作者hn9480412 (ilinker)
看板MobileComm
標題[新聞] 全球掀起簡訊OTP禁用潮,印度、UAE金融
時間Fri Apr 17 23:44:01 2026
──────────────────────────────────────
1.原文連結:
連結過長者請使用短網址。
https://www.ithome.com.tw/news/174934
2.原文標題:
標題須完整寫出且須符合內文(否則依板規刪除並水桶)。
全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效
3.原文來源(媒體/作者):
例:蘋果日報/王大明(若無署名作者則不須)
iThome/羅正漢
4.原文內容:
請刊登完整全文(否則依板規刪除並水桶)。
全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效
隨著簡訊OTP持續被詐騙集團與駭客濫用,全球金融監管趨勢正迎來重大轉折,要求金融業禁用簡訊OTP的國家越來越多,不只新加坡、馬來西亞,印度與阿拉伯聯合大公國(UAE)的限制政策也於2026年4月正式生效
文/羅正漢|2026-04-09發表
全球政府禁用簡訊OTP(一次性密碼)的態勢越發顯著,在今年3月舉辦的FIDO臺灣分會活動中,就有電信身分識別專家分享此類議題,太思科技董事長何俊炘針對簡訊OTP議題說明產業對策,在解析eSIM Passkey技術發展之餘,特別指出多國政府正陸續加入禁用OTP的行列。
回顧2024年,新加坡因網路釣魚詐騙造成至少1,420萬美元損失,為此,新加坡金融管理局要求銀行限期汰除簡訊OTP,此舉引發我們關注其後續發展,隨後,當地多家銀行陸續採取行動,改以手機App作為身分驗證機制,包括星展銀行、大華銀行、華僑銀行等皆已推動相關措施。
這次何俊炘在演說中進一步揭露,這股趨勢正迅速擴散:馬來西亞更早提出分階段推動,現已全面停用簡訊OTP;阿拉伯聯合大公國(UAE)則從2026年3月31日開始全面禁用簡訊OTP,印度亦從4月1日起禁止銀行以簡訊OTP為唯一認證管道,並且要求銀行負擔賠償責任。
因應詐騙與網路犯罪,馬來西亞、UAE與印度強化金融監管
我們進一步檢視相關消息,例如,馬來西亞國家銀行(BNM)從2022年就開始宣布,由於詐騙與網路犯罪日益猖獗,因此,BNM要求高風險線上銀行作業,必須從簡訊OTP遷移至更安全的驗證方式。後續當地銀行分階段遷移,包括馬來亞銀行在內的多家銀行已於2024年9月完成過渡。
阿拉伯聯合大公國中央銀行(CBUAE)於2025年5月發布第2025/3057號通知,明訂自2026年3月31日起,國內支付、國際轉帳及線上購物等金融交易,不得再將簡訊OTP、Email OTP或靜態密碼作為獨立驗證手段,必須改以生物辨識、App推播或FIDO等強驗證方式取代。
印度儲備銀行(RBI)於2025年9月祭出新法,其頒布的《數位支付交易認證機制指令2025》,明定所有數位支付交易自2026年4月1日起,必須至少採用雙因素驗證(2FA),簡訊OTP不得單獨作為驗證方式,須搭配生物辨識、App通證或裝置綁定等更安全機制,且若未落實導致詐騙發生,銀行恐需負擔賠償責任。
綜觀多國政府汰除簡訊OTP的態勢,其實與FIDO聯盟目標一致
對於全球多國相繼禁用簡訊OTP的態勢,何俊炘分析指出,網路犯罪生態系長期將簡訊OTP視為防禦破口。攻擊者常透過社交工程、釣魚網站誘騙受害者提供驗證碼,進而非法取得雲端帳戶存取權限。
在此類威脅日益嚴峻之下,傳統簡訊OTP的多因素驗證(MFA)已顯得力不從心,這也使得各國監管機構正加速淘汰簡訊OTP的使用。
而這樣的政策方向,也與FIDO聯盟推動的Passkey發展高度一致。何俊炘強調,為了因應網釣攻擊,轉向具備抗網釣能力的強式MFA驗證機制已是必然。
整體來看,我們可以發現,這股汰換浪潮並非一蹴而就,早在前幾年舉行的FIDO研討會上,即指出美國國家標準技術研究所(NIST)2016年發布的數位身分認證指南,已開始建議企業不要再透過電信的簡訊與電話語音來執行二次驗證;後續美國CISA也在2019年特別發布抗網釣MFA導入指引文件,明確將簡訊MFA定位為「過渡到強式MFA之前的臨時方案」;時至今日,這股趨勢已轉化為全球性的監管行動,陸續有政府將禁用OTP列入政策。
至於未來還有哪些重要發展?隨著Passkey應用漸趨普及,讓用戶在帳號登入可防範網釣攻擊,但何俊炘指出,在帳號登入之外,帳號註冊與帳號復原等流程也需要同步升級驗證機制。何俊炘在演說中也提到FIDO聯盟成員正與電信業合作研發應對方案,例如電話號碼驗證(PNV)等新技術,以及基於eSIM Passkey的技術方案,這也是全球產業正在持續探討與發展的最新態勢。
