A black USB device with a gold button, positioned
Tiền điện tử

Hồng Kông cấm đăng nhập OTP cho sàn giao dịch crypto trong…

Nhà quản lý đang thúc đẩy việc sử dụng passkeys, các kiểm tra mã hóa gắn liền với thiết bị và khóa phần cứng như những lựa chọn chống lừa đảo.

Bởi AI News Crypto Editorial Team4 phút đọc

Ủy ban Chứng khoán và Hợp đồng tương lai Hồng Kông đã ra lệnh cho các nền tảng giao dịch tài sản ảo và các nhà môi giới trực tuyến áp dụng xác thực chống lừa đảo và ràng buộc thiết bị trong vòng 12 tháng. Tiêu chuẩn mới rõ ràng cấm các mật khẩu một lần được gửi qua SMS, email hoặc các luồng đăng nhập dựa trên ứng dụng, buộc các địa điểm phải điều chỉnh các mẫu truy cập phổ biến cho các nhà giao dịch bán lẻ.

Điểm nổi bật chính

  • Ủy ban Chứng khoán và Tương lai Hồng Kông (SFC) đã đặt ra thời hạn 12 tháng để thực hiện các yêu cầu đăng nhập chống lừa đảo mới áp dụng cho các dịch vụ ảo.tài sảncác nền tảng giao dịch và môi giới trực tuyến.
  • Mật khẩu một lần được gửi qua SMS, email hoặc quy trình đăng nhập dựa trên ứng dụng bị cấm theo tiêu chuẩn mới.
  • Passkeys, thiết bị đã đăng ký được xác thực bằng mật mã và khóa bảo mật phần cứng được liệt kê là những phương thức chống lừa đảo chấp nhận được.
  • Lừa đảo và kỹ thuật xã hội chiếm 306 triệu USD trong tổng số 482 triệu USD thiệt hại của ngành công nghiệp tiền điện tử trong quý 1 năm 2026.

SFC Bắt Đầu Đếm Ngược 12 Tháng Cho Đăng Nhập Chống Lừa Đảo

Sở Giao dịch Chứng khoán Hồng Kông vàHợp đồng tương laiỦy ban Chứng khoán và Tương lai (SFC) đã ban hành yêu cầu mới vào thứ Năm, ngày 9 tháng 7 năm 2026, chỉ đạo các nền tảng giao dịch tài sản ảo (VATPs) và các nhà môi giới trực tuyến trong thành phố áp dụng xác thực chống lừa đảo và kiểm soát ràng buộc thiết bị trong vòng 12 tháng tới.

Đối với các nhà tham gia thị trường, tiêu đề này ít liên quan đến một tính năng mới và nhiều hơn về một tiêu chuẩn tối thiểu bắt buộc cho việc truy cập tài khoản. SFC đang coi bảo mật đăng nhập là một bề mặt kiểm soát cốt lõi cho các địa điểm được quản lý, không phải là sở thích của người dùng.

Đoạn trích gói không bao gồm tài liệu đầy đủ của SFC, để lại những câu hỏi mở về các nền tảng cụ thể nào được bao gồm và cách thức thực thi sẽ được áp dụng.

OTP qua SMS/Email/Ứng dụng đã hết hiệu lực: Những gì tiêu chuẩn mới yêu cầu

Tiêu chuẩn này cấm mật khẩu một lần (OTP) được gửi qua SMS, email hoặc đăng nhập dựa trên ứng dụng. Điều này là một cú đánh trực tiếp vào các mẫu xác thực hai yếu tố phổ biến nhất được sử dụng trên các ứng dụng giao dịch bán lẻ, và nó thực sự buộc phải chuyển đổi khỏi xác minh dựa trên mã có thể bị chặn hoặc bị thao túng xã hội.

Yêu cầu của SFC kết hợp "xác thực chống lừa đảo" với "ràng buộc thiết bị." Trong thực tế, điều đó có nghĩa là quyền truy cập được kỳ vọng sẽ gắn liền với một thiết bị đã đăng ký cụ thể bằng cách sử dụng các kiểm tra mật mã, thay vì dựa vào một mã có thể được nhập vào một trang giả mạo hoặc được đưa cho kẻ tấn công.

Ý nghĩa hoạt động là rõ ràng. Trong khoảng thời gian 12 tháng, các nhà giao dịch nên mong đợi những thay đổi theo từng giai đoạn như thông báo đăng ký thiết bị mới, bước khôi phục tài khoản đã được sửa đổi, và sự khó khăn chặt chẽ hơn xung quanh việc đăng nhập lần đầu và thay đổi thiết bị khi các địa điểm loại bỏ các quy trình dựa trên OTP.

