--- url: 'https://www.corbado.com/zh/blog/japan-fsa-passkeys-phishing-resistant-mfa' title: '日本金融厅与通行密钥:推动防网络钓鱼的 MFA (2026)' description: '了解日本金融厅 (FSA) 2026 年 4 月 16 日的活动对通行密钥、防网络钓鱼的 MFA、SMS OTP 替代方案以及金融服务身份验证策略的真正意义。' lang: 'zh' author: 'Vincent Delitz' date: '2026-05-20T09:40:32.170Z' lastModified: '2026-05-20T09:58:24.282Z' keywords: '日本金融厅通行密钥, 防网络钓鱼 MFA 日本, 日本金融厅防钓鱼身份验证, 日本金融监管机构通行密钥, 日本 SMS OTP 替代方案, 日本银行业通行密钥 2026, Japan FSA passkeys, phishing resistant MFA Japan, Japan FSA phishing resistant authentication, Japan financial regulator passkeys, Japan SMS OTP replacement, Japan banki' category: 'Passkeys Strategy' --- # 日本金融厅与通行密钥:推动防网络钓鱼的 MFA (2026) ## Key Facts - 在 **2026 年 4 月 16 日**,日本**金融厅 (FSA)** 联合银行、证券协会和**警察厅**,围绕**防网络钓鱼的 MFA** 发起了一项**公众意识活动**,明确将**通行密钥 (passkeys)** 和 **PKI** 列为比传统密码流程更强大的选项。 - 该活动发布了 **5 份官方 PDF 宣传册**,涵盖防网络钓鱼的 MFA 和防网络钓鱼电子邮件意识,另外还制作了 **4 部宣传视频**(以剧情片和漫画形式呈现),这表明该信息旨在整个金融生态系统中广泛向公众传播,而不仅限于少数政策受众。 - 活动材料指出,**电子邮件和 SMS OTP 对抗实时网络钓鱼、中间人攻击和恶意软件时不够有效**,这比通用的“使用 MFA”建议要强烈得多。 - 该页面**不是一项独立的新法律或截止日期**,但它仍然是一个重要信号:它表明日本的监管机构现在公开将目标状态设定为**防网络钓鱼的身份验证**,而不仅仅是“更多的 MFA”。 - 截至 2025 年底的行业报告指出,日本的 **FIDO 日本工作组**已有 **64 家组织**参与,并且有 **50 多家通行密钥提供商**已经上线或计划上线,这表明金融厅是在推动一个已经加速发展的市场,而不是引入一个纯理论概念。 - 对于高风险的金融身份验证,日本可能会收敛于一种**双通道模式**:一方面是**对消费者友好的通行密钥**,另一方面是 **PKI / 基于证书的身份验证**,包括可能使用的 **My Number 卡**凭证。 ## 1. 简介:为什么 2026 年 4 月 16 日的 FSA 页面很重要 日本 2026 年 4 月 16 日的 FSA(金融厅)页面之所以重要,是因为它公开地将目标从通用的 MFA 转移到了防[网络钓鱼](https://www.corbado.com/glossary/phishing)的身份验证上。该页面将通行密钥和 PKI 命名为首选示例,拒绝将电子邮件和 SMS OTP 视为对现代[网络钓鱼](https://www.corbado.com/glossary/phishing)的充分保护,并将仅限行业的合规性讨论转变为面向消费者的市场信号。 日本 2026 年 4 月 16 日的 [FSA 公告](https://www.fsa.go.jp/news/r7/sonota/20260416-2/20260416-2.html)乍看之下并不起眼。它不是一项新法律,也不是直接的执法行动,更没有发布新的合规截止日期。相反,它引入了一项提供可下载宣传册和海报的公众活动。 在这里,**金融厅 (FSA)** 所做的是**将对话从行业/监管渠道转移到了公共领域**。监管机构不再仅仅告诉银行、经纪商和行业协会加强身份验证,现在它明确告诉普通用户: - 仅凭密码的身份验证是薄弱的, - 电子邮件和 SMS OTP 已经不再足够, - 用户应首选**防网络钓鱼的 MFA**,并且 - **通行密钥**和 **PKI 身份验证**是正确的方向。 