作者cool810 (silence)
看板Bank_Service
標題[新聞] 全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效
時間Fri Apr 10 09:57:35 2026
全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效
https://www.ithome.com.tw/news/174934
隨著簡訊OTP持續被詐騙集團與駭客濫用,全球金融監管趨勢正迎來重大轉折,要求金融
業禁用簡訊OTP的國家越來越多,不只新加坡、馬來西亞,印度與阿拉伯聯合大公國(UAE
)的限制政策也於2026年4月正式生效
文/羅正漢|2026-04-09發表
全球政府禁用簡訊OTP(一次性密碼)的態勢越發顯著,在今年3月舉辦的FIDO臺灣分會活
動中,就有電信身分識別專家分享此類議題,太思科技董事長何俊炘針對簡訊OTP議題說
明產業對策,在解析eSIM Passkey技術發展之餘,特別指出多國政府正陸續加入禁用OTP
的行列。
回顧2024年,新加坡因網路釣魚詐騙造成至少1,420萬美元損失,為此,新加坡金融管理
局要求銀行限期汰除簡訊OTP,此舉引發我們關注其後續發展,隨後,當地多家銀行陸續
採取行動,改以手機App作為身分驗證機制,包括星展銀行、大華銀行、華僑銀行等皆已
推動相關措施。
這次何俊炘在演說中進一步揭露,這股趨勢正迅速擴散:馬來西亞更早提出分階段推動,
現已全面停用簡訊OTP;阿拉伯聯合大公國(UAE)則從2026年3月31日開始全面禁用簡訊
OTP,印度亦從4月1日起禁止銀行以簡訊OTP為唯一認證管道,並且要求銀行負擔賠償責任
。
因應詐騙與網路犯罪,馬來西亞、UAE與印度強化金融監管
我們進一步檢視相關消息,例如,馬來西亞國家銀行(BNM)從2022年就開始宣布,由於
詐騙與網路犯罪日益猖獗,因此,BNM要求高風險線上銀行作業,必須從簡訊OTP遷移至更
安全的驗證方式。後續當地銀行分階段遷移,包括馬來亞銀行在內的多家銀行已於2024年
9月完成過渡。
阿拉伯聯合大公國中央銀行(CBUAE)於2025年5月發布第2025/3057號通知,明訂自2026
年3月31日起,國內支付、國際轉帳及線上購物等金融交易,不得再將簡訊OTP、Email
OTP或靜態密碼作為獨立驗證手段,必須改以生物辨識、App推播或FIDO等強驗證方式取代
。
印度儲備銀行(RBI)於2025年9月祭出新法,其頒布的《數位支付交易認證機制指令2025
》,明定所有數位支付交易自2026年4月1日起,必須至少採用雙因素驗證(2FA),簡訊
OTP不得單獨作為驗證方式,須搭配生物辨識、App通證或裝置綁定等更安全機制,且若未
落實導致詐騙發生,銀行恐需負擔賠償責任。
綜觀多國政府汰除簡訊OTP的態勢,其實與FIDO聯盟目標一致
對於全球多國相繼禁用簡訊OTP的態勢,何俊炘分析指出,網路犯罪生態系長期將簡訊OTP
視為防禦破口。攻擊者常透過社交工程、釣魚網站誘騙受害者提供驗證碼,進而非法取得
雲端帳戶存取權限。
在此類威脅日益嚴峻之下,傳統簡訊OTP的多因素驗證(MFA)已顯得力不從心,這也使得
各國監管機構正加速淘汰簡訊OTP的使用。
而這樣的政策方向,也與FIDO聯盟推動的Passkey發展高度一致。何俊炘強調,為了因應
網釣攻擊,轉向具備抗網釣能力的強式MFA驗證機制已是必然。
整體來看,我們可以發現,這股汰換浪潮並非一蹴而就,早在前幾年舉行的FIDO研討會上
,即指出美國國家標準技術研究所(NIST)2016年發布的數位身分認證指南,已開始建議
企業不要再透過電信的簡訊與電話語音來執行二次驗證;後續美國CISA也在2019年特別發
布抗網釣MFA導入指引文件,明確將簡訊MFA定位為「過渡到強式MFA之前的臨時方案」;
時至今日,這股趨勢已轉化為全球性的監管行動,陸續有政府將禁用OTP列入政策。
至於未來還有哪些重要發展?隨著Passkey應用漸趨普及,讓用戶在帳號登入可防範網釣
攻擊,但何俊炘指出,在帳號登入之外,帳號註冊與帳號復原等流程也需要同步升級驗證
