【不是愚人節新聞 ... 😂】外媒報道，HSBC 印度近日突然通知所有印度客戶，由 2026 年 4 月 6 日起網上銀行戶口密碼會作出改動，所有英文字無論大細階，一律會被變成大階，即如果你的密碼是 Test123，就會被強行修改成 TEST123，於 2026 年 4 月 6 日生效。事件傳出後引發全球安全專家的議論。

以下是信件的原文︰

「We would like to inform you that your Internet Banking passwords will now become UPPER case-sensitive and the same will be in effect from 6 April 2026 onwards. When logging in, please enter your existing password using capital letters. For example, if your password is Test123, please enter TEST123 from 6 April 2026.」

安全專家指出，HSBC 作為世界級的銀行機構，怎會有如此荒唐的事情出現。正常來說，用戶建立密碼時，系統儲存的並不是密碼本身，而是使用一種稱為雜湊（Hash）的單向數學演算法來處理密碼。因此，系統檢查的也不是密碼，而是你輸入的密碼的雜湊值是否與儲存紀錄中的雜湊值相符，銀行是永遠不需要知道，也不會「看到」你的實際密碼。

但這次銀行竟然可以將用戶密碼的英文大細階變成全大階，這意味著 HSBC 印度儲存的是密碼本身而非雜湊值。因為 Test123 與 TEST123 的雜湊值是完全不同的，系統根本無法單憑雜湊值做到將大細階變成全大階。

這意味著 HSBC 印度過去完全違反了美國 NIST 制定的密碼標準，將密碼以明文或可逆（可解密）格式儲存，或是使用了無法區分大細階的密碼雜湊值儲存。這對於現代安全標準來說是完全不能接受的，尤其是發生在如此國際性的銀行機構，儘管事件僅發生在印度。

安全專家提醒，一個 8 位的大細階 + 數字密碼共有約 218 萬億個組合，但如果變成全大階 + 數字就會降到 2.8 萬億個，組合總數減少了約 98.7%。這意味著黑客使用「暴力破解法」（Brute-force attack）時，所需的時間直接從原本的 100 天縮短至不到 2 天。

外界估計 HSBC 印度正在更改密碼系統，將舊密碼過渡至新系統才會讓事件曝光。截至發稿時，HSBC 印度分行尚未就事件作出回應。

想知香港 HSBC 係咪都一樣危險

Cls 即係本身冇encrypt😂😂😂
果然係印度😂😂😂

等下，存密碼不用hash是什麼資安天才

真愚人

也不是沒有不用hash 而做到的方法，只需要用在下次登入自動改動密碼的方法，就能做到同樣效果。

自動改密碼嘅前提係要user打返原本啱大細楷嘅密碼，系統先至可以用舊hash驗證佢哋密碼啱唔啱，再將佢打嘅密碼變成大楷重新Hash過

如果下次打密碼直接用大楷就登入到就應該真係冇Hash / somehow用咗啲其他做到呢個功能嘅algo

成件事好撚印度

痴撚線 唔係儲hash😂😂😂😂 衰撚過中學生d功課

In Plain text we trust

安全程度 - 印度

你可以寫：愚人節真的新聞

好似台灣棒球有寫：本日所有賽事內容均為真實發生

印度不出奇

也不是沒有不用hash 而做到的方法，只需要用在下次登入自動改動密碼的方法，就能做到同樣效果。

印度！不會覺得奇怪了🤭

印度，合理

疯啦竟然没有加密

輕度 重度 印度

我以為大家都是存 hash

啥啊啊 不是hash

印度人辦事不意外

印度⋯

Plain text 🤣🤣🤣