4月2日消息,据报道,汇丰银行(HSBC)印度近日向所有客户发出通知,自2026年4月6日起,网银登录密码中的所有英文字母将统一转为大写,例如原密码Test123将变为TEST123。
这一操作在安全领域引发轩然大波,安全专家指出,这意味着汇丰印度长期以来以明文或可逆格式存储用户密码,严重违反现代安全标准。
密码系统的基本安全原则是:系统存储的并非密码本身,而是经过单向哈希算法处理后的哈希值,银行永远不需要、也不会看到实际密码。
Test123与TEST123的哈希值完全不同,系统若仅保存哈希值,根本无法执行将小写转为大写的操作。
汇丰印度能够批量修改密码大小写,唯一合理的解释是其后端存储的是密码原文,或是可解密的密文,而非哈希值。
安全专家进一步指出,这一变更将大幅削弱密码强度,一个8位大小写混合加数字的密码约有218万亿种组合,暴力破解需约100天;转为全大写后组合数骤降至2.8万亿,破解时间缩短至不到2天,安全性下降约98.7%。
外界推测,汇丰印度此举可能是旧密码系统向新系统迁移的过渡措施,但这一过程本身暴露了历史技术债务的严重程度。
值得注意的是,汇丰集团其他地区(包括英国、中国香港)的系统并未采取这一政策,用户仍可正常使用大小写混合密码。
文章来源:
哈哈库
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至23467321@qq.com举报,一经查实,本站将立刻删除;如已特别标注为本站原创文章的,转载时请以链接形式注明文章出处,谢谢!
