Nein, was sie tun, ist, jedes Zeichen zu haschen und dieses zu speichern oder das Passwort in einem hoffentlich sicheren Gerät, z. HSM.
Es ist kein schlechter Ansatz. Die Bank fordert den Benutzer auf, eine Anzahl von Zeichen einzugeben (z. B. ist HSBC 3 von zufälligen Positionen). Dies bedeutet, dass ein Trojaner, ein Key Logger oder eine Phishing-Site, die diese 3 Zeichen erfasst haben, nicht über das vollständige Kennwort verfügen.
Außerdem kann die Bank das Teilkennwort zur Authentifizierung von Benutzern über das Telefon usw. ohne verwenden Verlassen Sie sich auf geheime Fragen oder ein anderes Passwort, ohne dass die Callcenter-Person das vollständige Passwort kennt.
Einige Probleme, weshalb es wahrscheinlich nicht häufiger verwendet wird:
-
Das wichtigste ist, dass Sie das Passwort nicht im Klartext speichern möchten (tatsächlich verbieten Vorschriften wie PCI-DSS es). Der Ansatz besteht also darin, einen Einweg-Hash des Passworts zu erstellen und diesen zu speichern. Wenn der Benutzer das Kennwort eingibt, wird dieses gehasht und mit dem gespeicherten Hash verglichen, wenn sie übereinstimmen, wird der Benutzer authentifiziert. Bei einem Teilkennwort müssen Sie entweder das Kennwort mit reversibler Verschlüsselung speichern, was nicht die beste Vorgehensweise ist, oder eine große Anzahl von Hashes speichern, z. Für HSBC mit einem Geburtstag und jedem Zeichen des Passworts ist ein separater Hash erforderlich. Sie müssen auch eine maximale Kennwortlänge festlegen, damit Sie die Felder in der Datenbank zuweisen können, um alle Hashes zu speichern (obwohl es jetzt wahrscheinlich intelligentere Datenbank- und Anwendungstechnologien gibt, die dies umgehen würden)
-
Es ermutigt Benutzer, schwache Passwörter auszuwählen, z Wenn ich ein komplexes Passwort mit 8 Zeichen habe: tpEz% e2S. Der Versuch, sich daran zu erinnern, was das 2., 4. und 5. Zeichen davon ist, ist schwierig, was Benutzer dazu ermutigt, ein einfaches Wörterbuchwort auszuwählen.
-
Auch wenn es keinen Kontosperrungstyp gibt, wird es verwendet Es ist exponentiell einfacher, 3 Zeichen als 8 Zeichen zu erraten oder zu erzwingen.
-
Das Vertrauen, dass das vollständige Passwort nicht bekannt ist, könnte falsch platziert werden, z. Wenn das Passwort Fulham ist und Sie F, l, h kennen, können Sie möglicherweise das vollständige Passwort erraten.
-
Eine Phishing-Site, die einfach nach dem 1. gefragt hat. 3., 5. dann sagte das Passwort falsch und geändert, um nach 2., 4., 6. zu fragen, könnte auch das vollständige Passwort erhalten, da der Benutzer es wahrscheinlich eingeben würde, bevor er zweimal überlegte
-
von einem Benutzer Aus praktischen Gründen bedeutet dies, dass sie die Browser nicht verwenden können, um sich ein Passwort oder einen Passwort-Manager wie Lastpass oder 1Password zu merken.
Die meisten Banken verlassen sich nicht mehr auf einen Benutzernamen und ein Passwort, z HSBC bietet ein RSA-Token für Geschäftskunden an. Barclays verfügt über einen EMV-Smartcard-Leser. Fast alle verwenden Erkennungstechnologien wie die adaptive RSA-Authentifizierung, um eine Basis für Browser, Standort, Nutzungsprofil, Geschwindigkeit usw. für die passive Authentifizierung und die Erkennung nicht autorisierter Verwendung zu erstellen.