Obtuve esto cuando solicité ingresar mi contraseña. ¿Cómo es algo como esto mejorar la seguridad? ¿Cada vez toma un conjunto aleatorio de ubicaciones de índice y compara su hash con una base de datos?
Es un tipo de protocolo de desafío-respuesta, lo que significa que si un intruso logra leer la comunicación, solo tendrá una parte de la contraseña. De la misma forma, ofrece una pequeña protección contra el surf de hombro.
Si esto realmente mejora la seguridad está abierto a debate. El espionaje debe evitarse mediante el uso adecuado de TLS.
Un inconveniente es que el servidor debe conocer al menos parte de la contraseña de texto sin formato. O hashes de varias partes de la contraseña, que efectivamente divide una contraseña larga en varias más pequeñas que son más fáciles de forzar.
También, como @Matthew señala en su comentario , esto podría Regale la longitud de la contraseña a un atacante, si la interfaz de la contraseña está mal implementada.
Generalmente estoy a favor de los protocolos de desafío-respuesta para la autenticación e identificación, pero esto parece una implementación deficiente de uno.
Lea otras preguntas en las etiquetas passwords