En algunos sitios autenticados con contraseña, se le solicita que ingrese una selección aleatoria de caracteres específicos de su contraseña en lugar de la palabra / frase completa. Por ejemplo, podría decir 'Ingrese la 1ª, 4ª y 8ª letra' y proporcione tres cuadros de entrada separados.
Por lo poco que sé de los mecanismos de seguridad, hubiera esperado que esto fuera menos seguro que ingresando la contraseña completa, agregando sal y hash y comparándola con el hash almacenado, ya que no hay texto simple a la vista.
Sin embargo, este sistema es utilizado por (con suerte) sitios web muy seguros, incluidos ciertos sitios de bancos en el Reino Unido.
Entonces, mi pregunta de dos partes es: es tan seguro como la comparación tradicional de sal / hash y ¿por qué es así?