一部のサイト (たとえば、Halifax や Barclaycard などの銀行) では、ユーザーにパスワードの特定の文字を入力するよう求めます。しかし、ユーザーのパスワードがソルト化およびハッシュ化されている場合、個々の文字がどのように使用されるかわかりません。したがって、パスワードがハッシュされていないか、別のプロセスが実行されています。おそらく、パスワードの個々の文字はソルト化およびハッシュ化されていますが、それは特に安全ではないようです.
ここで使用されている認証モデルを誰か説明できますか? これがかなり一般的な場所であることを考えると、このプラクティスをサポートする信頼できるモデルがあると想定する必要があります。
編集:私が見つけた最良の答えは、実際にはsecurity.stackexchange.com にあります。そのため、質問を閉じるためにも投票します。
あなたの信頼は潜在的に見当違いです。塩漬けはブルートフォース攻撃を防ぐことはできず、レインボーテーブルを使用するだけです。あなたが個々のキャラクターを塩漬けにした場合、これは簡単にクラックできます。同様に、4つの文字の各組み合わせをソルトおよびハッシュすることも、力ずくでクラックするのは簡単です。パスワードはほぼ確実に暗号化されずに保存されます。
これは思ったほど悪くはありません。ハッシュは、パスワードデータベースの内容を入手する人を阻止するためにのみ役立ちます。人々があなたの銀行のパスワードデータベースにアクセスできる場合、あなたはおそらく他の問題を抱えています。たとえば、送金にパスワードは必要ないでしょう。
あなたがそれについて考えるならば、これを安全に行うための可能な方法はありません。パスワードの4文字を検証するのに1秒かかるオラクルがある場合(それぞれが36の可能な値を持つ可能性があります)、平均839,808回の試行後に4文字を解読できます。これには10日かかります。パスワードが12文字の場合、完全に解読するには1か月かかります。ログオンにかかる時間は1秒未満です。