新加坡要求银行三个月内淘汰一次性密码

新加坡金融管理局(MAS)近日宣布一项新规定，将在未来三个月内逐步淘汰所有主要零售银行的一次性密码(OTP)认证方式。该举措由新加坡政府和新加坡银行公会(ABS)共同商定，旨在保护消费者免受网络钓鱼和其他诈骗行为的侵害。

“一次性密码作为一种多因素认证方式，于2000年代引入，旨在加强网络安全，”新加坡金融管理局公告中写道：“然而，随着科技发展和社交工程技巧的日益复杂，诈骗者现在可以更容易地通过网络钓鱼窃取客户的一次性密码。例如，诈骗者会搭建一个与真实银行网站高度相似的钓鱼网站。”

除了钓鱼网站外，一次性密码多年来一直是安卓恶意软件的目标，帮助恶意软件运营商绕过目标账户的双因素身份验证保护。

今年，谷歌针对“接收短信”、“读取短信”和“绑定通知”权限的滥用行为采取了更加严厉的措施，新加坡是首批获得这项新保护的国家之一。

此外，一次性密码还可能被中间人攻击拦截，如果是通过短信发送的一次性密码，则可能会被实施SIM卡交换攻击的坏人拦截。

据报道，新加坡银行将使用数字令牌代替一次性密码，客户需要在移动设备上激活数字令牌，没有激活数字令牌的客户仍可以像以前一样使用一次性密码。

据新加坡银行公会透露，该国三大银行星展银行、华侨银行和大华银行60%至90%的客户已经激活了数字令牌。

“客户将使用数字令牌对登录进行身份验证，客户无需再使用容易被诈骗者窃取的一次性密码，可以更好地防御网络钓鱼者和诈骗者的攻击。”新加坡金融管理局解释道。

参考链接：https://www.bleepingcomputer.com/news/security/banks-in-singapore-to-phase-out-one-time-passwords-in-3-months/