[新聞] 全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效

看板Bank_Service作者 (silence)時間1天前 (2026/04/10 09:57), 編輯推噓23(24133)
留言58則, 30人參與, 8小時前最新討論串1/1
全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效 https://www.ithome.com.tw/news/174934 隨著簡訊OTP持續被詐騙集團與駭客濫用,全球金融監管趨勢正迎來重大轉折,要求金融 業禁用簡訊OTP的國家越來越多,不只新加坡、馬來西亞,印度與阿拉伯聯合大公國(UAE )的限制政策也於2026年4月正式生效 文/羅正漢|2026-04-09發表 全球政府禁用簡訊OTP(一次性密碼)的態勢越發顯著,在今年3月舉辦的FIDO臺灣分會活 動中,就有電信身分識別專家分享此類議題,太思科技董事長何俊炘針對簡訊OTP議題說 明產業對策,在解析eSIM Passkey技術發展之餘,特別指出多國政府正陸續加入禁用OTP 的行列。 回顧2024年,新加坡因網路釣魚詐騙造成至少1,420萬美元損失,為此,新加坡金融管理 局要求銀行限期汰除簡訊OTP,此舉引發我們關注其後續發展,隨後,當地多家銀行陸續 採取行動,改以手機App作為身分驗證機制,包括星展銀行、大華銀行、華僑銀行等皆已 推動相關措施。 這次何俊炘在演說中進一步揭露,這股趨勢正迅速擴散:馬來西亞更早提出分階段推動, 現已全面停用簡訊OTP;阿拉伯聯合大公國(UAE)則從2026年3月31日開始全面禁用簡訊 OTP,印度亦從4月1日起禁止銀行以簡訊OTP為唯一認證管道,並且要求銀行負擔賠償責任 。 因應詐騙與網路犯罪,馬來西亞、UAE與印度強化金融監管 我們進一步檢視相關消息,例如,馬來西亞國家銀行(BNM)從2022年就開始宣布,由於 詐騙與網路犯罪日益猖獗,因此,BNM要求高風險線上銀行作業,必須從簡訊OTP遷移至更 安全的驗證方式。後續當地銀行分階段遷移,包括馬來亞銀行在內的多家銀行已於2024年 9月完成過渡。 阿拉伯聯合大公國中央銀行(CBUAE)於2025年5月發布第2025/3057號通知,明訂自2026 年3月31日起,國內支付、國際轉帳及線上購物等金融交易,不得再將簡訊OTP、Email OTP或靜態密碼作為獨立驗證手段,必須改以生物辨識、App推播或FIDO等強驗證方式取代 。 印度儲備銀行(RBI)於2025年9月祭出新法,其頒布的《數位支付交易認證機制指令2025 》,明定所有數位支付交易自2026年4月1日起,必須至少採用雙因素驗證(2FA),簡訊 OTP不得單獨作為驗證方式,須搭配生物辨識、App通證或裝置綁定等更安全機制,且若未 落實導致詐騙發生,銀行恐需負擔賠償責任。 綜觀多國政府汰除簡訊OTP的態勢,其實與FIDO聯盟目標一致 對於全球多國相繼禁用簡訊OTP的態勢,何俊炘分析指出,網路犯罪生態系長期將簡訊OTP 視為防禦破口。攻擊者常透過社交工程、釣魚網站誘騙受害者提供驗證碼,進而非法取得 雲端帳戶存取權限。 在此類威脅日益嚴峻之下,傳統簡訊OTP的多因素驗證(MFA)已顯得力不從心,這也使得 各國監管機構正加速淘汰簡訊OTP的使用。 而這樣的政策方向,也與FIDO聯盟推動的Passkey發展高度一致。何俊炘強調,為了因應 網釣攻擊,轉向具備抗網釣能力的強式MFA驗證機制已是必然。 整體來看,我們可以發現,這股汰換浪潮並非一蹴而就,早在前幾年舉行的FIDO研討會上 ,即指出美國國家標準技術研究所(NIST)2016年發布的數位身分認證指南,已開始建議 企業不要再透過電信的簡訊與電話語音來執行二次驗證;後續美國CISA也在2019年特別發 布抗網釣MFA導入指引文件,明確將簡訊MFA定位為「過渡到強式MFA之前的臨時方案」; 時至今日,這股趨勢已轉化為全球性的監管行動,陸續有政府將禁用OTP列入政策。 至於未來還有哪些重要發展?隨著Passkey應用漸趨普及,讓用戶在帳號登入可防範網釣 攻擊,但何俊炘指出,在帳號登入之外,帳號註冊與帳號復原等流程也需要同步升級驗證 機制。何俊炘在演說中也提到FIDO聯盟成員正與電信業合作研發應對方案,例如電話號碼 驗證(PNV)等新技術,以及基於eSIM Passkey的技術方案,這也是全球產業正在持續探 討與發展的最新態勢。 ----- 台灣的銀行會不會跟進 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.244.164.5 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1775786258.A.68B.html
04/10 10:15, 1天前 , 1F
只會研議
04/10 10:15, 1F
04/10 10:22, 1天前 , 2F
驗證再多有何用?會給詐騙錢的還是一樣
04/10 10:22, 2F
04/10 10:24, 1天前 , 3F
OTP當初不又是說是為了防堵詐騙,結果堵住了嗎?
