新加坡银行与 Passkeys：取代短信 OTP

新加坡金融管理局 (MAS) 近日宣布，国内所有主要零售银行必须在未来三个月内逐步淘汰 OTP，并以“数字令牌”取而代之。此举是与新加坡银行公会 (ABS) 合作推出的，旨在保护消费者免受网络钓鱼等诈骗的侵害。仅在 2023 年，这类诈骗就造成了超过 1400 万新元的损失。在这篇博文中，我们将探讨：

• 停用 OTP： 为何 MAS 将停用 OTP 作为优先事项？
• 数字令牌： 什么是数字令牌？为何它们更安全？
• Passkeys： Passkeys 能否帮助满足新规要求？

我们先来仔细看看新加坡金融管理局 (MAS) 发布的这篇公告：“新加坡银行将加强抵御网络钓鱼诈骗的能力”。

2024 年 7 月 9 日，新加坡金融管理局 (MAS) 和新加坡银行公会 (ABS) 宣布了一项重要举措，旨在通过逐步淘汰一次性密码 (OTP) 来加强数字银行的安全性。这一过渡将在未来三个月内逐步进行，旨在更好地保护消费者免受网络钓鱼诈骗的侵害，这类诈骗已成为数字银行领域的主要威胁。虽然公告中只提到了“一次性密码”和 OTP，但其主要针对的是短信 OTP。

已在其移动设备上激活数字令牌的客户，现在需要使用这些令牌来登录网页版或移动银行应用。数字令牌将用于验证客户登录，无需再使用 OTP，从而避免了 OTP 被诈骗分子窃取或骗取。我们将在下一章详细介绍什么是数字令牌。

技术的发展和日益复杂的网络钓鱼手段，已经让短信 OTP 曾经提供的安全性相形见绌。诈骗分子现在会创建与真实网站极为相似的虚假银行网站，诱骗客户输入他们的 OTP 和其他凭据。转向抗网络钓鱼的身份验证因素可以增强安全性，让诈骗分子更难未经授权访问客户账户。

网络钓鱼诈骗在新加坡仍然是一个持续存在的问题。各银行继续与 MAS 和新加坡警察部队密切合作，制定并推出各项措施，以加强集体抵御不断演变的诈骗环境的能力。ABS 主任 Ong-Ang Ai Boon 女士强调，虽然新措施可能会带来一些不便，但这是防止诈骗和保护客户的必要步骤。

MAS 助理行长（政策、支付与金融犯罪）Loo Siew Yee 女士指出，MAS 致力于与银行密切合作，保护消费者免受数字银行诈骗的侵害。她提到，这项最新措施将补充客户应继续遵循的良好网络卫生习惯，例如保护好自己的银行凭据。

MAS 和 ABS 的这项措施表明了他们通过强制使用数字令牌来加强数字银行安全的决心。但公告中并未明确数字令牌在身份验证方面的具体要求。下一节，我们来深入探讨一下。

数字令牌代表了在线安全领域的一大进步，是比传统短信一次性密码 (OTP) 更强大的替代方案。短信 OTP 通过短信（或电子邮件）传输，可能被拦截或钓鱼，而数字令牌则与特定设备（通常是手机）绑定，确保只有设备所有者才能生成必要的验证码。

数字令牌有不同的运作方式：

• 基于时间的数字令牌（安全性较低）：这些令牌是基于时间的动态代码，用于验证用户身份。它们由用户移动设备上的原生应用（如银行自有的应用程序）生成。在大多数实现中，实际代码已不再显示，而是通过推送通知，要求用户确认交易详情，然后将确认信息传回银行服务器。
• 加密数字令牌（安全性更高）：与基于时间的令牌相比，加密数字令牌是一种更安全的身份验证方法。它利用存储在应用程序内或手机安全隔区中的公私钥对。在验证过程中，银行服务器向用户设备发送一个“挑战”(challenge)。设备使用其私钥对该挑战进行签名，并将签名后的响应发回服务器。服务器使用相应的公钥验证签名。这种方法确保即使攻击者截获了通信，也无法在没有用户私钥的情况下复制验证过程，因为私钥安全地存储在设备上。

数字令牌的安全性之所以更强，得益于以下几个关键特性：

1. 设备绑定：令牌与特定设备绑定，意味着验证码只能由该设备生成。这种设备绑定使得攻击者极难复制或将令牌转移到另一台设备上。
2. 多重要素设置：数字令牌的初始设置通常需要使用通过短信和电子邮件发送的 OTP 来验证用户身份，同时还需要银行 PIN 码（一些银行也通过这种方式淘汰实体令牌，然后可以使用实体 OTP 令牌）。一旦令牌被激活，它就成为主要的验证方法，不再需要未来的 OTP，从而消除了相关的漏洞。例如，星展银行 (DBS Bank) 在数字令牌的初始设置过程中结合使用了短信和电子邮件 OTP，之后持续的身份验证就完全依赖于该令牌。
3. 基于时间或加密的保护：数字令牌采用强大的加密算法或基于时间的算法 (TOTP) 来生成验证码，确保即使设备与验证服务器之间的通信被截获，这些代码也无法被轻易解密或伪造。

