragione affermando che la password non è hash. Questo schema è chiamato password mascherata o parziale . Alcune banche usano questo e l'idea alla base è che nel caso in cui un client abbia un keylogger installato sul proprio sistema, non si otterrà mai la password completa. Impedisce inoltre all'utente di archiviarlo in uno strumento di completamento automatico o di riempimento automatico.
La maggior parte delle implementazioni in realtà trasmette le password a un altro servizio in esecuzione nel back-end (il che significa che non si parla direttamente al database ma a un servizio web separato).
Personalmente non sono un fan di questi schemi se non sono implementati insieme a un secondo fattore di autenticazione. Hanno completamente fallito nell'affrontare la maggior parte degli altri malware rispetto ai keylogger e alla maggior parte degli attacchi di social engineering.
Da quello che ho visto, di solito chiedono nome utente (o ID account) e password, quindi tre caratteri da una seconda passphrase. Questo aiuta a prevenire una grande maggioranza di keylogger e grabber non mirati, dato che catturare un login probabilmente non ti darà abbastanza informazioni per accedere una seconda volta.
In termini di sicurezza, ci sono alcuni modi in cui questo può funzionare. Il metodo più sicuro e comune è un Hardware Security Module (HSM), che è essenzialmente un dispositivo black-box che consente di eseguire operazioni limitate sui dati al suo interno, con misure di sicurezza sia hardware che software. L'idea è che puoi dire all'HSM di impostare la passphrase dell'utente o verificarne tre caratteri, ma non puoi chiederlo di dirti l'intera passphrase.
Un'altra opzione è crittografare le password in un database accessibile tramite un servizio Web interno che emula la funzionalità di scrittura / verifica dell'HSM. È meno sicuro, ma ha migliorato le opzioni di costo e può essere più flessibile se la banca ha un team di sviluppo interno.
Leggi altre domande sui tag authentication encryption passwords password-management hash