这是基调上的重大变化。在像[银行业](https://www.corbado.com/passkeys-for-banking)这样受到高度监管的行业中,基调往往会在下一项正式的法规文本出台之前很久,就转化为实施压力。 这场公众活动也并非凭空出现。在其自己的 [2025 年 6 月英文简报 PDF](https://www.fsa.go.jp/en/press_releases/issues/202506/02.pdf) 中,FSA 就已经警告称,**仅靠 ID/密码的身份验证**是脆弱的,并且**通过电子邮件或 SMS 发送的一次性密码在防范网络钓鱼时不够有效**。与此同时,2025 年底的行业报道描述了日本市场的情况:**FIDO 日本工作组有 64 家组织**参与,并且有 **50 多家通行密钥提供商**已经上线或计划上线,这表明在 2026 年 4 月公众活动之前,部署势头就已经切实存在([CNET 日本报道](https://japan.cnet.com/article/35241293/))。要更全面地了解日本的银行、平台和监管机构如何向无密码过渡,请参阅我们的[日本通行密钥概述](https://www.corbado.com/blog/passkeys-japan-overview)。 ## 2. FSA 在 2026 年 4 月 16 日实际发布了什么 4 月 16 日的页面是一个协调一致的公众活动包,而不是一份单一的新闻稿。它捆绑了 9 个可重复使用的资产(5 份 PDF 宣传册和 4 部宣传视频),将银行、证券集团和警察围绕相同的信息联合起来,并告诉消费者,对于高风险的金融旅程,应使用防网络钓鱼的 MFA 取代对密码加 OTP 的依赖。 官方页面链接了 **5 份 PDF 宣传册**,组织成概述加上两个主题(防网络钓鱼的 MFA 和防网络钓鱼电子邮件意识)的详细版本: - [概述 (概要版)](https://www.fsa.go.jp/news/r7/sonota/20260416-2/01.pdf) - [防网络钓鱼的 MFA,概述](https://www.fsa.go.jp/news/r7/sonota/20260416-2/02.pdf) - [防网络钓鱼的 MFA,详细版](https://www.fsa.go.jp/news/r7/sonota/20260416-2/03.pdf) - [防网络钓鱼电子邮件意识,概述](https://www.fsa.go.jp/news/r7/sonota/20260416-2/04.pdf) - [防网络钓鱼电子邮件意识,详细版](https://www.fsa.go.jp/news/r7/sonota/20260416-2/05.pdf) 除了 PDF 之外,该页面还推广了同一主题的 **4 部宣传视频**,以剧情片和漫画形式制作,以便该活动能够触及不同年龄组和阅读环境,而不仅限于政策读者。 该活动被定位为 FSA 与以下机构的共同努力: - 全国性[银行业](https://www.corbado.com/passkeys-for-banking)协会, - 信用金库 (shinkin banks), - 信用合作社, - 劳工银行, - 证券行业集团,以及 - **警察厅**。 这种广度很重要。这不是一个专门针对证券的警告。它是跨越日本[零售](https://www.corbado.com/passkeys-for-e-commerce)金融生态系统的协调一致的信息。 ### 2.1 核心政策信息 该活动中使用的关键术语是 **`フィッシングに耐性のある多要素認証`**,意思是**防网络钓鱼的多因素身份验证**。 宣传册解释说,[传统身份验证](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys)已经落后于当前的威胁模型: - **密码**可能会被钓鱼或重复使用, - **电子邮件 / SMS OTP** 可能会被实时窃取, - **恶意软件**可以[监视](https://www.corbado.com/blog/how-to-use-passkeys-apple-watch)或操纵用户会话,以及 - 假冒网站可以模仿真实品牌的程度如此之高,以至于目视检查不再是可靠的防御措施。 随后,该活动提出了更强身份验证的**两个主要示例**: 1. **通行密钥 (Passkeys)** 2. **基于 PKI 的身份验证** 第二部分很重要。