
Hong Kong SFC, kripto platformları için OTP'yi yasakladı
Düzenleyici, kimlik avına karşı dayanıklı alternatifler olarak geçiş anahtarlarını, cihaza bağlı kriptografik kontrolleri ve donanım anahtarlarını teşvik ediyor.
Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu, sanal varlık ticaret platformları ve çevrimiçi aracıların 12 ay içinde kimlik avına dayanıklı kimlik doğrulama ve cihaz bağlama yöntemlerini benimsemelerini emretti.
Yeni standart, SMS, e-posta veya uygulama tabanlı giriş akışları aracılığıyla iletilen tek seferlik şifreleri açıkça yasaklamakta ve buraların perakende yatırımcılar için yaygın erişim kalıplarını yeniden düzenlemelerini zorunlu kılmaktadır.
Ana Noktalar
- Hong Kong SFC, sanal varlık ticaret platformları ve çevrimiçi aracıları kapsayan yeni kimlik avına dayanıklı giriş gereksinimleri için 12 aylık bir uygulama süresi belirledi.varlık ticaret platformları ve çevrimiçi aracıları.
- SMS, e-posta veya uygulama tabanlı giriş akışları aracılığıyla iletilen tek seferlik şifreler yeni standart altında yasaktır.
- Geçerli kimlik avına dayanıklı yollar olarak geçerli anahtarlar, kriptografik olarak doğrulanmış kayıtlı cihazlar ve donanım güvenlik anahtarları listelenmiştir.
- Kimlik avı ve sosyal mühendislik, 2026'nın 1. çeyreğinde toplam kripto endüstrisi kayıplarının 482 milyon dolarının 306 milyonunu oluşturdu.
SFC, Kimlik Avına Dayanıklı Girişler için 12 Aylık Geri Sayım Başlatıyor
Hong Kong Menkul Kıymetler ve Vadeli İşlemlerSermaye Piyasası Kurulu (SFC), 9 Temmuz 2026 Perşembe günü sanal varlık ticaret platformları (VATP'ler) ve şehirdeki çevrimiçi brokerlerin, önümüzdeki 12 ay içinde phishing'e karşı dayanıklı kimlik doğrulama ve cihaz bağlama kontrollerini benimsemelerini yönlendiren yeni gereklilikler yayınladı.
Piyasa katılımcıları için, başlık yeni bir özellikten ziyade hesap erişimi için zorunlu bir temel hakkında. SFC, giriş güvenliğini düzenlenmiş mekanlar için temel bir kontrol yüzeyi olarak ele alıyor, bir kullanıcı tercihi olarak değil. Paket alıntısı, hangi spesifik platformların kapsandığını ve nasıl uygulanacağına dair açık sorular bırakarak tam SFC belgesini içermiyor.
SMS/E-posta/Uygulama Üzerinden OTP Geçersiz: Yeni Standart Ne Gerektiriyor
Standart, SMS, e-posta veya uygulama tabanlı girişler aracılığıyla iletilen tek kullanımlık şifreleri (OTP'ler) yasaklıyor. Bu, perakende ticaret uygulamalarında yaygın olarak kullanılan en sık iki faktörlü kimlik doğrulama desenlerine doğrudan bir darbe ve etkili bir şekilde, ele geçirilebilecek veya sosyal mühendislik ile manipüle edilebilecek kod tabanlı doğrulamadan uzaklaşmayı zorunlu kılıyor.
SFC'nin gerekliliği, 'phishing'e karşı dayanıklı kimlik doğrulama' ile 'cihaz bağlama'yı birleştiriyor. Pratikte, bu, erişimin kriptografik kontroller kullanarak belirli bir kayıtlı cihaza bağlı olmasının beklendiği anlamına geliyor, sahte bir siteye yazılabilecek veya bir saldırgana teslim edilebilecek bir koda güvenmek yerine.
Operasyonel sonuç açıktır. 12 aylık süre boyunca, trader'lar yeni cihaz kaydı istemleri, değiştirilmiş hesap kurtarma adımları ve ilk kez girişler ve cihaz değişiklikleri etrafında daha sıkı sürtünmeler gibi aşamalı değişiklikler beklemelidirler, çünkü mekanlar OTP tabanlı akışları sona erdiriyor.
