Системы паролей, которые запрашивают отдельные буквы - что они хранят?

Некоторые (особенно банковские) системы паролей требуют, чтобы вы вводили три (указанные) буквы из вашего пароля для входа в систему. Это Предполагается, что противодействие кейлоггерам и, возможно, атакам воспроизведения с перехватом проводов (для незашифрованных сеансов).

Очевидно, что такая схема не может работать с использованием обычного хеширования паролей, так как вам нужно знать весь пароль для вычисления хеш-кода. .

Что такие системы обычно хранят на стороне сервера, чтобы это работало?

Хранят ли они пароль в виде открытого текста, или, может быть, отдельный хэш для каждой буквы, или как?