HSBC Ấn Độ mới đây đã đưa ra thông báo tới toàn bộ khách hàng rằng bắt đầu từ ngày 6/4/2026, tất cả các chữ cái tiếng Anh trong mật khẩu đăng nhập ngân hàng trực tuyến sẽ được chuyển sang chữ hoa. Ví dụ: mật khẩu ban đầu Test123 sẽ trở thành TEST123. Hoạt động này đã gây náo động trong lĩnh vực bảo mật. Các chuyên gia bảo mật chỉ ra rằng điều này có nghĩa là HSBC Ấn Độ từ lâu đã lưu trữ mật khẩu người dùng ở dạng văn bản rõ ràng hoặc định dạng có thể đảo ngược, vi phạm nghiêm trọng các tiêu chuẩn bảo mật hiện đại.
Nguyên tắc bảo mật cơ bản của hệ thống mật khẩu là: hệ thống không lưu trữ mật khẩu mà lưu trữ giá trị băm được xử lý bằng thuật toán băm một chiều. Ngân hàng sẽ không bao giờ cần hoặc nhìn thấy mật khẩu thực tế.
Giá trị băm của Test123 và TEST123 hoàn toàn khác nhau. Nếu hệ thống chỉ lưu giá trị băm thì nó không thể thực hiện thao tác chuyển đổi chữ thường thành chữ hoa.
HSBC Ấn Độ có thể thay đổi hàng loạt trường hợp mật khẩu. Lời giải thích hợp lý duy nhất là phần phụ trợ của nó lưu trữ mật khẩu gốc hoặc văn bản mã hóa có thể giải mã được chứ không phải giá trị băm.
Các chuyên gia bảo mật còn chỉ ra thêm rằng thay đổi này sẽ làm suy yếu đáng kể độ mạnh của mật khẩu. Mật khẩu gồm 8 chữ số với các số viết hoa và viết thường có khoảng 218 nghìn tỷ kết hợp và phải mất khoảng 100 ngày để bẻ khóa bằng vũ lực. Sau khi chuyển sang toàn chữ hoa, số lượng kết hợp giảm mạnh xuống còn 2,8 nghìn tỷ, thời gian bẻ khóa rút ngắn xuống dưới 2 ngày và độ bảo mật giảm khoảng 98,7%.
Có suy đoán rằng động thái của HSBC Ấn Độ có thể là một biện pháp chuyển tiếp nhằm chuyển hệ thống mật khẩu cũ sang hệ thống mới, nhưng bản thân quy trình này đã bộc lộ mức độ nghiêm trọng của khoản nợ kỹ thuật trước đây.
Điều đáng chú ý là các hệ thống ở các khu vực khác của Tập đoàn HSBC (bao gồm Vương quốc Anh và Hồng Kông, Trung Quốc) chưa áp dụng chính sách này và người dùng vẫn có thể sử dụng mật khẩu hỗn hợp một cách bình thường.