Geçiş Anahtarları, Cihaz Kriptografik Doğrulama ve Donanım Anahtarları: Onaylı Yollar
SFC, phishing'e karşı dayanıklı alternatifler olarak geçiş anahtarlarını, kriptografik doğrulama ile kayıtlı cihazları ve donanım güvenlik anahtarlarını belirtti.
Geçiş anahtarları genellikle kimlik doğrulamayı bir cihazda saklanan kriptografik anahtarlara kaydırır ve biyometrik veriler veya bir cihaz PIN'i ile açılır, çalınan şifrelerin değerini azaltır ve phishing kitlerinin istismar ettiği 'kodu yaz' anını ortadan kaldırır. Kayıtlı cihaz kriptografik doğrulaması, mekanın cihazı kendisini doğruladığı bir modele işaret eder, yalnızca kullanıcının bir şifre bilgisine sahip olmasını değil. Donanım güvenlik anahtarları, mülkiyeti kanıtlayan fiziksel bir faktör ile bu kavramı genişletir.
Bir araya getirildiğinde, menü, saldırganların bir mekanın giriş sayfasını ikna edici bir şekilde taklit edebilmesine rağmen, OTP'lerden çok daha zor oltalama yöntemlerine yönelik bir tercih sinyali veriyor.
Ticaret Etkisi Operasyoneldir—Rollout'ları, Kilitlenmeleri ve Mekan Sürtünmesini İzleyin
SFC, hareketi ölçülebilir bir tehdit arka planında çerçeveledi. Oltalama saldırıları ve sosyal mühendislik dolandırıcılıkları, 2026'nın ilk çeyreğinde kripto endüstrisinin toplam 482 milyon dolarlık kaybının 306 milyon dolarını oluşturdu. Paket ayrıca 2026'nın ilk yarısında toplam 366 milyon dolarlık oltalama dolandırıcılığı ile ilgili kayıpları da belirtiyor.
Yerel olarak, sahtecilik ve dolandırıcılık saldırıları, 2025'te Hong Kong Siber Güvenlik Kaza Koordinasyon Merkezi'ne bildirilen güvenlik olaylarının %57'sini temsil etti. Dr.
Ye Zhiheng, "Müşteri hesaplarını giderek daha karmaşık ve değişken sahtecilik ve dolandırıcılık saldırılarından korumak için, önleme, tespit, yanıt ve eğitim ile birlikte kapsamlı önlemler uygulanmalıdır," diyerek giriş değişikliğini daha geniş bir kontrol yığınındaki bir katman olarak konumlandırdı.
Tüccarlar için kısa vadeli risk fiyat keşfi değildir. Erişimdir. Platformdan platforma rollout'lar, kilitlenmelere, gecikmiş kurtarılmalara ve mekanlar arasında geçiş yaparken sürtünmelere neden olabilir, özellikle donanım anahtarı desteği veya cihaz kaydı eşit olmadığında.
Hong Kong SFC'nin oltalama direncine sahip girişleri zorunlu kıldığını nasıl okuduğum
Bunu, bir anlatı katalizörü değil, tesisatın yapısal bir değişimi olarak okudum. SFC, SMS, e-posta veya uygulama tabanlı giriş akışları aracılığıyla OTP'leri yasaklayarak, Hong Kong mekanlarını cihaz bağlı, oltalama direncine sahip kimlik doğrulamayı temel gereklilik olarak ele almaya zorluyor ve bu genellikle önce operasyonel değişim olarak ortaya çıkıyor, hemen ticaret etkisi olarak değil.
Önemli olan eşik, mekanların kullanıcıları kalıcı erişim sürtünmesi yaratmadan göç ettirip ettiremeyeceğidir. Eğer passkey desteği, cihaz bağlı kayıt ve hesap kurtarma akışları 12 aylık süre içinde platformlar arasında düzgün bir şekilde yaygınlaşırsa, kurulum yapısal görünmeye başlar ve pratik getirisi, yürütme sürekliliğini bozmadan daha az hesap ele geçirme olayıdır.