Identifica un utente usando caratteri casuali della password

1

Supponendo che una password non sia memorizzata in testo normale, com'è possibile che un addetto all'assistenza sia in grado di identificare durante una telefonata un cliente chiedendogli caratteri casuali della sua password?

Ad esempio, se la password è "password", l'addetto al supporto chiede il primo e il quarto carattere, il cliente dice "p" e "s". A questo punto, l'addetto all'assistenza ritiene che stia parlando con il cliente legittimo.

L'unica soluzione che mi viene in mente è che stanno usando password in chiaro, ma spero che non sia così e che ci sia un'altra soluzione, perché è una banca ...

PS: è uno scenario reale, nessun tentativo di phishing.

EDIT: come diceva Matthew, senza avere accesso al loro sistema è impossibile sapere cosa sta succedendo. L'obiettivo della mia domanda era sapere se esistono metodi noti "pubblici" per raggiungere questo obiettivo, non un algoritmo personalizzato.

    
posta yzT 15.11.2016 - 18:20
fonte

2 risposte

3

Il punto di un hash crittografico non è reversibile, quindi non è possibile ottenerlo da quello.

È possibile che scelgano e memorizzino alcuni caratteri della password quando è impostata, quindi il servizio clienti conosce i caratteri 1 e 4, ma non 2 o 3. Tuttavia, sospetto strongmente che stiano memorizzando la password in crittografia reversibile, perché è molto più semplice di una spiegazione, e le banche non sono note per le loro pratiche di sicurezza delle informazioni.

    
risposta data 15.11.2016 - 18:31
fonte
0

Potrebbe essere che abbiano una serie di coppie di caratteri (con un strong sale, usando un algoritmo decente), e dettagli su quale coppia di personaggi sia. Se poi chiedono i caratteri richiesti dal sistema, il sistema può eseguire l'hash e restituire una risposta vera o falsa. Non dovrebbe cambiare la coppia richiesta fino a quando non è stata trovata una risposta vera o sono stati eseguiti tre tentativi (ad esempio).

In questo caso, non sarebbe necessario memorizzare password in testo semplice, la persona del servizio clienti non sarebbe in grado di accedere a più di 2 caratteri (e sarebbe solo in grado di verificarli in modo verificabile), e il punto più debole sarebbe l'entropia relativamente bassa di due lettere.

Tuttavia, non puoi sapere se è quello che fanno senza accedere ai loro sistemi ...

    
risposta data 15.11.2016 - 18:29
fonte

Leggi altre domande sui tag