香港證券及期貨事務監察委員會禁止加密平台使用一次性密碼,以應對釣魚攻擊激增

香港證券及期貨事務監察委員會(SFC)發布通告,要求虛擬資產交易平台及網路經紀商採用更強健的安全措施,取代一次性密碼(OTP)認證。監管機構指出,2025 年向香港網絡安全事件應變中心(HKCERT)報告的所有安全事件中,釣魚和偽冒攻擊佔比高達 57%,成為推動此規定的主要原因。相關公司必須在 12 個月內採用更強的替代方案,如密鑰(passkeys)和綁定裝置認證,且大型網路經紀商須立即實施該措施。此通告標誌著香港數字資產領域監管力度的升級,因為傳統認證方法已被認為不足以應對日益複雜的網路攻擊。

SFC 要求平台逐步淘汰 OTP,用於客戶登入及裝置綁定流程。受規範的實體須在通告發布後 12 個月內完成轉換,而大型網路經紀商則須立即執行新措施。監管機構表示,密鑰和綁定裝置認證比 OTP 提供更具韌性且抗詐騙的驗證方式。

SFC 強化安全措施與管理責任

該通告列出涵蓋偵測、應對及客戶教育的義務。虛擬資產交易平台及經紀商必須建立能識別可疑登入、交易及提款活動的監控系統。公司須及時通知客戶重要帳戶事件,並迅速應對任何駭客攻擊事件。持續向客戶發出有關新興網路威脅及冒充詐騙的警示也在預期之列。

SFC 表示,這些公司的高層管理人員對帳戶保護措施的充分性負有最終責任。若公司內部安全措施不足,將須對因此造成的客戶損失負責。

監管時間表:從監控到強制規定

自 2024 年底起,SFC 已開始監控 OTP 相關風險。2025 年 2 月的通告中,監管機構曾強烈建議持牌公司逐步放棄 OTP。此次通告則將該建議轉化為具約束力的規定,成為必須遵守的法定期限,而非自願性建議。

常見問題

香港 SFC 要求加密平台做什麼?

香港證券及期貨事務監察委員會發布通告,要求虛擬資產交易平台及網路經紀商採用更強健的安全措施取代一次性密碼(OTP)認證,例如密鑰和綁定裝置認證。

為何 SFC 禁止加密平台使用 OTP?

監管機構指出,2025 年向香港網絡安全事件應變中心報告的所有安全事件中,釣魚和偽冒攻擊佔比高達 57%,認為 OTP 認證已不足以應對現代高階攻擊。

加密平台何時必須符合新認證規定?

受規範的實體須在通告發布後 12 個月內完成轉換,而大型網路經紀商則須立即實施新措施。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