草臺(tái)班子！匯豐銀行印度分行被爆用明文存密碼，還強(qiáng)制修改用戶密碼

拖把 / 2026-04-02 15:39181519

世界之大真是無奇不有，誰都知道銀行是一個(gè)非常機(jī)密的單位，數(shù)據(jù)安全非常重要。但匯豐銀行印度分行竟然被爆出可能用明文保存用戶密碼。

這個(gè)荒謬的事情是銀行自己的公告捅出來的。在發(fā)給全體用戶的通知中，銀行稱用戶的網(wǎng)銀密碼即日起將變成區(qū)分大小寫的模式，并于2026年4月6日起生效。登錄時(shí)，請(qǐng)使用大寫字母輸入現(xiàn)有賬戶的密碼，比如原來的密碼是Test123，在4月6日起請(qǐng)輸入TEST123。

_1x-1-(1).jpg

匯豐銀行印度分行

好嘛，這還是小編頭一次見到銀行批量改動(dòng)用戶密碼的，而這個(gè)行為更是讓網(wǎng)絡(luò)安全專家們炸了鍋。因?yàn)檫@封郵件可能暗示著匯豐印度分行是用明文或可解密格式來存儲(chǔ)用戶密碼的，那么任何有權(quán)訪問密碼數(shù)據(jù)庫的人都可以看到密碼，包括破解了數(shù)據(jù)庫的黑客。如果猜測(cè)屬實(shí)，那這在業(yè)界就屬于公認(rèn)最嚴(yán)重的安全漏洞。以后誰還敢把錢存在一個(gè)密碼都敢裸奔的銀行？辛苦掙了一輩子的錢搞不好哪天就被黑客轉(zhuǎn)走了。

在銀行業(yè)中，任何網(wǎng)絡(luò)服務(wù)商都不允許直接儲(chǔ)存用戶密碼明文，而應(yīng)該使用bcrypt、scrypt 或Argon2等現(xiàn)代算法對(duì)密碼進(jìn)行哈希處理，這些算法的核心特點(diǎn)是區(qū)分大小寫、單向加密且速度較慢，可以有效抵御暴力破解攻擊。

而Test123和TEST123在系統(tǒng)中的哈希值完全不同，如果系統(tǒng)只保存了哈希值，是無法幫用戶把小寫字母轉(zhuǎn)大寫的，所以明文存儲(chǔ)密碼的猜測(cè)大概率是實(shí)錘了。

匯豐銀行位于班加羅爾電子資料處理大樓

而且，匯豐印度分行這么一改，密碼安全性也下降了很多。比如一個(gè)8位大小寫字母+數(shù)字的密碼約有218萬億種組合，但如果變成全大寫+數(shù)字，組合方式就會(huì)爆降至2.8萬億種，減少了98.7%，黑客用暴力破解法所需的時(shí)間就從100天縮短到2天。一家跨國銀行在另一國的最大分行竟然能如此草臺(tái)班子？

對(duì)于這個(gè)改動(dòng)，外界認(rèn)為是銀行舊密碼系統(tǒng)過渡到新系統(tǒng)的臨時(shí)措施，但這就把銀行技術(shù)過于落后的底褲都露了出來。目前，匯豐銀行僅在印度爆出了這個(gè)離譜的事情，其他地區(qū)并沒有使用這個(gè)政策。只能說，這事雖然不正常，但發(fā)生在那里，好像又很正常。

點(diǎn)個(gè)贊1847