簡介:為何要擺脫簡訊OTP?
當前多數雲端服務在註冊或帳號復原仍仰賴簡訊OTP作為身份驗證後援,但這種做法的弱點越來越明顯。近年來多起帳號被盜或OTP被攔截的事件,連帶促使政府與業界重新檢視簡訊為主的驗證流程。
事實上,已有報導指出多國政府與金融監管機構開始限制或禁用簡訊OTP,業界也在尋求更穩健的替代方案,以降低釣魚與SIM交換等攻擊風險。參考來源可見於
PNV(電話號碼驗證):用電信資訊做「背景比對」
為了補強傳統簡訊驗證的不足,FIDO生態系與大型服務商正在嘗試把電信端的網路與裝置資訊納入驗證流程。以PNV(Phone Number Verification)為例,Google透過Firebase協調,與多國電信業者合作,利用門號在網路端的連線、裝置狀態與IP等資訊做背景比對,降低僅靠簡訊碼的風險。
Google已將相關服務以公開預覽形式推進,官方說明指出Firebase PNV已在2026年3月推出公開預覽並與多國電信業者展開合作,這代表產業在實務上開始把電信資料當作一個可信的驗證來源:Firebase PNV公開預覽。
靜默驗證與GSMA標準:網路層查詢的角色
除了PNV外,包含Meta也在推動所謂的Silent Network Auth(靜默網路認證),透過行動網路原生的IP與裝置狀態資訊提供低摩擦的號碼驗證。Meta在白皮書中探討了電話號碼靜默驗證API的潛能與限制,指出此類方式適合低至中風險場景。
同時,GSMA於其Open Gateway框架下提供Number Verification API與SIM Swap檢測,能在網路層確認門號近期是否發生過SIM更換,這類機制可作為偵測異常的一道防線,但在高風險交易或法規要求的場景,僅有網路層回報仍可能不足。
(相關白皮書:The Promise of Phone Number Silent Authentication APIs。)
eSIM Passkey與去電話號碼識別:走向可稽核的強式驗證
為了支援金融等高風險場景,FIDO聯盟成員與電信業者也在評估將eSIM Passkey整合進驗證體系的可行性。這種做法將FIDO金鑰或類似的驗證憑證儲存在eSIM晶片並透過電信端的OTA通道執行,目標是達到類似AAL2等級的強式MFA,以及更好的不可否認性與可稽核性。
相較於PNV的被動背景驗證,eSIM Passkey強調用戶主動確認與憑證層級的保護,且可實現「去電話號碼識別」的設計,避免把電話號碼當作數位身分錨點,降低個資外洩導致的連鎖風險。
實務啟示與結語:多層防護仍是必須
總結來看,業界不再把簡訊OTP視為長期解方,PNV與eSIM Passkey各有定位:PNV可在低至中風險場景替代傳統簡訊驗證,提供更無感的用戶體驗;而eSIM Passkey則瞄準需要強式MFA與可稽核性的場景,透過電信端與FIDO技術結合來提升安全防護。
對企業與開發者的建議是採取分層策略—在降低使用門檻的同時,對高風險交易與帳號復原設置更嚴的驗證流程;同時關注標準化進展與電信業者的API能見度,才能在不犧牲使用者體驗下,逐步擺脫僅依賴簡訊驗證的脆弱架構。
