本页由自动翻译生成。请阅读英文原文 此处.
银行 Passkeys 报告. 面向 passkey 项目的实用指南、推广模式和 KPI。
- RMiT 2025年11月的更新将BNM的身份验证指导方针转化为具有约束力的法规,涵盖马来西亚所有持牌银行、保险公司、电子货币发行方和支付系统运营商。
- 短信OTP 现在被明确认定为不符合合规要求的独立双因素。MFA必须具备抗拦截能力,并与特定的收款人和金额绑定。
- 设备绑定 默认每个账户绑定一台移动设备。多设备访问需要客户明确同意并建立可审计的例外处理流程。
- 通行密钥(Passkeys) (FIDO2/WebAuthn) 能同时满足抗钓鱼MFA、无密码身份验证和设备绑定的要求,是实现全面合规的最直接途径。
- 2024年,马来西亚银行业共拦截了超过3.83亿林吉特(约合1亿美元)的欺诈交易,这推动了向强制性抗钓鱼控制措施的转变。
1. 简介#
马来西亚国家银行 (BNM) 在2025年11月发布了更新的 技术风险管理 (RMiT) 政策,取代了2023年6月的版本。虽然此次更新涵盖了广泛的技术风险领域,但最重要的变化主要体现在身份验证、设备绑定、多因素身份验证 (MFA) 和欺诈防范方面。这项针对金融机构的马来西亚 银行业 法规,已不再是最佳实践或指导方针,而是成为了强制性标准。
自2023年以来,BNM一直在逐步推动机构停止使用短信OTP。原因很简单:欺诈者已经构建了在客户看到之前拦截短信身份验证码的工具,而SIM卡交换攻击允许犯罪分子将验证码重定向到他们控制的设备上。到2024年,马来西亚银行业共拦截了超过3.83亿林吉特(约合1亿美元)的欺诈交易(根据其年度报告)。2025年11月的更新巩固了这一进展,并将其编入具有约束力的法规中。
本文深入解析了更新后的RMiT中身份验证和MFA的关键变化,解释了监管背景,并展示了通行密钥和抗钓鱼身份验证如何在合规蓝图中发挥作用。 我们将回答以下问题:
-
什么是RMiT政策,它适用于哪些对象?
-
2025年11月之前的身份验证情况是怎样的?
-
身份验证和MFA要求中最重要的变化是什么?
-
通行密钥如何帮助金融机构遵守更新后的RMiT?
2. 什么是马来西亚国家银行 (BNM) 技术风险管理 (RMiT) 政策?#
RMiT政策是BNM的核心监管框架,管理受监管的金融机构如何应对技术风险。BNM RMiT合规性设定了对IT治理、网络安全、数字服务、云端使用和身份验证控制的要求,目标是随着数字渠道和威胁水平的演变,保持 金融服务 的可用性、弹性和可信度。
该政策还将云端使用视为一种外包形式,要求机构保留对客户数据和加密密钥的适当所有权和控制权。在实践中,RMiT是马来西亚所有受监管金融机构建立其技术风险态势的合规底线。
3. 谁必须遵守RMiT政策?#
RMiT要求适用于受BNM监管的所有金融机构。其范围很广,不仅涵盖传统银行,还包括保险公司、电子货币发行方、支付 系统运营商和汇款机构。下表总结了主要类别:
| 机构类别 | 示例 |
|---|---|
| 持牌银行 | 联昌国际银行 (CIMB Bank)、马来亚银行 (Maybank)、马来西亚汇丰银行 (HSBC Malaysia)、丰隆银行 (Hong Leong Bank)、大马银行 (AmBank)、大众银行 (Public Bank) |
| 持牌投资银行 | 联昌国际投资银行 (CIMB Investment Bank)、艾芬黄氏 (Affin Hwang)、大马投资银行 (AmInvestment Bank) |
| 持牌伊斯兰银行 | 马来西亚伊斯兰银行 (Bank Islam Malaysia)、Muamalat银行 (Bank Muamalat)、联昌伊斯兰银行 (CIMB Islamic Bank) |
| 持牌保险公司与再保险公司 | AIA Berhad、Allianz General、Etiqa General、AXA Affin |
| 伊斯兰保险运营商与再保险 | AIA PUBLIC Takaful、Etiqa Family Takaful、FWD Takaful |
| 发展金融机构 | 农业银行 (Agrobank)、人民银行 (Bank Rakyat)、国民储蓄银行 (BSN)、中小企业银行 (SME Bank)、进出口银行 (EXIM Bank) |
| 获批电子货币发行方 | Boost、GrabPay、BigPay、TNG Digital、Kiplepay |
| 支付系统运营商 | Visa、Mastercard、PayNet、银联 (UnionPay)、JCB、Alipay Connect |
