Miért nem elég már az SMS-kód a kriptóban?

10-Jul-2026 Bitcoinbazis.hu

Hongkong pénzügyi felügyelete újabb jelzést adott arra, merre tart az online pénzügyi biztonság: a licensed kriptokereskedési platformoknak és online brókereknek 12 hónapon belül ki kell vezetniük az egyszer használatos jelszavakra, vagyis OTP-kódokra épülő belépési és eszközregisztrációs megoldásokat. A döntés elsőre távoli szabályozási hírnek tűnhet, de valójában egy sokkal nagyobb problémára mutat rá: az SMS-ben vagy appon keresztül kapott egyszeri kód már nem feltétlenül jelent valódi védelmet.

A belépési kód nem akadály, ha maga az áldozat adja át

Az OTP-kódok legnagyobb gyengesége nem az, hogy matematikailag könnyen megfejthetők. A gond inkább az, hogy az adathalász támadások, hamis banki vagy kriptotőzsdei oldalak, telefonos csalások és képernyőmegosztós trükkök mellett a felhasználó maga írja be a kódot a támadónak. Ilyenkor a második védelmi vonal papíron létezik, a gyakorlatban viszont csak egy újabb mezővé válik egy hamis belépési oldalon.

Ez különösen veszélyes a kriptovilágban. Egy banki csalásnál még lehet esély visszahívásra, vitatásra vagy zárolásra, de egy kriptotőzsdéről elindított kiutalás vagy egy tárcából aláírt tranzakció sokszor visszafordíthatatlan. A támadónak nem kell „feltörnie a blokkláncot”, elég megszereznie a belépést, átállítani a biztonsági beállításokat, majd kiutalni az eszközöket.

Ez is érdekelhet: Európa digitális pénztárcát épít, de az adatbiztonsági kérdések egyre hangosabbak

A magyar bankoknál is látszik az átmenet

Magyarországon a PSD2 miatt régóta kötelező az erős ügyfél-hitelesítés, vagyis a belépéshez és fizetésekhez jellemzően két, egymástól független azonosítási elem kell. A bankok jelentős része már mobilappos jóváhagyást, push értesítést, QR-kódos belépést, PIN-t vagy biometrikus azonosítást is használ. Ugyanakkor az SMS-kód több helyen még mindig jelen van, fő módszerként vagy tartalék megoldásként.

Ez nem azt jelenti, hogy minden SMS-alapú azonosítás azonnal használhatatlan. Azt viszont igen, hogy önmagában nem elég modern védelem. A Magyar Nemzeti Bank is külön figyelmeztet arra, hogy a csalók akár valódi banki SMS-kódot is kicsalhatnak az ügyféltől, például egy mobilos banki alkalmazás aktiválásához vagy egy művelet jóváhagyásához. A felhasználó ilyenkor azt hiheti, hogy saját fiókját védi, valójában viszont a támadónak nyit ajtót.

csalasok miatti vesztesegek tablazat

A jövő a passkey és az eszközhöz kötött belépés

Hongkong ezért már nem egyszerűen erősebb jelszót kér, hanem adathalászatnak ellenálló hitelesítést: passkeyt, eszközhöz kötött azonosítást és olyan rendszereket, amelyek gyanús belépést, kereskedést vagy kiutalást is képesek kiszúrni. A passkey lényege, hogy nincs begépelhető kód vagy ellopható jelszó: a felhasználó eszköze kriptográfiai alapon igazolja magát, biometrikus azonosítással vagy PIN-nel feloldva.

A kriptós felhasználóknak ebből az a tanulság, hogy ahol lehet, érdemes SMS helyett passkeyt, hardverkulcsot, authenticator appot, kiutalási címfehérlistát és alacsony limiteket használni. A tőzsdéknek pedig egyre kevésbé lesz elég azt mondaniuk, hogy „van 2FA”.

Hongkong döntése ezért nem csak helyi szabályozási ügy. Inkább előképe annak, hogy a pénzügyi szektorban — a bankoktól a kriptotőzsdékig — lassan véget ér az SMS-kódokra épülő biztonság korszaka.

Megjelent a BitcoinBázis oldalon.

Also read: Bitcoin, Ethereum Options Worth $1.75B Expire
WHAT'S YOUR OPINION?
Related News