快科技4月2日消息,据报道,汇丰银行(HSBC)印度近日向所有客户发出通知,自2026年4月6日起,网银登录密码中的所有英文字母将统一转为大写,例如原密码Test123将变为TEST123。
这一操作在安全领域引发轩然大波,安全专家指出,这意味着汇丰印度长期以来以明文或可逆格式存储用户密码,严重违反现代安全标准。
密码系统的基本安全原则是:系统存储的并非密码本身,而是经过单向哈希算法处理后的哈希值,银行永远不需要、也不会看到实际密码。
Test123与TEST123的哈希值完全不同,系统若仅保存哈希值,根本无法执行将小写转为大写的操作。
汇丰印度能够批量修改密码大小写,唯一合理的解释是其后端存储的是密码原文,或是可解密的密文,而非哈希值。
安全专家进一步指出,这一变更将大幅削弱密码强度,一个8位大小写混合加数字的密码约有218万亿种组合,暴力破解需约100天;转为全大写后组合数骤降至2.8万亿,破解时间缩短至不到2天,安全性下降约98.7%。
外界推测,汇丰印度此举可能是旧密码系统向新系统迁移的过渡措施,但这一过程本身暴露了历史技术债务的严重程度。
值得注意的是,汇丰集团其他地区(包括英国、中国香港)的系统并未采取这一政策,用户仍可正常使用大小写混合密码。
