汇丰印度网银强制密码转大写，暴露明文存储隐患与安全倒退

汇丰银行印度分行近日向全体客户发布通知，宣布自2026年4月6日起，网上银行登录密码中所有英文字母将自动转换为大写形式。例如，原密码Test123在系统中将被统一识别为TEST123。

该调整在信息安全领域引发广泛关注。多位安全专家指出，这一做法表明其后台系统很可能长期以明文或可逆加密方式保存用户密码，与当前通行的安全实践严重背离。按照现代密码学基本原则，金融机构不应存储用户原始密码，而应仅保存经单向哈希算法处理后的固定长度摘要值。系统在验证时只需对用户输入的密码重新计算哈希并与存储值比对，全程无需、也不应接触真实密码。

由于Test123与TEST123经哈希运算后生成的摘要值完全不同，若系统仅保存哈希结果，则根本无法实现批量字母大小写转换。因此，能够执行此类操作的唯一合理解释是：后台数据库中实际存储的是原始密码本身，或采用可逆方式加密的密文。

更值得关注的是，此项变更将显著降低账户防护能力。以8位长度、含大小写字母及数字的密码为例，其理论组合空间约为218万亿种，暴力破解平均耗时约100天；而强制转为全大写后，有效组合数缩减至约2.8万亿，破解所需时间缩短至不足2天，整体安全性下降幅度接近98.7%。

业内普遍认为，此举或为旧有密码体系向新架构迁移过程中的临时过渡方案，但其本身恰恰凸显了既有技术架构长期积累的安全隐患与历史包袱。与此同时，汇丰集团在全球其他主要运营区域，包括英国及中国香港等地，均未实施类似限制，客户仍可正常使用包含大小写混合的密码设定。