Preise werden geladen…
🩸BEARISH

Hongkongs SFC schreibt OTP-Abschaffung für Krypto-Plattformen vor

Die 12-Monats-Frist fällt in eine Zeit steigender Spoofing-Angriffe auf in Hongkong lizenzierte Plattformen. Der Schritt definiert die Authentifizierungs-Baseline neu, die jede retail-orientierte Plattform erfüllen muss.

Die Hongkonger Wertpapier- und Futures-Aufsichtsbehörde hat lizenzierten Krypto-Plattformen und Online-Brokern eine Frist von 12 Monaten gesetzt, um Einmalpasswörter für Kunden-Logins schrittweise abzuschaffen. Als Grund nannte sie die zunehmenden Spoofing-Angriffe.

Warum das wichtig ist

Die Richtlinie markiert einen regulatorischen Wandel hin zu strengeren Authentifizierungsstandards im gesamten retail-orientierten Finanzsektor Hongkongs. Unternehmen müssen sicherere Verfahren einführen, darunter Access Keys und Device Binding, und gleichzeitig die Überwachung verdächtiger Login-, Handels- und Auszahlungsaktivitäten verschärfen. OTP-basierte Authentifizierung gilt seit Langem als bekannte Schwachstelle. Angreifer nutzen Phishing-Kits und SIM-Swap-Taktiken, um Einmalcodes abzufangen, die per SMS oder über Authenticator-Apps versendet werden.

Auswirkungen auf den Markt

Die 12-Monats-Frist zwingt Plattformen, ihre Onboarding- und Login-Infrastruktur grundlegend umzubauen. Das ist ein erheblicher engineering-technischer Aufwand und könnte die Konsolidierung unter kleineren Anbietern beschleunigen, die die Compliance-Kosten nicht stemmen können. Für Nutzer bedeutet der Übergang, dass gerätegebundene Credentials und Access Keys einen vertrauten, reibungsarmen Ablauf ersetzen. Das neue Verfahren lässt sich schwerer phishen, ist bei der Einrichtung aber etwas aufwendiger. Achten Sie auf die nächste SFC-Richtlinie dazu, was als konformer Access Key gilt, denn die Implementierungsstandards sind in der aktuellen Anordnung noch nicht definiert.

Häufig gestellte Fragen

  1. Was hat die Hongkonger SFC bezüglich OTP-Logins angeordnet?

    Die SFC hat lizenzierten Krypto-Plattformen und Online-Brokern eine Frist von 12 Monaten gesetzt, um die Einmalpasswort-Authentifizierung für Kunden-Logins schrittweise abzuschaffen. Als Grund werden zunehmende Spoofing-Angriffe auf OTP-basierte Systeme genannt.

  2. Welche Authentifizierungsmethoden müssen Unternehmen stattdessen einführen?

    Unternehmen müssen stärkere Authentifizierungsmethoden einführen, darunter Access Keys und Device Binding, und die Überwachung verdächtiger Login-, Handels- und Auszahlungsaktivitäten verstärken.

  3. Warum gelten OTPs als unsicher?

    OTP-Codes, die per SMS oder über Authenticator-Apps versendet werden, können durch Phishing-Kits und SIM-Swap-Angriffe abgefangen werden. So umgehen Angreifer den Loginschutz, ohne das eigentliche Passwort des Nutzers zu kennen.

  4. Welche Auswirkungen hat das auf Krypto-Nutzer in Hongkong?

    Nutzer wechseln von vertrauten reibungsarmen OTP-Abläufen zu gerätegebundenen Credentials und Access Keys. Diese sind schwerer zu phishen, erfordern aber möglicherweise einen aufwendigeren Ersteinrichtungsprozess.

  5. Welche Compliance-Frist gilt für Plattformen?

    Lizenzierte Krypto-Plattformen und Online-Broker müssen OTP-Logins innerhalb von 12 Monaten nach der SFC-Anordnung abschaffen. Betroffene Anbieter müssen die konforme Authentifizierung also bis Mitte 2027 umsetzen.

Quellenangabe
Aggregiert von TheBlock · Verifiziert · Zuletzt aktualisiert vor 42m
Original öffnen →