
香港證券及期貨事務監察委員會命令虛擬資產交易所停用 OTP... 須於 2027 年 7 月前引入防網絡釣魚認證
香港證券及期貨事務監察委員會(證監會)已命令虛擬資產交易所及網上經紀商,須於 2027 年 7 月前停止使用一次性密碼(OTP),並引入防網絡釣魚認證體系。未能履行保安升級的平台必須全額賠償用戶損失。
香港證券及期貨事務監察委員會(證監會)發布了強而有力的監管方案,旨在保護數字資產生態系統免受不斷演變的網絡威脅。證監會已為所有虛擬資產交易平台(VATP)及網上經紀商設定期限,要求在 2027 年 7 月 8 日前逐步淘汰現有的一次性密碼(OTP)方式,並引入防網絡釣魚認證(Phishing-resistant authentication)。
透過通函 26EC35 公布的這項指引,強制要求轉向 FIDO2 等加密標準及硬件密鑰,以保護投資者免受帳戶接管及基於人工智能(AI)的網絡釣魚攻擊。這意味著香港為了成為安全的全球數字資產樞紐,正在對保安基礎設施進行根本性的體質改善,亦反映了監管機構將更嚴格地追究平台對保安事故責任的決心。
證監會要求虛擬資產交易平台(VATP)及網上經紀商在客戶登入及設備綁定過程中停止使用 OTP。雖然最終合規期限設定為 2027 年 7 月 8 日,提供了約一年的寬限期,但保安監控及事故響應義務將於 2026 年 7 月 10 日起立即生效。
「證監會要求網上經紀商及 VATP 停止使用 OTP,以應對網絡釣魚攻擊及客戶帳戶接管事件。這是考慮到現有方式的風險以及更強大的認證替代方案的存在而作出的決定。」
監管機構認為,傳統的 OTP 方式已不足以抵禦日益先進的攻擊。透過 SMS 或電子郵件發送的驗證碼容易透過 SIM 卡置換(SIM swapping)或精心設計的網絡釣魚網站被截獲,且容易受到利用用戶疏忽的多重身份驗證(MFA)疲勞攻擊,其保安漏洞一直備受關注。
保安標準的轉型與技術必然性
防釣魚多重認證 (MFA) 使用非對稱密鑰加密程序,從結構上令攻擊者無法透過虛假登入頁面攔截或重複使用憑證。FIDO2 及通行密鑰 (Passkeys) 標準結合了裝置綁定與網域驗證,從源頭阻截用戶向非預期網站提供認證資訊,提供比傳統共享密鑰方式更卓越的安全性。
- 2026年7月10日起立即執行保安監控及事故響應義務
- 展開引入 FIDO2 標準及硬件保安密鑰的技術審查
- 加強有關使用通行密鑰 (Passkeys) 的用戶教育及指引
- 於2027年7月8日前完成全面更換所有基於 OTP 的認證系統
證監會 (SFC) 向平台提出了一項獨特策略,要求其在技術升級與財務責任之間作出選擇。根據規定,平台必須實施防釣魚登入系統,否則須確保對因保安事故導致的用戶所有損失進行全額賠償及保險處理。此政策提供了強大的財務誘因,引導平台營運商從長遠來看,提高保安水平將是更具經濟效益的選擇。
此舉是與2026年6月2日發布的通函 26EC32 相關的多層次監管應對措施之一。證監會隨著利用人工智能 (AI) 的網絡威脅增加,持續發布一系列指引以提升整個金融板塊的保安水平,反映了將香港打造為安全全球數字資產樞紐的決心。
全球市場亦呈現出明顯的保安強化趨勢。在歐盟 (EU) 的《加密資產市場法規》(MiCA) 框架下,歐洲證券及市場管理局 (ESMA) 正對虛擬資產託管機構是否具備充足的保安及韌性標準進行更嚴格的審查。香港此次監管措施緊隨國際趨勢,預計將把區內平台的保安競爭力提升至世界級水平。
預計香港的虛擬資產平台在未來一年內需投入可觀的技術成本與人力進行系統改組。然而,專家評估認為,這些開支是長遠贏得投資者信任,並使香港在全球數字資產市場佔據監管優勢的必要投資。
明確規定平台在發生保安事故時須承擔責任,體現了香港當局以保護用戶為首要任務的監管哲學。這不僅是技術上的轉變,更是虛擬資產行業邁向傳統金融級別成熟度的過程,未來極有可能成為其他地區監管機構的重要參考案例。
投資者應仔細留意所使用平台的公告,並準備好適應新的認證方式。雖然引入基於硬件密鑰或生物識別的通行密鑰(Passkey)在初期可能會有些繁瑣,但在資產保護方面,它將提供現有 OTP 無法比擬的安全水平。


本內容僅供資訊與評論用途,並不構成投資建議。
加入這篇文章的討論
看看其他讀者的想法,也可以留下你的意見。