汇丰银行印度分行密码存储方式引争议,安全漏洞引发广泛关注
在全球银行业普遍强调数据保护与网络安全的背景下,汇丰银行印度分行近期因密码处理方式引发业内关注。据最新披露的信息,该分行可能以明文或易于解密的形式存储用户密码,这一做法被视作严重的安全风险。
事件曝光源于汇丰银行印度分行向用户发送的一封通知邮件。邮件内容指出,用户的网银登录密码将从即日起强制启用大小写敏感模式,并规定自2026年4月6日起,所有账户必须使用大写字母输入密码。例如,原密码“Test123”需更改为“TEST123”。
该措施一经公布,立刻在网络安全领域引发强烈反响。专家指出,若银行系统确实以明文或可逆加密方式存储用户密码,则意味着任何具备数据库访问权限的人员——包括潜在的黑客——都有可能获取用户凭证。此类操作在业界被普遍认为是极其危险的安全漏洞,严重削弱了用户的资金与隐私保护。
在现代网络身份认证体系中,行业最佳实践要求对用户密码进行哈希处理。常用的哈希算法包括bcrypt、scrypt 和Argon2,它们具备单向性、计算延迟性以及对大小写敏感等特性,能显著提升系统的抗暴力破解能力。
值得注意的是,Test123 与 TEST123 在哈希处理后会产生完全不同的哈希值。若银行系统仅保存哈希值,则无法自动将小写字母转换为大写,这进一步佐证了密码可能以明文形式存储的猜测。
此次密码修改还带来了额外的安全隐患。相比原本包含大小写与数字的8位密码(约218万亿种组合),全大写密码组合数量骤降至2.8万亿种,下降幅度高达98.7%。这意味着黑客通过暴力破解手段获取密码所需时间将从原本的100天缩短至仅仅2天。
外界普遍认为,此次密码修改可能是银行在从旧系统迁移至新系统过程中的临时过渡方案。然而,这一举措也暴露了银行技术体系的落后性。目前,此类问题仅在印度分行被披露,其他地区尚未有类似政策实施。
尽管此事件引发诸多质疑,但鉴于印度本地的网络安全环境及监管标准,类似问题在该地区发生,似乎又并不令人意外。