سياسة كلمات المرور ووزارة الخارجية
1) الأهداف والنطاق
الهدف: الحد من مخاطر المساس بحسابات الموظفين/الشركاء والجهات الفاعلة، لضمان الامتثال لمعايير الأمن الداخلي والمتطلبات التنظيمية.
التغطية: جميع حسابات الشركة (SSO/IdP)، ولوحات الإدارة، ووحدات الدفع ووحدات تحكم KYC، وحسابات الخدمة/الروبوت، بالإضافة إلى حسابات المستخدمين للاعبين.
2) المبادئ الأساسية
مقاومة التصيد الاحتيالي افتراضيًا: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP (الأخير - فقط كاحتياطي).
Lest Privilege + JIT: تُمنح الامتيازات بشكل ضئيل ومؤقت، ويكون MFA إلزاميًا عند الترقية.
كلمات السر كملاذ أخير: التركيز على عبارات السر ومديري كلمات السر ؛ حظر كلمات السر القصيرة «التي لا تنسى».
الأمان افتراضيًا: يتم تمكين MFA افتراضيًا ؛ للإجراءات الحاسمة - إعادة.
الملاحظة: جميع أحداث التوثيق/التطبيق/إعادة الضبط - في سجلات مراجعة الحسابات.
3) متطلبات كلمة المرور/عبارة المرور
3. 1 موظفين/مديرين
الشكل: عبارة ≥ 14 حرفا، المساحات مسموح بها ؛ متطلبات «التعقيد» مثل «A1!» محظور - بدلاً من ذلك، التحقق من التسرب (have-I-be-pwed-style محليًا/عبر API hash).
إعادة الاستخدام: حظر إعادة استخدام آخر 10، وحظر كلمة سر الشركات للخدمات الخارجية.
التناوب: فقط في حالة التعرض للخطر ؛ التغيير الدوري القسري - لا ينطبق (لتجنب ضعف كلمات السر).
التخزين: فقط في مدير كلمات سر الشركة ؛ حظر الملفات المحلية/المتصفح التلقائي خارج ملفات تعريف MDM.
3. 2 لاعب
10-12 حرفا كحد أدنى أو مولد عبارات السر ؛ والإشارة البصرية للقوة ؛ كتلة من قوائم كلمات المرور الشعبية.
تمكين «إظهار كلمة السر» و «إدراج من المدير» ؛ لا تفرض قيودًا غير قياسية (رمز تعبيري/حروف - يمكنك ذلك).
4) الحشو والأسرار
الخوارزمية: Argon2id (الذاكرة ≥ 256 ميغابايت، التكرارات ≥ 3، التوازي ≥ 1) ؛ ليكن التشفير (التكلفة ≥ 12) قانونيا.
الملح: فريد من نوعه 16 + بايت لكل كتابة. الفلفل: سر نظام في HSM/KMS.
تحديث: عند تسجيل الدخول، يتم «إعادة تجزئة» التجزئة القانونية بشفافية للملف الشخصي الحالي.
رموز مفاتيح الخدمة/واجهة برمجة التطبيقات: ليست «كلمات مرور» - يتم إدارتها من خلال مدير سري، والتناوب وفقًا لجدول زمني وفي حالة وقوع حوادث.
5) وزارة الخارجية: العوامل والأولويات
بالضرورة
الرموز الاحتياطية (10 pcs، يمكن التخلص منها)، التخزين غير المتصل بالإنترنت ؛
إنفاذ اتفاق مونتريال بشأن الأغذية: بالنسبة لدعاوى الوصول إلى الإدارة والدفع دون استثناءات ؛
مطابقة الرقم في الدفع، الموافقة بنقرة واحدة.
6) سياسة الجلسات وإعادة عقدها
المدة: الويب 12 ساعة (تفاعلي)، وحدة التحكم الإدارية 8 ساعة، اللوحات الحرجة 4 ساعة.
المهلة الخاملة: 15-30 دقيقة للمسؤولين.
إعادة العمل مع MFA: عند الدفع/تغيير التفاصيل/تغيير البريد الإلكتروني/MFA/إصدار رموز API.
