區塊鏈

香港禁止使用一次性密碼——為何金融監管機構不再信任一次性密碼

金色財經

香港禁止券商和加密貨幣平台使用一次性密碼(OTP)登錄 ——並追究高管責任

香港金融監管機構對基於密碼的身份驗證採取了強硬立場。 證券及期貨事務監察委員會已發布指令,要求其管轄範圍內的網路券商和加密貨幣交易平台在12個月內從客戶登錄及設備認證流程中徹底淘汰一次性密碼——這一全面指令的出台,源於欺騙攻擊的激增,使得一次性密碼作為一道防線越來越不可靠。


此舉使香港躋身全球在強制推行具體認證標準方面最為果斷的金融監管機構之列,且該指令附帶一項賦予其實際約束力的治理要求:若因網路安全控制措施不力導致客戶蒙受損失,高級管理人員將承擔個人責任。




推動這一決定的威脅

該指令背後的統計數據令人觸目驚心。 根據香港網路安全事件協調中心的數據(香港證監會將其作為採取監管行動的依據),2025年全市報告的所有網路安全事件中,冒充攻擊占57%。


每一起報告的網路安全事件中,超過一半可追溯到旨在竊取憑證、劫持帳戶並攔截本應阻止此類攻擊的一次性密碼的攻擊。


這一數據揭示了在當前威脅環境下,一次性密碼(OTP)作為安全機制所面臨的核心問題。 一次性密碼原本旨在在靜態密碼之外增加一層驗證——多年來,它們確實做到了這一點。但釣魚攻擊基礎設施已日趨成熟,攻擊者如今能夠實時攔截一次性密碼,通過展示虛假登錄頁面在受害者察覺異常之前,同時竊取密碼和一次性驗證碼。 本意在於防止帳戶被劫持的身份驗證因素,反而成了攻擊的目標本身。


SFC 在評估中直言不諱: 「一次性密碼(OTP)本身就存在固有風險,如今已有更強大、更抗釣魚攻擊的替代方案,例如密鑰和設備綁定。&」



該指令的要求

SFC 的指令涵蓋其監管管轄範圍內營運的所有網路經紀商和虛擬資產交易平台。 這些要求具體且不可協商。


自7月9日該指令發布之日起12個月內,必須從客戶登錄流程和設備註冊流程中移除一次性密碼(OTP)。 取而代之,營運商必須實施能夠抵禦欺騙攻擊的身份驗證方法——監管機構列舉了「通行密鑰」和「設備綁定」作為其預期標準的示例。證監會雖未強制要求採用某項特定技術,但明確指出替代方案必須在設計上具備防釣魚能力,而不僅僅是比原有方案更複雜。


對於主要網路券商而言, 證監會採取了更進一步的措施,強烈敦促其在合理可行的範圍內儘快採用新的身份驗證系統——這表明12個月的期限僅為上限,而非目標期限。



除了登錄安全之外——監控與響應義務

該指令的範圍遠遠超出了身份驗證層面。 SFC 還要求受監管的營運商實施監控系統,在客戶資產面臨風險之前(而不是在損失發生之後)檢測可疑的登錄嘗試、異常的交易模式和未經授權的提款請求。


當帳戶發生重大活動時,必須及時通知客戶。必須制定針對疑似駭客入侵事件的快速響應協議。 此外,營運商還必須定期向客戶發布警報並持續開展教育,以防範網路釣魚詐騙和新興的網路安全威脅——將提升客戶安全意識視為一項積極的監管義務,而非可有可無的溝通活動。


這些綜合要求體現了一種全面的網路安全治理模式,證監會明確將其界定為預防、檢測、響應和教育四者的協同運作。 「持牌金融機構需要採取一種將預防、檢測、響應和客戶教育相結合的綜合方法,以應對日益複雜的網路釣魚攻擊,」證監會仲介機構執行董事葉志恆博士表示。 「各機構應加強身份驗證系統,對可疑活動保持警惕,並在造成財務損失前採取應對措施。」



高管需承擔責任

該指令在治理層面的意義最為顯著。 香港證監會已將保護客戶帳戶的最終責任明確歸於高級管理層——而不是IT部門、技術供應商,也不是客戶本身。


高管必須確保其組織維持有效的內部控制框架和充分的網路安全措施。 香港證監會已明確表示,當客戶因內部控制缺陷而遭受損失時,將追究持牌營運商的責任。這一問責框架要求在技術防禦措施之外加強治理——如果圍繞密鑰的整體安全架構和管理監督不足,僅部署密鑰是遠遠不夠的。


對於受影響企業的合規與風險負責人而言,這一問責條款從根本上改變了網路安全投資決策的性質。 身份驗證升級不再僅僅是一個技術項目——它是一項治理義務,如果未能有效落實,將對組織高層人員產生直接的監管後果。



更廣泛的背景 ——香港的數字資產雄心

一次性密碼(OTP)禁令並非孤立存在。 近年來,香港一直在系統性地提高其受監管金融行業的網路安全標準,旨在實現雙重目標:增強金融基礎設施的韌性,並建立必要的制度信心,以支持其作為受監管的數字資產中心的雄心。


該指令將加密貨幣交易平台——與傳統網路經紀商並列——納入監管範圍,反映了證監會&#將虛擬資產營運商視為受監管金融體系的完全參與者,並要求其遵守與傳統同行相同的安全標準。這種等效性一直是香港加密貨幣監管方針的一貫主題,而7月9日的指引則以具體且有時間限制的方式,將其延伸至營運網路安全領域。


以金融業技術變革的標準來看,12個月的實施期限相當緊迫。 對於那些圍繞一次性密碼(OTP)構建客戶身份驗證流程的平台——這占絕大多數——向密鑰或設備綁定模式的遷移,需要同時調整用戶註冊流程、客戶溝通策略、支持基礎設施以及後端身份驗證系統。 那些將截止日期視為遙遠的未來而非當務之急的企業,隨著截止日期的臨近,將會面臨巨大壓力。



這對行業意味著什麼

香港的這項指令很可能產生超出其直接管轄範圍的影響。 其他金融中心的監管機構也在關注同樣的威脅數據——欺騙和網路釣魚攻擊並非香港獨有——而香港證監會願意強制要求具體的身份驗證標準、設定硬性截止日期,並將高管的問責制與合規結果掛鈎,為其他地區提供了可借鑑的範本。


特別是對於全球虛擬資產行業而言,該指令表明,將網路安全視為後台事務的時代正在結束。 對加密貨幣平台擁有管轄權的監管機構正越來越多地將安全標準視為市場准入的條件——這並非由營運商自行決定是否滿足的期望,而是必須執行的要求,若未達標將面臨相應後果。




來源

香港證券及期貨事務監察委員會於2026年7月9日發布的指令。 香港網路安全事件協調中心關於欺騙攻擊的統計數據(2025年),引自證監會指令。香港證券及期貨事務監察委員會仲介事務執行董事葉志恆博士的聲明,2026年7月。


來源:金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前,請務必深入研究,理解相關風險,並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與加密貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠


section icon

鉅亨講座

看更多
  • 講座
  • 公告

    Empty
    Empty