香港证券及期货事务监察委员会发布通知,要求虚拟资产交易平台和互联网经纪商将一次性密码认证替换为更强的安全方法。监管机构指出,2025年向香港网络安全事件应对中心报告的所有安全事件中,钓鱼和伪造攻击占比57%,这是实施该强制措施的原因。企业必须在12个月内采用更强的替代方案,如密码钥匙和绑定设备认证,大型互联网经纪商则须立即执行这些措施。该通知标志着香港数字资产行业监管力度的升级,传统的认证方法在面对复杂的网络威胁时已被认为不足。
SFC 强制平台逐步淘汰客户登录和设备绑定过程中的一次性密码。相关企业须在通知发布后12个月内遵守,而大型互联网经纪商则须立即实施新措施。监管机构表示,密码钥匙和绑定设备认证比一次性密码提供更强的抗欺诈和抗攻击能力。
SFC 强化安全措施与管理责任
通知列出涵盖检测、响应和客户教育的义务。虚拟资产交易平台和经纪商必须建立监控系统,能够识别可疑的登录、交易和提现行为。企业需及时通知客户重大账户事件,并迅速应对任何黑客事件。还应持续向客户发出关于新兴网络威胁和冒充诈骗的警示。
SFC 表示,这些企业的高级管理层对账户保护措施的充分性负最终责任。内部安全措施不足的机构将对由此造成的客户损失承担责任。
监管时间表:从监控到强制执行
自2024年底起,SFC 开始监控与一次性密码相关的风险。2025年2月的通知中,监管机构强烈建议持牌公司逐步放弃一次性密码。此次通知将建议转变为具有法律约束力的截止期限,使得今日的强制措施成为必须执行的规定,而非自愿建议。
常见问题
香港SFC要求加密平台做什么?
香港证券及期货事务监察委员会发布通知,要求虚拟资产交易平台和互联网经纪商将一次性密码认证替换为更强的安全措施,例如密码钥匙和绑定设备认证。
为什么SFC禁止加密平台使用一次性密码?
监管机构指出,2025年向香港网络安全事件应对中心报告的所有安全事件中,钓鱼和伪造攻击占比57%,一次性密码在面对复杂的现代攻击时已变得不足。
加密平台遵守新认证要求的截止日期是什么?
相关企业须在通知发布后12个月内遵守,而大型互联网经纪商则须立即实施新措施。