楼主:
cool810 (silence)
2026-04-10 09:57:35全球掀起短信OTP禁用潮,印度、UAE金融监管新法4月生效
https://www.ithome.com.tw/news/174934
随着短信OTP持续被诈骗集团与骇客滥用,全球金融监管趋势正迎来重大转折,要求金融
业禁用短信OTP的国家越来越多,不只新加坡、马来西亚,印度与阿拉伯联合酋长国(UAE
)的限制政策也于2026年4月正式生效
文/罗正汉|2026-04-09发表
全球政府禁用短信OTP(一次性密码)的态势越发显著,在今年3月举办的FIDO台湾分会活
动中,就有电信身分识别专家分享此类议题,太思科技董事长何俊炘针对短信OTP议题说
明产业对策,在解析eSIM Passkey技术发展之余,特别指出多国政府正陆续加入禁用OTP
的行列。
回顾2024年,新加坡因网络钓鱼诈骗造成至少1,420万美元损失,为此,新加坡金融管理
局要求银行限期汰除短信OTP,此举引发我们关注其后续发展,随后,当地多家银行陆续
采取行动,改以手机App作为身分验证机制,包括星展银行、大华银行、华侨银行等皆已
推动相关措施。
这次何俊炘在演说中进一步揭露,这股趋势正迅速扩散:马来西亚更早提出分阶段推动,
现已全面停用短信OTP;阿拉伯联合酋长国(UAE)则从2026年3月31日开始全面禁用短信
OTP,印度亦从4月1日起禁止银行以短信OTP为唯一认证管道,并且要求银行负担赔偿责任
。
因应诈骗与网络犯罪,马来西亚、UAE与印度强化金融监管
我们进一步检视相关消息,例如,马来西亚国家银行(BNM)从2022年就开始宣布,由于
诈骗与网络犯罪日益猖獗,因此,BNM要求高风险线上银行作业,必须从短信OTP迁移至更
安全的验证方式。后续当地银行分阶段迁移,包括马来亚银行在内的多家银行已于2024年
9月完成过渡。
阿拉伯联合酋长国中央银行(CBUAE)于2025年5月发布第2025/3057号通知,明订自2026
年3月31日起,国内支付、国际转帐及线上购物等金融交易,不得再将短信OTP、Email
OTP或静态密码作为独立验证手段,必须改以生物辨识、App推播或FIDO等强验证方式取代
。
印度储备银行(RBI)于2025年9月祭出新法,其颁布的《数位支付交易认证机制指令2025
》,明定所有数位支付交易自2026年4月1日起,必须至少采用双因素验证(2FA),短信
OTP不得单独作为验证方式,须搭配生物辨识、App通证或装置绑定等更安全机制,且若未
落实导致诈骗发生,银行恐需负担赔偿责任。
综观多国政府汰除短信OTP的态势,其实与FIDO联盟目标一致
对于全球多国相继禁用短信OTP的态势,何俊炘分析指出,网络犯罪生态系长期将短信OTP
视为防御破口。攻击者常透过社交工程、钓鱼网站诱骗受害者提供验证码,进而非法取得
云端帐户存取权限。
在此类威胁日益严峻之下,传统短信OTP的多因素验证(MFA)已显得力不从心,这也使得
各国监管机构正加速淘汰短信OTP的使用。
而这样的政策方向,也与FIDO联盟推动的Passkey发展高度一致。何俊炘强调,为了因应
网钓攻击,转向具备抗网钓能力的强式MFA验证机制已是必然。
整体来看,我们可以发现,这股汰换浪潮并非一蹴而就,早在前几年举行的FIDO研讨会上
,即指出美国国家标准技术研究所(NIST)2016年发布的数位身分认证指南,已开始建议
企业不要再透过电信的短信与电话语音来执行二次验证;后续美国CISA也在2019年特别发
布抗网钓MFA导入指引文件,明确将短信MFA定位为“过渡到强式MFA之前的临时方案”;
时至今日,这股趋势已转化为全球性的监管行动,陆续有政府将禁用OTP列入政策。
至于未来还有哪些重要发展?随着Passkey应用渐趋普及,让用户在帐号登入可防范网钓
攻击,但何俊炘指出,在帐号登入之外,帐号注册与帐号复原等流程也需要同步升级验证
机制。何俊炘在演说中也提到FIDO联盟成员正与电信业合作研发应对方案,例如电话号码
验证(PNV)等新技术,以及基于eSIM Passkey的技术方案,这也是全球产业正在持续探
讨与发展的最新态势。
作者:
Klauhal (赤)
2026-04-10 10:15:00只会研议
作者: SHENG2014 (上班族) 2026-04-10 10:22:00
验证再多有何用?会给诈骗钱的还是一样
OTP当初不又是说是为了防堵诈骗,结果堵住了吗?你不用OTP要用什么?有些银行连APP都没有,也不是人人都会用,到最后也是两手一摊,受害的还是用户
智障是没药医的,骗智障就赚不完所以越智障的方式,成功率越高,因为会相信的就已经通过智障测试了
作者:
Klauhal (赤)
2026-04-10 10:55:00单纯系统性教育失败而已,人均教育还输印度
作者:
cosmite (K)
2026-04-10 10:55:00台湾该跟上吧 现在落后了
作者:
aiyowaya (我叫 小 王 子)
2026-04-10 11:07:00以后就是要你绑一堆app和手机 然后用里面的来otp式认证换手机换什么都还要再认证,超麻烦来撇清责任就像atm存钱上的字一样 本行为主那样的业者心熊fintech
作者:
hihi29 (无)
2026-04-10 11:32:00APP 还得保证网络收讯很好 有些室内死角收讯不好不就GG
作者:
dowbane (咩咩背着羊丸丸)
2026-04-10 11:45:00不是所有验证器都得连线才能验证。离线用算法跑出来的验证码一样可以过。
渣打的实体opt好用 只是客户打去报怨麻烦取消了XD*OTP
作者:
usedata (枫)
2026-04-10 13:39:00光银行业不够,台湾打诈把电信业搞的跟银行业一样,结果下场是只剩三雄,本末到底是什么?上面那些天才能懂现在就不会这样了
作者:
iueeng (Carl)
2026-04-10 14:29:00最近打银行语音接真人客服,还没接通客服前就多了一个要先验证otp接通后 又要资料口头对一次,那otp 为何要多这流程
有点不太理解 如果不用OTP 还有什么验证方式会比较方便
作者:
mmeow (呣伊噢)
2026-04-10 15:28:00文内有说啊: 改以生物辨识、App推播或FIDO等强验证方式取代
可是到现在,政府还在大推OTP不是吗?防诈广告超强调
作者:
saedn (~自挂东南枝~)
2026-04-10 17:54:00所以没有新手机就不能装app也不能领钱了吗?
作者:
premh104 (一声不知百事不来)
2026-04-10 19:31:00智障不会被骗,别侮辱智障
看推文就知道为什么还在用短信OTP了...估计一堆人google帐号完全没开两段验证
作者:
usedata (枫)
2026-04-10 21:35:00不是造成,而是这样环境下会有业者想踏入这行业吗?新业者或寡占企业评估经营直接就打退堂鼓了为了经营事业还得帮政府打诈,明明犯罪就让犯罪者去承受就好了现在打诈不就是把责任转嫁到业者和其他人身上吗?犯错的人又不是这些人反而要承担上了这些责任
不需用推播,用脸部/指纹辨识通过就好 g社网站已经有了台湾光是搞手机号码搭配身分证验证 就好几年了