| 注册商户收单机构 | iPay88、Adyen Malaysia、GHL Cardpay、Revenue Monster |
| 中介汇款机构 | 速汇金 (MoneyGram)、西联汇款 (Western Union)、Merchantrade Asia、Tranglo |
实际上:如果您的组织持有在马来西亚金融部门运营的BNM许可证、注册证书或批准,那么RMiT就适用于您。
订阅我们的 Passkeys Substack,获取最新消息。
4. 2025年11月之前,BNM对身份验证的要求是怎样的?#
在2025年11月的更新之前,RMiT已经包含了一些有意义的身份验证要求,但许多仍处于指导层面,而非强制性标准。了解基准线有助于澄清发生了多大的变化。
4.1 MFA控制#
-
对于高风险交易,特别是公开的第三方资金转账和 支付 交易,要求使用MFA。
-
特别关注超过10,000林吉特的交易,不过2023年的版本已开始推动对所有数字交易使用MFA。
-
2023年版本明确鼓励转向“能够抵御拦截或操纵”的身份验证方式,这标志着基于短信的OTP开始走向终结。
-
在2023年,MFA从“指导”(最佳实践)升级为“标准”(强制执行)。
4.2 身份验证控制与访问管理#
-
机构必须应用最小权限原则,并且至少每年审查一次访问矩阵。
-
特权账户需要更严格的控制,包括强制使用MFA,无论访问是内部还是外部。
-
对内部网络(例如通过VPN)的远程访问要求将MFA作为不可协商的标准。
4.3 数字服务控制#
2023年版RMiT的附录11是数字 银行业 安全的关键参考。它要求交易签名(将MFA与收款人和金额等交易详情关联起来)、设备绑定(将用户的数字身份与可信设备绑定)以及通用的反欺诈对策。
5. BNM RMiT政策中最重要的变化有哪些?#
2025年11月的更新整合并加强了早期的几份通告和规范,包括2022年和2024年的防欺诈对策规范。结果是形成了一项单一、全面的政策,对机构如何对用户进行身份验证以及如何保护数字服务提出了更明确、强制性的要求。有五个领域的改变最为重要。
5.1 默认每个用户一台设备#
"确保安全绑定和解绑流程,以便在默认情况下,将每个账户持有人数字服务交易的身份验证限制在一台移动设备或安全设备上"
— RMiT附录3,第3(a)段
这是对SIM卡交换欺诈和账户接管攻击的直接回应,在这种攻击中,欺诈者将新设备注册到现有账户并在合法设备仍然处于活动状态时窃取资金。“默认”设定非常重要:客户可以选择使用多台设备,但他们必须明确提出请求并接受相关风险。机构不能将多设备作为默认设置。
实际上,这意味着从入职到身份验证的流程需要跟踪设备注册情况,默认强制执行单一绑定,并为客户请求的例外情况维护清晰、可审计的流程。
5.2 对电话号码更改进行强效验证#
"注册新手机号码或更换现有手机号码时,只有在采用强效验证方法确认客户真实性后方可处理"
— RMiT附录3,第3(c)段
许多机构在处理电话号码更改时,仍然只是向当前号码发送短信OTP。如果该号码已被泄露或SIM卡被交换,这种方法就会失效。在BNM的框架中,“强效验证”是指超越正在更改渠道的方法:身份重新验证、使用生物识别技术进行的增强型身份验证,或者针对高风险更改进行分行内确认。
5.3 新设备的冷静期与交易限额#
"对于首次注册数字服务或安全设备以及出现多次连续的大额交易或其他异常交易模式,应应用适当的验证和冷静期"
— RMiT附录3,第3(e)段
新注册的设备不应立即具备全面的交易功能。机构需要实施基于时间的限制和频率控制,随着设备和用户行为建立起信任记录,再逐步解锁这些功能。如果黑客获得了访问权限,他们通常会试图提高每日转账限额并立即转移资金。冷静期为合法所有者和银行的欺诈团队提供了一个发现并终止会话的窗口。
结合欺诈检测标准(要求进行实时行为分析和风险评分),这就形成了一个明确的期望:身份验证层需要了解上下文,而不仅仅是凭证。
5.4 比未加密短信更安全的MFA#
这是此次更新中最重要的身份验证要求。它基于BNM多年的指导方针,并将其变成了具有约束力的标准:
"部署比未加密短信更安全的MFA技术和渠道……MFA解决方案能够在整个身份验证过程中抵御任何第三方的拦截或操纵"
— RMiT附录3,第5和第6段
该政策进一步引入了交易绑定的要求:
"身份验证码必须由付款人/发送人使用MFA在本地发起和生成……付款人/发送人生成的身份验证码必须针对已确认的指定收款人和金额"
— RMiT附录3,第6(c)和6(d)段
