Parol siyasəti və MFA
1) Məqsədləri və əhatə dairəsi
Məqsəd: İşçilərin/tərəfdaşların və oyunçuların hesablarına güzəşt riskini azaltmaq, daxili təhlükəsizlik standartlarına və tənzimləyicilərin tələblərinə uyğunluğu təmin etmək.
Əhatə: Bütün korporativ hesablar (SSO/IdP), inzibati panellər, ödənişlər və KYC konsolları, xidmət/bot hesabları və oyunçuların istifadəçi hesabları.
2) Əsas prinsiplər
Phishing-resistant default: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP (sonuncu - yalnız fallback kimi).
Least Privilege + JIT: imtiyazlar minimal və müvəqqəti olaraq verilir, MFA artırıldıqda tələb olunur.
Passwords as last resort: passwords və parol menecerlərinə diqqət; «yadda qalan» qısa şifrələrin qadağan edilməsi.
Security by Default: MFA default olaraq aktivdir; kritik hərəkətlər üçün - re-auth.
Observability: bütün autentifikasiya/ərizə/sıfırlama hadisələri - audit jurnallarında.
3) Parol/pasfrez tələbləri
3. 1 İşçilər/menecerlər
Format: pasfraza ≥ 14 simvol, boşluqlara icazə verilir; «A1!» tipli «mürəkkəblik» tələbləri qadağandır - bunun əvəzinə sızma yoxlaması (have-I-been-pwned-stil lokal/API hash vasitəsilə).
Təkrar istifadə: son 10 reuse qadağan, xarici xidmətlər üçün korporativ şifrə qadağan.
Rotasiya: yalnız güzəşt/risk; məcburi dövri dəyişiklik - tətbiq edilmir (zəif şifrələrin qarşısını almaq üçün).
Saxlama: yalnız korporativ parol menecerində; MDM profilləri xaricində yerli faylların/brauzerlərin avtomatik saxlanmasının qadağan edilməsi.
3. 2 Oyunçular
Minimum 10-12 simvol və ya pasfraz generator; vizual güc göstəricisi; məşhur parol siyahıları bloku.
«Parolu göstər» və «menecerdən daxil et» daxil edin; qeyri-standart məhdudiyyətlər tətbiq etməyin (emoji/simvollar - mümkündür).
4) Hash və sirləri
Alqoritm: Argon2id (yaddaş ≥ 256 MB, iterasiya ≥ 3, paralellik ≥ 1); bcrypt (cost ≥ 12) legasi kimi.
Duz: qeyd üçün unikal 16 + bayt. Bibər (pepper): HSM/KMS-də sistem sirri.
Yeniləmə: Legasi Hash daxil olduqda, cari profilə şəffaf şəkildə «dəyişdirin».
Xidmət açarları/API tokenləri: «şifrələr» deyil - gizli menecer, cədvəl üzrə və insidentlər zamanı rotasiya vasitəsilə idarə etmək.
5) MFA: amillər və prioritetlər
Mütləq:- ehtiyat backup kodları (10 ədəd, birdəfəlik), oflayn saxlama;
- MFA-enforcement: istisnasız olaraq inzibati giriş və ödəniş hərəkətləri üçün;
- Number-matching push, qadağan «razılaşmaq üçün bir basın».
6) Sessiyaların siyasəti və yenidən
Müddəti: web 12 saat (interaktiv), admin konsolları 8 saat, kritik panellər 4 saat.
Idle timeout: adminks üçün 15-30 dəq.
MFA ilə Re-auth: ödənişlər/rekvizitlərin dəyişdirilməsi/e-mail/MFA dəyişikliyi/API tokenlərinin verilməsi.
Device binding: MDM/işçilər üçün qeydiyyatdan keçmiş cihaz; oyunçular üçün - risk qiymətləndirməsi ilə etibarlı cihazları yadda saxlamaq.
7) Autentifikasiya hücumlarına qarşı qorunma
Credential stuffing: IP/device/user-based rate-limits, qoruyucu gecikmələr, davranış təhlili, sızan şifrələrin yoxlanılması.
Brute force: N uğursuzluqlardan sonra mütərəqqi gecikmələr/kapça; oyunçular üçün uzun lockout olmadan yumşaq kilidləmə (müvəqqəti).
Password spraying: anomaliyalar üzrə deteksiya (bir şifrə ilə bir çox hesab).
MFA-fatigue: push-sorğu limiti, number-match, istifadəçi bildirişləri.
Bot/anti-automation: WebAuthn üstünlük, davranış siqnalları, TLS fiksasiya, inzibati panellər üçün mTLS.
8) Prosedurlar (SOP)
8. 1 Əməkdaşı bağlamaq
1. SCIM vasitəsilə SSO hesabı;
2. FIDO2 açarının verilməsi (minimum 2: əsas + ehtiyat) və TOTP;
3. parol menecerinin quraşdırılması;
4. təlimin təsdiqi (fişinq, MFA).
8. 2 Cihaz itkisi/MFA sıfırlanması
1. Portal vasitəsilə özünü hesabat → sessiyaların müvəqqəti bloklanması;
2. sənədlər üzrə yoxlama + rəhbər vasitəsilə təsdiq;
3. yeni amillərin buraxılması;
4. 30 gün ərzində giriş jurnalının auditi.
