自选
我的自选
查看全部
市值 价格 24h%
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

香港禁止加密货币平台使用短信登录

2026-07-10 04:27:00
收藏

香港证监会下令禁用一次性密码 强化反钓鱼认证

香港证券及期货事务监察委员会(SFC)已要求持牌加密货币交易所及在线经纪商停止使用一次性密码(OTP)用于客户登录。这是迄今针对钓鱼攻击导致账户被盗的最直接监管举措之一。

据消息,SFC发布通函,指示虚拟资产交易平台及互联网经纪商用抗钓鱼替代方案取代通过短信、电子邮件及应用程序发送的一次性密码。监管机构指出,一次性密码存在风险,而更安全的选项如今已能消除这些隐患。

平台须执行的具体措施

SFC要求平台采用通行密钥、经加密验证的注册设备以及硬件安全密钥等方法。通过短信或应用发送的一次性密码可被攻击者在虚假登录页面上实时截取,而通行密钥和绑定设备则通过将访问权限与特定设备或硬件凭证关联,堵住了这一漏洞。

持牌机构应尽快落实新的身份验证框架,并须在12个月内全面达标。SFC表示,规模较大的在线券商应立即开始采用更安全的认证方式。

SFC同时提醒在线经纪商及虚拟资产交易平台的高级管理层,他们对实施适当控制措施以保护客户账户及资产负有最终责任,若因控制措施疏失导致客户损失,将追究其责任。

除身份验证外,SFC还要求企业监控可疑的登录、交易及提现活动,就关键账户事件向客户发出提醒,并在发生安全漏洞时迅速响应。

SFC为何此时出手

钓鱼攻击造成的损失规模是最直接的动因。香港正在提升网络安全标准。2026年第一季度,全球加密货币行业钓鱼攻击和社会工程诈骗案件增加,相关事件造成该行业总损失4.82亿美元中的3.06亿美元。

2025年,假冒与欺诈攻击占香港网络安全事故协调中心接报安全事件总数的57%。

SFC此前曾尝试加固现有渠道而非直接替换,包括推动经纪商加入短信发送者注册计划,并禁止在短信中嵌入链接。在2025年2月的一份网络安全通函中,该机构已鼓励企业放弃一次性密码,而此次新命令将这一指导意见变为强制性要求。

香港的这一监管方向很可能引发其他地区监管机构的关注。基于短信的双因素验证长期以来被视为账户安全的最薄弱环节,此次行动标志着自愿性指引正让位于具有约束力的规则。其他主要金融中心是否会跟进,仍待观察。

展开阅读全文
更多新闻