機制。何俊炘在演說中也提到FIDO聯盟成員正與電信業合作研發應對方案,例如電話號碼
驗證(PNV)等新技術,以及基於eSIM Passkey的技術方案,這也是全球產業正在持續探
討與發展的最新態勢。
-----
台灣的銀行會不會跟進
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.244.164.5 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Bank_Service/M.1775786258.A.68B.html
1F:推 Klauhal: 只會研議 04/10 10:15
2F:→ SHENG2014: 驗證再多有何用?會給詐騙錢的還是一樣 04/10 10:22
3F:→ catuncle1: OTP當初不又是說是為了防堵詐騙,結果堵住了嗎? 04/10 10:24
4F:→ catuncle1: 你不用OTP要用什麼?有些銀行連APP都沒有,也不是人人 04/10 10:25
5F:→ catuncle1: 都會用,到最後也是兩手一攤,受害的還是用戶 04/10 10:26
6F:推 diogofseixas: 智障是沒藥醫的,騙智障就賺不完 04/10 10:26
7F:→ diogofseixas: 所以越智障的方式,成功率越高,因為會相信的就已經 04/10 10:27
8F:→ diogofseixas: 通過智障測試了 04/10 10:27
9F:推 Klauhal: 單純系統性教育失敗而已,人均教育還輸印度 04/10 10:55
10F:推 cosmite: 台灣該跟上吧 現在落後了 04/10 10:55
11F:→ aiyowaya: 以後就是要你綁一堆app和手機 然後用裡面的來otp式認證 04/10 11:07
12F:→ aiyowaya: 換手機換什麼都還要再認證,超麻煩來撇清責任 04/10 11:08
13F:→ aiyowaya: 就像atm存錢上的字一樣 本行為主那樣的業者心熊fintech 04/10 11:09
14F:推 hihi29: APP 還得保證網路收訊很好 有些室內死角收訊不好不就GG 04/10 11:32
15F:推 dowbane: 不是所有驗證器都得連線才能驗證。離線用演算法跑出來的 04/10 11:45
16F:→ dowbane: 驗證碼一樣可以過。 04/10 11:45
17F:推 gcd68388: 渣打的實體opt好用 只是客戶打去報怨麻煩取消了XD 04/10 12:25
18F:→ gcd68388: *OTP 04/10 12:25
19F:推 shachitw: 反觀 04/10 12:26
20F:→ usedata: 光銀行業不夠,台灣打詐把電信業搞的跟銀行業一樣,結果 04/10 13:39
21F:→ usedata: 下場是只剩三雄,本末到底是什麼?上面那些天才能懂現在就 04/10 13:39
22F:→ usedata: 不會這樣了 04/10 13:39
23F:→ iueeng: 最近打銀行語音接真人客服,還沒接通客服前就多了一個要 04/10 14:29
24F:→ iueeng: 先驗證otp接通後 又要資料口頭對一次,那otp 為何要多這流 04/10 14:29
25F:→ iueeng: 程 04/10 14:29
26F:推 a167943456: 有點不太理解 如果不用OTP 還有什麼驗證方式會比較方 04/10 14:39
27F:→ a167943456: 便 04/10 14:39
28F:推 mmeow: 文內有說啊: 改以生物辨識、App推播或FIDO等強驗證方式取代 04/10 15:28
29F:→ dantes1013: 可是到現在,政府還在大推OTP不是嗎?防詐廣告超強調 04/10 17:07
30F:噓 cytochrome: 打詐雖然智障,但電信剩下三家絕對不是打詐造成的 04/10 17:48
31F:推 saedn: 所以沒有新手機就不能裝app也不能領錢了嗎? 04/10 17:54
32F:推 gn00273680: otp確實在安全性有疑慮 04/10 19:01
