A black USB device with a gold button, positioned
ارز دیجیتال

ممنوعیت ورود OTP برای پلتفرم‌های کریپتو در هنگ کنگ

مقامات نظارتی به دنبال ترویج کلیدهای عبور، بررسی‌های رمزنگاری شده وابسته به دستگاه و کلیدهای سخت‌افزاری به عنوان گزینه‌های مقاوم در برابر فیشینگ هستند.

نوشته AI News Crypto Editorial Team4 دقیقه مطالعه

کمیسیون اوراق بهادار و آتی هنگ کنگ از پلتفرم‌های تجارت دارایی‌های مجازی و کارگزاران آنلاین خواسته است که در مدت ۱۲ ماه احراز هویت مقاوم در برابر فیشینگ و اتصال دستگاه را اتخاذ کنند. استاندارد جدید به‌طور صریح رمزهای یک‌بار مصرف ارسال‌شده از طریق پیامک، ایمیل یا جریان‌های ورود مبتنی بر اپلیکیشن را ممنوع می‌کند و مکان‌ها را مجبور می‌کند الگوهای دسترسی رایج برای معامله‌گران خرده‌فروشی را بازنگری کنند.

نکات کلیدی

  • کمیسیون بورس و اوراق بهادار هنگ کنگ یک مهلت ۱۲ ماهه برای اجرای الزامات جدید ورود مقاوم در برابر فیشینگ که شامل دارایی‌های مجازی می‌شود، تعیین کرد.داراییپلتفرم‌های معاملاتی و کارگزاری‌های آنلاین.
  • رمزهای یک‌بار مصرف که از طریق پیامک، ایمیل یا جریان‌های ورود مبتنی بر اپلیکیشن ارسال می‌شوند، تحت استاندارد جدید ممنوع هستند.
  • کلیدهای عبور، دستگاه‌های ثبت‌شده تأییدشده به‌صورت رمزنگاری و کلیدهای امنیتی سخت‌افزاری به‌عنوان مسیرهای مقاوم در برابر فیشینگ قابل قبول ذکر شدند.
  • فیشینگ و مهندسی اجتماعی ۳۰۶ میلیون دلار از ۴۸۲ میلیون دلار کل خسارات صنعت کریپتو در سه‌ماهه اول ۲۰۲۶ را به خود اختصاص دادند.

SFC شمارش معکوس ۱۲ ماهه برای ورودهای مقاوم در برابر فیشینگ را آغاز کرد

سازمان بورس هنگ کنگفیوچرزکمیسیون (SFC) در روز پنجشنبه، 9 ژوئیه 2026، الزامات جدیدی را صادر کرد که به پلتفرم‌های معاملاتی دارایی‌های مجازی (VATPs) و کارگزاران آنلاین در شهر دستور می‌دهد که در 12 ماه آینده، احراز هویت مقاوم در برابر فیشینگ و کنترل‌های اتصال دستگاه را اتخاذ کنند.

برای شرکت‌کنندگان بازار، عنوان بیشتر به یک ویژگی جدید مربوط نمی‌شود و بیشتر به یک خط پایه الزامی برای دسترسی به حساب مربوط است. SFC امنیت ورود به سیستم را به عنوان یک سطح کنترل اصلی برای مکان‌های تحت نظارت در نظر می‌گیرد، نه یک ترجیح کاربر. بخش گزیده شامل سند کامل SFC نیست و سوالات باز باقی می‌گذارد که کدام پلتفرم‌های خاص تحت پوشش هستند و چگونه اجرا خواهد شد.

OTP از طریق SMS/ایمیل/اپلیکیشن خارج است: الزامات استاندارد جدید چیست

این استاندارد رمزهای یکبار مصرف (OTP) که از طریق SMS، ایمیل یا ورود به سیستم مبتنی بر اپلیکیشن ارسال می‌شوند را ممنوع می‌کند. این یک ضربه مستقیم به رایج‌ترین الگوهای احراز هویت دو عاملی است که در اپلیکیشن‌های معاملاتی خرده‌فروشی استفاده می‌شود و به طور مؤثری مهاجرت به سمت تأیید هویتی که می‌تواند مورد سوءاستفاده قرار گیرد یا به صورت اجتماعی مهندسی شود را مجبور می‌کند.

الزام SFC "احراز هویت مقاوم در برابر فیشینگ" را با "اتصال دستگاه" ترکیب می‌کند. در عمل، این بدان معناست که دسترسی باید به یک دستگاه ثبت شده خاص با استفاده از بررسی‌های رمزنگاری مرتبط باشد، نه اینکه به یک کدی متکی باشد که می‌تواند در یک سایت جعلی وارد شود یا به یک مهاجم داده شود.

پیامد عملی واضح است. در طول 12 ماه آینده، معامله‌گران باید انتظار تغییرات مرحله‌ای مانند درخواست‌های جدید ثبت دستگاه، مراحل بازیابی حساب تغییر یافته و اصطکاک بیشتر در ورودهای اولیه و تغییرات دستگاه را داشته باشند، زیرا مکان‌ها جریان‌های مبتنی بر OTP را کنار می‌گذارند.

