Suponiendo que una contraseña no se almacena en texto sin formato, ¿cómo es posible que una persona de soporte pueda identificarse durante una llamada telefónica a un cliente preguntándole caracteres aleatorios de su contraseña?
Por ejemplo, si la contraseña es "contraseña", el encargado de soporte técnico solicita los caracteres primero y cuarto, el cliente dice "p" y "s". En este punto, el tipo de soporte considera que está hablando con el cliente legítimo.
La única solución que me viene a la mente es que utilizan contraseñas de texto sin formato, pero espero que no sea así y que haya otra solución, porque es un banco ...
PS: es un escenario real, no es un intento de phishing.
EDITAR: como dijo Matthew, sin tener acceso a su sistema es imposible saber qué está pasando. El objetivo de mi pregunta era saber si hay algún método "público" conocido para lograr esto, no un algoritmo hecho a medida.