Identificar a un usuario usando caracteres aleatorios de la contraseña

1

Suponiendo que una contraseña no se almacena en texto sin formato, ¿cómo es posible que una persona de soporte pueda identificarse durante una llamada telefónica a un cliente preguntándole caracteres aleatorios de su contraseña?

Por ejemplo, si la contraseña es "contraseña", el encargado de soporte técnico solicita los caracteres primero y cuarto, el cliente dice "p" y "s". En este punto, el tipo de soporte considera que está hablando con el cliente legítimo.

La única solución que me viene a la mente es que utilizan contraseñas de texto sin formato, pero espero que no sea así y que haya otra solución, porque es un banco ...

PS: es un escenario real, no es un intento de phishing.

EDITAR: como dijo Matthew, sin tener acceso a su sistema es imposible saber qué está pasando. El objetivo de mi pregunta era saber si hay algún método "público" conocido para lograr esto, no un algoritmo hecho a medida.

    
pregunta yzT 15.11.2016 - 18:20
fuente

2 respuestas

3

El objetivo de un hash criptográfico es no ser reversible, por lo que no pueden obtenerlo de eso.

Es posible que elijan y almacenen algunos caracteres de la contraseña cuando esté establecida, por lo que el servicio al cliente sabe qué son los caracteres 1 y 4, pero no 2 o 3. Sin embargo, sospecho que están almacenando la contraseña en cifrado reversible, porque es una explicación mucho más simple, y los bancos no son conocidos por tener excelentes prácticas de seguridad de la información.

    
respondido por el Xiong Chiamiov 15.11.2016 - 18:31
fuente
0

Podría ser que tengan una serie de pares de caracteres (con una sal fuerte, usando un algoritmo decente), y detalles sobre qué par de caracteres es este. Si luego piden los caracteres que solicita el sistema, el sistema puede hacer un hash y devolver una respuesta verdadera o falsa. No debería cambiar el par que solicita hasta que se haya encontrado una respuesta verdadera, o hayan ocurrido tres intentos (por ejemplo).

En este caso, no necesitaría almacenar contraseñas de texto sin formato, la persona del servicio de atención al cliente no podría acceder a más de 2 caracteres (y solo podría verificarlas de forma auditable), y El punto más débil sería la entropía relativamente baja de dos letras.

Sin embargo, no puede saber si eso es lo que hacen sin acceso a sus sistemas ...

    
respondido por el Matthew 15.11.2016 - 18:29
fuente

Lea otras preguntas en las etiquetas