Ei, mitä he tekevät, on sekoittamalla kukin merkki ja tallentamalla se tai tallentamalla salasana selkeästi toivottavasti turvalliseen laitteeseen, esim. HSM.
Se ei ole huono lähestymistapa; pankki pyytää käyttäjää syöttämään useita merkkejä (esim. HSBC on 3 satunnaisista sijainneista). Se tarkoittaa, että jos troijalainen, avainkirjaaja tai tietojenkalastelusivusto sieppasi nämä 3 merkkiä, heillä ei ole täydellistä salasanaa.
Se antaa myös pankille mahdollisuuden käyttää osittaista salasanaa käyttäjien todentamiseen puhelimitse jne. luottaa salaisiin kysymyksiin tai eri salasanaan, jälleen ilman, että puhelinpalvelun henkilö tietää koko salasanan.
Muutama ongelma, luultavasti siksi sitä ei käytetä laajemmin:
-
Tärkein on, että et halua tallentaa salasanaa tyhjään tilaan (itse asiassa PCI-DSS: n kaltaiset säännöt kieltävät sen). Joten lähestymistapa on luoda yksisuuntainen salasanan hajautus ja tallentaa se. Kun käyttäjä syöttää salasanan, se hajautetaan ja verrataan tallennettuun hashiin, jos ne vastaavat käyttäjän todentamista. Osittaisella salasanalla sinun on joko tallennettava salasana käännettävällä salauksella, joka ei ole paras käytäntö, tai tallennettava suuri määrä hajautuksia, esim. HSBC: lle, jolla on syntymäpäivä ja jokainen salasanan merkki vaatii erillisen tiivisteen. Sinun on myös asetettava salasanan enimmäispituus, jotta voit kohdistaa tietokannan kentät kaikkien hashien tallentamiseen (vaikka tällä hetkellä on todennäköisesti älykkäämpiä tietokanta- ja sovellustekniikoita)
-
Se kannustaa käyttäjiä valitsemaan heikkoja salasanoja, esim jos minulla on 8 merkin kompleksinen salasana: tpEz% e2S. Yritetään muistaa, mikä on 2., 4. ja 5. merkki vaikeaa, mikä kannustaa käyttäjiä valitsemaan yksinkertaisen sanakirjan sanan.
-
Myös siinä tapauksessa, että tilin lukitustyyppiä ei ole, se on eksponentiaalisesti helpompi arvata tai raakaa voimaa 3 merkkiä kuin 8 merkkiä.
-
Luottamus siihen, että koko salasana ei ole tiedossa, voi olla väärin esim. jos salasana on Fulham ja tiedät F, l, h, voit arvata kunnolla koko salasanan.
-
Tietojenkalastelusivusto, joka yksinkertaisesti kysyi 1. sijaa, 3., 5. sanoi sitten väärän salasanan ja vaihti kyselemään 2., 4., 6. saattoi myös saada koko salasanan, koska käyttäjä todennäköisesti kirjoitti sen ennen kuin ajatteli kahdesti.
-
Käyttäjältä mukavuusnäkökulma tarkoittaa, että he eivät voi käyttää selaimia muistaa salasanan tai salasananhallinnan, kuten Lastpass tai 1Password.
Suurin osa pankeista on siirtymässä käyttämättä käyttäjätunnusta ja salasanaa, esim. HSBC tarjoaa RSA-tunnuksen yritysasiakkaille, Barclaysilla on EMV-älykortinlukija, melkein kaikki heistä käyttävät tunnistintekniikkaa, kuten RSA-adaptiivista todennusta, perustamaan selaimen, sijainnin, käyttöprofiilin, nopeuden jne. Perustason passiiviseen todennukseen ja luvattoman käytön havaitsemiseen. / p>