香港證監會下令加密貨幣及經紀公司逐步淘汰一次性密碼,期限為12個月

香港證券及期貨事務監察委員會已命令持牌虛擬資產交易平台及網路券商在 12 個月內逐步淘汰一次性密碼(OTP)用於客戶登入及裝置註冊。此指令源於釣魚攻擊的增加,根據香港網絡安全事件協調中心的資料,2025 年的安全事件中有 57% 為偽冒攻擊。監管機構表示,基於 OTP 的認證已不足以應對釣魚、冒充及詐騙行為,這些行為會誘使用戶交出登入碼,使攻擊者能存取帳戶、註冊新裝置、下單交易或在企業察覺前嘗試提款。

SFC 要求採用 Passkeys 及裝置綁定作為認證措施

該通知要求企業停止使用 OTP 進行客戶登入及裝置綁定,轉而採用更強的認證方法,例如 Passkeys 及裝置綁定。監管機構表示,實施應「盡快進行」,最終期限為通知發出日起 12 個月。大型網路券商被要求立即採用新認證方法。Passkeys 可降低對容易被釣魚頁面竊取的碼的依賴,而裝置綁定則將帳戶存取與可信裝置綁定,增加未授權登入的難度。

持牌企業須加強監控及客戶提醒

持牌企業須強化監控系統,以偵測可疑的登入、交易及提款活動,包括異常存取模式、新裝置活動、不正常的訂單行為及提款請求,這些都可能代表帳戶已被入侵。監管機構亦要求企業及時通知客戶重要帳戶活動,並迅速回應駭客事件。客戶教育亦是規定內容,企業應定期提醒用戶警惕冒充詐騙、釣魚攻擊及新興的網絡安全風險。

證監會中介行業主管葉志鴻表示:「為了保護客戶帳戶免受日益複雜多變的釣魚攻擊,必須採取預防、偵測、應對及教育的綜合措施。持牌機構應加強第一道防線,採用強健的認證方案,保持警覺,並在損害擴大前迅速應對。」

高層管理人員須對帳戶安全負最終責任

證監會提醒持牌企業的高層管理人員,對於保障客戶帳戶及資產的適當控制負有最終責任。監管機構表示,若內部控制不足導致客戶損失,企業可能須負責。此政策適用於網路券商及虛擬資產交易平台,為傳統證券及加密貨幣市場的線上金融存取建立共同基準。

常見問題

香港加密平台及券商必須採用哪些認證方法來取代 OTP?

企業須採用更強的認證方法,例如 Passkeys 及裝置綁定。Passkeys 可降低對容易被釣魚頁面竊取的碼的依賴,而裝置綁定則將帳戶存取與可信裝置綁定。

為何證監會要求逐步淘汰 OTP 登入?

此指令源於偽冒攻擊的增加,根據香港網絡安全事件協調中心的資料,2025 年的安全事件中有 57% 為偽冒攻擊。監管機構指出,基於 OTP 的認證已不足以應對釣魚、冒充及詐騙行為。

企業必須在何時遵守證監會的新認證規定?

企業自通知發出日起有 12 個月的期限逐步淘汰 OTP,用於客戶登入及裝置註冊。大型網路券商被要求立即採用新認證方法。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