کلیدهای عبور، تأیید هویت رمزنگاری دستگاه و کلیدهای سخت‌افزاری: مسیرهای تأیید شده

SFC کلیدهای عبور، دستگاه‌های ثبت شده با تأیید هویت رمزنگاری و کلیدهای امنیتی سخت‌افزاری را به عنوان گزینه‌های مقاوم در برابر فیشینگ ذکر کرد.

کلیدهای عبور معمولاً احراز هویت را به کلیدهای رمزنگاری شده که بر روی یک دستگاه ذخیره شده و با بیومتریک یا یک PIN دستگاه باز می‌شوند، منتقل می‌کنند و ارزش رمزهای عبور سرقت شده را کاهش می‌دهند و لحظه "کد را وارد کنید" که کیت‌های فیشینگ از آن سوءاستفاده می‌کنند را از بین می‌برند. تأیید هویت رمزنگاری دستگاه ثبت شده به مدلی اشاره دارد که در آن مکان خود دستگاه را تأیید می‌کند، نه فقط دانش کاربر از یک رمز عبور. کلیدهای امنیتی سخت‌افزاری این مفهوم را با یک عامل فیزیکی که مالکیت را اثبات می‌کند، گسترش می‌دهند.

با هم، منو نشان‌دهنده‌ی ترجیح برای روش‌های احراز هویت است که به طور قابل توجهی سخت‌تر از OTPها مورد فیشینگ قرار می‌گیرند، حتی زمانی که مهاجمان می‌توانند به طرز قانع‌کننده‌ای صفحه ورود یک مکان را تقلید کنند.

تأثیر تجاری عملیاتی است—نظارت بر راه‌اندازی‌ها، قفل‌ها و اصطکاک مکان‌ها

SFC این اقدام را در زمینه تهدید قابل اندازه‌گیری چارچوب‌بندی کرد. حملات فیشینگ و کلاهبرداری‌های مهندسی اجتماعی 306 میلیون دلار از 482 میلیون دلار کل خسارات صنعت کریپتو در سه‌ماهه اول 2026 را به خود اختصاص داد. این بسته همچنین به خسارات مربوط به کلاهبرداری‌های فیشینگ که به 366 میلیون دلار در نیمه اول 2026 می‌رسد، اشاره می‌کند.

در سطح محلی، حملات جعل و کلاهبرداری 57 درصد از حوادث امنیتی گزارش شده به مرکز هماهنگی حوادث امنیت سایبری هنگ کنگ در 2025 را تشکیل می‌دهد. دکتر یه ژی‌هنگ گفت: "برای محافظت از حساب‌های مشتری در برابر حملات جعل و کلاهبرداری که به طور فزاینده‌ای پیچیده و در حال تغییر هستند، باید اقدامات جامع در کنار پیشگیری، شناسایی، پاسخ و آموزش اجرا شود،" و تغییر ورود را به عنوان یک لایه در یک مجموعه کنترل وسیع‌تر قرار داد.

برای معامله‌گران، ریسک کوتاه‌مدت کشف قیمت نیست. دسترسی است. راه‌اندازی‌های پلتفرم به پلتفرم می‌توانند قفل‌ها، بهبودی‌های تأخیری و اصطکاک هنگام حرکت بین مکان‌ها ایجاد کنند، به‌ویژه اگر پشتیبانی از کلید سخت‌افزاری یا ثبت‌نام دستگاه نابرابر باشد.

چگونه من الزامات SFC هنگ کنگ را برای ورودهای مقاوم در برابر فیشینگ می‌خوانم

من این را به عنوان یک تغییر در ساختار بازار در زیرساخت می‌خوانم، نه به عنوان یک کاتالیزور روایتی. با ممنوعیت OTPها از طریق SMS، ایمیل یا جریان‌های ورود مبتنی بر برنامه، SFC مکان‌های هنگ کنگ را مجبور می‌کند تا احراز هویت مقاوم در برابر فیشینگ و وابسته به دستگاه را به عنوان الزامات اولیه در نظر بگیرند و این معمولاً به عنوان چرخش عملیاتی به جای تأثیر فوری بر تجارت ظاهر می‌شود.

آستانه‌ای که مهم است این است که آیا مکان‌ها می‌توانند کاربران را بدون ایجاد اصطکاک دسترسی پایدار منتقل کنند یا خیر. اگر پشتیبانی از کلید عبور، ثبت‌نام وابسته به دستگاه و جریان‌های بازیابی حساب به‌طور تمیز در پلتفرم‌ها در طول 12 ماه اجرا شود، این تنظیم به نظر می‌رسد ساختاری به جای روایت‌محور باشد و بازده عملی آن کاهش رویدادهای تصاحب حساب بدون کاهش تداوم اجرا است.

منابع