GH GambleHub

Passwortrichtlinie und MFA

1) Ziele und Geltungsbereich

Ziel: Verringerung des Risikos der Gefährdung von Mitarbeiter-/Partner- und Spielerkonten, Sicherstellung der Einhaltung interner Sicherheitsstandards und regulatorischer Anforderungen.
Reichweite: Alle Unternehmenskonten (SSO/IdP), Admin-Panels, Zahlungs- und KYC-Konsolen, Service-/Bot-Konten sowie benutzerdefinierte Spielerkonten.

2) Grundprinzipien

Phishing-resistant standardmäßig: FIDO2/WebAuthn ≥ TOTP ≥ Push ≥ SMS/E-Mail OTP (letztere nur als Fallback).
Least Privilege + JIT: Privilegien werden minimal und temporär vergeben, MFA ist bei einer Erhöhung obligatorisch.
Passwörter als letztes Resort: Schwerpunkt auf Passphrasen und Passwortmanagern; Verbot „denkwürdiger“ Kurzpasswörter.
Security by Default: MFA ist standardmäßig aktiviert; für kritische Handlungen - re-auth.
Observability: Alle Authentifizierungs-/Antrags-/Reset-Ereignisse befinden sich in Prüfprotokollen.

3) Anforderungen an Passwörter/Passphrasen

3. 1 Mitarbeiter/Admins

Format: Pasfrase ≥ 14 Zeichen, Leerzeichen sind erlaubt; Anforderungen an die „Komplexität“ des Typs' A1! 'sind verboten - stattdessen wird auf Lecks geprüft (have-I-been-pwned-style local/via API-hash).
Überverwendung: Verbot der Reuse der letzten 10, Verbot des Unternehmens-Passworts für externe Dienste.
Rotation: nur bei Gefährdung/Risiko; erzwungene periodische Änderung - gilt nicht (um schwache Passwörter zu vermeiden).
Speicherung: nur im Corporate Password Manager; lokale Dateien/Browser-Auto-Save außerhalb von MDM-Profilen verbieten.

3. 2 Spieler

Minimum 10-12 Zeichen oder Pasfraz-Generator; visuelle Anzeige der Kraft; Block von Listen beliebter Passwörter.
Aktivieren Sie „Passwort anzeigen“ und „aus Manager einfügen“; Legen Sie keine nicht standardmäßigen Einschränkungen fest (Emojis/Symbole - Sie können).

4) Hashing und Geheimnisse

Algorithmus: Argon2id (Speicher ≥ 256 MB, Iterationen ≥ 3, Parallelität ≥ 1); Nehmen wir bcrypt (cost ≥ 12) als Legasi an.
Salz: einzigartige 16 + Bytes pro Datensatz. Pfeffer: Systemgeheimnis im HSM/KMS.
Update: Wenn der Legasi-Hashi eingeloggt ist, ist es transparent, auf das aktuelle Profil zu „re-hashen“.
Service-Schlüssel/API-Token: keine „Passwörter“ - Verwalten Sie über den Secret Manager, Rotation nach Zeitplan und bei Vorfällen.

5) MFA: Faktoren und Prioritäten

FaktorPhishing-ResistenzWo anzuwenden
FIDO2/WebAuthn (Schlüssel, TouchID/Windows Hello-Plattform)Die HocheMitarbeiter/Admins, High-Risk-Operationen bei Spielern
TOTP (RFC 6238)Die MittlereMitarbeiter und Spieler (Hauptfallback)
Push (Bestätigung in der App)Die MittlereMitarbeiter/Spieler; Schutz vor MFA-fatigue (rate-limit, number-match)
SMS/e-mail OTPDie Niedrigenur als Reserve bei Geräteverlust und für geringes Risiko
Unbedingt:
  • Backup-Codes (10 Stück, einmalig), Offline-Speicherung;
  • MFA-Durchsetzung: für Admin-Zugänge und Zahlungsvorgänge ohne Ausnahmen;
  • Number-matching im Push, Verbot „mit einem Klick zustimmen“.

6) Sitzungsrichtlinien und Re-Auth

Dauer: Web 12 h (interaktiv), Admin-Konsolen 8 h, kritische Panels 4 h.
Idle Timeout: 15-30 min für Admins.
Re-auth mit MFA: bei Auszahlungen/Änderung der Identität/Änderung der E-Mail/MFA/Ausgabe von API-Token.
Gerätebindung: MDM/registriertes Gerät für Mitarbeiter; für Spieler - Erinnerung an vertrauenswürdige Geräte mit Risikobewertung.

7) Schutz vor Authentifizierungsangriffen

Credential stuffing: IP/device/user-based rate-limits, protective delays, behavioral analysis, verification of leaked passwords.
Brute Force: progressive Verzögerungen/Captcha nach N-Fehlern; weiche Sperren (temporär), keine lange Sperre für Spieler.
Passwort-Spraying: Erkennung durch Anomalien (viele Konten mit einem Passwort).
MFA-fatigue: Limit für Push-Anfragen, number-match, Benachrichtigungen an den Benutzer.
Bot/Anti-Automation: WebAuthn bevorzugt, Verhaltenssignale, TLS-Fixierung, mTLS für Admin-Panels.

