在過去十年間,OTP(一次性密碼)被廣泛視為守護企業帳號安全的最後一哩路。登入系統、遠端存取 VPN,還是授權高額財務轉帳,企業通常預設只要多了一道簡訊 OTP,即便密碼外洩也能高枕無憂。
然而,現實情況正迅速顛覆這個想像。2026年,全球資安威脅情勢發生了變化,駭客不再試圖正面破解複雜的防火牆,將攻擊重心轉向最脆弱的環節:人。當員工在釣魚網站或偽裝客服的誘導下,主動交出那一組六位數代碼時,OTP反而成為駭客取得合法身分、登堂入室的通行證。這種身分驗證的崩潰,暴露了企業在資安治理上過度依賴技術工具,卻忽略行為防護的致命傷。
簡訊OTP正被安全標準遺棄
隨著攔截技術與社交工程詐騙日益猖獗,新加坡、馬來西亞、印度及阿拉伯聯合大公國等國家,已在2026年陸續實施限制甚至禁用簡訊OTP的政策,要求金融機構與關鍵企業改用數位憑證、行動應用程式推播驗證。
這些監管動作代表,簡訊OTP已不再被視為足夠安全的驗證機制。如果企業的資安防禦仍建立在一個連金融業都認定不可靠的技術之上,那麼下一次資安事故的發生,恐怕只是時間問題。
OTP技術本身在演算法上或許沒有太大問題,但其最大的漏洞在於傳遞過程與使用者的判斷能力。目前流行的中間人攻擊(AiTM)能在員工登入的瞬間,同步截取帳號密碼與OTP,並在後端立即同步輸入。常見的手法是結合社交工程(Social Engineering),駭客偽裝成IT部門客服,聲稱系統更新需要員工提供驗證碼。
在這種情形下,員工往往在毫無察覺的情況下協助駭客繞過既有的防護。一旦驗證機制與身分驗證管理脫節,再強大的加密技術也擋不住人性的弱點。企業若無法即時辨識登入地點、裝置環境與行為模式的異常,單靠那一組OTP,根本無法證明螢幕另一端的人真的是合法使用者。
從一次驗證到持續評估,推動更強韌的身分防護體系
在零信任(Zero Trust)架構逐漸成為主流趨勢的下,企業必須重新檢視OTP的角色。零信任的核心原則是永不信任,始終驗證。身分驗證應該是一個持續評估的動態過程。企業最容易忽略的漏洞,在於成功驗證後的空白。當員工透過OTP登入後,系統通常不再對其後續行為進行嚴格監控,這給了駭客長驅直入、橫向移動的機會。
真正的資安韌性,應建立在對身分、裝置、網路環境與行為模式的關聯性分析。例如,當一個帳號在短短數分鐘內從不同地理位置登入,或是頻繁存取平時不常動用的敏感資料,系統應能即時感應並要求更高階的生物辨識或硬體金鑰驗證,而非僅僅依賴簡訊OTP。
企業若要修補身分驗證的破口,必須採取多管齊下的治理手段。逐步淘汰脆弱的簡訊驗證,改用基於應用程式的動態授權,這能有效隔絕大多數的遠端攔截與社交工程誘導。其次,企業必須提升員工的資安意識,讓他們理解OTP是與印章同等重要的授權憑證。當企業能將技術層面的強驗證與行為層面的異常監控結合時,身分防禦才能從被動防堵轉向主動防禦,避免因單一員工的疏忽而導致整個企業淪陷。
OTP的失效給了企業治理者一個教訓,資安防禦沒有一勞永逸的終點。隨著駭客攻擊手法不斷進化,簡訊OTP在國際監管浪潮中被棄用,代表數位身分保護必須邁向更嚴謹、更科學的階段。企業不應等到發生帳號接管或資料外洩事故後,才回頭檢討驗證機制的不足。
- India and the UAE are phasing out SMS OTP
- UAE banks discontinue OTP via SMS but use biometrics
- Written reply to Parliamentary Question on hardware tokens
- Singapore banks are phasing out OTPs for logins
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
