回看板
Disp BBS
作者 cool810 (silence)
標題 [新聞] 全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效
時間 Fri Apr 10 09:57:35 2026

全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效
https://www.ithome.com.tw/news/174934
全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效 | iThome
[圖]
隨著簡訊OTP持續被詐騙集團與駭客濫用,全球金融監管趨勢正迎來重大轉折,要求金融業禁用簡訊OTP的國家越來越多,不只新加坡、馬來西亞,印度與阿拉伯聯合大公國(UAE)的限制政策也於2026年4月正式生效 ...

 

隨著簡訊OTP持續被詐騙集團與駭客濫用,全球金融監管趨勢正迎來重大轉折,要求金融
業禁用簡訊OTP的國家越來越多,不只新加坡、馬來西亞,印度與阿拉伯聯合大公國(UAE
)的限制政策也於2026年4月正式生效


文/羅正漢|2026-04-09發表

全球政府禁用簡訊OTP(一次性密碼)的態勢越發顯著,在今年3月舉辦的FIDO臺灣分會活
動中,就有電信身分識別專家分享此類議題,太思科技董事長何俊炘針對簡訊OTP議題說
明產業對策,在解析eSIM Passkey技術發展之餘,特別指出多國政府正陸續加入禁用OTP
的行列。


回顧2024年,新加坡因網路釣魚詐騙造成至少1,420萬美元損失,為此,新加坡金融管理
局要求銀行限期汰除簡訊OTP,此舉引發我們關注其後續發展,隨後,當地多家銀行陸續
採取行動,改以手機App作為身分驗證機制,包括星展銀行、大華銀行、華僑銀行等皆已
推動相關措施。


這次何俊炘在演說中進一步揭露,這股趨勢正迅速擴散:馬來西亞更早提出分階段推動,
現已全面停用簡訊OTP;阿拉伯聯合大公國(UAE)則從2026年3月31日開始全面禁用簡訊
OTP,印度亦從4月1日起禁止銀行以簡訊OTP為唯一認證管道,並且要求銀行負擔賠償責任


因應詐騙與網路犯罪,馬來西亞、UAE與印度強化金融監管

我們進一步檢視相關消息,例如,馬來西亞國家銀行(BNM)從2022年就開始宣布,由於
詐騙與網路犯罪日益猖獗,因此,BNM要求高風險線上銀行作業,必須從簡訊OTP遷移至更
安全的驗證方式。後續當地銀行分階段遷移,包括馬來亞銀行在內的多家銀行已於2024年
9月完成過渡。


阿拉伯聯合大公國中央銀行(CBUAE)於2025年5月發布第2025/3057號通知,明訂自2026
年3月31日起,國內支付、國際轉帳及線上購物等金融交易,不得再將簡訊OTP、Email
OTP或靜態密碼作為獨立驗證手段,必須改以生物辨識、App推播或FIDO等強驗證方式取代


印度儲備銀行(RBI)於2025年9月祭出新法,其頒布的《數位支付交易認證機制指令2025
》,明定所有數位支付交易自2026年4月1日起,必須至少採用雙因素驗證(2FA),簡訊
OTP不得單獨作為驗證方式,須搭配生物辨識、App通證或裝置綁定等更安全機制,且若未
落實導致詐騙發生,銀行恐需負擔賠償責任。


綜觀多國政府汰除簡訊OTP的態勢,其實與FIDO聯盟目標一致

對於全球多國相繼禁用簡訊OTP的態勢,何俊炘分析指出,網路犯罪生態系長期將簡訊OTP
視為防禦破口。攻擊者常透過社交工程、釣魚網站誘騙受害者提供驗證碼,進而非法取得
雲端帳戶存取權限。


在此類威脅日益嚴峻之下,傳統簡訊OTP的多因素驗證(MFA)已顯得力不從心,這也使得
各國監管機構正加速淘汰簡訊OTP的使用。

而這樣的政策方向,也與FIDO聯盟推動的Passkey發展高度一致。何俊炘強調,為了因應
網釣攻擊,轉向具備抗網釣能力的強式MFA驗證機制已是必然。

整體來看,我們可以發現,這股汰換浪潮並非一蹴而就,早在前幾年舉行的FIDO研討會上
,即指出美國國家標準技術研究所(NIST)2016年發布的數位身分認證指南,已開始建議
企業不要再透過電信的簡訊與電話語音來執行二次驗證;後續美國CISA也在2019年特別發
布抗網釣MFA導入指引文件,明確將簡訊MFA定位為「過渡到強式MFA之前的臨時方案」;
時至今日,這股趨勢已轉化為全球性的監管行動,陸續有政府將禁用OTP列入政策。


至於未來還有哪些重要發展?隨著Passkey應用漸趨普及,讓用戶在帳號登入可防範網釣
攻擊,但何俊炘指出,在帳號登入之外,帳號註冊與帳號復原等流程也需要同步升級驗證
機制。何俊炘在演說中也提到FIDO聯盟成員正與電信業合作研發應對方案,例如電話號碼
驗證(PNV)等新技術,以及基於eSIM Passkey的技術方案,這也是全球產業正在持續探
討與發展的最新態勢。


-----
台灣的銀行會不會跟進

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.244.164.5 (臺灣)
※ 作者: cool810 2026-04-10 09:57:35
※ 文章代碼(AID): #1fs5aIQB (Bank_Service)
※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1775786258.A.68B.html
Klauhal: 只會研議1F 04/10 10:15
SHENG2014: 驗證再多有何用?會給詐騙錢的還是一樣2F 04/10 10:22
catuncle1: OTP當初不又是說是為了防堵詐騙,結果堵住了嗎?
你不用OTP要用什麼?有些銀行連APP都沒有,也不是人人都會用,到最後也是兩手一攤,受害的還是用戶3F 04/10 10:24
diogofseixas: 智障是沒藥醫的,騙智障就賺不完
所以越智障的方式,成功率越高,因為會相信的就已經通過智障測試了6F 04/10 10:26
Klauhal: 單純系統性教育失敗而已,人均教育還輸印度9F 04/10 10:55
cosmite: 台灣該跟上吧 現在落後了10F 04/10 10:55
aiyowaya: 以後就是要你綁一堆app和手機 然後用裡面的來otp式認證換手機換什麼都還要再認證,超麻煩來撇清責任
就像atm存錢上的字一樣 本行為主那樣的業者心熊fintech11F 04/10 11:07
hihi29: APP 還得保證網路收訊很好 有些室內死角收訊不好不就GG14F 04/10 11:32
dowbane: 不是所有驗證器都得連線才能驗證。離線用演算法跑出來的驗證碼一樣可以過。15F 04/10 11:45
gcd68388: 渣打的實體opt好用 只是客戶打去報怨麻煩取消了XD
*OTP17F 04/10 12:25
shachitw: 反觀19F 04/10 12:26
usedata: 光銀行業不夠,台灣打詐把電信業搞的跟銀行業一樣,結果下場是只剩三雄,本末到底是什麼?上面那些天才能懂現在就不會這樣了20F 04/10 13:39
iueeng: 最近打銀行語音接真人客服,還沒接通客服前就多了一個要先驗證otp接通後 又要資料口頭對一次,那otp 為何要多這流23F 04/10 14:29
a167943456: 有點不太理解 如果不用OTP 還有什麼驗證方式會比較方便26F 04/10 14:39
mmeow: 文內有說啊: 改以生物辨識、App推播或FIDO等強驗證方式取代28F 04/10 15:28

--
作者 cool810 的最新發文:
點此顯示更多發文記錄