8) Verfahren (SOP)

8. 1 Onboarding eines Mitarbeiters

1. SSO-Konto über SCIM;

2. Ausgabe des FIDO2-Schlüssels (mindestens 2: Basis + Reserve) und TOTP;

3. Installation eines Passwort-Managers;

4. Schulungsnachweis (Phishing, MFA).

8. 2 Geräteverlust/MFA-Reset

1. Selbstanzeige über das Portal → vorübergehende Sperrung von Sitzungen;

2. Dokumentenprüfung + Bestätigung durch den Manager;

3. Freigabe neuer Faktoren;

4. Audit des Log-in für 30 Tage.

8. 3 Break-glass (Notzugang)

Nur zur Wiederherstellung; Faktor: HSM-gespeicherter Master-Token + zweiter Genehmiger; Zeit ≤ 30 Minuten; vollständige Aufzeichnung der Sitzung; Post-Revue Security + DPO.

8. 4 Passwort des Spielers zurücksetzen

Kanal: E-Mail/Telefon, einmaliger Link ≤ 15 min; nach Reset - obligatorische MFA-Einstellung beim nächsten Login (sanfter Zwang mit Bonus/Motivation).

9) Regeln für verschiedene Kontokategorien

9. 1 Mitarbeiter/Lieferanten

WebAuthn + TOTP ist erforderlich; Verbot von SMS-MFA.
Zugriff auf Admins nur von MDM-Geräten/Corp-VPN; JIT bei der Erhöhung der Privilegien.
Verbot lokaler „gemeinsamer“ Konten; Nur benannt.

9. 2 Spieler

MFA Soft-Forced: Motivationsbanner, Inklusionsboni; hart - mit hohem Risiko (Auszahlungen/Änderung der Details).
Verfügbarkeitsunterstützung: Schlüsselphrasen/Bildschirmleser, Fallback-Kanäle.

9. 3 Servicekonten/APIs

Keine Passwörter; nur gegenseitige Authentifizierung (mTLS, OIDC Client-Creds, Webhook-Signatur).
Schlüssel im Secret Manager; Rotation und Audit.

10) Integration mit IdP/SSO

Zentrale IdP (OIDC/SAML); Gruppenbindung an Rollen (RBAC als Code).
Adaptive MFA: Faktoren durch Risikosignale verstärken (Geo/neues Gerät/Anomalien).
SCIM-Provisioning/De-Provisioning; offboarding ≤ 15 Minuten nach der Entlassung.

11) Protokollierung und Audit

События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.

Kopie in WORM, Signatur/Hash-Ketten; Bindung an 'trace _ id', 'actor _ id', 'purpose'.

12) Metriken und KPIs/KRIs

MFA-Adoption (Mitarbeiter): 100% WebAuthn, 100% TOTP als Reserve.
MFA Adoption (Spieler): ≥ 30-50% in 6 Monaten (je nach Markt).
Compromised logins: 0; Der Anteil der Versuche mit durchgesickerten Passwörtern, die am Perimeter blockiert sind, beträgt 100%.
Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.
Password reset success rate: ≥ 98% ohne Rückgriff auf den Sapport.
Re-Auth-Abdeckung: 100% für risikoreiche Operationen.

13) Beispiele für Richtlinien (Fragmente)

13. 1 Längen- und Leckageprüfrichtlinie (Pseudo-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MFA-Enforcement

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 Re-auth für sensibles Handeln

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Verhältnis zu anderen Kontrollen

RBAC/ABAC/SoD: MFA ist obligatorisch bei Rollenzuweisung/-wechsel, JIT-Lifts und 'APPROVE _' Operationen.
Protokolle und Protokollspeicherung: siehe „Prüfungsprotokolle und Zugriffsspuren“, „Protokollspeicherungsrichtlinie“.
Vorfälle: bei Verdacht auf Kompromittierung - sofortiges Passwort + Token zurücksetzen, Sitzungsrückruf, Forensik (siehe „Verfahren bei Datenlecks“).

15) Checklisten

Vor der Freigabe der Authentifizierung

  • WebAuthn eingeschaltet, TOTP als Reserve, Backup-Codes werden ausgegeben.
  • Überprüfung durchgesickerter Passwörter und lexikalischer Listen.
  • Rate-Limits und Schutz vor Credential Stuffing.
  • Re-auth für sensible Operationen.
  • Protokolle/Audits und Alerts im SIEM.

Vierteljährlich

  • MFA-Akzeptanzanalyse; A/B-Motivatoren für Spieler.
  • Revue Politik Push-Müdigkeit.
  • Service Key Rotation, Checker/KMS.
  • Lehren: Verlust des FIDO2, TOTP-Ausfall, Break-Glass.

16) Fahrplan für die Umsetzung

Wochen 1-2: Authentifizierung prüfen, WebAuthn und TOTP aktivieren, Breach-Check einrichten, Passwortrichtlinie aktualisieren (Passphrasen).
Wochen 3-4: Implementieren Sie Re-Auth für High-Risk, Number-Matching in Push, SIEM-Alerts; Verteilen Sie FIDO2 Schlüssel an die Mitarbeiter.
Monat 2: Adaptive MFA (Risiko-Signale), voll funktionsfähiger Passwort-Manager, Self-Service-Reset-Portal, Backup-Codes.
Monat 3 +: A/B MFA-Förderung für Spieler, periodische Übungen, UX-Optimierung und MFA-fatigue-Reduktion, KPI-Reporting-Automatisierung.

TL; DR

Starke Authentifizierung = Pasfrazes + WebAuthn (erforderlich) + TOTP (Reserve) + Re-Auth für Risikoaktivitäten, Schutz vor Stuffing/Brute, robustes Hashing (Argon2id), Passwort-Manager und Audit für jeden Schritt. Das reduziert Kontenkompromittierungen, vereinfacht die Compliance und reibt UX kaum, wenn man es kompetent macht.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.