Khóa truy cập, Xác minh mật mã thiết bị và Khóa bảo mật phần cứng: Các con đường được phê duyệt

SFC đã trích dẫn khóa truy cập, thiết bị đã đăng ký với xác minh mật mã và khóa bảo mật phần cứng như những lựa chọn thay thế chống lừa đảo.

Khóa truy cập thường chuyển đổi xác thực sang các khóa mật mã được lưu trữ trên một thiết bị và được mở khóa bằng sinh trắc học hoặc mã PIN của thiết bị, giảm giá trị của mật khẩu bị đánh cắp và loại bỏ khoảnh khắc "nhập mã" mà các bộ công cụ lừa đảo khai thác. Xác minh mật mã thiết bị đã đăng ký chỉ ra một mô hình mà địa điểm xác minh chính thiết bị, không chỉ kiến thức của người dùng về mật khẩu. Khóa bảo mật phần cứng mở rộng khái niệm đó với một yếu tố vật lý chứng minh quyền sở hữu.

Khi được xem xét tổng thể, menu cho thấy sự ưu tiên cho các phương pháp xác thực khó bị lừa đảo hơn đáng kể so với OTP, ngay cả khi kẻ tấn công có thể giả mạo một cách thuyết phục trang đăng nhập của một địa điểm.

Tác động giao dịch là hoạt động—Theo dõi việc triển khai, khóa tài khoản và ma sát giữa các địa điểm

SFC đã đặt động thái này trong bối cảnh mối đe dọa có thể đo lường được. Các cuộc tấn công lừa đảo và lừa đảo xã hội đã chiếm 306 triệu USD trong tổng số thiệt hại 482 triệu USD của ngành công nghiệp tiền điện tử trong quý 1 năm 2026. Tài liệu cũng đề cập đến các thiệt hại liên quan đến lừa đảo chiếm tổng cộng 366 triệu USD trong nửa đầu năm 2026.

Tại địa phương, các cuộc tấn công giả mạo và lừa đảo đã chiếm 57% các sự cố an ninh được báo cáo cho Trung tâm Điều phối Tai nạn An ninh mạng Hồng Kông vào năm 2025.

Tiến sĩ Ye Zhiheng cho biết, “Để bảo vệ tài khoản khách hàng khỏi các cuộc tấn công giả mạo và lừa đảo ngày càng phức tạp và thay đổi, các biện pháp toàn diện phải được thực hiện kết hợp với phòng ngừa, phát hiện, phản ứng và giáo dục,” định vị việc thay đổi đăng nhập như một lớp trong một bộ kiểm soát rộng hơn.

Đối với các nhà giao dịch, rủi ro trước mắt không phải là khám phá giá cả. Đó là quyền truy cập. Việc triển khai từng nền tảng có thể tạo ra tình trạng khóa tài khoản, phục hồi chậm và ma sát khi di chuyển giữa các địa điểm, đặc biệt nếu hỗ trợ khóa phần cứng hoặc đăng ký thiết bị không đồng đều.

Cách tôi đọc các yêu cầu của SFC Hồng Kông về đăng nhập chống lừa đảo

Tôi đọc điều này như một sự thay đổi trong cấu trúc thị trường trong hệ thống, không phải là một yếu tố kích thích câu chuyện. Bằng cách cấm OTP qua SMS, email hoặc luồng đăng nhập dựa trên ứng dụng, SFC đang buộc các địa điểm ở Hồng Kông phải coi xác thực chống lừa đảo gắn với thiết bị là điều cần thiết, và điều đó thường xuất hiện đầu tiên như sự xáo trộn hoạt động hơn là tác động giao dịch ngay lập tức.

Ngưỡng quan trọng là liệu các địa điểm có thể di chuyển người dùng mà không tạo ra ma sát truy cập liên tục hay không. Nếu hỗ trợ khóa mật khẩu, đăng ký gắn với thiết bị và quy trình phục hồi tài khoản được triển khai một cách suôn sẻ trên các nền tảng trong khoảng thời gian 12 tháng, cấu hình bắt đầu trông giống như cấu trúc hơn là do câu chuyện thúc đẩy, và lợi ích thực tế là ít sự kiện chiếm đoạt tài khoản hơn mà không làm giảm tính liên tục thực hiện.

Nguồn