日本并没有将其纯粹定位为“每个人都必须使用[通行密钥](https://www.corbado.com/blog/passkeys-vs-passwords)”。监管机构将预期结果定为**防网络钓鱼的身份验证**,而通行密钥是实现这一目标最明确的面向消费者的途径之一。 为了使这种区别更加具体,FSA 的框架隐式地对身份验证方法进行了如下区分: | 方法 | 防网络钓鱼? | 用户必须手动传输秘密吗? | 在日本的战略适配度 | | -------------------------- | ------------------- | ------------------------------------- | -------------------------------------------------------------- | | 仅密码 | 否 | 是 | 对于高风险流程已不再站得住脚 | | 电子邮件 OTP / SMS OTP | 否 | 是 | 仅作过渡,对抗中继攻击能力弱 | | 专有应用程序软令牌 | 部分 | 通常是,或者基于审批的 | 优于 OTP,但仍不等同于通行密钥 | | 通行密钥 | 是 | 否 | 最佳大众市场消费者路径 | | PKI / 证书身份验证 | 是 | 否 | 针对更高保证要求或身份绑定用例的强有力选项 | ### 2.2 该活动也涉及行为方面 材料并没有只关注身份验证技术。他们还告诉用户: - 避免从电子邮件或 SMS 内的链接登录, - 使用**书签**或官方**应用程序**, - 不信任陌生的屏幕和异常的提示, - 偏好官方应用商店,并且 - 警惕浏览器中的奇怪指令,例如意外的键盘快捷键。 换句话说,FSA 并没有假装仅靠身份验证技术就能解决整个问题。它正在将**技术对策**与**行为习惯**结合起来。 ## 3. 这里什么是新的,什么不是 4 月 16 日的页面之所以是新的,是因为它改变了公众的认知框架,而不是因为它创建了一项新的独立法律。真正的进展是,日本的监管机构现在公开解释为什么通行密钥和 PKI 比密码加 OTP 的流程更好,从而为金融机构围绕防网络钓鱼重新设计身份验证提供了更有力的支持。 ### 3.1 什么是真正的新内容 4 月 16 日的页面至少在四个方面是新的: #### 3.1.1 通行密钥现在已成为监管机构公共词汇的一部分 许多监管机构用抽象的术语谈论 MFA。日本 FSA 正在做一些更具体的事情:它在告诉公众,**通行密钥**是防御[网络钓鱼](https://www.corbado.com/glossary/phishing)和冒充攻击的更强防御手段,优于旧的登录模式。 这很重要,因为公开点名会改变产品决策。一旦监管机构公开提到通行密钥,金融机构就可以在内部更容易地证明投资的合理性: - 合规团队可以引用监管机构的意见, - 风险团队可以将通行密钥与网络钓鱼损失的减少直接联系起来, - 产品团队可以将通行密钥定位为符合官方指南,而不是一个可选的创新项目。 #### 3.1.2 FSA 正在公开降级 OTP 这并不是一个微妙的暗示。材料指出,通过电子邮件或 SMS 传递的 OTP 仍然可能被以下方式击败: - 实时网络钓鱼, - 中间人拦截,以及 - [恶意软件](https://www.corbado.com/glossary/malware)辅助窃取。 这比一般说 OTP“不太安全”的最佳实践说明要强烈得多。这是监管机构在告诉公众,基于 OTP 的 MFA **没有**提供有意义的防网络钓鱼能力。 #### 3.1.3 信息是跨行业的 日本并没有将此限制在一个垂直领域。银行、经纪商和其他金融行为者都接收到了相同的公共信号。这增加了更广泛的生态系统走向正常化的可能性: - 银行可以培训用户期望使用更强的登录方式, - 经纪商可以将更强的身份验证作为高风险操作的默认设置, - 用户将在各个机构遇到类似的措辞,而不是相互矛盾的解释。 #### 3.1.4 FSA 直接教育消费者 这是最重要的一点。 这之间有着巨大的差异: - 监管机构告诉金融机构他们应该实施什么,与 - 监管机构告诉客户现在的安全身份验证应该是什么样子。 后一项举措降低了推行的政治风险和用户体验风险。银行或经纪商现在可以说:“这不仅仅是我们的想法;这是监管机构本身提倡的方向。” ### 3.2 什么不是新内容 该页面**本身并未**创建: - 新的独立强制性要求, - 新的实施截止日期, - 通行密钥的详细技术规范, - 宣布通行密钥是唯一可接受的技术的声明,或者 - 直接与此活动挂钩的制裁清单。 