
香港证监会禁止加密平台和经纪商使用OTP登录
监管机构正在推动使用密码钥匙、设备绑定的加密检查和硬件密钥,作为抵御网络钓鱼的替代方案。
香港证券及期货事务监察委员会已要求虚拟资产交易平台和在线经纪商在12个月内采用抗钓鱼认证和设备绑定。新标准明确禁止通过短信、电子邮件或基于应用程序的登录流程发送的一次性密码,迫使交易场所重新设计零售交易者的常见访问模式。
关键要点
- 香港证券及期货事务监察委员会(SFC)为新的防钓鱼登录要求设定了12个月的实施时限,涵盖虚拟资产。资产交易平台和在线经纪商。
- 根据新标准,通过短信、电子邮件或应用程序登录流程发送的一次性密码是被禁止的。
- 密码钥匙、经过加密验证的注册设备和硬件安全密钥被列为可接受的抗钓鱼路径。
- 在2026年第一季度,网络钓鱼和社会工程学占据了加密行业总损失4.82亿美元中的3.06亿美元。
证监会启动为期12个月的反钓鱼登录倒计时
香港证券及期货证券及期货事务监察委员会(SFC)于2026年7月9日(星期四)发布了新的要求,指示本市的虚拟资产交易平台(VATPs)和在线经纪商在接下来的12个月内采用抗钓鱼认证和设备绑定控制。
对于市场参与者而言,头条新闻更关注的是账户访问的强制性基准,而不是新功能。SFC将登录安全视为受监管场所的核心控制面,而不是用户偏好。该数据包摘录未包含完整的SFC文件,留下了关于具体涵盖哪些平台以及如何执行的问题。
通过短信/电子邮件/应用程序的OTP已被淘汰:新标准的要求
该标准禁止通过短信、电子邮件或基于应用程序的登录发送一次性密码(OTP)。这直接打击了在零售交易应用中使用的最常见的双因素认证模式,并有效迫使用户远离可以被拦截或社会工程攻击的基于代码的验证。
SFC的要求将“抗钓鱼认证”与“设备绑定”相结合。在实践中,这意味着访问预计将与使用加密检查的特定注册设备绑定,而不是依赖可以在假网站上输入或交给攻击者的代码。
操作含义很简单。在12个月的窗口期内,交易者应该预期会有分阶段的变化,例如新的设备注册提示、修改后的账户恢复步骤,以及在首次登录和设备更换时更严格的摩擦,因为场所将逐步取消基于OTP的流程。
密码钥匙、设备加密验证和硬件密钥:批准的路径
SFC引用了密码钥匙、具有加密验证的注册设备和硬件安全密钥作为抗钓鱼的替代方案。
密码钥匙通常将认证转移到存储在设备上的加密密钥,并通过生物识别或设备PIN解锁,从而减少被盗密码的价值,并消除钓鱼工具利用的“输入代码”时刻。注册设备的加密验证指向一种模型,其中场所验证设备本身,而不仅仅是用户对密码的知识。硬件安全密钥通过提供证明拥有权的物理因素扩展了这一概念。
综合来看,该菜单表明了对比一次性密码(OTP)更难被钓鱼的身份验证方法的偏好,即使攻击者能够令人信服地冒充一个场所的登录页面。
交易影响是操作性的——关注推出、锁定和场所摩擦
证券及期货事务监察委员会(SFC)在可测量的威胁背景下框定了这一举措。钓鱼攻击和社交工程诈骗在2026年第一季度占据了加密行业482百万美元总损失中的306百万美元。该报告还提到,2026年上半年与钓鱼诈骗相关的损失总计366百万美元。
在本地,伪造和欺诈攻击占据了2025年香港网络安全事故协调中心报告的安全事件的57%。叶志恒博士表示:“为了保护客户账户免受日益复杂和变化的伪造和欺诈攻击,必须实施综合措施,结合预防、检测、响应和教育,”将登录变更定位为更广泛控制堆栈中的一层。
对于交易者来说,近期的风险不是价格发现,而是访问。平台逐个推出可能会导致锁定、恢复延迟以及在场所之间移动时的摩擦,尤其是在硬件密钥支持或设备注册不均匀的情况下。
我如何解读香港SFC要求的抗钓鱼登录
我将此视为市场结构在基础设施上的变化,而不是叙事催化剂。通过禁止通过短信、电子邮件或应用程序的登录流程使用一次性密码(OTP),SFC迫使香港场所将设备绑定的抗钓鱼身份验证视为基本要求,而这通常首先表现为操作上的波动,而不是立即的交易影响。
重要的阈值是场所是否能够在不产生持续访问摩擦的情况下迁移用户。如果在12个月的窗口内,通行证支持、设备绑定注册和账户恢复流程能够在各个平台上顺利推出,那么这个设置开始看起来是结构性的,而不是叙事驱动的,实际收益是减少账户接管事件,而不降低执行连续性。