Некоторые сайты, например, такие как Halifax и Barclaycard, будут запрашивать у пользователя конкретные буквы своего пароля. Но если пароль пользователя солен и хэширован, я не вижу, как можно использовать отдельные буквы. Таким образом, либо пароль не хэшируется, либо есть другой процесс. Возможно, каждая отдельная буква пароля соленая и хеширована, но это не кажется особенно надежным.Как аутентифицироваться в отношении конкретных букв пароля
Может ли кто-нибудь объяснить, какая модель аутентификации используется здесь? Учитывая, что это довольно распространенное место, я должен предположить, что существует надежная модель для поддержки этой практики.
Редактировать: Лучший ответ, который я нашел, на самом деле находится на security.stackexchange.com 'How do some sites (e.g. online banks) only ask for specific characters from a password without storing it as plaintext?', поэтому я также буду голосовать, чтобы закрыть мой вопрос.
Надеюсь, вы не собираетесь использовать эту модель для своего собственного проекта. – Gumbo
Нет, еще нет, но учитывая, что он существует в ситуациях, которые я описываю, это заставило бы меня поверить, что за этим стоит прочная модель. И из-за этого я хотел бы знать, является ли это жизнеспособным вариантом и как это работает, предпочтительно от того, кто его реализовал. – Digbyswift
О, ты не должен этого допускать! Даже несмотря на то, что он используется, казалось бы, крупными компаниями, они все равно могут ошибаться. Я имею в виду, если вас попросят только три буквы вашего пароля, пароль для доступа к вашей учетной записи также будет всего в трех буквах, независимо от того, как долго ваш фактический пароль. – Gumbo