Lo que están haciendo es agrupar cada carácter y guardar eso o almacenar la contraseña en un dispositivo seguro, por ejemplo. HSM.
No es un mal enfoque; el banco solicita al usuario que ingrese un número de caracteres (por ejemplo, HSBC es 3 desde posiciones aleatorias). Significa que si un troyano, un registrador de claves o un sitio de phishing capturaron esos 3 caracteres, no tienen la contraseña completa.
También le permite al banco usar la contraseña parcial para autenticar a los usuarios por teléfono, etc. sin tener que confiar en preguntas secretas o una contraseña diferente, de nuevo sin que la persona del centro de llamadas sepa la contraseña completa
Algunos problemas, probablemente es por eso que no se usa más ampliamente:
-
El principal es que no desea almacenar la contraseña de forma clara (de hecho, las regulaciones como PCI-DSS lo prohíben). Así que el enfoque es crear un hash de una sola vía de la contraseña y almacenarlo. Cuando el usuario ingresa la contraseña, esta se revisa y se compara con el hash almacenado, si coinciden, el usuario se autentica. Con una contraseña parcial, tiene que almacenar la contraseña con un cifrado reversible que no es la mejor práctica o almacenar una gran cantidad de hashes, por ejemplo. para HSBC con un cumpleaños más cada carácter de la contraseña requiere un hash separado. También debe imponer una longitud máxima de contraseña para poder asignar los campos en la base de datos para almacenar todos los hashes (aunque probablemente haya una base de datos más inteligente y tecnologías de aplicación que podrían evitar esto)
-
Alienta a los usuarios a seleccionar contraseñas débiles, por ejemplo. Si tengo una contraseña compleja de 8 caracteres: tpEz% e2S. Tratar de recordar cuál es el segundo, cuarto y quinto carácter es difícil, lo que alienta a los usuarios a seleccionar una palabra simple del diccionario.
-
Además, si no hay características de tipo de bloqueo de cuenta, es exponencialmente más fácil de adivinar o fuerza bruta 3 caracteres que 8 caracteres.
-
La confianza de que no se conoce la contraseña completa podría estar mal colocada, por ejemplo. si la contraseña es Fulham y sabe que F, l, h, tal vez pueda hacer una estimación correcta de la contraseña completa
-
Un sitio de phishing que simplemente solicitó el 1º, 3º, 5º y luego dijo que la contraseña es incorrecta y que se cambió para solicitar el 2º, 4º y 6º también podría obtener la contraseña completa, ya que el usuario probablemente la ingresaría antes de que lo pensara dos veces
-
Desde la perspectiva de la conveniencia del usuario, significa que no pueden usar la contraseña de recordar del navegador o un administrador de contraseñas como Lastpass o 1Password
La mayoría de los bancos se están alejando de confiar en un nombre de usuario y contraseña, por ejemplo. HSBC ofrece un token RSA para clientes comerciales, Barclays tiene lector de tarjetas inteligentes EMV, casi todos utilizan tecnología de detección como la autenticación adaptativa RSA para establecer una línea de base de navegador, ubicación, perfil de uso, velocidad, etc. para autenticación pasiva y detección de uso no autorizado.