ربط الأجهزة: MDM/جهاز مسجل للموظفين ؛ للاعبين، وتذكر الأجهزة الموثوق بها مع درجة المخاطرة.
7) الحماية من هجمات التوثيق
حشو بيانات الاعتماد: حدود معدل IP/الجهاز/المستخدم، والتأخيرات الأمنية، والتحليل السلوكي، والتحقق من كلمة المرور المسربة.
القوة الغاشمة: تأخيرات تدريجية/كابتشا بعد فشل N ؛ أقفال ناعمة (مؤقتة)، لا إغلاق طويل للاعبين.
نشر كلمة المرور: الكشف عن طريق الشذوذ (العديد من الحسابات بكلمة مرور واحدة).
إرهاق MFA: حد طلب الدفع، تطابق الأرقام، إشعارات المستخدم.
الروبوت/مكافحة الأتمتة: يفضل WebAuthn الإشارات السلوكية، تثبيت TLS، mTLS للوحات الإدارة.
8) الإجراءات (SOP)
8. 1 موظف على متن الطائرة
1. حساب SSO عبر SCIM ؛
2. وإصدار FIDO2 مفتاح (الحد الأدنى 2: الرئيسي + الاحتياطي) و TOTP ؛
3. تثبيت مدير كلمات المرور
4. التدريب على الإثبات (التصيد الاحتيالي، وزارة الخارجية).
8. 2 فقدان الجهاز/إعادة تعيين MFA
1. تقديم تقرير ذاتي عن طريق البوابة → التجميد المؤقت للدورات ؛
2. التحقق من الوثائق + التأكيد عن طريق المشرف ؛
3. وإطلاق عوامل جديدة ؛
4. مراجعة سجل 30 يوما.
8. 3 زجاج كسر (وصول طارئ)
الانتعاش فقط ؛ العامل: رمز رئيسي مخزن HSM + معتمد ثان ؛ ≤ الوقت 30 دقيقة ؛ والتسجيل الكامل للدورة ؛ الأمن بعد المراجعة + DPO.
8. 4 إعادة تعيين كلمة مرور المشغل
القناة: البريد الإلكتروني/الهاتف، وصلة لمرة واحدة ≤ 15 دقيقة ؛ بعد إعادة الضبط - تحديد MFA الإلزامي عند تسجيل الدخول التالي (الإكراه الناعم مع المكافأة/الدافع).
9) قواعد لمختلف فئات الحسابات
9. 1 موظفين/بائعين
مطلوب WebAuthn + TOTP ؛ حظر الرسائل النصية القصيرة - وزارة الخارجية.
الوصول إلى الإداريين فقط من أجهزة MDM/corp VPN ؛ JIT على تصعيد الامتياز.
حظر الحسابات المحلية «المشتركة» ؛ سميت فقط.
9. 2 لاعب
MFA soft-forsed: لافتات تحفيزية، علاوات شمول ؛ معرضة لخطر شديد (المدفوعات/تغيير التفاصيل).
دعم إمكانية الوصول: العبارات الرئيسية/قراء الشاشة، القنوات الاحتياطية.
9. 3 حسابات خدمات/واجهات برمجة التطبيقات
لا توجد كلمات سر ؛ التوثيق المتبادل فقط (mTLS, OIDC creds-creds, signature of webooks).
مفاتيح في المدير السري ؛ التناوب ومراجعة الحسابات.
10) التكامل مع IdP/SSO
بطاقة الهوية المركزية (OIDC/SAML) ؛ RBAC كرمز.
MFA التكيفي: تضخيم العوامل بإشارات المخاطر (geo/new device/anomalies).
توفير/إلغاء إمدادات SCIM ؛ الإقلاع ≤ متن الطائرة 15 دقيقة بعد الفصل.
11) قطع الأشجار ومراجعة الحسابات
События (аудит- обязательные): "تسجيل الدخول _ النجاح/الفشل"، و "MFA _ REGLL/VERIFY/FAIl'، و" كلمة المرور _ إعادة تعيين _ الطلب/الكامل "، و" MFA _ RESEt'، و "DEVICE _ TRUS_ Add/REMEA'، و '_ GLASS _ START/END', 'ADMIN _ LOGIN', 'RISK _ RISCADE', 'TOKEN _ Issue/REVOKE'.
