
हांगकांग SFC ने क्रिप्टो प्लेटफॉर्म्स के लिए OTP लॉगिन पर…
नियामक पासकी, डिवाइस-आधारित क्रिप्टोग्राफ़िक जांच और हार्डवेयर कुंजियों को फ़िशिंग-प्रतिरोधी विकल्पों के रूप में बढ़ावा दे रहा है।
हांगकांग की प्रतिभूति और वायदा आयोग ने वर्चुअल एसेट ट्रेडिंग प्लेटफार्मों और ऑनलाइन ब्रोकरों को 12 महीनों के भीतर फिशिंग-प्रतिरोधी प्रमाणीकरण और डिवाइस बाइंडिंग अपनाने का आदेश दिया है। नया मानक स्पष्ट रूप से एसएमएस, ईमेल या ऐप-आधारित लॉगिन प्रवाह के माध्यम से भेजे गए एक बार के पासवर्ड पर प्रतिबंध लगाता है, जिससे स्थानों को खुदरा व्यापारियों के लिए सामान्य पहुंच पैटर्न को फिर से तैयार करने के लिए मजबूर होना पड़ेगा।
मुख्य निष्कर्ष
- हांगकांग की एसएफसी ने वर्चुअल के लिए नए फ़िशिंग-प्रतिरोधी लॉगिन आवश्यकताओं के लिए 12 महीने का कार्यान्वयन समय निर्धारित किया है।संपत्तिव्यापार प्लेटफार्म और ऑनलाइन ब्रोकर।
- नए मानक के तहत एसएमएस, ईमेल, या ऐप-आधारित लॉगिन प्रवाह के माध्यम से भेजे जाने वाले एक-बार के पासवर्डों की अनुमति नहीं है।
- पासकी, क्रिप्टोग्राफ़िक रूप से सत्यापित पंजीकृत उपकरण, और हार्डवेयर सुरक्षा कुंजी को फ़िशिंग-प्रतिरोधी स्वीकार्य रास्तों के रूप में सूचीबद्ध किया गया था।
- फिशिंग और सामाजिक इंजीनियरिंग ने Q1 2026 में कुल क्रिप्टो उद्योग के नुकसान में $482 मिलियन में से $306 मिलियन का योगदान दिया।
SFC ने फ़िशिंग-प्रतिरोधी लॉगिन के लिए 12-महीने की उलटी गिनती शुरू की
हांगकांग के प्रतिभूति औरफ्यूचर्सआयोग (SFC) ने गुरुवार, 9 जुलाई, 2026 को नए आवश्यकताएँ जारी कीं, जो शहर में वर्चुअल एसेट ट्रेडिंग प्लेटफार्मों (VATPs) और ऑनलाइन ब्रोकरों को अगले 12 महीनों के भीतर फ़िशिंग-प्रतिरोधी प्रमाणीकरण और डिवाइस-बाइंडिंग नियंत्रण अपनाने के लिए निर्देशित करती हैं।
बाजार भागीदारों के लिए, शीर्षक एक नई विशेषता के बारे में कम और खाते की पहुँच के लिए एक अनिवार्य आधार रेखा के बारे में अधिक है। SFC लॉगिन सुरक्षा को विनियमित स्थलों के लिए एक मुख्य नियंत्रण सतह के रूप में देख रहा है, न कि उपयोगकर्ता की पसंद के रूप में। पैकेट अंश में पूरा SFC दस्तावेज़ शामिल नहीं है, जिससे यह खुला प्रश्न रह जाता है कि कौन से विशिष्ट प्लेटफार्मों को कवर किया गया है और प्रवर्तन कैसे लागू किया जाएगा।
SMS/ईमेल/ऐप के माध्यम से OTP बाहर है: नए मानक की आवश्यकताएँ क्या हैं
मानक SMS, ईमेल या ऐप-आधारित लॉगिन के माध्यम से वितरित एक बार के पासवर्ड (OTPs) को प्रतिबंधित करता है। यह खुदरा ट्रेडिंग ऐप्स में उपयोग किए जाने वाले सबसे सामान्य दो-कारक प्रमाणीकरण पैटर्न पर एक सीधा प्रहार है, और यह प्रभावी रूप से उस कोड-आधारित सत्यापन से पलायन करने के लिए मजबूर करता है जिसे इंटरसेप्ट या सामाजिक रूप से इंजीनियर किया जा सकता है।
SFC की आवश्यकता 'फ़िशिंग-प्रतिरोधी प्रमाणीकरण' को 'डिवाइस बाइंडिंग' के साथ जोड़ती है। व्यावहारिक रूप से, इसका मतलब है कि पहुँच एक विशिष्ट पंजीकृत डिवाइस से जुड़े होने की अपेक्षा की जाती है जिसका उपयोग क्रिप्टोग्राफिक जांच के माध्यम से किया जाता है, न कि उस कोड पर निर्भर करते हुए जिसे एक नकली साइट में टाइप किया जा सकता है या हमलावर को सौंपा जा सकता है।
संचालनात्मक निहितार्थ स्पष्ट है। 12 महीने की अवधि में, व्यापारियों को नए डिवाइस नामांकन संकेत, संशोधित खाता पुनर्प्राप्ति कदम, और पहली बार लॉगिन और डिवाइस परिवर्तनों के चारों ओर कड़ी घर्षण जैसी चरणबद्ध परिवर्तनों की अपेक्षा करनी चाहिए क्योंकि स्थल OTP-आधारित प्रवाह को समाप्त करते हैं।
