香港證券及期貨事務監察委員會(SFC)在 7 月 9 日發布的要求中,命令網路券商以及獲牌的虛擬資產交易平台,將一次性密碼替換為具防釣魚能力的驗證方法。公司必須在 12 個月內落實更強的登入與裝置綁定控管;較大型的券商預期會立即開始採用。該指令針對釣魚攻擊,因為在 2025 年期間,釣魚攻擊佔香港電腦緊急應變協調中心(Hong Kong Computer Emergency Response Team Coordination Centre)所通報的所有資安事件的 57%。SFC 表示,傳統的一次性密碼已不足以因應日益複雜的釣魚活動,這些活動正鎖定線上交易帳戶。此舉強化了香港的做法:讓數位資產公司符合類似於傳統金融機構所適用的監管標準。
SFC 宣布 OTP 已不再足以保護帳戶
SFC 表示,網路券商與虛擬資產交易平台的營運商應停止同時為客戶登入與裝置綁定使用一次性密碼,因為如今更安全的驗證技術已被廣泛提供。監管機關以通行祕鑰(passkeys)以及裝置綁定作為例子,這些都屬於具防釣魚能力的驗證方法,即使客戶被騙出提供憑證,攻擊者也更難取得存取權。
裝置綁定會利用獨特的裝置特徵,將客戶的交易帳戶連結至已安全註冊的電腦或行動裝置,使犯罪者從未授權的硬體登入變得顯著更困難。SFC 於 2025 年 2 月曾在資安檢視後,首次警告公司使用基於 OTP 的驗證存在弱點。最新的通函將這份指引轉化為監管要求。
加密平台面臨與傳統券商相同的驗證標準
新要求同等適用於獲牌證券券商與虛擬資產交易平台營運商。除了更強的驗證外,公司必須導入有效的監控系統,能夠偵測可疑登入嘗試、異常交易行為以及異常的提款請求。他們也預期需在重大帳戶事件發生時即時通知客戶,針對駭客事件快速回應,並定期提醒客戶新興的釣魚活動以及其他網路威脅。
SFC 表示,高層管理層最終仍須負責保護客戶資產,並警告若公司的資安控管不足導致損失,可能會被追究責任。SFC 的中介機構執行董事 Dr. Eric Yip 表示:「保護客戶帳戶免受日益複雜且難以捉摸的釣魚攻擊,需要結合預防、偵測、應對與教育的整體措施。獲牌公司應以強健的驗證解決方案強化第一道防線,保持對可疑活動的警覺,並在造成損害之前迅速回應。」
通行祕鑰因防釣魚技術而獲得監管支持
不同於傳統憑證,通行祕鑰依賴與使用者裝置綁定的密碼學驗證,且無法輕易透過釣魚網站被攔截或重複使用。包含 Apple、Google 與 Microsoft 在內的科技公司,已將通行祕鑰支援整合到其作業系統中,而銀行與金融科技公司也已開始部署該技術以進行客戶驗證。對券商與加密貨幣交易所而言,隨著網路犯罪分子鎖定可提供即時存取現金、證券與數位資產的交易帳戶,強化驗證的重要性愈來愈高。
SFC 呼籲投資人遵循基本資安做法
除了技術控管外,SFC 也敦促投資人持續遵循基本資安做法,包括使用強固且獨特的密碼、保持裝置更新、僅透過官方網站與應用程式存取帳戶,以及檢視帳戶對帳單以確認是否有未經授權的活動。監管機關建議,若投資人懷疑其憑證已遭到侵害,應立即聯繫其券商或虛擬資產平台,保護其帳戶,並將事件通報給相關主管機關。
常見問題
香港 SFC 要求哪些驗證方法替換?
SFC 要求網路券商與獲牌的虛擬資產交易平台,於 7 月 9 日發布的要求中,將一次性密碼替換為具防釣魚能力的驗證方法,例如通行祕鑰與裝置綁定。
為什麼 SFC 要求交易帳戶採用更強的驗證?
SFC 指出,在 2025 年期間,釣魚攻擊佔香港電腦緊急應變協調中心所通報的所有資安事件的 57%;並表示,傳統的一次性密碼已不足以因應鎖定線上交易帳戶、且日益複雜的釣魚活動。
新驗證要求的落實截止期限是何時?
公司必須在 7 月 9 日發布日期後的 12 個月內落實更強的登入與裝置綁定控管;較大型的券商則預期會立即開始採用這些措施。