Czy widzą pełne hasło? Tak, na pewno jest możliwe, że mogą odgadnąć hasło (jeśli 4 ostatnie cyfry to data lub części słowa. Jeśli hasło jest w całości zaszyfrowane, znajomość 4 cyfr wystarczy, aby przeprowadzić brutalny atak lub nawet próbując wykonać heurystykę na funkcji skrótu, aby zobaczyć, jak 4 cyfry propagują się z powrotem, znacznie zmniejszając zakres możliwych haseł.
Odgadnij to hasło:
** ******* ange
Albo ten:
**** 1994
To jest również możliwe, że są hakerami i wykorzystują API obsługi klienta (jeśli istnieje), aby uzyskać dostęp do informacji o użytkownikach, zadanie to jest nawet łatwiejsze dzięki znajomości 4 cyfr.
Nie powinni tego robić, w żadnym wypadku nie dają część hasła do nieznajomego to dobra opcja nawet (SZCZEGÓLNIE, jeśli po zwolnieniu może próbować skrzywdzić użytkowników, a jest wiele przykładów historycznych), jeśli jest to część obsługi klienta.
Klient pomoc techniczna nie powinna mieć możliwości uzyskania dostępu do oryginalnego hasła i powinna działać za pośrednictwem interfejsu API ad-hoc, aby to zrobić nie robić złych rzeczy (nadal pomoc techniczna nie powinna mieć dostępu do pełnych danych).
Ponadto, jeśli obsługa klienta musi prosić 4 cyfry hasła, nie możesz wysłać do użytkowników e-maili z ostrzeżeniami typu „nigdy nie podawaj hasło, ponieważ nie prosimy o to ”, ponieważ w rzeczywistości o to prosisz, a przeszkolenie użytkowników w podawaniu danych osobowych może pomóc im dać się złapać na wiadomościach phishingowych.
Jeśli naprawdę chcą sprawdzić autentyczność użytkownika, powinni używaj takich rzeczy, jak kody SMS, tajne pytania lub po prostu klucze wysłane e-mailem.
Mimo to myślę, że wysłanie wiadomości e-mail lub SMS-a jest znacznie tańsze niż płacenie 1-2 minut komuś, kto robi to samo ( chyba że jest osobą naprawdę niedostatecznie opłacaną).
Jeśli usługa naprawdę wymaga sprawdzenia tożsamości użytkownika pod kątem czegoś ważnego, prawdopodobnie użyłbym strumienia z kamery internetowej, z którego operator może zobaczyć twarz użytkownika, a następnie poprosiłbym go o wykonanie określonych czynności (takich jak napisanie słowa na papierze i pokazanie go z powrotem), aby uniemożliwić komuś wykorzystanie nagranego wideo).
To oczywiście nie będzie lubiane przez użytkowników ze względu na prywatność ^^