Ma sarà un semplice sistema automatico, cioè chi ci risponde a video avrà la richiesta di quei due caratteri, come capita coi sistemi automatici. Certo personalmente preferirei un riconoscimento automatico senza intermediario umano, una volta loggati si va a parlare con un operatore.
Devo dire però che non ricordo di aver mai chiamato, quindi commento solo su esperienze altrui
Chiaro. Quello che ci chiedevamo io e
@salsipuede è come sia possibile riconoscere la correttezza di singoli caratteri, se la password non è memorizzata in chiaro nel database.
Per esempio, lo sha1sum di JohannesBrahms è cf935013cb9158b150e4b56e46e1a4b7dc250b8d. Quindi, se scegliessi "JohannesBrahms" come password, nel database basterebbe memorizzare nel database "cf935013cb9158b150e4b56e46e1a4b7dc250b8d". Quando mi loggo, il server di BBVA calcola lo sha1sum della password digitata, e, se è "cf935013cb9158b150e4b56e46e1a4b7dc250b8d", riconosce "JohannesBrahms" come password corretta, e mi fa loggare nella mia area privata, anche se da nessuna parte, nel database, è memorizzata la password in chiaro.
Se, per errore, digitassi "johannesBrahms" (senza virgolette, ma con l'iniziale j minuscola), lo sha1sum sarebbe "2b8a4f4de8fb8ae40a046533ef9160d78c5c769d". Non solo sarebbe chiaramente errata la password digitata, ma sarebbe completamente diversa la criptazione della password (non cambierebbe un solo carattere).
È chiaro che, se salvassi nel database lo sha1sum della password, potrei riconoscere correttamente la password salvata. Inoltre sarei sicuro che, se qualcuno accedesse fraudolentemente al database, potrebbe leggere solo alla password criptata, e non a quella in chiaro, non potendo, di conseguenza, loggarsi al mio posto. Salvo, ovviamente, password deboli, per le quali un attacco brute-force a dizionario potrebbe decodificarla rapidamente.
Tuttavia, non sarebbe in nessun modo possibile capire la correttezza di un singolo carattere. Questa sarebbe possibile solo "criptando", al più, i singoli caratteri, ma questo diminuirebbe la sicurezza che, violando il database, non si possa risalire alle password in chiaro.