8. 3 Break-glass (təcili giriş)
Yalnız bərpa üçün; faktor: HSM saxlanılan Master Token + ikinci təsdiq; ≤ vaxtı 30 dəq; sessiyanın tam qeydləri; post-review Security + DPO.
8. 4 Oyunçu parolunun sıfırlanması
Kanal: e-mail/telefon, birdəfəlik keçid ≤ 15 dəq; sıfırlandıqdan sonra - növbəti girişdə məcburi MFA konfiqurasiya (bonus/motivasiya ilə yumşaq məcburiyyət).
9) Müxtəlif kateqoriyalı hesablar üçün qaydalar
9. 1 İşçilər/satıcılar
WebAuthn + TOTP tələb olunur; SMS-MFA qadağası.
Yalnız MDM cihazları/corp-VPN ilə administratorlara giriş; imtiyazların artırılması ilə JIT.
Yerli «ümumi» hesabların qadağan edilməsi; yalnız adı.
9. 2 Oyunçular
MFA yumşaq-məcburi: motivasiya bannerləri, daxil olmaq üçün bonuslar; sərt - yüksək riskdə (ödənişlər/rekvizitlərin dəyişdirilməsi).
Əlçatanlıq dəstəyi: açar ifadələr/ekran oxucuları, fallback kanalları.
9. 3 Xidmət Hesabları/API
Şifrəsiz; yalnız qarşılıqlı autentifikasiya (mTLS, OIDC client-creds, webhook imzası).
Gizli menecerdə açarlar; rotasiya və audit.
10) IdP/SSO ilə inteqrasiya
Mərkəzi IdP (OIDC/SAML); rollara qrup bağlantısı (RBAC as code).
Adaptive MFA: risk siqnalları faktorları gücləndirmək (geo/yeni cihaz/anomaliyalar).
SCIM-provizinq/de-provizinq; offboarding ≤ 15 dəq sonra işdən.
11) Jurnallaşdırma və audit
События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.
WORM-də kopya, imza/hash zəncirləri; 'trace _ id', 'actor _ id', 'purpose'.
12) Metrika və KPI/KRI
MFA adoption (işçilər): 100% WebAuthn, 100% TOTP ehtiyat kimi.
MFA adoption (oyunçular): ≥ 30-50% 6 ayda (bazardan asılı olaraq).
Compromised logins: 0; perimetri bloklanmış şifrələr ilə cəhdlərin payı - 100%.
Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.
Password reset success rate: ≥ 98% sapport müraciət etmədən.
Re-auth coverage: 100% yüksək riskli əməliyyatlar üçün.
13) Siyasətçi nümunələri (fraqmentlər)
13. 1 Uzunluq və sızma yoxlama siyasəti (psevdo-YAML)
yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled # k-anonymity lookup rotation: on_compromise_only13. 2 MFA-enforsment
yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms13. 3 həssas hərəkətlər üçün Re-auth
yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 514) Digər nəzarətlərlə əlaqə
RBAC/ABAC/SoD: MFA rolların təyin edilməsi/dəyişdirilməsi, JIT qaldırılması və 'APPROVE _' əməliyyatları üçün məcburidir.
Jurnallar və log saxlama: bax «Audit jurnalları və giriş izləri», «Log saxlama siyasəti».
İnsidentlər: kompromat şübhəsi olduqda - dərhal password + token reset, sessiyaların geri çağırılması, forensika (bax: «Məlumat sızması prosedurları»).
15) Çek vərəqləri
Autentifikasiyadan əvvəl
- WebAuthn daxil, TOTP ehtiyat kimi, backup kodları verilir.
- Sızan şifrələrin və leksik siyahıların yoxlanılması.
- Rate-limits və credential stuffing qarşı müdafiə.
- həssas əməliyyatlar üçün Re-auth.
- SIEM-də log/audit və alertlər.
Rüblük
- MFA qəbul analitikası; Oyunçular üçün A/B motivatorları.
- Revew Push-yorğunluq siyasətçisi.
- Xidmət açarlarının rotasiyası, bibər yoxlaması/KMS.
- Təlimlər: FIDO2 açarının itirilməsi, TOTP-nin uğursuzluğu, break-glass.
16) Tətbiqi yol xəritəsi
Həftələr 1-2: Autentifikasiya auditi, WebAuthn və TOTP-i daxil edin, breach-check-i konfiqurasiya edin, parol siyasətini yeniləyin (pasfrezlər).
3-4 həftələr: high-risk, number-matching push, SIEM-alertlər üçün re-auth tətbiq edin; FIDO2 açarları işçilərə paylamaq.
Ay 2: adaptiv MFA (risk siqnalları), tam funksional parol meneceri, self-servis sıfırlama portalı, backup kodları.
Ay 3 +: A/B oyunçular MFA təşviqi, dövri təlimlər, UX optimallaşdırılması və MFA-fatigue azaldılması, KPI hesabat avtomatlaşdırılması.
TL; DR
Güclü identifikasiya = pasfrezlər + WebAuthn (məcburi) + TOTP (ehtiyat) + riskli hərəkətlər üçün re-auth, stuffing/brute qorunması, etibarlı heşinq (Argon2id), parol meneceri və hər addımın auditi. Bu hesabların güzəştlərini azaldır, tələblərə uyğunluğu asanlaşdırır və düzgün edildikdə UX-ni demək olar ki, itirmir.