Autenticación incluso con contraseña incompleta

No estoy seguro de entender exactamente qué es lo que estás proponiendo. Pero a menos que lo entienda mal, sería un desastre de seguridad:

• Si el servidor da algún tipo de indicación (si es solo en el tiempo que le lleva responder) si un carácter individual era correcto o no, la contraseña es mucho más fácil de forzar, ya que solo puede hacerlo con letra. por carta. Usted termina teniendo que hacer l*n intentos en lugar de l^n , donde l es la longitud y n es el tamaño del alfabeto.
• Si el servidor le permite ingresar después de solo la mitad de una contraseña, ha negado todo el beneficio de tener una contraseña larga. Como techraf comments : su esquema se llama "una contraseña más corta".
• No puede hash las contraseñas si desea poder Revísalos personaje por personaje. Eso hace que el almacenamiento seguro de contraseñas sea una imposibilidad. (Bueno, puedes hacerles un poco de hilo a la vez, pero luego estamos de vuelta en el problema de la fuerza bruta).

No hay razón para que no se pueda implementar. En el lado del servidor, simplemente trunca la contraseña a N caracteres antes de modificarla. En el lado del cliente, intente iniciar sesión cuando se haya escrito el carácter Nth.

¿Cuál es el punto sin embargo? Tal esquema solo indica a los usuarios que usted no respeta su elección de nivel de seguridad cuando su contraseña es larga.

Además, ¿qué sucede si un usuario tiene una frase de contraseña que comienza con una palabra larga y usted trunca a, digamos, 8 caracteres? Entonces puede ser atacado por diccionario.

Sí, tales sistemas existen, pero de una manera ligeramente diferente a la contraseña de un usuario típico. Microsoft usa un sistema de clave de producto de 25 caracteres, con caracteres agrupados en conjuntos de 5 caracteres. Cada grupo de 5 tiene una suma de comprobación como su último carácter. Esta suma de verificación permite que la aplicación notifique al usuario si ha cometido un error de escritura en ese grupo, sin revelar al usuario si el grupo en sí es parte de la clave de producto real requerida para activar ese producto en particular.

Sin embargo, no puede tener un sistema seguro de comprobación de contraseñas que valide carácter por carácter. De lo contrario, un atacante necesita muy pocas iteraciones para descubrir el secreto.

  

será muy agotador escribir la contraseña completa una y otra vez   de nuevo.

¿Qué hay de usar la criptografía de clave pública para esto? Asegura el formulario de autenticación con una elegante clave RSA de 2048 bits, configúrala una vez y con una contraseña más fácil de recordar. Un atacante necesitaría acceso a su sistema para obtener su clave privada y autenticarse. Agrega otra capa de seguridad, que compensa la fortaleza de su frase de contraseña.

Personalmente, creo que esta solución es más segura que tener su contraseña guardada en algún lugar.

(Nota al margen: por supuesto, deberías llevar las claves contigo a donde quieras iniciar sesión)