نسخ في WORM، التوقيع/سلسلة التجزئة ؛ ربط 'تتبع _ id'، 'فاعل _ id'، 'الغرض'.
12) المقاييس و KPI/KRI
اعتماد MFA (الموظفون): 100٪ WebAuthn، 100٪ TOTP كاحتياطي.
اعتماد MFA (اللاعبون): ≥ 30-50٪ في 6 أشهر (حسب السوق).
عمليات تسجيل الدخول: 0 ؛ نسبة المحاولات مع تسريب كلمات المرور المحجوبة على المحيط هي 100٪.
وقت Avg إلى خارج متن الطائرة: ≤ 15 мин.
دفع تنبيهات التعب/1000 MAU: ↓ MoM.
معدل نجاح إعادة تعيين كلمة المرور: ≥ 98٪ دون الاتصال بالدعم.
إعادة التغطية: 100٪ للعمليات عالية الخطورة.
13) أمثلة السياسات (مقتطفات)
13. 1 سياسة التحقق من الطول والتسرب (YAML الزائفة)
yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled # k-anonymity lookup rotation: on_compromise_only13. 2 إنفاذ الاتفاقية المتعددة الأطراف
yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms13. 3 إعادة العمل بالإجراءات الحساسة
yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 514) العلاقة مع الضوابط الأخرى
RBAC/ABAC/SoD: وزارة الخارجية إلزامية لتكليف/تغيير الأدوار، مصاعد JIT وعمليات «الموافقة _».
Logs and log storage: see «Audit logs and access traces», «Log storage policy».
الحوادث: إذا اشتبه في وجود حل وسط - إعادة تعيين كلمة المرور الفورية + الرمز المميز، واستدعاء الجلسة، والطب الشرعي (انظر «إجراءات تسريب البيانات»).
15) القوائم المرجعية
قبل إصدار المصادقة
- تم تمكين WebAuthn، و TOTP كنسخة احتياطية، ويتم إصدار الرموز الاحتياطية.
- فحص كلمات المرور المسربة والقوائم المعجمية.
- حدود الأسعار وحماية حشو أوراق الاعتماد.
- إعادة العمل بالعمليات الحساسة.
- السجلات/عمليات التدقيق والإنذارات في SIEM.
ربع سنوي
- تحليلات قبول MFA ؛ محفزات A/B للاعبين.
- استعراض سياسات الدفع والإرهاق.
- دوران مفتاح الخدمة، فحص الفلفل/KMS.
- التمارين: خسارة مفتاح FIDO2، فشل TOTP، زجاج كسر.
16) خارطة طريق التنفيذ
الأسابيع 1-2: تدقيق المصادقة، تمكين WebAuthn و TOTP، ضبط الاختراق، تحديث بوليصة كلمة المرور (عبارة المرور).
الأسابيع من 3 إلى 4: تنفيذ إعادة التشغيل للمخاطر العالية، مطابقة الأرقام في الدفع، تنبيهات SIEM ؛ توزيع مفاتيح FIDO2 على الموظفين.
الشهر 2: MFA (إشارات المخاطر) التكيفية، مدير كلمات المرور الكامل، بوابة إعادة تعيين الخدمة الذاتية، الرموز الاحتياطية.
الشهر 3 +: ترقية A/B MFA للاعبين، والتدريبات الدورية، وتحسين UX وتقليل إجهاد MFA، وأتمتة الإبلاغ عن KPI.
TL; د
المصادقة القوية = pasprases + WebAuthn (مطلوب) + TOTP (احتياطي) + إعادة تشغيل للإجراءات المحفوفة بالمخاطر، والحشو/الحماية الغاشمة، والتجزئة القوية (Argon2id)، ومدير كلمة المرور وتدقيق كل خطوة. هذا يقلل من تنازلات الحساب، ويبسط الامتثال وبالكاد يفرك UX إذا تم بشكل صحيح.