阿联酋中央银行要求金融机构放弃短信和 OTP 身份验证

阿联酋中央银行已发布指令,要求金融机构消除薄弱的身份验证方法,包括短信和电子邮件一次性密码。

该指令要求采用强大的、基于风险的用户身份验证技术,包括阿联酋航空人脸识别、软令牌和生物识别技术。预计银行还将实施实时欺诈监控,在检测到恶意活动时暂停会话,并为消费者提供安全管理帐户的工具。

但满足2026年3月的合规截止日期带来了重大挑战。许多银行仍然依赖于围绕OTP基础设施构建的旧系统,这些系统需要进行根本性的彻底改革,以支持加密令牌,生物识别身份验证和基于应用程序的安全验证。

教育客户和将客户过渡到新的身份验证方法,对于那些不太精通使用数字工具的客户来说,这是另一个主要障碍,MENA Chapter认证金融犯罪专家协会主席Anis Ahmed说。

例如,当阿联酋NBD推出Smart Pass时,一些客户需要真正的代币作为解决方法,这使得扩展和物流的实施更加困难。

增加这种复杂性的是移动银行应用程序,这些应用程序需要修改,以包括与用户绑定的安全数字令牌或生物识别层,Consilium Advisory全球董事总经理Mohammad Barakat说。“这一变化将需要大量工作来构建,测试和集成身份验证系统,如阿联酋ID和阿联酋通行证,”他说。

到目前为止,阿联酋只有少数银行完全消除了基于短信的OTP,尽管一些领先机构正在积极转向更安全的身份验证方法,如生物识别验证,包括阿联酋航空面部识别和基于移动的软令牌。包括阿联酋NBD,ADIB和FAB在内的银行已经从短信OTP转向生物识别或应用内解决方案,用于大多数在线银行交易。

中央银行的宣布正值阿联酋的骗局和欺诈行为同比增长43%之际。全球反诈骗联盟的一份报告发现,2023年,阿联酋有超过4万人因诈骗而倒下,平均损失2194美元。

市场也在同步发展,以跟上监管需求的步伐。艾哈迈德说,“在身份验证方面出现了一波创新浪潮,这得益于打击欺诈和提供无缝用户体验的需求。苹果、谷歌、微软和三星等主要科技公司正在大力投资认证领域。

Barakat表示,在未来两到三年内,一些新兴技术有望成为银行认证的标准。“基于FIDO2标准的密码将用依赖生物识别或与用户设备绑定的加密密钥的抗网络钓鱼登录取代传统密码,”Barakat说。Barakat补充说,行为生物识别技术可以分析用户如何键入,滑动或保持其设备的模式,将提供一个不可见的连续身份验证层。

仅仅创新是不够的。艾哈迈德强调,继续取得进展将取决于加强公私合作。“这包括将金融科技和网络安全创新整合到国家数字生态系统中,推动多语言消费者宣传活动,并加强银行和电信提供商之间的协调,以应对SIM交换欺诈等威胁。

全球许多国家正在逐步淘汰基于短信的OTP。去年,新加坡金融管理局要求银行逐步取消基于短信的银行活动认证,例如增加收款人或改变资金转移限额。