这种区别很重要,因为许多读者会将公告夸大为“日本刚刚强制要求使用通行密钥”。这不够准确。 更好的解读是: > 日本的监管机构现在公开支持防网络钓鱼的身份验证模式,而通行密钥是监管机构认可的、面向消费者的示例之一。 即使它本身不是一项新规则,但这在战略上仍然非常重要。 ## 4. 为什么 FSA 关注防网络钓鱼的 MFA 而不是通用 MFA 是正确的 FSA 是正确的,因为通用 MFA 仍然保留了主要的欺诈路径。密码加 OTP 只是增加了一个可重复使用的秘密,而防网络钓鱼的 MFA 改变了协议,因此即使假冒网站骗取了用户的尝试,也无法完成身份验证。 ### 4.1 OTP 解决的是昨天的问题 SMS 和电子邮件 OTP 的设计是为了使凭据重放变得更加困难。它们可以防御一些较旧的攻击模式,但现代攻击者不需要在几小时后重放验证码。他们会实时窃取它。在一个[日本的密码重用](https://www.corbado.com/blog/password-reuse-japan)仍然极其普遍的市场中,这一点尤为重要,这意味着在 OTP 步骤开始之前,第一个因素通常就已经被攻破了。 这是**实时网络钓鱼**的核心问题: 1. 受害者进入一个假冒网站。 2. 受害者输入用户名和密码。 3. 攻击者将这些凭据转发到真实网站。 4. 真实网站请求提供 OTP。 5. 假冒网站要求受害者提供 OTP。 6. 攻击者立即使用它完成真实登录。 在那个工作流中,OTP 并没有阻止攻击者。它只是成为受害者可能被欺骗而泄露的另一个秘密。 ### 4.2 通行密钥改变了信任模型 [通行密钥](https://www.corbado.com/blog/passkeys-phishing-resistant)的工作方式不同,因为它们是**与来源绑定的 (origin-bound)**。该凭据只能在与通行密钥的[依赖方 (relying party)](https://www.corbado.com/glossary/relying-party) 关联的合法网站上使用。这种行为的技术基础在于 [W3C WebAuthn 规范](https://www.w3.org/TR/webauthn-3/)和 [FIDO 联盟的通行密钥文档](https://fidoalliance.org/passkeys/)中,两者都描述了与站点绑定的质询-响应模型,该模型可防止虚假域重用为真实域创建的凭据。 这意味着假冒域不能像要求输入密码或 OTP 那样,简单地要求用户“输入通行密钥”。没有什么可重用的东西可以输入,并且浏览器/操作系统在允许身份验证继续之前会检查站点上下文。 这就是为什么通行密钥是防网络钓鱼身份验证的核心: - **没有共享的秘密**需要重新输入, - 不要求用户手动传输可重复使用的验证码, - 私钥永远不会离开用户设备,并且 - [身份验证器](https://www.corbado.com/glossary/authenticator)被绑定到合法的来源 (origin)。 这也是为什么 4 月 16 日的活动如此重要。FSA 不仅是在说“使用更好的 MFA”。它指出了一种身份验证方法,即网络钓鱼网站在协议层就会失败,而不是要求用户手动检测欺诈。 ### 4.3 PKI 同样重要 日本的活动也强调了 **PKI**,并明确提到可以在身份验证环境中使用 **My Number 卡**凭证。 这并非偶然。与许多西方消费者市场相比,日本在面向证书的身份模型方面有着更深厚的制度历史。因此,日本可能的最终状态并不是“仅限通行密钥”。它更接近于: - 用于主流消费者登录和增强 (step-up) 流程的**通行密钥**, - 用于更强保证或类似[公共部门](https://www.corbado.com/passkeys-for-public-sector)身份证明用例的 **PKI / 基于证书的身份验证**, - 以及针对**防网络钓鱼结果**的更广泛的监管偏好。 对于产品团队来说,这意味着正确的战略对比不是“通行密钥 vs 密码”。它更像是: - 消费者登录:通行密钥 vs 电子邮件/SMS OTP, - [银行业](https://www.corbado.com/passkeys-for-banking)用户体验:通行密钥 vs 应用内软令牌, - 保证和[身份证明](https://www.corbado.com/blog/digital-identity-guide)层:通行密钥 vs PKI。 ## 5. 为什么 4 月 16 日在结合日本早期监管方向时显得更加重要 4 月 16 日之所以重要,是因为它将一种监管趋势转化为了一种公共规范。