¿Cómo debo almacenar una contraseña para permitir que las personas ingresen caracteres individuales? [duplicar]

Navega tus respuestas
3

Algunas aplicaciones bancarias solicitan letras aleatorias de su contraseña, las letras 3 rd , 5 th y 6 th , por ejemplo.

Presumiblemente, esto es para limitar la efectividad de detectar el tráfico de red o el registro de teclas para obtener información de contraseña.

Me preguntaba cómo es probable que se almacene esta información para que puedan ver los caracteres individuales en la contraseña pero, presumiblemente, ¿los haya guardado de forma segura?

¿Cada personaje será salado y picado? Si es así, ¿se almacenarán en diferentes columnas de una tabla? ¿O se almacenaría cada una de las tres letras de la contraseña de los caracteres de la contraseña en una tabla exclusiva para el usuario?

    
pregunta Toby 04.08.2012 - 22:40
fuente

1 respuesta

1

No lo sé, pero no creo que un hash sea práctico aquí. Claro que puedes hacer un hash de una letra, pero es increíblemente fácil de aplicar fuerza bruta si alguna vez se filtra (como, como mínimo, unos microsegundos); bajo 100 posibilidades. También sería demasiado fácil revertir el almacenamiento de todas las permutaciones de 3 caracteres del hash.

Es realmente interesante considerar este sistema desde este ángulo. Por lo general, está calculando cuántos intentos de inicio de sesión necesitaría en el peor y el mejor de los casos antes de que un atacante sepa la contraseña completa (o pueda iniciar sesión en 3 intentos), o cuanta seguridad agregue este sistema de todos modos (con MITM y el atacante todavía puede iniciar sesión). Nunca pensé en lo que significaba para almacenar el inicio de sesión, y no se ve bien.

    
respondido por el Luc 05.08.2012 - 01:48
fuente

Lea otras preguntas en las etiquetas

Arquitectura de cliente / servidor sin inicio de sesión (iOS) Java 7u11 - ¿Es más seguro cambiar a 6?