5.心得/評論:
內容須超過繁體中文30字(不含標點符號)。
SMS傳送OTP密鑰會被攔截早就講好幾年了,現在很多銀行都可以選擇使用自家網銀APP來
授權3D驗證交易
髒兮兮:什麼?eSIM Passkey?那就只好推動這個然後繼續收300手續費,貪財貪財
──────────────────────────────────────
--
1F:推 FrostGZ : 崩 08/10 22:22
2F:推 pokemon1318 : 不 08/10 22:22
3F:推 a123453906 : 應 08/10 22:23
4F:推 c52chungyuny: 求你們停了好嗎 08/10 22:24
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.125.187.40 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MobileComm/M.1776440643.A.E83.html
5F:推 HowLeeHi : 其實也可以用TOTP就是了 04/18 00:00
6F:推 sincere77 : 台灣有哪家網站開放Passkey驗證登入了嗎? 04/18 00:10
7F:→ square4 : 未來屬於Passkeys,OTP不能防釣魚 04/18 00:11
8F:→ sincere77 : 看很多國外網站都逐漸支援Passkey了,台灣自稱科技 04/18 00:12
9F:→ sincere77 : 島結果實際上方便快速又安全的網路技術都落後別人一 04/18 00:12
10F:→ sincere77 : 大截 04/18 00:12
11F:→ hn9480412 : 黑橘可以用PASSKEY登入了 04/18 00:23
12F:推 adon0313 : ezway手機驗證? 04/18 00:38
13F:推 cliff2001 : 行動自然人可以 04/18 00:50
14F:推 cityport : 很多科技公司內網都可以選用passkeys登入 04/18 03:49
15F:推 Andosinjo : Passkey真的事未來趨勢 04/18 05:53
16F:推 wattswatts : 看看這幾天的國泰大樹守衛 台新(元富)極致股票回溯 04/18 06:45
17F:→ wattswatts : 大出包門神只要10W 願景成為亞洲那斯達克 全面放 04/18 06:45
18F:→ wattswatts : 棄簡訊otp 不要想太多XD 04/18 06:45
19F:→ sinclaireche: 露天可以 04/18 06:50
20F:→ sinclaireche: Passkey在多裝置同步也是損失安全性 04/18 06:51
21F:→ sinclaireche: 很多人討厭的硬體金鑰或硬體OTP才是安全的 04/18 06:53
22F:→ thomaschion : 要改系統,每個人都只想自保,誰要搞 04/18 09:46
23F:→ manbow77 : 其實SMS也能加密 能確保SIM持有者才能解密 04/18 14:02
24F:→ manbow77 : 但之前海外發生太多起SIM SWAP事件 04/18 14:03
25F:→ manbow77 : 所以說 多重驗證還是現狀的終解 04/18 14:04
26F:→ away612101 : 台灣反其道而行,大力推廣簡訊OTP 04/18 14:50
27F:→ away612101 : 銀行、商家 不用背責任是在太爽了 04/18 14:50
28F:→ away612101 : 停車費OTP、網購一包衛生紙也OTP 04/18 14:50
29F:推 achtung21 : 不要otp就要認憑證,nfc實體憑證文藝復興未嘗不可 04/19 01:30
30F:→ tn00210585 : 科技島(X) 代工島(O) 04/19 09:45
31F:→ manbow77 : 拿掉簡訊OTP 一堆長輩連電子信箱都不會用 04/19 14:30
32F:→ manbow77 : 然後這些長輩照樣會被假簡訊繼續騙 拿掉真的找麻煩 04/19 14:30
33F:→ manbow77 : 台灣不少驗證都不只用簡訊了 單純留個保底而已 04/19 14:31
34F:→ LLika : 這是央行的責任,但目前這個政府,你們就乖乖受罪吧 04/23 12:14
35F:→ LLika : 。 04/23 12:14
36F:→ yooza : 樓上真是別笑死人,有兩個連預算都不審的雷包 04/23 16:16
37F:→ yooza : 還在那邊央行 04/23 16:16