──────────────────────────────────────
1.原文连结:连结过长者请使用短网址。
https://www.ithome.com.tw/news/174934
2.原文标题:标题须完整写出且须符合内文(否则依板规删除并水桶)。
全球掀起短信OTP禁用潮,印度、UAE金融监管新法4月生效
3.原文来源(媒体/作者):例:苹果日报/王大明(若无署名作者则不须)
iThome/罗正汉
4.原文内容:请刊登完整全文(否则依板规删除并水桶)。
全球掀起短信OTP禁用潮,印度、UAE金融监管新法4月生效
随着短信OTP持续被诈骗集团与骇客滥用,全球金融监管趋势正迎来重大转折,要求金融业禁用短信OTP的国家越来越多,不只新加坡、马来西亚,印度与阿拉伯联合酋长国(UAE)的限制政策也于2026年4月正式生效
文/罗正汉|2026-04-09发表
全球政府禁用短信OTP(一次性密码)的态势越发显著,在今年3月举办的FIDO台湾分会活动中,就有电信身分识别专家分享此类议题,太思科技董事长何俊炘针对短信OTP议题说明产业对策,在解析eSIM Passkey技术发展之余,特别指出多国政府正陆续加入禁用OTP的行列。
回顾2024年,新加坡因网络钓鱼诈骗造成至少1,420万美元损失,为此,新加坡金融管理局要求银行限期汰除短信OTP,此举引发我们关注其后续发展,随后,当地多家银行陆续采取行动,改以手机App作为身分验证机制,包括星展银行、大华银行、华侨银行等皆已推动相关措施。
这次何俊炘在演说中进一步揭露,这股趋势正迅速扩散:马来西亚更早提出分阶段推动,现已全面停用短信OTP;阿拉伯联合酋长国(UAE)则从2026年3月31日开始全面禁用短信OTP,印度亦从4月1日起禁止银行以短信OTP为唯一认证管道,并且要求银行负担赔偿责任。
因应诈骗与网络犯罪,马来西亚、UAE与印度强化金融监管
我们进一步检视相关消息,例如,马来西亚国家银行(BNM)从2022年就开始宣布,由于诈骗与网络犯罪日益猖獗,因此,BNM要求高风险线上银行作业,必须从短信OTP迁移至更安全的验证方式。后续当地银行分阶段迁移,包括马来亚银行在内的多家银行已于2024年9月完成过渡。
阿拉伯联合酋长国中央银行(CBUAE)于2025年5月发布第2025/3057号通知,明订自2026年3月31日起,国内支付、国际转帐及线上购物等金融交易,不得再将短信OTP、Email OTP或静态密码作为独立验证手段,必须改以生物辨识、App推播或FIDO等强验证方式取代。
印度储备银行(RBI)于2025年9月祭出新法,其颁布的《数位支付交易认证机制指令2025》,明定所有数位支付交易自2026年4月1日起,必须至少采用双因素验证(2FA),短信OTP不得单独作为验证方式,须搭配生物辨识、App通证或装置绑定等更安全机制,且若未落实导致诈骗发生,银行恐需负担赔偿责任。
综观多国政府汰除短信OTP的态势,其实与FIDO联盟目标一致
对于全球多国相继禁用短信OTP的态势,何俊炘分析指出,网络犯罪生态系长期将短信OTP视为防御破口。攻击者常透过社交工程、钓鱼网站诱骗受害者提供验证码,进而非法取得云端帐户存取权限。
在此类威胁日益严峻之下,传统短信OTP的多因素验证(MFA)已显得力不从心,这也使得各国监管机构正加速淘汰短信OTP的使用。
而这样的政策方向,也与FIDO联盟推动的Passkey发展高度一致。何俊炘强调,为了因应网钓攻击,转向具备抗网钓能力的强式MFA验证机制已是必然。
整体来看,我们可以发现,这股汰换浪潮并非一蹴而就,早在前几年举行的FIDO研讨会上,即指出美国国家标准技术研究所(NIST)2016年发布的数位身分认证指南,已开始建议企业不要再透过电信的短信与电话语音来执行二次验证;后续美国CISA也在2019年特别发布抗网钓MFA导入指引文件,明确将短信MFA定位为“过渡到强式MFA之前的临时方案”;时至今日,这股趋势已转化为全球性的监管行动,陆续有政府将禁用OTP列入政策。
至于未来还有哪些重要发展?随着Passkey应用渐趋普及,让用户在帐号登入可防范网钓攻击,但何俊炘指出,在帐号登入之外,帐号注册与帐号复原等流程也需要同步升级验证机制。何俊炘在演说中也提到FIDO联盟成员正与电信业合作研发应对方案,例如电话号码验证(PNV)等新技术,以及基于eSIM Passkey的技术方案,这也是全球产业正在持续探讨与发展的最新态势。
5.心得/评论:内容须超过繁体中文30字(不含标点符号)。
SMS传送OTP密钥会被拦截早就讲好几年了,现在很多银行都可以选择使用自家网银APP来
授权3D验证交易
脏兮兮:什么?eSIM Passkey?那就只好推动这个然后继续收300手续费,贪财贪财
──────────────────────────────────────