HSBC India 近日向客戶發出電郵,宣佈由 2026 年 4 月 6 日起,所有網上銀行密碼將強制改為全大階(upper case)輸入,用戶毋須重設密碼,只需在登入時將原有密碼以全大階輸入即可。事件迅速在社交媒體及科技圈引發廣泛關注,安全專家指此舉削弱密碼強度,更間接揭示該銀行密碼儲存方式存在嚴重安全隱患。
涉事電郵的內容
HSBC India 發出的電郵帶有官方品牌標誌,全文寫明:「請注意,您的網上銀行密碼由即日起將變為 upper case-sensitive,並於 2026 年 4 月 6 日起生效。登入時,請以全大階輸入您現有密碼。」電郵以具體例子說明:「如您的密碼為 Test123,請由 2026 年 4 月 6 日起輸入 TEST123。」電郵亦確認,生物認證及 Secure Token 登入方式不受影響。
密碼儲存方式疑點重重
業界標準要求任何負責任的網絡服務商,絕不應直接儲存用戶密碼原文,而應透過 bcrypt、scrypt 或 Argon2 等演算法對密碼進行單向 hash。由於這類 hash 本身區分大細階,若銀行按正確做法儲存密碼,根本不可能在不強制用戶重設密碼的情況下,要求用戶改變輸入方式。
HSBC India 此次做法,令安全專家推斷銀行可能存在以下兩種情況:其一,密碼以明文或可解密格式儲存,屬業界公認最嚴重的安全漏洞;其二,系統採用大細階不敏感(case-insensitive)的 hash 方式,即在 hash 前已對密碼進行大細階標準化處理,此做法雖優於明文儲存,但按現代安全標準同屬不良實踐。OfficeChai 的報道亦指出,無論屬哪種情況,此次改動都令密碼安全性進一步倒退。
Entropy 下降令爆破難度降低
此次改動令密碼的 entropy(資訊熵)大幅下降。密碼強度取決於每個字元的可能選擇數量,大細階混合的英文字母共有 52 個選擇,強制全大階後只剩 26 個。以 NIST 及 OWASP 等國際安全標準衡量,大細階混合、數字及符號並用是密碼設計的基本要求,此舉明顯是安全倒退。事件發生至今,HSBC India 仍未就此事發表公開聲明,回應外界對其密碼儲存方式的技術質疑。
用戶應對建議
安全專家就今次事件,向受影響用戶提出以下建議:
4 月 6 日後立即更改密碼,設定一個全新強密碼,切勿只是將舊密碼全部改成大階
若曾在其他網站使用相同密碼,應一併更改,防止密碼外洩波及其他帳戶
優先改用生物認證或 Secure Token 登入,安全性較純密碼登入更高
收到類似要求更改密碼輸入方式的電郵,應直接致電 HSBC 官方客服熱線核實,不要點擊電郵內的任何連結
資料來源:OfficeChai
分享到 :
最新影片
