匯豐銀行印度分行被爆用明文存密碼，還強(qiáng)制修改用戶密碼

世界之大真是無奇不有，誰都知道銀行是一個非常機(jī)密的單位，數(shù)據(jù)安全非常重要。但匯豐銀行印度分行竟然被爆出可能用明文保存用戶密碼。

這個荒謬的事情是銀行自己的公告捅出來的。在發(fā)給全體用戶的通知中，銀行稱用戶的網(wǎng)銀密碼即日起將變成區(qū)分大小寫的模式，并于2026年4月6日起生效。登錄時，請使用大寫字母輸入現(xiàn)有賬戶的密碼，比如原來的密碼是Test123，在4月6日起請輸入TEST123。

匯豐銀行印度分行

好嘛，這還是小編頭一次見到銀行批量改動用戶密碼的，而這個行為更是讓網(wǎng)絡(luò)安全專家們炸了鍋。因為這封郵件可能暗示著匯豐印度分行是用明文或可解密格式來存儲用戶密碼的，那么任何有權(quán)訪問密碼數(shù)據(jù)庫的人都可以看到密碼，包括破解了數(shù)據(jù)庫的黑客。如果猜測屬實，那這在業(yè)界就屬于公認(rèn)最嚴(yán)重的安全漏洞。以后誰還敢把錢存在一個密碼都敢裸奔的銀行？辛苦掙了一輩子的錢搞不好哪天就被黑客轉(zhuǎn)走了。

在銀行業(yè)中，任何網(wǎng)絡(luò)服務(wù)商都不允許直接儲存用戶密碼明文，而應(yīng)該使用bcrypt、scrypt 或Argon2等現(xiàn)代算法對密碼進(jìn)行哈希處理，這些算法的核心特點是區(qū)分大小寫、單向加密且速度較慢，可以有效抵御暴力破解攻擊。

而Test123和TEST123在系統(tǒng)中的哈希值完全不同，如果系統(tǒng)只保存了哈希值，是無法幫用戶把小寫字母轉(zhuǎn)大寫的，所以明文存儲密碼的猜測大概率是實錘了。

匯豐銀行位于班加羅爾電子資料處理大樓

而且，匯豐印度分行這么一改，密碼安全性也下降了很多。比如一個8位大小寫字母+數(shù)字的密碼約有218萬億種組合，但如果變成全大寫+數(shù)字，組合方式就會爆降至2.8萬億種，減少了98.7%，黑客用暴力破解法所需的時間就從100天縮短到2天。一家跨國銀行在另一國的最大分行竟然能如此草臺班子？

對于這個改動，外界認(rèn)為是銀行舊密碼系統(tǒng)過渡到新系統(tǒng)的臨時措施，但這就把銀行技術(shù)過于落后的底褲都露了出來。目前，匯豐銀行僅在印度爆出了這個離譜的事情，其他地區(qū)并沒有使用這個政策。只能說，這事雖然不正常，但發(fā)生在那里，好像又很正常。