香港禁用短信OTP强化账户安全

香港金管局敦促交易所弃用短信验证码,构建强韧身份认证体系

香港证券及期货事务监察委员会(SFC)正式下达指令,要求所有持牌加密货币交易平台与在线经纪商立即停止使用通过短信、电子邮件或应用推送的一次性密码作为客户登录凭证。此举被视为针对高频钓鱼攻击事件所采取的最具实质性的监管干预措施。

推行多因素认证升级,堵截实时截取漏洞

监管机构明确指出,传统一次性密码机制存在显著安全隐患,攻击者可借助伪造登录界面实时获取并滥用验证码。为消除该风险,SFC强制要求机构采用通行密钥、绑定加密设备及硬件安全密钥等更高级别的身份验证手段。这些技术通过将访问权限与特定物理设备或生物特征绑定,从根本上切断了远程窃取的可能性。

分阶段落实新框架,高层管理者须担责

各持牌机构需在12个月内完成新认证系统的全面部署,规模较大的券商应即刻启动过渡流程。SFC强调,企业高管对账户保护控制体系负有最终责任,若因安全措施缺失导致客户资产受损,将依法追责。此外,平台还需建立异常活动监测机制,对可疑登录、交易及提币行为进行实时预警,并在发生安全事件时迅速响应。

监管升级源于诈骗案激增,全球趋势已现端倪

此次行动的直接动因是钓鱼攻击造成的巨额损失。2026年第一季度,全球加密行业因社会工程诈骗导致的总损失达4.82亿美元,其中3.06亿美元来自钓鱼攻击。在本地层面,2025年假冒与欺诈类攻击占香港网络安全事故协调中心报告案件的57%。此前,SFC虽曾倡导企业参与短信发送者注册计划并禁止短信内嵌链接,但此次将建议转为具有法律效力的强制规定,标志着从自愿引导迈向制度化管控的关键一步。这一举措或将影响其他金融中心的监管思路,推动基于短信的双因素验证逐步退出主流安全体系。