作为新加坡的一家主要金融机构，星展银行 (DBS Bank) 已成功实施数字令牌，以增强客户安全。该银行要求提供：

• 用户所知信息： PIN 码
• 用户所有物品： 短信 OTP（能访问绑定手机号的手机）
• 用户所有物品： 电子邮件 OTP（能访问绑定账户的邮箱）

来在客户的移动设备上设置数字令牌。一旦设置完成，数字令牌就成为验证登录和交易的唯一方法，有效降低了针对 OTP 的网络钓鱼攻击风险。

如果绑定的电子邮件地址不是最新的，并且没有实体令牌，用户可以使用备用方案来设置数字令牌：

备用方案包括使用 Singpass 的数字身份，在客户附近的分行使用视频柜员机 (VTM)，或请求通过邮寄方式在 3-5 天内收到注册码。

从 OTP 转向数字令牌解决了传统验证方法相关的几个漏洞：

• 部分抗网络钓鱼：由于数字令牌直接在用户设备上生成和使用，不存在通过网络钓鱼被拦截的风险。即使诈骗分子骗取了用户的登录信息，如果没有实体设备，他们也无法生成必要的验证码。
• 减少攻击面：通过不再使用短信和电子邮件作为验证码的传输渠道，数字令牌减少了诈骗分子可以利用的攻击面。
• 用户便利性：虽然初始设置可能需要额外的步骤，但数字令牌的日常使用对用户来说是无缝且方便的。他们不再需要等待通过短信或电子邮件接收 OTP，这些信息有时会延迟或被拦截。

虽然网络钓鱼问题得到部分改善，但新的风险是，客户可能会因为习惯于不断收到的数字令牌验证请求，而成为 MFA 疲劳攻击的受害者。攻击者可能会利用这一点，从钓鱼页面发送类似的请求。

这就是为什么像谷歌和微软这样经历过大量安全漏洞的大型科技公司，已经开始在这些推送通知中引入“挑战”机制，例如要求用户选择正确的数字来保护自己。

数字令牌为数字银行领域提供了一种更安全的验证方法，但并未完全消除网络钓鱼风险。攻击者仍然可能通过说服受害者确认数字令牌请求，来骗取他们对自己访问的授权。星展银行的实践表明，通过结合现有因素，可以轻松地让客户注册另一种形式的身份验证。问题是，既然如此，为什么 MAS 和星展银行不直接引入 Passkeys 呢？我们来探讨一下。

正如我们所见，与传统的短信 OTP 相比，数字令牌是保障数字银行交易安全的一大进步。然而，尽管数字令牌提供了增强的安全功能，它们并不能完全抵抗网络钓鱼。攻击者仍然可能通过说服受害者确认欺诈性请求，来骗取他们对数字令牌提示的授权。这个持续存在的漏洞表明，数字令牌虽然有所改进，但在保障网上银行安全方面，还不够大胆。

Passkeys 提供了一种真正能抵抗网络钓鱼的身份验证方法。与数字令牌不同，Passkeys 天生就能抵抗网络钓鱼攻击，因为它们只能在正确的网站或应用程序上使用。这确保了用户不会被诱骗在欺诈网站上输入凭据。Passkeys 依赖于公私钥加密技术，其中私钥安全地存储在用户的设备上，并在关联的操作系统云中进行安全加密。公钥则与进行验证的服务共享。

以下是 Passkeys 增强安全性的方式：

1. 抗网络钓鱼：Passkeys 消除了在虚假网站上输入验证信息的风险。由于验证过程只能在发出挑战的合法网站上进行，网络钓鱼企图因此失效。从技术上讲，在错误的页面上使用 Passkeys 是不可能的，普通消费者也无法将 Passkeys 导出给第三方。
2. 多设备支持：数字令牌通常绑定在单个设备上，而 Passkeys 则可以在同一云或密码管理器内的已验证设备之间安全同步。这为从不同设备访问银行服务的用户提供了灵活性和便利。
3. 强大的设备安全性：Passkeys 要求在手机生态系统（如 iOS 或 Android）中激活 2FA。这一额外的安全层确保即使设备被盗用，攻击者也需要绕过设备的 2FA 才能访问 Passkeys。我们之前在解释 Passkeys 的 SCA/PSD2 细节时已经详细阐述了这一点，并解释了为什么同步的 Passkeys 可以用于银行业务。

澳大利亚在其 Essential Eight 标准中认识到了抗网络钓鱼身份验证的重要性，该标准概述了网络安全的最佳实践。该标准明确提到了减轻网络钓鱼风险的技术要求，使澳大利亚成为亚太地区网络安全领域的领导者。新加坡拥有先进的数字基础设施，应效仿澳大利亚，将 Passkeys 整合到其标准和企业建议中。这不仅能加强安全性，还能使新加坡与全球数字安全的最佳实践保持一致。