33F:→ premh104: 智障不會被騙,別侮辱智障 04/10 19:31
34F:推 abccbaandy: 看推文就知道為什麼還在用簡訊OTP了... 04/10 21:07
35F:→ abccbaandy: 估計一堆人google帳號完全沒開兩段驗證 04/10 21:09
36F:→ usedata: 不是造成,而是這樣環境下會有業者想踏入這行業嗎?新業 04/10 21:35
37F:→ usedata: 者或寡佔企業評估經營直接就打退堂鼓了 04/10 21:35
38F:→ usedata: 為了經營事業還得幫政府打詐,明明犯罪就讓犯罪者去承受 04/10 21:43
39F:→ usedata: 就好了 04/10 21:43
40F:→ usedata: 現在打詐不就是把責任轉嫁到業者和其他人身上嗎?犯錯的 04/10 21:48
41F:→ usedata: 人又不是這些人反而要承擔上了這些責任 04/10 21:48
42F:推 sp063439: 不需用推播,用臉部/指紋辨識通過就好 g社網站已經有了 04/10 23:40
43F:→ sp063439: 台灣光是搞手機號碼搭配身分證驗證 就好幾年了 04/10 23:41
45F:推 legendrl: 反正最後還不是交出"付款碼"了,再多的驗證有用嗎 04/11 10:21
46F:→ legendrl: 以為可以收錢,卻對"付款碼"上的文字視而不見,還怎麼擋 04/11 10:22
47F:推 starwood: MID電信認證是不是可以代替簡訊認證?但在國外就不能用 04/11 10:26
48F:→ starwood: 了。 04/11 10:26
49F:推 sunshinecan: 簡訊OTP怎麼騙? 交出去? 亂交資料的再多驗證都沒用啊 04/11 11:51
50F:推 ruve: 手機被裝特殊app或軟體,簡訊明碼擷取到後傳出去 04/11 11:54
51F:推 Kazamatsuri: 目前大部分都還是被詐騙網頁騙說要輸入驗證碼,比較 04/11 11:58
52F:→ Kazamatsuri: 少是樓上那種情況 04/11 11:58
53F:推 sunshinecan: 如果要考慮被裝特殊APP 那就更不限定簡訊了 使用者端 04/11 14:18
54F:→ sunshinecan: 有木馬後門 驗證存取被側錄 甚至遠端操作都有可能 04/11 14:27
55F:推 svcc: 有一些智障很愛刷卡OTP 04/11 19:08
56F:推 polestar0505: 本來就是 憑什麼銀行財團遏止不了詐騙要民眾承擔 04/11 20:44
57F:推 kkkk1234: 不用OTP可以用Passkay啊 國泰3D驗證不就能用Passkey嗎 04/11 21:15
58F:→ kkkk1234: 雖然一堆內嵌瀏覽器無法用就是了 04/11 21:16
59F:→ BroDians: 轉眼間OTP已經防不了詐騙,甚至變成詐騙集團的工具了, 04/12 15:46
60F:→ BroDians: 真讓人意外 04/12 15:46
61F:→ temu2015: 富邦也開Passkey了,可以存密碼管理器但我還沒用過 04/12 22:40
62F:推 royhsia: 只不過去姊姊家登入官網支援服務,它就說我帳號異常已鎖 04/13 09:00
63F:→ royhsia: 定要我改密碼,這樣手機如果不見沒有其他裝置不就死光了 04/13 09:00
64F:推 vestinland: 會不會以前像渣打匯豐那種離線產生密碼的反而是安全 04/13 23:18
65F:→ vestinland: 的呢?,還有看過日本一絕,把一堆兩位數字印成表格 04/13 23:18
66F:→ vestinland: 在卡片後,登入要某個欄位自己加減數字運算得出密碼 04/13 23:18
67F:→ vestinland: ,沒有那個表全部數字,幾乎很難猜中加減後是多少而 04/13 23:18
68F:→ vestinland: 且還不是連線的 04/13 23:18