在 FSA 花了 2025 年警告仅有密码和过度依赖 OTP 的身份验证太弱之后,2026 年 4 月的活动直接告诉消费者替代方案应该是什么样子:使用通行密钥、PKI 或两者的防网络钓鱼 MFA。 到 2025 年和 2026 年初,在证券和其他在线[金融服务](https://www.corbado.com/passkeys-for-banking)中发生与网络钓鱼相关的账户妥协事件后,日本的金融部门已经开始向更严格的控制迈进。背景是日本发生了一连串引人注目的[数据泄露事件](https://www.corbado.com/blog/data-breaches-japan),这些事件使得账户接管和凭据盗窃一直停留在监管议程上。在相关的 FSA 材料和后来关于指南变更的评论中,监管机构更加敏锐地区分了: - **“某种程度的 MFA”**,和 - **防网络钓鱼的 MFA**。 这种差异决定了一切。 通用的 MFA 仍然可能让用户容易受到以下威胁的攻击: - OTP 盗窃, - 假冒网站转发, - 推送疲劳 / 滥用审批, - 受损的端点, - 薄弱的恢复流程。 相比之下,防网络钓鱼的 MFA 明确试图阻断核心的欺诈路径,而不是仅仅增加一个障碍。因此,4 月 16 日的活动最好被视为日本已经形成的一个更大方向的**公开实施**: - [金融服务](https://www.corbado.com/passkeys-for-banking)不应仅仅增加更多摩擦, - 他们应该转向破坏网络钓鱼经济学的身份验证方法。 乍一看,发展进程在不到一年的时间里跨越了四个里程碑: 从信息源来看,相同的发展进程如下: - **2025 年 6 月:** [FSA 的英文问题摘要](https://www.fsa.go.jp/en/press_releases/issues/202506/02.pdf)指出,仅靠密码的身份验证是薄弱的,而且电子邮件/SMS OTP 在防范网络钓鱼时不够有效。 - **2025 年 7 月 15 日:** [JSDA 指南草案](https://www.jsda.or.jp/about/public/bosyu/files/20250715_guideline_public.pdf)推动对敏感的证券操作(如登录、提款和银行账户变更)使用防网络钓鱼的 MFA。 - **2025 年末:** 市场报告描述了日本有 **50 多家通行密钥提供商**和 **64 家 FIDO 日本工作组组织**([CNET 日本](https://japan.cnet.com/article/35241293/))。 - **2026 年 4 月 16 日:** [FSA 公众活动](https://www.fsa.go.jp/news/r7/sonota/20260416-2/20260416-2.html)直接向消费者传达了相同的防网络钓鱼信息。 从这个意义上说,该页面的意义远不止看起来的“意识营销”。它是更深层次的监管和生态系统转变的公开面貌。 ## 6. 这对日本的银行、经纪商和金融科技公司意味着什么 日本的金融机构应该将 4 月 16 日的活动视为提高了登录、恢复和高风险账户操作的最低期望。一旦监管机构公开表示电子邮件和 SMS OTP 不够有效,那么依赖于薄弱后备方案的 MFA,就更难从欺诈、产品和监管的角度进行辩护了。 ### 6.1 “提供 MFA”已经不够了 提供 SMS OTP 作为后备方案,同时将其体验宣传为“安全的 MFA”,正变得越来越难以自圆其说。监管机构的公共信息现在提出了更严苛的区别:**防网络钓鱼的 MFA** 应该是最终目标。更广泛的关于[强制要求包含通行密钥的 MFA](https://www.corbado.com/blog/mandating-mfa) 的行业举措也指向了同一方向。 这意味着组织应评估: - 哪里仍然存在 SMS/电子邮件 OTP, - 哪些流程具有高风险, - 通行密钥是可选的还是被真正鼓励使用的, - 对容易被钓鱼的后备方法的依赖程度还有多大。 ### 6.2 高风险旅程需要特殊处理 最敏感的旅程不仅仅是登录。在实践中,机构应该[审查每一个容易被钓鱼的攻击面](https://www.corbado.com/blog/passkeys-enterprise-guide-initial-assessment): - 登录, - 支付 / 提款, - 目标账户变更, - 恢复和设备重新绑定, - 个人资料和联系方式变更, - API 或聚合访问。 