Ils peuvent voir le mot de passe complet? Oui, il est tout à fait possible qu'ils puissent deviner le mot de passe (si les 4 derniers chiffres sont une date ou des parties d'un mot. Si le mot de passe est haché en entier, il suffit de connaître 4 chiffres pour lancer une attaque par force brute. ou même en essayant de faire une heuristique sur la fonction de hachage pour voir comment 4 chiffres se propagent en arrière réduisant de beaucoup la plage de mots de passe possibles.
Devinez ce mot de passe:
** ******* ange
Ou celui-ci:
**** 1994
Il Il est également possible qu'ils soient hacker et exploitent l'API de support client (le cas échéant) pour accéder aux informations des utilisateurs, cette tâche est même facilitée en connaissant 4 chiffres.
Ils ne devraient pas le faire, en aucun cas donner une partie du mot de passe à un inconnu une bonne option même (SURTOUT, si après avoir été viré, il peut essayer de nuire aux utilisateurs, et il existe de nombreux exemples historiques) si cela fait partie du support client.
Un client le support ne doit avoir aucun moyen d'accéder au mot de passe d'origine et doit agir via une API ad-hoc pour éviter ne pas faire de mauvaises choses (le support ne devrait toujours pas pouvoir accéder à toutes les données).
De plus, si le support client doit demander 4 chiffres du mot de passe, vous ne pouvez pas envoyer un e-mail aux utilisateurs avec des avertissements tels que "ne jamais donner votre mot de passe parce que nous ne le demandons pas "parce que vous le demandez réellement et former vos utilisateurs à donner des détails personnels peut les aider à se faire prendre par des e-mails de phishing.
S'ils veulent vraiment vérifier l'authenticité de l'utilisateur, ils devraient utilisez des trucs comme des codes SMS, des questions secrètes ou simplement des clés envoyées par e-mail.
Néanmoins, je pense que c'est beaucoup moins cher d'envoyer un e-mail ou un SMS que de payer 1 à 2 minutes à quelqu'un faisant la même chose ( sauf si elle est vraiment sous-payée).
Si un service a vraiment besoin de vérifier l'identité de l'utilisateur pour quelque chose d'important, j'utiliserais probablement un flux de webcam à partir duquel un opérateur peut voir le visage de l'utilisateur, puis lui demanderais de faire des actions spécifiques (comme écrire un mot sur papier et montrer lui retour) afin d'empêcher quelqu'un d'autre d'utiliser une vidéo enregistrée).
Cela ne sera bien sûr pas aimé par les utilisateurs pour des raisons de confidentialité ^^