银行业正在等待明确的监管指导，以明确允许在银行业务中使用同步的 Passkeys。这样的举措将为银行提供信心，采用这项先进技术，并为客户提供真正安全便捷的身份验证方法。新加坡金融管理局 (MAS) 有机会通过支持使用 Passkeys，为数字银行安全树立新标准。此举将表明 MAS 致力于开创尖端安全措施，确保新加坡在数字银行创新方面保持领先地位。

引导用户转向更安全的数字令牌是加强新加坡网上银行安全的重要一步。然而，展望未来，银行必须开始采用 Passkeys，因为这将成为网络验证的行业标准。以下是为新加坡银行确保未来适用性的安全基础设施的一些关键建议：

1. 尽早开始收集 Passkeys： 在向数字令牌过渡的同时，银行也应开始收集用户的 Passkeys。这种积极主动的方法将为银行在 Passkeys 得到广泛接受和采用后实现无缝过渡做好准备。通过将 Passkeys 收集整合到当前的注册和验证流程中，银行可以逐步建立一个安全的 Passkeys 数据库。
2. 用 Passkeys 替代 PIN 码： 采用 Passkeys 的一个实际且直接的步骤是用 Passkeys 替代传统的 PIN 码。Passkeys 利用公私钥加密技术，提供了一种比 PIN 码更安全、更方便的替代方案。通过将 Passkeys 作为主要的验证方法，银行可以在提供更流畅用户体验的同时增强安全性。
3. 将 Passkeys 用作第一验证因素或额外风险措施： Passkeys 可用作身份验证的第一因素，或在多重要素验证 (MFA) 设置中作为额外的风险措施。将 Passkeys 纳入验证过程将提供额外的安全层，使攻击者更难攻破用户账户。银行可以先将 Passkeys 作为可选的安全功能提供，然后逐步使其成为验证过程的标准部分。
4. 向客户普及 Passkeys 知识： Passkeys 的成功实施需要客户的认知和接受。银行应投入资源开展教育活动，向客户宣传 Passkeys 的好处和安全特性。清晰地沟通 Passkeys 的工作原理及其在防范网络钓鱼攻击中的作用，将鼓励更多客户采用这项技术。
5. 与监管机构和行业同行合作： 银行应积极与新加坡金融管理局 (MAS) 等监管机构以及行业同行合作，为 Passkeys 的实施制定标准化指南。共同努力将确保整个银行业的做法一致且安全，从而提升新加坡整体的数字银行安全性。
6. 投资基础设施和支持系统： 实施 Passkeys 需要强大的基础设施和支持系统。银行应投资于必要的技术和资源，以支持 Passkey 验证，包括安全的密钥管理系统以及与现有验证框架的集成。确保流畅安全的用户体验对于广泛采用至关重要。
7. 监控并适应新出现的威胁： 定期监控威胁环境并相应更新安全措施，将有助于银行领先于潜在风险。Passkeys 与持续的安全增强措施相结合，将为抵御新兴的网络钓鱼和欺诈策略提供有力的防御。

遵循这些建议，新加坡银行业的身份验证安全性可以进一步提高，并将其整合到合规框架和标准中，例如 Safe App Standard，该标准目前尚未提及 Passkeys 作为一种验证技术。

总而言之，新加坡金融管理局 (MAS) 宣布淘汰短信 OTP 并转向数字令牌，这是加强数字银行安全的关键一步。此举旨在应对日益严峻的网络钓鱼诈骗威胁，这种威胁已对消费者和银行业造成了重大影响。

• 为何停用 OTP： 由于 OTP 易受网络钓鱼和拦截攻击，MAS 优先停用它。诈骗分子利用了短信 OTP 的漏洞，促使行业需要更安全的验证方法。
• 什么是数字令牌： 数字令牌通过设备绑定和采用强大的加密算法来提供增强的安全性。与传统 OTP 相比，这使它们更能抵御网络钓鱼攻击。它们还提供了便利性，并通过消除基于短信或电子邮件的验证码来减少攻击面。
• Passkeys 能否助力新加坡银行业： Passkeys 作为一种更优越的替代方案脱颖而出，它提供强大且抗网络钓鱼的身份验证。通过利用公私钥加密技术，Passkeys 确保身份验证只能在合法网站上进行，从而显著降低了网络钓鱼风险。其多设备支持和强大的设备安全性进一步增强了其吸引力。

在我们探讨数字令牌优势的同时，我们也注意到了它们在完全消除网络钓鱼风险方面的局限性。而 Passkeys 则提供了一个全面的解决方案，与国际数字安全的最佳实践保持一致。虽然向数字令牌的过渡是向前迈出的一步，但最终目标应该是采用 Passkeys 作为未来数字银行身份验证的标准。