पासकी, डिवाइस क्रिप्टोग्राफिक सत्यापन, और हार्डवेयर कुंजी: स्वीकृत रास्ते
SFC ने फ़िशिंग-प्रतिरोधी विकल्पों के रूप में पासकी, क्रिप्टोग्राफिक सत्यापन के साथ पंजीकृत डिवाइस, और हार्डवेयर सुरक्षा कुंजियों का उल्लेख किया।
पासकी आमतौर पर प्रमाणीकरण को डिवाइस पर संग्रहीत क्रिप्टोग्राफिक कुंजियों की ओर स्थानांतरित करती हैं और बायोमेट्रिक्स या डिवाइस PIN द्वारा अनलॉक की जाती हैं, चुराए गए पासवर्ड के मूल्य को कम करती हैं और उस 'कोड टाइप करें' क्षण को समाप्त करती हैं जिसका फ़िशिंग किटों द्वारा शोषण किया जाता है। पंजीकृत-डिवाइस क्रिप्टोग्राफिक सत्यापन उस मॉडल की ओर इशारा करता है जहाँ स्थल स्वयं डिवाइस को सत्यापित करता है, न कि केवल उपयोगकर्ता के पासवर्ड के ज्ञान को। हार्डवेयर सुरक्षा कुंजियाँ उस अवधारणा को एक भौतिक कारक के साथ बढ़ाती हैं जो स्वामित्व को साबित करती हैं।
एक साथ मिलकर, मेनू उन प्रमाणीकरण विधियों के लिए प्राथमिकता का संकेत देता है जो OTPs की तुलना में सामग्री रूप से फ़िशिंग करना अधिक कठिन हैं, भले ही हमलावर किसी स्थान के लॉगिन पृष्ठ की विश्वसनीयता से नकल कर सकें।
ट्रेडिंग प्रभाव परिचालनात्मक है—रोलआउट्स, लॉकआउट्स, और स्थान की घर्षण पर नज़र रखें।
SFC ने एक मापनीय खतरे के संदर्भ में इस कदम को तैयार किया। फ़िशिंग हमलों और सामाजिक इंजीनियरिंग धोखाधड़ी ने 2026 की पहली तिमाही में क्रिप्टो उद्योग के कुल $482 मिलियन के नुकसान में से $306 मिलियन का योगदान दिया। पैकेट में 2026 के पहले आधे में फ़िशिंग धोखाधड़ी से संबंधित $366 मिलियन के नुकसान का भी उल्लेख किया गया है।
स्थानीय रूप से, जालसाजी और धोखाधड़ी के हमलों ने 2025 में हांगकांग साइबर सुरक्षा दुर्घटना समन्वय केंद्र को रिपोर्ट किए गए सुरक्षा घटनाओं का 57% प्रतिनिधित्व किया। डॉ. ये झिहेंग ने कहा, “ग्राहक खातों को जालसाजी और धोखाधड़ी के लगातार जटिल और बदलते हमलों से बचाने के लिए, रोकथाम, पहचान, प्रतिक्रिया और शिक्षा के साथ मिलकर व्यापक उपायों को लागू करना आवश्यक है,” लॉगिन परिवर्तन को एक व्यापक नियंत्रण ढांचे में एक परत के रूप में प्रस्तुत करते हुए।
व्यापारियों के लिए, निकट-अवधि का जोखिम मूल्य खोज नहीं है। यह पहुंच है। प्लेटफॉर्म-दर-प्लेटफॉर्म रोलआउट्स लॉकआउट्स, विलंबित पुनर्प्राप्तियों, और स्थानों के बीच जाने पर घर्षण उत्पन्न कर सकते हैं, विशेष रूप से यदि हार्डवेयर-कुंजी समर्थन या उपकरण पंजीकरण असमान है।
मैं हांगकांग SFC के आदेशों को फ़िशिंग-प्रतिरोधी लॉगिन के रूप में पढ़ रहा हूँ।
मैं इसे प्लंबिंग में एक बाजार-संरचना परिवर्तन के रूप में पढ़ता हूँ, न कि एक कथा उत्प्रेरक के रूप में। SMS, ईमेल, या ऐप-आधारित लॉगिन प्रवाह के माध्यम से OTPs पर प्रतिबंध लगाकर, SFC हांगकांग के स्थानों को उपकरण-बंधन, फ़िशिंग-प्रतिरोधी प्रमाणीकरण को टेबल स्टेक्स के रूप में मानने के लिए मजबूर कर रहा है, और यह पहले परिचालन चक्रीयता के रूप में उभरता है न कि तत्काल व्यापार प्रभाव के रूप में।
जो सीमा महत्वपूर्ण है वह यह है कि क्या स्थान उपयोगकर्ताओं को लगातार पहुंच घर्षण उत्पन्न किए बिना स्थानांतरित कर सकते हैं। यदि पासकी समर्थन, उपकरण-बंधन पंजीकरण, और खाता पुनर्प्राप्ति प्रवाह 12 महीने की अवधि के भीतर प्लेटफार्मों के बीच साफ-सुथरे तरीके से लागू होते हैं, तो सेटअप संरचनात्मक रूप से दिखने लगता है न कि कथा-प्रेरित, और व्यावहारिक लाभ यह है कि खाता-उठाने की घटनाएं कम होती हैं बिना निष्पादन निरंतरता को खराब किए।