A Securities and Futures Commission de Hong Kong ordenou às plataformas de cripto licenciadas e às corretoras online que eliminem progressivamente as palavras-passe de uso único no login de clientes no prazo de 12 meses, invocando o aumento de ataques de spoofing.
Porquê importa
A diretiva assinala uma mudança regulatória no sentido de padrões de autenticação mais robustos em todo o setor financeiro de Hong Kong dirigido ao público retail. As empresas têm de adotar métodos mais seguros, incluindo access keys e device binding, ao mesmo tempo que apertam a monitorização de atividade suspeita de login, negociação e levantamentos. A autenticação baseada em OTP há muito que é um vetor de vulnerabilidade conhecido, com atacantes a usar kits de phishing e táticas de SIM-swap para intercetar códigos de uso único enviados por SMS ou aplicações autenticadoras.
Impacto no mercado
O prazo de 12 meses obriga as plataformas a reformular a sua infraestrutura de onboarding e login, um esforço de engenharia nada trivial que pode acelerar a consolidação entre operadores mais pequenos, incapazes de absorver os custos de conformidade. Para os utilizadores, a transição significa que as credenciais vinculadas ao dispositivo e as access keys substituem um fluxo familiar e de baixa fricção por outro mais difícil de phishing, mas ligeiramente mais pesado de configurar. Fique atento à próxima ronda de orientações da SFC sobre o que conta como access key conforme, já que os padrões de implementação continuam por definir na diretiva atual.
Perguntas frequentes
-
O que ordenou a SFC de Hong Kong relativamente aos logins com OTP?
A SFC ordenou às plataformas de cripto licenciadas e às corretoras online que eliminem progressivamente a autenticação por palavra-passe de uso único no login de clientes no prazo de 12 meses, citando o aumento de ataques de spoofing contra sistemas baseados em OTP.
-
Que métodos de autenticação devem as empresas adotar em alternativa?
As empresas devem adotar métodos de autenticação mais robustos, incluindo access keys e device binding, e reforçar a monitorização de atividade suspeita de login, negociação e levantamentos.
-
Porque é que os OTP são considerados vulneráveis?
Os códigos OTP enviados por SMS ou apps autenticadoras podem ser intercetados através de kits de phishing e ataques de SIM-swap, permitindo que os atacantes contornem as proteções de login sem precisarem da palavra-passe real do utilizador.
-
Como é que isto afeta os utilizadores de cripto em Hong Kong?
Os utilizadores vão passar de fluxos familiares de OTP, de baixa fricção, para credenciais vinculadas ao dispositivo e access keys, que são mais difíceis de phishing, mas podem exigir um processo inicial de configuração mais trabalhoso.
-
Qual é o prazo de conformidade para as plataformas?
As plataformas de cripto licenciadas e as corretoras online têm de eliminar os logins com OTP no prazo de 12 meses após a diretiva da SFC, o que significa que as plataformas afetadas devem implementar autenticação conforme até meados de 2027.
TheBlock