https://www.instagram.com/p/DWldkIcj_Gv【不是愚人節新聞⋯】外媒報道,HSBC印度近日穾然通知所有印度客戶,由2026年4月6日起網上銀行戶口密碼會作出改動,所有英文字無論大細階,一律會被變成大階,即如果你的密碼是 Test123,就會被強行修改成 TEST123,於2026年4月6日生效。事件傳出後引發全球安全專家的議論。
以下是信件的原文:
We would like to inform you that your Internet Banking passwords will now become UPPER case-sensitive and the same will be in effect from 6 April 2026 onwards. When logging in, please enter your existing password using capital letters. For example, if your password is Test123, please enter TEST123 from 6 April 2026.
我們謹此通知您,您的網上銀行密碼將改為區分大寫字母,新規則將於2026年4月6日起生效。登入時,請使用大寫字母輸入您現有的密碼。例如,如果您的密碼是 Test123,請從2026年4月6 日起輸入 TEST123。」
安全專家指出,HSBC作為世界級的銀行機構,怎會有如此荒唐的事情出現。正常來說,用戶建立密碼時,系統儲存的並不是密碼本身,而是使用一種稱為雜湊(Hash)的單向數學演算法來處理密碼。因此,系統檢查的也不是密碼,而是你輸入的密碼的雜湊值是否與儲存紀錄中的雜湊值相符,銀行是永遠不需要知道,也不會「看到」你的實際密碼。
但這次銀行竟然可以將用戶密碼的英文大細階變成全大階,這意味著 HSBC印度儲存的是密碼本身而非雜湊值。因為Test123與 TEST123 的雜湊值是完全不同的,系統根本無法單憑雜湊值做到將大細階變成全大階。
這意味著 HSBC印度過去完全違反了美國 NIST 制定的密碼標準,將密碼以明文或可逆(可解密)格式儲存,或是使用了無法區分大細階的密碼雜湊值儲存。這對於現代安全標準來說是完全不能接受的,尤其是發生在如此國際性的銀行機構,儘管事件僅發生在印度。
安全專家提醒,一個8 位的大細階+數字密碼共有約218萬億個組合,但如果變成全大階+數字就會降到 2.8 萬億個,組合總數減少了約98.7%。這意味著黑客使用「暴力破解法」(Brute-force attack) 時,所需的時間直接從原本的100天縮短至不到2天。
外界估計 HSBC印度正在更改密碼系統,將舊密碼過渡至新系統才會讓事件曝光。截至發稿時,HSBC印度分行尚未就事件作出回應。