交易绑定意味着身份验证码必须与特定的交易详细信息(收款人和金额)相关联,而不仅仅是与会话或登录相关联。这直接解决了“OTP重定向”攻击,即欺诈者在用户完成身份验证后篡改交易内容。针对向账户A 支付 500林吉特而生成的OTP,不能重复用于向账户B支付50,000林吉特。
对于仍然依赖短信OTP作为主要第二因素的机构来说,这是迄今为止最明确的信号:迁移路径不再是可选的。下表总结了哪些MFA方法符合新要求:
| MFA方法 | 是否抗钓鱼? | 是否符合RMiT? |
|---|---|---|
| 短信OTP | 否 | 否 |
| TOTP (如Google Authenticator) | 否 | 部分 (仅限过渡期) |
| 推送通知 | 否 | 部分 (仅限过渡期) |
| 包含交易详情的应用内OTP | 部分 | 是 (如果具备抗拦截能力) |
| 通行密钥 (FIDO2 / WebAuthn) | 是 | 是 |
| 硬件安全密钥 (FIDO2) | 是 | 是 |
5.5 面向BNM RMiT的通行密钥与基于加密密钥的身份验证#
BNM还明确要求机构提供无密码替代方案:
"向其客户提供强大的基于加密密钥的身份验证(例如数字证书或无密码)作为现有基于密码的身份验证方法的替代方案"
— RMiT附录3,第9段
这是明确指示向通行密钥、硬件支持的身份验证或基于证书的方法转变。与重点在于替换短信OTP的MFA升级不同,此要求针对密码本身。这两个要求协同作用:机构需要停止使用短信作为第二因素,并且提供密码的第一因素替代方案。
通行密钥是这里最自然的选择。单个通行密钥凭证同时满足了这两个要求。它是一种基于加密密钥的身份验证方法(第9段),比未加密的短信更安全(第5-6段),并且由于通行密钥将身份验证绑定到特定的来源(网站或应用程序),它们也支持交易绑定的意图。
6. 总结:2025年11月更新前后对比#
| 领域 | 2025年11月之前 | 2025年11月之后 |
|---|---|---|
| 设备绑定 | 有要求,但多设备很常见且管理松散 | 默认每个用户一台设备;仅应客户明确要求并留有审计跟踪记录时才允许多设备 |
| 电话号码更改 | 通常通过向当前号码发送短信OTP来处理 | 要求进行强效验证 (生物识别、分行访问或独立渠道) |
| 新设备注册 | 注册后通常可立即获得完全访问权限 | 强制的冷静期;信任建立阶段实施交易限额 |
| 短信OTP | 不鼓励,但允许将其作为主要的第二因素 | 明确判定为不合规的独立MFA;必须由抗拦截方法替代 |
| 交易绑定 | 高风险交易有要求 (通用) | 验证码必须与收款人和金额特定关联;本地生成 |
7. 区域背景:马来西亚并非孤例#
马来西亚更新的RMiT符合更广泛的区域趋势。在整个亚太地区,金融监管机构正趋向于同一套要求:设备绑定的凭证、抗钓鱼的MFA,并逐渐淘汰密码和短信OTP。
-
新加坡 (MAS): 新加坡金融管理局长期以来一直要求对数字 银行业 进行设备绑定和交易签名,并不断收紧其技术风险管理 (TRM) 指南,其方向与BNM的做法密切相关。
-
印度 (RBI): 印度储备银行一直在推动身份验证的额外因素和针对特定交易的授权,特别是对于无卡交易和UPI交易。
-
中国香港 (HKMA): 香港金融管理局的电子银行指引要求对高风险操作采取强客户身份验证和设备注册控制。
-
越南 (越南国家银行): 第45/2025号通函要求银行针对某些高额交易,将客户的生物特征与基于芯片的公民身份证或国家数据库进行比对核实,引入了集中式验证步骤。
RMiT合规所需的架构(包括加密设备绑定、通行密钥和交易级身份验证)正是整个区域的发展方向。现在投资于这种架构的机构,不仅是在满足单一国家的政策要求,也是在为区域监管融合进行部署。
8. Corbado如何帮助金融机构满足更新的RMiT要求#
Corbado平台专为应对更新后RMiT旨在解决的身份验证挑战而构建。以下是关键要求与Corbado功能的对应关系:
-
抗钓鱼MFA 与无密码身份验证: Corbado的通行密钥实施为遵守BNM关于比未加密短信更安全的MFA要求(第5-6段)以及作为密码替代方案的基于加密密钥的身份验证要求(第9段),提供了直接的合规路径。单个通行密钥凭证可同时满足这两项要求。
-
设备绑定: Corbado支持与特定设备绑定的通行密钥和加密凭证。注册流程可以强制执行每个用户一台设备的默认设置,为客户请求的例外情况提供明确的机制,并配有完整的审计跟踪记录。
-