04/10 10:24, 3F
04/10 10:25, 1天前 , 4F
你不用OTP要用什麼?有些銀行連APP都沒有,也不是人人
04/10 10:25, 4F
04/10 10:26, 1天前 , 5F
都會用,到最後也是兩手一攤,受害的還是用戶
04/10 10:26, 5F
04/10 10:26, 1天前 , 6F
智障是沒藥醫的,騙智障就賺不完
04/10 10:26, 6F
04/10 10:27, 1天前 , 7F
所以越智障的方式,成功率越高,因為會相信的就已經
04/10 10:27, 7F
04/10 10:27, 1天前 , 8F
通過智障測試了
04/10 10:27, 8F
04/10 10:55, 1天前 , 9F
單純系統性教育失敗而已,人均教育還輸印度
04/10 10:55, 9F
04/10 10:55, 1天前 , 10F
台灣該跟上吧 現在落後了
04/10 10:55, 10F
04/10 11:07, 1天前 , 11F
以後就是要你綁一堆app和手機 然後用裡面的來otp式認證
04/10 11:07, 11F
04/10 11:08, 1天前 , 12F
換手機換什麼都還要再認證,超麻煩來撇清責任
04/10 11:08, 12F
04/10 11:09, 1天前 , 13F
就像atm存錢上的字一樣 本行為主那樣的業者心熊fintech
04/10 11:09, 13F
04/10 11:32, 1天前 , 14F
APP 還得保證網路收訊很好 有些室內死角收訊不好不就GG
04/10 11:32, 14F
04/10 11:45, 1天前 , 15F
不是所有驗證器都得連線才能驗證。離線用演算法跑出來的
04/10 11:45, 15F
04/10 11:45, 1天前 , 16F
驗證碼一樣可以過。
04/10 11:45, 16F
04/10 12:25, 1天前 , 17F
渣打的實體opt好用 只是客戶打去報怨麻煩取消了XD
04/10 12:25, 17F
04/10 12:25, 1天前 , 18F
*OTP
04/10 12:25, 18F
04/10 12:26, 1天前 , 19F
反觀
04/10 12:26, 19F
04/10 13:39, 1天前 , 20F
光銀行業不夠,台灣打詐把電信業搞的跟銀行業一樣,結果
04/10 13:39, 20F
04/10 13:39, 1天前 , 21F
下場是只剩三雄,本末到底是什麼?上面那些天才能懂現在就
04/10 13:39, 21F
04/10 13:39, 1天前 , 22F
不會這樣了
04/10 13:39, 22F
04/10 14:29, 1天前 , 23F
最近打銀行語音接真人客服,還沒接通客服前就多了一個要
04/10 14:29, 23F
04/10 14:29, 1天前 , 24F
先驗證otp接通後 又要資料口頭對一次,那otp 為何要多這流
04/10 14:29, 24F
04/10 14:29, 1天前 , 25F
04/10 14:29, 25F
04/10 14:39, 1天前 , 26F
有點不太理解 如果不用OTP 還有什麼驗證方式會比較方
04/10 14:39, 26F
04/10 14:39, 1天前 , 27F
便
04/10 14:39, 27F
04/10 15:28, 1天前 , 28F
文內有說啊: 改以生物辨識、App推播或FIDO等強驗證方式取代
04/10 15:28, 28F
04/10 17:07, 1天前 , 29F
可是到現在,政府還在大推OTP不是嗎?防詐廣告超強調
04/10 17:07, 29F
04/10 17:48, 1天前 , 30F
打詐雖然智障,但電信剩下三家絕對不是打詐造成的
04/10 17:48, 30F
04/10 17:54, 1天前 , 31F
所以沒有新手機就不能裝app也不能領錢了嗎?
