密码政策和MFA
1)目标和范围
目标:降低员工/合作伙伴和参与者账户受损的风险,确保符合内部安全标准和监管要求。
覆盖范围:所有公司帐户(SSO/IdP),管理面板,支付和KYC控制台,服务/机器人帐户以及用户玩家帐户。
2)基本原则
默认的抗命:FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/e-mail OTP(后者仅作为后退)。
Least Privilege+JIT:特权是最低限度的和暂时的,MFA在提升时是强制性的。
Passwords as last resort:专注于pasphrases和密码管理器;禁止"纪念"短密码。
默认安全:默认情况下启用MFA;对于关键动作-re-auth。
Observability:审计日志中的所有身份验证/申请/重置事件。
3) 密码/pasphrases要求
3.1名工作人员/管理人员
格式:pasfrasa ≥ 14个字符,允许空格;禁止对"A1!"类型的"复杂性"要求-取而代之的是泄漏检查(在本地/通过API哈希)。
重新使用:禁止最后10次重新使用,禁止外部服务的企业密码。
轮换:仅限于危害/风险;强制性周期性更换-不适用(避免密码弱)。
存储:仅在公司密码管理器中;禁止MDM配置文件之外的本地文件/浏览器自动保存。
3.2名球员
至少10-12个字符或pasfraz生成器;力量的视觉指示;通用密码列表块。
启用"显示密码"和"从管理器插入";不要施加非标准限制(表情符号/字符-可用)。
4)哈希和秘密
算法:Argon2id(内存≥ 256 MB,迭代≥ 3,并发≥ 1);假设bcrypt(cost ≥ 12)为legasi。
盐:每条唯一的16个以上的字节。胡椒(pepper): HSM/KMS中的系统秘密。
更新:在登录时,legasi哈希透明地"重新哈希"到当前配置文件。
服务密钥/API令牌:不是"密码"-通过秘密管理器、定时轮换和事件进行管理。
5) MFA: 因素和优先事项
必须的
备份代码(10件,一次性),离线存储;
MFA实施: 无例外的管理访问和支付操作;
推中的数字匹配,禁止"一键同意"。
6)会议政策和re-auth
持续时间:web 12小时(交互),admin控制台8小时,关键面板4小时。
Idle timeout:海军上将15-30分钟。
Re-auth with MFA: 在付款/更改详细信息/更改电子邮件/MFA/发出 API令牌时。
设备绑定:MDM/员工注册设备;对于玩家来说-记住值得信赖的风险评估设备。
7)防止身份验证攻击
Credential stuffing: IP/device/基于用户的 rate-limits,保护延迟,行为分析,检查泄漏的密码。
Brute force:N 失败后的渐进延迟/kapcha;软锁定(临时),对玩家没有持久的锁定。
密码拼写:异常检测(许多单一密码帐户)。
MFA-fatigue:推送请求限制,数字匹配,通知用户。
Bot/anti-automation: WebAuthn优选,行为提示,TLS固定,mTLS用于管理面板。
8)程序(SOP)
8.1 Onbording员工
1.通过SCIM的SSO帐户;
2.发出FIDO2密钥(最低2: 主要+备份)和TOTP;
3.设置密码管理器;
4.培训确认(网络钓鱼、MFA)。
8.2 设备丢失/MFA重置
1.通过门户自我报告→暂时阻止会议;
2.文件核实+通过管理人员确认;
3.新因素的发布;
4.30天的入场日志审核。
8.3破玻璃(紧急通道)
仅用于恢复;一个因素:HSM存储的主令牌+第二个批准者;时间≤ 30分钟;会议的全部记录;Security+DPO后评论。
8.4重置玩家密码
频道:电子邮件/电话,一次性链接≤ 15分钟;重置后-下次登录时必须设置MFA(带有奖励/动机的软胁迫)。
9)不同类别帐户的规则
9.1名员工/供应商
WebAuthn+TOTP是必需的;SMS-MFA禁令。
仅通过MDM 设备/corp-VPN访问管理程序;JIT提升特权。
禁止本地"共享"帐户;仅限命名。
9.2名球员
MFA轻度强制:激励横幅,包括奖金;在高风险(付款/更改道具)下硬。
可用性支持:关键短语/屏幕阅读器,fallback提要。
9.3 服务帐户/API
没有密码;只有相互身份验证(mTLS, OIDC client-creds, webhook签名)。
密码管理员的钥匙;轮换和审计。
10)与IdP/SSO的集成
中央IdP(OIDC/SAML);组绑定到角色(RBAC作为代码)。
Adaptive MFA:通过风险信号(地理/新设备/异常)增强因素。
SCIM-provigening/de provigening;离职后≤ 15分钟。
11)日志和审计
События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.
WORM中的副本,签名/散列链;绑定到"trace_id"、"actor_id"、"purpose"。
12)度量标准和KPI/KRI
MFA adoption(员工):100% WebAuthn, 100% TOTP作为储备。
MFA adoption(玩家):6个月≥ 30-50%(取决于市场)。
Compromised logins: 0;密码泄漏被锁定在周边的尝试比例为100%。
Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.
Password reset success rate: ≥ 98%不使用札幌。
Re-auth coverage: 100%用于高风险操作。
13)策略示例(片段)
13.1长度和泄漏检查策略(伪YAML)
yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled # k-anonymity lookup rotation: on_compromise_only13.2 MFA注释
yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms13.3 Re-auth用于敏感活动
yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 514)与其他控制器的关系
RBAC/ABAC/SoD:在分配/更改角色,JIT提升和"APPROVE_"操作时,MFA是强制性的。
日志和日志存储:请参阅"审计日志和访问痕迹","日志存储策略"。
事件:如果怀疑有罪-立即密码+令牌重置,召回会议,强制(请参阅"数据泄露程序")。
15)支票单
身份验证发布之前
- WebAuthn已启用,TOTP作为备份,已发布备份代码。
- 检查泄露的密码和词汇表。
- 利率限制和信用抑制保护。
- Re-auth用于敏感操作。
- SIEM中的Logi/审核和 Alerta。
每季度
- MFA接受分析;A/B激励器为玩家。
- 咆哮推疲劳的政治家。
- 服务密钥轮换,胡椒检查/KMS。
- 演习:FIDO2钥匙丢失,TOTP故障,破玻璃。
16)实施路线图
1-2周:审核身份验证,启用WebAuthn和TOTP,设置突破检查,更新密码策略(pasphrases)。
第3周至第4周:引入re-auth进行高风险,数字对决,SIEM-alerta;向员工分发FIDO2钥匙。
第2个月:自适应MFA(风险信号),功能齐全的密码管理器,自助服务重置门户,备份代码。
月3+:向玩家推广MFA,定期演习,UX优化和降低MFA,KPI报告自动化。
TL;DR
强大的身份验证=pasfrases+WebAuthn(必备)+TOTP(储备金)+re-auth用于风险活动,stuffing/brute保护,强大的哈希(Argon2id)、密码管理器和每个步骤的审核。这样可以减少帐户的损害,简化合规性,并且如果能胜任的话,几乎没有UX跟踪。