話說印度HSBC忽然出信,要求客戶自某日起,用全大寫輸入密碼。
一班專家就跳出來說,啊想不到世界性銀行如此疏忽,居然不是儲存 hash值,而直接儲存用戶密碼云云。
然而 reddit 上有人指出,只是該銀行之前並無區分大小寫,一律儲存了大寫密碼的hash。現在才是撥亂反正,但現有 hash 都是由大寫字算出來的,故要求客戶以大寫輸入。這恰好反映他們正是使用 hash的。至於之前為何不區分,可能是為了客戶方便。
此事讓我再次注意到,有些事情並不是第一眼看到的那樣想當然。特別是看去是別人過失的,切勿跳起就橫加指責。不然,搞笑的可能是自己。