审计与合规就绪: Corbado的遥测、事件日志记录和报告功能可直观证明身份验证控制不仅设计合理,而且运行有效。Corbado在获得ISO 27001认证的ISMS下运营,并持有SOC 2 Type II认证,将其自身的安全态势与马来西亚金融机构所期望的标准保持一致。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study9. 结论#
2025年11月的RMiT更新将BNM多年来关于身份验证安全的指导方针变成了具有约束力的法规。短信OTP作为独立的第二因素不再合规。默认情况下,设备绑定是强制性的。交易身份验证必须与特定的支付细节相关联。并且机构必须提供基于加密密钥的替代密码方案。
对于那些已经开始从短信迁移并转向抗钓鱼方法的机构来说,此次更新巩固了他们已经在做的工作。对于那些尚未采取行动的机构来说,当前做法与新标准之间的差距很大,且合规期限现已确定。
通行密钥是满足更新要求的直接途径。在单一实施中,单个通行密钥凭证满足了MFA升级、无密码替代方案和设备绑定要求。结合敏感操作的增强型身份验证以及新注册设备的冷静期逻辑,这为机构提供了一致的架构,而不是拼凑起来的单点解决方案。
我们也可以回答关于这个主题最重要的问题:
-
什么是RMiT政策,它适用于哪些对象? RMiT是BNM的核心技术风险框架,适用于马来西亚所有受监管的金融机构,包括银行、保险公司、电子货币发行方、支付系统运营商和汇款服务商。
-
2025年11月之前的身份验证情况是怎样的? 对于高风险交易和特权访问,MFA已经是强制性的,但短信OTP仍被允许使用,多设备设置的管理较松散,且尚不要求无密码替代方案。
-
身份验证和MFA最重要的变化是什么? 有五个显著变化:默认每个用户一台设备、针对电话号码更改进行强效验证、强制性新设备冷静期、采用具备交易绑定且比短信更安全的MFA,以及要求提供通行密钥或基于加密密钥的身份验证。
-
通行密钥如何帮助金融机构合规? 通行密钥在单一实施中满足了MFA升级、无密码替代方案和设备绑定的要求,同时还能有效抵御网络钓鱼、SIM卡交换和OTP拦截攻击。
关于 Corbado
Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容:哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey,为什么注册没有转化为登录,WebAuthn 流程在哪里失败,以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品:Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey(与你的 IDP 并存)。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey(passkey 激活率 +80%)。 与 Passkey 专家交谈 →
常见问题解答#
在BNM RMiT合规的背景下,“交易绑定”是什么意思?#
交易绑定要求每个身份验证码均由付款人在本地生成,并在数学上与被授权的特定收款人账户和支付金额相关联。这可防止OTP重定向攻击(即欺诈者在用户完成身份验证后篡改交易详情)。为向一个账户支付而生成的验证码,不能重复用于授权其他付款或金额。
为什么2025年的RMiT更新要求在客户注册新设备后设置冷静期?#
冷静期可防止获得账户访问权限的欺诈者立即通过新注册的设备转移资金。BNM要求机构在首次注册的新设备的初始信任建立阶段,应用交易限制和基于时间的约束。这为合法账户持有人和机构的欺诈防范团队提供了在完全交易功能被解锁之前的检测窗口。
马来西亚更新的RMiT与其他亚洲国家的身份验证法规相比如何?#
马来西亚的RMiT 2025符合亚太地区的区域趋势。在这一趋势中,新加坡金融管理局 (MAS)、印度储备银行 (RBI)、香港金融管理局 (HKMA) 和越南国家银行都在逐步采用设备绑定凭证、抗钓鱼MFA并淘汰短信OTP。例如,越南的第45/2025号通函特别要求银行针对高额交易,将客户的生物特征与基于芯片的国民身份证进行比对核实。因此,投资于符合RMiT标准的架构,不仅是在满足单一国家的监管要求,也是在为区域监管融合进行准备。
当客户更改其注册的手机号码时,BNM RMiT现在要求进行什么验证?#
更新后的RMiT要求在处理任何电话号码变更之前进行强效验证,而不仅仅是向当前号码发送OTP。可接受的方法包括身份重新验证、增强型生物识别身份验证或分行内确认,以确保验证渠道独立于被替换的渠道。这直接解决了SIM卡交换攻击,否则已经控制了电话号码的欺诈者可以自行授权更改。
分享本文
相关文章
目录