04/10 17:54, 31F
04/10 19:01, 1天前 , 32F
otp確實在安全性有疑慮
04/10 19:01, 32F
04/10 19:31, 1天前 , 33F
智障不會被騙,別侮辱智障
04/10 19:31, 33F
04/10 21:07, 1天前 , 34F
看推文就知道為什麼還在用簡訊OTP了...
04/10 21:07, 34F
04/10 21:09, 1天前 , 35F
估計一堆人google帳號完全沒開兩段驗證
04/10 21:09, 35F
04/10 21:35, 1天前 , 36F
不是造成,而是這樣環境下會有業者想踏入這行業嗎?新業
04/10 21:35, 36F
04/10 21:35, 1天前 , 37F
者或寡佔企業評估經營直接就打退堂鼓了
04/10 21:35, 37F
04/10 21:43, 1天前 , 38F
為了經營事業還得幫政府打詐,明明犯罪就讓犯罪者去承受
04/10 21:43, 38F
04/10 21:43, 1天前 , 39F
就好了
04/10 21:43, 39F
04/10 21:48, 1天前 , 40F
現在打詐不就是把責任轉嫁到業者和其他人身上嗎?犯錯的
04/10 21:48, 40F
04/10 21:48, 1天前 , 41F
人又不是這些人反而要承擔上了這些責任
04/10 21:48, 41F
04/10 23:40, 1天前 , 42F
不需用推播,用臉部/指紋辨識通過就好 g社網站已經有了
04/10 23:40, 42F
04/10 23:41, 1天前 , 43F
台灣光是搞手機號碼搭配身分證驗證 就好幾年了
04/10 23:41, 43F
04/11 10:04, 19小時前 , 44F
04/11 10:04, 44F
04/11 10:21, 19小時前 , 45F
反正最後還不是交出"付款碼"了,再多的驗證有用嗎
04/11 10:21, 45F
04/11 10:22, 19小時前 , 46F
以為可以收錢,卻對"付款碼"上的文字視而不見,還怎麼擋
04/11 10:22, 46F
04/11 10:26, 19小時前 , 47F
MID電信認證是不是可以代替簡訊認證?但在國外就不能用
04/11 10:26, 47F
04/11 10:26, 19小時前 , 48F
了。
04/11 10:26, 48F
04/11 11:51, 17小時前 , 49F
簡訊OTP怎麼騙? 交出去? 亂交資料的再多驗證都沒用啊
04/11 11:51, 49F
04/11 11:54, 17小時前 , 50F
手機被裝特殊app或軟體,簡訊明碼擷取到後傳出去
04/11 11:54, 50F
04/11 11:58, 17小時前 , 51F
目前大部分都還是被詐騙網頁騙說要輸入驗證碼,比較
04/11 11:58, 51F
04/11 11:58, 17小時前 , 52F
少是樓上那種情況
04/11 11:58, 52F
04/11 14:18, 15小時前 , 53F
如果要考慮被裝特殊APP 那就更不限定簡訊了 使用者端
04/11 14:18, 53F
04/11 14:27, 15小時前 , 54F
有木馬後門 驗證存取被側錄 甚至遠端操作都有可能
04/11 14:27, 54F
04/11 19:08, 10小時前 , 55F
有一些智障很愛刷卡OTP
04/11 19:08, 55F
04/11 20:44, 9小時前 , 56F
本來就是 憑什麼銀行財團遏止不了詐騙要民眾承擔
04/11 20:44, 56F
04/11 21:15, 8小時前 , 57F
不用OTP可以用Passkay啊 國泰3D驗證不就能用Passkey嗎
04/11 21:15, 57F
04/11 21:16, 8小時前 , 58F
雖然一堆內嵌瀏覽器無法用就是了
04/11 21:16, 58F
更多 cool810 的文章
文章代碼(AID): #1fs5aIQB (Bank_Service)