汇丰印度强推全大写密码：2600万用户的账户安全一夜回到2006

4月6日起，汇丰印度（HSBC India）的网银用户必须用大写字母输入密码。不是建议，是强制。一位孟买程序员收到邮件后反复确认了三遍——他的密码"Test123"现在要写成"TEST123"才能登录。

这不是升级，是一次技术考古。

银行给出的解释堪称行为艺术：为了配合"真正的区分大小写登录门户升级"，后端现在需要用户输入完全大写的内容，以匹配数据库中现存的大写哈希值。翻译成人话：他们之前把所有密码都存成了大写，现在想假装自己支持大小写敏感，但又不想让用户重新设置密码。

安全研究员的反应很直接。密码学的一条铁律是，服务商不应该、也不可能知道用户密码的大小写形态——除非根本没做哈希，直接存了明文，或者用了某种会把输入强制转大写的古老系统。汇丰印度的操作，等于公开承认了两件事里至少占了一件。

为什么大写锁定等于安全降级

密码的强度来自熵值，也就是不确定性。一个包含大小写字母、数字的8位密码，理论上有62^8种组合。强制全大写后，字符集从62个缩水到36个，组合数直接砍掉几个数量级。

更隐蔽的伤害是用户行为。很多人会直接把原密码改个大写版本，比如"Password1"变成"PASSWORD1"。这种可预测的模式对暴力破解工具来说，简直是标注好的地图。凭证填充攻击（Credential Stuffing，即利用泄露的账号密码批量尝试登录其他服务）的成功率也会上升——因为用户在其他平台的小写密码，现在有了明确的大写变体可以尝试。

汇丰印度的FAQ页面还在原地打转。官方文档至今写着"密码不区分大小写"，与客户收到的强制大写邮件形成荒诞对照。这种文档与实操的撕裂，比技术缺陷本身更让人不安——它暗示着内部沟通链条的断裂，或者对这场改动的仓促上马。

legacy系统的幽灵

把输入强制转大写再哈希，是上世纪遗留系统的典型特征。早期主机系统（Mainframe）和某些金融核心系统为了简化处理，会统一转换字符大小写。问题在于，汇丰印度直到2026年还在偿还这笔技术债。

更合理的迁移路径是什么？让系统在过渡期内同时接受大小写输入，后台逐步引导用户重置为真正的区分大小写密码。或者，直接要求全员重置——虽然体验糟糕，但至少诚实。汇丰印度选择的方案，是用用户的账户安全为 legacy 系统的历史包袱买单。

印度国家支付公司（NPCI）的数据显示，2024年该国数字支付交易量突破150亿笔。在这个市场，银行的安全基建却呈现出惊人的断层。汇丰印度并非孤例，只是这次的操作过于直白，把行业普遍存在的"假装安全"摊在了阳光下。

用户能做什么

安全专家的建议很务实：趁这个机会彻底重置密码，不要只是改成大写版本。如果汇丰印度后续真的升级了哈希机制，这次重置还能蹭到一点安全红利。但更大的前提是，别对这次"升级"本身抱有过高期待。

一个值得玩味的细节是，汇丰集团其他地区的分支机构并未跟进这一政策。英国、香港的网银用户仍在正常使用大小写混合密码。这种区域差异化的安全策略，让"技术升级"的解释显得更加单薄——同一套核心系统，为何只在印度需要用户自我降级？

孟买那位程序员最终把密码改成了16位随机字符，全大写。他说这就像被迫用莫尔斯电码发微信，但至少让破解成本稍微高了一点。而他的银行，至今没有解释为什么2026年的安全升级，闻起来像2006年的系统迁移。

如果强制大写是升级，那真正的安全降级长什么样？