A carregar preços…
🩸BEARISH

SFC de Hong Kong ordena fim dos logins OTP em cripto

O prazo de 12 meses surge numa altura em que os ataques de spoofing aumentam nas plataformas licenciadas em Hong Kong; a medida redefine a base de autenticação que cada plataforma dirigida ao público retail tem de cumprir.

A Securities and Futures Commission de Hong Kong ordenou às plataformas de cripto licenciadas e às corretoras online que eliminem progressivamente as palavras-passe de uso único no login de clientes no prazo de 12 meses, invocando o aumento de ataques de spoofing.

Porquê importa

A diretiva assinala uma mudança regulatória no sentido de padrões de autenticação mais robustos em todo o setor financeiro de Hong Kong dirigido ao público retail. As empresas têm de adotar métodos mais seguros, incluindo access keys e device binding, ao mesmo tempo que apertam a monitorização de atividade suspeita de login, negociação e levantamentos. A autenticação baseada em OTP há muito que é um vetor de vulnerabilidade conhecido, com atacantes a usar kits de phishing e táticas de SIM-swap para intercetar códigos de uso único enviados por SMS ou aplicações autenticadoras.

Impacto no mercado

O prazo de 12 meses obriga as plataformas a reformular a sua infraestrutura de onboarding e login, um esforço de engenharia nada trivial que pode acelerar a consolidação entre operadores mais pequenos, incapazes de absorver os custos de conformidade. Para os utilizadores, a transição significa que as credenciais vinculadas ao dispositivo e as access keys substituem um fluxo familiar e de baixa fricção por outro mais difícil de phishing, mas ligeiramente mais pesado de configurar. Fique atento à próxima ronda de orientações da SFC sobre o que conta como access key conforme, já que os padrões de implementação continuam por definir na diretiva atual.

Perguntas frequentes

  1. O que ordenou a SFC de Hong Kong relativamente aos logins com OTP?

    A SFC ordenou às plataformas de cripto licenciadas e às corretoras online que eliminem progressivamente a autenticação por palavra-passe de uso único no login de clientes no prazo de 12 meses, citando o aumento de ataques de spoofing contra sistemas baseados em OTP.

  2. Que métodos de autenticação devem as empresas adotar em alternativa?

    As empresas devem adotar métodos de autenticação mais robustos, incluindo access keys e device binding, e reforçar a monitorização de atividade suspeita de login, negociação e levantamentos.

  3. Porque é que os OTP são considerados vulneráveis?

    Os códigos OTP enviados por SMS ou apps autenticadoras podem ser intercetados através de kits de phishing e ataques de SIM-swap, permitindo que os atacantes contornem as proteções de login sem precisarem da palavra-passe real do utilizador.

  4. Como é que isto afeta os utilizadores de cripto em Hong Kong?

    Os utilizadores vão passar de fluxos familiares de OTP, de baixa fricção, para credenciais vinculadas ao dispositivo e access keys, que são mais difíceis de phishing, mas podem exigir um processo inicial de configuração mais trabalhoso.

  5. Qual é o prazo de conformidade para as plataformas?

    As plataformas de cripto licenciadas e as corretoras online têm de eliminar os logins com OTP no prazo de 12 meses após a diretiva da SFC, o que significa que as plataformas afetadas devem implementar autenticação conforme até meados de 2027.

Atribuição da fonte
Agregado de TheBlock · Verificado · Última atualização há 45m
Abrir original →