许多机构对登录页面的保护依然严于[账户恢复](https://www.corbado.com/blog/passkey-fallback-recovery)路径。这是本末倒置的。攻击者会利用可用的最薄弱途径。 ### 6.3 恢复成为一个战略性产品问题 一旦防网络钓鱼的身份验证成为基准,恢复就会成为设计中最难的部分。 如果恢复机制回退到薄弱的电子邮件流程、社会工程学或重新引入容易被钓鱼步骤的支持程序,通行密钥的推行在操作层面上仍然可能失败。日本的 FSA 活动并没有解决那个设计挑战,但它使其变得不容忽视。 ### 6.4 “官方访问”的用户体验应成为产品设计的一部分 宣传册中一个容易被忽视的细节是对**书签**和**官方应用程序**的推动。这暗示了一个更广泛的产品经验: - 仅靠品牌推广是不够的, - 登录入口点很重要, - 安全的路由很重要, - 反网络钓鱼的用户体验是身份验证技术栈的一部分。 对于金融机构而言,这意味着: - [突出基于应用程序的登录路径](https://www.corbado.com/blog/passkey-login-best-practices), - 减少对电子邮件链接的依赖, - 清楚地解释官方登录的起点在哪里, - 将入站链接的卫生状况视为防止欺诈的一部分。 ### 6.5 软令牌不等同于通行密钥 一些机构会通过加强基于应用程序的审批来作为回应,并宣称问题已解决。这可以提高安全性,但并不等同于[通行密钥](https://www.corbado.com/blog/passkeys-vs-2fa-security)。 为什么? - 许多专有的软令牌流程仍然依赖于用户去区分真实网站和虚假网站。 - 一些流程仍然可以通过实时中继或审批操纵被滥用。 - 切换应用程序和处理验证码增加了摩擦和混乱。 通行密钥之所以重要,是因为它们同时降低了**网络钓鱼风险**和**用户付出的努力**。 ### 6.6 竞争对手的门槛刚刚被提高了 一旦 FSA 开始直接教育消费者,落后者将变得更加显眼。一家仍然依赖于密码 + OTP 的公司很快就会显得比那些提供以下内容的同行过时: - 通行密钥, - 更强大的绑定设备的身份验证, - 或者品牌清晰、防网络钓鱼的登录体验。 这改变了[竞争格局](https://www.corbado.com/blog/passkey-adoption-business-case),而不仅仅是合规格局。 **其中大部分并不是新领域。**《[企业通行密钥指南](https://www.corbado.com/blog/introducing-passkeys-large-scale-overview)》逐步介绍了[大规模](https://www.corbado.com/blog/introducing-passkeys-large-scale-overview)消费者部署的评估、[利益相关者](https://www.corbado.com/blog/passkeys-stakeholder)对齐、集成和测试,而《[银行在部署通行密钥时常犯的 10 个错误](https://www.corbado.com/blog/passkey-deployment-mistakes-banks)》汇总了匆忙推出银行业务时不断重复的失败模式。FSA 活动增加的是紧迫性和公众支持,而不是新的剧本。 ## 7. 这对通行密钥具体意味着什么 日本 4 月 16 日的活动在三个具体方面为通行密钥提供了帮助:它将通行密钥定义为控制欺诈的手段,而不是便利功能;它扩大了内部[利益相关者](https://www.corbado.com/blog/passkeys-stakeholder)对部署的支持;并且它教育消费者,通行密钥是监管机构现在青睐的安全金融登录模型的一部分。 ### 7.1 它将通行密钥重新定义为欺诈控制,而不仅仅是便利 许多面向消费者的通行密钥部署被宣传为: - 更容易的登录, - 无需记住密码, - 更快的登录。 FSA 的框架要尖锐得多: - 通行密钥是对防范**冒充**的防御手段, - 通行密钥有助于阻止**网络钓鱼**, - 通行密钥减少了对**可重复使用秘密**的依赖。 这正是银行和经纪商在内部需要的框架。在减少欺诈方面,安全预算比仅仅为了便利更容易获得批准。 ### 7.2 它扩大了金融机构内部通行密钥的受众 一个身份验证项目通常需要赢得以下部门的支持: - 产品, - 欺诈控制, - 安全, - 合规, - 法务, - 运营, - 和客服。 