作者:
cool810 (silence)
2026-04-10 09:57:35全球掀起簡訊OTP禁用潮,印度、UAE金融監管新法4月生效
https://www.ithome.com.tw/news/174934
隨著簡訊OTP持續被詐騙集團與駭客濫用,全球金融監管趨勢正迎來重大轉折,要求金融
業禁用簡訊OTP的國家越來越多,不只新加坡、馬來西亞,印度與阿拉伯聯合大公國(UAE
)的限制政策也於2026年4月正式生效
文/羅正漢|2026-04-09發表
全球政府禁用簡訊OTP(一次性密碼)的態勢越發顯著,在今年3月舉辦的FIDO臺灣分會活
動中,就有電信身分識別專家分享此類議題,太思科技董事長何俊炘針對簡訊OTP議題說
明產業對策,在解析eSIM Passkey技術發展之餘,特別指出多國政府正陸續加入禁用OTP
的行列。
回顧2024年,新加坡因網路釣魚詐騙造成至少1,420萬美元損失,為此,新加坡金融管理
局要求銀行限期汰除簡訊OTP,此舉引發我們關注其後續發展,隨後,當地多家銀行陸續
採取行動,改以手機App作為身分驗證機制,包括星展銀行、大華銀行、華僑銀行等皆已
推動相關措施。
這次何俊炘在演說中進一步揭露,這股趨勢正迅速擴散:馬來西亞更早提出分階段推動,
現已全面停用簡訊OTP;阿拉伯聯合大公國(UAE)則從2026年3月31日開始全面禁用簡訊
OTP,印度亦從4月1日起禁止銀行以簡訊OTP為唯一認證管道,並且要求銀行負擔賠償責任
。
因應詐騙與網路犯罪,馬來西亞、UAE與印度強化金融監管
我們進一步檢視相關消息,例如,馬來西亞國家銀行(BNM)從2022年就開始宣布,由於
詐騙與網路犯罪日益猖獗,因此,BNM要求高風險線上銀行作業,必須從簡訊OTP遷移至更
安全的驗證方式。後續當地銀行分階段遷移,包括馬來亞銀行在內的多家銀行已於2024年
9月完成過渡。
阿拉伯聯合大公國中央銀行(CBUAE)於2025年5月發布第2025/3057號通知,明訂自2026
年3月31日起,國內支付、國際轉帳及線上購物等金融交易,不得再將簡訊OTP、Email
OTP或靜態密碼作為獨立驗證手段,必須改以生物辨識、App推播或FIDO等強驗證方式取代
。
印度儲備銀行(RBI)於2025年9月祭出新法,其頒布的《數位支付交易認證機制指令2025
》,明定所有數位支付交易自2026年4月1日起,必須至少採用雙因素驗證(2FA),簡訊
OTP不得單獨作為驗證方式,須搭配生物辨識、App通證或裝置綁定等更安全機制,且若未
落實導致詐騙發生,銀行恐需負擔賠償責任。
綜觀多國政府汰除簡訊OTP的態勢,其實與FIDO聯盟目標一致
對於全球多國相繼禁用簡訊OTP的態勢,何俊炘分析指出,網路犯罪生態系長期將簡訊OTP
視為防禦破口。攻擊者常透過社交工程、釣魚網站誘騙受害者提供驗證碼,進而非法取得
雲端帳戶存取權限。
在此類威脅日益嚴峻之下,傳統簡訊OTP的多因素驗證(MFA)已顯得力不從心,這也使得
各國監管機構正加速淘汰簡訊OTP的使用。
而這樣的政策方向,也與FIDO聯盟推動的Passkey發展高度一致。何俊炘強調,為了因應
網釣攻擊,轉向具備抗網釣能力的強式MFA驗證機制已是必然。
整體來看,我們可以發現,這股汰換浪潮並非一蹴而就,早在前幾年舉行的FIDO研討會上
,即指出美國國家標準技術研究所(NIST)2016年發布的數位身分認證指南,已開始建議
企業不要再透過電信的簡訊與電話語音來執行二次驗證;後續美國CISA也在2019年特別發
布抗網釣MFA導入指引文件,明確將簡訊MFA定位為「過渡到強式MFA之前的臨時方案」;
時至今日,這股趨勢已轉化為全球性的監管行動,陸續有政府將禁用OTP列入政策。
至於未來還有哪些重要發展?隨著Passkey應用漸趨普及,讓用戶在帳號登入可防範網釣
攻擊,但何俊炘指出,在帳號登入之外,帳號註冊與帳號復原等流程也需要同步升級驗證
機制。何俊炘在演說中也提到FIDO聯盟成員正與電信業合作研發應對方案,例如電話號碼
驗證(PNV)等新技術,以及基於eSIM Passkey的技術方案,這也是全球產業正在持續探
討與發展的最新態勢。
作者:
Klauhal (赤)
2026-04-10 10:15:00只會研議
作者: SHENG2014 (上班族) 2026-04-10 10:22:00
驗證再多有何用?會給詐騙錢的還是一樣
OTP當初不又是說是為了防堵詐騙,結果堵住了嗎?你不用OTP要用什麼?有些銀行連APP都沒有,也不是人人都會用,到最後也是兩手一攤,受害的還是用戶
