Il servizio di segnalazione del credito brank tedesco "Schufa" utilizza un cosiddetto "SuperPIN" per consentire agli utenti di reimpostare la propria password. Questo super pin è una permutazione di 30 lettere maiuscole e minuscole e cifre ed è spedito per posta all'utente al momento della registrazione.
Per resettare la password il sistema seleziona due posizioni e richiede i caratteri in quelle posizioni.
Mi chiedo quanto sia sicuro questo sistema contro gli attacchi al server. Il superpin non può essere memorizzato salato e hash perché il server ha bisogno di accedere a ogni singolo carattere. Macinare e salare il personaggio in ogni posizione (o tutte le 870 combinazioni a coppie) non resisterà nemmeno a un attacco di forza bruta contro l'hash.
Da questo fatto non posso ricavare un vantaggio sulla posta che spedisce un codice di reset all'utente. Cosa mi è mancato?