FSA 页面给了这些群体中每一个去关心的理由: - **欺诈控制部门**看到了网络钓鱼减少, - **安全部门**看到了与来源绑定的密码学, - **合规部门**看到了与监管机构保持一致, - **运营部门**看到了更少的 OTP 摩擦, - **产品部门**看到了更有力的消费者故事。 ### 7.3 它有助于向普通用户普及通行密钥 这可能是最持久的影响。 当国家监管机构、金融协会和警方都将通行密钥作为一种推荐的防御手段时,用户的观念就会改变。产品团队不再需要将通行密钥作为一个奇怪的新功能来介绍。他们可以把其介绍为整个生态系统正在融合的一种安全方法。 这很重要,因为推行的成功通常较少依赖于密码学,而更多依赖于用户是否足够信任新流程从而愿意采用它。 ### 7.4 它将通行密钥的受众扩展到精通技术的人群之外 FSA 活动不仅只涉及精通技术的消费者使用的银行应用。它涵盖了**证券账户**、劳工银行、信用金库和信用合作社,这些都是年长和不太精通技术的客户日常依赖的日本金融系统的组成部分。这对于通行密钥具有战略意义。一旦这些客户通过他们的经纪商、劳工银行或当地合作社接触到通行密钥,对通行密钥的熟悉度就会远远扩展到早期采用者群体之外,并开始在整个客户群中实现普及。对于日本的消费者[通行密钥采用](https://www.corbado.com/blog/passkey-adoption-business-case)而言,这是一种任何纯粹的营销预算都买不到的顺风。 但这有利也有弊。更广泛的受众群体也意味着需要面对比面向技术前沿群体更广泛的设备、操作系统版本、应用内浏览器和凭据管理器行为。《[原生应用程序通行密钥错误](https://www.corbado.com/blog/native-app-passkey-errors)》正是在此成为了生产级关注的问题,而不是边缘情况。响应 FSA 信号的银行和经纪商应该从第一天起就计划应对设备和应用程序环境的多样性,而不是在强制执行后的支持请求激增时才发现它。 ## 8. 日本的做法给其他国家带来的启示 日本正在成为一个有用的案例研究,因为它依次结合了监管、公共教育和生态系统部署。其他市场通常在不向用户解释新安全模型的情况下修订指南,这减缓了采用速度,并使更强的身份验证看起来像是孤立的产品摩擦,而不是系统范围内的升级。 ### 8.1 公众活动可以加速技术迁移 许多监管机构修订了指南,但在公众教育方面停滞不前。日本正在展示一种不同的模式: 1. 欺诈压力上升, 2. 监管方向强化, 3. 监管机构开始公开提及防网络钓鱼方法, 4. 生态系统参与者获得了支持,能够更快地推行这些方法。 这种顺序可以以纯政策文本通常无法做到的方式减少推行摩擦。 ### 8.2 目标应该是防网络钓鱼,而不仅仅是替换 OTP 一些国家过于狭隘地关注“替换 SMS OTP”。这有所帮助,但并不完整。 日本的活动框架更好,因为它提出了更根本的问题: > 当用户正在查看假冒网站或处于受损会话时,这种方法还能被滥用吗? 这才是正确的检验标准。 ### 8.3 消费者身份验证最终可能会是混合式的 日本对通行密钥和 PKI 的同时强调暗示了一个更广泛的事实,许多市场将会重新发现: - 通行密钥非常适合大众消费者的采用, - PKI 对于高保证要求的身份证明仍然很重要, - 最强大的生态系统将结合两者,而不是强迫单一技术包揽一切。 这在具有国家[数字身份](https://www.corbado.com/blog/digital-identity-guide)计划的受监管行业中尤其相关。 ## 9. 响应此信号的团队的实用路线图 对 4 月 16 日信号的正确回应是分阶段迁移,而不是仓促的替换计划。团队应首先映射容易被钓鱼的旅程,然后决定哪里能立即使用通行密钥,哪里仍然需要 PKI 或更强的身份绑定,以及如何重新设计恢复流程而不至于重新制造容易被钓鱼的薄弱漏洞。 ### 9.1 第一步:映射所有容易被钓鱼的身份验证面 从以下方面开始: - 登录, - 恢复, - 账户变更, - 交易确认, - 关联账户变更, - 电子邮件链接入口点, - 呼叫中心覆盖流程。 ### 9.2 第二步:确定通行密钥可以立即适用的场景 通行密钥通常最适合以下情况: - [零售](https://www.corbado.com/passkeys-for-e-commerce)登录, - 频繁重新进行身份验证, - 第一方应用程序/Web 旅程, - 消费者浏览器会话。 ### 9.3 第三步:决定仍然需要 PKI 或更强身份绑定的场景 有些流程可能需要: - 基于证书的身份证明, - 国家 ID 绑定, - 围绕敏感变更的更强保证, - 超出消费者通行密钥的硬件或组织控制。 ### 9.4 第四步:在强制采用之前重新设计恢复机制 不要在没有设计强大恢复机制的情况下启动强身份验证。否则,组织只会通过客户服务和异常处理重新制造容易被钓鱼的绕过方案。 ### 9.5 第五步:教用户官方访问是如何运作的 FSA 关于“使用书签 / 使用官方应用程序”的信息应该成为用户引导和客户服务的一部分: - 展示安全的路径, - 解释为什么登录链接是有风险的, - 让官方访问路径容易记住, - 减少对不安全的便利捷径的依赖。 ## 10. 结论 2026 年 4 月 16 日并不是日本在法律上强制要求使用通行密钥的日子。在这一天,FSA 将防网络钓鱼的身份验证设定为公众的期望,公开降级了基于 OTP 的安全性,并向银行、经纪商和金融科技公司发出了一个更清晰的信号,即长期目标是通行密钥、PKI 和其他防钓鱼登录模式。 日本 2026 年 4 月 16 日的 FSA 页面不应被误读为“日本今天在法律上强制要求使用通行密钥”。这不是事实。 但是,将其视为一个轻量级的意识宣传页面同样也是错误的。 发生的事情在战略上具有重要意义: - 监管机构公开告诉消费者,仅凭密码和基于 OTP 的流程不再足够, - 它将**通行密钥**和 **PKI** 列为更强身份验证的示例, - 它将这种信息在金融协会和警方之间对齐, - 并且它将市场讨论的焦点从通用 MFA 推向了**防网络钓鱼的身份验证**。 这正是那种会改变[金融服务](https://www.corbado.com/passkeys-for-banking)中路线图优先级的信号。 对于日本而言,这加强了在[银行](https://www.corbado.com/passkeys-for-banking)、经纪商和金融科技公司之间更广泛部署通行密钥的理由。对于世界其他地区而言,它是一个清晰的例子,说明监管机构可以做的不仅仅是制定规则:它可以重塑身份验证本身的叙事。 如果有什么关键的要点,那就是: **未来的状态不是“更多 MFA”。未来的状态是防网络钓鱼的身份验证。日本的 FSA 正在公开表达这一观点。** ## 关于 Corbado 日本金融厅已公开对密码加 OTP 的方式进行了降级处理,但监管机构点名推广通行密钥仅仅完成了工作的一半。银行和经纪机构仍然需要在不导致用户被锁定的前提下,在碎片化的设备群中停用容易受到网络钓鱼攻击的后备验证手段。 Corbado 是专为企业 CIAM 团队打造的**通行密钥分析平台**。它在您现有的 IDP 之上添加了**通行密钥分析和推广控制功能**,从而使得能够满足金融厅防网络钓鱼 MFA 标准的机构在逐步淘汰 SMS 和电子邮件 OTP 时,拥有审计级的可见性和设备级的强制关闭开关 (kill switch),而不是盲目地强制实施。 了解日本金融机构如何在不导致终端用户被锁定的情况下推广防网络钓鱼的 MFA。 → [与通行密钥专家交谈](https://www.corbado.com/contact) ## FAQ ### 2026 年 4 月 16 日,日本金融厅是否强制要求使用通行密钥? 没有。2026 年 4 月 16 日的页面是一项公众意识活动,而不是独立的法规文本。其重要性在于,金融厅公开且明确地推广了防网络钓鱼的多因素身份验证,强调通行密钥和 PKI 作为示例,并将这一信息与银行、证券公司和警察厅保持一致。 ### 为什么金融厅表示仅靠电子邮件和 SMS OTP 已经不够了? 活动材料解释说,通过电子邮件或 SMS 发送的 OTP 仍然可能被实时网络钓鱼、中间人攻击和[恶意软件](https://www.corbado.com/glossary/malware)绕过。换句话说,如果攻击者能够欺骗用户在虚假网站上输入验证码或从端点窃取验证码,那么仅添加验证码是不够的。 ### 在日本的金融领域,通行密钥是唯一被认可的防网络钓鱼选项吗? 不是。金融厅的活动材料将通行密钥和基于 PKI 的身份验证作为防网络钓鱼 MFA 的两个主要示例。这意味着通行密钥受到强烈青睐,但更广泛的监管方向是实现防网络钓鱼的身份验证结果,而不是要求单一的消费者技术。 ### 如果监管指南早已转变,为什么 2026 年 4 月 16 日仍然很重要? 因为它标志着从监管机构对行业的信号转变为了监管机构对公众的信号。一旦金融厅开始直接告诉消费者,通行密钥和 PKI 比密码加 OTP 能够提供更好的保护,日本的银行和经纪商在围绕防网络钓鱼方法重新设计客户身份验证时,就会获得更有力的支持。