智障是沒藥醫的,騙智障就賺不完所以越智障的方式,成功率越高,因為會相信的就已經通過智障測試了
作者:
Klauhal (赤)
2026-04-10 10:55:00單純系統性教育失敗而已,人均教育還輸印度
作者:
cosmite (K)
2026-04-10 10:55:00台灣該跟上吧 現在落後了
作者:
aiyowaya (我叫 小 王 子)
2026-04-10 11:07:00以後就是要你綁一堆app和手機 然後用裡面的來otp式認證換手機換什麼都還要再認證,超麻煩來撇清責任就像atm存錢上的字一樣 本行為主那樣的業者心熊fintech
作者:
hihi29 (無)
2026-04-10 11:32:00APP 還得保證網路收訊很好 有些室內死角收訊不好不就GG
作者:
dowbane (咩咩背著羊丸丸)
2026-04-10 11:45:00不是所有驗證器都得連線才能驗證。離線用演算法跑出來的驗證碼一樣可以過。
渣打的實體opt好用 只是客戶打去報怨麻煩取消了XD*OTP
作者:
usedata (楓)
2026-04-10 13:39:00光銀行業不夠,台灣打詐把電信業搞的跟銀行業一樣,結果下場是只剩三雄,本末到底是什麼?上面那些天才能懂現在就不會這樣了
作者:
iueeng (Carl)
2026-04-10 14:29:00最近打銀行語音接真人客服,還沒接通客服前就多了一個要先驗證otp接通後 又要資料口頭對一次,那otp 為何要多這流程
有點不太理解 如果不用OTP 還有什麼驗證方式會比較方便
作者:
mmeow (呣伊噢)
2026-04-10 15:28:00文內有說啊: 改以生物辨識、App推播或FIDO等強驗證方式取代
可是到現在,政府還在大推OTP不是嗎?防詐廣告超強調
作者:
saedn (~自掛東南枝~)
2026-04-10 17:54:00所以沒有新手機就不能裝app也不能領錢了嗎?
作者:
premh104 (一聲不知百事不來)
2026-04-10 19:31:00智障不會被騙,別侮辱智障
看推文就知道為什麼還在用簡訊OTP了...估計一堆人google帳號完全沒開兩段驗證
作者:
usedata (楓)
2026-04-10 21:35:00不是造成,而是這樣環境下會有業者想踏入這行業嗎?新業者或寡佔企業評估經營直接就打退堂鼓了為了經營事業還得幫政府打詐,明明犯罪就讓犯罪者去承受就好了現在打詐不就是把責任轉嫁到業者和其他人身上嗎?犯錯的人又不是這些人反而要承擔上了這些責任
不需用推播,用臉部/指紋辨識通過就好 g社網站已經有了台灣光是搞手機號碼搭配身分證驗證 就好幾年了
作者: ppon (我可以跳著說嗎) 2026-04-11 10:04:00
作者:
legendrl (Legend R/L)
2026-04-11 10:21:00反正最後還不是交出"付款碼"了,再多的驗證有用嗎以為可以收錢,卻對"付款碼"上的文字視而不見,還怎麼擋
作者: starwood 2026-04-11 10:26:00
MID電信認證是不是可以代替簡訊認證?但在國外就不能用了。
簡訊OTP怎麼騙? 交出去? 亂交資料的再多驗證都沒用啊
作者:
ruve (黑鬍子哥)
2026-04-11 11:54:00手機被裝特殊app或軟體,簡訊明碼擷取到後傳出去
目前大部分都還是被詐騙網頁騙說要輸入驗證碼,比較少是樓上那種情況
如果要考慮被裝特殊APP 那就更不限定簡訊了 使用者端
作者:
svcc (DCS2vcc)
2026-04-11 19:08:00有一些智障很愛刷卡OTP
作者:
kkkk1234 (k_k_k_k)
2026-04-11 21:15:00不用OTP可以用Passkay啊 國泰3D驗證不就能用Passkey嗎雖然一堆內嵌瀏覽器無法用就是了
轉眼間OTP已經防不了詐騙,甚至變成詐騙集團的工具了,真讓人意外
作者:
temu2015 (TEMU2015)
2026-04-12 22:40:00富邦也開Passkey了,可以存密碼管理器但我還沒用過
作者:
royhsia (轉檔真是大哉問)
2026-04-13 09:00:00只不過去姊姊家登入官網支援服務,它就說我帳號異常已鎖定要我改密碼,這樣手機如果不見沒有其他裝置不就死光了
會不會以前像渣打匯豐那種離線產生密碼的反而是安全的呢?,還有看過日本一絕,把一堆兩位數字印成表格在卡片後,登入要某個欄位自己加減數字運算得出密碼,沒有那個表全部數字,幾乎很難猜中加減後是多少而且還不是連線的